Onlinebanking gilt als sicher, solange sich die Kunden an die ordnungsgemäße Nutzung halten. Im Folgenden war eine eigentlich sichere Zwei-Faktor-Authentisierung, bei der ein online ausgelöster Auftrag auf einem anderen onlinefähigen Gerät bestätigt werden muss, durch einen dritten Faktor gestört: einen angeblichen Mitarbeiter am Telefon. Das Oberlandesgericht Braunschweig (OLG) musste entscheiden, ob der folglich entstandene Schaden erstattungsfähig war oder nicht.
Eine Frau hatte bei ihrer Bank ein Girokontomodell mit Online-Banking und dem sogenannten push-TAN-Verfahren gewählt. Bei diesem Verfahren wird die jeweilige Freigabe eines an einem onlinefähigen Gerät ausgelösten Bankingauftrags auf einem weiteren Gerät – Smartphone oder Tablet – per spezieller App erteilt. Dann jedoch erhielt die Bankkundin einen Anruf eines angeblichen Bankmitarbeiters, der von einem Versuch einer unberechtigten Kreditkartenanmeldung berichtete. Er forderte die Frau auf, das push-TAN-Verfahren durchzuführen, um die Kreditkartenanmeldung zu ihrem Konto zu löschen. Auf seine Anweisung hin wiederholte sie diesen Vorgang viermal. Er gab ihr anschließend die Auskunft, dass ihr Konto zur Sicherheit gesperrt werde, sie aber mit der EC-Karte weiterhin zahlen könne. Von dem Konto der Frau wurden schließlich mittels einer neu registrierten Kreditkarte insgesamt knapp 8.000 EUR abgebucht. Als die Bank die Regulierung des Schadens ablehnte, klagte die Frau – allerdings vergeblich.
Die Frau hatte nach Auffassung des OLG pflichtwidrig einen durch Dritte veranlassten Buchungsvorgang im Wege des push-TAN-Verfahrens freigegeben. Aus den Sicherheitshinweisen der Bank ergab sich jedoch eindeutig, dass Bankmitarbeiter am Telefon niemals dazu auffordern, eine TAN zu nennen oder einen Auftrag mit der push-TAN-App freizugeben. Die Frau hätte durch den Telefonanruf misstrauisch werden müssen.
Hinweis: Wer telefonisch eine geheime Nummer freigibt, muss sich nicht wundern, dass die Bank keinen Schadensersatz leisten muss. Sparkassen, Banken, Versicherungen und alle anderen Unternehmen rufen niemals an und verlangen die Preisgabe oder Verwendung von geheimen Informationen.
Quelle: OLG Braunschweig, Urt. v. 06.01.2025 – 4 U 439/23
| zum Thema: | Sonstiges |
(aus: Ausgabe 05/2025)
