Schadensersatzpflicht eines Bankkunden bei einem Pharming-Angriff im Online- Banking

Der BGH entschied in dieser Woche, dass eine Bank nicht dafür haftet, wenn sie eine Überweisung ausführt, bei denen die Transaktionsnummern mittels Online-Betrugs (sog. Pharming) entwendet wurden. Folglich haften Kunden für Schäden, wenn sie beim Online-Banking auf Betrüger hereinfallen und dadurch PIN und TAN abhandenkommen.

In dem zugrunde liegenden Sachverhalt nahm der Kläger die beklagte Bank wegen einer von ihr im Online-Banking ausgeführten Überweisung von 5.000 € auf Rückzahlung dieses Betrags in Anspruch.
Der Kläger nahm seit vielen Jahren bei der Beklagten am Online-Banking teil. Für Überweisungen verwendete die Beklagte das sog. iTan-Verfahren, bei dem der Nutzer nach Erhalt des Zugangs durch Eingabe einer korrekten persönlichen Identifikationsnummer (PIN) dazu aufgefordert wird, eine bestimmte, durch eine Positionsnummer gekennzeichnete Transaktionsnummer (TAN) aus einer ihm vorher zur Verfügung gestellten, durchnummerierten TAN-Liste einzugeben.

Trotz Warnhinweises auf der Log-In-Seite des Online Bankings der Beklagten, niemals mehrere TAN gleichzeitig preiszugeben und einer solchen Aufforderung auch niemals nachzukommen, gab der Kläger beim Login auf einer gefälschten Bank-Internetseite insgesamt 10 TAN-Nummern und seine PIN ein.

Diese Daten wurden missbräuchlich verwendet und vom Girokonto des Klägers ein Betrag von 5.000 € auf ein Konto bei einer griechischen Bank überwiesen.
In den Vorinstanzen blieb der Kläger mit seinem Zahlungsanspruch erfolglos. Auch der BGH hat nun die vom Berufungsgericht zugelassene Revision zurückgewiesen.

Zur Begründung führte der BGH aus, dass – auch wenn der Kläger die Überweisung i.H.v. 5000 € nicht veranlasst hat – die Beklagte mit einem gleichwertigen Schadensersatzanspruch nach § 280 Abs. 1 BGB aufrechnen kann: Der Kläger ist zwar Opfer eines sog. Pharming-Angriffs geworden, er habe aber die im Verkehr erforderliche Sorgfalt außer Acht gelassen, in dem er bei dem Log-In Versuch (und eben nicht bei einem konkreten Überweisungsvorgang), trotz des ausdrücklichen Warnhinweises der Beklagten zehn TAN-Nummern gleichzeitig eingegeben hat.

In diesem konkreten Fall, reichte noch einfache Fahrlässigkeit des Klägers zur Haftung aus, da § 675 Abs. 2 BGB, welcher eine unbegrenzte Haftung des Kunden bei missbräuchlicher Nutzung eines Zahlungsauthentifizierungsinstruments nur bei Vorsatz und grober Fahrlässigkeit vorsieht, erst danach – am 31.10.2009 – in Kraft getreten ist.

Es bleibt aber darauf hinzuweisen, dass es sich bei diesem Urteil um eine reine Einzelfallentscheidung handelt. Eine Verallgemeinerung kann aus diesem Fall nicht abgeleiten werden.
Angeraten werden kann in einem solchen Fall nur, das Abhandenkommen oder den Missbrauch der Konto-Zugangsdaten schnellst möglich dem jeweiligen Kreditinstitut anzuzeigen.

BGH Urteil vom 24.04.2012, XI ZR 96/11
Pressemitteilung BGH  vom 24.04.2012, Nr. 050/2012

Weitere Meldungen: Bankrecht

Aktuelle Seminare & Referate: Bankrecht