Bei unautorisierten Überweisungen steht Bankkundinnen und Bankkunden grundsätzlich eine Rückzahlung zu. Ist die Überweisung grob fahrlässig verschuldet worden, kann die Bank dem jedoch einen Schadensersatzanspruch in gleicher Höhe entgegenhalten, sofern das Verfahren nach unionsrechtlichen Vorgaben eine "starke Kundenauthentifizierung" enthält. Der BGH bestätigt, dass ein manuelles chipTAN-Verfahren in diesem Sinne stark genug sein kann, obwohl der Name des Zahlungsempfängers nicht auch auf dem Display des TAN-Generators angezeigt wird (Urteil vom 03.03.2026 – XI ZR 20/24).
Seit 2004 lief das Geschäftskonto eines selbstständigen Handwerkers über das Online-Banking seiner Sparkasse. Während früher noch Listen mit vorgenerierten Transaktionsnummern (TAN) zum Einsatz kamen, gibt es inzwischen diverse andere Authentifizierungsverfahren – darunter die sogenannte chipTAN. Dabei kommt ein Gerät zum Einsatz, das bei eingeschobener Chipkarte Ziffernfolgen generiert, die im Laufe einer Online-Überweisung eingegeben werden müssen.
Bei jeder Überweisung wird zunächst ein Startcode generiert, der in den TAN-Generator eingegeben werden muss. Danach muss auch die IBAN des Empfängers auf dem Gerät eingetippt werden, gefolgt vom Überweisungsbetrag. Das kann entweder manuell erfolgen, oder durch Abscannen eines QR-Codes vom Bildschirm (optisches chipTAN-Verfahren). Dann gibt der Generator eine sechsstellige TAN aus, die wiederum im Fenster des Online-Bankings eingegeben wird, um den Auftrag zu bestätigen.
Erfolgreicher Phishing-Versuch
Die voll verfügungsberechtigte Ehefrau des Handwerkers bekam im Oktober 2020 eine E-Mail, wonach der TAN-Generator "neu konfiguriert" werden müsse. Die Sparkasse – so der Vorwand der Betrüger – müsse ein gewisses "Covid Intelligence Spa Connect"-System einrichten. Nach der "Registrierung" zu diesem Prozess erhielt die Ehefrau am folgenden Samstag einen Anruf.
Der vermeintliche Sparkassenmitarbeiter brachte sie dazu, sowohl den Startcode und wohl auch die IBAN sowie den Zahlungsbetrag manuell einzugeben. Das manuelle Verfahren war der Frau unbekannt, da sie zuvor nur die optische Variante genutzt hatte. Die generierte TAN gab sie über das Telefon heraus. Das Prozedere wiederholte sich am folgenden Sonntag.
Mit den TAN-Nummern wurde das Überweisungslimit des Geschäftskontos vorübergehend von 10.000 auf bis zu 94.999 Euro erhöht und es wurden drei Echtzeitüberweisungen von insgesamt knapp 39.500 Euro in Auftrag gegeben. Vor dem LG Halle sowie dem OLG Naumburg verlangte der Handwerker erfolglos die Rückerstattung der unautorisierten Überweisung. Der BGH pflichtet nun bei: Das Verfahren war sicher genug, die Ehefrau hatte grob fahrlässig gehandelt.
Klassiker: Scam-Anruf am Wochenende
Grundsätzlich entstehe bei unautorisierten Zahlungen ein Erstattungsanspruch gegen die jeweilige Bank, so der XI. Zivilsenat, unter Umständen könne diese jedoch einen Schadensersatzanspruch in gleicher Höhe entgegenhalten. So etwa, wenn der Kunde grob fahrlässig die vereinbarten Bedingungen für das jeweilige Zahlungsinstrument verletze (§ 675v Abs. 3 Nr. 2 Buchst. b BGB). So stehe es hier. Der Ehefrau habe schon bei sorgfältiger Kontrolle der ersten E-Mails auffallen müssen, dass diese Rechtschreibfehler beinhalteten. Auch die Einführung des dubiosen "Covid Intelligence Spa Connect" habe sie stutzig machen müssen. Ihr sei zwar unbekannt gewesen, dass man sich durch sogenanntes Call-ID-Spoofing eine fremde Nummer zunutze machen könne, aber die Anrufe außerhalb der Geschäftszeiten an einem Wochenende hätten auffallen müssen; zumal auf den Websites der Sparkasse gerade vor derartigen "Neukonfigurierungen" gewarnt werde.
In den Bedingungen des Online-Bankings habe der Kunde zugestimmt, dass Sparkassen-Card und TAN-Generator vor Missbrauch zu schützen seien. Insbesondere sei er die Pflicht eingegangen, dass TAN-Nummern nicht außerhalb des Online-Bankings mündlich oder in Textform weitergegeben werden dürften. Das wiederum habe seine Ehefrau gerade getan, wobei sie nahelegende Überlegungen nicht angestellt und jegliche Vorsicht habe vermissen lassen. Dass ihr das manuelle Verfahren nicht bekannt gewesen sei, half hier nicht: Der Generator habe ausdrücklich angezeigt, dass sie gerade diverse IBAN und Überweisungsbeträge eingebe. Genug für die Annahme grober Fahrlässigkeit.
Name muss nicht auf dem Display stehen
Der Kläger hatte geltend gemacht, dass nicht auch der Name des Zahlungsempfängers auf dem TAN-Generator stehe, und das Verfahren daher keine "starke Kundenauthentifizierung" im Sinne des § 675v Abs. 4 Nr. 1 BGB enthalte. Die Vorschrift schließt den Schadensersatzanspruch der Bank in diesen Fällen aus. Das Fehlen des Namens auf dem TAN-Generators selbst hielt der Senat jedoch für unschädlich.
Eine starke Kundenauthentifizierung liege nach § 1 Abs. 24 Zahlungsdiensteaufsichtsgesetz (ZAG) vor, wenn die Authentifizierungsdaten durch zwei der drei folgenden Elemente geschützt würden: Wissen (etwas, das nur der Nutzer weiß), Besitz (etwas, das nur der Nutzer besitzt) und sogenannte Inhärenz (etwas, das der Nutzer ist). Beim Online-Banking müsse eine starke Kundenauthentifizierung den Zahlungsvorgang zudem "dynamisch" mit einem bestimmten Betrag und Empfänger verknüpfen.
Es sei schon unklar, ob die "Anzeige des Zahlungsempfängers", wie sie die einschlägige Delegierte Verordnung (EU) 2018/389 vorschreibe, überhaupt auch eine Anzeige des Klarnamens voraussetze. Selbst wenn, so der Senat, müsse er jedenfalls nicht auf dem TAN-Generator stehen. Denn die TAN-Erzeugung erfolge nicht isoliert, sondern immer im Zusammenhang mit einer laufenden Online-Überweisung. Bei vereinbarungsgemäßer Verwendung des Generators werde der Name dem Kunden dabei jedenfalls im Online-Banking-Fenster angezeigt.
Dass eine TAN auch generiert werden könne, ohne dass der Kunde das Online-Banking gerade vor sich habe, sei keine Verletzung der Sicherungspflichten der Bank. Die Vertraulichkeit, Authentizität und Integrität der vertraulichen Angaben sei auch ohne eine Anzeige auf dem TAN-Generator hinreichend gewahrt – der Kunde müsse es nur ordnungsgemäß verwenden.
