Kein Indiz für fehlendes oder unzureichendes Virenschutzprogramm bei Infizierung des Computers mit einem Trojaner

Gericht

LG Oldenburg

Datum

15.01.2016

Aktenzeichen

8 O 1454/15

Branche/ Lebenslage

  • Trojaner,
  • Phishing,
  • Virenschutz,
  • Online-Banking,
  • Mobile-Banking

Akteure

  • Bankkonto-Inhaber,
  • Bank

Wer haftet?

  • Grundsätzlich die Bank,
  • § 675u BGB

Haftungsart

  • Schadensersatz

Haftungsumfang

  • Schadensersatz,
  • Verfahrenskosten

Haftungsbegründendes Verhalten

Tätigung eines nicht durch den tatsächlichen Kontoinhaber veranlassten Zahlungsauftrags

Technische Umstände

Phishing Attacke ermöglichte Abgreifen von Zugangsdaten

Persönliche Umstände

Grundsätzlich trägt die Bank das Missbrauchsrisiko, wenn nicht dem Geschädigten ein nachweisbarer Vorwurf zu machen ist

Möglichkeiten der Haftungsvermeidung

Die Sicherungsmechanismen gegen Pharming, Phishing sowie anderer Angriffe auf das Zahlungssystem sollten dem neusten Stand der Technik entsprechen; vor möglichen Angriffen sollte möglichst konkret gewarnt werden; Bankkunden sollten Störungen ihrem Bankdienstleister melden

Zitate, Zusammenfassende Würdigung, Strategien zur Haftungsvermeidung

Der Kläger und Bankkunde verlangt von der Bank die infolge einer Phishing-Attacke nicht durch den Kläger veranlassten Überweisung zurückerstattet zu bekommen.

Begriffserklärung Phishing-Attacke: Über die Zwischenschaltung zwischen die Kommunikation von Bankkunden und Bank (etwa über die Verlinkung zu gefälschten Webseiten, z.B. über den Link in einer E-Mail) gelangen die Angreifer an Daten des Bankkunden.

Das Gericht lehnte einen Anscheinsbeweis zulasten des Kunden aufgrund der korrekten Verwendung von PIN und TAN im Online-Banking ab:

Die Grundsätze des Anscheinsbeweises [sind] hier nicht zu ihren Gunsten [der Bank] anzuwenden. Wie sich aus § 675 w BGB ergibt, genügt allein die Tatsache, dass PIN, TAN, Benutzername usw. Anwendung fanden und der Vorgang elektronisch aufgezeichnet wurde, nicht zur Begründung einer Beweisvermutung. Vielmehr sind die Umstände des Einzelfalls hier zu berücksichtigen.

Auch ein Mitverschulden des Bankkunden ist nicht gegeben:

Indem der Kläger auf die raffinierte und […] hochprofessionelle Vorgehensweise „hereingefallen“ ist, ist ihm keine (grobe) Fahrlässigkeit anzulasten.

Hinsichtlich der vom Kunden zu erbringenden eigenen Sicherheitsvorkehrungen äußerte sich das Gericht dahingehend, dass allein der Umstand, dass der Computer des Bankkunden offenbar dem Angriff eines Trojaners unterlag, dies noch kein Indiz dafür ist, dass ein Virenschutzprogramm fehlte oder nicht ausreichend war.

Auch ein regelmäßig aktualisiertes Schutzprogramm kann keine vollständige Gewähr dafür bieten, dass der Computer nicht von einem neu entwickelten Trojaner infiziert wird.

ANMERKUNGEN

Anscheinsbeweis: Das Gericht stellt hier ausdrücklich fest, dass es nicht immer genügen kann, um einen Anscheinsbeweis zugunsten der Bank entstehen zu lassen, wenn diese vortragen kann, dass PIN, TAN und Benutzername Anwendung fanden und dieser Vorgang elektronisch aufgezeichnet wurde.

Das Gericht ging hier sogar so weit davon auszugehen, dass der Kunde seinen Computer ausreichend gegen Schadenssoftware geschützt hatte („ein fehlender oder nicht aktueller ‚firewall‘ würde nach der allgemeinen Lebenserfahrung nach kürzester Zeit bemerkt werden“). Es ging jedoch auch darauf ein, dass der Kunde die Nutzung eines entsprechenden Viren-Programms ohnehin glaubhaft vorgetragen hatte.

Ist der Bankkunde Opfer einer Attacke auf die Zahlungssysteme der Bank geworden, scheint das Gericht grundsätzlich eine Benachrichtigung der Bank und evtl. auch der Polizei vor Löschung von Handy- und Computerdaten für erforderlich zu halten. Ob andernfalls eine „Beweisvereitelung“ zum Vorwurf gemacht werden könnte, entschied das Gericht allerdings nicht. Zumindest ohne entsprechende Anweisung durch die Bank, die Daten noch auf den jeweiligen Geräten (etwa zu Überprüfungsmaßnahmen) zu belassen, scheint dies eher nicht angenommen zu werden. Dass bei Verdachtsmomenten wohl auch eine Benachrichtigung der Bank erforderlich ist, hat unter anderem bereits das AG Wiesloch (20.06.2008, 4 C 57/08) angenommen.

Schreiben Sie einen Kommentar