Phishing und Pharming: Steht mir gegen meine Bank ein Rückerstattungsanspruch zu?

Vermehrt berichten betroffene Bankkunden von Phishing- oder Pharming-Attacken, welche sich in jüngster Zeit ereignet haben. Hierunter versteht man kriminelle Angriffe, mit denen versucht wird, die Authentifizierungsdaten des Verbrauchers beim Online-Banking zu erlangen, um diese missbräuchlich einzusetzen.

So erhielten beispielsweise Kunden der Sparda Bank Berlin eG neuerdings eine E-Mail mit der Aufforderung, fünf TAN in ein Eingabefeld einzugeben. Kunden, die der Aufforderung nicht misstrauten und dieser dementsprechend Folge leisteten, mussten wenig später feststellen, dass höhere Geldbeträge von mehreren Tausend Euro von ihrem Konto auf ein ihnen unbekanntes Konto überwiesen wurden. Da der Zahlungsempfänger in den bekannten Fällen nicht im Inland, sondern im Ausland ansässig ist, kann nicht hinreichend prognostiziert werden, ob die Ansprüche überhaupt durchsetzbar sind. Entscheidend ist damit, ob eine Geltendmachung eines Rückzahlungsanspruchs gegenüber dem Kreditinstitut, also gegenüber der Bank oder Sparkasse, Erfolg verspricht, worauf im Folgenden näher eingegangen wird.

Bei einem nicht autorisierten Zahlungsvorgang ist zugunsten des Bankkunden ist zunächst ein Anspruch aus § 675u Satz 2 Bürgerliches Gesetzbuch (BGB) entstanden. Hiernach ist ein Zahlungsdienstleister verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.

Die auf Phishing- oder Pharming-Attacken beruhende Überweisung wird überwiegend ohne Autorisierung des Zahlungsdienstnutzers, also des Bankkunden durchgeführt, weil es an dem hierzu erforderlichen Einverständnis mangelt. Ein Anscheinsbeweis mit der Folge, dass der Bankkunde für seine fehlende Zustimmung die Darlegungs- und Beweislast trägt, wird überwiegend abgelehnt. Lediglich für das SMS/TAN-Verfahren hat das Landgericht Köln mit seinem Urteil vom 26.08.2014 (Az.: 3 O 390/13) nunmehr entschieden, dass ein solcher angenommen werden könne, weil bei diesem Verfahren mittlerweile eine Sicherheitslage erreicht sei, die derjenigen der Nutzung von EC-Karten an Geld oder Überweisungsautomaten entspricht.

Obwohl damit alle Anspruchsvoraussetzungen des § 675u Satz 2 BGB gegeben sind, bedeutet dies nicht, dass die Bank ohne weiteres die Kontobelastung rückgängig zu machen hat. Sie wird sich darauf berufen, dass ihr gegen den Bankkunden ein eigener Anspruch zusteht und wird mit diesem aufrechnen, was ein Erlöschen des oben genannten Anspruchs zur Folge hätte.

Zunächst ist darauf hinzuweisen, dass die Bank von dem Zahlungsdienstnutzer bei nicht autorisierten Zahlungsvorgängen aus § 675v Absatz 1 Satz 1 BGB zunächst 150,00 € beanspruchen kann und zwar unabhängig davon, ob dem Kunden ein Verschulden vorzuwerfen ist oder nicht.

Ein weitergehender Schadensersatzanspruch würde lediglich dann bestehen, wenn die Voraussetzungen des § 675v Absatz 2 Nummer 1 BGB gegeben wären.

Nach § 675v Absatz 2 Nummer 1 BGB kann das Kreditinstitut Schadensersatz verlangen, wenn der nicht autorisierte Zahlungsvorgang dadurch herbeigeführt worden ist, dass der Bankkunde vorsätzlich oder grob fahrlässig seine Pflichten zur Geheimhaltung von PIN und TAN verletzt hat. Grobe Fahrlässigkeit liegt vor, wenn die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt worden ist, wenn also schon einfachste, ganz naheliegende Überlegungen nicht angestellt werden und das nicht beachtet wird, was im gegebenen Fall jedem hätte einleuchten müssen.

Die Geheimhaltungspflicht des Bankkunden beschränkt sich nicht auf das sichere Verwahren einer etwaigen Notiz der PIN, sondern verlangt auch eine angemessene Reaktion auf Verdachtsmomente. Dabei ist auch von Bedeutung, ob die Bank durch ihr Verhalten Anlass gab, die Phishing-Mail und die Website des Täters für echt zu halten. Ob und unter welchen Voraussetzungen eine Pflichtverletzung des Kunden vorliegt, wird sich letztlich nur im Einzelfall klären lassen.

Soweit eine Haftung im Grundsatz von einem Gericht bejaht werden würde, so kommt es für eine wirksame Aufrechnung weiterhin darauf an, ob der Mitverschuldenseinwand des § 254 BGB hier Platz greift, also ob seitens der Bank oder Sparkasse rechtzeitig und hinreichend Maßnahmen zur Verhinderung von Phishing ergriffen wurden. Sollte dies der Fall sein, so käme darüber hinaus ein gegen das Kreditinstitut gerichteter Schadensersatzanspruch aus § 280 Absatz 1 BGB wegen Verletzung des Zahlungsdienstevertrages in Betracht (vgl. LG Karlsruhe, Urteil vom 23.05.2014, Az.: 20 O 24/13; BGH, Urteil vom 06.05.2008, Az.: XI ZR 56/07).

Da nach alledem nicht pauschal beantwortet werden kann, ob betroffenen Bankkunden ein Zahlungsanspruch gegen ihre Bank zusteht, sollten diese einen möglichen Anspruch von einem erfahrenen Rechtsanwalt prüfen und die Korrespondenz mit der Gegenseite von diesem erledigen lassen.

Unsere Kanzlei hilft Mandanten bundesweit dabei, die ihnen zustehenden Ansprüche außergerichtlich – und notfalls auch gerichtlich – erfolgreich durchzusetzen.