Phar­ming-Angriff im Online-Ban­king – Der Dum­me ist der Bank­kun­de

Der Bun­des­ge­richts­hof hat­te zu ent­schei­den, unter wel­chen Vor­aus­set­zun­gen ein Bank­kun­de sich im Online-Ban­king bei einem Phar­ming-Angriff scha­dens­er­satz­pflich­tig macht – und sah für den Schutz der PINs und TANs nicht pri­mär die Bank, son­dern den das Online-Ban­king nut­zen­den Bank­kun­den in der Pflicht: Ein Bank­kun­de, der im Online-Ban­king Opfer eines Phar­ming-Angriffs wird, han­delt fahr­läs­sig, wenn er beim Log-In-Vor­gang trotz aus­drück­li­chen Warn­hin­wei­ses gleich-zei­tig zehn TAN ein­gibt.

Phar­ming-Angriff im Online-Ban­king – Der Dum­me ist der Bank­kun­de

In dem jetzt vom Bun­des­ge­richts­hof ent­schie­de­nen Fall nimmt der Klä­ger die beklag­te Bank wegen einer von ihr im Online-Ban­king aus­ge­führ­ten Über­wei­sung von 5.000 € auf Rück­zah­lung die­ses Betra­ges in Anspruch. Der Klä­ger unter­hält bei der Beklag­ten ein Giro­kon­to und nimmt seit 2001 am Online-Ban­king teil. Für Über­wei­sungs­auf­trä­ge ver­wen­det die Beklag­te das sog. iTAN-Ver­fah­ren, bei dem der Nut­zer nach Erhalt des Zugangs durch Ein­ga­be einer kor­rek­ten per­sön­li­chen Iden­ti­fi­ka­ti­ons­num­mer (PIN) dazu auf­ge­for­dert wird, eine bestimm­te, durch eine Posi­ti­ons­num­mer gekenn­zeich­ne­te (indi­zier­te) Trans­ak­ti­ons­num­mer (TAN) aus einer ihm vor­her zur Ver­fü­gung gestell­ten, durch­num­me­rier­ten TAN-Lis­te ein­zu­ge­ben.

In der Mit­te der Log-In-Sei­te des Online-Ban­kings der Beklag­ten befand sich fol­gen­der Hin­weis: "Der­zeit sind ver­mehrt Schad­pro­gram­me und soge­nann­te Phis­hing-Mails in Umlauf, die Sie auf­for­dern, meh­re­re Trans­ak­ti­ons­num­mern oder gar Kre­dit­kar­ten­da­ten in ein For­mu­lar ein­zu­ge­ben. Wir for­dern Sie nie­mals auf, meh­re­re TAN gleich­zei­tig preis­zu­ge­ben! Auch wer­den wir Sie nie­mals per E‑Mail zu einer Anmel­dung im … Net-Ban­king auf­for­dern!"

Am 26. Janu­ar 2009 wur­de vom Giro­kon­to des Klä­gers nach Ein­ga­be sei­ner PIN und einer kor­rek­ten TAN ein Betrag von 5.000 € auf ein Kon­to bei einer grie­chi­schen Bank über­wie­sen. Der Klä­ger, der bestrei­tet, die­se Über­wei­sung ver­an­lasst zu haben, erstat­te­te am 29. Janu­ar 2009 Straf­an­zei­ge und gab Fol­gen­des zu Pro­to­koll: "Im Okto­ber 2008 – das genaue Datum weiß ich nicht mehr – woll­te ich ins Online­ban­king. Ich habe das Online­ban­king der … Bank ange­klickt. Die Mas­ke hat sich wie gewohnt auf­ge­macht. Danach kam der Hin­weis, dass ich im Moment kei­nen Zugriff auf Online­ban­king der … Bank hät­te. Danach kam eine Anwei­sung zehn Tan-Num­mern ein­zu­ge­ben. Die Fel­der waren nicht von 1 bis 10 durch­num­me­riert, son­dern kreuz und quer. Ich habe dann auch die gefor­der­ten Tan-Num­mern, die ich schon von der Bank hat­te, in die Fel­der chro­no­lo­gisch ein­ge­tra­gen. Danach erhielt ich dann Zugriff auf mein Online­ban­king. Ich habe dann unter Ver­wen­dung einer ande­ren Tan-Num­mer eine Über­wei­sung getä­tigt." Das Ermitt­lungs­ver­fah­ren wur­de ein­ge­stellt, da ein Täter nicht ermit­telt wer­den konn­te.

Die Kla­ge des Kun­den gegen sei­ne Bank auf Zah­lung der 5.000 € nebst Zin­sen und vor­ge­richt­li­chen Kos­ten ist sowohl erst­in­stanz­lich vor dem Amts­ge­richt Düs­sel­dorf1 wie auch in der Beru­fungs­in­stanz vor dem Land­ge­richt Düs­sel­dorf2 ohne Erfolg geblie­ben. Und auch der Bun­des­ge­richts­hof hat jetzt die vom Land­ge­richt in sei­nem Beru­fungs­ur­teil zuge­las­se­ne Revi­si­on des Kun­den zurück­ge­wie­sen.

Die Kla­ge ist unbe­grün­det, urteil­te der Bun­des­ge­richts­hof: Auch wenn der Klä­ger die Über­wei­sung der 5.000 € nicht ver­an­lasst hat, ist sein Anspruch auf Aus­zah­lung die­ses Betra­ges erlo­schen, weil die Beklag­te mit einem Scha­dens­er­satz­an­spruch in glei­cher Höhe gemäß § 280 Abs. 1 BGB auf­ge­rech­net hat.

Der Klä­ger ist nach dem in sei­ner Straf­an­zei­ge vor­ge­tra­ge­nen Sach­ver­halt Opfer eines Phar­ming-Angriffs gewor­den, bei dem der kor­rek­te Auf­ruf der Web­site der Bank tech­nisch in den Auf­ruf einer betrü­ge­ri­schen Sei­te umge­lei­tet wor­den ist. Der betrü­ge­ri­sche Drit­te hat die so erlang­te TAN genutzt, um der Bank unbe­fugt den Über­wei­sungs­auf­trag zu ertei­len. Der Klä­ger hat sich gegen­über der Bank durch sei­ne Reak­ti­on auf die­sen Phar­ming-Angriff scha­dens­er­satz­pflich­tig gemacht. Er hat die im Ver­kehr erfor­der­li­che Sorg­falt außer Acht gelas­sen, indem er beim Log-In-Vor­gang, also nicht in Bezug auf einen kon­kre­ten Über­wei­sungs­vor­gang, trotz des aus­drück­li­chen Warn­hin­wei­ses der Bank gleich­zei­tig zehn TAN ein­ge­ge­ben hat. Für die Haf­tung des Kun­den reicht im vor­lie­gen­den Fall ein­fa­che Fahr­läs­sig­keit aus, weil § 675v Abs. 2 BGB, der eine unbe­grenz­te Haf­tung des Kun­den bei miss­bräuch­li­cher Nut­zung eines Zah­lungs­au­then­ti­fi­zie­rungs­in­stru­ments nur bei Vor­satz und gro­ber Fahr­läs­sig­keit vor­sieht, erst am 31. Okto­ber 2009 in Kraft getre­ten ist.

Ein anspruchs­min­dern­des Mit­ver­schul­den der Bank hat das Land­ge­richt nach Ansicht des Bun­des­ge­richts­hofs zu Recht ver­neint. Nach sei­nen Fest­stel­lun­gen ist die Bank mit dem Ein­satz des im Jahr 2008 dem Stand der Tech­nik ent­spre­chen­den iTAN-Ver­fah­rens ihrer Pflicht zur Bereit­stel­lung eines mög­lichst wenig miss­brauchs­an­fäl­li­gen Sys­tems des Online-Ban­king nach­ge­kom­men. Sie hat auch kei­ne Auf­klä­rungs- oder Warn­pflich­ten ver­letzt. Ob mit der Aus­füh­rung der Über­wei­sung der Kre­dit­rah­men des Kun­den über­schrit­ten wur­de, ist uner­heb­lich, weil Kre­dit­in­sti­tu­te grund­sätz­lich kei­ne Schutz­pflicht haben, Kon­to­über­zie­hun­gen ihrer Kun­den zu ver­mei­den. Einen die ein­zel­ne Trans­ak­ti­on unab­hän­gig vom Kon­to­stand beschrän­ken­den Ver­fü­gungs­rah­men hat­ten die Par­tei­en nicht ver­ein­bart.

Bun­des­ge­richts­hof, Urteil vom 24. April 2012 – XI ZR 96/​11

  1. AG Düs­sel­dorf, Urteil vom 06.04.2010 – 36 C 13469/​09 []
  2. LG Düs­sel­dorf, Urteil vom 19.01.2011 – 23 S 163/​10 []