Suche
deen
Nexia Ebner Stolz

BGH zur Frage der Schadenersatzpflicht von Bankkunden bei "Pharming-Angriffen" im Onlinebanking

Urteil des BGH vom 24. April 2012 - XI ZR 96/11
Der für das Bank- und Bör­sen­recht zustän­dige XI. Zivil­se­nat des Bun­des­ge­richts­hofs (BGH) hat ent­schie­den, unter wel­chen Vor­aus­set­zun­gen ein Bank­kunde sich im Online-Ban­king bei einem Phar­ming-Angriff scha­dens­er­satzpf­lich­tig macht.
Im zugrun­de­lie­gen­den Fall nahm der Klä­ger die beklagte Bank wegen einer von ihr im Online-Ban­king aus­ge­führ­ten Über­wei­sung von 5.000 € auf Rück­zah­lung die­ses Betra­ges in Anspruch.
Der Klä­ger unter­hält bei der Beklag­ten ein Giro­konto und nimmt seit 2001 am Online-Ban­king teil. Für Über­wei­sungs­auf­träge ver­wen­det die Beklagte das sog. iTAN-Ver­fah­ren, bei dem der Nut­zer nach Erhalt des Zugangs durch Ein­gabe einer kor­rek­ten per­sön­li­chen Iden­ti­fi­ka­ti­ons­num­mer (PIN) dazu auf­ge­for­dert wird, eine bestimmte, durch eine Posi­ti­ons­num­mer gekenn­zeich­nete (indi­zierte) Trans­ak­ti­ons­num­mer (TAN) aus einer ihm vor­her zur Ver­fü­gung ges­tell­ten, durch­num­me­rier­ten TAN-Liste ein­zu­ge­ben.
In der Mitte der Log-In-Seite des Online-Ban­kings der Beklag­ten befand sich fol­gen­der Hin­weis:
"Der­zeit sind ver­mehrt Schad­pro­gramme und soge­nannte Phis­hing-Mails in Umlauf, die Sie auf­for­dern, meh­rere Trans­ak­ti­ons­num­mern oder gar Kre­dit­kar­ten­da­ten in ein For­mu­lar ein­zu­ge­ben. Wir for­dern Sie nie­mals auf, meh­rere TAN gleich­zei­tig preis­zu­ge­ben! Auch wer­den wir Sie nie­mals per E-Mail zu einer Anmel­dung im … Net-Ban­king auf­for­dern!"
Am 26. Januar 2009 wurde vom Giro­konto des Klä­gers nach Ein­gabe sei­ner PIN und einer kor­rek­ten TAN ein Betrag von 5.000 € auf ein Konto bei einer grie­chi­schen Bank über­wie­sen. Der Klä­ger, der best­rei­tet, diese Über­wei­sung ver­an­lasst zu haben, erstat­tete am 29. Januar 2009 Straf­an­zeige und gab Fol­gen­des zu Pro­to­koll: "Im Oktober 2008 - das genaue Datum weiß ich nicht mehr - wollte ich ins Online-ban­king. Ich habe das Online-ban­king der … Bank ange­klickt. Die Maske hat sich wie gewohnt auf­ge­macht. Danach kam der Hin­weis, dass ich im Moment kei­nen Zugriff auf Online-ban­king der ... Bank hätte. Danach kam eine Anwei­sung zehn Tan-Num­mern ein­zu­ge­ben. Die Fel­der waren nicht von 1 bis 10 durch­num­me­riert, son­dern kreuz und quer. Ich habe dann auch die gefor­der­ten Tan-Num­mern, die ich schon von der Bank hatte, in die Fel­der chro­no­lo­gisch ein­ge­tra­gen. Danach erhielt ich dann Zugriff auf mein Online-ban­king. Ich habe dann unter Ver­wen­dung einer ande­ren Tan-Num­mer eine Über­wei­sung getä­tigt." Das Ermitt­lungs­ver­fah­ren wurde ein­ge­s­tellt, da ein Täter nicht ermit­telt wer­den konnte. Die Klage auf Zah­lung von 5.000 € nebst Zin­sen und vor­ge­richt­li­chen Kos­ten ist in den Vor­in­stan­zen erfolg­los geb­lie­ben. Der Bun­des­ge­richts­hof hat die vom Beru­fungs­ge­richt zuge­las­sene Revi­sion zurück­ge­wie­sen. Die Klage ist unbe­grün­det. Auch wenn der Klä­ger die Über­wei­sung der 5.000 € nicht ver­an­lasst hat, ist sein Anspruch auf Aus­zah­lung die­ses Betra­ges erlo­schen, weil die Beklagte mit einem Scha­dens­er­satz­an­spruch in glei­cher Höhe gemäß § 280 Abs. 1 BGB auf­ge­rech­net hat. Der Klä­ger ist nach dem in sei­ner Straf­an­zeige vor­ge­tra­ge­nen Sach­ver­halt Opfer eines Phar­ming-Angriffs gewor­den, bei dem der kor­rekte Auf­ruf der Web­site der Bank tech­nisch in den Auf­ruf einer betrü­ge­ri­schen Seite umge­lei­tet wor­den ist. Der betrü­ge­ri­sche Dritte hat die so erlangte TAN genutzt, um der Bank unbe­fugt den Über­wei­sungs­auf­trag zu ertei­len. Der Klä­ger hat sich gegen­über der Bank durch seine Reak­tion auf die­sen Phar­ming-Angriff scha­dens­er­satzpf­lich­tig gemacht. Er hat die im Ver­kehr erfor­der­li­che Sorg­falt außer Acht gelas­sen, indem er beim Log-In-Vor­gang, also nicht in Bezug auf einen kon­k­re­ten Über­wei­sungs­vor­gang, trotz des aus­drück­li­chen Warn­hin­wei­ses der Bank gleich­zei­tig zehn TAN ein­ge­ge­ben hat. Für die Haf­tung des Kun­den reicht im vor­lie­gen­den Fall ein­fa­che Fahr­läs­sig­keit aus, weil § 675v Abs. 2 BGB, der eine unbe­g­renzte Haf­tung des Kun­den bei miss­bräuch­li­cher Nut­zung eines Zah­lung­s­au­then­ti­fi­zie­rungs­in­stru­ments nur bei Vor­satz und grober Fahr­läs­sig­keit vor­sieht, erst am 31. Oktober 2009 in Kraft get­re­ten ist. Ein anspruchs­min­dern­des Mit­ver­schul­den der Bank hat das Beru­fungs­ge­richt zu Recht vern­eint. Nach sei­nen Fest­stel­lun­gen ist die Bank mit dem Ein­satz des im Jahr 2008 dem Stand der Tech­nik ent­sp­re­chen­den iTAN-Ver­fah­rens ihrer Pflicht zur Bereit­stel­lung eines mög­lichst wenig miss­brauch­s­an­fäl­li­gen Sys­tems des Online-Ban­king nach­ge­kom­men. Sie hat auch keine Auf­klär­ungs- oder Warnpf­lich­ten ver­letzt. Ob mit der Aus­füh­rung der Über­wei­sung der Kre­di­trah­men des Kun­den über­schrit­ten wurde, ist uner­heb­lich, weil Kre­di­t­in­sti­tute grund­sätz­lich keine Schutzpf­licht haben, Kon­to­über­zie­hun­gen ihrer Kun­den zu ver­mei­den. Einen die ein­zelne Trans­ak­tion unab­hän­gig vom Kon­to­stand beschrän­k­en­den Ver­fü­g­ungs­rah­men hat­ten die Par­teien nicht ver­ein­bart. Quelle: Pres­se­mit­tei­lung des BGH Nr. 50/2012 vom 24.04.2012
25.04.2012 nach oben

Das könnte Sie auch interessieren

TAN-Ein­gabe bei Online-Ban­king: Über­prü­fung von Betrag und Ziel-IBAN

Der Bank­kunde muss beim Online-Ban­king vor jeder TAN-Ein­gabe den auf dem Mobil­te­le­fon ange­zeig­ten Über­wei­sungs­be­trag und die dort eben­falls genannte Ziel-IBAN über­prü­fen. Wenn er dies unter­lässt, ist das als grob fahr­läs­sig anzu­se­hen und er ist selbst für den Ver­lust sei­nes Gel­des ver­ant­wort­lich.  ...lesen Sie mehr

Haf­tung bei nicht auto­ri­sier­ten Über­wei­sun­gen im sms­TAN-Ver­fah­ren

Ermög­licht der Mobil­fun­k­an­bie­ter des Online-Ban­king-Nut­zers schuld­haft Unbe­fug­ten das Abfan­gen von per SMS ver­sand­ten Trans­ak­ti­ons­num­mern, hat der Nut­zer dies nicht zu ver­t­re­ten. Wer Online-Ban­king im sms­TAN-Ver­fah­ren nutzt, ist auch nicht verpf­lich­tet, eine Stör­ung sei­nes Mobil­te­le­fons der Bank zu mel­den. Das gewerb­li­che Geschäfts­mo­dell des Ange­bots von Zah­lungs­di­ens­ten über das Inter­net ist unt­renn­bar mit einem gewis­sen Ver­lus­t­ri­siko ver­bun­den, das ein­zu­kal­ku­lie­ren ist.  ...lesen Sie mehr

DSGVO: Eine erste Zwischenbilanz – kein Grund zum Ausruhen

DSGVO: Eine erste Zwi­schen­bi­lanz – kein Grund zum Aus­ru­hen

Am 25.5.2018 ist die Daten­schutz­grund­ver­ord­nung (DSGVO) in Kraft get­re­ten. Die viel­fach befürch­tete Welle von Abmah­nun­gen sowie die Ein­lei­tung auf­sichts­recht­li­cher Unter­su­chungs­ver­fah­ren oder die Ver­hän­gung von Buß­gel­dern durch die Daten­schutz­auf­sichts­be­hör­den ist bis­lang aus­ge­b­lie­ben.  ...lesen Sie mehr

Zuläs­sig­keit der Spei­che­rung von dyna­mi­schen IP-Adres­sen

Auf der Grund­lage des EuGH-Urteils vom 19.10.2016 (C-582/14) ist das Tat­be­stands­merk­mal "per­so­nen­be­zo­gene Daten" des § 12 Abs. 1 u. 2 TMG i.V.m. § 3 Abs. 1 BDSG richt­li­ni­en­kon­form aus­zu­le­gen: Eine dyna­mi­sche IP-Adresse, die von einem Anbie­ter von Online-Medi­en­di­ens­ten beim Zugriff einer Per­son auf eine Inter­net­seite, die die­ser Anbie­ter all­ge­mein zugäng­lich macht, gespei­chert wird, stellt dem­nach für den Anbie­ter ein (geschütz­tes) per­so­nen­be­zo­ge­nes Datum dar. Als per­so­nen­be­zo­ge­nes Datum darf die IP-Adresse nur unter den Vor­aus­set­zun­gen des § 15 Abs. 1 TMG gespei­chert wer­den.  ...lesen Sie mehr

Kap­MuG: Kein Pro­spekt­feh­ler beim zwei­ten Bör­sen­gang der Deut­schen Tele­kom AG

Der Pro­spekt­feh­ler, den der XI. Zivil­se­nat in dem anläss­lich des "drit­ten Bör­sen­gangs" der Deut­schen Tele­kom AG im Jahr 2000 her­aus­ge­ge­be­nen Ver­kauf­s­pro­spekt fest­ge­s­tellt hatte, betraf einen zeit­lich nach­fol­gen­den Geschäfts­vor­fall, der im Pro­spekt zum "zwei­ten Bör­sen­gang" noch keine Rolle spielte. Damit steht bin­dend fest, dass aus den betref­fend den Pro­spekt des "zwei­ten Bör­sen­gangs" gerüg­ten Unvoll­stän­dig­kei­ten und Unrich­tig­kei­ten keine Pro­spekt­haf­tungs­an­sprüche gem. §§ 45 ff. BörsG a.F. i.V.m. § 13 Verk­Pro­spG a.F. und keine delik­ti­schen Scha­dens­er­satz­an­sprüche her­ge­lei­tet wer­den kön­nen.  ...lesen Sie mehr