Mit einem Urteil, das die Gemüter bewegt, hat das Landgericht Köln die Sparkasse Köln Bonn zur Zahlung von 9.933,38 EUR an einen Kunden verdonnert, der Opfer von Kriminellen wurde, die sein Girokonto geplündert hatten.
Der Kunde der Sparkasse nutzte für die Freigabe seiner Zahlungsaufträge im Online-Banking das s-pushTAN-Verfahren, bei dem man einen roten Balken nach rechts wischt. Im September 2023 wurde er unter der Nummer der Sparkasse Köln Bonn kontaktiert. Der Anrufer, getarnt als ein vermeintlicher Helfer in der Not, informierte den Kunden über angebliche Betrugsfälle und eine vorsorgliche Sperrung seines Kontos. Unter dem Anschein der Harmlosigkeit wurde der Kunde gebeten, die Wiederfreischaltung seines Kontos durch Wischen in seiner pushTAN-App zu bestätigen. Was er jedoch unwissentlich freigab, war die Registrierung seiner Debitkarte für Apple Pay auf dem Handy der Täter, die daraufhin ungestört einkauften.
Rechtlich gilt dazu Folgendes: Wenn Dritte unbefugt auf ein Konto zugreifen, muss die Bank gemäß § 675u BGB den Betrag sofort wieder gutgeschreiben. Allerdings entfällt dieser Schutz, wenn grobe Fahrlässigkeit des Kunden bei der Handhabung seiner Log-In-Daten oder pushTANs im Spiel ist. Im vorliegenden Fall konnte – wie eigentlich immer – nicht nachgewiesen werden, wie die Täter an die Daten für das Log-In ins Online-Banking gelangt waren. Entscheidend war daher, ob dem Kunden grobe Fahrlässigkeit vorzuwerfen war, weil er den betrügerischen Anruf nicht durchschaute und die falsche pushTAN nicht erkannte.
Das Urteil des Landgerichts Köln entschied zugunsten des Kunden: Da die Täter die Telefonnummer der Sparkasse fälschten, konnte der Kunde nicht erkennen, dass der Anruf betrügerischer Natur war. Auch wurde ihm keine grobe Fahrlässigkeit vorgeworfen, da der Verwendungszweck der pushTAN „Registrierung Karte“ nicht eindeutig genug war, um die Täuschung zu durchschauen. Es wäre der Sparkasse ein Leichtes gewesen, den Verwendungszweck der PushTAN eindeutiger anzugeben, wie z.B. „Freischaltung der Debitkarte für Apple Pay“. Dann wäre dem Bankkunden mit Sicherheit aufgefallen, dass etwas nicht stimmt.
Für alle, die ähnliche Nöte erleben, ist jedes Phishing-Szenario einzigartig und erfordert eine individuelle Bewertung, ob grobe Fahrlässigkeit vorliegt. Je raffinierter die Kriminellen vorgehen, desto weniger liegt eine grobe Fahrlässigkeit vor. Betroffene sollten daher nicht vorschnell aufgeben, sondern sich rechtlichen Beistand holen, um ihre Situation zu klären.