BGH verneint Schadenersatz für Phishing-Opfer
Bislang war die Regelung für Phishingopfer relativ klar: in der Regel wurde der entstandene Schaden unbürokratisch ersetzt. Der BGH hat jetzt im Rahmen einer Entscheidung die Haftung von Banken deutlich eingeschränkt.
In dem Fall, der der Entscheidung zugrunde lag, wollte ein Bankkunde von seiner Bank den Schaden von € 5.000,- ersetzt haben, der ihm durch einen Phishing-Angriff entstanden war. Der Kunde hatte ein sogenannten iTAN-Verfahren genutzt um damit Homebanking zu betreiben. Beim iTAN-Verfahren hat jede der von der Bank erhaltenen Transaktionsnummern („TAN“) eine laufende Nummer und während der Auftragsverarbeitung wird seitens des Bankrechners eine bestimmte TAN anhand der laufenden Nummer angefordert.
Die Bank hatte mit dem folgenden Hinweis auf der Login-Seite auf die Gefahren des Systems hingewiesen:
„Derzeit sind vermehrt Schadprogramme und sogenannte Phishing-Mails in Umlauf, die Sie auffordern, mehrere Transaktionsnummern oder gar Kreditkartendaten in ein Formular einzugeben. Wir fordern Sie niemals auf, mehrere TAN gleichzeitig preiszugeben! Auch werden wir Sie niemals per E-Mail zu einer Anmeldung im … Net-Banking auffordern!“
Der Bankkunde wurde bei einem Login von dem angeblichen Bankrechner aufgefordert, zehn TAN-Nummern einzugeben, was er auch tat. Mit Hilfe der so erlangten TAN gelang es unbekannten Tätern, € 5.000,- vom Konto des Opfers auf ein griechisches Konto zu überweisen. Diese € 5.000,- wollte der Bankkunde von seiner Bank wiederhaben. Da diese das verweigerte, kam es zum Prozess.
Der BGH, dem der Fall letztendlich vorgelegt wurde, kam zum Ergebnis, dass sich der Kunde gegenüber der Bank durch seine Reaktion auf den Angriff schadensersatzpflichtig gemacht hat. Er habe die im Verkehr erforderliche Sorgfalt außer Acht gelassen, indem er beim Log-In-Vorgang, also nicht in Bezug auf einen konkreten Überweisungsvorgang, trotz des ausdrücklichen Warnhinweises der Bank gleichzeitig zehn TAN eingegeben hat.
Grundsätzliche Auswirkung dürfte die Entscheidung trotzdem nicht haben, da sie nur für Fälle vor dem 31. Oktober 2009 richtungsweisend ist. Zu diesem Termin trat der § 675v BGB in Kraft, der die Haftung eines Bankkunden auf € 150,- begrenzt, sofern er nicht grob fahrlässig gehandelt hat. Das Urteil bezieht sich auf die Rechtslage vor Inkrafttreten des Paragraphen, so dass im vorliegenden Fall die einfache Fahrlässigkeit des Kunden für eine Haftung ausreicht.