Der Kläger ist Besitzer eines Girokontos der Sparkasse, welches über das pushTAN-Verfahren abgesichert ist. Angeklagt wurde die Sparkasse Köln/Bonn, das Konto des Klägers durch Einzahlung in Höhe von etwa 14.000€ auf den Stand zu bringen, auf dem es sich ohne missbräuchliche Zahlungsvorgänge befunden hätte. Das LG Köln gab dem Kläger recht.
Der Kläger wurde am 23.09.2022 von einem vermeidlichen Mitarbeiter der beklagten Sparkasse angerufen. Durch sogenanntes „Call-ID Spoofing“ wurde dem Kläger auf dem Display seines Endgeräts die ihm Bekannte Nummer seiner Sparkasse angezeigt und der Anrufer gab sich als Mitarbeiter dieser Sparkasse aus. Der Kläger wurde über verdächtige Kontobewegungen in letzter Zeit befragt und darüber informiert, dass sein Konto zur Betrugsprävention gesperrt würde, er es aber an dieser Stelle wieder freischalten könne über die ihm bekannte pushTAN App. In dieser App erschien dem Kläger ein Auftrag „Registrierung Karte“, welchen er freigab. In Wahrheit bestätigte der Kläger hiermit die Registrierung einer digitalen Debitkarte zulasten seines Kontos, mit welcher Zahlungen über Smartphones, bspw. mit ApplePay, getätigt werden können.
Innerhalb zweier Tage gab der Angreifer mit dieser Karte 14.040,90€ per ApplePay aus, nur zwei Zahlungen in Summe von 550€ autorisierte der Kläger manuell. Der Kläger fordert, neben der vorgerichtlich erstatteten ~4.000€, die Erstattung weiterer ~10.000€ – also den Gesamtbetrag des ihm abhanden gekommenen Geldes.
Das LG Köln gibt dem Kläger recht. Nach § 675u Satz 2 BGB ist die Beklagte verpflichtet, nicht vom Kläger autorisierte Zahlungsvorgänge zu erstatten. Eine grobe Fahrlässigkeit des Klägers bei der Nutzung des Zahlungsdienstes lehnte das LG Köln ab, einerseits aufgrund des, zuvor genannten, eingesetzten Spoofing-Verfahrens, durch welches die ihm bekannte Nummer der Sparkasse angezeigt wurde, von welcher ein gewisses Maß an Vertrauen ausginge, andererseits weil die Bezeichnung des freizugebenden Auftrags „Registrierung Karte“ derart weit gefasst sei, dass hieraus nicht hervorginge, dass es sich um die Einrichtung einer digitalen Debitkarte auf einem Apple Gerät handele. Außerdem merkt das LG an, dass es der Beklagten ohne weiteres möglich gewesen wäre durch die Nennung von ApplePay den Kunden deutlicher darauf hinzuweisen, was er in Begriff ist, freizugeben.
- Urteil: Landgericht Köln, 22 O 43/23, abrufbar unter: https://www.stader.legal/urteile/landgericht-koeln-urteil-vom-08-01-2024-22-o-43-23.html
- Erklärung zu Caller-ID spoofing: https://www.comparitech.com/blog/information-security/number-spoofing-scams/