Weitergabe von Login-Adresse, PIN und TAN für Online-Banking an Ehepartner und Schadensersatzanspruch nach Phishing – das Landgericht Nürnberg-Fürth entschied mit Urteil vom 20.07.2020, Az. 6 O 5935/19: Gibt die Kundschaft einer Bank personalisierte Sicherheitsmerkmale für Online-Banking wie z.B. PIN und TAN an den Ehemann weiter, steht dies einem Ausgleichsanspruch gegen die Bank nicht entgegen, wenn es auf dem Konto zu einem Phishing-Vorgang gekommen ist.
Sachverhalt: Worum geht es?
Die Klägerin unterhielt bei der beklagten Bank ein Wertdepotkonto. Die AGB der Bank schrieben unter anderem vor, dass personalisierte Sicherheitsmerkmale geheim zu halten und Authentifizierungselemente vor dem Zugriff anderer Personen sicher zu verwahren sind. Die Klägerin hatte die Verwaltung des Kontos ihrem Ehemann übertragen. Schon beim Eröffnungsantrag hatte sie ausschließlich dessen E-Mail-Adresse angegeben. Auch die TANs wurden per SMS ausschließlich auf ein Mobiltelefon gesendet, das der Ehemann der Klägerin nutzte. Bereits beim Eröffnungsantrag für das Konto war ausschließlich die Handynummer des Ehemanns hinterlegt worden.
Allerdings hatte die Klägerin der Bank nicht mitgeteilt, dass das Konto durch ihren Ehemann verwaltet werden würde.
Im Mai 2019 wurden von dem Konto der Klägerin 25.960,45 € abgebucht. Weder die Klägerin noch deren Ehemann hatte diese Transaktion autorisiert.
Die Klägerin verlangte nun von der Beklagten Ausgleich des Betrags in Höhe von 25.960,45 €.
Die Bank dagegen meinte, dass sie nicht zum Ausgleich verpflichtet sei bzw. ihr ein Schadensersatzanspruch gegen die Klägerin zustehe: Die Klägerin habe ihre Kontodaten an ihren Ehemann weitergegeben und damit den Phishing-Vorgang möglich gemacht. Schließlich sei dieser über die Mobiltelefonnummer des Ehemannes der Klägerin erfolgt.
Ergebnis: Wie entschied das Gericht?
Das Landgericht Nürnberg-Fürth verurteilte die Bank, der Klägerin die 25.960,45 € zu ersetzen.
Der Anspruch der klagenden Bankkundin ergebe sich aus § 675u Satz 2 BGB. Die Bank habe umgekehrt keinen Schadensersatzanspruch nach § 675v Abs. 3 Nr. 2 BGB gegen die Klägerin, aufgrund dessen sie die Zahlung verweigern könne, obwohl diese die Kontodaten an ihren Ehemann weitergegeben habe.
Die Gefahr eines Phishing-Angriffs sei nicht durch die Weitergabe der PIN an den Ehemann der Klägerin erhöht worden. Das Schutzniveau habe sich nicht verändert, weil nicht die Klägerin selbst, sondern ihr Ehemann das Konto verwaltete. Es sei nicht ersichtlich, dass ein Angriff auf das Mobiltelefon des Ehemanns der Klägerin wahrscheinlicher war als auf das Mobiltelefon der Klägerin selbst.
Eine mögliche Pflichtverletzung der Klägerin habe sich jedenfalls nicht kausal auf den Eintritt des geltend gemachten Schadens ausgewirkt. Es bestünden überhaupt keine Anhaltspunkte dafür, dass die Gefahr eines Phishing-Angriffs durch die faktische Verwaltung des Kontos durch den Ehemann der Klägerin in irgendeiner Weise erhöht und damit im Sinne des § 675v Abs. 3 BGB „herbeigeführt“ worden sei.
Auswirkung auf die Praxis
Das Urteil berührt das besondere Vertrauensverhältnis zwischen Eheleuten. Zwischen Eheleuten besteht hier grundsätzlich keine Geheimhaltungspflicht. Nichts anderes sollte zwischen zwei Personen gelten, die eine nichteheliche Partnerschaft führen.
Zu den Beweisgrundsätzen und zum Anscheinsbeweis bei streitigen Zahlungsaufträgen im Online-Banking erließ bereits der Bundesgerichtshof mit Urteil vom 26.01.2016, Az. XI ZR 91/14, eine Grundsatzentscheidung.
Im Streitfall kommt es auf eine Risikobewertung und Risikoabwägung anhand der konkreten Umstände an – und damit auf Freude am Detail und schlüssige Argumentation. Es geht wie so häufig vor Gericht um farbige, lebensnahe Darstellung statt papierener Abstraktion.
© RA Stefan Loebisch | Kontakt