Haftungsverteilung bei unbefugten Kontobelastungen infolge der Weitergabe sensibler Bankdaten – Entscheidung des LG Lübeck
Das Landgericht Lübeck hat in einer aktuellen Entscheidung vom 23.08.2023 (Az.: 3 O 153/23) klargestellt, dass ein Kreditinstitut nicht zum Ersatz von Schäden verpflichtet ist, die einem Bankkunden durch unberechtigte Abbuchungen entstanden sind, wenn jener seine persönlichen Kontoinformationen an Dritte weitergegeben hat. Diese Entscheidung beleuchtet zentrale Fragen zur Haftungsverteilung im Zahlungsverkehr und beinhaltet wichtige Hinweise zur Risikozuordnung bei missbräuchlicher Verwendung von Zugangsdaten.
Sachverhalt und Hintergrund der Entscheidung
Im zugrunde liegenden Fall machte ein Bankkunde Ansprüche gegen seine Bank geltend, nachdem von seinem Konto ohne seine Autorisierung Zahlungsaufträge ausgeführt worden waren. Der Kunde hatte im Vorfeld persönliche Kontozugangsdaten einem Dritten zur Verfügung gestellt, wodurch es diesem ermöglicht wurde, Zahlungen vom Konto des Kunden vorzunehmen.
Das Kreditinstitut verweigerte die Rückerstattung der abgebuchten Beträge mit der Begründung, dass die Bereitstellung sensibler Zugangsinformationen an außenstehende Personen eine grob fahrlässige Verletzung der Vertragspflichten darstelle.
Rechtliche Einordnung: Pflichten bei der Handhabung von Authentifizierungsmerkmalen
Maßgebliche Vertragsgrundlagen
Bei der Nutzung bargeldloser Zahlungsdienste regeln die meisten Bankkundenverträge sowie die gesetzlichen Bestimmungen im Zahlungsdiensteaufsichtsgesetz (ZAG) und Bürgerlichen Gesetzbuch (BGB), dass der Kontoinhaber oder die Kontoinhaberin Zugangsdaten (z. B. PIN, TAN) sorgfältig und vertraulich zu behandeln hat. Diese Pflicht dient dem Schutz des Zahlungsdienstnutzers und der Integrität des Zahlungsverkehrs.
Haftungsmaßstab: Fahrlässigkeit und grobe Fahrlässigkeit
Nach § 675u BGB haftet die Bank grundsätzlich bei nicht autorisierten Zahlungsvorgängen für die Rückerstattung des Geldbetrags. Allerdings unterliegt diese Haftung Einschränkungen, wenn der Kunde grob fahrlässig oder vorsätzlich zur Entstehung des Schadens beigetragen hat, etwa indem er die im Gesetz (§ 675l BGB) vorgesehenen Sorgfaltspflichten nicht beachtet.
Im vorliegenden Fall sah das LG Lübeck durch die bewusste Weitergabe sensibler Kontodaten einen klassischen Fall grober Fahrlässigkeit verwirklicht. Die Bank durfte sich daher auf den Ausschluss bzw. die Begrenzung ihrer Ersatzpflicht berufen.
Abgrenzung zu anderen Konstellationen und weitere Auswirkungen
Abweichende Konstellationen: Phishing und technische Manipulation
Nicht jede unautorisierte Abbuchung fällt in den Haftungsausschlussbereich. In Fällen, in denen sich Dritte ohne Mitwirkung des Kontoinhabers – etwa durch betrügerische Methoden, Täuschungen („Phishing“) oder technische Manipulationen – Zugang zu den Authentifizierungsdaten verschaffen, verbleibt es regelmäßig bei der Haftung des Zahlungsdienstleisters. Die bewusste und eigenverantwortliche Weitergabe von Zugangsdaten durch den Kunden stellt jedoch eine Sachlage dar, die die Risikosphäre des Bankkunden eröffnet.
Anforderungen an die Darlegung und Beweisführung
Im gerichtlichen Verfahren trägt der Bankkunde die Darlegungs- und Beweislast dafür, dass er die Sorgfaltspflichten eingehalten hat und die missbräuchliche Tranksaktion ohne sein Mitverschulden erfolgte. Die Entscheidung des LG Lübeck unterstreicht die Bedeutung dieser Pflichten: Eine nachweisbare Preisgabe von Authentifizierungsmerkmalen an Dritte erschwert jedenfalls die Durchsetzung von Ersatzansprüchen erheblich.
Auswirkungen auf den Zahlungsverkehr und präventive Maßnahmen der Kreditinstitute
Banken und Zahlungsdienstleister haben im Zuge der europäischen Zahlungsdiensterichtlinie (PSD2) zusätzliche Maßnahmen zur Stärkung der Sicherheit digitaler Zahlungsvorgänge implementiert. Verbraucher werden regelmäßig über die Risiken der Weitergabe sensibler Daten informiert, können sich aber im Fall nicht beachteter Hinweise nicht auf die Haftung des Kreditinstituts berufen.
Bewertung im Kontext allgemeiner Rechtsprechung
Die Entscheidung des LG Lübeck steht im Einklang mit der überwiegenden Rechtsprechung zu § 675u BGB: Für Folgen grob fahrlässigen Verhaltens hat der Kunde selbst einzustehen, während in Fällen von Manipulationen ohne Zutun des Betroffenen meist ein Anspruch auf Erstattung durch die Bank gegeben ist. Der vom LG Lübeck beurteilte Sachverhalt konkretisiert die Erwartungen an die eigenverantwortliche Handhabung persönlicher Bankdaten und bietet so Praxissicherheit im Spannungsfeld zwischen Verbraucherschutz und Missbrauchsprävention.
Fazit
Die Entscheidung des Landgerichts Lübeck verdeutlicht erneut die Notwendigkeit einer pflichtbewussten Behandlung sensibler Kontodaten durch Bankkunden. Kreditinstitute können in Fällen grob fahrlässiger Weitergabe von Authentifizierungsdaten nicht zu Ersatzleistungen verpflichtet werden.
Für Unternehmen und Privatpersonen, die im Bereich Zahlungsverkehr und Kontosicherheit rechtliche Fragestellungen klären oder Ansprüche überprüfen möchten, bietet es sich an, fachkundige Unterstützung in Anspruch zu nehmen. Das Team von MTR Legal Rechtsanwälte steht hierfür mit fundierter Erfahrung im Bank- und Kapitalmarktrecht zur Verfügung.
