Hackerangriffe zu Lasten der Bankkunden und Haftung der Bank (II)

Phishing / Pharming:  Haftung der Bank contra Mitverschulden des Bankkunden. Wir berichteten über u.a. mit Aufsatz vom  01.03 und 30.08.2010 über die erstinstanzliche Rechtsprechung, die durchweg hohe Erfolgsaussichten zu Gunsten der Bankkunden im Fall eines Hackerangriffes versprach. Hieran hat sich u.E. auch aufgrund der jetzigen Rechtsprechung des Bundesgerichthofes nichts anderes ergeben. 

Der Standard Phishing Fall ist einfach: Ein Kunde hat ein Online Girokonto bei der Bank. Plötzlich fehlt ein Betrag i.H.v. 5.000,00 € oder ggf. sogar 10.000,00 €, den der Kunde nicht angewiesen hat. Der Zahlungsempfänger befindet sich im Regelfall dummerweise im Ausland (Russland, oder Taiwan u.a.). Der Bankkunde ist sich keiner Schuld bewusst. Zwar gab es einmal eine Störung und er wurde über das Internet aufgefordert die eine oder andere I- Tan einzugeben. Dann stürzte aber leider das System ab. Die Bank will den Schaden zu Lasten des Kunden nicht ersetzen. Der Kunde, der jetzt den Weg zum Anwalt nicht geht bleibt auf seinen Miesen sitzen. Der der die Bank in Anspruch nimmt, hat Chancen seine Verluste erstattet zu bekommen. 

Der Einsatz unsicherer Internet Software durch die Bank, die Hackergriffe zu Lasten des Kunden nicht ausschließt geht auch nach der Rechtsprechung des BGH mit an Sicherheit grenzender Wahrscheinlichkeit erst einmal zu Lasten der Bank. Eine andere Frage ist, aber wie sorgfältig der Bankkunde selbst mit dem Internetbanking umzugehen hat. Dies kann Schadensersatzansprüche der Bank auslösen, mit welchen die Bank gegen Ansprüche des Kunden aufrechnen kann. Das Mitverschulden des Bankkunden wurde bislang in der Rechtsprechung unterschiedlich bewertet: Neben den Hinweisen, welche wir bereits mit Aufsatz vom 01.03. und 30.08.2010erteilten hatten, war dem sehr interessanten Aufsatz des Kollegen Rechtsanwalt Christian Solmecke (WILDE BEUGER SOLMECKE) vom 16.09.2011 (http://www.anwalt.de/rechtstipps/lg-landshut-bank-haftet-wegen-phishing-angriff-trotz-eingabe-von-tan-nummern_021008.html)zu entnehmen, dass auch nach einer Entscheidung des Landgerichtes Landshut sich die Bank auch bei einem wenig umsichtigen Verhalten des Kunden nicht immer vor ihrer Haftung drücken kann. In dem vor dem Landgericht Landshut verhandelten Fall war ein Bankkunde das Opfer einer Phishing-Attacke geworden, bei welcher durch die Hacker ein Trojaner auf den Computer des Bankkunden eingeschleust wird. Als sich der Kunde einloggen wollte, wurde er auf eine andere Webseite gelenkt, die die seiner Bank täuschend ähnlich sah, weshalb der Bankkunde das Täuschungsmanöver nicht erkannte. Dort sollte er hundert TAN-Nummern eingeben, weil angeblich aus Sicherheitsgründen alle laufenden TAN-Listen aus dem Verkehr genommen werden müssten.

Der Kunde berief sich darauf, dass die Aufforderung täuschend echt ausgesehen habe. Ihm seien keine Zweifel gekommen, da aus seiner Sicht ein plausibler Grund angegeben worden sei. Sein Rechner sei durch ein aktuelles Virenschutzprogramm und eine Firewall gesichert.Die Bank konterte damit, dass eine TAN nur dann eingegeben werden dürfe, wenn vorher beispielsweise eine Überweisung erfasst worden sei. Zudem dürfe beim Login niemals die TAN angegeben werden. Ein Kunde müsse spätestens dann hellhörig werden, wenn er zu der Eingabe von 100 TAN-Nummern aufgefordert wird.Das Landgericht Landshut verurteilte die Bank gleichwohl mit Urteil vom 14.07.2011 (Az. 24 O 1129/11) zum Schadensersatz. Dies ergibt sich erst einmal daraus, dass insgesamt 6 Überweisungen ohne Auftrag des Klägers erfolgt sind. Die Bank muss in einem solchen Fall nach § 675v Abs. 2 BGB nur dann nicht haften, wenn der Kunde auf grob fahrlässige Weise seine Pflichten verletzt hat. Eine grobe Fahrlässigkeit des Kunden konnte das Landgericht Landshut nicht erkennen, der als Osteuropäer mit der deutschen Sprache nicht so gewandt war. Anders hatte der Bundesgerichtshof zwischenzeitlich geurteilt:  Im zugrundeliegenden Fall nimmt der Kläger die beklagte Bank wegen einer von ihr im Online-Banking ausgeführten Überweisung von 5.000 Euro auf Rückzahlung dieses Betrages in Anspruch.

Der Kläger unterhält bei der Beklagten ein Girokonto und nimmt seit 2001 am Online-Banking teil. Für Überweisungsaufträge verwendet die Beklagte das sog. iTAN-Verfahren, bei dem der Nutzer nach Erhalt des Zugangs durch Eingabe einer korrekten persönlichen Identifikationsnummer (PIN) dazu aufgefordert wird, eine bestimmte, durch eine Positionsnummer gekennzeichnete (indizierte) Transaktionsnummer (TAN) aus einer ihm vorher zur Verfügung gestellten, durchnummerierten TAN-Liste einzugeben.

In der Mitte der Log-In-Seite des Online-Bankings der Beklagten befand sich folgender Hinweis:

"Derzeit sind vermehrt Schadprogramme und sogenannte Phishing-Mails in Umlauf, die Sie auffordern, mehrere Transaktionsnummern oder gar Kreditkartendaten in ein Formular einzugeben. Wir fordern Sie niemals auf, mehrere TAN gleichzeitig preiszugeben! Auch werden wir Sie niemals per E-Mail zu einer Anmeldung im ... Net-Banking auffordern!"

Am 26. Januar 2009 wurde vom Girokonto des Klägers nach Eingabe seiner PIN und einer korrekten TAN ein Betrag von 5.000 Euro auf ein Konto bei einer griechischen Bank überwiesen.  Das Ermittlungsverfahren aufgrund der Anzeige des Bankkunden wurde eingestellt, da ein Täter nicht ermittelt werden konnte.

Die Klage auf Zahlung von 5.000 Euro nebst Zinsen und vorgerichtlichen Kosten  war in Vorinstanzen erfolglos geblieben. Der Bundesgerichtshof hat die vom Berufungsgericht zugelassene Revision zurückgewiesen.

Die Klage ist unbegründet. Auch wenn der Kläger die Überweisung der 5.000 Euro nicht veranlasst hat, ist sein Anspruch auf Auszahlung dieses Betrages erloschen, weil die Beklagte mit einem Schadensersatzanspruch in gleicher Höhe gemäß § 280 Abs. 1 BGB aufgerechnet hat. So die BGH, Pressemitteilung vom 24.04.2012 zum Urteil XI ZR 96/11 vom 24.04.2012 MJH Rechtsanwälte Martin J. Haas Rechtsanwalt meint: Die Entscheidung des Bundesgerichtshofes legt nahe, dass bei besonders schweren Eigenverschulden des Bankkunden so ist, dass die Bank mit eigenen Ansprüchen gegen die Schadensersatzansprüche des Bankkunden aufrechnen kann. Dabei - und dies ist zunächst das erfreuliche an der BGH Rechtsprechung besteht zunächst ein Schadensersatzanspruch zu Gunsten des Bankkunden. Damit steht auch fest, dass in Fällen, in denen der Bankkunde nicht grob fahrlässig gehandelt hat er sein Geld im Fall eines Phishing oder Pharming Angriffs zurückerhalten kannOb und wie die Erfolgsaussichten in Ihrem Fall sind prüfen gerne im Bankrecht spezialisierte Anwälte wie auch unsere Kanzlei.  

MJH Rechtsanwälte: Wir wünschen Ihnen und Ihrer Rechtssache alles Gute!