Tag TAN

LG Koblenz entscheidet, wann Nutzer des Online-Bankings, die Opfer der Betrugsmethode des Pharmings

…. werden, keinen Schadensersatzanspruch gegen die Bank haben. 

Mit Urteil vom 01.06.2022 – 3 O 378/21 – hat das Landgericht (LG) Koblenz in einem Fall, in dem bei dem 

  • Kunden einer Bank, 

der das Online-Banking nutzte und dabei jede Überweisung durch eine Sicherheitsnummer, 

  • die von einem TAN-Generator, der auch die Nummer des Zielkontos und den zu überweisenden Betrag anzeigte, erzeugt wurde, 

bestätigen musste, nach dem Einloggen

Read More

Teilnehmer am Onlinebanking in Form des mTan-Verfahrens sollten wissen, dass sie für den betrügerischen Verlust

…. ihres Geldes dann selbst verantwortlich sind, wenn sie vor der Eingabe der ihnen auf ihr Mobiltelefon per SMS übersandten TAN die in dieser SMS ebenfalls angegebenen Überweisungsdaten, wie

  • den auf dem Mobiltelefon angezeigten Überweisungsbetrag und
  • die dort ebenfalls genannte Ziel-IBAN

nicht kontrollieren und nicht überprüfen.

Der 8. Zivilsenat des Oberlandesgerichts (OLG) Oldenburg hat mit Beschluss vom 21.08.2018 – 8 U 163/17 – nämlich darauf hingewiesen, dass Bankkunden,

  • von deren Konto eine tatsächliche Geldüberweisung auf ein ausländisches Konto erfolgt,

das überwiesene Geld von ihrer Bank dann nicht zurück verlangen können, wenn sie die Überweisung dadurch ermöglichen, dass sie

  • nachdem sie sich einen sog. Banking-Trojaner eingefangen haben,

einer von dem Trojaner – vermeintlichen aber von der Onlinebanking-Seite ihrer Bank – erhaltenen Aufforderung nachkommen, eine Testüberweisung

  • (beispielsweise) zur (behaupteten) Einführung eines neuen Verschlüsselungsalgorithmus

vorzunehmen und sie die (Test)Überweisung,

  • in deren Überweisungsmaske in dem in dem der Entscheidung zugrunde liegendem Fall in den Feldern „Name“, „IBAN“ und „Betrag“ jeweils das Wort „Muster“ stand,

mit der ihnen zu diesem Zweck per Mobiltelefon übersandten TAN (Transaktionsnummer) bestätigen,

  • ohne die bei der Übermittlung der TAN in der SMS auch mitgeteilten Überweisungsdaten zu kontrollieren und zu überprüfen.

Begründet hat der Senat dies damit, dass, wer die in der SMS auf dem Mobiltelefon angezeigten Überweisungsdaten,

  • insbesondere die dort ebenfalls genannte Ziel-IBAN

nicht überprüft und nicht noch einmal kontrolliert, sondern lediglich auf die ihm übersandte TAN achtet sowie diese in die Computermaske eintippt

  • und dem deshalb auch nicht auffällt, dass er eine Überweisung zu einer ausländischen IBAN freigibt,

grob fahrlässig handelt (Quelle: Pressemitteilung des OLG Oldenburg vom 20.11.2018).

Was Nutzer des Online-Banking-Verfahrens wissen sollten

Wer das von seiner Bank angebotene Online Banking System in Form des mTan-Verfahrens nutzt,

  • bei dem der Kunde von der Bank zur Freigabe seines Bankauftrags eine SMS an sein Mobiltelefon erhält, mittels derer er sich am PC als Berechtigter legitimieren kann

und

  • nicht nur auf eine Phishing-E-Mail hin, die als Absender seine Bank ausweist, wegen einer angeblichen Aktualisierung, seinen Namen, seine Kontonummer sowie seine Festnetznummer angibt,
  • sondern nachfolgend auch einer Anruferin und angeblichen Bankmitarbeiterin noch die TAN für einen konkreten Überweisungsvorgang von seinem Konto auf ein anderes Konto mitteilt,

handelt grob fahrlässig und kann,

  • wenn es aufgrund einer solchen erfolgreichen Phishing-Attacke zu einer von ihm nicht autorisierten Überweisung von seinem Konto kommt,

nicht die Erstattung des Überweisungsbetrages von seiner Bank verlangen.

Das hat das Amtsgericht (AG) München mit Urteil vom 05.01.2017 – 132 C 49/15 – entschieden.

Danach liegt deshalb kein bloß einfach fahrlässiger Pflichtenverstoß mehr vor, weil, so das AG, es im Allgemeinen jedem einleuchten muss, dass

  • die fernmündliche Weitergabe einer TAN in einem solchen Fall nach § 675l Bürgerliches Gesetzbuch (BGB) nicht zulässig ist und
  • die Gefahr mit sich bringt, eine missbräuchliche Überweisung auszulösen (Quelle: Pressemitteilung des AG München Nr. – 63/17 –).

BGH entscheidet, dass Banken nicht ausnahmslos für jede TAN, die sie per SMS an Kunden versenden, ein Entgelt verlangen dürfen

…. und dass vorformulierte Klauseln, die das einschränkungslos vorsehen, unwirksam sind.

Mit Urteil vom 25.07.2017 – XI ZR 260/15 – hat der u. a. für das Bankrecht zuständige XI. Zivilsenat des Bundesgerichtshofs (BGH) entschieden, dass vorformulierte Klauseln in Verträgen über Zahlungsdienste zwischen Kreditinstituten und Verbrauchern,

  • wenn sie aufgrund ihres einschränkungslosen Wortlauts vorsehen,

dass

  • jede smsTAN, die an Kunden versandt wird, 0,10 € kostet (unabhängig vom Kontomodell) und
  • ohne dass es darauf ankommt, ob diese im Zusammenhang mit der Erteilung eines Zahlungsauftrages eingesetzt wird,

wegen Verstoßes gegen § 307 Bürgerliches Gesetzbuch (BGB) unwirksam sind.

Begründet hat der Senat dies damit, dass eine Klausel,

  • die eine Bepreisung von „smsTAN“ ausnahmslos vorsieht,

somit beispielsweise also auch in den Fällen, in denen

  • eine übersandte TAN auf Grund eines begründeten „Phishing“-Verdachts oder
  • wegen der Überschreitung ihrer zeitlichen Geltungsdauer nicht verwendet wird oder
  • eine TAN, die zur Erteilung eines Zahlungsauftrags eingesetzt werden soll, dem Kunden wegen einer technischen Fehlfunktion gar nicht zugeht,

entgegen dem Gebot des § 675e Abs. 1 BGB zum Nachteil des zahlungsdienstnutzenden Kunden von den Vorgaben des § 675f Abs. 4 Satz 1 BGB abweicht.

Denn nach § 675f Abs. 4 Satz 1 BGB, so der Senat, kann für die Ausgabe einer per SMS übersendeten TAN nur dann als Bestandteil der Hauptleistung ein Entgelt gefordert werden, wenn

  • sie auch tatsächlich der Erteilung eines Zahlungsauftrages dient und
  • damit als Teil des Zahlungsauthentifizierungsinstruments „Online-Banking mittels PIN und TAN“ fungiert,

weil von der Bank nur in diesem Fall ein entgeltpflichtiger Zahlungsdienst erbracht wird (Quelle: Pressemitteilung des BGH vom 25.07.2017 – Nr. 121/2017 –).

Wie Straftäter Konten von Online-Banking-Kunden, die das sog. mTAN-Verfahren nutzen, leerräumten

In einem vor dem Landgericht (LG) Osnabrück verhandelten Fall hatten, nach den Feststellungen des Gerichts, mehrere Angeklagte, in wechselnder Beteiligung, Konten von Kunden der Postbank, die für das Online-Banking das sog. mTAN-Verfahren nutzten, abgeräumt, in dem sie,

  • nach Ausspähung der Kontodaten der Postbankkunden mittels einer Schadsoftware („Trojaner“),
  • sich, um die für Überweisungen erforderlichen Transaktionsnummern (TAN), die per SMS an die Mobilfunknummern der Kunden geschickt werden, zu erhalten, sog. Multi-Sim-Karten oder Ersatz-Sim-Karten zu den Mobilfunkanschlüssen der jeweiligen Bankkunden besorgt, den SMS-Verkehr auf diese Karten umgeleitet und

die so erhaltenen TAN zur Überweisung von Guthaben der Bankkunden von deren Tagesgeld- oder Sparkonten auf die jeweiligen Girokonten und von dort auf Konten der von ihnen angeheuerten „Geldwäscher“ genutzt hatten.

Der von den Angeklagten auf diese Weise verursachte Schaden betrug ca. 790.000,00 €.

Wegen gewerbs- und bandenmäßigen Computerbetruges mittels „mTAN-Phishing“ und anderer Delikte hat die 15. Große Strafkammer des LG Osnabrück mit Urteil vom 15.07.2016 – 15 KLs 12/14 –

  • die beiden Haupttäter zu Gesamtfreiheitsstrafen von 6 Jahren und 6 Monaten sowie von 5 Jahren und 6 Monaten verurteilt sowie
  • fünf weitere, in unterschiedlicher Form an den Taten der Haupttäter Beteiligte, zu Freiheitsstrafen zwischen 1 Jahr und 6 Monaten und 2 Jahren und 6 Monaten (Quelle: Pressemitteilung des LG Osnabrück 22/16 vom 18.07.2016).