Der Fall eines Bankkunden aus Lübeck verdeutlicht die weitreichenden Konsequenzen unbedachter Handlungen im Online-Banking. Nach mehreren Telefonanrufen eines vermeintlichen Bankmitarbeiters folgte der Bankkunde den Anweisungen und öffnete eine ihm diktierte Webadresse. Der angebliche Bankmitarbeiter kündigte die Zusendung eines Links per SMS an, welcher anschließend in eine Eingabemaske eingetragen werden sollte.
Die erhaltene SMS enthielt einen Link zur vermeintlichen Einrichtung einer PushTAN-App. Trotz des eindeutigen Warnhinweises in der Nachricht, dass diese Information nicht an Dritte weitergegeben werden dürfe und kein Mitarbeiter nach diesen Daten fragen würde, folgte der Kunde den telefonischen Anweisungen. Nach Eingabe des Links erschien lediglich die Mitteilung einer erfolgreichen AGB-Aktualisierung. Tatsächlich handelte es sich bei dem Link um einen Registrierungscode für ein mobiles TAN-Verfahren.
In den folgenden Tagen wurden unauthorisierte Abbuchungen in Höhe von etwa 10.000 Euro vom Konto des Bankkunden getätigt. Nach Entdeckung der Abbuchungen veranlasste der Kunde umgehend eine Kontosperrung und forderte von seiner Bank die Erstattung des abgebuchten Betrages. Die Bank lehnte diese Forderung mit der Begründung ab, der Kunde habe seine Sorgfaltspflichten in grob fahrlässiger Weise missachtet.
Die rechtliche Bewertung des Falls zeigt, dass Banken grundsätzlich unauthorisierte Abbuchungen erstatten müssen. Diese Erstattungspflicht entfällt jedoch bei grob fahrlässigem Verhalten des Kontoinhabers. Eine grobe Fahrlässigkeit liegt vor, wenn grundlegende Sicherheitsvorkehrungen missachtet werden, die für jeden vernünftig denkenden Menschen erkennbar gewesen wären.
Die Weitergabe sensibler Bankzugangsdaten an Dritte, besonders nach telefonischer Aufforderung durch Unbekannte, stellt eine solche grobe Fahrlässigkeit dar. Dies gilt insbesondere dann, wenn der Bankkunde eindeutige Warnhinweise ignoriert. Die Bank kann in solchen Fällen die Erstattung verweigern oder bereits erstattete Beträge zurückfordern.
Im vorliegenden Fall hätten mehrere Warnzeichen den Bankkunden stutzig machen müssen. Zunächst erfolgten die Anrufe in kurzer zeitlicher Abfolge und mit zunehmender Dringlichkeit. Dies ist bereits ein typisches Merkmal betrügerischer Anrufe, die darauf abzielen, den Angerufenen unter Druck zu setzen und zu übereilten Handlungen zu bewegen. Auch das Diktieren einer Webadresse stellt ein verdächtiges Verhalten dar, da seriöse Bankmitarbeiter üblicherweise auf die bekannte Internetpräsenz der Bank verweisen würden.
Der entscheidende Punkt war jedoch der explizite Warnhinweis in der SMS, dass kein Mitarbeiter nach diesen Daten fragen würde. Dieser unmissverständliche Hinweis hätte spätestens zu diesem Zeitpunkt alle Alarmglocken läuten lassen müssen. Die Kombination aus der telefonischen Aufforderung zur Dateneingabe und dem gegenteiligen Warnhinweis in der SMS stellte einen offensichtlichen Widerspruch dar, der bei sorgfältiger Prüfung aufgefallen wäre.
Die Vorgehensweise der Betrüger zeigt deren professionelle Strategie: Sie nutzen eine Mischung aus technischer Manipulation und psychologischer Beeinflussung. Der vermeintliche Bezug zu einer AGB-Aktualisierung sollte dabei Seriosität vermitteln und von der eigentlichen Registrierung des mobilen TAN-Verfahrens ablenken.
Urteil des Landgericht Lübeck vom 1.12.2023; AZ – O 153/23 –
Foto: Jearu