Sorgfaltsmaßstab von Bankkunden bei sog. Pharming-Angriffen im Online-Banking

Pharming ist eine von vielen Betrugsmethoden, die durch das Internet verbreitet werden. Sie basiert auf einer Manipulation der DNS-Anfragen von Webbrowsern, um den Benutzer auf gefälschte Webseiten umzuleiten.

(firmenpresse) - Benutzer können so beispielsweise auf täuschend echt nachgebildete Seiten einer Bank geleitet werden.

Der für das Bank- und Börsenrecht zuständige XI. Zivilsenat des Bundesgerichtshofs hat mit Urteil vom 24. April 2012 - XI ZR 96/11 entschieden, unter welchen Voraussetzungen ein Bankkunde sich im Online-Banking bei einem Pharming-Angriff schadensersatzpflichtig macht und damit Maßstäbe für die zukünftige Beurteilung des Sorgfaltsmaßstabs von Bankkunden im Online-Banking gesetzt.

Laut Pressemitteilung des Bundesgerichtshofs vom 24. April 2012 wurde im zugrundeliegenden Fall durch einen Bankkunden die beklagte Bank wegen einer von ihr im Online-Banking ausgeführten Überweisung von 5.000 € auf Rückzahlung dieses Betrages in Anspruch genommen, die Klage jedoch mit folgender Begründung abgewiesen:

"Der Kläger unterhält bei der Beklagten ein Girokonto und nimmt seit 2001 am Online-Banking teil. Für Überweisungsaufträge verwendet die Beklagte das sog. iTAN-Verfahren, bei dem der Nutzer nach Erhalt des Zugangs durch Eingabe einer korrekten persönlichen Identifikationsnummer (PIN) dazu aufgefordert wird, eine bestimmte, durch eine Positionsnummer gekennzeichnete (indizierte) Transaktionsnummer (TAN) aus einer ihm vorher zur Verfügung gestellten, durchnummerierten TAN-Liste einzugeben."

In der Mitte der Log-In-Seite des Online-Bankings der Beklagten befand sich folgender Hinweis:

"Derzeit sind vermehrt Schadprogramme und sogenannte Phishing-Mails in Umlauf, die Sie auffordern, mehrere Transaktionsnummern oder gar Kreditkartendaten in ein Formular einzugeben. Wir fordern Sie niemals auf, mehrere TAN gleichzeitig preiszugeben! Auch werden wir Sie niemals per E-Mail zu einer Anmeldung im … Net-Banking auffordern!"

Am 26. Januar 2009 wurde vom Girokonto des Klägers nach Eingabe seiner PIN und einer korrekten TAN ein Betrag von 5.000 € auf ein Konto bei einer griechischen Bank überwiesen.

Der Kläger, der bestreitet, diese Überweisung veranlasst zu haben, erstattete am 29. Januar 2009 Strafanzeige und gab Folgendes zu Protokoll:

"Im Oktober 2008 - das genaue Datum weiß ich nicht mehr - wollte ich ins Online-banking. Ich habe das Online-banking der … Bank angeklickt. Die Maske hat sich wie gewohnt aufgemacht. Danach kam der Hinweis, dass ich im Moment keinen Zugriff auf Online-banking der ... Bank hätte. Danach kam eine Anweisung zehn Tan-Nummern einzugeben. Die Felder waren nicht von 1 bis 10 durchnummeriert, sondern kreuz und quer. Ich habe dann auch die geforderten Tan-Nummern, die ich schon von der Bank hatte, in die Felder chronologisch eingetragen. Danach erhielt ich dann Zugriff auf mein Online-banking. Ich habe dann unter Verwendung einer anderen Tan-Nummer eine Überweisung getätigt."

Das Ermittlungsverfahren wurde eingestellt, da ein Täter nicht ermittelt werden konnte.

Die Klage auf Zahlung von 5.000 € nebst Zinsen und vorgerichtlichen Kosten ist in den Vorinstanzen erfolglos geblieben. Der Bundesgerichtshof hat die vom Berufungsgericht zugelassene Revision zurückgewiesen.

Die Klage ist unbegründet. Auch wenn der Kläger die Überweisung der 5.000 € nicht veranlasst hat, ist sein Anspruch auf Auszahlung dieses Betrages erloschen, weil die Beklagte mit einem Schadensersatzanspruch in gleicher Höhe gemäß § 280 Abs. 1 BGB aufgerechnet hat.

Der Kläger ist nach dem in seiner Strafanzeige vorgetragenen Sachverhalt Opfer eines Pharming-Angriffs geworden, bei dem der korrekte Aufruf der Website der Bank technisch in den Aufruf einer betrügerischen Seite umgeleitet worden ist. Der betrügerische Dritte hat die so erlangte TAN genutzt, um der Bank unbefugt den Überweisungsauftrag zu erteilen.

Der Kläger hat sich gegenüber der Bank durch seine Reaktion auf diesen Pharming-Angriff schadensersatzpflichtig gemacht. Er hat die im Verkehr erforderliche Sorgfalt außer Acht gelassen, indem er beim Log-In-Vorgang, also nicht in Bezug auf einen konkreten Überweisungsvorgang, trotz des ausdrücklichen Warnhinweises der Bank gleichzeitig zehn TAN eingegeben hat. Für die Haftung des Kunden reicht im vorliegenden Fall einfache Fahrlässigkeit aus, weil § 675v Abs. 2 BGB, der eine unbegrenzte Haftung des Kunden bei missbräuchlicher Nutzung eines Zahlungsauthentifizierungsinstruments nur bei Vorsatz und grober Fahrlässigkeit vorsieht, erst am 31. Oktober 2009 in Kraft getreten ist.

Ein anspruchsminderndes Mitverschulden der Bank hat das Berufungsgericht zu Recht verneint. Nach seinen Feststellungen ist die Bank mit dem Einsatz des im Jahr 2008 dem Stand der Technik entsprechenden iTAN-Verfahrens ihrer Pflicht zur Bereitstellung eines möglichst wenig missbrauchsanfälligen Systems des Online-Banking nachgekommen. Sie hat auch keine Aufklärungs- oder Warnpflichten verletzt. Ob mit der Ausführung der Überweisung der Kreditrahmen des Kunden überschritten wurde, ist unerheblich, weil Kreditinstitute grundsätzlich keine Schutzpflicht haben, Kontoüberziehungen ihrer Kunden zu vermeiden. Einen die einzelne Transaktion unabhängig vom Kontostand beschränkenden Verfügungsrahmen hatten die Parteien nicht vereinbart."

Fazit
Auch wenn dieses Urteil den Banken keinen Freibrief zum Wegfall der Haftung ausstellt, werden sich Bankkunden zukünftig einem erhöhten Sorgfaltsmaßstab bei der Beurteilung der korrekten Nutzung des Online-Banking ausgesetzt sehen. Als "goldene Regel" ist zu beachten, dass Anweisungen, die von den jeweiligen Banken zur Verfügung gestellten Transaktionsnummern (TAN) nie auf Anweisung herausgegeben werden sollten. Durch aktuell gehaltene und richtig konfigurierte Sicherheitssoftware (aktiver Hintergrundwächter, aktive Firewall) sollten sich Online-Banking-Manipulationen zudem verhindern lassen.

Weitere Infos zu dieser Pressemeldung:

Themen in dieser Pressemitteilung:


Unternehmensinformation / Kurzprofil:
Leseranfragen:
Bereitgestellt von Benutzer: webvocat
Datum: 10.06.2012 - 13:28 Uhr
Sprache: Deutsch
News-ID 655830
Anzahl Zeichen: 6118

Kontakt-Informationen:
Ansprechpartner: Rechtsanwalt Arnd Lackner
Stadt:

Saarbrücken

Telefon: 06819582820

Kategorie:

Datensicherheit

Meldungsart: bitte
Versandart: Veröffentlichung
Freigabedatum: 10.06.2012

Diese Pressemitteilung wurde bisher 0 mal aufgerufen.

Wettbewerbsrecht: OLG Hamburg zum Inverkehrbringen von Gesichtscremes in irrefü ...

Das OLG hat somit die erste Instanz (LG Hamburg, Urteil vom 27. Januar 2015, Az.: 312 O 51/14) nicht bestätigt. Die Richter der Vorinstanz sahen in den streitgegenständlichen Verpackungen gerade keine Irreführung der Verbraucher, da unter anderem ...

Urheberrecht: Zur Rechtswidrigkeit selbstgefertigter Lichtbilder von Produktverp ...

Sachverhalt: Im entschiedenen Fall streiten die Parteien um die unberechtigte Verwendung eines Lichtbildes. Der Kläger ist selbstständiger Fotograf und stellte 2003 Aufnahmen eines Funk-Farb-Kamera-Sets her. Der Beklagte inserierte im Februar ...

Datenschutzrecht: Safe Harbor ist tot – was müssen Unternehmen nun beachten? ...

Was war Safe Harbor? Safe Harbor war ein Abkommen zwischen der Europäischen Union und den USA, wonach personenbezogene Daten aus der EU legal in die USA übermittelt und von dort ansässigen Unternehmen verarbeitet werden durften. Hintergrund ...

Alle Meldungen von WAGNER Rechtsanwälte webvocat Partnerschaft