Authentifizierungsverfahren: Keine Erstattung: Phishing bei Reisebuchung
Wer seine SMS-Tan grob fahrlässig an Dritte weitergibt, hat keinen Anspruch auf Rückzahlung abgebuchter Kreditkartenbeträge. So entschied es das Amtsgericht (AG) München.
Das war geschehen
Der Ehemann der Klägerin wollte am Samstag, den 6.1.2024 für seine Ehefrau und sich eine Reise im Internet buchen. Hierzu gab er auf der Website „Check24“ die Daten der Kreditkarte seiner Ehefrau ein. Kurz darauf erschien eine Mitteilung, dass ein Betrag in Höhe von 318,99 Euro vorgemerkt sei, ehe weitere Mitteilungen über vergleichbare Vormerkungen erschienen. Die Klägerin veranlasste noch am selben Abend telefonisch die Sperrung der Kreditkarte. Am Montag, den 8.1.2024 sind sechs unberechtigte Abbuchungen zu je 318,99 Euro für Giftcards vom Konto der Klägerin erfolgt, insgesamt 1.953,29 Euro.
Zur Autorisierung der Transaktionen fand das Mastercard 3D-Secure-Verfahren Anwendung. Zur Aktivierung dieses Verfahrens auf einem weiteren Gerät übersandte die beklagte Bank am 6.1.2024 eine SMS-TAN an die von der Klägerin bei der Beklagten hinterlegte Mobilfunknummer. Die an die Klägerin versandte SMS-TAN wurde dann auf dem weiteren mobilen Endgerät, auf dem auch die Banking-App freigeschaltet wurde, am 6.1.2024 eingegeben und damit das Secure-Verfahren aktiviert.
Die Klägerin behauptete, dass sie diese Abbuchungen nicht autorisiert habe. Bei der Buchung sei sie nicht nach PIN oder Passwort gefragt worden, sie habe auch nirgendwo eine SMS-Tan eingegeben. Es sei nicht erkannt worden, dass es sich möglicherweise um eine „Fake“-Website handelte.
Die beklagte Bank ging davon aus, dass die Frau die SMS-Tan an einen Dritten weitergegeben haben muss, da eine Freigabe der Buchungen anders technisch nicht möglich gewesen sei und verweigerte die Zahlung. Die Klägerin verklagte die Bank daher vor dem AG auf Rückzahlung der 1.953,29 Euro.
So sah das Amtsgericht den Sachverhalt
Das AG wies die Klage ab. Das Gericht ging zwar davon aus, dass die Abbuchungen nicht von der Klägerin autorisiert waren, sondern von Dritten getätigt wurden. Aufgrund der Beweisaufnahme war das Gericht jedoch davon überzeugt, dass die Klägerin die SMS-Tan grob fahrlässig an Dritte weitergegeben haben muss, weshalb ein Schadenersatzanspruch der Bank gegen die Klägerin in gleicher Höhe bestehe, mit dem die Bank aufgerechnet habe.
Das AG: Der Vortrag der Bank, dass diese in ihren Systemen feststellen konnte, dass das Mastercard 3D-Secure Verfahren per Banking App für die Kreditkarte der Klägerin am 6.1.2024 um 13:30 Uhr aktiviert wurde, und zur Aktivierung dieses Verfahrens auf dem neuen Gerät eine SMS-TAN an die im Vertrag hinterlegte Mobilfunknummer der Klägerin versandt wurde, wurde durch Inaugenscheinnahme des Mobiltelefons der Klägerin bestätigt. Dort befindet sich eine SMS vom 6.1.2024 13:29 Uhr mit dem Inhalt: „… ist Ihre TAN für die Aktivierung von Mastercard Identity Check vom 6.1.2024 13:44 Uhr.“ Der Eingang der SMS um 3:29 Uhr war im eingesehenen Nachrichtenverlauf um 13:29 Uhr dokumentiert und wird auch durch das vorgelegte IT-Protokoll belegt. Der Vortrag der Klägerin, keine SMS-TAN erhalten zu haben und dass ihr Mobiltelefon nicht in die Freigabe involviert war, erwies sich damit als widerlegt.
SMS-Tan war unzweifelhaft eingegeben worden
Die Bank hat unbestritten vorgetragen, dass aufgrund der manuellen Eingabe einer an die Mobilfunknummer der Klägerin versandten SMS-Tan ein Fremdzugriff technisch ausgeschlossen ist. Es wurde ein neues Gerät im Online-Banking der Klägerin als Freigabeinstrument im Rahmen des 2-Faktor-Authentifizierungsverfahrens hinterlegt. Hierzu war – technisch zwingend – die Eingabe der SMS-Tan erforderlich. Das Gericht ist daher davon überzeugt, dass die Klägerin durch Preisgabe der SMS-Tan Dritten eine Registrierung eines Geräts ermöglicht hat, wobei die Preisgabe persönlicher Sicherheitsmerkmale an Dritte gemäß den vertraglichen Bestimmungen untersagt war.
Verhalten der Klägerin war grob fahrlässig
Das Verhalten der Klägerin bewertet das Gericht als grob fahrlässig. Es ist eine Sache, wenn man seine Kreditkartendaten offenbart. Diese werden bei jeder Verwendung offenbart und können auch von der Karte abgelesen werden.
Die Weitergabe eines im Rahmen einer Zwei-Faktor-Autorisierung erhaltenden Zugangscodes kann nicht damit gleichgesetzt werden. Mit dieser Weitergabe hilft der Nutzer, die Sicherheitsarchitektur grundlegend auszuhebeln. Es muss jedem verständigen Nutzer solcher Kreditkarten klar sein, welches Risiko er mit der Weitergabe derartiger Daten schafft. Die Klägerin mag dies nicht bewusst getan haben und es mag auch nicht erinnerlich sein. Indessen lässt sich der Vorgang plausibel nicht anders erklären.
Quelle: AG München, Urteil vom 8.1.2025, 271 C 16677/24
Mitgeteilt von Rechtsanwaltskanzlei Herren aus 50321 Brühl
