Die Haftung der Bank beim phishing im iTan Verfahren

16.09.2011722 Mal gelesen
Das Urteil des Landgerichts Landshut zeigt deutlich, dass das Haftungsrisiko für einen Missbrauch im Bereich des Onlinebankings vom Gesetzgeber deutlich auf die Zahlungsdienstleister verlagert worden ist. Der Kunde haftet nur für Vorsatz und grobe Fahrlässigkeit.

Die Fälle der Online-Kriminalität reißen leider nicht ab. Seit Jahren arbeiten Banken daran, das Verfahren im Online-Banking sicherer zu gestalten, überwiegend ist derzeit noch das so genannte iTan Verfahren im Einsatz.

Beim Verfahren der indizierten Transaktionsnummer, kurz iTAN kann der Kunde seinen Auftrag für eine Online-Überweisung nicht mehr mit einer beliebigen TAN aus seiner Liste legitimieren, sondern wird von der Bank aufgefordert, eine bestimmte, durch eine Positionsnummer gekennzeichnete TAN aus seiner zu diesem Zweck nun durchnummerierten Liste einzugeben. Der TAN-Aufforderung muss der Kunde innerhalb weniger Minuten folgen. Außerdem wird die angeforderte TAN auch im Falle einer Nichtverwendung im Bankrechner als verbraucht gekennzeichnet.

Leider wird auch das iTan Verfahren mittlerweile auf zwei verschiedene Weisen angegriffen, letztlich kommt es zu einer missbräuchlichen Überweisung, die der Kunde nicht veranlasst hat, die Bank belastet den missbräuchlich überwiesenen Betrag dem Kundenkonto.

Eine Berechtigung der Bank zu der Belastungsbuchung besteht grundsätzlich nicht, da der Kunde die Überweisung nicht in Auftrag gegeben hat. Ein Anspruch der Bank auf die Belastungsbuchung wäre nur dann gegeben, wenn der Kunde gegen seine Sorgfaltspflichten verstoßen hätte – diesen Einwand tragen einige Banken im Phishing Verfahren gern vor. Allerdings muss die Bank das angeblich nicht sorgfältige Verhalten des Kunden beweisen.

Eine höchstrichterliche Rechtsprechung liegt noch nicht vor, Landes- und Oberlandesgerichte werden zunehmend mit Phishing Fällen konfrontiert.

Das Landgericht Landshut hat mit Urteil vom 14.07.2011, 24 O 1129/11, einen äußerst interessanten Fall zum sog. Phishing entschieden.

Der Kläger hat das von seiner Bank angebotene Online-Banking nach dem sog. iTAN-Verfahren genutzt. Anfang des Jahres 2011 wurde er Opfer eines Phishing-Angriffs. Durch einen auf seinem Rechner unbemerkt installierten Trojaner ist der Kläger auf eine Website geleitet worden, die der seiner Bank täuschend ähnlich sah. Dort wurde er wiederholt zur Eingabe von sog. Transaktionsnummern (TAN) aufgefordert. Der Kläger gab dort insgesamt 100 TAN’s ein. Anschließend haben unbekannte Täter in 6 Einzelüberweisungen insgesamt 6000 EUR vom Konto des Klägers überwiesen. Mit seiner Klage gegen die Bank verlangt der Kläger die Rückzahlung dieser 6000 EUR.

Das Landgericht Landshut hat die Bank zur Rückzahlung des missbräuchlich überwiesenen Betrages  verurteilt.

Die Richter haben ausgeführt, dass im Rahmen des zwischen den Parteien bestehenden Girovertrages für die Überweisungen keine wirksame Anweisung des Klägers vorgelegen habe. Dies bedeutet, dass die Überweisung im Verhältnis zum Kläger das Kontoguthaben nicht wirksam geschmälert hat.

Eine Sorgfaltsverletzung des Klägers sahen die Richter als nicht gegeben an. Nach § 675v Abs. 2 BGB haftet der Kunde nur bei einer vorsätzlichen oder grob fahrlässigen Pflichtverletzung.

Zunächst haben die Richter festgestellt, dass die beklagte Bank nicht bewiesen habe, dass der Computer des Klägers nicht durch ein aktuelles handelsübliches Virenschutzprogramm und eine Firewall ausreichend gesichert gewesen sei. Der bloße Umstand, dass der Computer des Klägers offenbar dem Angriff eines Trojaners unterlegen sei, biete kein stichhaltiges Indiz. Es läge in der Natur der Sache, dass ein Schutz vor Computerviren regelmäßig nur in Reaktion auf bekannte Viren entwickelt werden kann. Deshalb könne auch ein regelmäßig aktualisiertes Schutzprogramm keine vollständige Gewähr dafür bieten, dass der Computer nicht von einem neu entwickelten Trojaner infiziert werde.

 

In den weiteren Ausführungen zum Urteil haben die Richter dargelegt, dass der Kläger zwar fahrlässig gehandelt habe, als er 100 TAN´s eingegeben habe, eine allein fahrlässige Handlung sei für eine Haftung allerdings nicht ausreichend. Die entscheidende Frage sei, ob auch die zusätzlichen Voraussetzungen einer groben Fahrlässigkeit gegeben waren, was das Gericht unter Berücksichtigung der Umstände des Einzelfalls letztlich verneint hat.

Die Bank hatte in dem Verfahren auch eingewandt, dass der Kläger die Möglichkeit gehabt habe, auf ein noch sichereres Verfahren zum Online-Banking umzustellen. Hierzu führten die Richter aus, dass es dem Kläger nicht zum Vorwurf gemacht werden könne, dass er weiterhin das iTAN-Verfahren benutzt, obwohl die beklagte Bank bereits seit Mai 2009 auch das mobile TAN-Verfahren zur Verfügung gestellt habe. Solange die Bank ihren Kunden auch das iTAN-Verfahren zur Verfügung stelle, kann sie das Verhalten ihrer Kunden nicht als grob fahrlässig qualifizieren, wenn diese von diesem Verfahren Gebrauch machen. Es obliege vielmehr der beklagten Bank, hineichend dafür zu sorgen, dass ihre Kunden vor entsprechenden Manipulationsversuchen Dritter umfassend gewarnt werden.