Haftung bei Phishing-Angriffen im Online-Banking: Das Risiko der TAN-Weitergabe

Wann besteht ein Anspruch auf Rückerstattung – und wann handelt der Kunde grob fahrlässig?

Immer wieder werden Bankkunden Opfer von Phishing-Angriffen. Betrüger setzen dabei zunehmend auf telefonische Kontaktaufnahme, um sich persönliche Zugangsdaten und Transaktionsnummern (TAN) zu erschleichen. Doch wer trägt das Risiko, wenn unberechtigte Verfügungen aufgrund solcher Phishing-Angriffe erfolgen? Besteht ein Anspruch auf Rückerstattung der verlorenen Gelder – oder ist das Verhalten des Kunden als grob fahrlässig zu bewerten?

Ein aktuelles Urteil des Kammergerichts Berlin (Urteil v. 26.06.2024, Az. 10 O 297/22; Berufungsurteil) gibt hierzu klare Antworten.

1. Der Sachverhalt: Phishing durch angeblichen Bankmitarbeiter

Im zugrunde liegenden Fall erhielt der Kläger einen Anruf eines vermeintlichen Bankmitarbeiters. Im Laufe des Gesprächs gab der Kunde sieben TAN telefonisch weiter; in der Folge wurden erhebliche Beträge auf ein Dritt- und anschließend auf ein Auslandskonto transferiert. Der Kunde machte gegenüber seiner Bank Rückerstattungsansprüche geltend und argumentierte, von der Bank nicht ausreichend gewarnt worden zu sein und sich in einer psychischen Ausnahmesituation befunden zu haben.

2. Die Entscheidung der Gerichte

Sowohl das Landgericht als auch das Kammergericht Berlin wiesen die Klage ab.

Ausschlaggebend war Folgendes:

Grobe Fahrlässigkeit durch Missachtung der Sonderbedingungen: Die Weitergabe von TAN am Telefon an Dritte stellt einen offensichtlichen Verstoß gegen die Bedingungen für das Online-Banking dar (§ 675v Abs. 3 Nr. 2a BGB i.V.m. Ziffer 7.1 Abs. 2 lit. b der Sonderbedingungen). Diese verpflichten den Kunden explizit dazu, TAN niemals außerhalb des vorgesehenen Online-Banking-Prozesses zu verwenden oder zu offenbaren.

Erkennbarkeit der Betrugsmasche: Nach Ansicht des Gerichts hätte dem Kläger die Ungewöhnlichkeit des Vorgangs – insbesondere die Aufforderung zur mehrfachen Generation und Weitergabe von TAN am Telefon – auffallen müssen, da solches Vorgehen Banken grundsätzlich weder praktizieren noch überhaupt verlangen.

Persönliche Umstände entlasten nicht: Auch subjektive Ausnahmesituationen (z. B. Nervosität, Zeitdruck) rechtfertigen keine Abweichung von der Sorgfaltspflicht. Der Kläger konnte weder das behauptete Erschrecken noch ein psychologisches Ausnahmeereignis schlüssig belegen.

Pflichten der Bank: Die beklagte Bank hatte nachweisbar ausreichende Sicherheitsmaßnahmen implementiert, regelmäßig vor Phishing gewarnt und entsprach dem Stand der Technik.

3. Kernaussagen des Urteils

Die Rückerstattungspflicht der Bank besteht nicht, wenn der Kunde grob fahrlässig Verstöße gegen die Sicherheitsregeln begeht, insbesondere TAN oder sonstige Authentifizierungsdaten an Dritte weitergibt.

Die Bank trifft keine allgemeine Warn- oder Überwachungspflicht für ungewöhnliche Einzeltransaktionen, sofern keine konkreten Verdachtsmomente auf einen Missbrauch vorliegen.

Ein Mitverschulden der Bank ist regelmäßig ausgeschlossen, wenn das Online-Banking-System den gesetzlichen Anforderungen entspricht und der Kunde hinreichend über die wesentlichen Sicherheitsregeln informiert wurde.

4. Hinweise für die Praxis

Für Bankkunden gilt:

TAN (Transaktionsnummern) dürfen niemals telefonisch, per E-Mail oder außerhalb des gesicherten Online-Bankings weitergegeben werden.

Auch bei scheinbar glaubwürdigen Anrufen oder E-Mails sollte immer Skepsis walten, insbesondere bei Aufforderungen zur mehrfachen TAN-Generierung.

Für Banken und Zahlungsdienstleister gilt:

Kontinuierliche, gezielte Aufklärung der Kunden über die Risiken und typische Vorgehensweisen von Phishing-Angriffen bleibt unabdingbar.

Dokumentation der ergriffenen Sicherheitsmaßnahmen und der regelmäßigen Aufklärung sind wichtig, um im Streitfall ein Mitverschulden auszuschließen.

Fazit

Auch bei zunehmend ausgeklügelten Betrugsmethoden bleibt die grobe Fahrlässigkeit des Kunden ein zentraler Punkt bei der Haftungsverteilung im Online-Banking. Nur eine konsequente Beachtung der Sicherheitsregeln und besondere Umsicht bei ungewöhnlichen Vorgängen schützen vor Haftungsverlust.

Haben Sie Fragen zu Haftungsfragen im Zusammenhang mit Online-Banking, Phishing-Angriffen oder Rückerstattungsansprüchen?

Kontaktieren Sie uns gern: info@jusra.de