Bankkunden können sich bei Pharming-Angriffen im Online-Banking schadensersatzpflichtig machen

Der Sachverhalt:
Der Kläger unterhält bei der beklagten Bank ein Girokonto und nimmt seit 2001 am Online-Banking teil. Für Überweisungsaufträge verwendet die Beklagte das sog. iTAN-Verfahren, bei dem der Nutzer nach Erhalt des Zugangs durch Eingabe einer korrekten persönlichen Identifikationsnummer (PIN) dazu aufgefordert wird, eine bestimmte, durch eine Positionsnummer gekennzeichnete (indizierte) Transaktionsnummer (TAN) aus einer ihm vorher zur Verfügung gestellten, durchnummerierten TAN-Liste einzugeben.

In der Mitte der Log-In-Seite des Online-Bankings der Beklagten befand sich folgender Hinweis:

"Derzeit sind vermehrt Schadprogramme und sogenannte Phishing-Mails in Umlauf, die Sie auffordern, mehrere Transaktionsnummern oder gar Kreditkartendaten in ein Formular einzugeben. Wir fordern Sie niemals auf, mehrere TAN gleichzeitig preiszugeben! Auch werden wir Sie niemals per E-Mail zu einer Anmeldung im Net-Banking auffordern!"

Am 26.1.2009 wurde vom Girokonto des Klägers nach Eingabe seiner PIN und einer korrekten TAN ein Betrag von 5.000  € auf ein Konto bei einer griechischen Bank überwiesen. Der Kläger, der bestritt, diese Überweisung veranlasst zu haben, erstattete am 29.1.2009 Strafanzeige und gab zu Protokoll, dass er im Oktober 2008 das Online-Banking der Beklagten angeklickt habe und nach Erscheinen der Maske plötzlich der Hinweis aufgetaucht sei, dass er keinen Zugriff hätte. Danach sei er aufgefordert worden, zehn TAN-Nr. einzugeben, was er auch getan habe, obwohl die Felder nicht durchnummeriert, sondern kreuz und quer gewesen seien. Danach habe er Zugriff erhalten und unter Verwendung einer anderen TAN-Nr. eine Überweisung getätigt.

Das Ermittlungsverfahren wurde eingestellt, da ein Täter nicht ermittelt werden konnte. AG und LG wiesen die Klage auf Zahlung von 5.000 € ab. Auch die vom Berufungsgericht zugelassene Revision blieb erfolglos.

Die Gründe:
Der Kläger hat gegen die Beklagte keinen Anspruch auf Zahlung der 5.000 €. Auch wenn der Kläger die Überweisung nicht veranlasst hatte, war sein Anspruch auf Auszahlung des Betrages erloschen, weil die Beklagte mit einem Schadensersatzanspruch in gleicher Höhe gem. § 280 Abs. 1 BGB aufrechnen konnte.

Der Kläger wurde aller Wahrscheinlichkeit nach Opfer eines Pharming-Angriffs, bei dem der korrekte Aufruf der Website der Bank technisch in den Aufruf einer betrügerischen Seite umgeleitet wurde. Der betrügerische Dritte nutzte die so erlangte TAN, um der Bank unbefugt den Überweisungsauftrag zu erteilen. Allerdings hatte sich der Kläger durch seine Reaktion auf diesen Pharming-Angriff gegenüber der Bank schadensersatzpflichtig gemacht. Schließlich hat er die im Verkehr erforderliche Sorgfalt außer Acht gelassen, indem er beim Log-In-Vorgang, also nicht in Bezug auf einen konkreten Überweisungsvorgang, trotz des ausdrücklichen Warnhinweises der Bank gleichzeitig zehn TAN eingegeben hatte. Für die Haftung des Kunden reichte insoweit die einfache Fahrlässigkeit aus, weil § 675v Abs. 2 BGB, der eine unbegrenzte Haftung des Kunden bei missbräuchlicher Nutzung eines Zahlungsauthentifizierungsinstruments nur bei Vorsatz und grober Fahrlässigkeit vorsieht, erst am 31.10.2009 in Kraft getreten ist.

Ein anspruchsminderndes Mitverschulden der Bank war zu verneinen. Die beklagte Bank war mit dem Einsatz des im Jahr 2008 dem Stand der Technik entsprechenden iTAN-Verfahrens ihrer Pflicht zur Bereitstellung eines möglichst wenig missbrauchsanfälligen Systems des Online-Banking nachgekommen. Sie hatte auch keine Aufklärungs- oder Warnpflichten verletzt. Unerheblich war, ob mit der Ausführung der Überweisung der Kreditrahmen des Kunden überschritten worden war. Schließlich haben Kreditinstitute grundsätzlich keine Schutzpflicht, Kontoüberziehungen ihrer Kunden zu vermeiden. Einen die einzelne Transaktion unabhängig vom Kontostand beschränkenden Verfügungsrahmen hatten die Parteien zuvor nicht vereinbart.

Linkhinweise:

• Der Volltext dieser Entscheidung wird demnächst auf den Webseiten des BGH veröffentlicht.
• Für die Pressemitteilung des BGH klicken Sie bitte hier.