Verschuldensmaßstab bei Pharming-Angriffen
Autor: RA Dr. Niclas Kunczik, Zürich
Aus: IT-Rechtsberater, Heft 08/2012
Aus: IT-Rechtsberater, Heft 08/2012
Ein Bankkunde, der im Onlinebanking Opfer eines Pharming-Angriffs wird, handelt fahrlässig, wenn er beim Log-in-Zugang trotz ausdrücklichen Warnhinweises gleichzeitig zehn TAN eingibt.
BGH, Urt. v. 24.4.2012 - XI ZR 96/11
BGB §§ 254, 276, 280, 675v; RL 2007/64/EG Art. 94
Fahrlässiger Sorgfaltspflichtverstoß: Zwar trage im Überweisungsverkehr regelmäßig die Bank das Risiko von Fälschungen. Der Bankkunde müsse indes seine girovertragliche Sorgfaltspflicht beachten. Für die Zeit vor Einführung des § 675v BGB reiche folglich zur Haftungsbegründung ein Verschulden im Bereich der einfachen Fahrlässigkeit gem. § 276 BGB aus. Eine zeitlich vorgelagerte richtlinienkonforme Auslegung der Vorschrift des § 276 BGB vor Ablauf der Umsetzungsfrist der Richtlinie 2007/64/EG dahin, dass nur Vorsatz oder grobe Fahrlässigkeit eine Haftung begründeten, sei sowohl europarechtswidrig als auch im Lichte der Rechtsprechung des BGH nicht zulässig. Das Verhalten des Bankkunden sei als fahrlässig zu bewerten. Er habe angesichts deutlicher und über einen langen Zeitraum vorhandener Warnhinweise der Bank sowie der allgemein üblichen Praxis (Eingabe der PIN und einer TAN) bei der Aufforderung, zehn TAN gleichzeitig einzugeben, erkennen müssen, dass es sich vorliegend um einen Fall des Pharming gehandelt habe.
Kein Mitverschulden: Auch ein Mitverschulden der Bank sei nicht gegeben. Sie habe gegen keine der bestehenden generellen Warn- und Hinweispflichten verstoßen. Dies gelte auch im Fall der Überziehung des Dispokredits, da die Bank keine Pflicht habe, Kontoüberziehungen der Kunden zu verhindern.
BGH, Urt. v. 24.4.2012 - XI ZR 96/11
BGB §§ 254, 276, 280, 675v; RL 2007/64/EG Art. 94
Das Problem:
Ein Bankkunde nutzte die Möglichkeit des Onlinebankings namentlich für Überweisungsaufträge im sog. iTAN-Verfahren, bei dem der Kunde sich zunächst per PIN identifiziert und die Überweisung sodann mittels einer bezifferten Transaktionsnummer (TAN) freigibt. Dabei wurde der Kunde gemäß seinen Angaben auf eine „normal” aussehende Benutzermaske weitergeleitet, die einen vermeintlichen Verbindungsfehler auswies und dazu aufforderte, zehn durchnummerierte TAN einzugeben. Sodann wurde der Nutzer auf die Webseite der Bank weitergeleitet, wo er die beabsichtigte Überweisung tätigte. Die Bank hatte im streitgegenständlichen Zeitraum mehrfach auf der Log-in-Seite explizit auf sog. Phishing- und Pharming-Attacken hingewiesen und die Kunden dahingehend informiert, dass auf der Originalseite niemals mehr als eine TAN abgefragt wird. Von dem fraglichen Girokonto wurde einige Zeit nach diesem Vorfall ein Betrag von 5.000 € auf ein griechisches Konto überwiesen und nicht zurückerstattet.Die Entscheidung:
Der BGH teilte weitestgehend die Beurteilung des Berufungsgerichts und wies die klägerische Revision zurück. Dem Bankkunden stehe kein Anspruch auf Zahlung der 5.000 € zu, da dieser – soweit er überhaupt bestanden habe – zumindest durch Aufrechnung gegen den Schadensersatzanspruch der Bank aus § 280 Abs. 1 BGB erloschen sei.Fahrlässiger Sorgfaltspflichtverstoß: Zwar trage im Überweisungsverkehr regelmäßig die Bank das Risiko von Fälschungen. Der Bankkunde müsse indes seine girovertragliche Sorgfaltspflicht beachten. Für die Zeit vor Einführung des § 675v BGB reiche folglich zur Haftungsbegründung ein Verschulden im Bereich der einfachen Fahrlässigkeit gem. § 276 BGB aus. Eine zeitlich vorgelagerte richtlinienkonforme Auslegung der Vorschrift des § 276 BGB vor Ablauf der Umsetzungsfrist der Richtlinie 2007/64/EG dahin, dass nur Vorsatz oder grobe Fahrlässigkeit eine Haftung begründeten, sei sowohl europarechtswidrig als auch im Lichte der Rechtsprechung des BGH nicht zulässig. Das Verhalten des Bankkunden sei als fahrlässig zu bewerten. Er habe angesichts deutlicher und über einen langen Zeitraum vorhandener Warnhinweise der Bank sowie der allgemein üblichen Praxis (Eingabe der PIN und einer TAN) bei der Aufforderung, zehn TAN gleichzeitig einzugeben, erkennen müssen, dass es sich vorliegend um einen Fall des Pharming gehandelt habe.
Kein Mitverschulden: Auch ein Mitverschulden der Bank sei nicht gegeben. Sie habe gegen keine der bestehenden generellen Warn- und Hinweispflichten verstoßen. Dies gelte auch im Fall der Überziehung des Dispokredits, da die Bank keine Pflicht habe, Kontoüberziehungen der Kunden zu verhindern.