Rückzahlungsanspruch gegen die eigene Bank nach Phishing-Attacke

Urteil des KG Berlin vom 29.11.2010 – 26 U 159/09: Wer bei Überweisungen per Online-Banking Opfer einer sogenannten „Phishing-Attacke“ wird, kann von der kontoführenden Bank Rückerstattung bzw. Gutschrift des Geldbetrages verlangen, um welchen die Bank das Konto des Opfers nach einer Transaktion durch die Täter belastet hat. Allerdings kann die Bank dem Opfer bei Verletzung von Sorgfaltspflichten u. U. einen Schadensersatzanspruch entgegenhalten.

Das KG Berlin hat in seiner Entscheidung vom 29.11.2010 – 26 U 159/09 grundlegende Fragen im Rechtsverhältnis zwischen Bank und Kunde geklärt, wenn der Kunde Opfer einer Phishing-Attacke beim Online-Banking geworden ist und die Bank nach Transaktionen seitens und an die Täter das Konto des Kunden in entsprechender Höhe belastet hat.

Der Berufungsentscheidung des Gerichts lag als Sachverhalt zugrunde, dass die Klägerin – eine Kundin der beklagten Bank – beim Versuch einer Online-Überweisung in ein optisch dem Internetauftritt der Beklagten zuzuordnendes Fenster weitergeleitet wurde und dort nach Aufforderung insgesamt vier unverbrauchte Transaktionsnummern eingab. Am darauffolgenden Tag wurden vom Konto Überweisungen in einer Gesamthöhe 14.500 € an fremde Personen vorgenommen. Nachdem die Beklagte das Konto der Klägerin um diesen Betrag belastet hatte, stritten die Parteien um einen etwaigen Anspruch auf Rückgängigmachung dieser Belastung zugunsten der Klägerin.

Das KG Berlin stellte zunächst fest, dass der Beklagten zumindest kein vertraglicher Aufwendungsersatzanspruch nach §§ 675, 670 BGB aus dem Girovertragsverhältnis zustand, da die Klägerin unbestritten weder die Überweisungen selbst in eigenem Namen beauftragt hatte, noch ihr die Fremdanweisungen durch den oder die Täter kraft Rechtsscheins zugerechnet werden könnten. Z

Zwar könnten die Regeln der Anscheinsvollmacht grundsätzlich Anwendung finden, wenn ein Kunde seine Zugangsdaten für die Teilnahme am Onlinebanking an einen Dritten weitergibt und somit die Voraussetzungen schafft, dass dieser unter fremden Namen kontobelastende Anweisungen erteilt (vgl. OLG Schleswig, B. v. 19.07.2010 – 3 W 47/10). Dies gilt jedoch nur im Falle eines schuldhaft gesetzten Rechtsscheins durch den Kontoinhaber, was nicht angenommen werden könne, wenn die Daten – wie hier – mittels bösartiger Software ausgespäht wurden. 

Daher stand der Klägerin ein Rückzahlungsanspruch bzw. ein Anspruch auf Gutschrift des betreffenden Betrages zu Lasten der beklagten Bank zu.

Ungeachtet dessen könne die Beklagte aber möglicherweise genau diesen Schaden mit einem entsprechenden Anspruch nach §§ 280 Abs.1 , 241 Abs.2 BGB wegen schuldhafter Verletzung von Sorgfaltspflichten der Klägerin entgegenhalten.

Eine Pflichtverletzung der Klägerin erkannte die Beklagte darin, dass die Klägerin auf die objektiv begründeten Verdachtsmomente einer Phishing-Attacke – hier die Abfrage von gleich vier TAN-Nummern – nicht angemessen reagiert habe und dies auch von ihr iSe Fahrlässigkeit zu vertreten sei. Schließlich könne vom durchschnittlich informierten Nutzer des Online-Banking-Systems zumindest eine allgemeiner Kenntnis der Gefahren durch derartige Manipulationen erwartet werden.

Hingegen könne der Sorgfaltspflichtverstoß nicht mit der Begründung eines unzureichenden Schutzes aufgrund fehlender Virenschutz-Programme angenommen werden. Ein dahingehender Anscheinsbeweis verbiete sich aufgrund der Tatsache, dass es verschiedene denkbare Möglichkeiten gibt, wie kriminelle Dritte an geheime Daten eines Kunden gelangen.

Schließlich war der Schadensersatzanspruch der Beklagten aus Sicht des Gerichts aber nach § 254 Abs.1 BGB wegen Mitverschuldens der Beklagten anteilig zu kürzen. Denn diese hatte mit dem herkömmlichen TAN-System ein System verwendet, welches im Vergleich zum neuen und weit überwiegend von Kreditinstituten verwendeten iTAN-System weitaus unsicherer ist. Der Einwand der Beklagten, dass auch das iTAN-System durch spezielle Angriffe überwunden werden könne, vermochte das Gericht nicht zu überzeugen. Schließlich sei es aus dessen Sicht entscheidend, dass die Angriffsmöglichkeiten beim iTAN-System zumindest deutlich reduziert seien.

Der von der Beklagten angebrachtet Sicherheitshinweis hätte wesentlich deutlicher erfolgen müssen, um ein weit überwiegendes Mitverschulden dieser auszuschließen.

Im Ergebnis sprach das KG Berlin der Klägerin trotz ihrer Schadenshaftung noch einen Rückerstattungsanspruch in Höhe von 70 % zu.

Anmerkung: Auf den Punkt gebracht besagt die Entscheidung, dass der Bankkunde immer dann verlustfrei bleiben soll, wenn er nach objektiven Gesichtpunkten keinen Manipulationsverdacht schöpfen musste, das Online-Banking also scheinbar „wie immer“ ablief. Schon leichte Fahrlässigkeit im Umgang mit den eigenen Daten könne aber eine Rückerstattung gänzlich vereiteln, sofern nicht der Bank – wie hier – ebenfalls mangelnde Sorgfalt vorzuwerfen sei.