Internet-Law

Onlinerecht und Bürgerrechte 2.0

15.9.11

Haftung der Bank beim Phishing

Das Landgericht Landshut hat mit Urteil vom 14. Juli 2011 (Az.: 24 O 1129/11) einen äußerst interessanten Fall zum sog. Phishing entschieden.

Der Kläger hat  das von seiner Bank angebotene Online-Banking nach dem sog. iTAN-Verfahren genutzt. Anfang des Jahres 2011 wurde er Opfer eines Phishing-Angriffs. Durch einen auf seinem Rechner unbemerkt installierten Trojaner ist der Kläger auf eine Website geleitet worden, die der seiner Bank täuschend ähnlich sah. Dort wurde er wiederholt zur Eingabe von sog. Transaktionsnummern (TAN) aufgefordert. Der Kläger gabt dort insgesamt 100 (!) TAN’s ein.

Anschließend haben unbekannte Täter in 6 Einzelüberweisungen insgesamt 6000 EUR vom Konto des Klägers wegüberwiesen. Mit seiner Klage gegen die Bank verlangt der Kläger die Rückzahlung dieser 6000 EUR.

Das Landgericht Landshut hat der Klage stattgegegeben und die Bank zur Rückzahlung verurteilt.

Das Gericht stellt zunächst dar, dass im Rahmen des zwischen den Parteien bestehenden Girovertrages für die Überweisungen keine wirksame Anweisung des Klägers vorgelegen hat. Dies bedeutet, dass die Überweisung im Verhältnis zum Kläger das Kontoguthaben nicht wirksam geschmälert hat. Diese Argumentation ist zutreffend und juristisch nicht zu beanstanden.

Die entscheidene Frage lautet allerdings, ob dem Kläger ein Sorgfaltsverstoß vorzuwerfen war, der einen vertraglichen Schadensersatzanspruch der Bank gegen ihn begründet, mit der Konsequenz, dass der Kunde letztlich auf dem Schaden sitzen bleibt und nicht die Bank.

Eine solche Sorgfaltsverletzung hat das Landgericht verneint. Das Gericht wendet die Vorschrift des § 675v Abs. 2 BGB an, die die Haftung des Zahlers bei missbräuchlicher Nutzung eines Zahlungsauthentifizierungsinstruments regelt. Danach haftet der Zahler nur bei einer vorsätzlichen oder grob fahrlässigen Pflichtverletzung.

Der Kläger hat sicherlich fahrlässig gehandelt, was allerdings für eine Haftung nicht ausreichend ist. Die entscheidene Frage war also, ob auch die zusätzlichen Voraussetzungen einer groben Fahrlässigkeit gegeben waren, was das Gericht verneint hat.

Die Ansicht des Landgerichts, dass auch das Befolgen der Aufforderung, alle 100 TAN-Nummern einzugeben, keine grobe Fahrlässigkeit begründet, halte ich allerdings für diskutabel.

Wenn man von einem durchschnittlichen Online-Banking-Kunden ausgeht, dann muss man m.E. das Bewusstsein unterstellen, dass eine Bank niemals 100 TANs am Stück abfragen wird. Dass man dem Kläger hier zusätzlich zugute hält, dass er aus Osteuropa kommt und nur über eingeschränkte Kenntnisse der deutschen Sprache verfügt, halte ich für fragwürdig. Es dürfen und müssen zwar bei der Fahrlässigkeit auch subjektive Aspekte berücksichtigt werden. Andererseits wird man bei jemandem, der sich bewusst für das Online-Banking entscheidet, auch ein Mindestmaß an Verständnis unterstellen dürfen.

Ob das Urteil rechtskräftig geworden ist, ist mir nicht bekannt. Es ist aber anzunehmen, dass die Bank Berufung eingelegt hat.

Das Urteil zeigt in jedem Fall sehr deutlich, dass das Haftungsrisiko für einen Missbrauch im Bereich des Onlinebankings und auch im Bereich der EC-Karten-Zahlung vom Gesetzgeber deutlich auf die Zahlungsdienstleister verlagert worden ist. Der Kunde haftet nur für Vorsatz und grobe Fahrlässigkeit. Wann eine solche grobe Fahrlässigkeit tatsächlich vorliegt, ist allerdings immer eine Frage des Einzelfalls und häufig auch umstritten, wie der geschilderte Fall zeigt.

posted by Stadler at 10:39