Phishing und Kreditkartenmissbrauch: Der Fall vor dem Amtsgericht München
Ein aktuelles Urteil des Amtsgerichts München hat klargestellt, dass Bankkunden unter bestimmten Umständen keinen Anspruch auf Rückzahlung unberechtigt abgebuchter Kreditkartenzahlungen haben – auch wenn sie selbst keine aktiven Zahlungen autorisiert haben. Im konkreten Fall ging es um eine Kundin, von deren Kreditkarte innerhalb kurzer Zeit knapp 2.000 Euro für den Kauf von Geschenkgutscheinen abgebucht wurden. Ausgangspunkt war die Buchung einer Reise über eine vermeintlich legitime Internetseite.
Trotz sofortiger Sperrung der Karte und Klage auf Rückzahlung verlor die Kundin den Prozess. Nach Überzeugung des Gerichts hatte sie eine zentrale Sicherheitsmaßnahme unterlaufen: Sie gab eine SMS-TAN weiter, mit der das 3D-Secure-Verfahren auf einem neuen Gerät aktiviert wurde. Diese Weitergabe wertete das Gericht als grob fahrlässig.
Wie funktioniert das 3D-Secure-Verfahren – und warum ist es so sicher?
Das 3D-Secure-Verfahren stellt eine zusätzliche Sicherheitsstufe bei Kreditkartenzahlungen im Internet dar. Es kombiniert die Eingabe der Kartendaten mit einer Zwei-Faktor-Authentifizierung – typischerweise durch eine mobile TAN oder Freigabe per Banking-App. In dem hier entschiedenen Fall wurde ein neues Gerät zur Freigabe der Zahlungen aktiviert. Für diese Aktivierung wurde an die bekannte Mobilnummer eine SMS-TAN verschickt. Nur mit dieser TAN war es technisch möglich, ein neues Gerät als Freigabeinstrument zu registrieren und so spätere Zahlungen überhaupt erst zu ermöglichen.
Die Bank konnte durch IT-Protokolle und das Mobiltelefon der Kundin belegen, dass genau eine solche Aktivierung am 6. Januar 2024 erfolgte – exakt zu dem Zeitpunkt, zu dem die Reisebuchung vorgenommen wurde.
Grobe Fahrlässigkeit durch Weitergabe der SMS-TAN
Das Gericht stellte klar: Die Abbuchungen selbst mögen zwar durch Dritte erfolgt sein, doch der Sicherheitsmechanismus sei nur durch eine aktive Eingabe der SMS-TAN umgangen worden. Diese TAN wurde an das registrierte Mobilgerät der Klägerin gesendet und dort laut Nachrichtenverlauf auch empfangen. Dass sie nicht eingegeben wurde, hielt das Gericht angesichts der technischen Umstände für ausgeschlossen.
Besonders relevant: Das Gericht differenzierte deutlich zwischen der Weitergabe einfacher Kreditkartendaten – die bei jeder Buchung erforderlich sind – und der Weitergabe sicherheitsrelevanter Codes wie der SMS-TAN. Letzteres sei ein klarer Bruch der vertraglichen Pflichten und stelle eine grobe Fahrlässigkeit dar.
Keine Rückerstattung bei grob fahrlässigem Verhalten
Aufgrund der groben Fahrlässigkeit konnte sich die Kundin nicht auf einen Erstattungsanspruch gegenüber der Bank berufen. Die Bank hatte den Rückforderungsanspruch durch Aufrechnung mit einem ihr zustehenden Schadensersatzanspruch vollständig kompensiert. Rechtlich ergibt sich diese Möglichkeit in Fällen, in denen der Karteninhaber selbst durch Pflichtverletzungen eine missbräuchliche Nutzung ermöglicht hat.
Damit wird deutlich: Wer sicherheitsrelevante Zugangsdaten – sei es bewusst oder versehentlich – an Dritte weitergibt, verliert den Schutzmechanismus der Zwei-Faktor-Authentifizierung. Die Bank darf sich dann auf diese Pflichtverletzung berufen, um eigene Ersatzpflichten abzuwehren.
Typische Beweisprobleme bei Phishingfällen
Der Fall zeigt exemplarisch die Schwierigkeiten, die Kläger in Fällen von Onlinebetrug und Phishing vor Gericht haben. Technisch lässt sich im Nachhinein in vielen Fällen sehr genau rekonstruieren, welche Sicherheitsprozesse durchlaufen wurden – etwa, wann eine SMS-TAN verschickt und genutzt wurde. Auf Seiten der Kläger steht dagegen oft lediglich das eigene Erinnerungsvermögen und die Behauptung, selbst nicht aktiv gehandelt zu haben.
Ein großes Problem in der Praxis ist, dass viele Nutzer nicht nachvollziehen können, wie genau der Zugriff erfolgte. Besonders in Fällen, in denen Ehepartner, Kinder oder Bekannte Zugriff auf die Mobilgeräte haben, verwischen sich die Verantwortlichkeiten. Hinzu kommt, dass viele Fake-Seiten täuschend echt gestaltet sind, was die subjektive Wahrnehmung der Betroffenen beeinflusst – rechtlich ist das jedoch oft irrelevant, wenn objektiv gegen Sicherheitsvorgaben verstoßen wurde.
Warum anwaltliche Beratung bei Phishingfällen unverzichtbar ist
Obwohl die rechtlichen Hürden für eine erfolgreiche Klage gegen Banken hoch sind, sollte man sich als Betroffener nicht vorschnell geschlagen geben. Gerade weil die Beweislast komplex verteilt ist und technische Details eine entscheidende Rolle spielen, kann ein spezialisierter Anwalt prüfen, ob und welche Beweismittel gegebenenfalls doch zugunsten des Betroffenen sprechen.
Auch ist zu hinterfragen, ob die Bank ihre Pflicht zur Risikokontrolle und Betrugsprävention ausreichend erfüllt hat – etwa durch ungewöhnlich hohe Transaktionen, Mehrfachabbuchungen in kurzer Zeit oder durch Buchungen bei verdächtigen Dienstleistern. In manchen Fällen lassen sich hier Ansatzpunkte für einen Gegenangriff finden.
Vertragliche Sicherheitsvorgaben und ihre Grenzen
Banken verweisen in ihren AGB regelmäßig darauf, dass Kunden ihre Zugangsdaten und Authentifizierungsinformationen streng vertraulich behandeln müssen. Der Verstoß gegen diese Verpflichtung kann zu einer vollständigen Haftungsverlagerung führen. Allerdings stellt sich immer die Frage, wie klar und verständlich diese Regelungen kommuniziert wurden – und ob dem Kunden die tatsächliche Bedeutung der Informationen bewusst war.
Auch hier gilt: Die genaue Vertragsgestaltung, etwa im Rahmen der Online-Banking-Vereinbarung oder der Kreditkartenbedingungen, sollte sorgfältig geprüft werden. In Zweifelsfällen kann nur eine fundierte juristische Bewertung der Erfolgsaussichten helfen.
Fazit: Technische Sicherheit schützt nur bei konsequenter Nutzung
Die Entscheidung des Amtsgerichts München zeigt deutlich, dass moderne Sicherheitsverfahren wie 3D-Secure nur dann wirksam greifen, wenn sie konsequent genutzt und nicht durch eigenes Verhalten unterlaufen werden. Wer Dritten Zugriff auf TANs oder Freigabegeräte ermöglicht – sei es aus Unachtsamkeit, Unwissenheit oder Vertrauen – kann im Ernstfall auf dem Schaden sitzen bleiben. Umso wichtiger ist es, bei jeder Auffälligkeit sofort zu reagieren, Beweise zu sichern und sich umgehend rechtlich beraten zu lassen.
Rechtsanwalt Nils Michael Becker aus Bad Honnef bei Bonn ist mit seiner Kanzlei auf Tierrecht, Datenschutz und Vereinsrecht spezialisiert. Er ist Partner und Dozent an der Tierechtsakademie in Bielefeld und unterrichtet regelmäßig an der Akademie des Deutschen Beamtenbundes (dbb Akademie). Einfache und schnelle Terminvereinbarung unter nilsbecker.de/telefontermin.“