Eine Frau wurde von einem vermeintlichen Bankmitarbeiter angerufen, der behauptete, es habe eine unberechtigte Kreditkartenanmeldung zu ihrem Konto gegeben. Der Anrufer fordert die Bankkundin auf, eine Authentifizierung mittels pushTAN-Verfahren durchzuführen, um die Kreditkartenanmeldung zu ihrem Konto zu löschen. Auf seine Anweisung hin tut sie das - vier Mal. Der vermeintliche Bankmitarbeiter teilt ihr daraufhin mit, ihr Konto werde jetzt zur Sicherheit gesperrt, sie könne aber mit der EC-Karte weiterhin zahlen.
Vom Konto der Frau wurden daraufhin fast 7.900 Euro abgehoben. Die Unbekannten nutzten dafür eine neu erstellte Kreditkarte und die vier pushTANs. Die Bank der Frau lehnte es ab, den Schaden zu regulieren. Sie wirft ihrer Kundin vor, die Abbuchungen durch eine grob fahrlässige Freigabe mittels pushTAN-Verfahren mitverursacht zu haben.
Schwere Sorgfaltspflichtverletzung
So sehen es auch die Gerichte. Zwar, so das LG Göttingen in der ersten Instanz, stehe der Bankkundin ein Erstattungsanspruch zu, da die Abbuchungen von ihr nicht autorisiert waren. Jedoch berufe sich die Bank zu Recht auf einen aufrechenbaren Gegenanspruch nach § 675v Abs. 3 Nr. 2 BGB. Die Kundin habe pflichtwidrig einen durch Dritte veranlassten Buchungsvorgang im Wege des pushTAN-Verfahrens freigegeben. Aus den Sicherheitshinweisen ergebe sich eindeutig, dass Bankmitarbeiter am Telefon niemals dazu auffordern, eine TAN zu nennen oder einen Auftrag mit der push-TAN-App freizugeben.
Die Bankkundin legte Berufung gegen das Urteil ein, nahm diese aber nach folgenden Hinweisen des OLG (Beschluss vom 06.01.2025 – 4 U 439/23) wieder zurück: Der Senat erklärte ihr, sie habe gegen die ihr obliegende Pflicht verstoßen, die Verwendung des pushTAN-Verfahrens vor unberechtigtem Zugriff zu schützen. Damit habe sie pflichtwidrig entgegen der Sicherheitshinweise der Bank gehandelt. Trotz verschiedener Verdachtsmomente bzw. Widersprüche habe sie auf Weisung des unbekannten Anrufers mehrfach die Freigabe von pushTANs erteilt.
Das OLG sieht darin eine schwere Sorgfaltspflichtverletzung. Ihm zufolge hätten bei der Kontoinhaberin aus verschiedenen Gründen Zweifel aufkommen müssen: Bereits zuvor habe es einen Anruf gegeben, der sich auch nach Rücksprache mit der Bank nicht aufklären ließ. Auch die Behauptung des vermeintlichen Bankmitarbeiters, dass die Löschung der Kreditkarte erforderlich sei, obwohl es nur eine versuchte Kreditkartenanmeldung gegeben habe, hätte Misstrauen wecken müssen. Dies gelte auch für die Behauptung, dass die EC-Karte trotz Sperrung des Kontos weiter genutzt werden könne. Hinzu komme, dass die Frau entgegen der üblichen Praxis für einen Vorgang wiederholt pushTAN Freigaben erteilt habe.
