RICHARD BOORBERG VERLAG

×

27.04.2020

  

Leichtfertiger Umgang mit PIN und TAN beim Online-Banking

  

Ein Bankkunde und Teilnehmer am SMS-TAN-Verfahren seiner Bank handelt grob fahrlässig, wenn er auf telefonische Aufforderung seine TAN-Nummer an einen unbekannten Dritten herausgibt. Erfolgen später unberechtigte Überweisungen von dem Kundenkonto, haftet die Bank nicht (LG Köln).

Ein Mann führte bei einer Bank ein Girokonto. Er nutzte das Online-Banking der Bank im sog. SMS-TAN-Verfahren. Bei diesem eröffnet der Nutzer zunächst durch Eingabe eines nur ihm bekannten Benutzernamens und eines Kennworts eine Online-Banking-Sitzung. Dort hinterlegt er eine Mobilfunknummer, auf die die SMS mit den TANs für seine Zahlungsaufträge gesendet wurde. Ein Überweisungsauftrag wird von der Bank nur ausgeführt, wenn der Nutzer die korrekte TAN für diesen Auftrag in der Online-Banking-Maske eingibt.
Etwa Mitte 2018 erhielt er einen Anruf von einem vermeintlichen Mitarbeiter der Bank. Dieser kannte die Kontonummer, die Adresse und das Geburtsdatum des Kunden. Er teilte ihm mit, dass eine ihm bekannte ausländische Firma versucht habe, von seinem Konto Geld abzubuchen. Er wolle daher entsprechende unberechtigte Verfügungen in der Zukunft verhindern und deshalb bestimmte Sicherheitsvorkehrungen treffen.
In den folgenden Wochen meldete sich der angebliche Mitarbeiter der Bank erneut bei dem Kunden. Er forderte in verschiedenen Gesprächen die Einlogdaten für das Online-Banking sowie TAN-Nummern heraus. Der Bankkunde kam diesem Ersuchen nach.In einem weiteren Telefonat kurz darauf gab der vermeintliche Mitarbeiter an, dass er nun auch die EC-Karten des Kunden und seiner Ehefrau gegen Auslandsangriffe sichern wolle. In diesem Zusammenhang versendete er an den Kunden eine weitere TAN per SMS. Auch diese zweite TAN gab der Bankkunde an den vermeintlichen Mitarbeiter der Bank weiter.
Insgesamt erfolgte der Kontakt zwischen dem angeblichen Mitarbeiter und dem Kunden ausschließlich per Telefon; Schriftwechsel wurde nicht geführt. Im Januar 2019 kam es zu drei Überweisungen von dem Kunden-Konto auf eine türkische Bank in Höhe von insgesamt 21 000 €.
Der Kunde verlangte daraufhin von seiner Bank die Rückbuchung dieses Betrags. Beim Landgericht Köln ohne Erfolg.

Grober Verstoß gegen die Sorgfaltspflichten eines Bankkunden

Der Kontoinhaber hatte nach Auffassung des Gerichts gegen die vertraglichen Sorgfalts- und Mitwirkungspflichten des Nutzers bei der Verwendung des PIN-TAN-Verfahrens, die bereits bei Vertragsabschluss zwischen ihm und der Bank Vertragsbestandteil waren, grob fahrlässig verstoßen. Die entsprechenden Regelungen im Vertrag mit der Bank legten dem Kunden die Pflicht auf, dafür zu sorgen, dass keine andere Person Kenntnis von der PIN und den TANs erlangt.
Gegen diese Verpflichtung hatte der Kunde verstoßen, indem er – unstreitig – dem angeblichen Mitarbeiter der Bank diejenige TAN weitergegeben hatte, die es diesem ermöglichte, seine eigene Mobiltelefonnummer für die spätere Abfrage von computergenerierten TANs zu hinterlegen. Hierbei hatte der Kunde die erforderliche Sorgfalt in besonders schwerem Maße verletzt; er hatte einfachste und naheliegende Überlegungen nicht angestellt und in der konkreten Situation das nicht beachtet, was sich jedem Bankkunden hätte aufdrängen müssen.
Ihm hätte bereits auffallen müssen, dass es für ein Kreditinstitut absolut außergewöhnlich ist, dass ein angeblicher Mitarbeiter telefonisch ankündigt, ihm eine TAN zu schicken, um das bisherige Kennwort und die bisherige PIN zu ändern.
Bereits dies hätte einem durchschnittlich sorgfältigen Online-Banking-Kunden Anlass zu Misstrauen und ggf. einer eigenen Kontaktaufnahme bei der Bank gegeben. Noch auffälliger und mit den Usancen im Bankverkehr unvereinbar war es, dass der Mitarbeiter sodann die telefonische Durchgabe der TAN verlangte. Bereits dieser – erste – Verstoß gegen die vertraglich vereinbarte Pflicht, die TAN nicht an Dritte weiterzugeben, erfolgte grob fahrlässig. Jedenfalls aber verstieß der Kunde in nicht nachzuvollziehender Weise gegen die ihm obliegenden Sorgfaltspflichten, indem er dem Anrufer eine weitere TAN durchgab, nachdem dieser angegeben hatte, er wolle nunmehr die EC-Karten des Kunden und seiner Ehefrau gegen Angriffe aus dem Ausland sichern (wobei es schon keinen Sinn ergibt, warum hierfür Einstellungen im Online-Banking-Konto vorgenommen werden mussten). Mit dieser TAN war es dem Täter möglich, eine zweite Telefonnummer für die Übermittlung von TANs zu hinterlegen.
Insoweit hatte der Kunde im Prozess selbst angegeben, dass er in der Folgezeit weitere Online-Banking-Überweisungen getätigt habe, bei denen er zwischen seiner und der neu hinterlegten Telefonnummer auswählen musste. Spätestens zu diesem Zeitpunkt war ihm sogar bekannt, dass ein weiterer, ihm unbekannter Nutzer von seinem Konto Überweisungen tätigen konnte; zumindest musste sich ihm diese Erkenntnis aufdrängen.
Sämtliche dieser die grobe Fahrlässigkeit begründenden Umstände wurden zudem davon umklammert, dass jeglicher (!) Kontakt telefonisch stattfand und es kein einziges Schriftstück der Bank betreffend den angeblichen Angriff auf das Konto gab.
Das Gericht war abschließend nach der durchgeführten Anhörung auch davon überzeugt, dass der Kunde – ein Kernphysiker – von zumindest überdurchschnittlicher Intelligenz war und daher die Möglichkeit hatte, den Betrug zu seinen Lasten zu erkennen und zu verhindern.
Somit war die Bank nicht verpflichtet, die ausgeführten Kontoüberweisungen wieder zurückzubuchen.

Klaus Krohn
Quelle:
Urteil des Landgerichts Köln vom 17. 12. 2019 – 21 O 116/19