Haftet der Kunde oder die Bank?
Rund 28.000 Euro Lehrgeld: Ein Schadensersatzprozess zum Online-Banking per smsTAN.
Ein Gerichtsbeschluss zeigt klare Kante. Wo hört die Nutzerverantwortung auf, und wie weit gehen die Nachweispflichten der Institute?
Stellen Sie sich vor, Ihr Handy funktioniert nicht mehr und am nächsten Tag werden rund 28.000 Euro von Ihrem Konto abgeräumt. Ein Alptraum, der im Online-Banking mit smsTAN wahr geworden ist – und den Zahlungsdienstleister teuer zu stehen kam. Denn das neue Zahlungsdiensterecht nach Einführung der PSD2 hat einiges geändert im Rechtsverhältnis zwischen Zahlungsdienstleistern und Kunden. kartensicherheit.de bringt Ihnen die abstrakte Rechtslage in Zusammenarbeit mit Dr. Anna-Maria Beesch, Fachanwältin für Bank- und Kapitalmarktrecht, näher.
Der Streitfall: Ein Schaden aus Online-Banking mit smsTAN
Betrügerische Angriffe auf das Online-Banking mit immer raffinierteren Methoden nehmen zu. In diesem Fall führte eine relativ neue kriminelle Vorgehensweise im Rahmen des Online-Banking per smsTAN-Verfahren zu einem großen Schaden. Der Kunde verklagte seinen Zahlungsdienstleister auf Erstattung. Mit Erfolg.
Was war passiert?
Weil sein Mobiltelefon nicht mehr funktionierte, meldete sich der Kunde sofort bei seinem Mobilfunkanbieter, jedoch nicht bei seiner Bank. Der Mobilfunkanbieter sperrte sofort die defekte SIM-Karte, der Besitzer vernichtete sie und ließ sich in der Filiale des Mobilfunkanbieters eine Zweitkarte zum Einwechseln geben. Tags darauf wurden innerhalb von 4 Minuten zwei fünfstellige Summen im smsTAN-Verfahren unter nicht geklärten Umständen an unbekannte Empfänger überwiesen. Auffällig erscheint, dass der Kunde dies selbst noch am selben Tag bemerkte; er informierte seine Bank, die das Geld jedoch nicht mehr zurückerlangen konnte, weil – ebenfalls auffälligerweise – darüber sofort nach Eingang beim Empfänger verfügt worden war. Sieben Minuten vor der ersten missbräuchlichen Überweisung wurde – auf den Namen des Kunden, unter Verwendung seiner Zugangsdaten ¬– eine Ersatz-SIM-Karte ungeklärter Herkunft durch den Mobilfunkanbieter aktiviert; doch diese Ersatzkarte hatte der Mobilfunkanbieter nie versandt.
Der kriminelle Trick
Die Täter sollen sich nach Ausspähen der PIN durch Infektion des PC eine Ersatz-SIM-Karte beim Mobilfunkanbieter erschlichen haben, mittels derer sie das personalisierte Sicherheitsmerkmal (TAN) abfingen, welches an die Rufnummer des Kunden versandt worden war; Herkunft und Verbleib der vom Mobilfunkanbieter aktivierten Ersatz-SIM-Karte konnten nicht geklärt werden. Nach Ansicht der beklagten Bank liegt auch ein Fehlverhalten des Mobilfunkanbieters vor, da dieser eine nicht vom ihm versandte Ersatz-SIM-Karte freigeschaltet hat.
Das Urteil zulasten des Zahlungsdienstleisters
Das Oberlandesgericht Schleswig stellte fest: Der Kläger kann von seiner Bank verlangen, sein Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne Belastung der missbräuchlichen Zahlungsvorgänge befunden hätte. Eine grob fahrlässige Verletzung von Pflichten im Umgang mit personalisierten Sicherheitsmerkmalen oder sonstigen Vertrags- oder Pflichtverletzungen durch den Kläger bestehe nicht. Der Kläger habe keine zumutbaren Vorkehrungen zum Schutz von PIN und TAN unterlassen. Der beklagten Bank obliege der Beweis einer schuldhaften Pflichtverletzung des Klägers. Ein typischer Geschehensablauf, bei dem der sog. Anscheinsbeweis hätte greifen können, wurde vom Gericht beim Online-Banking im smsTAN-Verfahren nicht erkannt.
Die komplette Kommentierung der Entscheidung des OLG Schleswig von Frau Dr. Beesch steht Ihnen im Volltext als pdf zum Download zur Verfügung.
