Internet-Law

Onlinerecht und Bürgerrechte 2.0

24.4.12

Haftung des Bankkunden in Fällen des Phishings

Der Bundesgerichtshof hat mit Urteil vom heutigen Tag (Urteil vom 24. April 2012 – XI ZR 96/11) eine Haftung eines Bankkunden bejaht, der Opfer einer Phishing- bzw. Pharming-Attacke wurde.

Der Kunde hatte die Bank erfolglos auf Rückzahlung von EUR 5000,- in Anspruch genommen. In Höhe dieses Betrags war sein Konto zuvor durch Betrüger erleichtert worden. Der Kunde hatte auf einer Phishing-Site auf Aufforderung hin 10 sog. TANs eingegeben, die die Betrüger anschließend benutzt haben, um den Betrag von EUR 5000,- vom Konto des Klägers wegzuüberweisen. In der Pressemitteilung des BGH heißt es dazu:

Auch wenn der Kläger die Überweisung der 5.000 € nicht veranlasst hat, ist sein Anspruch auf Auszahlung dieses Betrages erloschen, weil die Beklagte mit einem Schadensersatzanspruch in gleicher Höhe gemäß § 280 Abs. 1 BGB aufgerechnet hat.

Der Kläger ist nach dem in seiner Strafanzeige vorgetragenen Sachverhalt Opfer eines Pharming-Angriffs geworden, bei dem der korrekte Aufruf der Website der Bank technisch in den Aufruf einer betrügerischen Seite umgeleitet worden ist. Der betrügerische Dritte hat die so erlangte TAN genutzt, um der Bank unbefugt den Überweisungsauftrag zu erteilen. Der Kläger hat sich gegenüber der Bank durch seine Reaktion auf diesen Pharming-Angriff schadensersatzpflichtig gemacht. Er hat die im Verkehr erforderliche Sorgfalt außer Acht gelassen, indem er beim Log-In-Vorgang, also nicht in Bezug auf einen konkreten Überweisungsvorgang, trotz des ausdrücklichen Warnhinweises der Bank gleichzeitig zehn TAN eingegeben hat. Für die Haftung des Kunden reicht im vorliegenden Fall einfache Fahrlässigkeit aus, weil § 675v Abs. 2 BGB, der eine unbegrenzte Haftung des Kunden bei missbräuchlicher Nutzung eines Zahlungsauthentifizierungsinstruments nur bei Vorsatz und grober Fahrlässigkeit vorsieht, erst am 31. Oktober 2009 in Kraft getreten ist.

Ein anspruchsminderndes Mitverschulden der Bank hat das Berufungsgericht zu Recht verneint. Nach seinen Feststellungen ist die Bank mit dem Einsatz des im Jahr 2008 dem Stand der Technik entsprechenden iTAN-Verfahrens ihrer Pflicht zur Bereitstellung eines möglichst wenig missbrauchsanfälligen Systems des Online-Banking nachgekommen. Sie hat auch keine Aufklärungs- oder Warnpflichten verletzt. Ob mit der Ausführung der Überweisung der Kreditrahmen des Kunden überschritten wurde, ist unerheblich, weil Kreditinstitute grundsätzlich keine Schutzpflicht haben, Kontoüberziehungen ihrer Kunden zu vermeiden. Einen die einzelne Transaktion unabhängig vom Kontostand beschränkenden Verfügungsrahmen hatten die Parteien nicht vereinbart.

Die Entscheidung ist allerdings für aktuelle Fälle aus zwei Gründen nicht mehr von großer Bedeutung. Das sog. iTan-Verfahren entspricht heute nicht mehr dem Stand der Technik und wird m.W. von den meisten Banken nicht mehr praktiziert.

Außerdem ist im Jahre 2009 eine wesentliche gesetzliche Änderung in Kraft getreten. § 675v Abs. 2 BGB verlangt für eine (unbeschrännkte) Haftung des Bankkunden mittlerweile Vorsatz oder grobe Fahrlässigkeit, während der BGH in seiner Entscheidung noch einfache Fahrlässigkeit genügen lassen musste. Ob die 10-malige Eingabe einer TAN danach als grob fahrlässig zu bewerten wäre, ist fraglich. Das Landgericht Landshut hatte in einem vergleichbaren Fall unter Anwendung des neuen Rechts sogar die Eingabe von 100 TANs auf einer Phishing-Site nicht als grob fahrlässig eingestuft.

posted by Stadler at 16:43  

2 Kommentare »

  1. Ooo Gott ich hab sooo angst vor sowas !!!

    Comment by Umzug Wien — 26.04, 2012 @ 12:41

  2. “sogar die Eingabe von 100 TANs auf einer Phishing-Site nicht als grob fahrlässig eingestuft”

    ??Nun da sitzt einer eine erhebliche Zeit am Rechner tippt 100 TANs ab, obwohl sonst eine für einen Vorgang genügt und das ist nicht grob fahrlässig? Unverständlich. aber das anbieten 1 Filmes ist gewerblich?

    Hmm. ob das alles “Im Namen des Volkes ist” darf bezweifelt werden

    Comment by Christian — 26.04, 2012 @ 15:25

RSS-Feed für Kommentare zu diesem Beitrag.

Hinterlasse einen Kommentar