Eine Bankkundin wollte wie gewohnt per Online-Banking Geschäfte erledigen. Nachdem sie ihre PIN auf der Homepage ihrer Bank eingegeben hatte, wurde sie auf einer sich öffnenden, der Bank-Homepage exakt gleichenden Seite aufgefordert, sie möge vier TANs eingeben, da das Login nicht erfolgreich verlaufen sei. Nachdem die Kundin dieser Aufforderung nachgekommen war, konnte sie wie geplant ihre Bankgeschäfte fortführen.
Erst Tage später, als sie ihre Kontoauszüge übersandt bekam, musste sie feststellen, dass insgesamt 14.500,- Euro auf ihrem Konto fehlten. Die "Phisher" hatten diesen Betrag mithilfe der erbeuteten Zugangsdaten auf ein anderes Konto im Ausland überwiesen.
Die Bank bemühte sich, das Geld rücküberweisen zu lassen - erfolglos, da das Auslandskonto schon leer geräumt worden war. Aus diesem Grund lehnte die Bank dann auch ab, ihre Kundin zu entschädigen - diese hatte nämlich gefordert, die Bank möge den entwendeten Betrag ihrem Konto wieder gut zu schreiben und ihre anwaltlichen Kosten übernehmen.
Das Landgericht gab der Kundin Recht und verurteilte die Bank dazu, das "gephishte" Geld zu erstatten und die Anwaltskosten zu übernehmen - jedenfalls zum größten Teil: 10% dieser Beträge musste sie selbst übernehmen, "weil sie in fahrlässiger Weise die ihr im Rahmen des online-Banking obliegenden Sorgfaltspflichten verletzt hat, als sie der Aufforderung folgte, die Eingabe der PIN mit vier TAN zu bestätigen."
Das Gericht sah in dieser Handlung jedoch lediglich eine leichte Fahrlässigkeit: Zwar hat die Bank auf ihren Internetseiten immer wieder Warnmeldungen vor gefälschten Internetseiten veröffentlicht, jedoch liege es auf der Hand, "dass Bankkunden derartige Hinweise nicht unbedingt lesen, weil es Zeit kostet, die umfangreichen Warnhinweise zu verstehen und es schwer fällt, sich die jeweils geschilderten Merkmale gefälschter Internetseiten zu merken."
Und weiter:
"Wollte die Beklagte es ihren Kunden zur unablässigen Pflicht machen, diese Warnhinweise zur Kenntnis zu nehmen und zu beachten, so musste sie dies vertraglich vereinbaren. Ebenso bestünde die Möglichkeit, auch die Verwendung der TAN verbindlich festzulegen und so dem Kunden jede Ungewissheit darüber zu nehmen, ob nach dem jeweils aktuellen Online-Banking-Programm nun nur eine einzige TAN zur Bestätigung eingegeben werden dürfe oder in Einzelfällen auch mehrere von Nöten seien und ob die TAN allein dazu bestimmt sei, einen Auftrag zu bestätigen oder auch zur Bestätigung der richtigen PIN dienen könne. Die Beklagte hat dies in den Vertragsbedingungen nicht geregelt. Sie hat deshalb die irrtümliche Annahme der Klägerin mit heraufbeschworen, das Verfahren zur Freigabe einer versehentlich falsch eingegebenen PIN sei von der Bank dergestalt verändert worden, dass mehrere TAN einzugeben seien."Schön, dass ein Gericht das mal ausdrücklich feststellt und so die derzeitige Vorgehensweise der Banken als nicht ausreichend behandelt.
Das Verschulden der Klägerin wurde dann mit 10% festgelegt, wobei sich das Gericht an den Regelungen orientierte, die bei einem nicht ordnungsgemäßen Einsatz der EC-Karte zur Anwendung kommen.
Hierzu ist noch zu sagen, dass bei grob fahrlässigem Verhalten der Kunde gegebenenfalls den gesamten Schaden allein zu tragen hätte.
Für die Bankkundin sicherlich ein erfreuliches Urteil aber ich glaube noch nicht daran, dass das Urteil vom KG gehalten wird. (Ich unterstelle einfach mal, dass die Bank in die Berufung gehen wird.) Die meisten Sonderbedingungen für Onlinebanking sind so gestrickt, dass den Bankkunden durchaus umfangreiche Sorgfaltspflichten auferlegt werden. Falls das im vorliegenden Fall versäumt wurde, ist es natürlich Pech der Bank.
AntwortenLöschenIch stelle es mir auch außerordentlich schwierig vor, durch AGB Kunden zu regelmäßiger Kenntnisnahme und Beachtung eines Newsletters zu verpflichten.
Und schließlich: Wer vier TAN eingibt, ohne sich zu wundern, handelt meines Erachtens nicht mehr so leicht fahrlässig, dass eine Mitverschuldensquot von 90 zu 10 gerechtfertigt wäre.