Landesgericht Lübeck entscheidet zu Haftungsverteilung bei Phishing-Fällen im Online-Banking
Das Landgericht Lübeck hat am 18. Januar 2024 (Az.: 3 O 83/23) eine grundsätzliche Entscheidung dazu getroffen, unter welchen Voraussetzungen Finanzinstitute nach einem erfolgreichen Phishing-Angriff zu Rückerstattungen verpflichtet sind. Im Fokus stand dabei die zentrale Frage, ob ein Zahlungsdienstleister auch dann haften muss, wenn der Kontoinhaber selbst grob fahrlässig gehandelt hat. Dieser Beitrag beleuchtet die wesentlichen Entscheidungsgründe und ordnet das Urteil in den Kontext der aktuellen Rechtslage zum Online-Banking ein.
Sachverhalt: Phishing-Angriff und unberechtigte Zahlungsanweisung
Dem zugrunde liegenden Rechtsstreit lagen Zahlungen zugrunde, die im Zusammenhang mit einem Phishing-Vorfall ausgelöst wurden. Die Klägerin, Inhaberin eines Girokontos, erhielt eine täuschend echt gestaltete Nachricht, die angeblich von ihrem Kreditinstitut stammte. Über einen enthaltenen Link gelangte sie auf eine gefälschte Internetseite, auf der sie im weiteren Verlauf sowohl ihre Zugangsdaten als auch eine TAN eingab. In der Folge wurden Überweisungen ausgelöst, die die Klägerin jedoch nicht autorisiert hatte.
Nachdem die Klägerin den Vorfall bemerkte, widerrief sie die betreffenden Transaktionen und forderte von der Bank die Rückzahlung. Diese verweigerte einen Ausgleich unter Hinweis auf ein grob fahrlässiges Verhalten der Klägerin. Die Angelegenheit landete daraufhin vor dem Landgericht Lübeck.
Rechtliche Einordnung: Sorgfaltspflichten und Haftungsverteilung
Grundsätzliche Haftung der Zahlungsdienstleister
Nach § 675u BGB sind Zahlungsdienstleister grundsätzlich dazu verpflichtet, ihrem Kunden den Schaden zu ersetzen, der durch nicht autorisierte Zahlungsvorgänge entsteht. Davon gibt es jedoch eine entscheidende Ausnahme: Stellt sich heraus, dass der Kontoinhaber grob fahrlässig gehandelt hat, entfällt der Anspruch auf Rückerstattung. Maßgeblich ist dabei, inwieweit der Kunde die elementaren Sicherheitsregeln befolgt hat, die er im Zusammenhang mit dem Online-Banking einzuhalten hat.
Grobe Fahrlässigkeit im Zusammenhang mit Online-Banking
Der Begriff der groben Fahrlässigkeit ist nach ständiger Rechtsprechung gegeben, wenn die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt wird. In Phishing-Konstellationen liegt eine solche grobe Pflichtverletzung regelmäßig dann vor, wenn sensible Zugangsdaten (PIN, TAN) auf Internetseiten eingegeben werden, ohne sich ausreichend von deren Authentizität zu überzeugen.
Im vorliegenden Fall würdigte das Landgericht, dass die Klägerin ihre Zugangsdaten sowie eine einmalig verwendbare TAN auf einer gefälschten Website eingegeben hatte, die sich lediglich durch kleine Details von der tatsächlichen Seite des Kreditinstituts unterschied. Dass in den regulären Geschäftsbedingungen sowie in Sicherheitshinweisen des Zahlungsdienstleisters ausdrücklich auf die Gefahren von Phishing und die Bedeutung größter Sorgfalt beim Umgang mit Zugangsdaten hingewiesen worden war, verstärkte im Ergebnis die Annahme grober Fahrlässigkeit.
Kein Ersatzanspruch bei grob fahrlässigem Verhalten
Angesichts dieser Umstände stellte das Landgericht klar, dass die Bank im konkreten Fall nicht zur Rückerstattung der abgebuchten Beträge verpflichtet ist. Der Ersatzanspruch entfällt nach § 675v Abs. 3 Nr. 2 BGB, da die Klägerin ihre Sorgfaltspflichten „in erheblichem Maße” vernachlässigt und damit einen maßgeblichen Beitrag zum Schadenseintritt geleistet habe.
Bedeutung der Entscheidung und aktuelle Entwicklungen im Zahlungsdienstrecht
Konsequenzen für Zahlungsdienstnutzer
Das Urteil unterstreicht die mittlerweile herrschende Auffassung, dass die Verantwortung für den Schutz von Zugangsdaten maßgeblich bei den Kontoinhabern liegt. Das bedeutet jedoch nicht, dass Banken gänzlich von jeglicher Haftung frei sind: Kommt es zu einem Schaden trotz pflichtgemäßer Sorgfalt, bleibt der Zahlungsdienstleister grundsätzlich in der Verpflichtung zur Rückerstattung. Entscheidend ist stets die sorgfältige Einzelfallprüfung – insbesondere mit Blick auf bestehende Sicherheitsvorkehrungen und die erkennbaren Warnzeichen eines Phishing-Angriffs.
Stärkung der Präventionsmechanismen
Das Urteil verdeutlicht auch die gestiegenen Anforderungen an die Nutzer von Online-Banking. Technische Entwicklungen wie Zwei-Faktor-Authentifizierung und permanente Aufklärungskampagnen sind auf Seiten der Dienstleister zunehmend Standard – entheben die Nutzer aber nicht ihrer Verantwortung, die bereitgestellten Sicherheitsmechanismen gewissenhaft zu nutzen und sich über aktuelle Risiken zu informieren.
Rechtlicher Rahmen und Ausblick
Angesichts der sich ständig weiterentwickelnden Betrugsmethoden im digitalen Zahlungsverkehr präzisieren die Gerichte kontinuierlich die Maßstäbe, nach denen Fahrlässigkeit oder grobe Fahrlässigkeit angenommen werden kann. Die Entscheidung des Landgerichts Lübeck fügt sich in eine Linie von Urteilen ein, die klar zwischen einfachen Fehlern und schwerwiegenden Pflichtverletzungen differenzieren.
Fazit und Hinweise für betroffene Kontoinhaber
Das Urteil des Landgerichts Lübeck stellt erneut klar, dass der Anspruch auf Rückerstattung unautorisierter Verfügungen im Falle grober Fahrlässigkeit ausgeschlossen bleibt. In der Praxis kommt dabei der sorgfältigen Prüfung der individuellen Umstände große Bedeutung zu. Insbesondere Kontoinhaber sind gut beraten, auf neue Betrugsmethoden vorbereitet zu bleiben und den Umgang mit Zugangsdaten weiterhin mit größtmöglicher Vorsicht zu gestalten.
Im Falle von Unsicherheiten oder bei komplexen Fragestellungen im Zusammenhang mit Phishing-Vorfällen, Schadensersatzansprüchen oder der Auslegung aktueller Zahlungsdienstregelungen stehen die Rechtsanwälte von MTR Legal mit umfassender Erfahrung im Bankrecht und angrenzenden Rechtsgebieten als kompetenter Ansprechpartner zur Verfügung.
