„Zeit ist Geld - Time is Money“ Bekanntermaßen haben Kulturschaffende zur Zeit der Corona-Krise viele…
Banken haben keinen Anscheinsbeweis: Hoffnung für Opfer von Online-Banking-Betrug
Kürzlich hatte das Landgericht Heilbronn einen Fall zu entscheiden, der auf den ersten Blick klar schien. Ein Kunde der Volksbank erhielt einen Anruf von jemandem, der sich als Mitarbeiter der Bank ausgab. Der Anrufer informierte den Kunden, dass sein Konto durch mehrere unbefugte Transaktionen in Höhe von ca. 9.000 € belastet worden sei. Es wurde dringend empfohlen, schnell zu handeln, um diese Transaktionen rückgängig zu machen. Der Kunde hatte sowohl die Banking-App als auch die Push-TAN-App auf seinem Mobiltelefon installiert. Somit konnte er über die Banking-App die TAN generieren und über die Push-TAN-App die Überweisung freigeben. Der Kunde folgte der Aufforderung des vermeintlichen Bankmitarbeiters und übermittelte ihm die generierten TANs über das Telefon, damit dieser die angeblichen missbräuchlichen Transaktionen rückgängig machen konnte. Tatsächlich wurden jedoch mit diesen TANs des Kunden die tatsächlichen missbräuchlichen Transaktionen durchgeführt.
Die grobe Fahrlässigkeit als individueller Verschuldensvorwurf
Das Landgericht Heilbronn entschied in diesem Fall des „Social Engineering“, dass der Kunde keinen Anspruch auf Erstattung des Schadens gegenüber der Bank habe, da er sich durch die Weitergabe der drei TANs grob fahrlässig verhalten habe (siehe Landgericht Heilbronn, Urteil vom 16.5.2023, Az. Bm 610/23). Es ist zwar richtig, dass die Online-Banking-Bedingungen der Banken festlegen, dass die Weitergabe von TANs an Dritte als grob fahrlässig betrachtet wird und solche Fälle auch bekannt sind. Dennoch kann man in Fällen des Social Engineering darüber diskutieren, ob das Verhalten des Kunden tatsächlich in dieser Situation als grob fahrlässig einzustufen ist. Es ist zu beachten, dass der Kunde durch solche Anrufe überrumpelt wird und sich in einer ungewöhnlichen Ausnahmesituation befindet, in der ihm keine Zeit gegeben wird, in Ruhe abzuwägen, was zu tun ist. Insbesondere ältere Personen sind oft überfordert und können daher nicht für grob fahrlässiges Verhalten verantwortlich gemacht werden. Hinzu kommt, dass sie von geschulten Tätern massiv unter Druck gesetzt werden.
Die starke Kundenauthentifizierung
Bemerkenswert ist jedoch, dass das Landgericht Heilbronn diesen Fall nutzte, um festzustellen, dass die Bank keinen Anscheinsbeweis für ein unüberwindbares Sicherheitsverfahren mehr geltend machen kann, wenn sich sowohl die Banking-App als auch die Push-TAN-App auf demselben Smartphone befinden. Gemäß § 1 Abs. 24 des Zahlungsdiensteaufsichtsgesetzes (ZAG) muss für ein sogenanntes starkes Kundenauthentifizierungsverfahren die Authentifizierung durch den Kunden durch mindestens zwei voneinander unabhängige Elemente (Besitz und Wissen) erfolgen. Das Landgericht Heilbronn argumentiert, dass in Fällen, in denen sich sowohl die Banking-App als auch die Push-TANauf einem Gerät befindet, nicht mehr von zwei getrennten Kommunikationswegen die Rede sein kann und deshalb die Voraussetzungen nach § 1 Abs. 24 ZAG, nämlich dass die Bank eine starke Kunden Authentifizierung durchführt, nicht mehr vorliegent. Dies hat sehr weit reichende Folgen´, überlegt man, dass fast jedes Sicherheitssystem der Banken inzwischen von dem smsTAN Verfahren auf das pushTAN-Verfahren mit der App auf demselben mobilen Endgerät übergegangen sind.
Kein Anscheinsbeweis für die Bank