Mit Urteil vom 20.06.2008 hat das Amtsgericht Wiesloch der Klage eines Online-Banking Kunden gegen seine Hausbank auf Rückzahlung eines Betrages, der aufgrund eines Phishing-Angriffs zur Überweisung gebracht wurde, stattgegeben.

In dem vom AG Wiesloch zu entscheidenden Fall unterhielt der Kläger bei der Beklagten ein Konto für welches Online-Banking aktiviert war. Die ebenfalls kontobevollmächtigte Ehefrau des Klägers wollte eines Tages verschiedene Überweisung am Familiencomputer tätigen. Nachdem sie das Programm für das Online Banking ordnungsgemäß geöffnet hatte, sich mit den Identifikationsdaten angemeldet hatte und die erste Überweisung unter Eingabe einer Transaktionsnummer (TAN) online ausgefüllt hatte und an die Beklagte übermitteln wollte, verschwand die eingetippte TAN. Eine Anzeige, dass die Überweisung von der Beklagten angenommen wurde unterblieb. In diesem Moment ging die Ehefrau des Klägers davon aus, dass die eingetippte TAN bereits einmal verwendet wurde und daher ungültig sei, worauf sie eine weitere TAN eintippte und die Überweisung dann erfolgreich abgeschlossen hat.



Hierbei handelte es sich um einen folgenschweren Fehler. Wie sich im Verlauf des

Verfahrens herausstellte, wurde die 1.TAN von einer Schadsoftware (Trojanisches Pferd, Virus) abgefangen. Mittels dieser Schadsoftware konnten die Täter des Phishing-Angriffs alle notwendigen Daten für eine Überweisung ausspähen und somit diese Daten und v.a. die 1.TAN für eine Überweisung verwenden.



Infolgedessen wurde eine Überweisung vom Konto des Klägers abgebucht, die er nicht angewiesen hat.

In dem zu entscheidenden Fall hatte das Gericht zu untersuchen, ob die Beklagte einen Gegenanspruch gegen den Kläger hat, da dieser eventuell seine vertraglich bestehenden Sorgfaltspflichten verletzt hat. Gleichfalls können diese Erwägungen in einem eventuellen Mitverschulden Berücksichtigung finden.



Welche Sorgfaltsanforderungen an den „durchschnittlichen User“ des Online-Banking in Hinsicht auf die Sicherheitsausrüstung des eigenen Computers und an die Reaktion nach der Überweisung zu stellen sind, standen zur Entscheidung des Gerichts. Insbesondere hat sich das Gericht mit der Frage auseinander gesetzt, welche Sorgfaltsanforderungen an die Beklagte hinsichtlich der Auswahl eines sicheren TAN Systems zu richten sind.



Für den sorgfaltsgerechten Umgang mit sensiblen Bank- bzw. Kundendaten kann daher folgendes festgehalten werden.



1. Sorgfaltsanforderungen an den Umgang mit PIN und TAN:

Dem Bankkunden wird beim Online Banking neben den Daten zur Identifizierung

(Benutzername und Passwort) eine Liste mit Transaktionsnummern (TAN) übermittelt. Mit Hilfe dieser Daten kann der Bankkunde am heimischen Computer eine Überweisung erstellen und diese dann auf einem von der Hausbank zur Verfügung gestellten Online-Portal an die Hausbank übermitteln.

Diese Daten hat der Bankkunde – ähnlich der Daten einer EC-Karte – sicher vor Dritten gegen Missbrauch zu verwahren. Des Weiteren sollten die Daten an getrennten Orten verwahrt werden.



2. Sorgfaltsanforderungen an die Absicherung eines Computers:

Grundsätzlich kann die Hausbank erwarten, dass für die Benutzung des Online Banking ein Computer verwendet wird, der eine irgendwie geartete Absicherung aufweist. Fachspezifisches IT-Hintergrundwissen ist nicht vom Bankkunden zu erwarten. Auf dem Computer sollte in jedem Fall ein Antivirenprogramm installiert sein, welches regelmäßig upgedatet wird. Hierbei kann es sich um ein auf dem Markt kostenlos erhältliches Programm handeln.

Zu den Mindestsicherheitsvoraussetzungen eines Computers für Online Banking gehört nach dem bisherigen Stand der Rechtsprechung ferner nicht, dass eine Firewall auf dem Computer installiert ist.

Des Weiteren ist in diesem Zusammenhang auf die von einem Kreditinstitut in der Regel veröffentlichten Sicherheitshinweise beim Online Banking abzustellen. In diesen Hinweisen wird dem Bankkunden mitgeteilt, dass TANs nicht auf Anfragen von (angeblichen) Bankangestellten mitgeteilt werden dürfen und welche Viren aktuell im Umlauf sind. Es handelt sich hierbei im rechtlichen Sinne lediglich um Empfehlungen und Hinweise, welche keinen Vertragscharakter haben, so dass hierdurch keine vertraglichen Pflichten begründet werden.

Die Möglichkeit mittels individualvertraglicher Vereinbarungen besondere erhöhte

Sorgfaltspflichten des Bankkunden zu begründen, bleibt dem unbenommen. Im Einzelfall sollte daher der bestehende Vertrag im Rahmen des Online Banking überprüft werden.



3. Sorgfaltsanforderungen an die Reaktion nach Feststellen eines Systemfehlers bei einer Überweisung:

Stellt der Bankkunde bei einer Überweisung im Online Banking Verfahren einen

Systemfehler des Programms fest, so ist einhellige Auffassung der Rechtsprechung, dass in diesem Fall der Bankkunde die Pflicht hat, seine Hausbank unverzüglich zu informieren. Insbesondere ist eine Verletzung von Sorgfaltspflichten zu bejahen, wenn der Bankkunde nach Entdeckung eines Phishing-Angriffs (Password-Fishing) untätig bleibt und dadurch weitere Verfügungen des Täters des Phishing-Angriffs ermöglicht.

Eine Pflicht des Bankkunden jedwede Unregelmäßigkeit im Online Banking Verfahren

der Hausbank mitzuteilen, besteht dagegen nicht.

Die Mitteilungspflicht besteht daher erst dann, wenn der Bankkunde zutreffende

Anzeichen für einen Phishing-Angriff hat. Dies ist bspw. dann anzunehmen, wenn der Bankkunde, nach Feststellung einer Unregelmäßigkeit beim Online Banking, bei einem routinemäßigen Suchlauf des Antivirenprogramms feststellen muss, dass Viren auf dem Computer installiert sind.



4. Sorgfaltsanforderungen an die Auswahl eines sicheren TAN-Systems für das

anbietende Kreditinstitut:

Neben dem normalen TAN System, bei welchem der Bankkunde eine Liste mit mehreren

TANs erhält und für eine Überweisung wahllos eine der aufgeführten TANs verwenden kann, gibt es weitere TAN Systeme, die einen erhöhten Sicherheitsstandard haben. In Betracht kommen das i-TAN, n-TAN oder das Chipkartenleseverfahren. Bietet die Hausbank hingegen ihren Kunden die Möglichkeit an, das normale TAN System nutzen zu können, kann in der Benutzung des Systems als solches keine Pflichtverletzung des Kunden erblickt werden.



Für eine persönliche Beratung zu diesem Themenfeld steht Ihnen Rechtsanwalt Helge-Kristian Münkel jederzeit gerne zur Verfügung.