Wer im Rahmen eines Social-Engineering-Angriffs TANs telefonisch an unbekannte Dritte weitergibt, handelt grob fahrlässig und verliert seinen gesetzlichen Erstattungsanspruch gegen den Zahlungsdienstleister. Das manuelle chipTAN-Verfahren erfüllt die Anforderungen an eine starke Kundenauthentifizierung im Sinne des § 675v Abs. 4 Satz 1 Nr. 1 BGB, ohne dass der Name des Zahlungsempfängers im Display des TAN-Generators angezeigt werden muss.
Führt ein nicht autorisierter Zahlungsvorgang zur Belastung des Zahlungskontos des Zahlers, ist der Zahlungsdienstleister nach § 675u Satz 2 BGB grundsätzlich verpflichtet, das Konto wieder auf den Stand zu bringen, der ohne die unberechtigte Belastung bestanden hätte. Ein nicht autorisierter Zahlungsvorgang liegt vor, wenn der Zahler - oder eine ihm zuzurechnende Person - dem Vorgang nicht gemäß § 675j Abs. 1 Satz 1 BGB zugestimmt hat. Dieser Anspruch besteht dem Grunde nach unabhängig davon, auf welche Weise der unbefugte Dritte die Transaktion ausgelöst hat.
Gleichwohl kann der Zahlungsdienstleister dem Erstattungsanspruch nach § 242 BGB einen eigenen Schadensersatzanspruch entgegenhalten, wenn dessen Voraussetzungen erfüllt sind. Besteht ein Schadensersatzanspruch des Zahlungsdienstleisters, kann er in Höhe dieses Anspruchs die Erfüllung des Anspruchs des Zahlers aus § 675u Satz 2 BGB gemäß den Grundsätzen von Treu und Glauben verweigern (vgl. BGH, 17.11.2020 - Az: XI ZR 294/19; BGH, 05.03.2024 - Az:
XI ZR 107/22; BGH, 22.07.2025 - Az:
XI ZR 107/24). Die wirtschaftliche Folge ist dabei dieselbe wie bei einem vollständigen Ausschluss des Erstattungsanspruchs: Der Zahler bleibt auf seinem Schaden sitzen. Dieser Mechanismus setzt allerdings voraus, dass die Voraussetzungen des § 675v Abs. 3 Nr. 2 BGB erfüllt sind und der Schadensersatzanspruch nicht seinerseits nach § 675v Abs. 4 Satz 1 Nr. 1 BGB ausgeschlossen ist.
Nach § 675v Abs. 3 Nr. 2 BGB haftet der Zahler auf Schadensersatz in voller Höhe, wenn er den Schaden durch vorsätzliche oder grob fahrlässige Verletzung einer Pflicht gemäß § 675l Abs. 1 BGB oder einer vereinbarten Nutzungsbedingung für das Zahlungsinstrument herbeigeführt hat. In den Bedingungen für das Online-Banking findet sich regelmäßig - und so auch vorliegend - die ausdrückliche Regelung, dass TANs als Nachweis des Besitzelements nicht außerhalb des Online-Bankings, insbesondere nicht mündlich per Telefon oder in Textform, weitergegeben werden dürfen.
Grobe Fahrlässigkeit setzt einen in objektiver Hinsicht schweren und in subjektiver Hinsicht nicht entschuldbaren Verstoß gegen die im Verkehr erforderliche Sorgfalt voraus. Ob einfache oder grobe Fahrlässigkeit vorliegt, unterliegt der tatrichterlichen Würdigung, die revisionsrechtlich nur eingeschränkt überprüfbar ist - nämlich daraufhin, ob der Rechtsbegriff der groben Fahrlässigkeit verkannt oder wesentliche Umstände außer Betracht gelassen wurden (vgl. BGH, 22.07.2025 - Az:
XI ZR 107/24).
Im vorliegend entschiedenen Fall führten mehrere Umstände kumulativ zur Annahme grober Fahrlässigkeit: Die
Phishing-E-Mail wies Rechtschreibfehler auf und stammte erkennbar nicht von der Bank; die angebliche Systemumstellung auf ein „Covid Intelligence Spa Connect"-System hätte Misstrauen wecken müssen. Die Anrufe erfolgten an einem Wochenende außerhalb der üblichen Bankgeschäftszeiten, und es fehlte jeder Anlass, eine Neukonfigurierung des TAN-Generators für erforderlich zu halten. Darüber hinaus war bereits aufgrund der Vertragsbedingungen sowie der allgemeinen öffentlichen Berichterstattung bekannt, dass TANs niemals telefonisch weiterzugeben sind. Entscheidend war zudem, dass die handelnde Person im Display des TAN-Generators die Bezeichnung „TAN“ sowie - im Zusammenhang mit den Überweisungen - IBAN und Betrag ablesen konnte, bevor sie die entsprechenden Nummern an den Anrufer weitergab. Eine Möglichkeit, Ziffern einzugeben, ohne zu erkennen, worum es sich handelt, besteht bei dem verwendeten Gerät nicht. Das gesamte Verhalten stellt sich als objektiv schwerwiegend und subjektiv nicht entschuldbar dar. Das Verhalten einer zur Kontoführung bevollmächtigten Person - vorliegend der Ehefrau des Kontoinhabers - ist dem Kontoinhaber dabei zuzurechnen.
Der weitere Inhalt ist nur für registrierte Nutzer zugänglich. Bitte melden Sie sich an oder registrieren Sie sich für einen Zugang.
