Betrug im Online-Banking – Kunde muss für Pharming-Überweisung haften

Kunde gibt bei Online-Banking trotz Warnung vor Pharming mehrere TAN ein

Der Bundesgerichtshof (BGH) hat gestern entschieden, dass ein Kunde, der beim Online-Banking aufgrund eines sogenannten Pharming-Angriffs fahrlässig mehrere TAN (Transaktionsnummer) eingegeben hatte, keinen Schadenersatz für eine daraufhin erfolgte betrügerische Überweisung erhält. Im zugrundeliegenden Fall hat der Kunde von der beklagten Bank wegen einer von ihr im Online-Banking ausgeführten Überweisung von 5.000 € die Rückzahlung dieses Betrages gefordert. Der Kläger unterhält ein Girokonto und nimmt seit 2001 am Online-Banking teil. Für Überweisungsaufträge verwendet die Bank das sog. iTAN-Verfahren, bei dem der Nutzer nach Erhalt des Zugangs durch Eingabe einer persönlichen Identifikationsnummer (PIN) dazu aufgefordert wird, eine bestimmte Transaktionsnummer (TAN) aus einer ihm vorher zur Verfügung gestellten TAN-Liste einzugeben. In der Mitte der Log-In-Seite des Online-Bankings der Beklagten befand sich folgender Hinweis:  "Derzeit sind vermehrt Schadprogramme und sogenannte Phishing-Mails in Umlauf, die Sie auffordern, mehrere Transaktionsnummern in ein Formular einzugeben. Wir fordern Sie niemals auf, mehrere TAN gleichzeitig preiszugeben! Auch werden wir Sie niemals per E-Mail zu einer Anmeldung im … Net-Banking auffordern!" Am 26.01.2009 wurde vom Girokonto des Klägers nach Eingabe seiner PIN und einer korrekten TAN ein Betrag von 5.000 € auf ein Konto bei einer griechischen Bank überwiesen. Der Kunde, der bestreitet, diese Überweisung veranlasst zu haben, erstattete am 29.01.2009 Strafanzeige und gab Folgendes zu Protokoll: "Im Oktober 2008 wollte ich ins Online-Banking. Die Maske hat sich wie gewohnt aufgemacht. Danach kam der Hinweis, dass ich im Moment keinen Zugriff auf Online-Banking der ... Bank hätte. Danach kam eine Anweisung, zehn TAN-Nummern einzugeben. Ich habe dann auch die geforderten TAN-Nummern in die Felder chronologisch eingetragen. Danach erhielt ich dann Zugriff auf mein Online-Banking. Ich habe dann unter Verwendung einer anderen TAN eine Überweisung getätigt." Das Ermittlungsverfahren wurde eingestellt, da ein Täter nicht ermittelt werden konnte. Die Klage auf Zahlung von 5.000 € nebst Zinsen und vorgerichtlichen Kosten ist in den Vorinstanzen erfolglos geblieben.

Kunde ist durch fahrlässige Eingabe der TAN der Bank zum Schadenersatz verpflichtet

Der BGH hat die Revision des Kunden zurückgewiesen, da die Klage unbegründet sei. Auch wenn der Kläger die Überweisung der 5.000 € nicht selbst veranlasst hat, ist sein Anspruch auf Auszahlung dieses Betrages erloschen, weil die Bank hier mit einem Anspruch auf Schadensersatz in gleicher Höhe aufgerechnet hat. Der Kläger ist nach dem in seiner Strafanzeige vorgetragenen Sachverhalt Opfer eines sogenannten Pharming-Angriffs geworden, bei dem der korrekte Aufruf der Website der Bank technisch in den Aufruf einer betrügerischen Seite umgeleitet worden ist. Der Dritte hat die durch Betrug erlangte TAN genutzt, um der Bank unbefugt den Überweisungsauftrag zu erteilen. Der Kläger hat sich damit gegenüber der Bank durch seine Reaktion auf diesen Pharming-Angriff schadensersatzpflichtig gemacht. Er hat die im Verkehr erforderliche Sorgfalt außer Acht gelassen, indem er beim Log-In-Vorgang trotz des ausdrücklichen Warnhinweises gleichzeitig zehn TAN eingegeben hat. Für die persönliche Haftung des Kunden reicht im vorliegenden Fall einfache Fahrlässigkeit aus. Ein anspruchsminderndes Mitverschulden der Bank hat das Berufungsgericht zu Recht verneint. Die Bank ist mit dem Einsatz des 2008 dem Stand der Technik entsprechenden iTAN-Verfahrens ihrer Pflicht zur Bereitstellung eines möglichst wenig missbrauchsanfälligen Systems des Online-Banking nachgekommen. Sie hat auch keine Aufklärungs- oder Warnpflichten verletzt (BGH, Urteil vom 24.04.2012;  Az.: XI ZR 96/11).

Anmerkung

Am 31.10.2009 ist der hier einschlägige § 675v Abs. 2 BGB in Kraft getreten. Die neue Vorschrift sieht eine unbegrenzte Haftung des Kunden bei missbräuchlicher Nutzung eines Zahlungsauthentifizierungsinstruments nur noch bei Vorsatz und grober Fahrlässigkeit und nicht mehr schon bei einfacher Fahrlässigkeit vor.