Verdeling van aansprakelijkheid bij ongeoorloofde rekeningafschrijvingen als gevolg van het doorgeven van gevoelige bankgegevens – Uitspraak van de rechtbank Lübeck
De rechtbank Lübeck heeft in een recente uitspraak van 23-08-2023 (zaaknr.: 3 O 153/23) verduidelijkt dat een kredietinstelling niet verplicht is om schade te vergoeden die een bankklant heeft geleden door ongeoorloofde afschrijvingen, indien deze zijn persoonlijke rekeninggegevens aan derden heeft doorgegeven. Deze uitspraak werpt licht op centrale vragen rondom de verdeling van aansprakelijkheid bij betalingsverkeer en bevat belangrijke aanwijzingen met betrekking tot de risicoverdeling bij oneigenlijk gebruik van toegangsgegevens.
Feitenrelaas en achtergrond van de uitspraak
In het onderliggende geval stelde een bankklant vorderingen in tegen zijn bank, nadat er zonder zijn goedkeuring betalingsopdrachten vanaf zijn rekening waren uitgevoerd. De klant had vooraf persoonlijke toegangsgegevens tot zijn bankrekening aan een derde verstrekt, waardoor deze in staat was betalingen vanaf de rekening van de klant te verrichten.
De kredietinstelling weigerde de terugbetaling van de afgeschreven bedragen met het argument dat het verstrekken van gevoelige toegangsgegevens aan externe personen een grove nalatigheid en schending van contractuele verplichtingen vormt.
Juridische beoordeling: Verplichtingen bij het gebruik van authenticatiemiddelen
Relevante contractuele basis
Bij het gebruik van girale betaaldiensten bepalen de meeste bankklantencontracten en de wettelijke bepalingen in de Wet toezicht betalingsdiensten (ZAG) en het Burgerlijk Wetboek (BGB) dat de rekeninghouder toegangscodes (bijvoorbeeld PIN, TAN) zorgvuldig en vertrouwelijk dient te behandelen. Deze verplichting dient ter bescherming van de gebruiker van betalingsdiensten en de integriteit van het betalingsverkeer.
Aansprakelijkheidsmaatstaf: nalatigheid en grove nalatigheid
Volgens § 675u BGB is de bank in principe aansprakelijk voor het terugstorten van het bedrag bij niet-geautoriseerde betalingsopdrachten. Deze aansprakelijkheid kent echter beperkingen als de klant door grove nalatigheid of opzettelijk het ontstaan van de schade heeft bevorderd, bijvoorbeeld door de in de wet (§ 675l BGB) voorgeschreven zorgvuldigheidsplichten te negeren.
In het onderhavige geval beschouwde de rechtbank Lübeck het opzettelijk doorgeven van gevoelige rekeninggegevens als een klassiek geval van grove nalatigheid. De bank mocht zich daarom beroepen op uitsluiting of beperking van haar verplichting tot schadevergoeding.
Onderscheid met andere situaties en verdere gevolgen
Afwijkende situaties: phishing en technische manipulatie
Niet iedere ongeautoriseerde afschrijving valt binnen de uitsluiting van aansprakelijkheid. In gevallen waarin derden zonder medewerking van de rekeninghouder – bijvoorbeeld door frauduleuze methoden, misleiding (‘phishing’) of technische manipulaties – toegang krijgen tot authenticatiegegevens, blijft de aansprakelijkheid doorgaans bij de betalingsdienstverlener. Het bewust en uit eigen beweging verstrekken van toegangsgegevens door de klant vormt echter een omstandigheid die het risico bij de bankklant zelf legt.
Vereisten voor stellingname en bewijsvoering
In een gerechtelijke procedure rust op de bankklant de plicht om te stellen en te bewijzen dat hij aan zijn zorgvuldigheidsplichten heeft voldaan en dat de misbruikte transactie zonder eigen schuld tot stand is gekomen. De uitspraak van de rechtbank Lübeck onderstreept het belang van deze plichten: het aantoonbaar prijsgeven van authenticatiegegevens aan derden bemoeilijkt in elk geval de handhaving van aanspraken op vergoeding aanzienlijk.
Gevolgen voor het betalingsverkeer en preventieve maatregelen van kredietinstellingen
Banken en betalingsdienstverleners hebben in het kader van de Europese betaaldienstenrichtlijn (PSD2) extra maatregelen geïmplementeerd om de veiligheid van digitale betalingen te versterken. Consumenten worden regelmatig geïnformeerd over de risico’s van het delen van gevoelige gegevens, maar kunnen zich bij het negeren van deze waarschuwingen niet op de aansprakelijkheid van de kredietinstelling beroepen.
Beoordeling in de context van de algemene rechtspraak
De uitspraak van de rechtbank Lübeck is in lijn met de heersende jurisprudentie over § 675u BGB: voor gevolgen van grof nalatig gedrag draagt de klant zelf de verantwoordelijkheid, terwijl voor gevallen van manipulatie zonder toedoen van de betrokkene gewoonlijk recht op vergoeding door de bank bestaat. De door de rechtbank Lübeck beoordeelde situatie concretiseert de verwachtingen ten aanzien van de eigen verantwoorde omgang met persoonlijke bankgegevens en biedt zo praktijkzekerheid in het spanningsveld tussen consumentenbescherming en preventie van misbruik.
Conclusie
De uitspraak van de rechtbank Lübeck benadrukt opnieuw de noodzaak van een plichtsbewuste omgang met gevoelige rekeninggegevens door bankklanten. Kredietinstellingen kunnen bij gevallen van grove nalatige verstrekking van authenticatiegegevens niet tot vergoeding worden verplicht.
Voor bedrijven en particulieren die juridische vragen willen verduidelijken of aanspraken willen beoordelen op het gebied van betalingsverkeer en rekeningbeveiliging, is het raadzaam deskundige ondersteuning in te schakelen. Het team van MTR Legal Rechtsanwalt staat hiervoor met diepgaande ervaring in het bank- en effectenrecht tot uw beschikking.
