BGH, Pressemitteilung Nr. 50/2012 : Pharming Angriffe im Online - Banking
Der für das Bank- und Börsenrecht zuständige
XI. Zivilsenat des Bundesgerichtshofs hat entschieden, unter welchen
Voraussetzungen ein Bankkunde sich im Online-Banking bei einem
Pharming-Angriff schadensersatzpflichtig macht.Vorauszuschicken ist allerdings, dass diese Entscheidung nicht die Rechtslage nach Inkrafttreten des § 675 v BGB - Haftung des Zahlers bei missbräuchlicher Nutzung eines Uahlungsauthentifizierungsinstruments - betrifft. Zur bisherigen Rechtslage besteht eine umfangreiche Rechtsprechung zur AGB - Praxis, die die wesentlichen Fallgruppen ausdifferenziert hat.
Nach dieser Norm wird die Haftung des Zahlers in Fällen einfacher Fahrlässigkeit auf einen Betrag von 150 Euro in Missbrauchsfällen beschränkt, sofern der Zahler nicht in betrügerischer Absicht oder vorsätzlich sowie grobfahrlässig gehandelt hat, indem er bestimmte Pflichten aus dem Bankvertrag verletzt hat. Wann noch einfache Fahrlässigkeit vorliegt oder schon gribe Fahrlässigkeit, ist noch nicht für alle Fallkonstellationen klar "abgeschichtet". Nach § 675 u BGB besteht kein Erstattungsanspruch des Zahlungsdienstleisters, wenn es sich nicht um einen authorisierten Zahlungsvorgang gehandelt hat und er nicht schuldhaft gehandelt hat. Vielmehr muss in einem solchen Fall die Bank den betreffenden Betrag ersetzen. Die Beweislast liegt nach § 675 w BGB grundsätzlich beim Zahlungsdienstleister, wobei es im Detail auf die Zuverlässigkeit des verwendeten Authentizifierungsverfahrens ankommt, wobei die Norm die Anforderungen an die Beweisführung aber letztlich offen lässt.
Im seitens des BGH jetzt entschiedenen Fall nahm der Kläger die
beklagte Bank wegen einer von ihr im Online-Banking ausgeführten
Überweisung von 5.000 € auf Rückzahlung dieses Betrages in Anspruch, entsprechend dem gesetzlichen Anspruch aus 675 u BGB für Fälle ab dem 31.10.2009 (Inkrafttreten der §§ 675 u b- w BGB).
Sachverhalt:
"Der Kläger unterhält bei der Beklagten ein Girokonto
und nimmt seit 2001 am Online-Banking teil. Für Überweisungsaufträge
verwendet die Beklagte das sog. iTAN-Verfahren, bei dem der Nutzer nach
Erhalt des Zugangs durch Eingabe einer korrekten persönlichen
Identifikationsnummer (PIN) dazu aufgefordert wird, eine bestimmte,
durch eine Positionsnummer gekennzeichnete (indizierte)
Transaktionsnummer (TAN) aus einer ihm vorher zur Verfügung gestellten,
durchnummerierten TAN-Liste einzugeben.
In der Mitte der Log-In-Seite des Online-Bankings der Beklagten befand sich folgender Hinweis:
"Derzeit sind vermehrt Schadprogramme und sogenannte
Phishing-Mails in Umlauf, die Sie auffordern, mehrere
Transaktionsnummern oder gar Kreditkartendaten in ein Formular
einzugeben. Wir fordern Sie niemals auf, mehrere TAN gleichzeitig
preiszugeben! Auch werden wir Sie niemals per E-Mail zu einer Anmeldung
im … Net-Banking auffordern!"
Am 26. Januar 2009 wurde vom Girokonto des Klägers
nach Eingabe seiner PIN und einer korrekten TAN ein Betrag von 5.000 €
auf ein Konto bei einer griechischen Bank überwiesen. Der Kläger, der
bestreitet, diese Überweisung veranlasst zu haben, erstattete am
29. Januar 2009 Strafanzeige und gab Folgendes zu Protokoll:
"Im Oktober 2008 - das genaue Datum weiß ich nicht
mehr - wollte ich ins Online-banking. Ich habe das Online-banking der …
Bank angeklickt. Die Maske hat sich wie gewohnt aufgemacht. Danach kam
der Hinweis, dass ich im Moment keinen Zugriff auf Online-banking der
... Bank hätte. Danach kam eine Anweisung zehn Tan-Nummern einzugeben.
Die Felder waren nicht von 1 bis 10 durchnummeriert, sondern kreuz und
quer. Ich habe dann auch die geforderten Tan-Nummern, die ich schon von
der Bank hatte, in die Felder chronologisch eingetragen. Danach erhielt
ich dann Zugriff auf mein Online-banking. Ich habe dann unter Verwendung
einer anderen Tan-Nummer eine Überweisung getätigt." Das Ermittlungsverfahren wurde eingestellt, da ein Täter nicht ermittelt werden konnte."
Bereits in den Vorinstanzen war die die Klage auf der Basis der bisher ergangenen Rechtsprechung zu vergleichbaren Fällen auf Zahlung von 5.000 € nebst Zinsen und
vorgerichtlichen Kosten erfolglos geblieben. Der
Bundesgerichtshof hat sich dem in vollem Umfang angeschlossen.
Der BGH ist der Auffassung, das auch für den Fall, dass der Kläger die
Überweisung der 5.000 € nicht veranlasst haben sollte, sein Anspruch auf
Auszahlung dieses Betrages erloschen ist, weil der Beklagte gegen diesen Anspruch ein Schadensersatzanspruch zusteht, mit der diese nach § 280 Abs. 1 BGB
aufgerechnet hat.
Einen Pharming - Angriff stellt der BGH nach dem Ergebnis des strafrechtlichen Ermittlungen nicht grundsätzlich in Frage: " Der Kläger ist nach dem in seiner Strafanzeige
vorgetragenen Sachverhalt Opfer eines Pharming-Angriffs geworden, bei
dem der korrekte Aufruf der Website der Bank technisch in den Aufruf
einer betrügerischen Seite umgeleitet worden ist. Der betrügerische
Dritte hat die so erlangte TAN genutzt, um der Bank unbefugt den
Überweisungsauftrag zu erteilen." Insoweit würde nach nach § 675 u BGB keine andere Beurteilung ergehen.
Der BGH sieht indessen in der Reaktion des Klägers einen Ansatzpunkt für einen Schadensersatzpflicht aufgrund von mindestens einfacher Fahrlässigkeit, weil der Kläger sich gegenüber der Bank
durch seine Reaktion auf diesen Pharming-Angriff schadensersatzpflichtig
gemacht hat. Der BGH sieht hier eine Verletzung der im Verkehr erforderlichen Sorgfalt, die der Kläger außer Acht
gelassen hat, indem er beim Log-In-Vorgang, also nicht in Bezug auf einen
konkreten Überweisungsvorgang, trotz des ausdrücklichen Warnhinweises
der Bank gleichzeitig zehn TAN eingegeben hat. Damit ist entscheidend, wie der Warnhinweis der Bank zu bewerten ist, der letztlich über das Vorliegen fahrlässigen Handelns des Kunden entscheidet. Der Warnhinweis ist eindeutig, aber möglicherweise für einen durchschnittlichen Bankkunden schwer verständlich. Der BGH geht insoweit auch "nur" von einfacher Fahrlässigkeit aus. Dies würde nach aktueller Rechtslage bedeuten, dass der Kunde 150,00 Euro an die Bank zahlen muss und im Übrigen einen Erstattungsanspruch hat und eine Haftung für nach Anzeiger erfolgte Überweisung ohnehin ausscheidet.
Der BGH statuiert aber für die frühere Rechtslage, dass der Bank gegen den Kunden ein unbegrenzter Schadensersatzanspruch bei missbräuchlicher Nutzung eines Zahlungsauthentifizierungsinstruments zusteht. Insofern hätte durchaus Anlass bestanden, auf die zugrundeliegenden AGB näher einzugehen und die Frage aufzuwerfen, ob eine unbeschränkte Haftung des Kunden wegen einfacher Fahrlässigkeit einer AGB - Inhaltskontrolle nach § 307 BGB standgehalten hätte. Etwa gegenüber der Entscheidung des BGH vom 05.10.2004, stellt diese Entscheidung eine Verschärfung dar, weil bislang weitgehend auf das Vorliegen einer groben Fahrlässigkeit abgestellt wurde, die hier kaum gegeben sein dürfte.
Ein anspruchsminderndes Mitverschulden der Bank nach § 254 BGB hat der BGH verneint, weil das zur Verfügung gestellte Authentifizierungssystem iTAN dem Stand der Technik des Jahres 2008 entsprochen hat. Auch Aufklärungs- oder Warnpflichten hat der BGH nicht als verletzt angesehen, was davon abhängt, ob man die Warnung der Bank als hinreichend ansieht.
Mit der geltenden Rechtslage wäre das Ergebnis dieser Entscheidung bei Annahmer von maximal einfacher Fahrlässigkeit nicht vereinbar, § 675 v Abs.1 BGB.
BGH, Urteil vom 24. April 2012 - XI ZR 96/11
Amtsgericht Düsseldorf - Urteil vom 6. April 2010 - 36 C 13469/09
Landgericht Düsseldorf - Urteil vom 19. Januar 2011 - 23 S 163/10
Karlsruhe, den 24. April 2012
Quelle: Pressestelle des Bundesgerichtshofs http://www.jurpc.de/rechtspr/20040285.htm
Keine Kommentare:
Kommentar veröffentlichen