(Kiel) Der für das Bank- und Börsen­recht zuständi­ge XI. Zivilse­n­at des Bun­des­gericht­shofs hat entsch­ieden, unter welchen Voraus­set­zun­gen ein Bankkunde sich im Online-Bank­ing bei einem Pharm­ing-Angriff schadenser­satzpflichtig macht.

Darauf ver­weist der Frank­furter Fachan­walt für Bank- und Kap­i­tal­mark­trecht Klaus Hün­lein von der DASV Deutsche Anwalts- und Steuer­ber­ater­vere­ini­gung für die mit­tel­ständis­che Wirtschaft e. V. mit Sitz in Kiel unter Hin­weis auf eine Mit­teilung des Bun­des­gericht­shofs (BGH) vom 24.04.2012 zu seinem Urteil vom sel­ben Tage, Az.: XI ZR 96/11.

Im zugrun­deliegen­den Fall nimmt der Kläger die beklagte Bank wegen ein­er von ihr im Online-Bank­ing aus­ge­führten Über­weisung von 5.000 € auf Rück­zahlung dieses Betrages in Anspruch.

Der Kläger unter­hält bei der Beklagten ein Girokon­to und nimmt seit 2001 am Online-Bank­ing teil. Für Über­weisungsaufträge ver­wen­det die Beklagte das sog. iTAN-Ver­fahren, bei dem der Nutzer nach Erhalt des Zugangs durch Eingabe ein­er kor­rek­ten per­sön­lichen Iden­ti­fika­tion­snum­mer (PIN) dazu aufge­fordert wird, eine bes­timmte, durch eine Posi­tion­snum­mer gekennze­ich­nete (indizierte) Transak­tion­snum­mer (TAN) aus ein­er ihm vorher zur Ver­fü­gung gestell­ten, durch­num­merierten TAN-Liste einzugeben.

In der Mitte der Log-In-Seite des Online-Bank­ings der Beklagten befand sich fol­gen­der Hin­weis:

“Derzeit sind ver­mehrt Schad­pro­gramme und soge­nan­nte Phish­ing-Mails in Umlauf, die Sie auf­fordern, mehrere Transak­tion­snum­mern oder gar Kred­itkar­tendat­en in ein For­mu­lar einzugeben. Wir fordern Sie niemals auf, mehrere TAN gle­ichzeit­ig preiszugeben! Auch wer­den wir Sie niemals per E‑Mail zu ein­er Anmel­dung im … Net-Bank­ing auf­fordern!”

Am 26. Jan­u­ar 2009 wurde vom Girokon­to des Klägers nach Eingabe sein­er PIN und ein­er kor­rek­ten TAN ein Betrag von 5.000 € auf ein Kon­to bei ein­er griechis­chen Bank über­wiesen. Der Kläger, der bestre­it­et, diese Über­weisung ver­an­lasst zu haben, erstat­tete am 29. Jan­u­ar 2009 Strafanzeige und gab Fol­gen­des zu Pro­tokoll:

“Im Okto­ber 2008 — das genaue Datum weiß ich nicht mehr — wollte ich ins Online-bank­ing. Ich habe das Online-bank­ing der … Bank angek­lickt. Die Maske hat sich wie gewohnt aufgemacht. Danach kam der Hin­weis, dass ich im Moment keinen Zugriff auf Online-bank­ing der … Bank hätte. Danach kam eine Anweisung zehn Tan-Num­mern einzugeben. Die Felder waren nicht von 1 bis 10 durch­num­meriert, son­dern kreuz und quer. Ich habe dann auch die geforderten Tan-Num­mern, die ich schon von der Bank hat­te, in die Felder chro­nol­o­gisch einge­tra­gen. Danach erhielt ich dann Zugriff auf mein Online-bank­ing. Ich habe dann unter Ver­wen­dung ein­er anderen Tan-Num­mer eine Über­weisung getätigt.”

Das Ermit­tlungsver­fahren wurde eingestellt, da ein Täter nicht ermit­telt wer­den kon­nte.

Die Klage auf Zahlung von 5.000 € neb­st Zin­sen und vorg­erichtlichen Kosten ist in den Vorin­stanzen erfol­g­los geblieben. Der Bun­des­gericht­shof hat die vom Beru­fungs­gericht zuge­lassene Revi­sion zurück­gewiesen, so Hün­lein.

Die Klage ist unbe­grün­det. Auch wenn der Kläger die Über­weisung der 5.000 € nicht ver­an­lasst hat, ist sein Anspruch auf Auszahlung dieses Betrages erloschen, weil die Beklagte mit einem Schadenser­satzanspruch in gle­ich­er Höhe gemäß § 280 Abs. 1 BGB aufgerech­net hat.

Der Kläger ist nach dem in sein­er Strafanzeige vor­ge­tra­ge­nen Sachver­halt Opfer eines Pharm­ing-Angriffs gewor­den, bei dem der kor­rek­te Aufruf der Web­site der Bank tech­nisch in den Aufruf ein­er betrügerischen Seite umgeleit­et wor­den ist. Der betrügerische Dritte hat die so erlangte TAN genutzt, um der Bank unbefugt den Über­weisungsauf­trag zu erteilen. Der Kläger hat sich gegenüber der Bank durch seine Reak­tion auf diesen Pharm­ing-Angriff schadenser­satzpflichtig gemacht. Er hat die im Verkehr erforder­liche Sorgfalt außer Acht gelassen, indem er beim Log-In-Vor­gang, also nicht in Bezug auf einen konkreten Über­weisungsvor­gang, trotz des aus­drück­lichen Warn­hin­weis­es der Bank gle­ichzeit­ig zehn TAN eingegeben hat. Für die Haf­tung des Kun­den reicht im vor­liegen­den Fall ein­fache Fahrläs­sigkeit aus, weil § 675v Abs. 2 BGB, der eine unbe­gren­zte Haf­tung des Kun­den bei miss­bräuch­lich­er Nutzung eines Zahlungsauthen­tifizierungsin­stru­ments nur bei Vor­satz und grober Fahrläs­sigkeit vor­sieht, erst am 31. Okto­ber 2009 in Kraft getreten ist.

Ein anspruchs­min­dern­des Mitver­schulden der Bank hat das Beru­fungs­gericht zu Recht verneint. Nach seinen Fest­stel­lun­gen ist die Bank mit dem Ein­satz des im Jahr 2008 dem Stand der Tech­nik entsprechen­den iTAN-Ver­fahrens ihrer Pflicht zur Bere­it­stel­lung eines möglichst wenig miss­brauch­san­fäl­li­gen Sys­tems des Online-Bank­ing nachgekom­men. Sie hat auch keine Aufk­lärungs- oder Warnpflicht­en ver­let­zt. Ob mit der Aus­führung der Über­weisung der Kred­i­trah­men des Kun­den über­schrit­ten wurde, ist uner­he­blich, weil Kred­itin­sti­tute grund­sät­zlich keine Schutzpflicht haben, Kon­toüberziehun­gen ihrer Kun­den zu ver­mei­den. Einen die einzelne Transak­tion unab­hängig vom Kon­to­stand beschränk­enden Ver­fü­gungsrah­men hat­ten die Parteien nicht vere­in­bart.

Recht­san­walt Hün­lein emp­fahl, die Entschei­dung zu beacht­en und in Zweifels­fällen um rechtlichen Rat nachzusuchen, wozu er u. a. auch auf die auf Bank- und Kap­i­tal­mark­trecht spezial­isierten Anwäl­te/-innen in der DASV Deutsche Anwalts- und Steuer­ber­ater­vere­ini­gung für die mit­tel­ständis­che Wirtschaft e.V. – www.mittelstands-anwaelte.de – ver­wies.

Für Rück­fra­gen ste­ht Ihnen zur Ver­fü­gung:

Klaus Hün­lein
Recht­san­walt
Fachan­walt für Bank- und Kap­i­tal­mark­trecht
Fachan­walt für Ver­wal­tungsrecht
Eschen­heimer Anlage 1, 60316 Frank­furt
Tele­fon: 069/4800 7890 , Fax: 069/4800789–50
Email: rae@huenlein.de — www.huenlein.de