raphael klesen unternehmensfinanzierung webp.jpg

Freischaltcode des pushTAN-Verfahrens als personalisiertes Sicherheitsmerkmal i.S.d. § 675l Abs. 1 S. 1 BGB

Zu der Frage, ob auch die telefonische Weitergabe eines Freischaltcodes für die Einrichtung des pushTAN-Verfahrens eine grob fahrlässige Verletzung der Pflichten aus § 675l Abs. 1 S. 1 BGB darstellt, hat das OLG München (19. Zivilsenat) am 04.09.2023 in seinem Hinweisbeschluss (Az. 19 U 1508/23) Stellung genommen.

Sachverhalt

Dem Beschluss des OLG München liegt folgender Sachverhalt zugrunde: Der Kläger (Zahlungsdienstnehmer) und Beklagte (Zahlungsdienstleisterin) stritten um das Bestehen des klägerischen Anspruchs auf Erstattung nach § 675u S. 2 BGB nach erklärter Aufrechnung der Bank.

In diesem Fall hatten unbekannte Dritte unter Verwendung des Benutzernamens und des PINs des Klägers im Online-Banking die Freischaltung des pushTAN-Verfahrens bei der Beklagten durch unbekannte Dritte beantragt. Mit diesem Code beabsichtigten die Täter, ein neues Mobiltelefon für die pushTAN-App freizuschalten. Der Kläger selbst hatte zuvor schon die pushTAN-App auf seinem Mobiltelefon durch eine ebensolche Freischaltung genutzt.

Daraufhin erhielt der Kläger ein postalisches Schreiben mit dem Freischaltcode, welches er sich durchlas in dem Wissen, dieses nicht angefordert zu haben.

Schließlich wurde er von einem angeblichen Mitarbeiter der Beklagten angerufen, woraufhin der Kläger den telefonischen Anweisungen entsprechend den Freischaltcode mitteilte in der irrtümlichen Annahme, dass die Weitergabe zum Zwecke der Aktualisierung des pushTAN-Verfahrens nötig sei.

Die Täter konnten mittels des Freischaltcodes ihr eigenes mobiles Gerät für die Nutzung der pushTAN-App freischalten und mehrere Überweisungen vornehmen.

Entscheidungsgründe

Zunächst stellte der Senat klar, dass § 675u S. 2 BGB einen Erstattungsanspruch gewährt. Die Erstattung sei der Oberbegriff für die Auszahlung und die Stornobuchung, d.h. die Wertstellung in Höhe der nicht autorisierten Zahlung. Die Auszahlung sei dann geboten, wenn der Nutzer beim Dienstleister kein Zahlungskonto unterhält. Die vorgenommenen Überweisungen durch die Täter stellten auch unautorisierte Überweisungen nach § 675zu S. 2 BGB dar. Damit folgt das OLG der ständigen Rechtsprechung bezogen auf betrügerisch veranlasste Überweisungen ohne Wissen und Wollen des Zahlungsdienstnehmers.

Jedoch habe die Beklagte hiergegen wirksam mit ihrem Anspruch aus § 675 v Abs. 3 Nr. 2 lit. a), b) aufgerechnet. Der Kläger habe mit der Weitergabe des Freischaltcodes gegen h § 675 l Abs. 1 S. 1 BGB verstoßen, indem er seine personalisierten Sicherheitsmerkmale nicht vor unbefugtem Zugriff geschützt habe. Der Freischaltcode stelle ein solches personalisiertes Sicherheitsmerkmal nach § 1 Abs. 25 ZAG dar. Hierunter fielen Datenschlüssel, Zeichenabfolgen oder Codewörter, die dem Zahlungsdienstnutzer durch den Zahlungsdienstleister exklusiv zur Kenntnis gebracht würden und damit eine Berechtigung des Inhabers indizierten. Davon sei die TAN erfasst und als „Vorstufe“ auch der Freischaltcode, da er zur ausschließlichen Kenntnis des Klägers an diesen übersandt worden sei und dieser durch die hierdurch ermöglichte Freischaltung der pushTAN-App eine Legitimation gegenüber der Beklagten ermögliche. Seine eigene Rechtsprechung fortführend setzte es als allgemeines Wissen des Klägers voraus, dass Kunden durch betrügerische Anrufe vorgeblicher Bankmitarbeiter zur Preisgabe von Zugangsdaten zum Online-Banking veranlasst werden sollen. Aufgrund der Vertrautheit mit dem Online-Banking habe der Kläger hiervon Kenntnis haben müssen. Falls nicht sei dies als grob fahrlässige Unkenntnis einzustufen.

Insgesamt habe sich dem Kläger in der Gesamtschau der Umstände des vorliegenden Einzelfalls aufdrängen müssen, dass betrügerische Anrufe vorlagen und er keinesfalls den Freischaltcode einem ihm unbekannten Anrufer hätte mitteilen dürfen. Bereits die unaufgeforderte Zusendung des Freischaltcodes hätte ihn stutzig machen müssen, gerade weil er für dieses Verfahren bereits freigeschaltet war. Auch stützte sich das Gericht darauf, dass der Kläger in Abweichung von den Instruktionen des Schreibens den Code telefonisch weitergab. Denn in dem Schreiben sei von einer Freischaltung und nicht von einer Aktualisierung oder einem Update der App die Rede gewesen und der Freigabevorgang ausführlich erläutert gewesen. Eine Mitwirkung eines Bankmitarbeiters sei hiernach nicht nötig gewesen. Auch trotz eines möglicherweise suggerierten Anrufs über die Telefonnummer der Beklagten habe dem Kläger auffallen müssen, dass er von der Beklagten nie zur Weitergabe von Codes oder Authentifizierungselementen gefragt wurde. Onlinebanking-Nutzern sollte generell bekannt sein, dass echte Bankmitarbeiter sie niemals nach Zugangsdaten fragen, schon gar nicht am Telefon. Ferner habe er die Anweisungen hinterfragen müssen, aufgrund der fehlenden Sinnhaftigkeit eines Vorgangs, in dem die Beklagte dem Kläger einen geheimen Freischaltcode sende, um ihm schließlich telefonisch danach zu fragen.

In dem Verhalten liege zudem ein grob fahrlässiger Verstoß gegen Ziffer 7.1 Abs. 1, Abs. 2 lit. a der „Sonderbedingungen für das Online-Banking“, wonach Wissenselemente wie der Freischaltcode nicht außerhalb des Online-Bankings weiterzugeben sind.

Für die Praxis

Auch die Weitergabe des vorgeschalteten Freischaltcodes als Äquivalent zu der Weitergabe einer TAN verstößt gegen die Pflicht zum Schutz personalisierter Sicherheitsmerkmale vor unbefugtem Zugriff der Zahlungsdienstnehmer. Erneut traute das Gericht den mit dem Online-Banking vertrauten Zahlungsdienstnehmern zu, nicht blind Anweisungen unbekannter Dritten zu vertrauen, auch wenn diese scheinbar für die Zahlungsdienstleisterin arbeiten. Gerade aufgrund der Medienpräsenz ebendieser Betrugsfälle und der allgemein bekannten Sorgfaltspflichten ist im Allgemeinen bei einer telefonischen Weitergabe von Authentifizierungselementen unter Missachtung der Sorgfaltsmaßstäbe oder in Unkenntnis dieser nach der mittlerweile ständigen Rechtsprechung von einer groben Fahrlässigkeit des Zahlungsdienstnehmers auszugehen. Zudem führt in diesen Fallvarianten regelmäßig nur eine grob fahrlässige Pflichtverletzung zu einem ungleich höheren Schaden, da nach der Freischaltung des Mobiltelefons der Betrüger zum pushTAN-Verfahren den Betrügern ohne weitere Mitwirkung des betroffenen Kunden agieren können. Vor diesem Hintergrund ist die Einordnung des OLG München für die betroffenen Institute von ebenso großer Wichtigkeit.

Dr. Raphael Klesen LL.M.

28. Februar 2024

Abonnieren Sie unseren Newsletter

25. April 2024
Wohnungseigentumsrecht: Erleichterte Beschlussfassung in der Wohnungseigentümergemeinschaft für privilegierte bauliche Veränderungen mehr
24. April 2024
Arbeitsrecht: Vergütung bei Verlängerung der Arbeitszeit nach einem Erhöhungsverlangen des Arbeit-nehmers gem. § 9 TzBfG mehr
23. April 2024
Gesellschaftsrecht: Keine Legitimationswirkung der Gesellschafterliste bei Rechtsmissbrauch mehr
22. April 2024
Urlaubsabgeltung bei Doppelarbeitsverhältnis und Anrechnung beim ursprünglichen Arbeitgeber: kein doppelter Urlaubsanspruch nach unwirksamer Kündigung mehr
19. April 2024
D&O-Versicherung: Abtretung von Freistellungsanspruch gegenüber Versicherer hemmt die Verjährung des Haftungsanspruchs mehr
18. April 2024
Arbeitsrecht: Ablösung einer Gesamtzusage durch eine Betriebsvereinbarung bei ausdrücklicher oder stillschweigender Betriebsvereinbarungsoffenheit mehr
17. April 2024
Gesellschaftsrecht: Die Publizität des Handelsregisters – Vertrauen auf Eintragungen im Handelsregister?! mehr
16. April 2024
Arbeitsrecht: ChatGPT und Mitbestimmung mehr
11. April 2024
FGvW berät Pflegeunternehmen Lebensbaum bei Übernahme der alternative Hauskrankenpflege Uwe Söhnchen und alternative Tagespflege Uwe Söhnchen mehr
10. April 2024
Arbeitsrecht: Zwangsvollstreckung aufgrund eines Titels auf Weiterbeschäftigung mehr
9. April 2024
FGvW berät VFB-Vereinsarzt Prof. Dr. med. Raymond Best bei Gründung einer neuen Praxis für Sportmedizin und einer Sportklinik mehr
8. April 2024
Arbeitsrecht: Schadensersatz wegen verspäteter Zielvorgabe mehr
4. April 2024
Gesellschaftsrecht: Kein Kaduzierungsverfahren und keine Ausfallhaftung bei verjährter Einlageforderung mehr
3. April 2024
Arbeitsrecht: Fehlerhafte Betriebsratsanhörung bei krankheitsbedingter Kündigung mehr
28. März 2024
FGvW berät Gesellschafter der MBG energy beim Verkauf von rund 75 Prozent der Geschäftsanteile an SPIE mehr
28. März 2024
Arbeitsrecht: Keine Inflationsausgleichsprämie während der Passivphase der Altersteilzeit mehr
27. März 2024
Produkthaftung: EuGH: Kippt das (technische) Normungssystem („DIN/EN“) in Europa? – Freier Zugang zu harmonisierten Normen mehr
26. März 2024
Arbeitsrecht: Unfallversicherung und Homeoffice 2.0 mehr
25. März 2024
FGvW berät die JAFAM Holding bei Beteiligung an MedTech-Startup Vitadio mehr
25. März 2024
Gesellschaftsrecht: Reichweite der Befreiung vom Verbot des Insichgeschäfts des Geschäftsführers einer GmbH & Co. KG mehr
21. März 2024
Arbeitsrecht: Entgeltfortzahlung bei Corona-Infektion und einer behördlichen Absonderungsanordnung mehr
20. März 2024
Gesellschaftsrecht:Freie Wahl des Sitzes bei Personengesellschaften mehr
19. März 2024
Arbeitsrecht: Betriebsratswahl bei Tesla darf stattfinden mehr
18. März 2024
Gesellschaftsrecht: Grundstücks-GbR als eGbR ins neue Gesellschaftsregister eintragen lassen mehr
15. März 2024
Arbeitsrecht: Kein Auskunftsanspruch gegen gemeinsame Einrichtungen der Tarifvertrags-Parteien bei Öffentlichkeitsarbeit mehr
13. März 2024
GmbH-Recht: (Kein) Widerspruch zur Gesellschafterliste bei Einziehung von Geschäftsanteilen mehr
12. März 2024
Gesellschafterversammlungen nach Versterben eines Gesellschafters mehr
12. März 2024
Arbeitsrecht: Unwirksamkeit einer Betriebsratswahl aufgrund von Wahlwerbung in WhatsApp-Gruppe mehr
11. März 2024
Lebensmittelrecht: Urteil des BVerwG zu Meldepflichten von Laborverantwortlichen mehr
8. März 2024
FGvW unter den azur100 Top-Arbeitgebern 2024 mehr
7. März 2024
Erbrecht: Ausschluss des Bewertungsabschlags bei Erbschaft eines zu Wohnzwecken vermieteten Drittstaatengrundstücks ist unionsrechtswidrig mehr
6. März 2024
Arbeitsrecht: Keine einseitige Umstellung von jährlichen Einmalzahlungen in monatliche Teilbeträge mehr
5. März 2024
Gesellschaftsrecht: Wann kann ein BGB-Gesellschafter im eigenen Namen für eine GbR klagen? mehr
4. März 2024
Arbeitsrecht: Neues zum Arbeitszeugnis mehr
1. März 2024
FGvW berät Gedeon Richter bei Beteiligung an der Formycon AG mehr
1. März 2024
Handelsrecht: Noch kein grünes Licht aus der EU für die Lieferkettenrichtlinie mehr
29. Februar 2024
Arbeitsrecht: Schadensersatz bei unterbliebener Zielvereinbarung mehr
28. Februar 2024
Bankrecht: Freischaltcode des pushTAN-Verfahrens als personalisiertes Sicherheitsmerkmal i.S.d. § 675l Abs. 1 S. 1 BGB mehr
27. Februar 2024
Gesellschafts- und Datenschutzrecht: Anspruch auf Informationen über Mitgesellschafter mehr
26. Februar 2024
Arbeitsrecht: Ein „Digital Native“ im fortgeschrittenen Alter? Entschädigung wegen Altersdiskriminierung bei Einstellung mehr
22. Februar 2024
Bankrecht: Keine grobe Fahrlässigkeit – Call-ID Spoofing bei der Autorisierung digitaler Karten mehr
21. Februar 2024
Gesellschaftsrecht: Stimmrechtsausschluss des herrschenden Unternehmens bei Interessenskonflikt mehr
21. Februar 2024
Leaders League: Beste Anwaltskanzleien 2024 - Arbeitsrecht und Versicherungsrecht mehr
20. Februar 2024
BGH zu Anforderungen an die Beweislast: Keine Produkthaftung für Bruch eines Keramikinlays in Hüftprothese mehr
19. Februar 2024
Arbeitsrecht: Arbeitgeberkündigung nach Kirchenaustritt europarechtlich zulässig? mehr
16. Februar 2024
Legal 500 Deutschland 2024 - FGvW erneut Führende Kanzlei mehr
16. Februar 2024
Gesellschaftsrecht: Reichweite des Stimmverbots bei der Beschlussfassung in der GmbH mehr
15. Februar 2024
FGvW berät beim Verkauf der SD GmbH an die PGI Sanierung GmbH (SV SparkassenVersicherung Gebäudeversicherung AG) mehr
13. Februar 2024
Arbeitsrecht: Betriebsverfassungsrechtlicher Schulungsanspruch – Kosten für Präsenzveranstaltungen bei Webinar-Alternative mehr
12. Februar 2024
Bankrecht: Betrugsfälle im Online-Banking – Updates aus Rechtsprechung und Gesetzgebung mehr
9. Februar 2024
Gesellschaftsrecht: Investitionskontrolle seit 1. Januar 2024 gebührenpflichtig mehr
8. Februar 2024
Arbeitsrecht: Fristlose Kündigung wegen vorsätzlicher Low-Performance mehr
6. Februar 2024
Gesellschaftsrecht: Haftung der Gesellschafter für Kosten des Insolvenzverfahrens mehr
5. Februar 2024
Arbeitsrecht: Auslegung einer Stellenausschreibung im Hinblick auf Altersdiskriminierung mehr
1. Februar 2024
Büroeröffnung in Hamburg mehr
1. Februar 2024
Bankrecht: Kein Anscheinsbeweis nach § 675w BGB – Gefährdungsrisiko pushTAN-Verfahren mehr
30. Januar 2024
Gesellschaftsrecht: GmbH-Gesellschafterliste – Wissenserklärung und nicht vertretbare Handlung mehr
29. Januar 2024
Arbeitsrecht: Betriebsrat kann Ausstattung mit Tablets oder Notebooks verlangen mehr
25. Januar 2024
Bankrecht: Risiken der Standard-Kontovollmacht für Mitarbeitende in Unternehmen bei Betrugsfällen mehr
24. Januar 2024
Gesellschaftsrecht: Zum Widerspruchsrecht von GmbH-Geschäftsführern untereinander mehr
22. Januar 2024
Arbeitsrecht: Das Schwenken eines Filetiermessers als wichtiger Grund für eine außerordentliche Kündigung? mehr
18. Januar 2024
Gesellschaftsrecht: Ordnungsmittel gegen Geschäftsführer wegen Verstoßes gegen einen Unterlassungstitel? mehr
18. Januar 2024
Arbeitsrecht: Betriebsstilllegung und Restarbeiten – Achtung, Sozialauswahl! mehr
17. Januar 2024
Gesellschaftsrecht: Zur (Un-)Wirksamkeit nachvertraglicher Wettbewerbsverbote mehr
16. Januar 2024
Arbeitsrecht: Steht mit einer ärztlichen Arbeitsunfähigkeitsbescheinigung in jedem Fall fest, dass Entgeltfortzahlung zu leisten ist? mehr
15. Januar 2024
FGvW baut den Bereich Projekte/Maschinen- und Anlagenbau weiter aus – Marco Becker kommt als neuer Local Partner nach Köln mehr
15. Januar 2024
Arbeitsrecht: Arbeitnehmer muss Leasingraten für Dienstrad im Zeitraum ohne Entgeltzahlung tragen mehr
12. Januar 2024
Medizinprodukterecht: Stehen Änderungen der MDR an? mehr
12. Januar 2024
FGvW berät Insurtech-Anbieter Rocket Enterprise Solutions beim Verkauf an Verisk mehr
10. Januar 2024
Gesellschaftsrecht: Ausschließung eines Gesellschafters einer Zwei-Personen-GmbH mehr
9. Januar 2024
Arbeitsrecht: Anfechtung einer Betriebsratswahl mehr
29. Dezember 2023
Rechtliche Neuerungen 2024 mehr
27. Dezember 2023
Arbeitsrecht: Massenentlassungsanszeige mehr
21. Dezember 2023
FGvW ernennt zum 01.01.2024 zwei neue Partner und eine Local Partnerin mehr
20. Dezember 2023
Arbeitsrecht: Mehrurlaub wegen Corona-Quarantäne mehr
19. Dezember 2023
Vorstellung: Lukas Reichenbach mehr
18. Dezember 2023
Arbeitsrecht: Zugang einer als „Einwurf-Einschreiben“ versandten Kündigung mehr
13. Dezember 2023
Arbeitsrecht: Keine Entschädigung für verspätete und unvollständige Auskunft gemäß Art. 15 DSGVO mehr
8. Dezember 2023
Gesellschaftsrecht: Firmenbestandteil „Institut“ nicht mehr per se unzulässig mehr
7. Dezember 2023
Arbeitsrecht: Arbeitszeugnis muss mit Briefkopf des Arbeitgebers ausgestaltet sein mehr
6. Dezember 2023
Arbeitsrecht: Zustimmungsersetzungsverfahren und Eingruppierung mehr
6. Dezember 2023
Versicherungsrecht: Beweislast im D&O-Direktprozess mehr
5. Dezember 2023
Gesellschaftsrecht: Wann wird ein Nachtragsliquidator bestellt? mehr
4. Dezember 2023
Arbeitsrecht: Kündigung in der Probezeit aufgrund unberechtigter gesundheitlicher Eignungsuntersuchung unzulässig mehr

Freischaltcode des pushTAN-Verfahrens als personalisiertes Sicherheitsmerkmal i.S.d. § 675l Abs. 1 S. 1 BGB

Sachverhalt

Entscheidungsgründe

Für die Praxis

25. April 2024

24. April 2024

23. April 2024

22. April 2024

19. April 2024

18. April 2024

17. April 2024

16. April 2024

11. April 2024

10. April 2024

9. April 2024

8. April 2024

4. April 2024

3. April 2024

28. März 2024

28. März 2024

27. März 2024

26. März 2024

25. März 2024

25. März 2024

21. März 2024

20. März 2024

19. März 2024

18. März 2024

15. März 2024

13. März 2024

12. März 2024

12. März 2024

11. März 2024

8. März 2024

7. März 2024

6. März 2024

5. März 2024

4. März 2024

1. März 2024

1. März 2024

29. Februar 2024

28. Februar 2024

27. Februar 2024

26. Februar 2024

22. Februar 2024

21. Februar 2024

21. Februar 2024

20. Februar 2024

19. Februar 2024

16. Februar 2024

16. Februar 2024

15. Februar 2024

13. Februar 2024

12. Februar 2024

9. Februar 2024

8. Februar 2024

6. Februar 2024

5. Februar 2024

1. Februar 2024

1. Februar 2024

30. Januar 2024

29. Januar 2024

25. Januar 2024

24. Januar 2024

22. Januar 2024

18. Januar 2024

18. Januar 2024

17. Januar 2024

16. Januar 2024

15. Januar 2024

15. Januar 2024

12. Januar 2024

12. Januar 2024

10. Januar 2024

9. Januar 2024

29. Dezember 2023

27. Dezember 2023

21. Dezember 2023

20. Dezember 2023

19. Dezember 2023