Sorgfaltspflichtsverletzung bei Pharming-Angriff

Artikel Bewerten
Rate this post

BGH: Urteil vom 24.04.2012 – XI ZR 96/11

Ein Bankkunde, der im Online-Banking Opfer eines Pharming-Angriffs wird, handelt fahrlässig, wenn er beim Log-In-Vorgang trotz ausdrücklichen Warnhinweises gleichzeitig zehn TAN eingibt (amtlicher Leitsatz).

Aus den Gründen (zusammenfassend):

Der Kläger (= Kunde) unterhielt bei der Beklagten (= Bank) ein Girokonto und nimmt seit 2001 am Online-Banking teil. Für Überweisungsaufträge verwendet die Beklagte das sog. iTAN-Verfahren, bei dem der Nutzer nach Erhalt des Zugangs durch Eingabe einer korrekten persönlichen Identifikationsnummer (PIN) dazu aufgefordert wird, eine bestimmte, durch eine Positionsnummer gekennzeichnete (indizierte) Transaktionsnummer (TAN) aus einer ihm vorher zur Verfügung gestellten, durchnummerierten TAN-Liste einzugeben. In der Mitte der Log-In-Seite des Online-Bankings der Beklagten befand sich vom 10. September 2008 bis zum 28. Juli 2009 folgender Hinweis:

“Derzeit sind vermehrt Schadprogramme und sogenannte Phishing-Mails in Umlauf, die Sie auffordern, mehrere Transaktionsnummern oder gar Kreditkartendaten in ein Formular einzugeben. Wir fordern Sie niemals auf, mehrere TAN gleichzeitig preiszugeben! Auch werden wir Sie niemals per E-Mail zu einer Anmeldung im Banking auffordern!”

Nach den Darlegungen des Klägers im gerichtlichen Verfahren habe er die Maske zum Online-Banking wie gewohnt aufgemacht. Danach kam der Hinweis, dass er im Moment keinen Zugriff auf Online-banking der Bank habe. Danach kam eine Anweisung zehn Tan-Nummern einzugeben. Die Felder waren nicht von 1 bis 10 durchnummeriert, sondern kreuz und quer. Er habe dann auch die geforderten Tan-Nummern, die er schon von der Bank hatte, in die Felder chronologisch eingetragen. Danach erhielt er Zugriff auf das Onlinebanking. Er habe dann unter Verwendung einer anderen Tan-Nummer eine Überweisung getätigt.

Vom Girokonto des Klägers wurde nach Eingabe seiner PIN und einer korrekten TAN ein Betrag von 5.000 € auf ein Konto bei einer griechischen Bank überwiesen. Der Kläger behauptet, er habe die Überweisung nicht veranlasst.

Dem Kläger steht kein Anspruch auf Zahlung von 5.000 € zu, da ein solcher, falls er mangels eines Überweisungsauftrags des Klägers bestanden hat, jedenfalls durch die Aufrechnung der Beklagten mit einem ihr in gleicher Höhe zustehenden Schadensersatzanspruch erloschen ist.

Nach der ständigen Rechtsprechung des Bundesgerichtshofs trägt im Überweisungsverkehr zwar regelmäßig die Bank und nicht der Kunde das Risiko, dass Überweisungsaufträge gefälscht oder inhaltlich verfälscht werden (BGH, Urteil vom 17. Juli 2001 – XI ZR 325/00, WM 2001, 1712, 1713). Dem Bankkunden kommt jedoch die girovertragliche Pflicht zu, die Gefahr einer Fälschung soweit wie möglich auszuschalten

Das Verhalten des Klägers hat das Berufungsgericht als fahrlässig eingestuft, was der BGH in seinem Urteil als naheliegend bestätigte. Der Kläger konnte sich hier auf den neuen § 675v Abs. 2 BGB, der eine unbegrenzte Haftung des „Zahlers“ bei missbräuchlicher Nutzung eines Zahlungsauthentifizierungsinstruments nur bei Vorsatz oder grober Fahrlässigkeit vorsieht, nicht berufen, da diese Vorschrift nicht für den streitgegenständlichen Überweisungsvorgang vom 26. Januar 2009 einschlägig war. Diese Vorschrift wurde erst durch Gesetz vom 29. Juli 2009 (BGBl. I S. 2355) mit Wirkung zum 31. Oktober 2009 eingefügt.

Anmerkung:

Fraglich ist, ob der Klägerseite die Vorschrift des § 675v Abs. 2 BGB, wonach der Kunde nur für grobe Fahrlässigkeit und Vorsatz haftet, auch dann geholfen hätte, wenn die Vorschrift bereits anwendbar gewesen wäre. Denn das Verhalten des Klägers könnte – je nach Einzelfall – auch durchaus als grob fahrlässig eingestuft werden. Jeder Kunde wird regelmäßig darauf hingewiesen, dass die Bank (oder Sparkasse) niemals nach einer TAN außerhalb des Überweisungsauftrages fragen wird, insbesondere nicht nach 10 TANs. Der Kunde war auch offenkundig erfahren genug. Denn er nahm bereits seit 2001 am Onlinebanking teil.

Rate this post