Nachdem eine Sparkassenkundin Opfer eines Telefonbetruges durch eine vermeintliche Bankmitarbeiterin wurde, forderte sie von der Sparkasse den Schaden in Höhe von knapp 36.000 Euro zurück. Sie hatte spätabends am Wochenende und über 2 Tage hinweg am Telefon TAN Nummern weitergegeben. Das war grob fahrlässig, meint der BGH.
A. Sachverhalt
Die Klägerin K ist Bankkundin bei der Beklagten B, einer Sparkasse. K nutzt bei B das Online-Bankingverfahren mit persönlichen Anmeldenamen, einer Geheimzahl (PIN) und einer jeweils erzeugten Transaktionsnummer (TAN). K versuchte mehrfach, ihre PIN zu ändern, was ihr jedoch nicht gelang.
Dabei zeigte der TAN-Generator jeweils „Vorgang abgebrochen” an. Als die Klägerin am gleichen Tag gegen 22:30 Uhr noch einmal versuchte, die PIN zu ändern, öffnete sich auf ihrem PC ein Fenster, welches darauf hinwies, dass der Online-Banking-Zugang binnen eines Tages ablaufe, wenn nicht eine neue Sicherheitssoftware installiert werde. Die Klägerin klickte darauf, woraufhin sich ein neues Fenster öffnete und persönliche Angaben angefordert wurden.
Wenige Augenblicke später erhielt die Klägerin einen Telefonanruf. Auf dem Display wurde die Telefonnummer der Beklagten angezeigt und die Anruferin stellte sich als Mitarbeiterin der Beklagten vor. Sie erkundigte sich, was denn bei der Klägerin „los sei”. Die Klägerin teilte mit, dass sie versucht habe, die PIN zu ändern. Daraufhin erklärte die Anruferin, dass die Installation eines neuen Sicherheitsprogramms erforderlich sei.
K gab ihre Sparkassen-Kartennummer an und es sollte der Identifizierungsvorgang für das vermeintlich neue Sicherheitsprogramm per TAN-Verfahren durchgeführt werden. Da K sich mehrfach vertippte, wurde der Vorgang abgebrochen und es wurde ein Telefonat für den Folgetag vereinbart. K gab die TAN an die Anruferin weiter.
Zur selben Zeit wurden im Online-Banking der Kläger mehrere Vorgänge ausgelöst. So wurde um 18:24:22 Uhr das Überweisungslimit auf 55.555 € bis 23:59 Uhr desselben Tages erhöht. Um 18:26:26 Uhr wurde eine Echtzeit-Überweisung in Höhe von 35.555 € zugunsten des Kontos einer den Klägern unbekannten Person bei einer anderen Bank beauftragt, durch Eingabe der entsprechend individuell generierten TAN freigeschaltet und ausgeführt.
K begehrt
das bei der Beklagten geführte Konto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung vom 3. Juli 2022 in Höhe von 35.555 € befunden hätte…
B. Entscheidung
K macht insofern einen entsprechenden Erstattungsanspruch gegen B geltend.
I. § 675u S. 2 BGB
K könnte gegen B einen Erstattungsanspruch i.H.v. 35.555 Euro nach § 675u S. 2 BGB haben.
Gem. § 675u S. 2 BGB ist der Zahlungsdienstleister (=die Bank) verpflichtet, dem Zahler (=dem Bankkunden) den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte. Ein Zahlungsvorgang ist nach § 675f III 1 jede Bereitstellung, Übermittlung oder Abhebung eines Geldbetrages, unabhängig von der zugrunde liegenden Rechtsbeziehung zwischen Zahler und Zahlungsempfänger. Die Überweisung der 35.555 Euro ist ein Zahlungsvorgang. Dieser war durch K nicht autorisiert. Nach § 675j I 1 BGB ist ein Zahlungsvorgang gegenüber dem Zahler nur wirksam, wenn er diesem zugestimmt hat (Autorisierung). Dies hat K selbst nicht getan. Insofern ist es grundsätzlich zutreffend, dass K
ein Anspruch gegen die Beklagte aus § 675u Satz 2 BGB zusteht.
II. Treu und Glauben nach § 242 BGB
Diesem Anspruch von K kann B ihrerseits mit dem Grundsatz von Treu und Glauben nach § 242 BGB im Wege der dolo-agit-Einrede entgegentreten, sofern sie ihrerseits einen Schadensersatzanspruch in voller Höhe gegen K hat.
1. Schadensersatzanspruch nach 675v III Nr. 2a) BGB
B könnte gegen K einen Schadensersatzanspruch in voller Höhe und somit i.H.v. 35.555 Euro nach § 675v III Nr. 2a) BGB haben. Danach ist der Zahler (K) seinem Zahlungsdienstleister (B) zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler den Schaden herbeigeführt hat durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehrerer Pflichten gem. § 675l I BGB.
a) Pflichten nach § 675l I BGB
Gem. § 675l I 1 BGB ist der Zahlungsdienstnutzer verpflichtet, unmittelbar nach Erhalt eines Zahlungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen.
Solche Sicherheitsmerkmale sind auch TANs …
Diese Pflicht hat K verletzt, indem sie telefonisch ihre TAN am Folgetag weitergegeben hat.
b) Grobe Fahrlässigkeit
Fraglich ist, ob die Pflichtverletzung durch K grob fahrlässig war.
Grobe Fahrlässigkeit erfordert einen in objektiver Hinsicht schweren und in subjektiver Hinsicht nicht entschuldbaren Verstoß gegen die Anforderungen der im Verkehr erforderlichen Sorgfalt. Diese Sorgfalt muss in ungewöhnlich hohem Maße verletzt und es muss dasjenige unbeachtet geblieben sein, was im gegebenen Fall jedem hätte einleuchten müssen. Es muss eine auch subjektiv schlechthin unentschuldbare Pflichtverletzung vorliegen, die das in § 276 Abs. 2 BGB bestimmte Maß erheblich überschreitet.
aa) Kein Augenblicksversagen
Es liegt kein bloßes Augenblicksversagen durch K vor. Dieses
beschreibt den Umstand, dass ein Handelnder für eine kurze Zeit die im Verkehr erforderliche Sorgfalt außer Acht lässt. Ein solches Augenblicksversagen kann es zwar nicht für sich allein, wohl aber zusammen mit weiteren Umständen im konkreten Einzelfall als gerechtfertigt erscheinen lassen, unter Abwägung aller Umstände den Schuldvorwurf geringer als grob fahrlässig zu bewerten …
Vorliegend fehlte es allerdings an einer irgendwie gearteten kurzfristigen Fehleinschätzung wie sie z.B. im Rahmen einer Überrumpelung erfolgen kann.
Denn die entscheidende Sorgfaltspflichtverletzung ist in der Weitergabe der TANs im Rahmen des zweiten Telefonats … zu sehen. Dieses fand nach Terminvereinbarung zwischen der Klägerin und der angeblichen Mitarbeiterin der Beklagten am Abend des auf das erste Telefonat folgenden Tages statt, so dass … die Klägerin fast einen ganzen Tag Zeit hatte, die ungewöhnlichen Umstände des ersten Telefonats zu reflektieren und entsprechende Schlüsse daraus zu ziehen.
bb) Phishing
Auch die Anzeige der Telefonnummer der B auf dem Display des Telefons von K steht der Annahme eines grob fahrlässigen Verhaltens von K nicht entgegen. Es wurde
berücksichtigt, dass der Klägerin die Möglichkeit des Vortäuschens einer Anrufnummer unbekannt gewesen sein mag, diesen Umstand aber, insbesondere aufgrund der Angaben der Klägerin in ihrer persönlichen Anhörung zu ihren bisherigen telefonischen Kontakten mit der Beklagten, aufgrund der allgemeinen Warnung der Beklagten auf ihrer Website und im Online-Banking vor den Gefahren des Missbrauchs und vor betrügerischen Telefonanrufen vermeintlicher Sparkassen-Mitarbeiter und aufgrund der umfangreichen Berichterstattung in den letzten Jahren in den öffentlichen Medien zu den vielfachen und mannigfaltigen Angriffen beim Internet-Banking, insbesondere dem Phishing, als nicht ausreichend angesehen, um die Klägerin vom Vorwurf der groben Fahrlässigkeit zu entlasten.
c) Kein Ausschluss nach § 675v IV 1 Nr. 1 BGB
Der Schadensersatzanspruch von B ist auch nicht nach § 675v IV 1 Nr. 1 BGB ausgeschlossen. Nach dieser Vorschrift ist der Zahler seinem Zahlungsdienstleister nicht zum Schadensersatz verpflichtet, wenn dieser eine starke Kundenauthentifizierung nicht verlangt hat. Für das Auslösen der Überweisung hat B eine solche aber verlangt. Dass sie dies nicht auch für die Anmeldung zum Online-Bankingverfahren verlangt hat, begründet keinen Ausschluss.
Denn Bezugspunkt für die Anwendung von § 675v Abs. 4 Satz 1 Nr. 1 BGB ist … ausschließlich der im Streit stehende Zahlungsvorgang …
2. dolo agit-Einrede
Nach dem Grundsatz von Treu und Glauben gem. § 242 BGB kann dem Anspruchsteller im Wege der dolo-agit-Einrede (dolo agit, qui petit, quod statim redditurus est = zu Unrecht handelt, wer fordert, was er sofort zurückgeben muss) entgegentreten werden, sofern der Anspruchsgegner seinerseits einen entsprechenden Anspruch hat.
K hat einen Erstattungsanspruch gegen B i.H.v. 35.555 Euro nach § 675u S. 2 BGB. B hat allerdings ihrerseits einen Schadensersatzanspruch in dieser Höhe gegen K nach § 675v III 1 Nr. 2a) BGB. Insofern müsste K einen etwaig erhaltenen Erstattungsanspruch sofort wieder auskehren an B. Insofern kann B der K die dolo-agit-Einrede nach § 242 BGB entgegenhalten, sodass K keinen Anspruch mit Erfolg gegen B geltend machen kann.
Ergebnis:
K kann gegen B keinen Erstattungsanspruch i.H.v. 35.555 Euro nach § 675u S. 2 BGB geltend machen.
C. Prüfungsrelevanz
Zunehmend kommt es im Online-Bankingverfahren zu betrügerischem Verhalten durch Dritte. Dennoch stellt die Weitergabe von PIN oder TAN grundsätzlich ein grob fahrlässiges Verhalten dar, sodass der Bankkunde auf seinem Schaden sitzen bleibt.
In der Entscheidung geht es um die Voraussetzungen eines Erstattungsanspruchs des Kunden gegen die Bank nach § 675a S. 2 BGB und einen Schadensersatzanspruch der Bank nach § 675v III BGB. Dabei wird insbesondere auf einen Klassiker des Zivilrechts -die dolo-agit-Einrede nach § 242 BGB- eingegangen.
(BGH Urt. v. 22.07.2025 – XI ZR 107/24)
Du möchtest weiterlesen?
Dieser Beitrag steht exklusiv Kunden von Jura Online zur Verfügung.
Paket auswählen