Wann haften Opfer von „Phishing“ bei Online-Überweisungen für unrechtmäßige Abbuchungen? Das Landgericht Hannover hat zuletzt die Klage von Bankkunden auf Erstattung unrechtmäßiger Abbuchungen in Höhe von 8.600 € bzw. 11.800 € gegen ihre Bank abgewiesen. Im Zweifelsfall müssen sich demnach Bankkunden bei ungewöhnlichen Modalitäten des Buchungsvorgangs bei ihrer Bank durch Nachfragen absichern.
Darum geht es
Die Kläger - ein Ehepaar - führen bei der beklagten Bank jeweils ein Girokonto, von denen infolge einer Phishing-Attacke insgesamt vier unberechtigte Online-Banking-Überweisungen in Höhe der Klageforderungen erfolgt sind. Konkret wählte der Kläger beim Online-Banking nach dem Vorschlag der zuletzt besuchten Seiten die Seite seiner Bank aus und öffnete dort das Fenster zum Log-in des Online-Bankings. Zum Log-in trug er seine Kontonummer, sein Passwort und einen Zugriffscode ein. Anders als gewohnt, musste er seine Eingaben statt mit der Enter-Taste mit der Maus bestätigen.
Im Anschluss öffnete sich dem Kläger ein langer Text mit dem Hinweis, dass die beklagte Bank auf das SMS-TAN-Verfahren umstelle. Der Kläger wurde in diesem Zusammenhang aufgefordert, sämtliche TANs seiner TAN-Liste einzutippen. Er kam der Aufforderung nach und tippte rund 20 TANs ein. Nach Abschluss der Eingabe wurde der Kläger auf seine Kontenübersicht geleitet. Für das Konto seiner Ehefrau - die Mitklägerin - wiederholte er den Vorgang.
Wesentliche Entscheidungsgründe
Das Landgericht Hannover hat entschieden, dass die beklagte Bank nicht zur Rückzahlung oder Rückbuchung der streitgegenständlichen Überweisungen verpflichtet sei, denn dem aus § 675u BGB folgenden Anspruch der Kläger könne sie einen Schadensersatzanspruch gemäß § 675v BGB entgegenhalten.
Da es sich bei den vier phishingbedingten Überweisungen von den Konten der Kläger unstreitig um nicht autorisierte Zahlungsvorgänge gehandelt hat, hat die beklagte Bank zwar keinen Anspruch auf Erstattung ihrer diesbezüglichen Aufwendungen und war daher gemäß § 675u BGB verpflichtet, den Klägern die belasteten Beträge zurückzuerstatten.
Die Beklagte könne diesem Erstattungsanspruch allerdings im Wege der erklärten Aufrechnung einen Schadensersatzanspruch gemäß § 675v BGB entgegenhalten, weil die Kläger den entstandenen Schaden durch eine grob fahrlässige Verletzung ihrer Pflichten gemäß § 675l BGB herbeigeführt haben sollen.
§ 675l BGB verpflichte den Kunden, alle zumutbaren Vorkehrungen zu treffen, um die personalisierte Sicherheitsmerkmale - hier also die TANs - vor unbefugtem Zugriff zu schützen.
Dies habe der Kläger, der nach eigenem Vortrag im Umgang mit dem Online-Banking erfahren sei und regelmäßig aktuelle Warnungen der Beklagten ernst genommen und beachtet habe, nicht getan, als er seine Eingaben nicht wie gewohnt mit der Enter-Taste bestätigen konnte, sondern hierzu die Maus benötigte, und der Aufforderung nachkam, sämtliche TANs seiner Liste zur Bestätigung von Änderungen im Onlineverkehr einzugeben.
Der Kläger wäre aus Sicht der Kammer insoweit gehalten gewesen, sich telefonisch bei der Beklagten zu erkundigen, ob die Umstellung auf mobileTAN auf diese, den sonstigen Hinweisen der Beklagten widersprechende Weise erfolgen sollte.
Der Schadensersatzanspruch der Beklagten sei schließlich auch nicht gemäß § 254 BGB wegen eines Mitverschuldens an der Schadensentstehung gemindert. Zwar habe zum Zeitpunkt der Überweisungen ein relativ hohes Tageslimit von 15.000 € bestanden. Die Beklagte sei jedoch nicht verpflichtet gewesen, ein Tageslimit von wenigen Tausend € einzuführen.
Gemäß § 675k Abs. 1 BGB sei es Sache der freien Vereinbarung zwischen Bank und Kunde, eine Betragsobergrenze einzuführen. Jeder Bankkunde sei jedoch zunächst sich selbst verpflichtet, erkennbare und von ihm als zu hoch eingestufte Risiken beim Onlinebanking durch die Vereinbarung eines geringeren Tageslimits zu begrenzen.
Landgericht Hannover, Urt. v. 10.02.2016 - 11 O 229/15
Quelle: Landgericht Hannover, Pressemitteilung v. 10.02.2016