Bankkunden, die auf gefälschten Webseiten ihre Transaktionsnummern angeben, müssen für den Schaden durch betrügerische Überweisungen in der Regel selbst aufkommen. Das folgt aus einer am Dienstag verkündeten Entscheidung des BGH.
Bei so genannten Pharming-Angriffen wird der korrekte Aufruf der Website der Bank technisch in den Aufruf einer betrügerischen Seite umgeleitet. Der betrügerische Dritte kann die so erlangte Transaktionsnummer (TAN) nutzen, um der Bank unbefugt den Überweisungsauftrag zu erteilen.
Der für das Bank- und Börsenrecht zuständige XI. Zivilsenat des Bundesgerichtshofs (BGH) hat entschieden, dass sich im zugrunde liegenden Fall der Bankkunde gegenüber der Bank durch seine Reaktion auf diesen Pharming-Angriff schadensersatzpflichtig gemacht hat (Urt. v. 24.04.2012, Az. XI ZR 96/11). Er hat die im Verkehr erforderliche Sorgfalt außer Acht gelassen, indem er beim Log-In-Vorgang, also nicht in Bezug auf einen konkreten Überweisungsvorgang, trotz des ausdrücklichen Warnhinweises der Bank gleichzeitig zehn TAN eingegeben hat.
Für die Haftung des Kunden reiche einfache Fahrlässigkeit aus, weil § 675v Abs. 2 BGB, der eine unbegrenzte Haftung des Kunden bei missbräuchlicher Nutzung eines Zahlungsauthentifizierungsinstruments nur bei Vorsatz und grober Fahrlässigkeit vorsieht, zur Zeit der Überweisung noch nicht in Kraft gewesen sei.
Ein anspruchsminderndes Mitverschulden der Bank liege nicht vor, da die Bank mit dem Einsatz des im Jahr 2008 dem Stand der Technik entsprechenden iTAN-Verfahrens ihrer Pflicht zur Bereitstellung eines möglichst wenig missbrauchsanfälligen Systems des Online-Banking nachgekommen sei. Sie habe auch keine Aufklärungs- oder Warnpflichten verletzt. Ob mit der Ausführung der Überweisung der Kreditrahmen des Kunden überschritten wurde, sei unerheblich, weil Kreditinstitute grundsätzlich keine Schutzpflicht haben, Kontoüberziehungen ihrer Kunden zu vermeiden. Einen die einzelne Transaktion unabhängig vom Kontostand beschränkenden Verfügungsrahmen hätten die Parteien nicht vereinbart.
Die Klage eines pensionierten Bahnbeamten aus Nordrhein-Westfalen blieb damit ohne Erfolg. Von seinem Konto waren 5.000 Euro nach Griechenland überwiesen worden. Zuvor hatte er nach seiner Darstellung insgesamt zehn TAN auf einer vermutlich gefälschten Website eingegeben. Die Klage auf Zahlung von Schadensersatz in Höhe von 5.000 Euro nebst Zinsen und vorgerichtlichen Kosten ist in den Vorinstanzen erfolglos geblieben.
Der BGH hat die vom Berufungsgericht zugelassene Revision nun zurückgewiesen, weil die Bank mit einem Schadensersatzanspruch in gleicher Höhe gemäß § 280 Abs. 1 BGB aufrechnen konnte.
dpa/plö/LTO-Redaktion
BGH zu Pharming-Angriffen: . In: Legal Tribune Online, 25.04.2012 , https://www.lto.de/persistent/a_id/6070 (abgerufen am: 13.11.2024 )
Infos zum Zitiervorschlag