Ein erfolgreiches Phishing bei der Reisebuchung führt nicht zu einem Anspruch auf Rückzahlung abgebuchter Kreditkartenbeträge.
In dem hier vom Amtsgericht München entschiedenen Fall wollte der Ehemann der Münchener Reisekundin am Samstag, dem 06.01.2024 für seine Ehefrau und sich eine Reise im Internet buchen. Hierzu gab er auf einer Homepage „Check24“ die Daten der Kreditkarte seiner Ehefrau ein. Kurz darauf erschien eine Mitteilung, dass ein Betrag in Höhe von 318,99 € vorgemerkt sei, ehe weitere Mitteilungen über vergleichbare Vormerkungen erschienen. Die Münchnerin veranlasste noch am selben Abend telefonisch die Sperrung der Kreditkarte. Am Montag, den 08.01.2024 sind sechs unberechtigte Abbuchungen zu je 318,99 € für Giftcards vom Konto der Reisekundin erfolgt, insgesamt 1.953,29 €. Zur Autorisierung der Transaktionen fand das Mastercard 3D-Secure-Verfahren Anwendung. Zur Aktivierung dieses Verfahrens auf einem weiteren Gerät, übersandte die beklagte Bank am 06.01.2024 eine SMS-TAN an die von der Reisekundin bei der Bank hinterlegte Mobilfunknummer. Die an die Reisekundin versandte SMS-TAN wurde dann auf dem weiteren mobilen Endgerät, auf dem auch die Banking-App freigeschaltet wurde, am 06.01.2024 eingegeben und damit das Secure-Verfahren aktiviert.
Die Münchnerin behauptete, dass sie diese Abbuchungen nicht autorisiert habe. Bei der Buchung sei sie nicht nach PIN oder Passwort gefragt worden, sie habe auch nirgendwo eine SMS-Tan eingegeben. Es sei nicht erkannt worden, dass es sich möglicherweise um eine Fake-Website handelte. Die beklagte Bank ging davon aus, dass die Münchnerin die SMS-Tan an einen Dritten weitergegeben haben muss, da eine Freigabe der Buchungen anders technisch nicht möglich gewesen sei und verweigerte die Zahlung.
Die Münchnerin verklagte die Bank daher vor dem Amtsgericht München auf Rückzahlung der 1.953,29 €. Das Amtsgericht wies die Klage ab:
Das Gericht ging zwar davon aus, dass die Abbuchungen nicht von der Reisekundin autorisiert waren, sondern von Dritten getätigt wurden. Aufgrund der Beweisaufnahme war das Gericht jedoch davon überzeugt, dass die Reisekundin die SMS-Tan grob fahrlässig an Dritte weitergegeben haben muss, weshalb ein Schadensersatzanspruch der Bank gegen die Reisekundin in gleicher Höhe bestehe, mit dem die Bank aufgerechnet habe.
Der Vortrag der Bank, dass diese in ihren Systemen feststellen konnte, dass das Mastercard 3D-Secure Verfahren per Banking App für die Kreditkarte der Reisekundin am 06.01.2024 um 13:30 Uhr aktiviert wurde, und zur Aktivierung dieses Verfahrens auf dem neuen Gerät eine SMS-TAN an die im Vertrag hinterlegte Mobilfunknummer der Reisekundin versandt wurde, wurde durch Inaugenscheinnahme des Mobiltelefons der Reisekundin bestätigt. Dort befindet sich eine SMS vom 06.01.2024 13:29 Uhr mit dem Inhalt: „[…] ist Ihre TAN für die Aktivierung von Mastercard Identity Check vom 06.01.2024 13:44 Uhr.“ Der Eingang der SMS um 13:29 Uhr war im eingesehenen Nachrichtenverlauf um 13:29 Uhr dokumentiert und wird auch durch das als vorgelegte IT-Protokoll belegt. Der Vortrag der Reisekundin, keine SMS-TAN erhalten zu haben und dass ihr Mobiltelefon nicht in die Freigabe involviert war, erwies sich damit als widerlegt.
Die Bank hat unbestritten vorgetragen, dass aufgrund der manuellen Eingabe einer an die Mobilfunknummer der Reisekundin versandten SMS-Tan ein Fremdzugriff technisch ausgeschlossen ist. Es wurde ein neues Gerät im Online-Banking der Reisekundin als Freigabeinstrument im Rahmen des 2-Faktor-Authentifizierungsverfahrens hinterlegt. Hierzu war – technisch zwingend – die Eingabe der SMS-Tan erforderlich. Das Gericht ist daher davon überzeugt, dass die Reisekundin durch Preisgabe der SMS-Tan Dritten eine Registrierung eines Geräts ermöglicht hat, wobei die Preisgabe persönlicher Sicherheitsmerkmale an Dritte gemäß den vertraglichen Bestimmungen untersagt war.
Das Verhalten der Reisekundin bewertet das Amtsgericht als grob fahrlässig. Es ist eine Sache, wenn man seine Kreditkartendaten offenbart. Diese werden bei jeder Verwendung offenbart und können auch von der Karte abgelesen werden. Die Weitergabe eines im Rahmen einer Zwei-Faktor-Autorisierung erhaltenden Zugangscodes kann nicht damit gleichgesetzt werden. Mit dieser Weitergabe hilft der Nutzer (Kläger) die Sicherheitsarchitektur grundlegend auszuhebeln. Es muss jedem verständigen Nutzer solcher Kreditkarten klar sein, welches Risiko er mit der Weitergabe derartiger Daten schafft. Die Reisekundin mag dies nicht bewusst getan haben und es mag auch nicht erinnerlich sein. Indessen lässt sich der Vorgang plausibel nicht anders erklären.
Amtsgericht München, Urteil des Amtsgerichts München vom 8. Januar 2025 – Aktenzeichen: 271 C 16677/24
