Zivilrecht | Schadensersatzpflicht im Online-Banking (BGH)
Der für das Bank- und Börsenrecht zuständige XI. Zivilsenat des BGH hat entschieden, unter welchen Voraussetzungen ein Bankkunde sich im Online-Banking bei einem Pharming-Angriff schadensersatzpflichtig macht ().
Hintergrund: Im zugrundeliegenden Fall nimmt der Kläger die beklagte Bank wegen einer von ihr im Online-Banking ausgeführten Überweisung auf Rückzahlung dieses Betrages in Anspruch. Der Kläger unterhielt ein Girokonto bei einer Bank. Für Überweisungsaufträge im Online-Banking verwendet er das sog. iTAN-Verfahren, bei dem der Nutzer nach Erhalt des Zugangs durch Eingabe einer korrekten persönlichen Identifikationsnummer (PIN) dazu aufgefordert wird, eine bestimmte, durch eine Positionsnummer gekennzeichnete (indizierte) Transaktionsnummer (TAN) aus einer ihm vorher zur Verfügung gestellten, durchnummerierten TAN-Liste einzugeben.
Sachverhalt: Vom Girokonto des Klägers wurde nach Eingabe seiner PIN und einer korrekten TAN ein Betrag von 5.000 € auf ein Konto bei einer griechischen Bank überwiesen. Der Kläger, der bestreitet, diese Überweisung veranlasst zu haben, erstattete Strafanzeige und gab Folgendes zu Protokoll: "Im Oktober wollte ich ins Onlinebanking. Die Maske hat sich wie gewohnt aufgemacht. Danach kam der Hinweis, dass ich im Moment keinen Zugriff hätte. Danach kam eine Anweisung zehn Tan-Nummern einzugeben. Ich habe dann die geforderten Tan-Nummern, die ich schon von der Bank hatte, in die Felder chronologisch eingetragen. Danach erhielt ich Zugriff auf mein Online-Banking. Ich habe dann unter Verwendung einer anderen Tan-Nummer eine Überweisung getätigt."
Hierzu führte der BGH weiter aus: Auch wenn der Kläger die Überweisung nicht veranlasst hat, ist sein Anspruch auf Auszahlung erloschen, weil die Bank mit einem Schadensersatzanspruch in gleicher Höhe gemäß § 280 Abs. 1 BGB aufgerechnet hat. Der Kläger ist nach dem in seiner Strafanzeige vorgetragenen Sachverhalt Opfer eines Pharming-Angriffs geworden, bei dem der korrekte Aufruf der Website der Bank technisch in den Aufruf einer betrügerischen Seite umgeleitet worden ist. Der betrügerische Dritte hat die so erlangte TAN genutzt, um der Bank unbefugt den Überweisungsauftrag zu erteilen. Der Kläger hat sich gegenüber der Bank durch seine Reaktion auf diesen Pharming-Angriff schadensersatzpflichtig gemacht. Er hat die im Verkehr erforderliche Sorgfalt außer Acht gelassen, indem er beim Log-In-Vorgang, also nicht in Bezug auf einen konkreten Überweisungsvorgang, trotz des ausdrücklichen Warnhinweises der Bank gleichzeitig zehn TAN eingegeben hat. Für die Haftung des Kunden reicht im vorliegenden Fall einfache Fahrlässigkeit aus, weil § 675v Abs. 2 BGB, der eine unbegrenzte Haftung des Kunden bei missbräuchlicher Nutzung eines Zahlungsauthentifizierungsinstruments nur bei Vorsatz und grober Fahrlässigkeit vorsieht, erst am in Kraft getreten ist.
Anmerkung: Ein anspruchsminderndes Mitverschulden der Bank wurde im Streitfall verneint. Nach den Feststellungen des Berufungsgerichts ist die Bank mit dem Einsatz des im Jahr 2008 dem Stand der Technik entsprechenden iTAN-Verfahrens ihrer Pflicht zur Bereitstellung eines möglichst wenig missbrauchsanfälligen Systems des Online-Banking nachgekommen. Sie hat auch keine Aufklärungs- oder Warnpflichten verletzt. Ob mit der Ausführung der Überweisung der Kreditrahmen des Kunden überschritten wurde, ist unerheblich, weil Kreditinstitute grds. keine Schutzpflicht haben, Kontoüberziehungen ihrer Kunden zu vermeiden. Einen die einzelne Transaktion unabhängig vom Kontostand beschränkenden Verfügungsrahmen hatten die Parteien nicht vereinbart.
Quelle: BGH, Pressemitteilung v.
Fundstelle(n):
NWB HAAAF-43858