Fahrlässigkeit bei Eingabe von zehn TANs im Online-Banking infolge Pharming-Attacke

Gericht

BGH

Datum

24.04.2012

Aktenzeichen

XI ZR 96/11

Branche/ Lebenslage

  • Online-Banking,
  • Pharming-Attacke,
  • Mehrfacheingabe von TANS

Akteure

  • Bankkunde,
  • Bank

Wer haftet?

  • Bankkunde (grundsätzlich haftet aber die Bank für das Risiko, dass Überweisungsaufträge gefälscht oder inhaltlich verfälscht werden)

Haftungsart

Schadensersatzanspruch

Haftungsumfang

  • Verfahrenskosten,
  • Haftung in Höhe des gegenüber der Bank bestehenden Auszahlungsanspruchs

Haftungsbegründendes Verhalten

Trotz ausdrücklichen Hinweises der Bank und Bekanntheit über den Medien von entsprechenden Attacken, nicht ohne konkreten Überweisungsbezug TAN-Daten einzugeben, dennoch mehrere TAN eingegeben

Technische Umstände

Preisgabe der TAN in einer Weise vor der die Bank explizit warnt ermöglicht das Risiko, dass Dritte Belastungsaufträge über das Online-Banking-Verfahren vornehmen

Persönliche Umstände

Verletzung der im Verkehr erforderlichen Sorgfalt im Rahmen des Online-Bankings Login Verfahrens, indem ausdrückliche Warnhinweise missachtet wurden

Möglichkeiten der Haftungsvermeidung

Kunde: Die Eingabe mehrerer TAN auf einmal (auch bei der Online-Banking-Maske täuschend ähnlicher sehender Aufforderung hierzu) birgt immer ein hohes Haftungsrisiko; Bank: Grundsätzlich empfehlenswert ist eine vertragliche Abstimmung der Pflichten im Umgang mit TAN und PIN, darüber hinaus sollten auf der Online-Banking-Maske entsprechende Phishing-Warnhinweise angebracht werden

Zitate, Zusammenfassende Würdigung, Strategien zur Haftungsvermeidung

Der Kläger und Bankkunde war Opfer eines Pharming-Angriffs geworden. Bei einem solchen Angriff werden Internetnutzer über verschiedenartige Systemmanipulationen auf gefälschte Webseiten umgeleitet. Im Rahmen dessen hatte der Bankkunde 10 TAN auf einmal auf einer Internetseite eingegeben, die der Internetseite der Bank sehr ähnlich aussah. Daraufhin wurden zu Lasten des Kontos des Bankkunden Überweisungen auf andere Konten durchgeführt. Der Bankkunde wollte die überwiesenen Gelder von der Bank zurückverlangen.

Rechtsfehlerfrei hat das Berufungsgericht einen, gem. § 280 I BGB zum Schadensersatz verpflichtenden, (einfachen) fahrlässigen Sorgfaltsverstoß des Klägers darin gesehen, dass er […] beim Log-In-Vorgang, also nicht in Bezug auf einen konkreten Überweisungsvorgang, trotz ausdrücklichen Warnhinweises gleichzeitig 10 TAN eingegeben hat.

Grundsätzlich haftet die Bank für das Risiko, dass Überweisungsaufträge gefälscht oder inhaltlich verfälscht werden. Dem Bankkunden kommt aber die girovertragliche Pflicht zu, die Gefahr einer Fälschung soweit wie möglich auszuschalten. Soweit keine anderweitigen Haftungsmaßstäbe geregelt sind, haftet der Kunde bereits bei einfacher Fahrlässigkeit.

Das Berufungsgericht hat das Verhalten des Klägers in revisionsrechtlich nicht zu beanstandender Weise als einfach fahrlässig eingestuft.

Entscheidend ist, dass der Kläger beim Log-In-Vorgang, also nicht etwa bei einer konkreten Transaktion, für die Transaktionsnummern bestimmt sind, gleichzeitig 10 TAN eingegeben hat, obwohl sich in der Mitte der Log-In-Seite des Online-Banking der Beklagten […] ein graphisch hervorgehobener Hinweis auf Schadprogramme, die zur Eingabe mehrerer TAN in ein Formular auffordern, befand und die Beklagte in diesem Hinweis ausdrücklich klargestellt hatte, dass sie Kunden niemals dazu auffordert, gleichzeitig mehrere TAN preiszugeben.

Dem Kläger hätte, trotz optischer fehlender Auffälligkeiten der Online-Banking-Maske, aufgrund des Warnhinweises der Bank und der während des Log-In-Vorgangs erfolgten (nicht transaktionsbezogen) Anforderung zur gleichzeitigen Eingabe von 10 TAN bewusst sein müssen, dass nicht die Bank, sondern ein unbefugter Dritter die TAN anforderte.

Der Fahrlässigkeitsvorwurf ist dem Kläger nicht dahingehend zu machen, dass dieser überhaupt Opfer einer Pharming-Attacke wurde, sondern dahingehend, dass dieser den Angriff trotz massiver Anhaltspunkte und Warnungen im Einzelfall nicht erkannt und diesbezüglich Verdachtsmomente ignoriert hat.

Die Bank trägt auch kein Mitverschulden gem. § 254 Abs.1 BGB. Die Bank ist mit dem Einsatz des, dem Stand der Technik entsprechenden, iTAN-Verfahrens ihrer Pflicht zur Bereitstellung eines möglichst wenig missbrauchsanfälligen Systems des Online-Bankings nachgekommen.

Auch musste keine gesonderte Warnung an den Kläger erfolgen. Im Zahlungsverkehr bestehen Warn- und Hinweispflichten der Kreditinstitute zum Schutz ihrer Kunden vor drohenden Schäden nur im Ausnahmefall (z.B. bei Verdacht aufgrund massiver Anhaltspunkte).

ANMERKUNGEN

Gesetzesänderung: Die Neuregelung des § 675v BGB (in der Fassung vom 13. Januar 2018) regelt eine volle Haftung des Zahlers (Kunden) nun nur noch bei grober Fahrlässigkeit und Vorsatz. Das gilt im Übrigen bereits seit der Fassung des § 675v Abs. 2 (mit Wirkung vom 31. Oktober 2009). Einfache Fahrlässigkeit genügt daher nicht mehr für eine vollumfängliche Haftung. Allerdings besteht eine Haftung bei einfacher Fahrlässigkeit bis zu einer Höhe von 50 Euro gem. § 675v Abs. 1 n.F. BGB.
Dem Berufungsgericht kam es noch ausdrücklich auch auf Warnungen vor den Pharming-Angriffen in den allgemeinen Medien an. Das hat der BGH, zumindest für die Bejahung der einfachen Fahrlässigkeit, abgelehnt. Ob der bloße Hinweis auf ein Problem durch die Bank selbst ohne allgemeine Bekanntheit des Problems genügt, um grobe Fahrlässigkeit annehmen zu können, hat der BGH hingegen nicht entschieden. Rechtssicherheit ist somit noch nicht geschaffen.

Schreiben Sie einen Kommentar