Unautorisierte Zahlungsvorgänge: Erstattungsanspruch gegen die Bank bei Sicherheitslücke im Online-Banking

Sofern der Bankkunde eine Zahlung nicht in Auftrag gegeben hat, steht ihm gegen die Bank ein Erstattungsanspruch zu. In der Vergangenheit haben Banken in einer Vielzahl von Fällen eine Erstattung abgelehnt, da der Bankkunde grob fahrlässig seine Daten an Dritte weitergegeben haben soll. Hierauf kann sich die Bank jedoch nicht berufen, wenn eine starke Kundenauthentifizierung fehlt und somit Dritte auf die Daten zugreifen können. Nachdem wir in einem Verfahren vor dem Oberlandesgericht Karlsruhe auf diesen Punkt hingewiesen hatten, folgte das Gericht in einer ersten Einschätzung unseren Ausführungen. Für Parallelverfahren stellt dies einen wichtigen Schritt zur Geltendmachung von Schadensersatzansprüchen dar.

Was bedeutet starke Kundenauthentifizierung?

Nach § 1 Abs. 24 ZAG ist starke Kundenauthentifizierung eine Authentifizierung, die so ausgestaltet ist, dass die Vertraulichkeit der Authentifizierungsdaten geschützt ist und die unter Heranziehung von mindestens zwei voneinander unabhängigen Sicherheitselementen erfolgt. Erforderlich sind insoweit ein Wissenselement sowie ein Besitzelement. Als Beispiel kann die Zahlung mit der Bankkarte angeführt werden: Das Besitzelement ist die Bankkarte, das Wissenselement die Eingabe der vierstelligen PIN. Nur wer im Besitz bzw. in Kenntnis beider Elemente ist, kann eine Zahlung veranlassen.

Auch beim Online-Banking müssen grundsätzlich zwei Sicherheitselemente vorhanden sein. Viele Bankkunden können sich jedoch bereits durch die bloße Eingabe von Benutzername und Passwort einloggen. Damit liegt lediglich ein Wissenselement vor. Hintergrund hierfür ist eine EU-Verordnung aus dem Jahr 2017, wonach eine Authentifizierung durch ein Passwort beim Online-Banking ausnahmsweise genügen kann – jedoch nur dann, wenn nach dem Einloggen keine weiteren personenbezogenen Daten einsehbar sind. Vereinfacht gesagt dürfen auf der persönlichen Seite des Online-Bankings keine sensiblen Informationen angezeigt werden, die Betrüger missbrauchen könnten. Hierzu zählt beispielsweise das Geburtsdatum des Kunden.

Verstößt die Bank gegen die Vorgaben zur starken Kundenauthentifizierung, kann sie keinen Gegenanspruch nach § 675v Abs. 1 BGB gegen den Kunden geltend machen. Dies führt im Ergebnis dazu, dass der Bankkunde seinen Anspruch auf Erstattung erfolgreich durchsetzen kann, sofern Zahlungen ohne sein Wissen oder Einverständnis erfolgt sind.

Einschätzung des Oberlandesgerichts Karlsruhe

In einem von uns geführten Verfahren kam es maßgeblich auf die Frage an, ob die Bank eine starke Kundenauthentifizierung gewährleistet hatte und welche rechtlichen Folgen sich daraus ergeben. Das Oberlandesgericht Karlsruhe hat sich hierzu zwar nicht abschließend geäußert, ließ jedoch deutlich erkennen, dass es unserer Argumentation folgen und einen Gegenanspruch der Bank ausschließen könnte.

Dies vor dem Hintergrund, dass die Bank im Verfahren nicht bestritten hatte, dass eine Anmeldung zum Online-Banking lediglich mit Anmeldename und PIN möglich war und anschließend im Online-Banking sensible Kundendaten einsehbar waren. Das Gericht deutete an, dass eine starke Kundenauthentifizierung nicht nur beim einzelnen Zahlungsvorgang erforderlich sei, sondern bereits beim Login. Die Folge wäre der Ausschluss eines Gegenanspruchs der Bank.

Was bedeutet die Entscheidung für Bankkunden?

Immer wieder sprechen wir mit Bankkunden, die Opfer eines Online-Banking-Betrugs geworden sind. Häufig haben sich diese an ihre Bank gewandt und dort ihren Schaden geltend gemacht. Das Gesetz sieht vor, dass der Kunde gegen die Bank einen Erstattungsanspruch hat, wenn er die Zahlung nicht autorisiert hat. In solchen Fällen spricht man von unautorisierten Zahlungsvorgängen. Die Banken behaupten dann oft pauschal, der Kunde habe grob fahrlässig seine Zugangsdaten weitergegeben, weshalb eine Erstattung ausscheide.

Durch § 675v Abs. 4 Nr. 1 BGB sowie die Einschätzung des Oberlandesgerichts Karlsruhe wird dieser Argumentation nun ein Riegel vorgeschoben. Sofern die Bank keine ausreichenden Sicherheitsvorkehrungen trifft, kann sie sich nicht auf einen grob fahrlässigen Verstoß des Kunden berufen – und der Erstattungsanspruch bleibt bestehen.

Sind auch Sie Opfer eines Online-Banking-Betrugs geworden?
Dann buchen Sie gerne einen Termin für eine kostenlose Erstberatung bei uns – wir helfen Ihnen weiter.