Unter welchen Voraussetzungen macht sich ein Bankkunde im Online-Banking bei einem Pharming-Angriff schadensersatzpflichtig? Dazu hat der Bundesgerichtshof heute entschieden.

In dem Urteil vom 24. April 2012 - XI ZR 96/11 ging es darum, dass der Kläger die beklagte Bank wegen einer von ihr im Online-Banking ausgeführten Überweisung von 5.000 € auf Rückzahlung dieses Betrages in Anspruch nahm.

Er hatte bei der Beklagten ein Girokonto, seit 2001 nahm er am Online-Banking teil. Es wurde von der Beklagten für Überweisungsaufträge  das iTAN-Verfahren verwendet.

Warnhinweis der Bank

In der Mitte der Log-In-Seite des Online-Bankings der Beklagten befand sich der Hinweis: "Derzeit sind vermehrt Schadprogramme und sogenannte Phishing-Mails in Umlauf, die Sie auffordern, mehrere Transaktionsnummern oder gar Kreditkartendaten in ein Formular einzugeben. Wir fordern Sie niemals auf, mehrere TAN gleichzeitig preiszugeben! Auch werden wir Sie niemals per E-Mail zu einer Anmeldung im … Net-Banking auffordern!"

Pharming-Angriff

Es wurde von dem Girokonto des Klägers am 26. Januar 2009 nach Eingabe seiner PIN und einer korrekten TAN 5.000  € auf ein Konto bei einer griechischen Bank überwiesen, der Kläger bestreitet, diese Überweisung veranlasst zu haben.

Er erstattete am 29. Januar 2009 Strafanzeige, wobei er zu Protokoll gab: "Im Oktober 2008 - das genaue Datum weiß ich nicht mehr - wollte ich ins Online-banking. Ich habe das Online-banking der … Bank angeklickt. Die Maske hat sich wie gewohnt aufgemacht. Danach kam der Hinweis, dass ich im Moment keinen Zugriff auf Online-banking der ... Bank hätte. Danach kam eine Anweisung zehn Tan-Nummern einzugeben. Die Felder waren nicht von 1 bis 10 durchnummeriert, sondern kreuz und quer. Ich habe dann auch die geforderten Tan-Nummern, die ich schon von der Bank hatte, in die Felder chronologisch eingetragen. Danach erhielt ich dann Zugriff auf mein Online-banking. Ich habe dann unter Verwendung einer anderen Tan-Nummer eine Überweisung getätigt."

Weil der Täter nicht ermittelt wurde, wurde das Ermittlungsverfahren  eingestellt.

Der Kläger hatte in den Vorsinstanzen keinen Erfolg mit einer Klage auf Zahlung von 5.000 € nebst Zinsen und vorgerichtlichen Kosten. Der Bundesgerichtshof hat die vom Berufungsgericht zugelassene Revision zurückgewiesen, er hält die Klage für unbegründet.

Reaktion des Bankkunden und Schadensersatzanspruch

Denn auch wenn der Kläger die Überweisung der 5.000 € nicht veranlasst habe, sei sein Anspruch auf Auszahlung der 5.000 € erloschen, weil die Beklagte mit einem Schadensersatzanspruch in gleicher Höhe gemäß § 280 Abs. 1 BGB aufgerechnet habe.

Er war offenbar Opfer eines Pharming-Angriffs geworden, bei dem der korrekte Aufruf der Website der Bank technisch in den Aufruf einer betrügerischen Seite umgeleitet worden ist. Der betrügerische Dritte benutzt dabei die so erlangte TAN, um der Bank unbefugt den Überweisungsauftrag zu erteilen. Durch seine Reaktion auf den Angriff habe sich der Kläger gegenüber der Bank schadensersatzpflichtig gemacht, so der Bundesgerichtshof. Denn der Kläger habe die im Verkehr erforderliche Sorgfalt außer Acht gelassen, indem er beim Log-In-Vorgang, also nicht in Bezug auf einen konkreten Überweisungsvorgang, trotz des ausdrücklichen Warnhinweises der Bank gleichzeitig zehn TAN eingegeben habe. Ein anspruchsminderndes Mitverschulden der Bank sah der Bundesgerichtshof nicht als gegeben an.

Gesetzesänderung 2009

In dem konkreten Fall reichte für die Haftung des Kunden einfache Fahrlässigkeit aus: Denn § 675v Abs. 2 BGB, der eine unbegrenzte Haftung des Kunden bei missbräuchlicher Nutzung eines Zahlungsauthentifizierungsinstruments nur bei Vorsatz und grober Fahrlässigkeit vorsieht, ist erst am 31. Oktober 2009 in Kraft getreten. Ob es sich im streitgegenständlichen Fall um grobe Fahrlässigkeit handelte, ließ der Bundesgerichtshof offen.

Rechtsanwältin Amrei Viola Wienen
Anwaltskanzlei Wienen, Kanzlei für Medienrecht & Wirtschaft
Kurfürstendamm 125 A
10711 Berlin
Tel.: 030  / 390 398 80
www.kanzlei-wienen.de