Im vorliegenden Fall hatte der Kunde beim Login auf einer gefälschten Bank-Internetseite insgesamt 10 TAN Nummern und seine PIN eingegeben. Die Daten wurden missbräuchlich verwendet und von dem Konto des Kunden wurden 5000 Euro abgehoben. Vor genau einem solchen Vorgehen hatte ihn seine Bank zuvor gewarnt. Der BGH hat entschieden, dass der Kunde nicht sorgfältig gehandelt hat und daher keinen Anspruch auf Rückerstattung des Geldes hat.
"Das Urteil ist eine Einzelfallentscheidung und kann nicht verallgemeinert werden", erklärt der auf Internetrecht spezialisierte Kölner Rechtsanwalt Christian Solmecke. Der Fall erfolgte noch vor Einführung des § 675 Abs. 2 BGB, der nun konkret regelt, dass Bankkunden im Onlinebanking nur haften, wenn ihnen PIN und TAN grob fahrlässig abhandengekommen sind. "Ich gehe zwar davon aus, dass im entschiedenen Fall eine grobe Fahrlässigkeit gegeben war und der Kunde auch nach heutiger Rechtslage sein Geld nicht zurückbekommen würde", macht Solmecke deutlich, "allerdings handelte es sich hier auch um einen Extremfall. Wie Kunden ihre Zugangsdaten schützen müssen, bleibt damit trotz des Urteils nach wie vor umstritten."
Bislang haben sich zu dieser Frage nur wenige Gerichte geäußert. Klare Regeln hat dazu schon das LG Köln (LG Köln, Urteil vom 5.12.2007 - 9 S 195/07) aufgestellt. Danach müssen Nutzer eine Firewall und aktuelle Virenschutzsoftware installieren, Windows Sicherheitsupdates einspielen, auf sprachliche Mängel auf den Phishing-Seiten achten und die Warnungen der Banken beachten. Eine solche generelle Pflicht zur vorbeugenden Installation von Schutzsoftware hat der Bundesgerichtshof allerdings bislang stets verneint (BGH, Urteil vom 4.3.2004 - III ZR 96/03). In dem entschiedenen Fall ging es darum, ob Telefonkunden zur Installation von Dialer-Schutzsoftware verpflichtet sind, um sich gegen teure Interneteinwahlprogramme zu schützen.
"Es bleibt abzuwarten, ob sich der BGH in den ausführlichen Urteilsgründen noch dazu äußern wird, wann Kunden grob fahrlässig handeln und für den entstandenen Schaden voll haften müssen. Auch wenn dies in der Vergangenheit umstritten war, wird man bei der Eingabe mehrerer TANs auf einer Internetseite wohl von einer groben Fahrlässigkeit ausgehen können. Kann der Kunde nachweisen, dass er nur fahrlässig gehandelt hat, ist seine Haftung auf 150 Euro beschränkt. Allgemein ist Kunden zu raten, ein Abhandenkommen oder einen Missbrauch der Konto-Zugangsinformationen schnell dem Kreditinstitut zu melden. Nach der Meldung ist eine Haftung komplett ausgeschlossen", erklärt Rechtsanwalt Christian Solmecke.
