Schaden durch Weitergabe eines E-Banking-Codes an einen Unbekannten
Mit der telefonischen Weitergabe eines TAC-Codes an einen unbekannten Dritten, der sich als Bankmitarbeiter ausgibt, verletzt der Bankkunde grob fahrlässig seine Sorgfaltspflichten.
Die Kläger sind Inhaber des beim beklagten Kreditinstitut eingerichteten Kontos. Seit 2005 nehmen sie am Electronic Banking der Beklagten teil, und zwar seit November 2013 in Form der von der Beklagten zur Verfügung gestellten TAC-SMS-Codes. Die TAC-Codes der Beklagten sind vierstellig und werden durch Übermittlung einer TAC-SMS zur Zeichnung der vom Kunden gewünschten Überweisung im Zuge des Überweisungsvorganges per netbanking auf das Handy des Kunden versendet. Diese TAC-SMS, die vom Server der Beklagten versendet werden, haben üblicherweise folgenden Inhalt: „Prüfen Sie die letzten 11 Stellen der IBAN und Betragssumme“. Diesem Hinweis folgen dann die letzten 11 Stellen der IBAN, der Überweisungsbetrag in Euro sowie der vierstellige TAC-Code, welcher ausdrücklich als „TAC“ bezeichnet wird.
Die Beklagte übermittelt immer wieder Warnungen an ihre Kunden über aktuell im Internet im Umlauf befindliche Trojaner und Phishing-Mails. Unter anderem enthielten diese Warnungen der Beklagten folgenden Inhalt: „Prüfen Sie IMMER die Inhalte ihrer TAC-SMS, bevor sie mit der TAC zeichnen – also bei einer Überweisung die Empfänger-IBAN und vor allem den Betrag !!!!“ Auch der Erstkläger hat derartige Warnungen der Beklagten erhalten und auch gelesen.
Eines Tages wurde der Erstkläger auf seinem Handy, dessen Telefonnummer im netbanking der Beklagten hinterlegt ist, von einer ihm unbekannten Telefonnummer von einer akzentfrei Deutsch sprechenden Frau angerufen. Diese gab sich als Angestellte der Beklagten aus und forderte ihn auf, ihr aufgrund einer notwendigen Datenaktualisierung den ihm soeben per SMS übermittelten Code bekanntzugeben. Während des laufenden Anrufes öffnete der Erstkläger das ihm soeben übermittelte TAC-SMS und gab der Anruferin den darin enthaltenen TAC-Code bekannt. Das an den Erstkläger im Zuge dieses Telefonats übermittelte TAC-SMS hatte den gleichen Inhalt, wie auch die sonst üblichen TAC-SMS der Beklagten. Insbesondere enthielt es die letzten 11 Stellen der IBAN jenes Kontos, auf das die Überweisung letztlich erfolgte, einen Überweisungsbetrag von 12.880 EUR und den vierstelligen TAC-Code. Noch am selben Tag wurde vom Konto der Kläger bei der Beklagten der Betrag von 12.880 EUR auf ein österreichisches Girokonto einer anderen Kreditanstalt der unbekannten Betrüger überwiesen.
Die Betrüger hatten sich zuvor entweder durch Installieren eines Schadprogramms auf eines der IT-Systeme des Erstklägers oder durch einen Phishing-Angriff Zugriff auf das System des Erstklägers verschafft und damit dessen Zugangsdaten erhalten. Die Betrüger konnten sich somit in der Folge im netbanking-Portal des Erstklägers mit dessen Zugangsdaten anmelden und eine Überweisung erstellen.
Am 14. 10. 2015 gab der Kläger über einen weiteren Anruf von derselben Telefonnummer wiederum einen TAC-Code, der ihm auf sein Handy geschickt worden war, bekannt. Zu einer entsprechende Überweisung von 4.800 EUR auf ein spanisches Konto kam es aber nicht, weil ein Mitarbeiter der Beklagten Verdacht schöpfte und mit dem Erstkläger telefonisch in Kontakt trat.
Die Vorinstanzen kamen übereinstimmend zu dem Ergebnis, dass die Kläger diesen Schaden letztlich selbst zu tragen haben und wiesen das gegen die Bank gerichtete Zahlungsbegehren der Kläger ab. Der Erstkläger habe grob fahrlässig seine Sorgfaltspflicht, alle ihm zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale und das Zahlungsinstrument vor einem unbefugten Zugriff zu schützen, verletzt.
Der Oberste Gerichtshof bestätigte die Entscheidung des Berufungsgerichts. Ausgehend von einem maßgerechten Durchschnittsonlinebanker, der einem unbekannten Dritten die Sicherheitsmerkmale nicht mitteilen werde, weil er sich bewusst sei, dass die Weitergabe von personalisierten Sicherheitsmerkmalen an unbekannte Dritte mit der Gefahr einer missbräuchlichen Verwendung des damit verknüpften Bankkontos durch Betrüger verbunden sei, sei die rechtliche Beurteilung des Berufungsgerichts nicht weiter korrekturbedürftig. Dass die telefonische Weitergabe eines TAC-Codes an eine unbekannte Person einen durch Betrug hervorgerufenen Schadenseintritt nicht bloß möglich, sondern geradezu wahrscheinlich mache, müsse jeder mit dem Electronic Banking vertrauten Person alleine schon aus der medialen Berichterstattung und den zahlreichen, insbesondere im Bankenbereich üblichen Warnungen bewusst sein. Schon bei einem bloß kurzen Überfliegen des SMS hätte der Erstkläger leicht erkennen können, dass es sich nicht um eine – wie telefonisch angekündigt – Datenaktualisierung handelte, sondern um eine Überweisung (Zahlungsfreigabe) eines Betrags von 12.880 EUR von seinem Konto.