Es könne unterstellt werden, dass der Betroffene „aufgrund seiner beruflichen Qualifikation in geschäftlichen Dingen grundsätzlich erfahren“ sei, argumentierte das Gericht, das die Entscheidung der Vorinstanz bestätigte. Er hatte außerdem selbst angegeben, Online- und Telefonbanking bei mehreren Institutionen zu nutzen und mit den grundlegenden Funktionen von Banking- beziehungsweise TAN-Apps vertraut zu sein. Im konkreten Fall war ein Girokonto betroffen, bei dem der Rechtsanwalt und Steuerberater Online-Transaktionen mit dem sogenannten PushTAN-Verfahren bestätigt. Sobald er einen Auftrag erteilt, bekommt er über die auf dem Smartphone installierte PushTAN-Applikation eine Nachricht und wird zur Freigabe des Auftrags aufgefordert. Zusätzlich muss die Identifikation via Gesichtsscan erfolgen. Er hatte nun eine SMS bekommen, die den Hinweis enthielt, sein Konto mit dem Überweisungslimit in Höhe von EUR 10.000 sei eingeschränkt worden. Er solle sich für ein neues Verfahren anmelden und hierfür einem Weblink folgen – dieser enthielt das Wort Sparkasse. Die in der SMS genannte Telefonnummer war dem Betroffenen aufgrund früherer Korrespondenz mit seiner Bank bekannt. Er folgte den Anweisungen und wurde dann von enem Mann angerufen, der weitere Anweisungen erteilte. Der Rechtsanwalt gab vor Gericht an, dass er „etwas“ in der PushTAN-App bestätigt hatte. Was folgte, war die Überweisung in Höhe von 49.999,99 Euro an einen Empfänger mit männlichem Vor- und dem Nachnamen.
Authentifizierung in fremde Hände gelegt
Die Bank nutzt für die Veränderung des Überziehungslimits eine starke Kundenauthentifizierung mit PIN und PushTAN. Sie gab zu Protokoll, dass an dem betreffenden Tag zunächst per PushTAN die Freigabe für die Erhöhung des Limits auf 50.000 Euro angefragt und dann per Gesichtserkennung bestätigt worden sei. Von derselben IP-Adresse sei dann auf demselben Weg die Überweisung in Höhe des streitgegenständlichen Betrages erfolgt. Die Aussage des Betroffenen, einmal „etwas“ in der PushTAN-App bestätigt zu haben, sei unglaubhaft, argumentierten LG und OLG Frankfurt am Main. Außerdem habe er mit der Freigabe einer PushTAN auf telefonische Anweisung hin gegen seine Verpflichtung, Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen, verstoßen und einem unbekannten Dritten Zugriff auf ein personalisiertes Sicherheitsmerkmal gewährt. Faktisch habe er damit die Kontrolle über das Authentifizierungsinstrument PushTAN in fremde Hände gelegt.
Grobe Fahrlässigkeit bejaht
Das Vorgehen begründet den Vorwurf grober Fahrlässigkeit in objektiver und subjektiver Hinsicht. Bei der Freigabeaufforderung werde dem Kunden grundsätzlich angezeigt, für welchen konkreten Vorgang die TAN geschaffen wurde. „Beachtet ein Kunde diese deutlichen Hinweise nicht und erteilt die Freigabe, ohne auf die Anzeige zu achten, liegt hierin kein bloß einfach fahrlässiger Pflichtverstoß mehr“, betonte das OLG. „Denn bei Nutzung einer App, die explizit der Freigabe von Finanztransaktionen dient, muss es im Allgemeinen jedem einleuchten, dass die Anzeige zur Kenntnis zu nehmen und gründlich zu prüfen ist.“ Der Hinweis des Betroffenen auf den atypischen Verlauf via SMS half ihm nicht, im Gegenteil: Gerade das hätte ihm komisch vorkommen müssen und es müsse ihm bekannt sein, dass Banken seit geraumer Zeit bereits vor Phishing-Methoden dieser Art warnen. Es geht in dem Verfahren noch weiter, der Rechtsanwalt hat Nichtzulassungsbeschwerde zur Zulassung der Revision beim Bundesgerichtshof eingelegt.
Copyright Bild: Unsplash / Bruce Mars