Geen recht op schadevergoeding tegen banken na phishing-schade bij grove nalatigheid – Doorslaggevende verduidelijkingen door de rechtbank München
De rechtbank München heeft in maart 2024 met haar uitspraak (zaaknr.: 222 C 15098/24) belangrijke uitgangspunten voor de aansprakelijkheidsverdeling bij phishingaanvallen in het betalingsdienstrecht verder gespecificeerd. In het middelpunt van de beslissing stond de vraag onder welke voorwaarden bankklanten schadevergoedingsaanspraken tegen hun bank kunnen doen gelden wanneer via hun rekening ongeautoriseerde betalingshandelingen als gevolg van phishing plaatsvinden.
Achtergrond van het geschil
In de onderliggende zaak ontving een klant van zijn bank een e-mail die bedrieglijk echt overkwam en zogenaamd van zijn bank afkomstig was. In het bericht werd hij verzocht zijn persoonlijke toegangsgegevens en een TAN door te geven, wat de klant ook deed in de veronderstelling een echte veiligheidscontrole uit te voeren. Vervolgens werden van zijn rekening meerdere bedragen afgeschreven die hij zelf niet had geautoriseerd. De betreffende klant verzocht daarop zijn bank om terugbetaling van de niet-geautoriseerde bedragen en motiveerde dit met zijn vermeende beschermwaardigheid als bankklant.
Juridische beoordeling: maatstaf van grove nalatigheid
De rechtbank benadrukte dat de bank volgens de bepalingen van de wetgeving inzake het kadercontract betalingsdiensten (§§ 675c e.v. BGB) in principe verplicht is niet-geautoriseerde betalingshandelingen ongedaan te maken. Er bestaat echter een uitzondering wanneer de bankklant in aanzienlijke mate tekortschiet in zijn zorgplicht, met name door zogenoemde grove nalatigheid.
Wat is grove nalatigheid bij onlinebankieren?
De verplichting van klanten om toegangsgegevens en gepersonaliseerde veiligheidskenmerken – zoals PIN of TAN – te beschermen tegen onbevoegde toegang en nooit aan derden door te geven, is een essentieel onderdeel van de contractuele relatie tussen klant en bank. Volgens de rechtspraak is er sprake van grove nalatigheid wanneer een klant ondanks duidelijke waarschuwingen van zijn bank gevoelige informatie aan onbekende derden verstrekt, met name wanneer dit gebeurt in verband met opvallende en ongewone verzoeken om deze gegevens te verstrekken.
De rechtbank München stelde vast dat het gedrag van de eisende bankklant als grof nalatig moest worden aangemerkt, omdat de opmaak van de e-mail bij een gemiddeld oplettende gebruiker twijfels had kunnen wekken en er herhaaldelijk door banken openbaar wordt gecommuniceerd dat geen vertrouwelijke gegevens per e-mail worden opgevraagd.
Gevolgen voor de risicoverdeling bij betalingsdiensten
Terugvordering bij de bank uitgesloten
In dit specifieke geval wees de rechtbank aansprakelijkheid van de bank af, omdat grof nalatig gedrag van de klant ertoe leidt dat zelfs bij objectief niet-geautoriseerde boekingen geen terugbetalingsrecht van de klant tegen de bank bestaat. Tot dit oordeel kwam de rechtbank met uitdrukkelijke verwijzing naar § 675v lid 3 BGB, die aansprakelijkheid bij grove nalatigheid van de betaler uitsluit.
Betekenis voor verdere procedures
Naast de betekenis voor de individuele contractuele relatie stelt de beslissing een belangrijk juridisch criterium vast voor vergelijkbare gevallen en verhoogt het de bewustwording voor gegevensbeveiliging bij digitaal betalingsverkeer. De tendens in de rechtspraak om de beschermingsgedachte ten aanzien van bankklanten te beperken waar elementaire voorzorgsmaatregelen worden genegeerd, wordt hiermee bevestigd.
Voorbehouden en actuele rechtspraak
Er moet op worden gewezen dat de casus het voorwerp is van een vonnis in eerste aanleg. Tegen deze beslissing staan in principe nog rechtsmiddelen open; daarom kan de procedure nog niet als definitief worden beoordeeld. Op het moment van samenstelling van deze informatie is geen definitief eindvonnis bekend. De inhoudelijke weergave is uitsluitend gebaseerd op het gepubliceerde vonnis en de openbaar toegankelijke motivering (Bron: urteile.news).
Betekenis voor bankklanten en instellingen
De uitspraak onderstreept het belang van zorgvuldig omgaan met gevoelige bankgegevens in het digitale betalingsverkeer. Daarnaast benadrukt zij de verantwoordelijkheid van klanten om schade door phishing en andere fraudevormen bij onlinebankieren te voorkomen. Banken op hun beurt dienen duidelijke en transparante veiligheids- en informatie-standaarden te hanteren en hun klanten regelmatig te wijzen op gevaren en noodzakelijke voorzorgsmaatregelen.
Gezien de complexiteit en reikwijdte van deze principiële kwesties is het aan te bevelen bij twijfel of onzekerheid juridisch advies in te winnen om de eigen handelingsruimte en rechten in het specifieke geval te beoordelen. Voor verdere vragen of juridische beoordelingen met betrekking tot betalingsdiensten, onlinebankieringsbeveiliging en mogelijke aansprakelijkheidskwesties staan de Rechtsanwälte van MTR Legal u graag als deskundige gesprekspartners ter beschikking.
Bronnen: Amtsgericht München, uitspraak van 27.03.2024, zaaknr.: 222 C 15098/24; www.urteile.news.
