Die schöne neue Welt der digitalen Bezahlmethoden birgt viele Risiken, die Banken und Sparkassen versuchen an die Kunden abzuwälzen.
In einem richtungweisenden Urteil entschied das Landgericht Köln (Aktenzeichen: 15 O 267/22), dass der geschädigte Kunde von der Sparkasse schadlos zu stellen war.
Was war passiert? Der Kunde nutzte, wie Abertausende andere Banken- und Sparkassenkunden, das von der Bank zur Verfügung gestellte Onlinebanking.
Darüber hinaus benutzte er über eine App am Mobiltelefon das Push-TAN-Verfahren, das von Banken als besonders sicher angepriesen wird.
Unbemerkt wurde das Sparkassenkonto bereits zuvor angegriffen und die Bankdaten und der Zugang zum Onlinebanking durch entsprechende Zuhilfenahme von Schadsoftware oder einem späteren Datenkauf im darknet, hergestellt.
Im zweiten Anlauf nahmen die Kriminellen Kontakt mit dem Sparkassenkunden per Telefon auf. Zuvor hatten Sie ihm eine E-Mail gesendet und ihn aufgefordert, allgemeine Geschäftsbedingungen zu bestätigen.
Der Anrufer am Telefon, der einwandfreies Deutsch sprach und Detailinformationen zu dem Kunden, seinen Kontendaten und Kontenbewegungen hatte, veranlasste den Sparkassen Kunden über die App den AGB zuzustimmen. Ansonsten wäre eine weitergehende Zurverfügungstellung des Onlinebankings nicht möglich.
Der Sparkassenkunde ahnte nichts Böses und war auch bereits gewohnt, über seine Banking-App Informationen zu erhalten bzw. Aufträge zu erteilen. In der Folge sollte er über eine Push-TAN die AGBs bestätigen.
Zunächst unbemerkt nutzten die Kriminellen die Push-TAN, um im Hintergrund, unbemerkt, eine digitale Zahlkarte, nämlich eine Apple Pay auf einem Apple-Handy Tablet oder watch freizuschalten. Danach erfolgte in kürzester Zeit eine Vielzahl von Abbuchungen die sich zu einer mittleren fünfstelligen Summe aufsummierte.
Die Abbuchung erfolgt allesamt innerhalb eines recht kurzen Zeitraumes. Erst als der Bankkunde bei nächster Gelegenheit seinen Kontostand prüfte, fiel er aus allen Wolken. Der unbestritten gebliebene Text der Push-TAN, die perfiderweise ausdrücklich keine Zahlung autorisierte, lautete "Digitalisierung einer Karte" möglicherweise auch "Registrierung Karte".
Das Richtungsweisende an dem Urteil der Kölner Richter ist, dass sie in der Freigabe der TAN mit diesem Text, entgegen der Darstellung der Sparkasse, keinen groben Pflichtverstoß des Sparkassenkunden sahen. Explizit bemängelten die Richter, dass mit dem Inhalt des Textes der Push-TAN kein Hinweis darauf erkennbar gewesen sei, dass es um die Einrichtung eines Zahlsystems auf einem mobilen Endgerät des Herstellers Apple und damit um die Freigabe einer Möglichkeit zur Kontoverfügung ging, die nur von der Verfügungsgewalt über dieses mobile Endgerät abhängt.
Ohne weiteres wäre es der beklagten Sparkasse möglich gewesen, durch einen eindeutigen Text, insbesondere durch Verwendung eines Hinweises gerade auf Apple PAY, dem Kunden deutlich vor Augen zu führen, welcher Zahlungsdienst hiermit freigeschaltet werden sollte, um so ohne weiteres erkennen zu lassen, dass es eben um Endgeräte eines bestimmten Herstellers und die Nutzung als wallet, und nicht um eine physischn Karte geht.
Die Zahlen von Kunden, die sich Hilfe suchend melden und sich nicht erklären können, wie eine Zahlkarte oder ein Bezahlsystem, gerade häufig Apple Pay, bei Ihnen freigeschaltet wurden, wächst. Entsprechend sind geschädigte Kunden gut beraten möglichst frühzeitig anwaltschaftliche Hilfe in Anspruch zu nehmen um nicht auf den ihnen entstandenen, empfindlichen Schaden sitzen zu bleiben.
