Nach Phishing-Angriff hat Bank begrenzten Schadensersatzanspruch

Kammergericht Berlin

Urteil v. 29.11.2010 - Az.: 26 U 159/09

Leitsatz

Nach einer rechtswidrigen Phishing-Attacke gegenüber einem Kunden steht der Bank kein Aufwendungsersatz zu. Ein dem Kunden entgegenzuhaltender Schadensersatz muss aufgrund eines Mitverschuldens der Bank um 70 % gekürzt werden, wenn diese noch nicht das aktuelle und sicherere iTan-Verfahren nutzt.

Sachverhalt

Bei der Beklagten handelte es sich um eine Bank. Eine Kundin der Beklagten wollte online eine Überweisung tätigen. Während des Überweisungsvorgangs öffnete sich ein weiteres Fenster, welches äußerlich der Webseite der Beklagten entsprach. Die Klägerin wurde hierüber aufgefordert, vier weitere Tans einzugeben, da die erste Überweisung angeblich fehlgeschlagen sei. Am nächsten Tag wurden Überweisungen in Höhe von fast 15.000,- EUR vorgenommen.

Die Klägerin erklärte, dass sie Opfer einer Phishing-Attacke geworden sei und verlangte die Zahlung der 15.000,- EUR. Die Beklagte wandte hiergegen ein, dass die Klägerin den Tätern fahrlässig Zugriff auf die Bankdaten gewährt habe, so dass die Beklagte der Klägerin ihrerseits einen Schadensersatzanspruch entgegenhielt.

Entscheidungsgründe

Die Richter gaben der Klage weitestgehend statt.

Sie erklärten, dass zwischen den Parteien ein wirksamer Girovertragvertrag bestehe. Aufgrund der teilweise zu Unrecht erfolgten Abbuchungen stehe der Klägerin daher gegenüber der Beklagten ein wirksamer Zahlungsanspruch zu. Die vier Überweisungen seien ohne zurechenbare Anweisungserklärung der Klägerin durch Ausspähen bösartiger Software durchgeführt worden, so dass die Beklagte keinen Aufwendungsersatzanspruch geltend machen könne.

Die Beklagte könne der Klägerin zwar einen Schadensersatzanspruch entgegenhalten, dieser sei jedoch um 70 % zu kürzen. Dies liege daran, dass die Bank ihrerseits Sorgfaltspflichten verletzt habe, die zur Entstehung des Schadens beigetragen hätten. Schließlich nutze die Beklagte nicht das aktuelle und sicherere iTan-Verfahren, welches einen Angriff der vorliegenden Art verhindert hätte.