Kein Ersatzanspruch gegen Banken nach Phishing-Schäden bei grober Fahrlässigkeit – Entscheidende Klarstellungen durch das AG München
Das Amtsgericht München hat im März 2024 mit seinem Urteil (Az.: 222 C 15098/24) maßgebliche Grundsätze für die Haftungsverteilung im Rahmen von Phishing-Angriffen im Zahlungsdiensterecht weiter präzisiert. Im Zentrum der Entscheidung stand die Frage, unter welchen Voraussetzungen Bankkunden Ersatzansprüche gegenüber ihrer Bank geltend machen können, wenn über ihr Konto nicht autorisierte Zahlungsvorgänge infolge von Phishing stattfinden.
Hintergrund des Rechtsstreits
Im zugrundeliegenden Sachverhalt erhielt ein Kunde seiner Bank eine täuschend echt gestaltete E-Mail, die angeblich von seiner Bank stammte. In der Nachricht wurde er aufgefordert, persönliche Zugangsdaten und eine TAN preiszugeben, was der Kunde in der Annahme, eine echte Sicherheitsüberprüfung durchzuführen, auch tat. In der Folge wurden von seinem Konto mehrere Abbuchungen vorgenommen, die er selbst nicht autorisiert hatte. Der betroffene Kunde forderte daraufhin seine Bank auf, die nicht autorisierten Beträge zu erstatten und begründete dies mit seiner angeblichen Schutzwürdigkeit als Bankkunde.
Rechtliche Würdigung: Maßstab der groben Fahrlässigkeit
Das Gericht hob hervor, dass nach den Regelungen des Zahlungsdiensterahmenvertragsgesetzes (§§ 675c ff. BGB) die Bank grundsätzlich verpflichtet ist, nicht autorisierte Zahlungsvorgänge rückgängig zu machen. Eine Ausnahme besteht jedoch, wenn der Bankkunde in erheblichem Maße gegen die ihm obliegenden Sorgfaltspflichten verstößt, insbesondere durch sogenannte grobe Fahrlässigkeit.
Was ist grobe Fahrlässigkeit im Online-Banking?
Die Verpflichtung der Kunden, Zugangsdaten und personalisierte Sicherheitsmerkmale – wie PIN oder TAN – vor unbefugtem Zugriff zu schützen und niemals an Dritte weiterzugeben, ist elementarer Bestandteil der Vertragsbeziehung zwischen Kunde und Bank. Grobe Fahrlässigkeit liegt nach der Rechtsprechung regelmäßig dann vor, wenn ein Kunde trotz deutlicher Warnhinweise seiner Bank sensible Informationen an unbekannte Dritte weitergibt, insbesondere wenn dies im Zusammenhang mit auffälligen und unüblichen Aufforderungen zur Preisgabe dieser Daten geschieht.
Das Amtsgericht München stellte fest, dass das Verhalten des klagenden Bankkunden als grob fahrlässig zu qualifizieren sei, da die Aufmachung der E-Mail für einen durchschnittlich aufmerksamen Nutzer erkennbar Zweifel hätte wecken können und wiederholt von Banken öffentlich kommuniziert wird, dass keine vertraulichen Daten per E-Mail angefordert werden.
Folgen für die Risikoverteilung bei Zahlungsdienstleistungen
Rückgriff auf die Bank ausgeschlossen
Im konkreten Fall lehnte das Gericht eine Haftung der Bank ab, denn grob fahrlässiges Verhalten des Kunden führt dazu, dass selbst bei objektiv nicht autorisierten Buchungen kein Erstattungsanspruch des Kunden gegen die Bank besteht. Zu diesem Ergebnis gelangte das Gericht unter ausdrücklicher Bezugnahme auf § 675v Abs. 3 BGB, der eine Haftung bei grob fahrlässiger Pflichtverletzung des Zahlungspflichtigen ausschließt.
Bedeutung für weitere Verfahren
Neben der Bedeutung für das individuelle Vertragsverhältnis setzt die Entscheidung einen wichtigen rechtlichen Maßstab für ähnlich gelagerte Fälle und erhöht die Sensibilität für das Thema Datensicherheit im digitalen Zahlungsverkehr. Die Tendenz der Rechtsprechung, den Schutzgedanken hinsichtlich der Bankkunden dort einzuschränken, wo elementare Vorsichtsmaßnahmen missachtet werden, wird damit bestätigt.
Vorbehalte und laufende Rechtsprechung
Es ist darauf hinzuweisen, dass der Sachverhalt Gegenstand eines erstinstanzlichen Urteils ist. Gegen diese Entscheidung sind weitere Rechtsmittel grundsätzlich zulässig; daher kann das Verfahren noch nicht als abschließend beurteilt werden. Zum Zeitpunkt der Informationserstellung ist kein rechtskräftiges Endurteil bekannt geworden. Die pressemäßige Darstellung orientiert sich ausschließlich an dem veröffentlichten Urteil sowie den öffentlich zugänglichen Entscheidungsgründen (Quelle: urteile.news).
Bedeutung für Bankkunden und Institute
Die Entscheidung verdeutlicht die Bedeutung sorgfältigen Umgangs mit sensiblen Bankdaten im digitalen Zahlungsverkehr. Sie unterstreicht zudem die Verantwortung der Kunden für die Vermeidung von Schadensfällen durch Phishing und andere Betrugsformen im Online-Banking. Banken wiederum sind gehalten, klare und nachvollziehbare Sicherheits- und Informationsstandards vorzuhalten und ihre Kunden regelmäßig auf Gefahren und erforderliche Vorsichtsmaßnahmen hinzuweisen.
Angesichts der Komplexität und Reichweite dieser Grundsatzfragen bietet es sich an, in Zweifelsfällen oder bei Unsicherheiten rechtlichen Beistand in Anspruch zu nehmen, um die eigenen Handlungsspielräume und Rechte im Einzelfall zu beleuchten. Für weitergehende Fragen oder rechtliche Einschätzungen in Bezug auf Zahlungsdienste, Online-Banking-Sicherheit und potenzielle Haftungsfragen stehen Ihnen die Rechtsanwälte von MTR Legal gerne als kompetente Ansprechpartner zur Verfügung.
Quellen: Amtsgericht München, Urteil vom 27.03.2024, Az.: 222 C 15098/24; www.urteile.news.
