Eine Frau verliert fast 2.000 Euro durch Phishing bei einer Reisebuchung. Die Bank verweigert die Rückzahlung, weil die Kundin eine Sicherheits-TAN weitergegeben haben soll. Das AG München stimmt der Bank zu.

Ein derzeit offenbar immer wieder vorkommender Fall von Online-Betrug beschäftigte das Amtsgericht (AG) München. Eine Frau hatte ihre Bank verklagt, weil ihr nach einer Reisebuchung mehrere Hundert Euro per Kreditkarte abgebucht wurden, ohne dass sie die Transaktionen autorisiert hatte. Das AG wies die Klage nun jedoch ab. Es sah es als erwiesen an, dass die Frau eine SMS-TAN für das Sicherheitsverfahren der Kreditkarte selbst an Dritte weitergegeben haben muss und damit grob fahrlässig gehandelt habe (AGMünchen, Urteil vom 8. Januar 2025, Az. 271 C 16677/24).

Reisebuchung endet im Datendiebstahl

Der Fall nahm an am Samstag, den 06.01.2024 seinen Anfang. Der Ehemann der späteren Klägerin wollte für sich und seine Frau online über das bekannte Vergleichsportal Check24 eine Reise buchen. Dazu nutzte er die Kreditkarte seiner Ehefrau und gab deren Daten auf der vermeintlichen Website des Portals ein. Direkt nach der Eingabe erschien eine Mitteilung über eine erste Vormerkung von 318,99 Euro, ehe weitere Mitteilungen über vergleichbare Vormerkungen erschienen. Die Münchnerin veranlasste noch am selben Abend telefonisch die Sperrung der Kreditkarte. Am Montag, den 08.01.2024 waren dann sechs unberechtigte Abbuchungen zu je 318,99 € für Giftcards vom Konto der Frau erfolgt, insgesamt 1.953,29 €.

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.

Die betroffene Bank verweigerte in der Folge eine Rückzahlung mit der Begründung, dass die Transaktionen ordnungsgemäß per sog. Mastercard 3D-Secure-Verfahren autorisiert worden seien.

Laut Darstellung der Bank war das Sicherheitsverfahren am gleichen Tag der Buchung, am 6. Januar 2024, auf einem neuen mobilen Endgerät aktiviert worden. Hierzu sei eine SMS-TAN an die bei der Bank hinterlegte Mobilfunknummer der Frau gesendet worden. Diese TAN sei dann auf dem neuen Gerät eingegeben worden, wodurch die Freigabe für künftige Transaktionen per 3D-Secure-Verfahren erfolgte.

Die Frau bestritt jedoch, jemals eine solche TAN erhalten oder eingegeben zu haben. Sie habe bei der Buchung keine PIN und kein Passwort verwendet. Auch sei ihr nicht bewusst gewesen, dass es sich um eine gefälschte Website gehandelt habe.

Wie die Bank zur technischen Absicherung argumentierte

Das AG München musste nun klären, ob die Frau Anspruch auf Erstattung der belasteten Summe hat. Nach Anhörung der Parteien und Auswertung technischer Beweise kam das AG zu einem klaren Ergebnis. Es stützte sich dabei insbesondere auf IT-Protokolle der Bank und die Einsichtnahme in das Mobiltelefon der betroffenen Frau.

Auf dem Mobiltelefon der Frau befand sich eine SMS vom 6. Januar 2024 um 13:29 Uhr mit dem Inhalt, dass eine TAN für die Aktivierung von Mastercard Identity Check versandt worden sei. Diese Information stimmte mit den Bankdaten überein. Die SMS war eindeutig an die korrekte Nummer der Frau gerichtet gewesen. Das AG hielt es daher für ausgeschlossen, dass ein Fremdzugriff ohne Eingabe dieser TAN möglich gewesen wäre.

Die Bank argumentierte, dass die Aktivierung des 3D-Secure-Verfahrens technisch zwingend die Eingabe dieser TAN auf einem neuen Gerät voraussetze. Ein unbemerkter Zugriff Dritter ohne Mitwirkung der Karteninhaberin sei somit nicht denkbar. Diese Einschätzung überzeugte das Gericht. Es sah es als erwiesen an, dass die Frau die TAN, wenn auch unbewusst, an Dritte weitergegeben haben müsse. Dadurch habe sie einem Fremden die Registrierung eines Geräts im Banking-System ermöglicht.

Grobe Fahrlässigkeit bei der Weitergabe von Sicherheitsmerkmalen

Das AG betonte, dass die Weitergabe eines Zugangscodes im Rahmen einer Zwei-Faktor-Authentifizierung nicht mit der Weitergabe von Kreditkartendaten gleichzusetzen sei. Letztere seien bei jeder Zahlung offen einsehbar, während die TAN ein besonders geschütztes Sicherheitsmerkmal darstelle. Wer eine solche TAN an Dritte weitergebe, unterlaufe das Sicherheitskonzept bewusst oder zumindest leichtfertig. Diese Handlung bewertete das AG als grob fahrlässig.

Infolge dieser groben Fahrlässigkeit habe die Frau keinen Anspruch auf Erstattung der abgebuchten Beträge. Die Bank habe zudem einen Schadensersatzanspruch in gleicher Höhe, mit dem sie gegen ihren Anspruch aufgerechnet habe. Das Verfahren endete somit mit einer Klageabweisung. Das Urteil ist noch nicht rechtskräftig.

Fälle wie dieser zeigen, wie wichtig es ist, bei Online-Zahlungen und der Nutzung von Zwei-Faktor-Verfahren höchste Vorsicht walten zu lassen. Besonders beim Empfang von TANs oder anderen Sicherheitscodes sollten Nutzer genau prüfen, wofür diese verwendet werden. Ein unbedachter Klick oder die Weitergabe solcher Daten kann erhebliche finanzielle Folgen haben.

Phishing über Buchungsplattformen nimmt zu

Ein vergleichbares Phänomen wurde zuletzt auch bei der bekannten Plattform Booking.com bekannt. Dort kam es in mehreren Fällen vor, dass über das interne Chatsystem vermeintliche Nachrichten von Hotels an Kunden verschickt wurden. Diese stammten jedoch nicht von den Hotels selbst. Vielmehr hatten sich Betrüger Zugriff auf die Kommunikationssysteme verschafft und versendeten täuschend echte Nachrichten. Unter dem Vorwand, es habe einen Fehler bei der Zimmerbuchung gegeben, forderten sie die Empfänger auf, erneut Kreditkartendaten zu hinterlegen. Diese Angaben landeten jedoch nicht beim Hotel, sondern direkt bei den Tätern. Auch hier droht Betroffenen ein erheblicher finanzieller Schaden.

Als Kanzlei mit Spezialisierung im Datenschutzrecht und IT-Recht vertreten wir Sie kompetent bei allen rechtlichen Problemen. Unsere Experten von WBS.LEGAL beraten Sie gerne jederzeit individuell und kompetent. Kontaktieren Sie und unter 0221 / 951 563 0 (Beratung bundesweit).

tsp