Das Amtsgericht München hatte sich jüngst mit der Frage zu befassen, ob einer Bankkundin nach einem unautorisierten Zahlungsvorgang ein Anspruch auf Erstattung gegenüber ihrem Kreditinstitut zusteht, wenn sie eine zur Transaktionsfreigabe benötigte SMS-TAN an unbekannte Dritte weitergegeben hat (Az.: 271 C 16677/24, Urteil vom 14. Mai 2024). Dieses Urteil verdeutlicht die maßgebliche Bedeutung des Sorgfaltsmaßstabs beim Online-Banking sowie die zentralen Grundsätze des Zahlungsdiensterahmenvertragsrechts.
Sachverhalt und Hintergrund des Rechtsstreits
Eine Mandantin hatte über ihr Online-Banking-Konto eine hohe Summe an bislang unbekannte Dritte verloren. Die Überweisung war nach Erhalt einer SMS-TAN durchgeführt worden, welche die Kundin an eine Person außerhalb ihres Haushalts weitergegeben hatte. Wenig später bemerkte sie den unautorisierten Zahlungsabgang und forderte von der tätigen Bank Schadensersatz mit der Begründung, sie sei Opfer einer täuschenden Phishing-Attacke geworden und habe nicht erkennen können, dass es sich um eine betrügerische Kontaktaufnahme gehandelt habe. Nach Meinung der Kundin trage die Bank das Risiko solch raffinierter Manipulationsversuche.
Kernaspekte der gerichtlichen Entscheidungsfindung
Maßgeblichkeit des Zahlungsdiensteaufsichtsgesetzes (ZAG) und § 675u BGB
In der Urteilsbegründung stellte das Gericht klar, dass gemäß § 675u BGB im Zusammenhang mit elektronischen Zahlungsvorgängen grundsätzlich die Bank dem Kunden den Zahlungsbetrag zu erstatten hat, wenn es sich um einen nicht autorisierten Zahlungsvorgang handelt. Voraussetzung dafür ist jedoch, dass der Kunde den Zahlungsvorgang nicht selbst autorisiert oder zumindest grob fahrlässig zur missbräuchlichen Verwendung seiner Authentifizierungsinstrumente beigetragen hat.
Begriff und Bedeutung der Authentifizierung beim Online-Banking
Im Rahmen moderner Banking-Systeme ist die Zwei-Faktor-Authentifizierung, etwa durch die Kombination von persönlicher Identifikation (z.B. PIN) und eines einmalig nutzbaren Transaktionscodes (TAN), der Regelfall. Die Übergabe dieser Zugangsdaten und insbesondere die TAN an Dritte ist ausdrücklich untersagt und widerspricht dem Sorgfaltsgebot, das jedem Kontoinhaber obliegt. Die Klägerin hatte die SMS-TAN trotz notwendiger Warnhinweise der Bank und eindeutiger Belehrungen über deren Vertraulichkeit weitergeleitet.
Grob fahrlässiges Verhalten als Ausschlussgrund für den Erstattungsanspruch
Das Gericht sah im Handeln der Kundin ein grob fahrlässiges Verhalten, welches gemäß § 675v Abs. 3 BGB einen ersatzfähigen Schaden ausschließt. Die Richter führten aus, dass Banken ihre Kunden durch deutliche Warnhinweise und Sicherheitsinformationen regelmäßig darüber aufklären, dass TANs niemals an Dritte, auch nicht auf telefonische oder elektronische Anfrage, weiterzugeben sind. Wer diese Schutzmechanismen außer Acht lässt und dennoch sensibelste Zugangsdaten freigibt, nimmt das Risiko eines betrugsbedingten Zahlungsvorgangs wissentlich und in erheblicher Weise in Kauf. Der Erstattungsanspruch gegen die Bank entfällt in solchen Konstellationen.
Konsequenzen für die Vertragsbeziehung zwischen Kontoinhaber und Bank
Verteilung der Risikosphäre im Zahlungsverkehr
Das Urteil bestätigt, dass bei der Nutzung moderner Online-Banking-Modelle eine partielle Risikoverlagerung auf den Kontoinhaber stattfindet, sobald dieser die vertraglich vereinbarten Schutzvorkehrungen fahrlässig nicht beachtet. Ohne grobfahrlässiges Verhalten würde die Beweis- und Risikolast im Rahmen des § 675u BGB nach wie vor bei der Bank verbleiben.
Relevanz für den Verbraucherschutz
Zwar sollen die Regelungen zum Zahlungsdiensterahmenvertrag den Verbraucher umfassend schützen, hierzu zählt jedoch in entscheidender Weise – und dies unterstreicht das Gericht – die aktive Mitwirkung des Kunden selbst. Im konkreten Fall hatte die Bank sämtliche regulatorischen und vertraglichen Aufklärungs- und Schutzpflichten erfüllt; die Kundin hat dem hingegen ihre vertragliche Nebenpflicht zum sorgsamen Umgang mit Authentifizierungsmaßnahmen verletzt.
Einordnung im Gesamtkontext und weitergehende Hinweise
Die Entscheidung des Amtsgerichts München stellt klar, dass bei der Weitergabe von TANs an Dritte praktisch kaum eine Erfolgsaussicht für Erstattungsansprüche gegen die Bank besteht – unabhängig davon, wie ausgeklügelt die dahinterstehende Betrugsmasche gestaltet war. Die vertragliche Beziehung im Rahmen des Online-Bankings basiert auf einem konkludenten Zusammenwirken von Sorgfaltspflichten beider Vertragspartner.
Gerade in der Praxis ist das Thema Phishing und andere Betrugsmethoden ein wiederkehrendes Risiko für Bankkunden. Die Komplexität der Einzelfallbewertung verlangt hierbei eine sorgfältige Prüfung, um sowohl die Interessen der Bank als auch die Belange der Kunden angemessen zu berücksichtigen.
Schlussbemerkung
Die Rechtslage im Zusammenhang mit unautorisierten Zahlungsvorgängen und den Handlungspflichten der Vertragsbeteiligten ist weiterhin Gegenstand gerichtlicher und rechtlicher Erörterungen. Bei konkreten rechtlichen Fragestellungen zu Online-Banking, Haftungsfragen oder Zahlungsverkehrsrecht stehen die Rechtsanwältinnen und Rechtsanwälte der MTR Legal Rechtsanwälte als zuverlässige Ansprechpartner zur Verfügung.
