Onlinebanking: vergebliche Warnung vor "Pharming-Angriff"
Der Bundesgerichtshof (BGH) hat mit seinem Urteil vom 24.04.2012 unter dem Az. XI ZR 96/11 entschieden, dass ein Bankkunde fahrlässig handelt, wenn er im Online-Banking beim Einloggen eine Warnung vor einem Pharming-Angriffs erhält und dennoch mehrere (hier: zehn) TAN zugleich eingibt.
Der Kläger ist Kunde einer Bank und nimmt diese wegen einer Überweisung von 5000 Euro in Anspruch, die von der Bank via Online-Banking ausgeführt wurde.
Der Kläger unterhält ein Girokonto bei der Beklagten und nimmt seit langer Zeit am Online-Banking teil. Seine Überweisungen tätigt er mit Hilfe des TAN-Verfahrens. Die vertragliche Grundlage dazu sind die so genannten "Sonderbedingungen für die konto-/depotbezogene Nutzung des Online-Banking mit PIN und TAN" (im Folgenden: AGB), die u.a. dem Kunden eine Sorgfalts- und Mitwirkungspflicht auferlegen.
Am 08.09.08 fand sich in der Mitte der Einlogg-Seite der Beklagten der Hinweis:
"Derzeit sind vermehrt Schadprogramme und sogenannte Phishing-Mails in Umlauf, die Sie auffordern, mehrere Transaktionsnummern oder gar Kreditkartendaten in ein Formular einzugeben. Wir fordern Sie niemals auf, mehrere TAN gleichzeitig preiszugeben! Auch werden wir Sie niemals per E-Mail zu einer Anmeldung im Banking auffordern!"
Am 26.01.09 ist von dem Girokonto des Klägers nach der Eingabe der PIN und einer TAN ein Betrag von 5000 € an ein Konto einer in Griechenland ansässigen Bank überwiesen worden. Noch am gleichen Tag wurde von einem Konto eines anderen Bankkunden der Beklagten ein Betrag von 7000 € ebenfalls auf das griechische Konto überwiesen. Der Kunde erstattete am selben Abend noch Anzeige bei der Polizei. Drei Tage später erstattete auch der Kläger bei der Polizei eine Strafanzeige, wobei er zu Protokoll gab, es sei auf der Banking-Homepage der Hinweis erschienen, dass er im Moment nicht auf das Online-Banking zugreifen könne. Danach folgte die Anweisung, zehn TAN einzugeben. Nachdem er das tat, habe er Zugriff auf das Online-Banking erhalten und danach eine normale Überweisung mit einer weiteren TAN getätigt.
Da es nicht zur Ermittlung eines Täters kommen konnte, ist das Strafverfahren eingestellt worden. Die Überweisung hatte einen Sollsaldo in Höhe von 4315,73 € zur Folge. Der Kläger behauptet, die Überweisung in Höhe von 5000 € nicht veranlasst zu haben. Die Beklagte jedoch ist der Auffassung, ein Anscheinsbeweis spreche dafür, dass der Überweisungsauftrag durch den Kläger erteilt wurde. Ihr stehe ein Anspruch auf Schadensersatz zu, weil der Kläger seine Sorgfaltspflicht durch die Angabe von zehn TAN verletzt habe.
Die Klage auf Zahlung der 5000 € blieb in den Vorinstanzen ohne Erfolg und auch die Revision wird vom BGH als unbegründet angesehen. Der Kläger habe keinen Anspruch auf Zahlung gegen die Beklagte. Es könne auch dahinstehen, ob die Überweisung durch den Kläger getätigt wurde. Denn die Beklagte habe mit ihrem Schadensersatzanspruch aufrechnen können.
Der Kläger habe trotz seiner Sorgfaltspflicht fahrlässig einer dritten Person Kenntnis von seinen TAN verschafft, weil er auf die entsprechende Aufforderung eingegangen sei. Auch wenn auf seinem Bildschirm das übliche Bild für das Online-Banking erschienen sei und es also keine optische Auffälligkeit gegeben habe, hätte sich dem Kläger der Verdacht aufdrängen müssen, Opfer eines so genannten Phishing- Angriffs zu werden. Durch die Aufforderung, mehrere TAN einzugeben, habe er erkennen können, dass nicht die Beklagte, sondern ein Dritter zur Eingabe aufgefordert habe. Zu dieser Zeit habe es zudem Warnhinweise in den Medien gegeben. Daher sei es Allgemeingut geworden, dass die Abfrage mehrerer TAN auf ein Phishing hinweise.
Auch die Beklagte habe im Oktober 2008 den Kläger ausdrücklich und in gut verständlicher Weise und dazu an hervorgehobener Stelle daraufhin belehrt, dass sie niemals zur Eingabe mehrerer TAN auffordern werde. Der beklagten Bank sei daher nicht einmal ein Mitverschulden anzulasten.
BGH, Urteil vom 24.04.2012, Az. XI ZR 96/11
Ihr Ansprechpartner
