Online-Banking: Fahrlässige Kunden haben keinen Anspruch auf Schadenersatz

Elektronisches BezahlenMarketingPolitikRechtSicherheit

Kunden haben keinen Anspruch auf Schadenersatz, wenn sie fahrlässig Betrügern TAN-Nummern überlassen. Allerdings bezieht sich das Urteil des Bundesgerichtshofes auf einen Vorfall aus dem Jahr 2008. Inzwischen hat sich die Gesetzeslage geändert.

Bankkunden können von ihrem Kreditinstitut keinen Schadenersatz verlangen, wenn sie die erforderliche Sorgfalt außer Acht lassen und dadurch auf Betrüger hereinfallen. Das hat der Bundesgerichtshof heute entschieden. Allerdings bezieht sich das Urteil auf einen Fall, der vor der Änderung des einschlägigen Gesetzes eingetreten ist.

Im zugrundeliegenden Fall verlangte der Kunde von seiner Bank wegen einer von dieser im Online-Banking ausgeführten Überweisung 5000 Euro zurück. Die Bank setzte zum Zeitpunkt des Vorfalls auf das iTAN-Verfahren. In der Mitte der Log-In-Seite des Online-Bankings befand sich folgender Hinweis: “Derzeit sind vermehrt Schadprogramme und sogenannte Phishing-Mails in Umlauf, die Sie auffordern, mehrere Transaktionsnummern oder gar Kreditkartendaten in ein Formular einzugeben. Wir fordern Sie niemals auf, mehrere TAN gleichzeitig preiszugeben! Auch werden wir Sie niemals per E-Mail zu einer Anmeldung im … Net-Banking auffordern!”

Am 26. Januar 2009 wurde vom Girokonto des Kunden nach Eingabe seiner PIN und einer korrekten TAN ein Betrag von 5000 Euro auf ein Konto bei einer griechischen Bank überwiesen. Der Kunde bestreitet, diese Überweisung veranlasst zu haben. Er erstattete am 29. Januar 2009 Strafanzeige. Im Oktober 2008 habe er die Online-Banking-Site seiner Bank aufrufen wollen, aber einen Hinweis bekommen, dass er im Moment keinen Zugriff darauf habe. Danach sei er aufgefordert worden, zehn Tan-Nummern einzugeben. Nach deren Eingabe habe er den gewünschten Zugriff erhalten.

Seine Klage auf Zahlung von 5000 Euro nebst Zinsen und vorgerichtlichen Kosten ist in den Vorinstanzen erfolglos geblieben. Der Bundesgerichtshof hat die vom Berufungsgericht zugelassene Revision zurückgewiesen. Nach Ansicht der Richter ist die Klage unbegründet. Der Kläger sei offenbar Opfer eines Pharming-Angriffs geworden, bei dem der korrekte Aufruf der Website der Bank technisch in den Aufruf einer betrügerischen Seite umgeleitet worden ist. Der Betrüger habe die so erlangte TAN genutzt, um der Bank unbefugt den Überweisungsauftrag zu erteilen.

Der Kläger hat nach Auffassung der Karlsruher Richter die erforderliche Sorgfalt außer Acht gelassen, indem er beim Log-In-Vorgang trotz des ausdrücklichen Warnhinweises der Bank gleichzeitig zehn TAN eingegeben hat. Für die Haftung des Kunden reiche im vorliegenden Fall einfache Fahrlässigkeit aus, weil das Gesetz, das eine unbegrenzte Haftung des Kunden bei missbräuchlicher Nutzung eines Zahlungsauthentifizierungsinstruments nur bei Vorsatz und grober Fahrlässigkeit vorsieht, erst am 31. Oktober 2009 in Kraft getreten ist.

Christian Solmecke, Anwalt der Kölner Kanzlei Wilde Beuger Solmecke, sieht das Urteil als Einzelfallentscheidung, die nicht verallgemeinert werden könne: Der Fall datiere schließlich noch vor Einführung des Paragrafen 675v, Absatz 2 des BGB, der nun konkret regelt, dass Bankkunden im Onlinebanking nur haften, wenn ihnen PIN und TAN grob fahrlässig abhanden gekommen sind. “Ich gehe zwar davon aus, dass im entschiedenen Fall eine grobe Fahrlässigkeit gegeben war und der Kunde auch nach heutiger Rechtslage sein Geld nicht zurück bekommen würde”, macht Solmecke deutlich, “allerdings handelte es sich hier auch um einen Extremfall. Wie Kunden ihre Zugangsdaten schützen müssen, bleibt damit trotz des Urteils nach wie vor umstritten.”

Bislang haben sich laut Solmecke zu dieser Frage nur wenige Gerichte geäußert, darunter das Landgericht Köln. Danach müssen Nutzer eine Firewall und aktuelle Virenschutzsoftware installieren, Windows Sicherheitsupdates einspielen, auf sprachliche Mängel auf den Phishing-Seiten achten und die Warnungen der Banken beachten. Eine solche generelle Pflicht zur vorbeugenden Installation von Schutzsoftware hat der Bundesgerichtshof allerdings bislang stets verneint.

“Es bleibt abzuwarten, ob sich der BGH in den ausführlichen Urteilsgründen noch dazu äußern wird, wann Kunden grob fahrlässig handeln und für den entstandenen Schaden voll haften müssen. Auch wenn dies in der Vergangenheit umstritten war, wird man bei der Eingabe mehrerer TANs auf einer Internetseite wohl von einer groben Fahrlässigkeit ausgehen können. Kann der Kunde nachweisen, dass er nur fahrlässig gehandelt hat, ist seine Haftung auf 150 Euro beschränkt. Allgemein ist Kunden zu raten, ein Abhandenkommen oder einen Missbrauch der Konto-Zugangsinformationen schnell dem Kreditinstitut zu melden. Nach der Meldung ist eine Haftung komplett ausgeschlossen”, so Rechtsanwalt Solmecke.

Lutz Neugebauer, Sicherheitsexperte beim Bitkom erklärt in einer Pressemitteilung des Verbandes: “Beim Online-Banking sollten Kunden auf drei Dinge achten: Das sicherste Überweisungsverfahren ihrer Bank wählen, aktuelle Sicherheitssoftware einsetzen und gesunde Vorsicht walten lassen. Dann bietet Online-Banking ein sehr hohes Sicherheitsniveau.” In Betrugsfällen gibt es laut Bitkom eine Chance auf Schadenersatz, wenn der Kunde entsprechende Vorsichtsmaßnahmen belegen kann. Derzeit nutzen laut Bitkom rund 28 Millionen Deutsche Online-Banking. Das Bundeskriminalamt meldete in seiner Statistik für das Jahr 2010 in Deutschland rund 5300 Phishing-Fälle.

(Kleines Bild links oben: arahan – Fotolia.com)

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen