Kunde haftet bei Pharming-Angriffen für fehlerhaftes Online-Banking.

Internet, IT und Telekommunikation
27.04.2012416 Mal gelesen
Wer auf einen solchen Eingriff hereinfällt, ist selber Schuld und muss die Konsequenzen tragen. Der BGH hat mit Urteil vom 24.4.2012 (Az.: XI ZR 96/11) eine Schadensersatzpflicht bejaht, wenn ein Bankkunde beim Log-In-Vorgang trotz des ausdrücklichen Warnhinweises der Bank gleichzeitig mehrere TAN eingibt.

Sachverhalt:

 

Der Kläger, der ein Girokonto bei der Beklagten hat und seit 2001 am Online-Banking teilnimmt, hatte die beklagte Bank wegen einer von ihr im Online-Banking ausgeführten Überweisung von 5000 Euro auf Rückzahlung dieses Betrages in Anspruch genommen.

 

Die beklagte Bank verwendet für Überweisungsaufträge das so genannte iTAN-Verfahren. Dieses Verfahren sieht vor, dass der Nutzer nach Erhalt des Zugangs durch Eingabe einer korrekten persönlichen Identifikationsnummer (PIN) dazu aufgefordert wird, eine bestimmte, durch eine Positionsnummer gekennzeichnete (indizierte) Transaktionsnummer (TAN) aus einer ihm vorher zur Verfügung gestellten, durchnummerierten TAN-Liste einzugeben.

 

Auf der Webseite der Beklagten befand sich mittig im Login-Bereich für das Online-Banking folgender Hinweis positioniert:

 

"Derzeit sind vermehrt Schadprogramme und so genannte Phishing-Mails in Umlauf, die Sie auffordern, mehrere Transaktionsnummern oder gar Kreditkartendaten in ein Formular einzugeben. Wir fordern Sie niemals auf, mehrere TAN gleichzeitig preiszugeben! Auch werden wir Sie niemals per E-Mail zu einer Anmeldung im . Net-Banking auffordern!"

 

Am 26. 1. 2009 wurde vom Konto des Klägers ein Betrag von 5000 Euro auf ein Konto bei einer griechischen Bank überwiesen, nachdem er seine PIN und eine korrekte TAN eingegeben hatte. Der Kläger hatte daraufhin bestritten, die Überweisung veranlasst zu haben und erstattete am 29. 1. 2009 Strafanzeige und gab Folgendes zu Protokoll:

 

"Im Oktober 2008 - das genaue Datum weiß ich nicht mehr - wollte ich ins Online-banking. Ich habe das Online-banking der . Bank angeklickt. Die Maske hat sich wie gewohnt aufgemacht. Danach kam der Hinweis, dass ich im Moment keinen Zugriff auf Online-banking der ... Bank hätte. Danach kam eine Anweisung zehn Tan-Nummern einzugeben. Die Felder waren nicht von 1 bis 10 durchnummeriert, sondern kreuz und quer. Ich habe dann auch die geforderten Tan-Nummern, die ich schon von der Bank hatte, in die Felder chronologisch eingetragen. Danach erhielt ich dann Zugriff auf mein Online-banking. Ich habe dann unter Verwendung einer anderen Tan-Nummer eine Überweisung getätigt."

 

Das Ermittlungsverfahren wurde aber eingestellt, da ein Täter nicht ermittelt werden konnte und eine Klage auf Zahlung von 5000 Euro nebst Zinsen und vorgerichtlichen Kosten blieb in den Vorinstanzen erfolglos.

 

Entscheidung:

 

Der BGH hat die vom Berufungsgericht zugelassene Revision zurückgewiesen.

 

Der BGH entschied, dass die Klage unbegründet ist, mit der Begründung, dass obwohl der Kläger die Überweisung der 5000 Euro nicht veranlasst hatte, sein Anspruch auf Auszahlung dieses Betrages erloschen sei, denn die Beklagte hätte mit einem Schadensersatzanspruch in gleicher Höhe gemäß § 280 Absatz 1 BGB aufgerechnet.

 

Der BGH hatte ferner ausgeführt, dass der Kläger Opfer eines Pharming-Angriffs geworden war, bei dem der korrekte Aufruf der Website der Bank technisch in den Aufruf einer betrügerischen Seite umgeleitet worden sei. Der betrügerische Dritte hatte die TAN dann genutzt, um wiederrum der Bank auf unbefugte Weise einen Überweisungsauftrag zu erteilen.

 

Der Kläger hatte sich, so der BGH, gegenüber der Bank durch seine Reaktion auf diesen Pharming-Angriff schadensersatzpflichtig gemacht. Er hatte die im Verkehr erforderliche Sorgfalt außer Acht gelassen, indem er beim Log-In-Vorgang, trotz des ausdrücklichen Warnhinweises der Bank gleichzeitigzehn TANeingegeben hat.

 

Obwohl mittlerweile eine Änderung der Rechtslage im Hinblick auf den Haftungsmaßstab eingetreten ist, reichte für die Haftung des Kunden im vorliegenden Fall bereits eine einfache Fahrlässigkeit aus. Der § 675 v Absatz 2 BGB, der eine unbegrenzte Haftung des Kunden bei missbräuchlicher Nutzung eines Zahlungsauthentifizierungsinstruments nur bei Vorsatz und grober Fahrlässigkeit vorsieht, ist nämlich erst am 31. 10. 2009 in Kraft getreten.

 

Zudem hatte das Berufungsgericht zu Recht, ein anspruchsminderndes Mitverschulden der Bank verneint. Die Bank wäre mit dem Einsatz des 2008 dem Stand der Technik entsprechenden iTAN-Verfahrens ihrer Pflicht zur Bereitstellung eines möglichst wenig missbrauchsanfälligen Systems des Online-Banking nachgekommen. Sie hätte auch keine Aufklärungs- oder Warnpflichten verletzt.

 

Abschließend hatte der BGH noch betont, sei es unerheblich, ob mit der Ausführung der Überweisung der Kreditrahmen des Kunden überschritten wurde, denn Kreditinstitute hätten grundsätzlich keine Schutzpflicht, Kontoüberziehungen ihrer Kunden zu vermeiden und einen die einzelne Transaktion unabhängig vom Kontostand beschränkenden Verfügungsrahmen hatten die Parteien auch nicht vereinbart. 

 

Mehr Information finden Sie hier:

www.wvr-law.de

www.abmahnhelfer.de