Haftung des Konto-Inhabers bei Phishing-Mails

Amtsgericht Frankfurt_aM

Urteil v. 24.03.2016 - Az.: 32 C 3377/15 (72)

Leitsatz

Haftung des Konto-Inhabers bei Phishing-Mails

Tenor

In dem Rechtsstreit (...) hat das Amtsgericht Frankfurt am Main durch (...) für Recht erkannt:
 
Die Klage wird abgewiesen.

Die Kosten des Rechtsstreits hat die Klägerin zu tragen.

Das Urteil ist vorläufig vollstreckbar. Der Klägerin wird nachgelassen, die Vollstreckung durch Sicherheitsleistung in Höhe von 120 Prozent des aufgrund des Urteils vollstreckbaren Betrages abzuwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in Höhe von 120 Prozent des jeweils zu vollstreckenden Betrages leistet.

Sachverhalt

Die Klägerin macht gegen das beklagte Kreditinstitut Ansprüche aus ungerechtfertigter Bereicherung aufgrund von Belastungen des Bankkontos der Klägerin durch die Beklagte in Folge eines Telefonbanking-Auftrags geltend.

Die Klägerin unterhielt bei der Beklagten das Girokonto Nr. (...), welches für das Onlinebankingverfahren und das Telefonbankingverfahren freigeschaltet gewesen war. Der Verfügungshöchstbetrag für das Telefonbanking belief sich auf 10.000,00 EUR.

Seit dem 02.06.2006 erteilte die Klägerin der Beklagten mehr als 40 Überweisungsaufträge per Online-Banking, zuletzt am 08.12.2013. Die Beklagte hatte der Klägerin für dieses Konto einen
Überziehungskredit über 4.000,00 EUR eingeräumt. Die Klägerin überzog ihr Konto in den Jahren 2010 bis 2012 drei Mal jeweils für wenige Tage mit Beträgen von maximal 478,00 EUR.

Am 29.01.2014 erhielt die Klägerin eine Email, welche die Absenderkennung (...) enthielt und mit dem Logo der Beklagten versehen war. In dieser Email wurde mitgeteilt, dass das System festgestellt habe, dass die Telefonbanking-PIN aus Sicherheitsgründen geändert werden müsse, und die Klägerin gebeten werde, unter Benutzung dieses Formulars ihre Telefonbanking-PIN kostenfrei zu ändern.

Ausweislich der Email könne die Klägerin ihre PIN durch Öffnen der Datei in dem Emailanhang, Ausfüllen der Daten und Absenden der Daten ändern. Andernfalls wurde angekündigt, dass das Konto mit 14,99
EUR belastet werden und die Änderung schriftlich über den Postweg eingefordert werden würde. Entsprechend der in der Email enthaltenen Anweisungen änderte die Klägerin in der Annahme, die Email vom 29.01.2014 stamme von der Beklagten, ihre Telefonbanking-PIN.

Auf eine telefonische Auftragserteilung im Wege des Telefonbankings vom 03.02.2014, bei der die richtige Kontonummer mit der richtigen Telefon-Banking-PIN bei dem Sprachcomputer der Beklagten angemeldet worden ist, führte die Beklagte am 03.02.2014 entsprechend des telefonisch erteilten Auftrags vom Girokonto der Klägerin eine Überweisung in Höhe von 4.900,00 EUR an den Empfänger (...)    aus.

Das klägerische Girokonto wies zu diesem Zeitpunkt ein Guthaben in Höhe von 1.884,86 EUR auf. Auf das klägerische Schreien vom 09.02.2014 teilte die Beklagte mit Schreiben vom 13.02.2014 mit, dass der Empfänger bereits über den überwiesenen Betrag verfügt habe, so dass der Empfängerbank eine Erstattung nicht möglich sei. Auf den Widerspruch der Klägerin vom 28.04.2014 führte die Beklagte mit Schreiben vom 21.05.2014 aus, dass sie das Verhalten der Klägerin als grob fahrlässig einstufe und daher den Betrag nicht erstatten könne. Auch auf die anwaltliche Zahlungsaufforderung vom 17.03.2015 verweigerte die Beklagte eine Rückerstattung.

Die Klägerin ist der Auffassung, ihr sei allenfalls leicht fahrlässiges Handeln vorzuwerfen. Die Klägerin behauptet, hinreichende Warnhinweise seien seitens der Beklagten nicht erteilt worden. Die Klägerin ist ferner der Auffassung, dass die Beklagte die Überweisung ferner jedenfalls nur in Höhe des am Überweisungstage verfügbaren Guthabenbefrags hätte ausführen dürfen, da die Beklagte der Einräumung eines Überziehungskredits nicht zugestimmt habe.

Die Klägerin beantragt,

1. die Beklagte zu verurteilen, das bei ihr geführte Zahlungskonto der Klägerin mit der Konto-Nr. (...) wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung des nicht autorisierten Zahlungsvorgangs vom 03.02.2014 befunden hätte, mithin 4.750,00 EUR zzgl. Zinsen hieraus in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit dem 31.03.2015 zu bezahlen;
2. die Beklagte zu verurteilen, der Klägerin die außergerichtlichen Anwalts.kos-ten in Höhe von 492,54 EUR nebst Zinsen hieraus in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit Rechtshängigkeit zu bezahlen.

Die Beklagte beantragt, die Klage abzuweisen.

Die Beklagte behauptet, seit dem 26.03.2013 sei auf der Einlogseite für das Online-Banking ein sich auf die Telefonbanking-PIN beziehender Sicherheitshinweis, welcher vor Betrügern warne, eingestellt gewesen. Mittels eines Links seien ferner weiteren Sicherheitshinweise, welche vor Phishing-Mails warnen, auf der Sicherheitenhinweisseite erreichbar gewesen. Die Beklagte ist der Auffassung, die Klägerin habe mittels der Offenbarung ihrer Telefonbanking-PIN auf die am 29.01.2014 erhaltene Email grob fahrlässig gehandelt.

Das Gericht hat aufgrund des Beweisbeschlusses vom 04.12.2015 (Bl. 191 f. d.A.) Beweis erhoben durch Vernehmung der Zeugen (...). Hinsichtlich des Ergebnisses der Beweisaufnahme wird auf das Protokoll der mündlichen Verhandlung und Beweisaufnahme vom 17.03.2016 (Bl. 218 ff. d.A.) verwiesen. Im Hinblick auf die weiteren Einzelheiten des Sach- und Streitstandes wird ergänzend auf die gewechselten Schriftsätze der Parteien nebst Anlagen, auf das Protokoll der mündlichen Verhandlung vom 03.11.2015 (Bl. 160 f. d.A.) und auf die sonstigen Aktenbestandteile Bezug genommen.

Entscheidungsgründe

Die zulässige Klage ist unbegründet.

I.
Der Klägerin stehen keine durchsetzbaren Ansprüche gegen die Beklagte auf Gutschrift oder Rückerstattung des am 03.02.2014 abgebuchten Betrages aus § 675u Satz 2 BGB i.V.m. § 675j Abs. 1 BGB zu.

Einem aus einer nicht autorisierten Überweisung begründeten Erstattungs- bzw. Gutschriftenanspruch der Klägerin kann die Beklagten ein Schadensersatzanspruch aus § 675v Abs. 2 Nr. 1 BGB i.V.m. § 675 I BGB in selbiger Höhe gemäß des Grundsatzes „dolo agit qui petit quod statim redditurus est" mit der Folge entgegen halten, dass die Beklagte gemäß § 242 BGB berechtigt ist, die Rückerstattung des abgebuchten Betrages zu, verweigern.

1.
Gemäß § 675v Abs. 2 BGB ist der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn er ihn in betrügerischer Absicht ermöglicht hat oder durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehrere Pflichten gemäß § 6751 BGB oder einer oder Mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsauthentifizierungsintruments.

Nach § 6751 Satz 1 BGB ist der Zahler verpflichtet, unmittelbar nach Erhalt eines Zahlungsauthentifizierungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Grob fahrlässig handelt, wer die im Verkehr erforderliche Sorgfalt in ungewöhnlich hohem Mäße verletzt, indem beispielsweise ganz nahe liegende Überlegungen nicht angestellt oder beiseite geschoben werden und dasjenige unbeachtet bleibt, was im gegebenen Fall jedem hätte einleuchten müssen (BGH, Urteil vom 18.11.2004, VI ZR 141/13, juris).

Dabei orientiert sich die im Verkehr erforderliche Sorgfalt daran, was von einem durchschnittlichen Angehörigen des jeweiligen Verkehrskreises in der jeweiligen Situation erwartet werden kann (BGH, Urteil vom 11.04.2000 - X ZR 19/98, juris).

Das Gericht ist unter Berücksichtigung des Ergebnisses der Beweisaufnahme in hinreichendem Maße gemäß § 286 ZPO überzeugt, dass die Klägerin die nicht autorisierte Überweisung vom 03.02.2014 in Höhe von 4.900,00 EUR durch grob fahrlässige Verletzung ihrer sich aus § 675l Satz 1 BGB ergebenden Pflichten herbeigeführt hat.

Die Klägerin hat auf die Email vom 29.01.2014 ihre Telefonbahking-PIN online an einen unbefugten Dritten weitergegeben und diesem damit die Erteilung des unautorisierten Überweisungsauftrags im Rahmen des Telefonbankings unter Mitteilung der richtigen Kontodaten und insbesondere der Telefonbanking-PIN ermöglicht. Diese Weitergabe sicherheitsrelevanter Daten stellt eine grob fahrlässige Pflichtverletzung dar. Zwar ist der Klägerin zuzugestehen, dass die Email vom 29.01.2014 aufgrund des ersichtlichen Absenders sowie der Gestaltung nach dem allerersten Anschein einen professionellen Eindruck erweckt.

Ungeachtet des bei näherer Inaugenscheinnahme auffälligen Fehlens einer persönlichen Anrede sowie eines konkreten Sachbearbeiters und bei einem Anschreiben eines Kreditinstituts nicht zu erwartender sprachlicher Mängel („die Änderung [...] zu ändern") nebst Zeichensetzungsfehlern muss es jedoch einem durchschnittlichen und regelmäßigen Verwender der Onlinebanking-Funktionen einer Bank wie der Klägerin, welche das Onlinebanking-Verfahren seit Jahren genutzt hat, bekannt sein, dass im Internet Kriminelle versuchen, mittels der Versendung von Emails an sensible Daten Dritter zu gelangen.

Der Klägerin hätte überdies bekannt sein müssen, dass seit Jahren vor Januar 2014 in sämtlichen Medien regelmäßig von Phishing-Attacken berichtet wird, mit denen meist unbekannt bleibende Täter durch Emails versuchen, Kunden von Banken zur Eingabe von sensiblen Daten, insbesondere zur Eingabe einer PIN, zu bewegen (vgl. OLG Hamm, Beschluss vom 16.02.2015 - I-31 U 31/15, 31 U 31/15, juris; LG Essen, Urteil vom 04.12.2014 - 6 O 339/14, juris).

Die bloße Anfrage zur Mitteilung sensibler Daten mittels einer an die Emailadresse der Klägerin gerichteten Email sowie die Aufforderung zur Mitteilung sicherheitsrelevanter Daten außerhalb der besonders geschützten Kommunikationswege, mithin ohne Vornahme des Einlog-Vorgangs in den Onlinebanking-Account, mussten der Klägerin daher bereits äußerst verdächtig erscheinen. Besonderen Anlass, Verdacht zu schöpfen, ergab sich vorliegend ferner aus dem Umstand, dass die Klägerin ausweislich der Email vom 29.01.2014 nicht nur ihre Telefon-Banking-PIN, sondern weitere Daten in den der Email beigefügten Emailanhang eingeben und versenden musste. Bereits aufgrund dessen stellt sich die klägerseits vorgenommene Weitergabe sicherheitsrelevanter Daten einschließlich der Telefonbanking-PIN außerhalb geschützter Kommunikationswege auf eine bloße Emailanweisung besonders hoher Sorgfaltspflichtverstoß und damit als grob fahrlässig dar.

Ungeachet dessen hätte es der Klägerin in dieser Situation jedenfalls oblegen, sich vor einem Befolgen der in der Mail vom 29.01.2014 enthaltenen Anweisungen telefonisch oder auf der Homepage der Beklagten nach der Authentizität bzw. etwaigen Warnhinweisen zu erkundigen. Bei der Einsichtnahme der von der Beklagten auf ihrer Homepage geschalteten Sicherheitshinweisseite, welche sowohl über die Einlog-Seite des Online-Bankings als auch über die allgemeine Homepage (...) mittels eines Links erreichbar gewesen ist, wäre die Klägerin sodann unmittelbar auf konkrete Warnungen der Beklagten vor Phishing-Mails und den Erhalt der Telefon-Banking-PIN ersuchender Betrüger gestoßen.

Ausweislich der Aussagen der Zeugen (...) waren bereits vor dem 29.01.2014 - jedenfalls ab dem Jahre 2013 - ständig auf der allgemeinen Sicherheitshinweisseite der Beklagten an prominenter
Stelle, mithin entweder als aktuellster Hinweis oder an der nächsten Position, Warnhinweise vor Phishing-Mails eingestellt. Bei der Bewertung der Aussagen der Zeugen (...) als glaubhaft verkennt das Gericht deren Nähebeziehung zu der Beklagten als deren Mitarbeiter in der Online-Redaktion bzw. der Sicherheitsabteilung nicht.

Nach dem von den Zeugen jeweils persönlich gewonnenen Eindruck sowie der Umstände, dass deren Angaben nicht den Eindruck einer Abstimmung ergaben, diese in Übereinstimmung mit den teilweise mit Jahresangaben versehen vorgelegten Sicherheitshinweisen standen und seitens der Zeugen Unsicherheiten in der Erinnerung freimütig zugestanden worden sind, ist das Gericht jedoch von deren Glaubwürdigkeit überzeugt.

Eine grob fahrlässige Pflichtverletzung i.S.d. § 675l BGB stellt damit auch die Weitergabe der sensiblen Daten einschließlich der Telefonbanking-PIN ohne weitere Erkundigungen auf der Homepage der Beklagten dar, mittels der der Klägerin die Warnungen vor Phishing-Mails nochmals vor Augen geführt worden wären. Ungeachtet dessen ist das Gericht aufgrund der Aussage des Zeugen (...) überzeugt, dass zum Jahresende 2013 bereits auf der Login-Seite für das Online-Banking ein aktueller Warnhinweis, welcher jedenfalls das Direktbanking betroffen hat, verfügbar gewesen ist, den die Klägerin jedenfalls bei ihrem letzten Einlogvorgang am 08.12.2013 hätte wahrnehmen müssen und der auch - sofern er eine andere Betrugsvariante betroffen haben sollte - Anlass zu weiteren Nachforschungen gegeben hätte.

Auch aus der Nichtbeachtung solch eines vor Betrugsversuchen im Direktbanking warnenden Hinweises folgt ein grob fahrlässiges Vorgehen der Klägerin.

Fehl geht der Hinweis der Klägerin, dass das Telefonbanking und nicht das von der Klägerin regelmäßig genutzte Onlinebanking betroffen gewesen sei, da sich die Pflichtverletzung der
Klägerin nicht aus einer fehlerhaften Verwendung des Telefonbankings, sondern aus der Preisgabe der das Telefonbanking betreffenden sicherheitsrelevanten Daten ergibt.

2.
Der Schadenersatzanspruch der Beklagten, die diese einem RückZahlungsanspruch der Klägerin entgegenzuhalten berechtigt ist, ist nicht auf den am 03.02.2014 auf dem Girokonto der Klägerin verfügbaren Guthabenbetrag in Höhe von 1.884,86 EUR beschränkt. Ein Mitverschulden der Beklagten gemäß § 254 Abs. 1 BGB hinsichtlich der Ausführung des darüber hinausgehenden Überweisungsbetrages liegt nicht vor. Die Beklagte hatte der Klägerin einen Überziehungsmöglichkeit i.S.d. § 504 Abs. 1 BGB in Höhe von 4.000,00 EUR für deren Girokonto eingeräumt. Unabhängig davon, ob die konkludente Annahme des Angebots der Beklagten über die Einräumung der Kreditlinie in der Fortsetzung der Kontobeziehung nach Zugang des unbefristeten Darlehensangebots oder erst in der erstmaligen Inanspruchnahme des Darlehens zu sehen ist (vgl. Münchener Kommentar zum BGB, 6. Auflage, 2012, § 504, Rn. 8), kam der atypische Darlehensvertrag des § 504 BGB zwischen den Parteien vorliegend vor dem streitgegenständlichen Überweisungsvorgang am 03.02.2014 zustande.

Die Klägerin hat bereits vor dem streitgegenständlichen Überweisungsvorgang den eingeräumten Überziehungskredit insgesamt drei Mal in Anspruch genommen, so dass spätestens mit der ersten Inanspruchnahme der Vertragsschluss zustande gekommen ist. Ohne Entscheidungsrelevanz verbleibt, dass der eingeräumte Kreditrahmen bei diesen Überziehungen nicht ausgeschöpft worden ist, da für die nach dem Empfängerhorizont aus Sicht der Beklagten zu beurteilenden konkludenten Annahme des sich auf den Kreditbetrag von 4.000,00 EUR belaufenden Kreditbetrages die Inanspruchnahme eines Teils der Kreditsumme hinreichend ist.

II.
Die Kostenentscheidung folgt aus § 91 Abs. 1 ZPO.

III.
Der Ausspruch über die vorläufige Vollstreckbarkeit beruht auf §§ 708 Nr. 11, 711, 709 Satz 1 ZPO.

IV.
Die Streitwertfestsetzung ergibt sich aus § 48 GKG i.V.m. § 3 ZPO.