Phishing: Ausgleichsanspruch gegen die Bank auch bei Weitergabe der Daten

Wer Opfer eines Phishing-Angriffs wird, hat gegenüber der Bank einen Ausgleichsanspruch. Dies gilt auch bei Weitergabe der Zugangsdaten zum Online-Banking an den Ehepartner, wenn dadurch keine erhöhte Gefährdung entstanden ist und sie nicht kausal für den Schaden war.


Hintergrund

Die Klägerin hatte bei der beklagten Bank ein Wertpapierdepotkonto eröffnet. Im Eröffnungsantrag hatte sie ausschließlich die E-Mail-Adresse ihres Ehemannes angegeben und als Telefonverbindung erkennbar die Mobilfunknummer ihres Ehemannes hinterlegt. Sie hatte jedoch nicht angegeben, dass sie die vollständige Verwaltung Ihres Kontos dem Ehemann übertragen hatte. Die Übermittlung der TANs erfolgte per SMS auf das durch den Ehemann der Klägerin genutzte Mobiltelefon.

Im Frühjahr 2019 erfolgte eine Abbuchung von dem Konto i. H. v. fast 26.000 EUR. Diese Transaktion war weder von der Klägerin noch von ihrem Ehemann autorisiert, sondern war im Rahmen eines Phishing-Angriffs erfolgt. Die Klägerin forderte die Bank zum sofortigen Ausgleich ihres Kontos auf.

Die Bank weigerte sich, da die Klägerin vertragswidrig ihre Kontodaten an einen Dritten, nämlich ihren Ehemann weitergegeben hatte. Dadurch wurde erst der Phishing-Angriff ermöglicht.

In den dem Bankvertrag zu Grunde liegenden AGB war bestimmt, dass personalisierte Sicherheitsmerkmale geheim zu halten und Authentifizierungselemente so zu verwahren sind, dass sie dem Zugriff Dritter entzogen sind.

Entscheidung

Das Gericht sah dagegen die Voraussetzungen für einen Ausgleichsanspruch der Klägerin als erfüllt an. Zur Begründung führten die Richter aus: Der Zahlungsdienstleister hat im Fall eines nicht autorisierten Zahlungsvorgangs gegen den Kontoinhaber keinen Anspruch auf Erstattung seiner Aufwendungen und ist verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und das Zahlungskonto wieder auf den ursprünglichen Stand zu bringen, auf dem es ohne den nicht autorisierten Zahlungsvorgang war.

Diesem Ausgleichsanspruch der Klägerin stand kein Schadensersatzanspruch der Bank entgegen. Der Kontoinhaber ist dem Zahlungsdienstleister zum Ersatz des gesamten aus einem nicht autorisierten Zahlungsvorgang entstandenen Schaden insbesondere dann verpflichtet, wenn der Kontoinhaber den Schaden durch vorsätzliche oder grob fahrlässige Verletzung vertraglicher Pflichten oder vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments herbeigeführt hat.

Die Voraussetzungen für einen solchen Schadensersatzanspruch lagen hier nicht vor. Die Weitergabe der Kontodaten an den Ehemann bewertete das Gericht nicht als grob fahrlässige Verletzung der vertraglichen Pflichten durch die Kontoinhaberin. Die Gefahr eines Phishing-Angriffs wurde durch die Weitergabe der PIN nicht erhöht.

Gründe dafür, dass ein Angriff auf das Mobiltelefon des Ehemanns leichter oder wahrscheinlicher war als auf das Mobiltelefon der Klägerin selbst, waren nicht ersichtlich. Die Weitergabe der personifizierten Daten war deshalb nicht kausal für den eingetretenen Schaden, weil die Weitergabe die Gefährdungslage nicht erhöhte.

Damit wurde der Phishing-Vorgang auf dem Konto der Klägerin von ihr nicht ursächlich herbeigeführt. Ein Schadensersatzanspruch der Bank gegen die Klägerin schied damit aus.