| Online-Banking

Bankkunden haften für ihre TAN-Nummern

Bild: MEV Verlag GmbH, Germany

Mit Online-Banking sparen Kunde Wege zur Bank und Banken Personal. Laut lachende Dritte sind aber Internetbetrüger, die Kunden mittels Phishing erst PIN- und TAN-Nummern entlocken und dann ihr Geld abheben. Der Schaden geht, so der BGH, mit dem blauäugigen oder clever reingelegten Kunden heim, der auf eine gefälschte Bankwebsite reinfällt.

Pharming-Angriff mit vorgetäuschter Banken-Website

Bankkunden, die auf gefälschten Webseiten leichtfertig ihre Geheimnummern angeben, müssen für Betrugsschäden selbst aufkommen. Dabei sei es unerheblich, ob der eingeräumte Kreditrahmen des Kunden überschritten werde.

In dem Fall war ein Kunde war Opfer eines Pharming-Angriffs geworden, bei dem der korrekte Aufruf der Website der Bank technisch in den Aufruf einer betrügerischen Seite umgeleitet worden ist.

10 TAN-Codes auf vermutlich gefälschte Website eingegeben

So blieb die Klage eines pensionierten Bahnbeamten aus Nordrhein-Westfalen ohne Erfolg. Von seinem Konto waren 5000 Euro nach Griechenland überwiesen worden.

Zuvor hatte er nach seiner Darstellung insgesamt zehn TAN-Codes (Trankaktionsnummern) auf einer vermutlich gefälschten Website eingegeben - diese Art von betrügerischen Angriffen wird als Phishing bezeichnet.

Für Überweisungsaufträge verwendet die Beklagte das sog. iTAN-Verfahren, bei dem der Nutzer nach Erhalt des Zugangs durch Eingabe einer korrekten persönlichen Identifikationsnummer (PIN) dazu aufgefordert wird, eine bestimmte, durch eine Positionsnummer gekennzeichnete (indizierte) Transaktionsnummer (TAN) aus einer ihm vorher zur Verfügung gestellten, durchnummerierten TAN-Liste einzugeben.

Bank hatte online gewarnt

In der Mitte der Log-In-Seite des Online-Bankings der Beklagten befand sich folgender Hinweis:

"Derzeit sind vermehrt Schadprogramme und sogenannte Phishing-Mails in Umlauf, die Sie auffordern, mehrere Transaktionsnummern oder gar Kreditkartendaten in ein Formular einzugeben. Wir fordern Sie niemals auf, mehrere TAN gleichzeitig preiszugeben! Auch werden wir Sie niemals per E-Mail zu einer Anmeldung im … Net-Banking auffordern!"

Das sah oder las der Kunde nicht und gab die Daten ein.

Im Verkehr erforderliche Sorgfalt außer Acht gelassen?

Der Kunde habe damit «die im Verkehr erforderliche Sorgfalt außer Acht gelassen», so der BGH. Er hätte Warnhinweise der Bank vor Online-Betrügern berücksichtigen müssen. Deshalb sei er selbst für den Schaden verantwortlich und habe keinen Anspruch auf Ersatz des Geldes.

Wie der BGH entschied, treffe die Bank kein Mitverschulden.

  • Das sogenannte iTAN-Verfahren, bei dem für jede Überweisung eine zufällig ausgewählte Transaktionsnummer eingegeben werden muss, habe zumindest im Jahr 2008 dem Stand der Technik entsprochen.
  • Damit sei die Bank «ihrer Pflicht zur Bereitstellung eines möglichst wenig missbrauchsanfälligen Systems des Online-Banking nachgekommen», urteilten die Richter. 

Kunde: Für mich war das die offizielle Website

Der Kläger, ein 68-Jähriger Pensionär aus einem kleinen Ort am Niederrhein, zeigte sich von der Entscheidung enttäuscht. Er sei sich keines Verschuldens bewusst:

"Für mich war das die offizielle Website. Ich habe auch keinen Warnhinweis gesehen.

Ich habe das Online-banking der … Bank angeklickt. Die Maske hat sich wie gewohnt aufgemacht. Danach kam der Hinweis, dass ich im Moment keinen Zugriff auf Online-banking der ... Bank hätte.

Danach kam eine Anweisung zehn Tan-Nummern einzugeben. Die Felder waren nicht von 1 bis 10 durchnummeriert, sondern kreuz und quer. Ich habe dann auch die geforderten Tan-Nummern, die ich schon von der Bank hatte, in die Felder chronologisch eingetragen. Danach erhielt ich dann Zugriff auf mein Online-banking." 

Keine Schutzpflicht, Kontoüberziehungen zu vermeiden

Unerheblich sei auch, ob mit der Überweisung der Kreditrahmen des Kunden überschritten wurde - weil, wie der BGH ausführt, «Kreditinstitute grundsätzlich keine Schutzpflicht haben, Kontoüberziehungen ihrer Kunden zu vermeiden».

Nach der Überweisung befand sich der Kläger um mehr als 4300 Euro im Soll. Zuvor hatte die Bank dem Kläger nach Darstellung des seines Anwalts einen Kredit in Höhe von 2000 Euro verweigert.

(BGH, Urteil v. 24.4. 2012, XI ZR 96/11).

Hintergrund:

Eine seit Herbst 2009 geltende verbraucherschützende Vorschrift, welche die Haftung von Bankkunden auf grobe Fahrlässigkeit und Vorsatz beschränkt, war zur Zeit der Überweisung noch nicht in Kraft.

Der Vorsitzende Richter ging in seiner mündlichen Urteilsbegründung nicht darauf ein, ob der Fall nach neuem Recht möglicherweise anders zu beurteilen wäre. Das würde davon abhängen, ob das Verhalten des Klägers auch als grob fahrlässig zu bewerten ist.

Schlagworte zum Thema:  Phishing

Aktuell

Meistgelesen