LG Köln: Sparkasse muss Kunden Verluste durch Spoofing-Angriff erstatten

In seinem Beschluss vom 20.11.2023 (Az.: 22 O 43/23) verurteilte das Landgericht Köln die Sparkasse dazu, einem Kunden ca. 10.000 € zu erstatten, die von Betrügern als unautorisierte Zahlungen abgebucht worden waren. Der Kunde war Opfer eines Phishing-Angriffs mittels Call-ID Spoofing geworden. Bei dieser Methode wird im Telefondisplay die Nummer der Bank angezeigt, auch wenn der Anruf eigentlich von Betrügern durchgeführt wird.

Spoofing: Betrüger rufen unter der Nummer der Sparkasse an

Der Mann hatte bei der Sparkasse ein Privatgirokonto. Zur Nutzung des Online-Bankings verwendete er das sog. S-pushTAN-Verfahren als Authentifizierungsmethode. Am 23.09.2022 erhielt er einen Anruf, bei dem ihm die Telefonnummer der Sparkasse angezeigt wurde. Der Anrufer gab vor, ein Bankmitarbeiter zu sein, und fragte den Kunden, ob dieser in der vergangenen Woche von betrügerischen Anrufen oder verdächtigen Kontobewegungen betroffen gewesen sei. Als dieser das verneinte, erklärte ihm der vermeintliche Sparkassenmitarbeiter, dass er wegen aktueller Betrugsvorfälle das Konto und die Karte des Kunden vorsorglich gesperrt habe. Um das Konto wieder zu entsperren, sollte der Mann eine entsprechende Freigabe über die pushTAN-App durchführen. In der pushTAN-App erschien dann ein Auftrag mit dem Text „Registrierung Karte“, den der Bankkunde sofort freigab.

Tatsächlich bestätigte er mit dieser Freigabe aber eine durch die Betrüger initiierte Registrierung einer digitalen Version seiner Debitkarte auf einem fremden mobilen Endgerät. Zwischen dem 23.09.2022 und dem 25.09.2022 konnten die Täter so Zahlungen per ApplePay in Höhe von 14.000 € vornehmen. Nachdem der Betrug bemerkt wurde, erstattete die Sparkasse dem Kunden rund 4.000 €. Dieser forderte jedoch die Erstattung des gesamten Betrages. Das Landgericht Köln gab seiner Klage auf Ausgleich des Girokontos in Höhe des ausstehenden Betrages von ca. 10.000 € statt.

Bank ist zur Erstattung der Verluste verpflichtet

Die Sparkasse sei gemäß § 675u S. 2 BGB verpflichtet, dem Kunden die gesamten 14.000 Euro zurückzahlen, sofern der Betrag ohne dessen Autorisierung abgebucht wurde. Da die erfolgten Zahlungsvorgänge nicht durch den Kläger autorisiert worden waren, sei das hier der Fall, so die Richter. Beide Parteien waren sich einig, dass der Kläger die Zahlung der einzelnen Beträge über ApplePay nicht selbst freigegeben hatte. Aber auch durch seine ursprüngliche Freigabe über die App habe er die späteren Zahlungen nicht autorisiert, so das LG Köln.

Der Sparkasse stehe darüber hinaus auch kein Schadensersatzanspruch gegen den Kläger zu. Ein solcher bestehe nur, wenn der Bankkunde den Zahlungsvorgang, durch den der Schaden entstanden ist, in betrügerischer Absicht oder durch vorsätzliche bzw. grob fahrlässige Pflichtverletzung herbeigeführt habe. Eine grob fahrlässige Pflichtverletzung habe die Bank jedoch nicht nachweisen können.

Sparkasse konnte dem Kunden keine grobe Fahrlässigkeit nachweisen

Diese Einschätzung stützte das Gericht zum einen darauf, dass sich die Täter des sog. Call-ID Spoofings bedienten. Dem Kläger wurde bei dem betrügerischen Anruf also die Nummer der Bank angezeigt. Für einen langjährigen Bankkunden sei die Anzeige der ihm bekannten Telefonnummer mit besonderem Vertrauen verbunden. Auch dass dem Kläger der vermeintliche Mitarbeiter der Sparkasse nicht bekannt war, mache keinen verdächtigen Umstand aus.

Dass der Kläger nicht misstrauisch wurde, weil der Auftrag in der pushTAN-App mit „Registrierung Karte“ anstatt „Entsperrung Karte“ betitelt war, genügte dem LG Köln ebenfalls nicht, um eine grobe Fahrlässigkeit anzunehmen. Der Begriff „Registrierung“ sei so weit gefasst, dass der Kläger in einer derart angespannten Situation nicht hätte erkennen müssen, dass es sich dabei in Wahrheit um die Einrichtung eines neuen Zahlungssystems handelte, die er mit seiner Freigabe autorisierte. Vielmehr hätte die Sparkasse dem Kunden durch die Nutzung eines eindeutigeren Textes, z. B. mit einem Hinweis auf ApplePay, anzeigen können, was genau er mit dem Vorgang freigebe. Zwar wurde in der App vor der Freigabe der Hinweis angezeigt, man solle keinen Auftrag freigeben, den man nicht „explizit beauftragt“ habe. Allerdings habe der Kläger in dieser Situation davon ausgehen dürfen, dass ein von dem vermeintlichen Bankmitarbeiter erteilter Auftrag – nämlich Karte und Konto wieder zu entsperren – als Beauftragung zu werten sei.

Betrugsopfer sollten auf die Erstattung der Verluste bestehen

Banken werden in den meisten Fällen versuchen, die Erstattung der Verluste durch Betrugsmaschen an ihre Kunden vollumfänglich oder in Teilen zu vermeiden. Doch sofern sie dem Kunden keine betrügerische Absicht, vorsätzliche oder grob fahrlässige Pflichtverletzung nachweisen können, sind sie gemäß § 675u S. 2 BGB dazu verpflichtet, die Verluste durch unautorisierte Abbuchungen zu ersetzen. Wenn auch Sie Opfer einer Betrugsmasche geworden sind, Ihre Bank aber die Erstattung verweigert, kämpfen wir in der Anwaltskanzlei Lenné dafür, Ihre Ansprüche gegenüber dem Finanzinstitut durchzusetzen. Vereinbaren Sie einfach einen Termin für ein kostenloses Erstgespräch und lassen Sie sich unverbindlich von uns beraten.