Das Landgericht Oldenburg hat in einem Urteil vom 15.01.2016 entschieden, dass eine Bank ihren Kunden für Verluste entschädigen muss, die durch eine Phishing-Attacke beim Online-Banking entstanden sind. Das Gericht machte klar, dass es an der Bank liegt zu beweisen, dass der Kunde eine Zahlung tatsächlich autorisiert hat. Zudem stellte das Gericht fest, dass bei dem mTan-Verfahren keine ausreichende Sicherheit besteht, um von einem Anscheinsbeweis auszugehen.
Im Detail handelte es sich um einen Fall, bei dem der Kläger, der seit 15 Jahren das Online-Banking der beklagten Bank nutzte, Opfer von PhishingPhishing ist eine Form des Cyberbetrugs, bei dem Angreifer versuchen, sensible Informationen wie Benutzernamen, Passwörter und Kreditkartendetails zu erlangen, indem sie sich als vertrauenswürdige Entitäten ausgeben. Die Angreifer verwenden in... Mehr wurde. Dies geschah während er das mTan-Verfahren benutzte, bei dem zur Transaktionsfreigabe eine SMSEine "SMS" steht für "Short Message Service" und ist eine Dienstleistung, die es ermöglicht, kurze Textnachrichten zwischen Mobiltelefonen zu senden und zu empfangen. Diese Technologie wurde in den 1980er Jahren... Mehr mit einer TANEine TAN (Transaktionsnummer) ist eine einmalig verwendbare Nummer, die im Online-Banking zur Autorisierung von Banktransaktionen wie Überweisungen, Zahlungsaufträgen oder bei der Einrichtung von Daueraufträgen verwendet wird. Sie dient als zusätzliche... Mehr an sein Mobiltelefon gesendet wird. Zwischen dem 09.03.2015 und dem 13.03.2015 kam es zu 44 unberechtigten Überweisungen von den Konten des Klägers, was zu einem Gesamtschaden von 11.244,62 € führte. Der Kläger forderte Schadenersatz in dieser Höhe, den die Bank mit der Begründung ablehnte, der Kläger habe grob fahrlässig gehandelt, indem er unsichere Apps auf sein Mobiltelefon geladen habe.
Das Landgericht gab der Klage statt. Es wurde festgelegt, dass die Bank nachweisen muss, dass die umstrittenen Transaktionen vom Kläger autorisiert wurden. Es reicht nicht aus, dass die Bank lediglich die elektronische Aufzeichnung der Transaktionen vorlegt. Ebenfalls wurde entschieden, dass kein Anscheinsbeweis für eine Autorisierung besteht, nur weil die Authentifizierung mit den vom Kläger erhaltenen Benutzernamen, PINEine PIN (Persönliche Identifikationsnummer) ist eine geheime Nummernfolge, die zur Sicherung des Zugangs zu einem elektronischen System dient. Sie wird häufig im Finanzwesen, bei der Nutzung von Geldautomaten, Kreditkarten und... Mehr und TAN durchgeführt wurde.