de en
Nexia Ebner Stolz

Aktuelles

BGH zur Frage der Schadenersatzpflicht von Bankkunden bei "Pharming-Angriffen" im Onlinebanking

Urteil des BGH vom 24. April 2012 - XI ZR 96/11
Der für das Bank- und Börsen­recht zuständige XI. Zi­vil­se­nat des Bun­des­ge­richts­hofs (BGH) hat ent­schie­den, un­ter wel­chen Vor­aus­set­zun­gen ein Bank­kunde sich im On­line-Ban­king bei einem Phar­ming-An­griff scha­dens­er­satz­pflich­tig macht.
Im zu­grun­de­lie­gen­den Fall nahm der Kläger die be­klagte Bank we­gen ei­ner von ihr im On­line-Ban­king aus­geführ­ten Über­wei­sung von 5.000 € auf Rück­zah­lung die­ses Be­tra­ges in An­spruch.
Der Kläger un­terhält bei der Be­klag­ten ein Gi­ro­konto und nimmt seit 2001 am On­line-Ban­king teil. Für Über­wei­sungs­aufträge ver­wen­det die Be­klagte das sog. iTAN-Ver­fah­ren, bei dem der Nut­zer nach Er­halt des Zu­gangs durch Ein­gabe ei­ner kor­rek­ten persönli­chen Iden­ti­fi­ka­ti­ons­num­mer (PIN) dazu auf­ge­for­dert wird, eine be­stimmte, durch eine Po­si­ti­ons­num­mer ge­kenn­zeich­nete (in­di­zierte) Trans­ak­ti­ons­num­mer (TAN) aus ei­ner ihm vor­her zur Verfügung ge­stell­ten, durch­num­me­rier­ten TAN-Liste ein­zu­ge­ben.
In der Mitte der Log-In-Seite des On­line-Ban­kings der Be­klag­ten be­fand sich fol­gen­der Hin­weis:
"Der­zeit sind ver­mehrt Schad­pro­gramme und so­ge­nannte Phis­hing-Mails in Um­lauf, die Sie auf­for­dern, meh­rere Trans­ak­ti­ons­num­mern oder gar Kre­dit­kar­ten­da­ten in ein For­mu­lar ein­zu­ge­ben. Wir for­dern Sie nie­mals auf, meh­rere TAN gleich­zei­tig preis­zu­ge­ben! Auch wer­den wir Sie nie­mals per E-Mail zu ei­ner An­mel­dung im … Net-Ban­king auf­for­dern!"
Am 26. Ja­nuar 2009 wurde vom Gi­ro­konto des Klägers nach Ein­gabe sei­ner PIN und ei­ner kor­rek­ten TAN ein Be­trag von 5.000 € auf ein Konto bei ei­ner grie­chi­schen Bank über­wie­sen. Der Kläger, der be­strei­tet, diese Über­wei­sung ver­an­lasst zu ha­ben, er­stat­tete am 29. Ja­nuar 2009 Straf­an­zeige und gab Fol­gen­des zu Pro­to­koll: "Im Ok­to­ber 2008 - das ge­naue Da­tum weiß ich nicht mehr - wollte ich ins On­line-ban­king. Ich habe das On­line-ban­king der … Bank an­ge­klickt. Die Maske hat sich wie ge­wohnt auf­ge­macht. Da­nach kam der Hin­weis, dass ich im Mo­ment kei­nen Zu­griff auf On­line-ban­king der ... Bank hätte. Da­nach kam eine An­wei­sung zehn Tan-Num­mern ein­zu­ge­ben. Die Fel­der wa­ren nicht von 1 bis 10 durch­num­me­riert, son­dern kreuz und quer. Ich habe dann auch die ge­for­der­ten Tan-Num­mern, die ich schon von der Bank hatte, in die Fel­der chro­no­lo­gi­sch ein­ge­tra­gen. Da­nach er­hielt ich dann Zu­griff auf mein On­line-ban­king. Ich habe dann un­ter Ver­wen­dung ei­ner an­de­ren Tan-Num­mer eine Über­wei­sung getätigt." Das Er­mitt­lungs­ver­fah­ren wurde ein­ge­stellt, da ein Täter nicht er­mit­telt wer­den konnte. Die Klage auf Zah­lung von 5.000 € nebst Zin­sen und vor­ge­richt­li­chen Kos­ten ist in den Vor­in­stan­zen er­folg­los ge­blie­ben. Der Bun­des­ge­richts­hof hat die vom Be­ru­fungs­ge­richt zu­ge­las­sene Re­vi­sion zurück­ge­wie­sen. Die Klage ist un­begründet. Auch wenn der Kläger die Über­wei­sung der 5.000 € nicht ver­an­lasst hat, ist sein An­spruch auf Aus­zah­lung die­ses Be­tra­ges er­lo­schen, weil die Be­klagte mit einem Scha­dens­er­satz­an­spruch in glei­cher Höhe gemäß § 280 Abs. 1 BGB auf­ge­rech­net hat. Der Kläger ist nach dem in sei­ner Straf­an­zeige vor­ge­tra­ge­nen Sach­ver­halt Op­fer ei­nes Phar­ming-An­griffs ge­wor­den, bei dem der kor­rekte Auf­ruf der Web­site der Bank tech­ni­sch in den Auf­ruf ei­ner betrüge­ri­schen Seite um­ge­lei­tet wor­den ist. Der betrüge­ri­sche Dritte hat die so er­langte TAN ge­nutzt, um der Bank un­be­fugt den Über­wei­sungs­auf­trag zu er­tei­len. Der Kläger hat sich ge­genüber der Bank durch seine Re­ak­tion auf die­sen Phar­ming-An­griff scha­dens­er­satz­pflich­tig ge­macht. Er hat die im Ver­kehr er­for­der­li­che Sorg­falt außer Acht ge­las­sen, in­dem er beim Log-In-Vor­gang, also nicht in Be­zug auf einen kon­kre­ten Über­wei­sungs­vor­gang, trotz des ausdrück­li­chen Warn­hin­wei­ses der Bank gleich­zei­tig zehn TAN ein­ge­ge­ben hat. Für die Haf­tung des Kun­den reicht im vor­lie­gen­den Fall ein­fa­che Fahrlässig­keit aus, weil § 675v Abs. 2 BGB, der eine un­be­grenzte Haf­tung des Kun­den bei missbräuch­li­cher Nut­zung ei­nes Zah­lungs­au­then­ti­fi­zie­rungs­in­stru­ments nur bei Vor­satz und gro­ber Fahrlässig­keit vor­sieht, erst am 31. Ok­to­ber 2009 in Kraft ge­tre­ten ist. Ein an­spruchs­min­dern­des Mit­ver­schul­den der Bank hat das Be­ru­fungs­ge­richt zu Recht ver­neint. Nach sei­nen Fest­stel­lun­gen ist die Bank mit dem Ein­satz des im Jahr 2008 dem Stand der Tech­nik ent­spre­chen­den iTAN-Ver­fah­rens ih­rer Pflicht zur Be­reit­stel­lung ei­nes möglichst we­nig miss­brauchs­anfälli­gen Sys­tems des On­line-Ban­king nach­ge­kom­men. Sie hat auch keine Aufklärungs- oder Warn­pflich­ten ver­letzt. Ob mit der Ausführung der Über­wei­sung der Kre­dit­rah­men des Kun­den über­schrit­ten wurde, ist un­er­heb­lich, weil Kre­dit­in­sti­tute grundsätz­lich keine Schutz­pflicht ha­ben, Kontoüber­zie­hun­gen ih­rer Kun­den zu ver­mei­den. Einen die ein­zelne Trans­ak­tion un­abhängig vom Kon­to­stand be­schränken­den Verfügungs­rah­men hat­ten die Par­teien nicht ver­ein­bart. Quelle: Pres­se­mit­tei­lung des BGH Nr. 50/2012 vom 24.04.2012
25.04.2012 nach oben

Das könnte Sie auch interessieren

AGB: Un­wirk­same Ent­gelt­klau­sel für Ba­sis­konto

Die in den AGB ei­nes Kre­dit­in­sti­tuts ent­hal­te­nen Ent­gelt­klau­seln für ein Zah­lungs­konto mit grund­le­gen­den Funk­tio­nen (Ba­sis­konto) im Ver­kehr mit Ver­brau­chern sind un­wirk­sam, wenn bei der Be­mes­sung des Ent­gelts das kon­toführende In­sti­tut den mit der Führung von Ba­sis­kon­ten ver­bun­de­nen Mehr­auf­wand al­lein auf die In­ha­ber von Ba­sis­kon­ten um­ge­legt hat.  ...lesen Sie mehr


Ent­gelt­klau­sel für Bank­auskünfte wirk­sam

Eine Ent­gelt­klau­sel für Bank­auskünfte in Höhe ei­nes Be­tra­ges von 25 € ist un­be­denk­lich. Es han­delt sich bei der Aus­kunfts­er­tei­lung durch die Bank um eine zusätz­li­che Leis­tung, die von sons­ti­gen Gebühren für Kon­toführung etc. nicht ab­ge­deckt ist. Eine sol­che Bank­aus­kunft dient der In­for­ma­tion Drit­ter über die wirt­schaft­li­chen Verhält­nisse des Kun­den, seine Kre­ditwürdig­keit und Zah­lungsfähig­keit.  ...lesen Sie mehr


Al­ters­vor­sor­ge­verträge: Zu Ne­ga­tiv­zin­sen führende Zinsan­pas­sungs­klau­sel

Das OLG Stutt­gart hat der Kreis­spar­kasse Tübin­gen die Ver­wen­dung ei­ner Zinsan­pas­sungs­klau­sel un­ter­sagt, die bei ver­ein­bar­ten Grund­zin­sen in Al­ters­vor­sor­ge­verträgen zu Ne­ga­tiv­zin­sen führte. Der kla­gen­den Ver­brau­cher­zen­trale wurde un­ter­sagt, wahr­heits­wid­rige Be­haup­tun­gen zu die­sen Vorgängen, ins­be­son­dere auf ih­rer In­ter­net­seite, zu veröff­ent­li­chen und zu ver­brei­ten.  ...lesen Sie mehr


TAN-Ein­gabe bei On­line-Ban­king: Überprüfung von Be­trag und Ziel-IBAN

Der Bank­kunde muss beim On­line-Ban­king vor je­der TAN-Ein­gabe den auf dem Mo­bil­te­le­fon an­ge­zeig­ten Über­wei­sungs­be­trag und die dort eben­falls ge­nannte Ziel-IBAN überprüfen. Wenn er dies un­terlässt, ist das als grob fahrlässig an­zu­se­hen und er ist selbst für den Ver­lust sei­nes Gel­des ver­ant­wort­lich.  ...lesen Sie mehr


Haf­tung bei nicht au­to­ri­sier­ten Über­wei­sun­gen im smsTAN-Ver­fah­ren

Ermöglicht der Mo­bil­funk­an­bie­ter des On­line-Ban­king-Nut­zers schuld­haft Un­be­fug­ten das Ab­fan­gen von per SMS ver­sand­ten Trans­ak­ti­ons­num­mern, hat der Nut­zer dies nicht zu ver­tre­ten. Wer On­line-Ban­king im smsTAN-Ver­fah­ren nutzt, ist auch nicht ver­pflich­tet, eine Störung sei­nes Mo­bil­te­le­fons der Bank zu mel­den. Das ge­werb­li­che Ge­schäfts­mo­dell des An­ge­bots von Zah­lungs­diens­ten über das In­ter­net ist un­trenn­bar mit einem ge­wis­sen Ver­lust­ri­siko ver­bun­den, das ein­zu­kal­ku­lie­ren ist.  ...lesen Sie mehr