Wird von einem Konto durch einen Phishing-Angriff unberechtigt Geld abgehoben, muss die Bank dieses Konto wieder auf den Stand bringen, auf dem es vor der Belastung war. Dies gilt auch, wenn der Ehepartner die Verwaltung des Kontos übernommen hat, solange keine grob fahrlässigen Verletzung der Geheimhaltungspflicht vorliegt.
Eine Ehefrau unterhielt bei einer Bank ein Wertdepotkonto. In den Allgemeinen Geschäftsbedingungen der Bank war geregelt, dass personalisierte Sicherheitsmerkmale (z. B. PIN) geheimzuhalten und Authentifizierungselemente vor dem Zugriff anderer Personen sicher zu verwahren sind.
Die Frau hatte die Verwaltung des Kontos ihrem Ehemann übertragen. Schon beim Eröffnungsantrag hatte sie ausschließlich dessen E-Mail-Adresse angegeben. Die Übermittlung der TANs per SMS erfolgte stets auf ein durch den Ehemann genutztes Mobiltelefon. Schon beim Eröffnungsantrag für das Konto war bereits einzig die Handynummer des Ehemanns hinterlegt worden. Allerdings hatte die Ehefrau der Bank nicht mitgeteilt, dass das Konto durch ihren Ehemann verwaltet werden würde.
Im Mai 2019 erfolgte auf dem Konto der Frau eine Transaktion zu ihren Lasten in Höhe von 25 960 €, die weder durch sie, noch durch ihren Ehemann autorisiert worden war. Sie verlangte von der Bank den Ausgleich des Betrags. Die Bank verwies darauf, dass sie das Konto deshalb nicht auf den unbelasteten Zahlungstand zurückzuführen habe, weil die Kontoinhaberin durch Verletzung ihrer Geheimhaltungspflicht den Schaden herbeigeführt habe.
Das Landgericht Nürnberg-Fürth1 verurteilte das Geldinstitut jedoch dazu, das Konto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.
Keine Risikoerhöhung aufgrund Kontoverwaltung durch Ehemann
Das Gericht sah einen Schadenersatzanspruch der Kontoinhaberin als gegeben an. § 675 u BGB sieht vor, dass die Bank verpflichtet ist, dem Kontoinhaber den Zahlungsbetrag unverzüglich zu erstatten bzw. sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Konto wieder auf den Stand zu bringen, wie es vor der Belastung war.
Dieser Schadenersatzanspruch der Kundin sei auch nicht durch grob fahrlässige Verletzung ihrer Pflichten und der damit verbundenen, nicht autorisierten Buchung ausgeschlossen. Obwohl die Kundin die Kontodaten, insbesondere die PIN, an ihren Ehemann weitergegeben hatte, habe sich die Gefahr eines Phishing-Angriffs auf das Konto nicht erhöht.
Das Schutzniveau habe sich dadurch, dass nicht die Ehefrau als Kontoinhaberin selbst, sondern ihr Ehemann das Konto verwaltet hatte, nicht nachteilig verändert. Es sei nicht ersichtlich, dass ein Angriff auf das Mobiltelefon des Ehemanns wahrscheinlicher war als auf das Handy der Kontoinhaberin selbst.
1 Urteil des Landgerichts Nürnberg-Fürth vom 17.07.2020 – 6 O 5935/19
Besprochen in RdW 2021, Heft 9, Randnummer 165