Phishing bei Kleinanzeigen: Nutzer muss sich über Bezahlstruktur im Internet bewusst sein

Gibt ein Bankkunde beim Verkauf eines Produktes über das Portal Kleinanzeigen.de grob fahrlässig seine Kreditkartendaten und Sicherheitsmerkmale gegenüber dem Käufer preis und gerät so eine sog. Pishing-Falle, haftet die Bank nicht für die folgenden Abbuchungen. Es darf von jedem verständigen Nutzer der Bezahlstruktur im Internet erwartet werden, dass er die grundlegende Bedeutung derartiger Freigabecodes versteht.

Der Sachverhalt:
Der Kläger hatte über das Portal Kleinanzeigen.de einen Gegenstand zum Verkauf angeboten, woraufhin er von einem vermeintlichen Kaufinteressenten kontaktiert wurde. Dieser veranlasste den Kläger dazu, seine Kreditkartendaten auf einer Phishing-Seite einzugeben. Am 2.8.2023 um 15:08 Uhr erhielt der Kläger auf seinem Handy schließlich eine mobileTAN per SMS für die Aktivierung eines neuen Geräts. Dieses Gerät wurde von dem Betrüger bei der beklagten Bank per Banking-App kurz darauf auch registriert. Am selben Tag um 15:11 Uhr und 21:16 Uhr erfolgten zwei Abbuchungen i.H.v. 2.200 € und 207,25 €.

Der Kläger veranlasste sofort eine Kartensperrung und verlangte von der Bank die Rückbuchung der beiden Abbuchungen. Die Bank weigerte sich. Der Kläger behauptete, die mit der SMS erhaltene mobileTAN nicht weitergegeben zu haben und auch sonst nirgendwo eingegeben zu haben.

Das AG wies die auf Zahlung von 2.407,25 € nebst Zinsen gerichtete Klage ab. Das Urteil ist rechtskräftig.

Die Gründe:
Dem Kläger steht gegenüber der beklagten Bank kein Anspruch auf Rückbuchung und auch sonst kein Schadensersatzanspruch zu.

Zur Überzeugung des Gerichts lag hier eine grob fahrlässige Sorgfaltspflichtverletzung des Klägers vor. Dieser hat in grober Weise die im (Zahlungs-)Verkehr zu fordernde Sorgfalt nicht an den Tag gelegt, indem er seine Kreditkartendaten sowie seine persönlichen Sicherheitsmerkmale an Dritte herausgegeben hatte. Jeder auch nur durchschnittlich aufmerksame Marktteilnehmer weiß schließlich, dass Kreditkartendaten und persönliche Sicherheitsmerkmale wie SMS-TANs keinen Dritten, insbesondere keinen Kaufinteressenten auf Kleinanzeigen, mitgeteilt werden dürfen.

Das Gericht ist davon ausgegangen, dass der Kläger auf der Phishing-Seite „sicher bezahlen“ die erhaltene SMS-TAN zur Freigabe eines neuen Endgeräts eingegeben hatte. Mit Hilfe dieser TAN konnte der Täter dann ein neues Endgerät registrieren und die streitgegenständlichen Verfügungen ausführen. Der Kläger war unstreitig auf der Phishing-Seite „sicher bezahlen“ und wurde dort aufgefordert zur Eingabe seiner Kreditkartendetails. Er hatte auch unstreitig am 2.8.2023 um 15:08 Uhr per SMS eine TAN erhalten zur Registrierung eines neuen Endgeräts.

Bei dieser Konstellation war von einer sekundären Darlegungslast auf der Klägerseite dazu auszugehen, wie die TAN zeitnah an den Täter gelangt war, wenn nicht dadurch, dass der Kläger sie auf der Phishing-Seite angegeben hatte. Der Kläger war schließlich als Verkäufer auf der Plattform [Kleinanzeigen.de] aufgetreten. Warum man als Verkäufer und damit als Person, die Geld erhalten soll, eine (vorgetäuschte) Zwei-Faktor-Freigabe erteilt, konnte sich dem Gericht nicht erschließen. Es darf von jedem verständigen Nutzer der Bezahlstruktur im Internet erwartet werden, dass er die grundlegende Bedeutung derartiger Freigabecodes versteht.

Mehr zum Thema:

Aufsatz
Martin Schmidt-Kessel
Verantwortung digitaler Plattformen
VersR 2024, 1241
VERSR0071004

Beratermodul WM / WuB Wirtschafts- und Bankrecht
WM und WuB in einem Modul: Die WM Zeitschrift für Wirtschafts- und Bankrecht informiert wöchentlich aktuell und umfassend im Rechtsprechungsteil über Urteile und Beschlüsse der Gerichte. Die WuB Entscheidungsanmerkungen zum Wirtschafts- und Bankrecht informieren monatlich aktuell und praxisbezogen kommentiert über alle wichtigen wirtschafts- und bankrechtlichen Entscheidungen. 4 Wochen gratis nutzen!