Fahrlässigkeit und damit Mitverschulden bei Eingabe von vier TANs im Online-Banking infolge Phishing-Attacke

× Gerade eilig? Entscheidung kostenlos als PDF herunterladen.

Gericht

LG Berlin

Datum

11.08.2009

Aktenzeichen

37 O 4/09

Branche/ Lebenslage

  • Bankkonto-Inhaberin,
  • Online-Banking,
  • Preisgabe von Geheimnummer,
  • Phishing

Akteure

  • Bankkonto-Inhaberin,
  • Bank

Wer haftet?

  • Bank

Haftungsart

  • Rückerstattungsanspruch (aber aufgrund eigenen Schadensersatzanspruchs gegenüber der Kundin nicht in voller Höhe)

Haftungsumfang

  • Schadensersatz nebst Zinsen,
  • Verfahrenskosten (90 %)

Haftungsbegründendes Verhalten

Bank: Ausführung eines (infolge einer Phishing-Attacke) nicht vom Kunden vorgenommenen Zahlungsauftrags; Kundin: Haftungsbegrenzung allerdings aufgrund der fahrlässigen Preisgabe der Zugangsdaten durch Eingabe mehrerer TAN

Technische Umstände

Kundin: Verhalten des Kunden ermöglichte für Dritte unbefugte Zahlungsaufträge im Online-Banking vorzunehmen

Persönliche Umstände

Kundin: Einer Aufforderung zu folgen, mehrere TAN einzugeben, ist, aufgrund dessen Fremdheit im normalen Bankgeschäft, als fahrlässiges Verhalten einzustufen

Möglichkeiten der Haftungsvermeidung

Kunde: Die Eingabe mehrerer TAN auf einmal – auch bei täuschend der Online-Banking-Maske ähnlicher Aufforderung hierzu – birgt immer ein hohes Haftungsrisiko; Bank: Grundsätzlich empfehlenswert ist eine vertragliche Abstimmung der Pflichten im Umgang mit TAN und PIN; darüber hinaus können auf der Online-Banking-Maske entsprechende Phishing-Warnhinweise angebracht werden

Zitate, Zusammenfassende Würdigung, Strategien zur Haftungsvermeidung

Die Klägerin und Bankkundin verlangt von der beklagten Bank die Rückzahlung von infolge einer Phishing-Attacke zulasten ihres Kontos überwiesenen Geldern. Nach dem Versuch, sich im Online-Banking einzuloggen, war die Kundin auf ein Fenster weitegeleitet worden, in welchem sie unter Hinweis auf das gescheiterte Einloggen zur Eingabe von vier ihrer TAN aufgefordert wurde. Dem kam die Kundin auch nach.

Begriffserklärung Phishing-Attacke: Über die Zwischenschaltung zwischen die Kommunikation von Bankkunden und Bank (etwa über die Verlinkung zu gefälschten Webseiten, z.B. über den Link in einer E-Mail) gelangen die Angreifer an Daten des Bankkunden.

Das Gericht entschied, dass die Bank grundsätzlich für die nicht von der Kundin genehmigte Überweisung haftet:

Die Beklagte ist verpflichtet, dem Konto der Klägerin einen Betrag […] wieder gutzuschreiben, weil die Klägerin ihr keinen Überweisungsauftrag erteilt hat.

Allerdings stellte das Gericht fest, dass der fälschlich überwiesene Betrag nicht in vollem Umfang zu erstatten ist, weil der Bank gegenüber der Klägerin ebenfalls ein zurechenbarer Schadensersatzanspruch zusteht. Die Kundin selbst hatte durch die Mehrfacheingabe von TAN selbst fahrlässig gehandelt und eine Pflicht gegenüber der Bank verletzt:

[Die Klägerin] hat sich aber deshalb sorgfaltswidrig verhalten, weil sie nicht angemessen auf die im online-Bankverkehr mit der Beklagten ungewöhnliche Aufforderung zur Eingabe mehrerer TAN reagiert hat.

Die Aufforderung, die PIN durch Eingabe von vier TAN zu bestätigen, ist im Online-Banking völlig unüblich. Das hätte der Klägerin Anlass geben müssen, Verdacht zu schöpfen und den Überweisungsvorgang abzubrechen.

ANMERKUNGEN

Zum einen nahm das Gericht einen Anspruch der Kundin gegenüber der Bank an, den vorgenommenen Zahlungsvorgang wieder auszugleichen, weil dieser nicht durch die Kundin veranlasst worden war. Im vorliegenden Fall besonders ist allerdings auch die Annahme einer Begrenzung des rückzuzahlenden Betrages aufgrund eigenen fahrlässigen Vorverhaltens der Kundin.

Die Grundsätze der Anscheinsvollmacht wurden hier nicht zur Anwendung gebracht. Die Voraussetzung des bei pflichtgemäßer Sorgfalt zumindest Erkennen- und Verhindern-Könnens des Zahlungsauftrags wurde nicht als erfüllt gesehen. Dies würde nach der Entscheidung des LG Berlin wohl auch voraussetzen, dass es dem Kunden möglich wäre das Handeln des Scheinvertreters (unbefugten Dritten) verfolgen zu können.

Die Geheimhaltungsverpflichtung von PIN und TAN ergibt sich regelmäßig aus dem zwischen Bank und Kunden geschlossenen Vertrag.

Verschuldensvorwurf: Das Gericht wertete das Verhalten lediglich als „leicht fahrlässig“, welches zu einem nur geringen Schadensersatzanspruch der Bank gegenüber der Kundin führte.

Praxishinweis: Der BGH hat die Wertung des LG Berlin bezüglich des Fahrlässigkeitsvorwurfs im Fall einer mehrfachen und von der Bank ausdrücklich nicht erwünschten TAN-Weitergabe bereits bestätigt (BGH, Urteil vom 24.04.2012, XI ZR 96/11). Der BGH selbst weist in der Entscheidung allerdings ausdrücklich darauf hin, dass die Wertung eine Einzelfallentscheidung ist.

Gesetzesänderung: § 676f BGB, auf den die Entscheidung des Gerichts gestützt wurde, ist seit dem in den §§ 675b ff BGB neu geregelt worden (mit Wirkung zum 31.10.2009).

Schreiben Sie einen Kommentar