Erst mit einer TAN wird ein Zugriff im Online Banking möglich. Wer allzu sorglos damit umgeht, bleibt auf dem Schaden sitzen, wenn es durch sog. Phishing zu Überweisung an einen unberechtigten Empfänger kommt. Wird einem vermeintlichen Bankmitarbeiter bei Anruf eine solche TAN mitteilt handelt der Kontoinhaber grob fahrlässig und kann von der Bank nicht den entstandenen Schaden ersetzt verlangen (Amtsgericht München, Urteil vom 05.01.2017 – 132 C 49/15).
Vorsicht bei E-Mail-Mitteilungen der eigenen Bank
Ein Ehepaar unterhielt ein Girokonto bei der HypoVereinsbank und nutzte die Möglichkeit des Online Banking. Am 12.05.2014 erhielt die Ehefrau eine Phishing-E-Mail, die als Absender „HypoVereinsbank [mailto:direct-b@hypovereinsbank]“ auswies und mitteilte, dass der Zugang zum „Direct B@nking“ bald ablaufe, sofern die Synchronität der SEPA-Umstellung im Zugang nicht aktualisiert werde. Es wurde aufgefordert, auf einen Link zur manuellen Aktualisierung des Zugangs zu klicken. Die Ehefrau klickte auf diesen Link und gab dort ihren Namen, ihre Kontonummer sowie ihre Festnetznummer an.
Am 13.05.2014 rief eine weibliche Person die Ehefrau des Klägers an und gab sich als Mitarbeiterin der Bank aus. Von dieser wurde die Ehefrau gebeten, sich Nummern zu notieren, und diese mit den Nummern zu vergleichen, die ihr sogleich in einer SMS mitgeteilt werden würden.
Falls die Buchstaben/Ziffern übereinstimmen würden, sollte sie die letzte Ziffernfolge in der SMS der Anruferin mitteilen. Nach Erhalt der SMS mit dem Inhalt „Die mobile TAN für Ihre Überweisung von 4.444,44 EUR auf das Konto (…) mit BIC (…) lautet: 253844“ teilte die Ehefrau die Ziffernfolge 253844 der Anruferin mit.
In der Folge wurde ein Betrag von 4.444,44 € auf das Konto (…) mit BIC (…) überwiesen. Die Ehefrau ließ das Konto am 18.05.2014 sperren und stellte am 19.05.2014 Strafanzeige gegen Unbekannt. Versuche, den Betrag von diesem Konto zurückzuerlangen, blieben ohne Erfolg. Da die Bank sich weigerte den Schaden zu setzen landete der Rechtsstreit schließlich vor Gericht.
Phishing-Schaden durch telefonische Weitergabe der TAN grob fahrlässig verursacht
Die Weitergabe der TAN im Telefongespräch begründet den Vorwurf der groben Fahrlässigkeit, so das Urteil. Beim mobilen TAN-Verfahren würde eine TAN stets für eine konkrete Aktion, vor allem für eine konkrete Überweisung erzeugt und per SMS auf das Mobiltelefon des Kunden verschickt.
Die SMS enthalte aber gerade nicht nur die TAN, sondern lautet wie hier: „Die mobile TAN für Ihre Überweisung von 4.444,44 € auf das Konto……“. Damit würde dem Kunden noch einmal vor Augen geführt, dass es sich nicht um eine beliebige TAN handelt, sondern auch, für welchen konkreten Vorgang diese TAN geschaffen worden sei, etwa für eine Überweisung und ferner, auf welches Konto und mit welchem Betrag diese Überweisung erfolgen solle.
Beachtet ein Kunde diese deutlichen Hinweise nicht und gibt die TAN sodann an einen Dritten weiter, der damit dann eine Überweisung durchführt, liegt hierin kein bloß einfach fahrlässiger Pflichtenverstoß mehr; denn in diesem Fall muss es im Allgemeinen jedem einleuchten, dass es sich um eine TAN handelt, deren Weitergabe nach § 675l BGB wie auch nach den vertraglichen Bedingungen nicht zulässig ist und die die Gefahr mit sich bringt, eine missbräuchliche Überweisung auszulösen, so das Gericht.