Haftung des Bankkunden bei Pharming
Fahrlässigkeit liegt auch vor, wenn ein Bankkunde auf einer manipulierten Internetseite mehrere TANs hintereinander eingibt.
Der BGH stellt fest, dass Fahrlässigkeit eines Bankkunden dann vorliegt, wenn dieser auf einer manipulierten Internetseite mehrere TANs seiner Bank innerhalb eines Eingabevorgangs eingibt.
Hintergrund ist ein Fall, in dem ein Bankkunde sich auf der Internetseite seiner Bank zum Onlinebanking anmelden wollte, daraufhin jedoch eine manipulierte Seite ihn am weiteren Anmeldevorgang hinderte und ihn stattdessen dazu aufforderte, auf einer entsprechenden Maske zehn seiner TANs einzugeben. Nachdem der Kunde diese geforderten TANs eingegeben hatte, wurde die Internetseite seiner Bank wieder frei geschaltet. In der Folge wurde vom Konto des Kunden ein größerer Betrag ins Ausland überweisen. Das Konto des Kunden befand sich nach der Überweisung zwar erheblich im Soll, jedoch noch im Rahmen des von der Bank eingeräumten Kreditlimits. Die Bank hatte jedoch im Vorfeld zu diesem Angriff gut sichtbar auf ihren Internetseiten darauf hingewiesen, dass es vermehrt zu solchen Angriffen im Onlinebanking kommen könne und sie niemals mehrere TANs gleichzeitig von ihren Kunden abfragen würde.
Da ein Täter nicht ermittelt werden konnte, klagte der geschädigte Kunde erfolglos auf Schadensersatz gegen seine Bank.
Der BGH stellt in seinem Urteil fest, dass die Vorinstanzen zu Recht die Schadensersatzforderung des Kunden zurückgewiesen haben. Er führt hierzu aus, dass zum Zeitpunkt der entsprechenden Urteile die Richtlinie 2007/64/EG noch nicht in deutsches Recht umgesetzt gewesen sei.
Zwar sehe der § 675v Abs. 2 BGB in seiner Neufassung vor, dass eine Haftung des Kunden nur dann unbegrenzt sei, wenn dieser grob fahrlässig oder vorsätzlich handele. Hier greife jedoch noch die vorherige nationale Bestimmung, die auch eine einfache Fahrlässigkeit zulässt.
Die Umsetzungsfristen der EU-Richtlinien besagen nicht, so der BGH, dass die nationale Rechtsprechung bereits vor Ablauf dieser Fristen, diese Richtlinien umsetzen müssten. Die nationalen Gerichte seien hingegen lediglich angehalten, nichts zu unternehmen, was die Umsetzung der Richtlinien behindern oder gar gefährden könnte. Auch das BVerfG habe in seinem Beschluss 1 BvR 2742/08 keine über die Urteile des EuGH hinausgehende richtlinienkonforme Auslegung der Rechtsprechung vorgesehen.
Im verhandelten Fall bestätigte der BGH die einfache Fahrlässigkeit.
Auch wenn die Vorinstanz die betrügerische Attacke fälschlich als „Phishing“ bezeichnet hatte, so sei dies für die Tatsache der einfach fahrlässigen Handlung des Kunden im Rahmen der richtig als „Pharming“ zu bezeichnenden Attacke unerheblich. Es komme hier einzig darauf an, dass der Kunde, obwohl er zuvor klar erkennbar auf mögliche Betrügereien im Internet hingewiesen worden war, trotzdem gegen die Informationen seiner Bank gehandelt habe. Insbesondere sei die mehrfache Eingabe von TANs noch nicht einmal im Zusammenhang mit realen Transaktionen vorgenommen worden, sondern auf der Startseite zum Onlinebanking.
Das Gericht hebt ausdrücklich hervor, dass es nicht um die Würdigung der betrügerischen Attacke geht, sondern einzig um die fahrlässige Handlung des Kunden.
Weiterhin sieht der BGH kein Mitverschulden bei der Bank, da diese nicht generell zu Warnungen im Bankgeschäft verpflichtet sei. Diese Verpflichtung liegt nur vor, wenn es Anhaltspunkte dafür gibt, dass ein Kunde durch betrügerische Handlungen andere Kunden schädigen will. Auch sei die Höhe der Transaktion im internationalen Geschäftsverkehr nicht ungewöhnlich und die Bank grundsätzlich nicht verpflichtet, sich hierbei um die Einzelinteressen ihrer Kunden zu kümmern (BGH, XI ZR 56/07).
Ebenso habe die Überziehung des Kontorahmens dabei keine Bedeutung gehabt, da hier keine ausdrückliche Vereinbarung bestand, die den Kunden hätte warnen müssen.
Für die Praxis bleibt festzuhalten, dass Kunden beim Onlinebanking eine große Sorgfaltspflicht zukommt und Banken nicht zu einzelnen Warnungen ihrer Kunden verpflichtet sind. Auch wenn die Neufassung des Gesetzes eine grobe Fahrlässigkeit voraussetzt, so kann diese durchaus bei betrügerisch manipulierten Internetseiten vorkommen, sofern die Bank z.B. zuvor ausreichend gut über solche Attacken informiert hat und der Kunde trotzdem diese Warnungen ignoriert.
BGH, Urteil vom 24.04.2012, Az. XI ZR 96/11