raphael klesen unternehmensfinanzierung webp.jpg

Freischaltcode des pushTAN-Verfahrens als personalisiertes Sicherheitsmerkmal i.S.d. § 675l Abs. 1 S. 1 BGB

Zu der Frage, ob auch die telefonische Weitergabe eines Freischaltcodes für die Einrichtung des pushTAN-Verfahrens eine grob fahrlässige Verletzung der Pflichten aus § 675l Abs. 1 S. 1 BGB darstellt, hat das OLG München (19. Zivilsenat) am 04.09.2023 in seinem Hinweisbeschluss (Az. 19 U 1508/23) Stellung genommen.

Sachverhalt

Dem Beschluss des OLG München liegt folgender Sachverhalt zugrunde: Der Kläger (Zahlungsdienstnehmer) und Beklagte (Zahlungsdienstleisterin) stritten um das Bestehen des klägerischen Anspruchs auf Erstattung nach § 675u S. 2 BGB nach erklärter Aufrechnung der Bank.

In diesem Fall hatten unbekannte Dritte unter Verwendung des Benutzernamens und des PINs des Klägers im Online-Banking die Freischaltung des pushTAN-Verfahrens bei der Beklagten durch unbekannte Dritte beantragt. Mit diesem Code beabsichtigten die Täter, ein neues Mobiltelefon für die pushTAN-App freizuschalten. Der Kläger selbst hatte zuvor schon die pushTAN-App auf seinem Mobiltelefon durch eine ebensolche Freischaltung genutzt.

Daraufhin erhielt der Kläger ein postalisches Schreiben mit dem Freischaltcode, welches er sich durchlas in dem Wissen, dieses nicht angefordert zu haben.

Schließlich wurde er von einem angeblichen Mitarbeiter der Beklagten angerufen, woraufhin der Kläger den telefonischen Anweisungen entsprechend den Freischaltcode mitteilte in der irrtümlichen Annahme, dass die Weitergabe zum Zwecke der Aktualisierung des pushTAN-Verfahrens nötig sei.

Die Täter konnten mittels des Freischaltcodes ihr eigenes mobiles Gerät für die Nutzung der pushTAN-App freischalten und mehrere Überweisungen vornehmen.

Entscheidungsgründe

Zunächst stellte der Senat klar, dass § 675u S. 2 BGB einen Erstattungsanspruch gewährt. Die Erstattung sei der Oberbegriff für die Auszahlung und die Stornobuchung, d.h. die Wertstellung in Höhe der nicht autorisierten Zahlung. Die Auszahlung sei dann geboten, wenn der Nutzer beim Dienstleister kein Zahlungskonto unterhält. Die vorgenommenen Überweisungen durch die Täter stellten auch unautorisierte Überweisungen nach § 675zu S. 2 BGB dar. Damit folgt das OLG der ständigen Rechtsprechung bezogen auf betrügerisch veranlasste Überweisungen ohne Wissen und Wollen des Zahlungsdienstnehmers.

Jedoch habe die Beklagte hiergegen wirksam mit ihrem Anspruch aus § 675 v Abs. 3 Nr. 2 lit. a), b) aufgerechnet. Der Kläger habe mit der Weitergabe des Freischaltcodes gegen h § 675 l Abs. 1 S. 1 BGB verstoßen, indem er seine personalisierten Sicherheitsmerkmale nicht vor unbefugtem Zugriff geschützt habe. Der Freischaltcode stelle ein solches personalisiertes Sicherheitsmerkmal nach § 1 Abs. 25 ZAG dar. Hierunter fielen Datenschlüssel, Zeichenabfolgen oder Codewörter, die dem Zahlungsdienstnutzer durch den Zahlungsdienstleister exklusiv zur Kenntnis gebracht würden und damit eine Berechtigung des Inhabers indizierten. Davon sei die TAN erfasst und als „Vorstufe“ auch der Freischaltcode, da er zur ausschließlichen Kenntnis des Klägers an diesen übersandt worden sei und dieser durch die hierdurch ermöglichte Freischaltung der pushTAN-App eine Legitimation gegenüber der Beklagten ermögliche. Seine eigene Rechtsprechung fortführend setzte es als allgemeines Wissen des Klägers voraus, dass Kunden durch betrügerische Anrufe vorgeblicher Bankmitarbeiter zur Preisgabe von Zugangsdaten zum Online-Banking veranlasst werden sollen. Aufgrund der Vertrautheit mit dem Online-Banking habe der Kläger hiervon Kenntnis haben müssen. Falls nicht sei dies als grob fahrlässige Unkenntnis einzustufen.

Insgesamt habe sich dem Kläger in der Gesamtschau der Umstände des vorliegenden Einzelfalls aufdrängen müssen, dass betrügerische Anrufe vorlagen und er keinesfalls den Freischaltcode einem ihm unbekannten Anrufer hätte mitteilen dürfen. Bereits die unaufgeforderte Zusendung des Freischaltcodes hätte ihn stutzig machen müssen, gerade weil er für dieses Verfahren bereits freigeschaltet war. Auch stützte sich das Gericht darauf, dass der Kläger in Abweichung von den Instruktionen des Schreibens den Code telefonisch weitergab. Denn in dem Schreiben sei von einer Freischaltung und nicht von einer Aktualisierung oder einem Update der App die Rede gewesen und der Freigabevorgang ausführlich erläutert gewesen. Eine Mitwirkung eines Bankmitarbeiters sei hiernach nicht nötig gewesen. Auch trotz eines möglicherweise suggerierten Anrufs über die Telefonnummer der Beklagten habe dem Kläger auffallen müssen, dass er von der Beklagten nie zur Weitergabe von Codes oder Authentifizierungselementen gefragt wurde. Onlinebanking-Nutzern sollte generell bekannt sein, dass echte Bankmitarbeiter sie niemals nach Zugangsdaten fragen, schon gar nicht am Telefon. Ferner habe er die Anweisungen hinterfragen müssen, aufgrund der fehlenden Sinnhaftigkeit eines Vorgangs, in dem die Beklagte dem Kläger einen geheimen Freischaltcode sende, um ihm schließlich telefonisch danach zu fragen.

In dem Verhalten liege zudem ein grob fahrlässiger Verstoß gegen Ziffer 7.1 Abs. 1, Abs. 2 lit. a der „Sonderbedingungen für das Online-Banking“, wonach Wissenselemente wie der Freischaltcode nicht außerhalb des Online-Bankings weiterzugeben sind.

Für die Praxis

Auch die Weitergabe des vorgeschalteten Freischaltcodes als Äquivalent zu der Weitergabe einer TAN verstößt gegen die Pflicht zum Schutz personalisierter Sicherheitsmerkmale vor unbefugtem Zugriff der Zahlungsdienstnehmer. Erneut traute das Gericht den mit dem Online-Banking vertrauten Zahlungsdienstnehmern zu, nicht blind Anweisungen unbekannter Dritten zu vertrauen, auch wenn diese scheinbar für die Zahlungsdienstleisterin arbeiten. Gerade aufgrund der Medienpräsenz ebendieser Betrugsfälle und der allgemein bekannten Sorgfaltspflichten ist im Allgemeinen bei einer telefonischen Weitergabe von Authentifizierungselementen unter Missachtung der Sorgfaltsmaßstäbe oder in Unkenntnis dieser nach der mittlerweile ständigen Rechtsprechung von einer groben Fahrlässigkeit des Zahlungsdienstnehmers auszugehen. Zudem führt in diesen Fallvarianten regelmäßig nur eine grob fahrlässige Pflichtverletzung zu einem ungleich höheren Schaden, da nach der Freischaltung des Mobiltelefons der Betrüger zum pushTAN-Verfahren den Betrügern ohne weitere Mitwirkung des betroffenen Kunden agieren können. Vor diesem Hintergrund ist die Einordnung des OLG München für die betroffenen Institute von ebenso großer Wichtigkeit.

Kontakt > mehr