Haftung der Bank für Schaden nach Phishing-Attacke?

Haftung der Bank für Schaden nach Phishing-Attacke? Dazu hat am 20.06.2008 das AG Wiesloch zu Az. 4 C 57/08 folgendes entschieden: Wenn ein Bankkunde die von seiner Bank gebotene Möglichkeit zum Online-Banking nutzt, so genügt er mangels anderweitiger Vereinbarung mit der Bank seinen daraus resultierenden Sorgfaltsanforderungen durch die Installation einer Anti-Virus-Software. Darüber hinausgehende Sicherheitsvorkehrungen sind nach Ansicht des AG nicht erforderlich. Führe in einem solchen Fall ein Dritter unberechtigt eine Überweisung vom Konto des Kunden aus, so hafte die Bank für den eingetretenen Schaden.

Der Hintergrund:

Vom Konto des gegen die Bank klagenden Kunden hatte im Herbst 2007 eine Überweisung eines Betrag von rund € 4.000 mittels des von der Bank beim Online-Banking eingesetzten so genannten TAN-Verfahrens an einen Dritten stattgefunden. Die Buchung konnte am Folgetag – als sie aufgefallen war – nicht mehr rückgängig gemacht werden. Im Rahmen einer vom Kunden erstatteten Strafanzeige ergab sich, dass die Summe nach Russland transferiert worden war.

Eine Überprüfung des Rechners des Kunden ergab, dass sich darauf verschiedene Schadprogramme befanden. Darunter war auch ein so genannter Keylogger, d.h. eine Software, die sämtliche Tastatureingaben protokolliert.

Der Kunde machte seiner Bank gegenüber geltend, ein unbekannter Dritter habe unter Nutzung der mit dem Keylogger erlangten Daten die Überweisung durchgeführt. Als die Bank sich weigerte, dem Kunden den überwiesenen Betrag zu ersetzen, erhob der Kunde Klage vor dem Amtsgericht.

Bank haftet für Schaden nach Phishing-Attacke – Die Entscheidung:

Das Gericht hat der Klage stattgegeben und die Bank zum Ersatz des durch die Überweisung verursachten Schadens verurteilt.

Seine Entscheidung hat das Gericht damit begründet, dass die Bank nicht berechtigt gewesen sei, die Abbuchung durchzuführen. Es sei nämlich nicht der Kläger gewesen, der die Überweisung beauftragt habe. Das Fälschungsrisiko bei einer Überweisung trage stets die Bank.

Auch falle dem Kläger keine Pflichtverletzung zur Last. Er habe seine Sorgfaltsanforderungen dadurch erfüllt, dass er ein kostenpflichtiges Anti-Virus-Programm installiert habe. Dies entspreche den durchschnittlichen Sorgfaltsvorkehrungen eines jeden Computernutzers.Dabei sei auch zu berücksichtigen, dass das Online-Banking auch im Interesse der Bank stattfinde. Zudem habe man auch keine besonderen Sicherheitsvorkehrungen vereinbart.

Auch ein – dem Kläger nach § 278 BGB zuzurechnendes – Fehlverhalten der Ehefrau im Zusammenhang mit der Durchführung der Überweisung des Klägers sei nicht nachgewiesen.

Konsequenzen für die Praxis:

Mit dem Urteil hat das Amtsgericht Wiesloch gegenüber einem vergleichbaren, vom Landgericht Köln entschiedenen Fall (Urt. v. 05. Dezember 2007, Az.: 9 S 195/07) die Sorgfaltsanforderungen abgesenkt. Die Kölner Richter verlangten als Mindestvoraussetzung für den Schutz die Verwendung einer Virenschutzsoftware mit neuestem Stand, eine Firewall sowie das regelmäßige Aufspielen von Sicherheitsupdates für das Betriebssystem und die verwendete Software.

Haftung der Bank für Schaden nach Phishing-Attacke?