Quelle: Pressemitteilung des Bundesgerichtshofs vom 24.04.2012, Nr. 50/2012):
Wie die Pressestelle des Bundesgerichtshofs am 24.04.2012 mitteilt, wurde vom BGH mit Urteil vom 24. April 2012 ; AZ: XI ZR 96/11 entschieden, dass sich ein Bankkunde beim Online-Banking in dem Fall, dass er von der Website der Bank technisch in den Aufruf einer betrügerischen Seite umgeleitet worden wurde und mittels Aufforderung mehrere iTans seiner Tan- Liste preisgibt, selbst schadensersatzpflichtig gegenüber der Bank macht, weil er die im Verkehr erforderliche Sorgfalt außer Acht gelassen hat, wenn er beim Log-In-Vorgang dort ohne einen konkreten Überweisungsvorgang und trotz eines zuvor allgemeinen, ausdrücklichen Warnhinweises der Bank vor Phishing-Mails gleichzeitig mehrere Tan's (vorliegend: 10 Stück) eingegeben hat, wodurch es einem Täter ermöglicht wird, später Geldtransaktionen ohne weitere Veranlassung des Kunden vom Bankkonto aus durchzuführen.
Für die Haftung eines solchen Bankkunden reiche einfache Fahrlässigkeit aus. (Hinweis: In dem vom BGH entschiedenen Fall galt allerdings der § 675v Abs. 2 BGB in der bis zum 30.10.2009 geltenden Fassung, der damals eine Begrenzung der Haftung des Kunden bei missbräuchlicher Nutzung eines Zahlungsauthentifizierungsinstruments nicht vorsah).
Größte Vorsicht ist daher bei sog. "Phaming"- oder "Phishing" Attacken auf Online-Konten geboten:
- Wer auch als Opfer eines Angriffs im Internet auf sog. Phaming-Seiten mehrere iTan Nummern preisgibt und dadurch dem/die Täter später Überweisungen zu Lasten seines Bankkontos ermöglicht, die er gar nicht selbst veranlasst hat, hat womöglich keinen Anspruch auf Ausgleich gegenüber der Bank, wenn er trotz ausdrücklicher, allgemeiner Warnhinweise der Bank gehandelt, sprich auf die Attacke "reagiert", hat.
- Auch wenn der Kunde eine Überweisung nicht veranlasst hat, ist in diesem Fall ein möglicher Anspruch auf Erstattung des Betrages durch die Bank vielleicht erloschen, weil die Bank in einem solchen Fall mit einem gleichen Schadensersatzanspruch aufrechnen kann.
- Auch eine spätere Strafanzeige des Kunden wegen der Pharming-Angriffs ändert daran oft nichts. Bereits durch die Reaktion des Bankkunden auf diesen Angriff, nämlich durch die Preisgabe mehrerer iTan, hat dieser seine im Verkehr beim Online- Banking erforderliche Sorgfalt außer Acht gelassen. Ein anrechenbares Mitverschulden der Bank hat der BGH hier im Zweifel verneint.
- Auch träfe die Bank in einem solchen Fall keine besondere Überwachungspflicht; sogar auch dann, wenn mit der späteren Überweisung vorhandene Kreditlinien des Kunden überschritten werden. Denn Kreditinstitute träfe gemäß dem Urteil grundsätzlich keine Schutzpflicht gegenüber dem Kunden, Kontoüberziehungen zu vermeiden. (Etwas anderes wäre denkbar, wenn mit dem Kunden zuvor ein sog. Transaktionslimit innerhalb eines Verfügungsrahmens vereinbart war, was durch die spätere Überweisung überschritten wird. Eine solche Limitabsprache zwischen Bank und Kunden existierte in dem zu entscheiden Fall wohl aber nicht. )
