Bankkunden haften für ihre TAN-Nummern

Leitsatz

Mit Online-Banking sparen Kunden Wege zur Bank und Banken Personal. Lachende Dritte sind Internetbetrüger, die Kunden mittels Phishing erst PIN- und TAN-Nummern entlocken und dann ihr Geld abheben. Der Schaden geht mit dem Kunden heim, der auf eine gefälschte Bankwebsite reinfällt und seine Daten preisgibt.

Sachverhalt

Bankkunden, die auf gefälschten Webseiten ihre Geheimnummern angeben, müssen für Betrugsschäden selbst aufkommen. Dabei ist es unerheblich, ob der eingeräumte Kreditrahmen des Kunden überschritten werde. In dem Fall war ein Kunde Opfer eines Pharming-Angriffs geworden, bei dem der korrekte Aufruf der Website der Bank technisch in den Aufruf einer betrügerischen Seite umgeleitet wurde.

Von seinem Konto waren 5.000 EUR nach Griechenland überwiesen worden. Zuvor hatte er nach seiner Darstellung 10 TAN-Codes (Trankaktionsnummern) auf einer ver­­mutlich gefälschten Website eingegeben (Phishing). Für Überweisungsaufträge verwendet die Beklagte das sog. iTAN-Verfahren, bei dem der Nutzer nach Erhalt des Zugangs durch Eingabe einer korrekten persönlichen Identifikationsnummer (PIN) dazu aufgefordert wird, eine bestimmte, durch eine Positionsnummer gekennzeichnete (indizierte) Transaktionsnummer (TAN) aus einer ihm vorher zur Verfügung ge­­stellten, durchnummerierten TAN-Liste einzugeben.

In der Mitte der Log-In-Seite des Bank befand sich folgender Hinweis: "Derzeit sind vermehrt Schadprogramme und sog. Phishing-Mails in Umlauf, die Sie auffordern, mehrere Transaktionsnummern oder gar Kreditkartendaten in ein Formular einzugeben. Wir fordern Sie niemals auf, mehrere TAN gleichzeitig preiszugeben! Auch werden wir Sie niemals per E-Mail zu einer Anmeldung im … Net-Banking auffordern!"

Das sah oder las der Kunde nicht und gab die Daten ein. Der Kunde habe damit "die im Verkehr erforderliche Sorgfalt außer Acht gelassen", so der BGH. Er hätte Warnhinweise der Bank vor Online-Betrügern berücksichtigen müssen. Deshalb sei er selbst für den Schaden verantwortlich und habe keinen Anspruch auf Ersatz des Geldes. Die Bank treffe kein Mitverschulden. Das iTAN-Verfahren, bei dem für jede Überweisung eine zufällig ausgewählte Transaktionsnummer eingegeben werden muss, habe zumindest im Jahr 2008 dem Stand der Technik entsprochen. Damit sei die Bank "ihrer Pflicht zur Bereitstellung eines möglichst wenig missbrauchsanfälligen Systems des Online-Banking nachgekommen".

Der Kläger war sich keines Verschuldens bewusst: "Für mich war das die offizielle Website. Ich habe das Online-Banking der … Bank angeklickt. Die Maske hat sich wie gewohnt aufgemacht. Danach kam der Hinweis, dass ich im Moment keinen Zugriff auf Online-Banking der … Bank hätte. Danach kam eine Anweisung 10 Tan-Nummern einzugeben. Die Felder waren nicht von 1 bis 10 durchnummeriert, sondern kreuz und quer."

Unerheblich war, dass mit der Überweisung der Kreditrahmen des Kunden überschritten wurde, da Kreditinstitute grundsätzlich keine Schutzpflicht haben, Kontoüberziehungen ihrer Kunden zu vermeiden. Nach der Überweisung befand sich der Kläger um mehr als 4.300 Euro im Soll. Zuvor hatte die Bank ihm einen Kredit in Höhe von 2.000 Euro verweigert.

Hinweis

Eine seit Herbst 2009 geltende verbraucherschützende Vorschrift, welche die Haftung von Bankkunden auf grobe Fahrlässigkeit und Vorsatz beschränkt, war zur Zeit der Überweisung noch nicht in Kraft. Das Gericht ging in seiner mündlichen Urteilsbegründung nicht darauf ein, ob der Fall nach neuem Recht möglicherweise anders zu beurteilen wäre. Das würde davon abhängen, ob das Verhalten des Klägers auch als grob fahrlässig zu bewerten ist.

Link zur Entscheidung

BGH, Urteil v. 24.4. 2012, XI ZR 96/11.