Sie haben eine wichtige Überweisung vergessen und die Bankfiliale Ihres Vertrauens hat schon geschlossen? In Zeiten von Online-Banking ist das kein Problem mehr und eine Transaktion lässt sich mühelos vom heimischen Sofa oder unterwegs per Handy abwickeln. Doch die Vorteile birgen auch Risiken, die unter Umständen teuer werden können. Online-Banking wird wegen der schnellen und unkomplizierten Abwicklung von Überweisungen immer beliebter. Allerdings muss der Kunde hier ganz besonders auf Sicherheitsrisiken achten, die wie in einem aktuellen Fall zu einem finanziellen Schaden führen können.
Der Bunde sgerichtshof hatte in einem aktuellen Fall (Aktenzeichen XI ZR 96/11) zu entscheiden, wann ein Geldinstitut bei einem sogenannten Pharming-Angriff von Kriminellen auf das Bankkonto eines Kunden haften muss und inwieweit der Kunde selbst Sicherheitsrisiken zu beachten hat.
Der Kläger unterhält bei der Beklagten ein Girokonto und nahm seit 2001 am Online-Banking teil. Der Kläger nutzte dabei das von der Bank zur Verfügung gestellt TAN-Verfahren, das neben dem chipTAN- und dem SMS-TAN-Verfahren zu den Standarddiensten des Online-Bankings zählt. Der Kunde benötigt dazu von der Bank eine durchnummerierte Liste mit Transaktionsnummern und eine persönliche Identifikationsnummer (PIN).
Achtung Sicherheitshinweis
Am vermeintlichen Tag des Pharming-Angriffs im Oktober 2008 befand sich in der Mitte der Log-in-Seite zum Online-Banking des Instituts ein wichtiger Sicherheitshinweis. Darin hieß es: "Derzeit sind vermehrt Schadprogramme und sogenannte Phishing-Mails in Umlauf, die Sie auffordern, mehrere Transaktionsnummern oder gar Kreditkartendaten in ein Formular einzugeben. Wir fordern Sie niemals auf, mehrere TAN gleichzeitig preiszugeben! Auch werden wir Sie niemals per E-Mail zu einer Anmeldung im … Net-Banking auffordern!"
Der Kläger schilderte in seiner Stellungnahme gegenüber dem Gericht, dass er beim Aufruf des Online-Bankings eine Fehlermeldung erhielt. Danach sei eine Anweisung erschienen, zehn TAN-Nummern einzugeben. Der Kläger folgte seiner Schilderung zufolge den Bildschirmanweisungen und erhielt daraufhin Zugriff zum Online-Banking und tätigte unter Verwendung einer anderen TAN-Nummer eine Überweisung.
Der für das Bank- und Börsenrecht zuständige XI. Zivilsenat des Bunde sgerichtshofs hat entschieden, unter welchen Voraussetzungen ein Bankkunde sich im Online-Banking bei einem Pharming-Angriff schadensersatzpflichtig macht.
Am 26. Januar 2009 wurde vom Girokonto des Klägers nach Eingabe seiner PIN und einer korrekten TAN ein Betrag von 5.000 Euro auf ein Konto bei einer griechischen Bank überwiesen. Der Kläger, der bestreitet, diese Überweisung veranlasst zu haben, erstattete am 29. Januar 2009 Strafanzeige.
Fehlende Sorgfalt
Der BGH hat die Klage abgewiesen und begründete, dass der Kläger sich gegenüber der Bank durch seine Reaktion auf diesen Pharming-Angriff schadensersatzpflichtig gemacht hat. Er hat die im Verkehr erforderliche Sorgfalt außer Acht gelassen, indem er beim Log-in-Vorgang, also nicht in Bezug auf einen konkreten Überweisungsvorgang, trotz des ausdrücklichen Warnhinweises der Bank gleichzeitig zehn TAN eingegeben hat.
Für die Haftung des Kunden reicht im vorliegenden Fall einfache Fahrlässigkeit aus, weil sich der Vorfall vor dem 31. Oktober 2009 ereignete. Erst seitdem ist § 675v Abs. 2 BGB in Kraft, der eine unbegrenzte Haftung des Kunden bei missbräuchlicher Nutzung eines Zahlungsauthentifizierungsinstruments nur bei Vorsatz und grober Fahrlässigkeit vorsieht. sg