Duyarlı banka verilerinin paylaşılması sonucu yetkisiz hesap borçlandırmalarında sorumluluğun dağılımı – LG Lübeck’in kararı
Lübeck Bölge Mahkemesi, 23.08.2023 tarihli son kararında (Dosya No.: 3 O 153/23), bir banka müşterisinin üçüncü kişilere kişisel hesap bilgilerini vermesi halinde, banka kuruluşunun, izinsiz çekimler sonucunda ortaya çıkan zararları tazmin etmekle yükümlü olmadığını açıkça belirtmiştir. Bu karar, ödeme transferlerinde sorumluluk dağılımına ilişkin temel soruları aydınlatmakta ve erişim verilerinin kötüye kullanılması durumunda riskin kime ait olacağı konusunda önemli bilgiler içermektedir.
Kararın olgusu ve arka planı
Somut olayda, bir banka müşterisi, hesabından izni olmadan para transferleri yapıldıktan sonra bankasına karşı hak talebinde bulundu. Müşteri, öncesinde kişisel hesap erişim bilgilerini üçüncü bir kişiye vermiş ve bu sayede üçüncü şahıs, müşteri hesabından ödeme gerçekleştirebilmiştir.
Banka kuruluşu, hassas erişim bilgilerinin üçüncü kişilere verilmesinin sözleşme yükümlülüklerinin ağır ihlali (ağır ihmal) olduğunu belirterek, çekilen tutarların iadesini reddetti.
Hukuki değerlendirme: Kimlik doğrulama bilgileriyle ilgili yükümlülükler
Temel sözleşme esasları
Nakit olmayan ödeme hizmetlerinin kullanımında, çoğu banka sözleşmesi ve ayrıca Ödeme Hizmetleri Denetim Kanunu (ZAG) ile Alman Medeni Kanunu (BGB) hükmüne göre, hesap sahibinin erişim verilerini (örn. PIN, TAN) dikkatli ve gizli bir şekilde saklaması gerekmektedir. Bu yükümlülük, ödeme hizmeti kullanıcısının ve ödeme akışının bütünlüğünün korunmasına hizmet eder.
Sorumluluk ölçütü: İhmal ve ağır ihmal
BGB § 675u’ya göre, yetkisiz ödeme işlemlerinde banka kural olarak paranın iadesinden sorumludur. Ancak müşteri, zararın oluşmasına ağır ihmal veya kasıtlı olarak katkıda bulunduysa – örneğin kanuni özen yükümlülüklerine (§ 675l BGB) uymadığında –, bu sorumluluk kısıtlanabilir.
Mevcut durumda, LG Lübeck hassas hesap verilerinin bilinçli şekilde üçüncü kişilere verilmesini klasik bir ağır ihmal olarak değerlendirmiştir. Banka bu nedenle tazminat sorumluluğunun hariç tutulmasına veya sınırlandırılmasına dayanabilmiştir.
Diğer durumlarla ayrım ve ek sonuçlar
Farklı Durumlar: Phishing ve teknik manipülasyon
Her yetkisiz çekim sorumluluk istisnasına girmez. Üçüncü kişilerin hesap sahibinin hiçbir katkısı olmadan – örneğin dolandırıcılık yöntemleriyle, aldatma yoluyla (“phishing”) veya teknik manipülasyonlarla – kimlik doğrulama bilgilerine erişmesi halinde çoğunlukla sorumluluk ödeme hizmeti sağlayıcısında kalır. Ancak müşterinin bilgileri bilinçli ve kendi inisiyatifiyle paylaşması, risk alanını banka müşterisine açar.
İddia ve ispat gerekleri
Mahkeme sürecinde, banka müşterisinin özen yükümlülüklerine uyduğunu ve kötüye kullanılan işlemin kendi kusuru olmadan gerçekleştiğini ispat etme yükümlülüğü vardır. LG Lübeck’in kararı, bu yükümlülüklerin önemini vurgular: Kimlik doğrulama verilerinin üçüncü kişilere verildiğinin ispatlanabilir olması, tazminat taleplerinin ileri sürülmesini oldukça zorlaştırmaktadır.
Ödeme işlemleri üzerindeki etkiler ve bankaların önleyici tedbirleri
Bankalar ve ödeme hizmeti sağlayıcıları, Avrupa Ödeme Hizmetleri Direktifi (PSD2) kapsamında dijital ödeme işlemlerinin güvenliğini artırmaya yönelik ek önlemler uygulamaya koymuştur. Tüketiciler, hassas verilerin paylaşılmasının riskleri konusunda düzenli olarak bilgilendirilmektedir. Ancak gerekli uyarılar dikkate alınmazsa, kredi kurumunun sorumluluğuna başvurulamaz.
Genel yargı kararları çerçevesinde değerlendirme
LG Lübeck kararı, BGB § 675u düzenlemesine ilişkin ağırlıklı içtihat ile uyumludur: Ağır ihmalkar davranışların sonuçlarından müşteri sorumludur; manipülasyonun mağdurun katkısı olmadan gerçekleştiği durumlarda ise çoğunlukla bankadan iade talep edilebilir. LG Lübeck’in değerlendirdiği somut olay, kişisel banka verilerinin sorumlu şekilde yönetilmesine ilişkin beklentileri somutlaştırmakta ve tüketici koruması ile suistimal önlemleri arasındaki denge açısından uygulama güvencesi sağlamaktadır.
Sonuç
Lübeck Yerel Mahkemesinin kararı, banka müşterilerinin hassas hesap verilerini dikkatli kullanma yükümlülüğünün önemini bir kez daha ortaya koymaktadır. Yetkilendirme verilerinin ağır ihmalkar bir şekilde üçüncü şahıslara verilmesi durumunda, bankalar tazminatla yükümlü tutulamaz.
Ödeme işlemleri ve hesap güvenliği alanında hukuki sorularını netleştirmek veya taleplerini değerlendirmek isteyen şirketler ve bireyler için, alanında uzman desteği almak faydalı olabilir. MTR Legal Rechtsanwalt ekibi, banka ve sermaye piyasası hukuku alanında kapsamlı deneyimiyle hizmetinizdedir.
