Bankkunden können von ihrem Kreditinstitut keinen Schadenersatz verlangen, wenn sie auf Betrüger hereinfallen, weil sie die erforderliche Sorgfalt außer Acht lassen. Das hat der Bundesgerichtshof heute entschieden (Aktenzeichen XI ZR 96/11). Allerdings bezieht sich das Urteil auf einen Fall, der vor der Änderung des einschlägigen Gesetzes eingetretn ist.
Im zugrunde liegenden Fall verlangte der Kunde von seiner Bank wegen einer von dieser im Onlinebanking ausgeführten Überweisung 5000 Euro zurück. Die Bank setzte zum Zeitpunkt des Vorfalls auf das iTAN-Verfahren. In der Mitte der Log-in-Seite befand sich folgender Hinweis: „Derzeit sind vermehrt Schadprogramme und sogenannte Phishing-Mails in Umlauf, die Sie auffordern, mehrere Transaktionsnummern oder gar Kreditkartendaten in ein Formular einzugeben. Wir fordern Sie niemals auf, mehrere TAN gleichzeitig preiszugeben! Auch werden wir Sie niemals per E-Mail zu einer Anmeldung im …-Banking auffordern!“
Am 26. Januar 2009 wurde vom Girokonto des Kunden nach Eingabe seiner PIN und einer korrekten TAN ein Betrag von 5000 Euro auf ein Konto bei einer griechischen Bank überwiesen. Der Kunde bestreitet, diese Überweisung veranlasst zu haben. Er erstattete am 29. Januar 2009 Strafanzeige. Im Oktober 2008 habe er die Onlinebanking-Site seiner Bank aufrufen wollen, aber einen Hinweis bekommen, dass er im Moment keinen Zugriff darauf habe. Danach sei er aufgefordert worden, zehn TAN-Nummern einzugeben. Nach deren Eingabe habe er den gewünschten Zugriff erhalten.
Seine Klage auf Zahlung von 5000 Euro nebst Zinsen und vorgerichtlichen Kosten ist in den Vorinstanzen erfolglos geblieben. Der Bundesgerichtshof hat die vom Berufungsgericht zugelassene Revision zurückgewiesen. Nach Ansicht der Richter ist die Klage unbegründet. Der Kläger sei offenbar Opfer eines Pharming-Angriffs geworden, bei dem der korrekte Aufruf der Website der Bank technisch in den Aufruf einer betrügerischen Seite umgeleitet worden ist. Der Betrüger habe die so erlangte TAN genutzt, um der Bank unbefugt den Überweisungsauftrag zu erteilen.
Der Kläger hat nach Auffassung der Karlsruher Richter die erforderliche Sorgfalt außer Acht gelassen, indem er beim Log-in-Vorgang trotz des ausdrücklichen Warnhinweises der Bank gleichzeitig zehn TAN eingab. Für die Haftung des Kunden reiche im vorliegenden Fall einfache Fahrlässigkeit aus, weil das Gesetz, das eine unbegrenzte Haftung des Kunden bei missbräuchlicher Nutzung eines Zahlungsauthentifizierungsinstruments nur bei Vorsatz und grober Fahrlässigkeit vorsieht, erst am 31. Oktober 2009 in Kraft getreten ist.
Christian Solmecke, Anwalt der Kölner Kanzlei Wilde Beuger Solmecke, sieht das Urteil als Einzelfallentscheidung, die nicht verallgemeinert werden könne: Der Fall datiere schließlich noch vor Einführung des Paragrafen 675v, Absatz 2 des BGB, der nun konkret regelt, dass Bankkunden im Onlinebanking nur haften, wenn ihnen PIN und TAN grob fahrlässig abhanden gekommen sind. „Ich gehe zwar davon aus, dass im entschiedenen Fall eine grobe Fahrlässigkeit gegeben war und der Kunde auch nach heutiger Rechtslage sein Geld nicht zurückbekommen würde, allerdings handelte es sich hier auch um einen Extremfall. Wie Kunden ihre Zugangsdaten schützen müssen, bleibt damit trotz des Urteils nach wie vor umstritten.“
Bislang haben sich laut Solmecke zu dieser Frage nur wenige Gerichte geäußert, darunter das Landgericht Köln. Danach müssen Nutzer eine Firewall und aktuelle Virenschutzsoftware installieren, Windows-Sicherheitsupdates einspielen, auf sprachliche Mängel auf den Phishing-Seiten achten und die Warnungen der Banken beachten. Eine solche generelle Pflicht zur vorbeugenden Installation von Schutzsoftware hat der Bundesgerichtshof allerdings bislang stets verneint.
„Es bleibt abzuwarten, ob sich der BGH in den ausführlichen Urteilsgründen noch dazu äußern wird, wann Kunden grob fahrlässig handeln und für den entstandenen Schaden voll haften müssen. Auch wenn dies in der Vergangenheit umstritten war, wird man bei der Eingabe mehrerer TANs auf einer Internetseite wohl von einer groben Fahrlässigkeit ausgehen können. Kann der Kunde nachweisen, dass er nur fahrlässig gehandelt hat, ist seine Haftung auf 150 Euro beschränkt. Allgemein ist Kunden zu raten, ein Abhandenkommen oder einen Missbrauch der Konto-Zugangsinformationen schnell dem Kreditinstitut zu melden. Nach der Meldung ist eine Haftung komplett ausgeschlossen“, so Rechtsanwalt Solmecke.
Lutz Neugebauer, Sicherheitsexperte beim Bitkom, sagt dazu in einer Pressemitteilung des Verbandes: „Beim Onlinebanking sollten Kunden auf drei Dinge achten: Das sicherste Überweisungsverfahren ihrer Bank wählen, aktuelle Sicherheitssoftware einsetzen und gesunde Vorsicht walten lassen. Dann bietet Onlinebanking ein sehr hohes Sicherheitsniveau.“ In Betrugsfällen gibt es laut Bitkom eine Chance auf Schadenersatz, wenn der Kunde entsprechende Vorsichtsmaßnahmen belegen kann.
Derzeit nutzen laut Bitkom rund 28 Millionen Deutsche Onlinebanking. Das Bundeskriminalamt meldete in seiner Statistik für das Jahr 2010 rund 5300 Phishing-Fälle in Deutschland.
Hinweis: Artikel von ZDNet.de stehen auch in Google Currents zur Verfügung. Jetzt abonnieren.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…