Die Bank haftet unter Umständen für Schäden die den Kund:innen durch Telefon-Betrug mittels Call-ID Spoofing entstehen.
Der Entscheidung des LG Köln liegt folgender Sachverhalt zu Grunde:
Der Kläger unterhält bei der beklagten Bank ein Privatgirokonto. Er nutzt hierfür das Online-Banking unter Verwendung des S-pushTAN-Verfahrens als Authentifizierungsinstrument. Am 23. September 2022 kontaktiert ein Unbekannter den Kläger telefonisch unter Anzeige der Rufnummer der Bank. Für den Anruf unter Anzeige der Rufnummer der Bank bedient er sich des sogenannten Call-ID Spoofings. Der Anrufer gibt vor, ein Mitarbeiter der Beklagten zu sein und erfragt beim Kläger, ob dieser in der vergangenen Woche von betrügerischen Anrufen oder verdächtigen Kontobewegungen betroffen gewesen sei. Der Kläger verneint dies. Der Anrufer teilt ihm daraufhin mit, dass er aufgrund aktueller Betrugsvorfälle vorsorglich das Konto und die Karte des Klägers gesperrt habe, dieses aber nun nach dessen Auskunft wieder entsperrt werden könne. Er bittet den Kläger sodann um die entsprechende Freigabe über die pushTAN App der Bank auf dem Mobiltelefon des Klägers. In der App erscheint ein Auftrag mit dem Text „Registrierung Karte“ und folgendem Warnhinweis: „Bitte geben Sie keinen Auftrag frei, den Sie nicht explizit beauftragt haben. Wenden Sie sich bei Unklarheiten oder Fragen bitte umgehend an Ihren Berater und geben telefonisch keine sensiblen Informationen an Dritte weiter.“ Der Kläger gibt den Auftrag frei. Mit der Freigabe bestätigt er tatsächlich eine durch die Täter initiierte Registrierung einer digitalen Version seiner Debitkarte zur Speicherung auf einem mobilen Endgerät mittels ApplePay. Zwischen dem 23. Und 25. September 2022 nehmen die Täter Zahlungen über 14.040,90 Euro per ApplePay zulasten des Kontos des Klägers vor. Die Bank erstattet dem Kläger vorgerichtlich 4.107,52 Euro. Mit der Klage begehrt der Kläger die Zahlung weiterer 9.933,38 Euro.
Die Klage ist erfolgreich. Die Zahlungen seien nicht durch den Kläger autorisiert gewesen. Dem Kläger könne vorliegend auch weder Vorsatz noch eine grob fahrlässige Verletzung von Pflichten vorgeworfen werden. Der durchschnittliche Bürger müsse keine Kenntnis davon haben, dass es mittels Call-ID Spoofing möglich sei, eine fremde Telefonnummer zu nutzen. Für einen langjährigen Bankkunden sei die Nutzung der ihm bekannten Telefonnummer seiner Bank mit besonderem Vertrauen verbunden. Auch die Bezeichnung des Auftrags in der App als „Registrierung Karte“ sei derart weit, dass für den Kläger – vor allem in der Überrumpelungssituation, in der er sich befunden habe – nicht erkennbar war, dass es um die Einrichtung eines Zahlungssystems auf einem mobilen Endgerät gehe. Auch aus dem Wortlaut des Warntextes ergebe sich nicht, dass ein telefonisch erteilter Auftrag nicht freizugeben sei. Der Vorgang und auch der Pflichtverstoß des Klägers sei daher bereits nicht allein dessen Verantwortungsbereich zuzuordnen. Die Bank hat dem Kläger somit den Betrag zu erstatten.
Hinweis: An diesem Verfahren war der Verbraucherzentrale Bundesverband (vzbv) nicht beteiligt. Gerne informiert Sie der vzbv alle vier bis sechs Wochen mit einem kostenlosen Newsletter über neue Urteile zum Verbraucherrecht.
Datum der Urteilsverkündung: 20.11.2023
Aktenzeichen: 22 O 43/23
Gericht: LG Köln