Der Ehemann der Klägerin wollte am Samstag (06.01.2024) für seine Ehefrau und sich eine Reise im Internet buchen. Hierzu gab er auf einer Homepage „Check24“ die Daten der Kreditkarte seiner Ehefrau ein. Kurz darauf erschien eine Mitteilung, dass ein Betrag in Höhe von 318,99 Euro vorgemerkt sei, ehe weitere Mitteilungen über vergleichbare Vormerkungen erschienen. Die Ehefrau veranlasste noch am selben Abend telefonisch die Sperrung der Kreditkarte. Am Montag (08.01.2024) waren dennoch sechs unberechtigte Abbuchungen zu je 318,99 Euro für „Giftcards“ vom Konto der Klägerin erfolgt, insgesamt 1.953,29 Euro. Zur Autorisierung der Transaktionen fand das Mastercard 3D-Secure-Verfahren Anwendung. Zur Aktivierung dieses Verfahrens auf einem weiteren Gerät übersandte die beklagte Bank am 06.01.2024 eine SMS-TAN an die von der Klägerin bei der Beklagten hinterlegte Mobilfunknummer. Die an die Klägerin versandte SMS-TAN wurde dann auf dem weiteren mobilen Endgerät, auf dem auch die Banking-App freigeschaltet wurde, am 06.01.2024 eingegeben und damit das Secure-Verfahren aktiviert. Die Klägerin behauptete, dass sie diese Abbuchungen nicht autorisiert habe. Bei der Buchung sei sie nicht nach PIN oder Passwort gefragt worden, sie habe auch nirgendwo eine SMS-TAN eingegeben. Es sei nicht erkannt worden, dass es sich möglicherweise um eine Fake-Website handelte. Die beklagte Bank ging davon aus, dass die Frau die SMS-TAN an einen Dritten weitergegeben haben muss, da eine Freigabe der Buchungen anders technisch nicht möglich gewesen sei und verweigerte die Zahlung. Die Frau verklagte die Bank daraufhin auf Rückzahlung der 1.953,29 Euro.
Das Amtsgericht München wies die Klage jedoch ab (Az. 271 C 16677/24). Es sei zwar davon auszugehen, dass die Abbuchungen nicht von der Klägerin autorisiert waren, sondern von Dritten getätigt wurden. Aufgrund der Beweisaufnahme war das Gericht jedoch davon überzeugt, dass die Klägerin die SMS-TAN grob fahrlässig an Dritte weitergegeben haben muss, weshalb ein Schadensersatzanspruch der Bank gegen die Klägerin in gleicher Höhe bestehe, mit dem die Bank aufgerechnet habe. Der Vortrag der Beklagten, dass diese in ihren Systemen feststellen konnte, dass das Mastercard 3D-Secure-Verfahren per Banking-App für die Kreditkarte der Klägerin am 06.01.2024 um 13:30 Uhr aktiviert wurde, und zur Aktivierung dieses Verfahrens auf dem neuen Gerät eine SMS-TAN an die im Vertrag hinterlegte Mobilfunknummer der Klägerin versandt wurde, wurde durch Inaugenscheinnahme des Mobiltelefons der Klägerin bestätigt. Dort befand sich eine SMS vom 06.01.2024 13:29 Uhr mit dem Inhalt: „[…] ist Ihre TAN für die Aktivierung von Mastercard Identity Check vom 06.01.2024 13:44 Uhr.“ Der Eingang der SMS um 13:29 Uhr war im eingesehenen Nachrichtenverlauf um 13:29 Uhr dokumentiert und wird auch durch das als vorgelegte IT-Protokoll belegt. Der Vortrag der Klägerin, keine SMS-TAN erhalten zu haben und dass ihr Mobiltelefon nicht in die Freigabe involviert war, erwies sich damit als widerlegt.
Die Beklagte hatte vorgetragen, dass aufgrund der manuellen Eingabe einer an die Mobilfunknummer der Klägerin versandten SMS-TAN ein Fremdzugriff technisch ausgeschlossen ist. Es wurde ein neues Gerät im Online-Banking der Klägerin als Freigabeinstrument im Rahmen des Zwei-Faktor-Authentifizierungsverfahrens hinterlegt. Hierzu war – technisch zwingend – die Eingabe der SMS-TAN erforderlich. Die Klägerin habe damit zur Überzeugung des Gerichts durch Preisgabe der SMS-TAN Dritten eine Registrierung eines Geräts ermöglicht, wobei die Preisgabe persönlicher Sicherheitsmerkmale an Dritte gemäß den vertraglichen Bestimmungen untersagt war.
Das Verhalten der Klägerin sei als grob fahrlässig zu werten. Es sei eine Sache, wenn man seine Kreditkartendaten offenbare. Diese würden bei jeder Verwendung offenbart und könnten auch von der Karte abgelesen werden. Die Weitergabe eines im Rahmen einer Zwei-Faktor-Authentifizierung erhaltenen Zugangscodes könne jedoch nicht damit gleichgesetzt werden. Mit dieser Weitergabe helfe der Nutzer (Klägerin bzw. deren Ehemann) die Sicherheitsarchitektur grundlegend auszuhebeln. Es müsse jedem verständigen Nutzer solcher Kreditkarten klar sein, welches Risiko er mit der Weitergabe derartiger Daten schaffe. Die Klägerin mag dies nicht bewusst getan haben und es mag auch nicht erinnerlich sein. Indessen lasse sich der Vorgang plausibel nicht anders erklären.
Zurück zur ÜbersichtDie Fachnachrichten in der Infothek werden Ihnen von der Redaktion Steuern & Recht der DATEV eG zur Verfügung gestellt.
10713 Berlin
Die an dieser Stelle vorgesehenen Inhalte können aufgrund Ihrer aktuellen Cookie-Einstellungen nicht angezeigt werden.
Diese Webseite bietet möglicherweise Inhalte oder Funktionalitäten an, die von Drittanbietern eigenverantwortlich zur Verfügung gestellt werden. Diese Drittanbieter können eigene Cookies setzen, z.B. um die Nutzeraktivität zu verfolgen oder ihre Angebote zu personalisieren und zu optimieren.
Diese Webseite verwendet Cookies, um Besuchern ein optimales Nutzererlebnis zu bieten. Bestimmte Inhalte von Drittanbietern werden nur angezeigt, wenn die entsprechende Option aktiviert ist. Die Datenverarbeitung kann dann auch in einem Drittland erfolgen. Weitere Informationen hierzu in der Datenschutzerklärung.