BGH: Nutzer von Online-Banking haftet für Schäden, die als Folge eines Phishing-Angriffs entstehen!

Von Rechtsanwalt Hans-Christoph Hellmann
Ratgeber - Verbraucherschutz
Mehr zum Thema: Verbraucherschutz, Phishing, Online-Banking, Fahrlässigkeit, Trojaner, Bank
4,5 von 5 Sterne
 Bewerten mit: 5 Sterne 4 Sterne 3 Sterne 2 Sterne 1 Stern
2

BGH, Urteil vom 24. April 2012 - XI ZR 96/11

1. Der Fall

Elektronischer Zahlungsverkehr auf eigene Gefahr? Ist das Ende des Verbraucherschutzes beim Online-Banking eingeläutet? So lässt sich die jüngste Entscheidung des Bundesgerichtshofs zum „Phishing" (bzw. Pharming) beim Online-Banking zunächst interpretieren. Der Bundesgerichtshof wies die Klage eines Rentners zurück, der einer angeblichen Aufforderung seiner Bank gefolgt war.

Ein Rentner aus Düsseldorf musste einen größeren Schaden hinnehmen, nachdem er  - durch eine Schadsoftware dazu aufgefordert - freiwillig 10 seiner Transaktionsnummern (Tan) freigab, sodass Betrüger letztlich auf 5.000 € vom Konto des Beamten zugreifen konnten. Natürlich konnten die Täter nicht ermittelt werden.

Im Oktober 2008 wollte der spätere Kläger (gegen die Bank) in das Online-Banking einloggen. Die Seite hat sich wie gewohnt aufgemacht. Danach kam der Hinweis, dass er keinen Zugriff auf Online-Banking der Bank hätte. Danach kam eine Anweisung zehn Tan-Nummern einzugeben. Die Felder waren nicht von 1 bis 10 durchnummeriert, sondern kreuz und quer. Er habe dann auch die geforderten Tan-Nummern, die er von der Bank hatte, in die Felder chronologisch eingetragen. Danach habe er dann Zugriff auf das Online-Banking erhalten und ordnungsgemäß Überweisungen getätigt.

Der BGH argumentierte im Wesentlichen, dass der Kunde sich gegenüber der Bank durch seine Reaktion auf diesen Angriff schadensersatzpflichtig gemacht habe. Er habe insbesondere die im Verkehr erforderliche Sorgfalt außer Acht gelassen, indem er beim Log-In-Vorgang, also nicht in Bezug auf einen konkreten Überweisungsvorgang, trotz des ausdrücklichen Warnhinweises der Bank gleichzeitig zehn TAN eingegeben hat. Für die Haftung des Kunden reiche im vorliegenden Fall einfache Fahrlässigkeit aus, weil § 675v Abs. 2 BGB, der eine unbegrenzte Haftung des Kunden bei missbräuchlicher Nutzung eines Zahlungsauthentifizierungsinstruments nur bei Vorsatz und grober Fahrlässigkeit vorsieht, erst am 31. Oktober 2009 in Kraft getreten ist.

2. Fazit

Der BGH hat laut seiner Pressemitteilung ausdrücklich offen gelassen, ob die Rechtsprechung auch auf aktuelle Fälle zu übertragen oder zu verallgemeinern sei. Dies ist jedoch nach hiesiger Auffassung nicht der Fall. Zum einen dürfte es speziell sein, dass in der Tat 10 Tan abgefragt und unkritisch eingegeben wurden. Dabei hätte sich dem Kläger unter diesen Umständen schon aufdrängen können, dass etwas nicht mit rechten Dingen zugeht. Außerdem genügt aufgrund der Änderungen des Verbraucherrechts nicht mehr bloße Fahrlässigkeit. Der Betrogene muss bei seinem Verhalten auch grob fahrlässig sein. Dies ist aber nur dann der Fall, wenn jemand derartig fahrlässig handelt, dass sich die Fehlerhaftigkeit des Verhaltens an sich Jedermann aufdrängen muss. Hier kam aber auch noch ein deutlicher Warnhinweis auf der Bankseite dazu. Dies hatte zweifelsohne zur „einfachen" Fahrlässigkeit bei dem schon leichtfertigen Verhalten des Kunden geführt.

Aber besonders wichtig dürfte sein, dass man wohl kaum von den meisten Nutzern ein Wissen verlangen wird können, dass trotz Virenschutzes einschlägige Trojaner noch wirken können. Es kommt immer auf die genauen Umstände an. In dem Zusammenhang ist jedem Nutzer zu raten, im Fall eines Vorfalls der Bank unverzüglich Meldung zu machen. Dann aber dürfte eine notwendige grobe Fahrlässigkeit in den wenigsten Fällen vorliegen.