Ein Bankkunde, der im Online-Banking Opfer eines Pharming-Angriffs wird,
handelt fahrlässig, wenn er beim Log-In-Vorgang trotz ausdrücklichen
Warnhinweises gleichzeitig zehn TAN eingibt. So lautet der Tenor aus einem
Urteil des für das Bank- und Börsenrecht zuständige XI. Zivilsenats des
Bundesgerichtshofs. Er hat entschieden, unter welchen Voraussetzungen ein
Bankkunde sich im Online-Banking bei einem Pharming-Angriff
schadensersatzpflichtig macht.
Im zugrundeliegenden Fall nimmt der Kläger die beklagte Bank wegen einer von
ihr im Online-Banking ausgeführten Überweisung von 5000 Euro auf Rückzahlung
dieses Betrages in Anspruch. Der Kläger unterhält bei der Beklagten ein
Girokonto und nimmt seit 2001 am Online-Banking teil. Für
Überweisungsaufträge verwendet die Beklagte das sogenannte iTAN-Verfahren,
bei dem der Nutzer nach Erhalt des Zugangs durch Eingabe einer korrekten
persönlichen Identifikationsnummer (PIN) dazu aufgefordert wird, eine
bestimmte, durch eine Positionsnummer gekennzeichnete (indizierte)
Transaktionsnummer (TAN) aus einer ihm vorher zur Verfügung gestellten,
durchnummerierten TAN-Liste einzugeben.
In der Mitte der Log-In-Seite des Online-Bankings der Beklagten befand sich
folgender Hinweis: “Derzeit sind vermehrt Schadprogramme und sogenannte
Phishing-Mails in Umlauf, die Sie auffordern, mehrere Transaktionsnummern
oder gar Kreditkartendaten in ein Formular einzugeben. Wir fordern Sie
niemals auf, mehrere TAN gleichzeitig preiszugeben! Auch werden wir Sie
niemals per E-Mail zu einer Anmeldung im … Net-Banking auffordern!”.
Am 26. Januar 2009 wurde vom Girokonto des Klägers nach Eingabe seiner PIN
und einer korrekten TAN ein Betrag von 5000 Euro auf ein Konto bei einer
griechischen Bank überwiesen. Der Kläger, der bestreitet, diese Überweisung
veranlasst zu haben, erstattete am 29. Januar 2009 Strafanzeige und gab
Folgendes zu Protokoll: “Im Oktober 2008 – das genaue Datum weiß ich nicht
mehr – wollte ich ins Online-banking. Ich habe das Online-banking der … Bank
angeklickt. Die Maske hat sich wie gewohnt aufgemacht. Danach kam der
Hinweis, dass ich im Moment keinen Zugriff auf Online-banking der … Bank
hätte. Danach kam eine Anweisung zehn Tan-Nummern einzugeben. Die Felder
waren nicht von 1 bis 10 durchnummeriert, sondern kreuz und quer. Ich habe
dann auch die geforderten Tan-Nummern, die ich schon von der Bank hatte, in
die Felder chronologisch eingetragen. Danach erhielt ich dann Zugriff auf
mein Online-banking. Ich habe dann unter Verwendung einer anderen Tan-Nummer
eine Überweisung getätigt.”
Das Ermittlungsverfahren wurde eingestellt, da ein Täter nicht ermittelt
werden konnte.
Die Klage auf Zahlung von 5000 Euro nebst Zinsen und vorgerichtlichen Kosten
ist in den Vorinstanzen erfolglos geblieben. Der Bundesgerichtshof hat die
vom Berufungsgericht zugelassene Revision zurückgewiesen.
Die Klage ist unbegründet. Auch wenn der Kläger die Überweisung der 5000
Euro nicht veranlasst hat, ist sein Anspruch auf Auszahlung dieses Betrags
erloschen, weil die Beklagte mit einem Schadensersatzanspruch in gleicher
Höhe gemäß § 280 Abs. 1 BGB aufgerechnet hat.
Der Kläger ist nach dem in seiner Strafanzeige vorgetragenen Sachverhalt
Opfer eines Pharming-Angriffs geworden, bei dem der korrekte Aufruf der
Website der Bank technisch in den Aufruf einer betrügerischen Seite
umgeleitet worden ist. Der betrügerische Dritte hat die so erlangte TAN
genutzt, um der Bank unbefugt den Überweisungsauftrag zu erteilen. Der
Kläger hat sich gegenüber der Bank durch seine Reaktion auf diesen
Pharming-Angriff schadensersatzpflichtig gemacht. Er hat die im Verkehr
erforderliche Sorgfalt außer Acht gelassen, indem er beim Log-In-Vorgang,
also nicht in Bezug auf einen konkreten Überweisungsvorgang, trotz des
ausdrücklichen Warnhinweises der Bank gleichzeitig zehn TAN eingegeben hat.
Für die Haftung des Kunden reicht im vorliegenden Fall einfache
Fahrlässigkeit aus, weil § 675v Abs. 2 BGB, der eine unbegrenzte Haftung des
Kunden bei missbräuchlicher Nutzung eines
Zahlungsauthentifizierungsinstruments nur bei Vorsatz und grober
Fahrlässigkeit vorsieht, erst am 31. Oktober 2009 in Kraft getreten ist.
Ein anspruchsminderndes Mitverschulden der Bank hat das Berufungsgericht zu
Recht verneint. Nach seinen Feststellungen ist die Bank mit dem Einsatz des
im Jahr 2008 dem Stand der Technik entsprechenden iTAN-Verfahrens ihrer
Pflicht zur Bereitstellung eines möglichst wenig missbrauchsanfälligen
Systems des Online-Banking nachgekommen. Sie hat auch keine Aufklärungs-
oder Warnpflichten verletzt. Ob mit der Ausführung der Überweisung der
Kreditrahmen des Kunden überschritten wurde, ist unerheblich, weil
Kreditinstitute grundsätzlich keine Schutzpflicht haben, Kontoüberziehungen
ihrer Kunden zu vermeiden. Einen die einzelne Transaktion unabhängig vom
Kontostand beschränkenden Verfügungsrahmen hatten die Parteien nicht
vereinbart.
Bundesgrichtshof – Urteil vom 24. April 2012 – XI ZR 96/11
Amtsgericht Düsseldorf – Urteil vom 6. April 2010 – 36 C 13469/09
Landgericht Düsseldorf – Urteil vom 19. Januar 2011 – 23 S 163/10
Foto: Gerd Altmann/PhotoshopGraphics.com/pixelio.de