Bank muss durch Ausspähen von Bankdaten entstandenen Schaden ersetzen
Einen interessanten Fall zur Haftung bei Phishing-Angriffen hatte das Landgericht Landshut kürzlich zu entscheiden (LG Landshut, Urteil vom 15.08.2011, Az. 24 O 1129/11).
Relevante Normen: §§ 675v Abs. 2, 675u S 2 sowie 675u S. 1 des Bürgerlichen Gesetzbuches (BGB)
Sachverhalt
Der Kläger des Verfahrens hatte bei der Beklagten, einer Bank im Gerichtsbezirk Landshut, ein Konto, welches er für private Zwecke nutzte (Privatkundenkonto). Im Rahmen eines Buchungsvorganges, den der Kläger im Onlinebanking durchführte, wurde er aufgefordert, sämtliche der ihm zur Verfügung stehenden TAN-Nummern (insgesamt 100) in ein aufscheinendes Formular einzugeben. Als Grund hierfür wurden ihm Sicherheitszwecke genannt. Der Kläger erachtete dies als plausibel, weil er der Begründung Glauben schenkte. Er kam der Aufforderung des vermeidlichen Onlinebankings nach. Ihm wurde erst im Nachhinein klar, dass es sich nicht um eine Aufforderung der Beklagten handelte, sondern um den Betrug eines Dritten. Bevor der Kläger den Betrug bemerkte, wurden insgesamt 6.000 € von seinem Konto an einen nicht mehr auffindbaren Dritten überwiesen. Dies geschah unter Verwendung der vom Kläger in das Formular eingegebenen TAN-Nummern. Im Folgenden stellte der Kläger deshalb formgerecht Strafanzeige und Strafantrag gegen Unbekannt. Von der beklagten Bank forderte er eine Rückzahlung in Höhe von 6.000 € wegen des Phishing-Angriffs. Die Beklagte verweigerte die Rückzahlung und gab an, für den Schaden des Klägers nicht verantwortlich zu sein. Schließlich sei es ihm bei aufmerksamer Durchsicht des vermeidlichen Formulars sowie unter Anwendung der im Verkehr üblichen Sorgfalt möglich gewesen, den Phishing-Angriff als einen solchen zu erkennen. Hiergegen wehrte sich der Kläger mit einer form- und fristgerecht eingelegten Klage an das örtlich und sachlich zuständige Landgericht Landshut.
Auszug aus den Gründen
Das Landgericht schloss sich der Ansicht der Beklagten nicht an. Der Klage wurde antragsgemäß stattgegeben und die Bank zur Rückzahlung der 6.000 € verurteilt. Im Ergebnis wurde ein Rückzahlungsanspruch in Höhe des dem Kläger entstandenen Schadens also bejaht.
Zur Begründung führte die zuständige Zivilkammer aus, die Bank habe für den Schaden des Klägers einzustehen, weil dieser keinen rechtswirksamen Überweisungsaustrag abgegeben habe. Nach Ansicht des Gerichts war der Kläger bloß ein Opfer der Phishing-Attacke geworden. Dabei sei dieser – entgegen der Ansicht der Beklagten – für den Kläger nicht vorhersehbar oder erkennbar gewesen. Das Gericht war also der Auffassung, dass der Kläger die im Verkehr übliche Sorgfalt angewandt hatte.
Eine eigenständige Haftung des Klägers, welche einen Rückzahlungsanspruch gegen die Bank ausschließen würde, könne allerdings erst bejaht werden, wenn dem geschädigten Kläger ein Fahrlässigkeitsvorwurf gemacht werden könne. Dies sei jedoch, da der Kläger die übliche Sorgfalt angewandt hatte, vorliegend nicht der Fall.
Zu diesem Befund gelangte das Gericht, indem es die Umstände des konkreten Einzelfalls gewürdigt und bewertet hatte. Der Kläger sei kein Fachmann gewesen, weswegen er nicht über hinreichende Kenntnisse zur Erkennung von Phishing-Attacken verfüge. Ihm sei die Gefahr des Onlinebanking damit nicht klar genug gewesen, um eine Haftung zu bejahen. Vorwiegend stellte das Gericht jedoch maßgeblich auf die geringen Sprachkenntnisse des Klägers ab. Dieser sprach nur brüchiges Deutsch. Überdies nutzte er das Onlinebanking höchst selten. Nach Ansicht der Richterinnen und Richter war es deshalb glaubhaft, dass er die Benachrichtigung zwar gelesen hatte, sie aber dennoch nicht ganz würdigen konnte.
Kommentar
Das Urteil sollte nicht als „Freifahrtschein“ verstanden werden. Das Gericht arbeitet in seinem Urteil ganz deutlich heraus, dass eine Haftung des Klägers nur verneint wurde, weil er bloß über geringe Technik- und Sprachkenntnisse verfügte. In Fällen, in denen der geschädigte der deutschen Sprache mächtig ist könnte eine Haftung bejaht, ein Rückzahlungsanspruch gegen die Bank also verneint werden. Bei Aufforderungen, sämtliche TAN-Nummern auf einmal einzugeben, ist höchste Vorsicht geboten. Seriöse Banken werden dies nicht tun.
LG Landshut, Urteil vom 15.08.2011, Az. 24 O 1129/11
Ihr Ansprechpartner
