OLG Frankfurt am Main Urteil vom 06.12.2023 - 3 U 3/23

Entscheidungsstichwort (Thema)

Keine Haftung der Bank für aufgrund Phishing-Angriffs vom Kunden grob fahrlässig freigebenen Überweisungsbetrag

Leitsatz (amtlich)

Gibt ein Kunde mittels PushTAN und Verifizierung über eine Gesichtserkennung nach einer Phishing-Nachricht die temporäre Erhöhung seines Überweisungslimits und eine anschließende Überweisung frei, handelt er grob fahrlässig. Die Bank schuldet in diesem Fall nicht die Rückerstattung des überwiesenen Betrags.

Normenkette

BGB §§ 242, 675l, 675u, 675v; ZAG § 55

Verfahrensgang

LG Frankfurt am Main (Urteil vom 09.12.2022; Aktenzeichen 2-25 O 41/22)

Tenor

1. Die Berufung des Klägers und Berufungsklägers gegen das am 09.12.2022 verkündete Urteil des Landgerichts Frankfurt am Main (2-25 O 41/22) wird zurückgewiesen.

2. Die Kosten des Berufungsverfahrens trägt der Kläger und Berufungskläger.

3. Das Urteil ist vorläufig vollstreckbar.

4. Der Kläger und Berufungskläger kann die Vollstreckung durch Sicherheitsleistung in Höhe von 120 % des vollstreckbaren Betrages abwenden, wenn nicht die jeweils andere Partei vor der Vollstreckung Sicherheit in Höhe von 120 % des zu vollstreckbaren Betrages leistet.

5. Der Streitwert für das Berufungsverfahren wird auf 49.999,99 EUR festgesetzt.

Gründe

I. Die Parteien streiten um die Wiedergutschrift einer Kontobelastung.

Der Kläger führt bei der Beklagten ein Girokonto. Als Verfahren zur Beauftragung von online-Transaktionen wählte der Kläger das PushTAN App-Verfahren. Die TAN wird dazu auf ein vom Kunden bestimmtes Smartphone übertragen. Zudem war eine Verifizierung über die Gesichtserkennung vereinbart.

Sein Online Banking nutzte der Kläger mit einem iPhone 12 pro und mit einem Desktop-PC mit aktuellem Windows-Betriebssystem. Beide verfügten über ausreichenden Virenschutz. Alle Sicherheitsupdates wurden immer rechtzeitig (in der Regel automatisiert) ausgeführt.

Als Überweisungslimit hatte der Kläger bis zum 02.09.2021 einen Betrag von 10.000,00 EUR festgesetzt.

Am 02.09.2021 erhielt der Kläger eine SMS mit folgendem Inhalt (Anlage K10, Bl. 139 d.A.):

"Ihr Konto wurde eingeschränkt. Bitte melden Sie sich für das neue S-CERT Verfahren an: https://bank1-webtool...

Ihre Bank1"

Als Absender dieser SMS wurde eine Telefonnummer angezeigt, welche die Beklagte bereits am 14.06.2022 in der Vergangenheit verwendet hatte, um den Kläger über eine vorübergehende Sperrung seiner Kreditkarte wegen eines Sicherheitsvorfalls zu unterrichten und die sie auch nach dem streitgegenständlichen Vorfall zur Mitteilung einer temporären Sperrung seiner Bankkarte benutzte. Die beiden Sperrmitteilungen der Beklagten waren jeweils mit der Bitte verbunden, die Telefonnummer ... zurückzurufen.

Der Kläger folgte dem in der SMS angegebenen Link. Anschließend wurde er von einer männlichen Person angerufen. Auf Anweisung dieses Anrufers bestätigte der Kläger "etwas" in der PushTAN-App der Beklagten.

Am selben Tag, dem 02.09.2021 um 13:56 Uhr wurde das Konto des Klägers bei der Beklagten mit einer Echtzeit Überweisung i.H.v. 49.999,99 EUR auf das Konto mit der IBAN DE... bei der Stadt1er Bank1 belastet. Als Name des Empfängers wurde "A" angegeben.

Am Folgetag, dem 03.09.2021, gab der Kläger, nach Entdeckung dieser Überweisung, eine Schadensfallerstmeldung bei der Beklagten ab und erstattete Anzeige bei der Polizei.

Nachdem der Kläger von der Beklagten vorprozessual vergeblich verlangt hatte, die vorstehenden Beträge wieder gutzuschreiben, hat er dieses Ansinnen nebst Erstattung vorprozessualer Rechtsanwaltskosten erstinstanzlich verfolgt.

Der Kläger hat behauptet, er habe die Transaktion vom 02.09.2021 nicht veranlasst. Nachdem er den Link angeklickt habe, habe er auf einer Website der "Stadt2er Bank1" die Mitteilung erhalten, dass er in Kürze von einem Mitarbeiter der Beklagten angerufen werde. Wenige Minuten später sei er tatsächlich auf der bei der Beklagten hinterlegten Mobilfunknummer angerufen worden und ein Mitarbeiter der Beklagten, der sich als "Herr B" vorgestellt habe, habe ihm die Notwendigkeit einer neuen Sicherheitseinstellung für den Online-Banking-Zugriff erläutert. Er, der Kläger, habe dann einmal etwas in seiner PushTAN-App mittels Gesichtserkennung bestätigt. Dabei habe es sich aber nicht um die Freigabe der streitgegenständlichen Zahlung gehandelt. Keinenfalls habe er zwei getrennte Vorgänge bestätigt. Da für vorgenommene Überweisung von 49.999,99 EUR zwei TAN-pflichtige Vorgänge nötig gewesen wären, eine Erhöhung des Überweisungslimits und die Überweisung selbst, könne er diesen Vorgang nicht durch seine einmalige Bestätigung veranlasst haben.

Falls es sich bei der SMS sowie dem Anruf um eine von Dritten durchgeführte Täuschung handele, sei diese für ihn nicht erkennbar gewesen. Er habe sich am 02.09.2021 gar nicht mit seinen Smartphone beim Online Banking der Beklagten eingeloggt. Die Beklagte habe zudem keine ausreichenden Sicherheitsvorkehrungen für so gelagerte Betrugsfälle eingerichtet, sowie ihre Kunden grundsätzlich unzureichend über verbundenen Risike...