Kein Erstattungsanspruch bei pushTAN Freigabe an Dritte am Telefon

OBERLANDESGERICHT BRAUNSCHWEIG – 18. Februar 2025

Der 4. Zivilsenat des Oberlandesgerichts Braunschweig bestätigte mit Beschluss vom 6. Januar 2025 (Az. 4 U 439/23) das erstinstanzliche Urteil des Landgerichts Göttingen, in dem einer Klägerin, die Opfer eines Online-Banking Betruges geworden ist, Schadensersatz wegen unberechtigter Abbuchungen von ihrem Girokonto versagt worden war.

Die Klägerin unterhielt mit der beklagten Bank einen Girovertrag und authentifizierte sich beim Online-Banking mit dem pushTan-Verfahren. Bei diesem Verfahren wird die Auftragsfreigabe direkt auf dem Smartphone oder Tablet in einer speziellen App durchgeführt.

Die Klägerin erhielt einen Anruf eines vermeintlichen Bankmitarbeiters, der ihr von einem Versuch einer unberechtigten Kreditkartenanmeldung berichtete. Er forderte sie auf, das pushTAN-Verfahren durchzuführen, um die Kreditkartenanmeldung zu ihrem Konto zu löschen. Auf seine Anweisung hin wiederholte sie diesen Vorgang vier Mal. Er gab ihr anschließend die Auskunft, dass ihr Konto zur Sicherheit gesperrt werde, sie aber mit der EC-Karte weiterhin zahlen könne.

Von dem Konto der Klägerin wurden danach Abbuchungen mittels einer neu registrierten Kreditkarte in Höhe von insgesamt 7.885,83 Euro vorgenommen, die nicht von der Klägerin autorisiert waren. Die beklagte Bank lehnte die Regulierung des Schadens ab, da die Klägerin – so die Bank – die Abbuchungen durch eine grob fahrlässige Freigabe mittels pushTAN-Verfahren mitverursacht habe.

So entschied auch das Landgericht Göttingen und wies die Klage mit Urteil vom 26. Mai 2023 (4 O 338/22) ab. Zwar stehe der Klägerin ein Erstattungsanspruch zu, da die Abbuchungen von ihr nicht autorisiert waren. Jedoch berufe sich die Beklagte zu Recht auf einen aufrechenbaren Gegenanspruch nach § 675v Abs. 3 Nr. 2 des Bürgerlichen Gesetzbuches (BGB). Die Klägerin habe pflichtwidrig einen durch Dritte veranlassten Buchungsvorgang im Wege des pushTAN-Verfahrens freigegeben. Aus den Sicherheitshinweisen ergebe sich eindeutig, dass Bankmitarbeiter am Telefon niemals dazu auffordern, eine TAN zu nennen oder einen Auftrag mit der push-TAN-App freizugeben.

Die gegen diese Entscheidung eingelegte Berufung blieb ohne Erfolg. Auch nach Auffassung des 4. Zivilsenats hat die Klägerin gegen die ihr obliegende Pflicht verstoßen, die Verwendung des pushTan-Verfahrens vor unberechtigtem Zugriff zu schützen. Damit habe sie zudem pflichtwidrig entgegen der Sicherheitshinweise der Bank gehandelt. Trotz verschiedener Verdachtsmomente bzw. Widersprüche habe sie auf Weisung des unbekannten Anrufers mehrfach die Freigabe von pushTans erteilt; dies stelle eine schwere Sorgfaltspflichtverletzung dar. Die Klägerin hätte aus verschiedenen Gründen Anlass haben müssen, an dem Vorgehen des vermeintlichen Bankmitarbeiters zu zweifeln: Bereits zuvor habe es einen Anruf gegeben, der sich auch nach Rücksprache mit der Bank nicht aufklären ließ. Auch die Behauptung des vermeintlichen Bankmitarbeiters, dass die Löschung der Kreditkarte erforderlich sei, obwohl es nur eine versuchte Kreditkartenanmeldung gegeben habe, hätte Misstrauen wecken müssen. Dies gelte auch für die Behauptung, dass die EC-Karte trotz Sperrung des Kontos weiter genutzt werden könne. Der Senat berücksichtigte bei der erforderlichen Einzelfallbetrachtung zudem, dass die Klägerin – entgegen der üblichen Praxis – für einen Vorgang wiederholt pushTAN Freigaben erteilt habe.

Nachdem der Senat die Klägerin auf seine tatsächliche und rechtliche Bewertung im Beschlusswege hingewiesen hatte, hat die Klägerin die Berufung gegen das landgerichtliche Urteil zurückgenommen.

Angewendete Vorschriften:

§ 675l BGB (Bürgerliches Gesetzbuch)

Pflichten des Zahlungsdienstnutzers in Bezug auf Zahlungsinstrumente

(1) Der Zahlungsdienstnutzer ist verpflichtet, unmittelbar nach Erhalt eines Zahlungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. […]

§ 675u BGB

Haftung des Zahlungsdienstleisters für nicht autorisierte Zahlungsvorgänge

Im Fall eines nicht autorisierten Zahlungsvorgangs hat der Zahlungsdienstleister des Zahlers gegen diesen keinen Anspruch auf Erstattung seiner Aufwendungen. Er ist verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte. […]

§ 675v BGB

Haftung des Zahlers bei missbräuchlicher Nutzung eines Zahlungsinstruments

[…]

(3) Abweichend von den Absätzen 1 und 2 ist der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler

1. in betrügerischer Absicht gehandelt hat oder

2. den Schaden herbeigeführt hat durch vorsätzliche oder grob fahrlässige Verletzung

a) einer oder mehrerer Pflichten gemäß § 675l Absatz 1 oder

b) einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments.

[…]