Kunde haftet bei Phishing-Angriff wie bei EC-Karten-Missbrauch

Landgericht Berlin

Urteil v. 11.08.2009 - Az.: 37 O 4/09

Leitsatz

Kommt ein Kunde im Rahmen des Online-Banking der Aufforderung, zur Bestätigung der PIN insgesamt vier TANs anzugeben (Phishing-Angriff), nach, so liegt hierin eine Sorgfaltspflichtverletzung. Allerdings ist nur von fahrlässigem Verhalten auszugehen, so dass der Kunde wie bei einem EC-Karten-Missbrauch nur im Rahmen der vertraglich vereinbarten Selbstbeteiligung haftet.

Sachverhalt

Die Klägerin war Bankkundin bei der Beklagten und nutzte deren Online-Banking. Im September 2008 wurde sie Opfer eines Phishing-Angriffs. Nachdem sie ihre PIN angegeben hatte, um sich einzuloggen, erschien ein neues Fenster, welches dem Online-Banking-Auftritt der Beklagten glich. Dort wurde sie darauf hingewiesen, dass der Login-Versuch gescheitert sei und sie deshalb vier unverbrauchte TANs eingeben solle. Dem kam die Klägerin nach.

In der Folge wurden von ihrem Konto zwei Überweisungen in Höhe von 5.000,- € bzw. 9.500,- € ins Ausland getätigt. Ein Rückbuchungsversuch hatte keinen Erfolg. Die Klägerin verlangte von der Beklagten Schadenersatz.

Entscheidungsgründe

Die Klage war teilweise erfolgreich. Das Gericht sprach der Klägerin 90 % des Schadensbetrages zu.

Zunächst bestehe ein Anspruch der Klägerin gegen die Beklagte auf Gutschrift der überwiesenen Beträge, weil die Klägerin keinen Überweisungsauftrag erteilt habe.

Jedoch habe die Beklagte ihrerseits einen Schadenersatzanspruch gegen die Klägerin, weil diese bei Eingabe der TANs sorgfaltspflichtwidrig gehandelt habe. Die Eingabe mehrerer TANs auf einmal sei im Online-Banking unüblich. Ebenso habe der Ablauf, dass TANs vor Erteilung eines Überweisungsauftrages angefordert wurden, die Klägerin stutzig machen müssen. Sie habe der Aufforderung nicht ohne weiteres Folge leisten dürfen. Dass sie es dennoch tat, sei als Pflichtverletzung gegen die vertraglich vereinbarte Geheimhaltungspflicht hinsichtlich der TANs zu werten.

Der Klägerin sei aber nur leicht fahrlässiges Verhalten vorzuwerfen. Die Beklagte trage ein erhebliches Mitverschulden. Sie stelle das System zur Verfügung und müsse dafür sorgen, dass außenstehende Dritte ihren Kunden keine neue Bedienungsanleitung vortäuschen könnten. Die von der Beklagten vorgehaltenen Warnhinweise seien zu umständlich vorgehalten und zu lang formuliert gewesen. Sie hätte das Verhalten zur Eingabe von TANs gegenüber den Kunden verbindlich festlegen können.

Bezüglich der Höhe der Schadensverteilung sei der Fall mit dem Missbrauch von EC-Karten zu vergleichen, bei dem der leicht fahrlässig handelnde Kunde mit 10 % selbst hafte.