Haftung der Bank beim Phishing
Das Landgericht Landshut hat mit Urteil vom 14. Juli 2011 (Az.: 24 O 1129/11) einen äußerst interessanten Fall zum sog. Phishing entschieden.
Der Kläger hat das von seiner Bank angebotene Online-Banking nach dem sog. iTAN-Verfahren genutzt. Anfang des Jahres 2011 wurde er Opfer eines Phishing-Angriffs. Durch einen auf seinem Rechner unbemerkt installierten Trojaner ist der Kläger auf eine Website geleitet worden, die der seiner Bank täuschend ähnlich sah. Dort wurde er wiederholt zur Eingabe von sog. Transaktionsnummern (TAN) aufgefordert. Der Kläger gabt dort insgesamt 100 (!) TAN’s ein.
Anschließend haben unbekannte Täter in 6 Einzelüberweisungen insgesamt 6000 EUR vom Konto des Klägers wegüberwiesen. Mit seiner Klage gegen die Bank verlangt der Kläger die Rückzahlung dieser 6000 EUR.
Das Landgericht Landshut hat der Klage stattgegegeben und die Bank zur Rückzahlung verurteilt.
Das Gericht stellt zunächst dar, dass im Rahmen des zwischen den Parteien bestehenden Girovertrages für die Überweisungen keine wirksame Anweisung des Klägers vorgelegen hat. Dies bedeutet, dass die Überweisung im Verhältnis zum Kläger das Kontoguthaben nicht wirksam geschmälert hat. Diese Argumentation ist zutreffend und juristisch nicht zu beanstanden.
Die entscheidene Frage lautet allerdings, ob dem Kläger ein Sorgfaltsverstoß vorzuwerfen war, der einen vertraglichen Schadensersatzanspruch der Bank gegen ihn begründet, mit der Konsequenz, dass der Kunde letztlich auf dem Schaden sitzen bleibt und nicht die Bank.
Eine solche Sorgfaltsverletzung hat das Landgericht verneint. Das Gericht wendet die Vorschrift des § 675v Abs. 2 BGB an, die die Haftung des Zahlers bei missbräuchlicher Nutzung eines Zahlungsauthentifizierungsinstruments regelt. Danach haftet der Zahler nur bei einer vorsätzlichen oder grob fahrlässigen Pflichtverletzung.
Der Kläger hat sicherlich fahrlässig gehandelt, was allerdings für eine Haftung nicht ausreichend ist. Die entscheidene Frage war also, ob auch die zusätzlichen Voraussetzungen einer groben Fahrlässigkeit gegeben waren, was das Gericht verneint hat.
Die Ansicht des Landgerichts, dass auch das Befolgen der Aufforderung, alle 100 TAN-Nummern einzugeben, keine grobe Fahrlässigkeit begründet, halte ich allerdings für diskutabel.
Wenn man von einem durchschnittlichen Online-Banking-Kunden ausgeht, dann muss man m.E. das Bewusstsein unterstellen, dass eine Bank niemals 100 TANs am Stück abfragen wird. Dass man dem Kläger hier zusätzlich zugute hält, dass er aus Osteuropa kommt und nur über eingeschränkte Kenntnisse der deutschen Sprache verfügt, halte ich für fragwürdig. Es dürfen und müssen zwar bei der Fahrlässigkeit auch subjektive Aspekte berücksichtigt werden. Andererseits wird man bei jemandem, der sich bewusst für das Online-Banking entscheidet, auch ein Mindestmaß an Verständnis unterstellen dürfen.
Ob das Urteil rechtskräftig geworden ist, ist mir nicht bekannt. Es ist aber anzunehmen, dass die Bank Berufung eingelegt hat.
Das Urteil zeigt in jedem Fall sehr deutlich, dass das Haftungsrisiko für einen Missbrauch im Bereich des Onlinebankings und auch im Bereich der EC-Karten-Zahlung vom Gesetzgeber deutlich auf die Zahlungsdienstleister verlagert worden ist. Der Kunde haftet nur für Vorsatz und grobe Fahrlässigkeit. Wann eine solche grobe Fahrlässigkeit tatsächlich vorliegt, ist allerdings immer eine Frage des Einzelfalls und häufig auch umstritten, wie der geschilderte Fall zeigt.
wenn ich sehe, dass meine tante (85 jahre und hoffentlich noch viele mehr) im internet überweisungen macht und dazu ihre altmodische „autoritätenhörigkeit“ (und dazu gehören auch banken und ihre sites) bedenke, dann bin ich verdammt froh, dass ein gericht auch so rum entscheiden kann…
Comment by borp — 15.09, 2011 @ 11:09
Einmal davon abgesehen, dass Banken gerne ihr für sie kostengünstiges Online-Banking an den Kunden bringen und diese Option bereits bei Kontoeröffnung aktivieren. Es kann aber nicht sein, dass Kunden einen Führerschein machen müssen, um Online-Banking benutzen zu dürfen. Sollte sich dieses Produkt als derart gefährlich herausstellen, müsste der Gesetzgeber hier regulieren, um Kunden vor sich selbst zu schützen. Damit wäre das Theme für den gemeinen Kunden durch und nur noch im geschäftsmäßigen Bereich möglich. Auf der anderen Seite handelt es sich hier um Einzelfälle, worunter die Allgemeinheit nicht zu leiden brauchen sollte. Und die Haftung liegt tendenziell immer bei der Bank, unverständlich weshalb hier noch das veraltete iTan-Verfahren eingesetzt worden ist.
Comment by Hans Lachs — 15.09, 2011 @ 11:18
Dazu gehört aber auch schon eine Portion Dummheit.Was für eine Arbeit,100 Tan Nummern einzugeben.Auf der anderen Seite muss eine Bank gewährleisten können,dass solche Überweisungen nicht ausgeführt werden.Wie ? Indem sie die Überweisungen eben überprüft und unter Vorbehlat der Rückforderung überweist,wie bei einem Lastschriftverfahren innerhalb von 6 Wochen.
Erst danach hat der Empfänger Anspruch auf das Geld.
Comment by anaconda — 16.09, 2011 @ 12:17
Jemand erhält einen Brief, der aussieht, als stamme er von Hersteller seines Autos. In dem Brief wird er aufgefordert, 1 kg Zucker in seinen Tank rieseln zu lassen, um den ordnungsgemäßen Betrieb des Wagens sicherzustellen. Dieser Jemand kommt der Aufforderung nach. Haftet der Autohersteller für den Schaden?
P.S. 1 kg Zucker im Tank beschädigen den Motor irreparabel.
Comment by Sebastian Wallroth — 16.09, 2011 @ 13:29
@Sebastian Wallroth: Da liegt der Fall aber anders – eine Bank fordert durchaus TANS an. Das ist nicht ungewöhnlich. Ich entnehme dem Artikel, daß er niht nur dumm auf eine Phishingmail geklickt hat, sondern sich eine Wanze eingefangen hat auf seinem Rechner, der URLs verbiegen kann. Da würde ich ja für mich selbst nicht die Hand ins Feuer legen und vermeide daher iTAN-Verfahren.
Ich denke, die Denkfalle hier liegt darin, daß dieser Spezialist 100 TANs eingibt. Jeder denkt, was für ein Depp. Aber für den Diebstahl der 6000 Euro bedarf es nicht all dieser TANs, drei hätten sicher genügt. Und wer von uns gibt nicht mindestens eine TAN nochmal ein, wenn nicht auszuschleßen ist, er habe sich vertippt? Auch ein zweites Mal ist vorstellbar. 100 sind natürlich überirdisch :-), aber m.E. unerheblich für den Fall. Und damit sind die beiden ersten Kommentare schon wieder sehr relevant auf dieser Seite hier – ich sehe das genauso.
Comment by SvB — 16.09, 2011 @ 17:37
Wie sieht es denn andersherum aus: Ich bin Händler. Jemand kauf mit geklauten Kreditkarteninformationen bei mir Ware. Tage oder Wochen später meldet sich die Kreditkartenfirma und sagt, sorry, dein Geld bekommst Du nicht, denn die Karte/die Karteninfos waren gestohlen.
Comment by Stefan — 20.09, 2011 @ 11:15