Gericht
LG Oldenburg
Datum
15.01.2016
Aktenzeichen
8 O 1454/15
Branche/ Lebenslage
- Trojaner,
- Phishing,
- Virenschutz,
- Online-Banking,
- Mobile-Banking
Akteure
- Bankkonto-Inhaber,
- Bank
Wer haftet?
- Grundsätzlich die Bank,
- § 675u BGB
Haftungsart
- Schadensersatz
Haftungsumfang
- Schadensersatz,
- Verfahrenskosten
Haftungsbegründendes Verhalten
Tätigung eines nicht durch den tatsächlichen Kontoinhaber veranlassten Zahlungsauftrags
Technische Umstände
Phishing Attacke ermöglichte Abgreifen von Zugangsdaten
Persönliche Umstände
Grundsätzlich trägt die Bank das Missbrauchsrisiko, wenn nicht dem Geschädigten ein nachweisbarer Vorwurf zu machen ist
Möglichkeiten der Haftungsvermeidung
Die Sicherungsmechanismen gegen Pharming, Phishing sowie anderer Angriffe auf das Zahlungssystem sollten dem neusten Stand der Technik entsprechen; vor möglichen Angriffen sollte möglichst konkret gewarnt werden; Bankkunden sollten Störungen ihrem Bankdienstleister melden
Zitate, Zusammenfassende Würdigung, Strategien zur Haftungsvermeidung
Der Kläger und Bankkunde verlangt von der Bank die infolge einer Phishing-Attacke nicht durch den Kläger veranlassten Überweisung zurückerstattet zu bekommen.
Begriffserklärung Phishing-Attacke: Über die Zwischenschaltung zwischen die Kommunikation von Bankkunden und Bank (etwa über die Verlinkung zu gefälschten Webseiten, z.B. über den Link in einer E-Mail) gelangen die Angreifer an Daten des Bankkunden.
Das Gericht lehnte einen Anscheinsbeweis zulasten des Kunden aufgrund der korrekten Verwendung von PIN und TAN im Online-Banking ab:
Die Grundsätze des Anscheinsbeweises [sind] hier nicht zu ihren Gunsten [der Bank] anzuwenden. Wie sich aus § 675 w BGB ergibt, genügt allein die Tatsache, dass PIN, TAN, Benutzername usw. Anwendung fanden und der Vorgang elektronisch aufgezeichnet wurde, nicht zur Begründung einer Beweisvermutung. Vielmehr sind die Umstände des Einzelfalls hier zu berücksichtigen.
Auch ein Mitverschulden des Bankkunden ist nicht gegeben:
Indem der Kläger auf die raffinierte und […] hochprofessionelle Vorgehensweise „hereingefallen“ ist, ist ihm keine (grobe) Fahrlässigkeit anzulasten.
Hinsichtlich der vom Kunden zu erbringenden eigenen Sicherheitsvorkehrungen äußerte sich das Gericht dahingehend, dass allein der Umstand, dass der Computer des Bankkunden offenbar dem Angriff eines Trojaners unterlag, dies noch kein Indiz dafür ist, dass ein Virenschutzprogramm fehlte oder nicht ausreichend war.
Auch ein regelmäßig aktualisiertes Schutzprogramm kann keine vollständige Gewähr dafür bieten, dass der Computer nicht von einem neu entwickelten Trojaner infiziert wird.
ANMERKUNGEN
Anscheinsbeweis: Das Gericht stellt hier ausdrücklich fest, dass es nicht immer genügen kann, um einen Anscheinsbeweis zugunsten der Bank entstehen zu lassen, wenn diese vortragen kann, dass PIN, TAN und Benutzername Anwendung fanden und dieser Vorgang elektronisch aufgezeichnet wurde.
Das Gericht ging hier sogar so weit davon auszugehen, dass der Kunde seinen Computer ausreichend gegen Schadenssoftware geschützt hatte („ein fehlender oder nicht aktueller ‚firewall‘ würde nach der allgemeinen Lebenserfahrung nach kürzester Zeit bemerkt werden“). Es ging jedoch auch darauf ein, dass der Kunde die Nutzung eines entsprechenden Viren-Programms ohnehin glaubhaft vorgetragen hatte.
Ist der Bankkunde Opfer einer Attacke auf die Zahlungssysteme der Bank geworden, scheint das Gericht grundsätzlich eine Benachrichtigung der Bank und evtl. auch der Polizei vor Löschung von Handy- und Computerdaten für erforderlich zu halten. Ob andernfalls eine „Beweisvereitelung“ zum Vorwurf gemacht werden könnte, entschied das Gericht allerdings nicht. Zumindest ohne entsprechende Anweisung durch die Bank, die Daten noch auf den jeweiligen Geräten (etwa zu Überprüfungsmaßnahmen) zu belassen, scheint dies eher nicht angenommen zu werden. Dass bei Verdachtsmomenten wohl auch eine Benachrichtigung der Bank erforderlich ist, hat unter anderem bereits das AG Wiesloch (20.06.2008, 4 C 57/08) angenommen.