Bundesgerichtshof Wer auf Phishing hereinfällt, haftet selbst

Wer auf Phishing hereinfällt und seine PIN und mehrere TANs auf einer betrügerischen Website eingibt, haftet für den Schaden selbst, der ihm damit entsteht, entschied der Bundesgerichtshof.

Der Bundesgerichtshof hat die Klage eines Phishing-Opfers abgewiesen. Dieses hatte von seiner Bank Schadenersatz gefordert, nachdem Betrüger 5.000 Euro von seinem Konto an eine griechische Bank überwiesen hatten. Der Kunde nutzt seit 2001 Onlinebanking und fiel 2008 nach eigenen Angaben auf Phishing herein. Die Bank nutzte zu diesem Zeitpunkt eine Kombination aus PIN und iTAN, also einer Transaktionsnummer (TAN) aus einer dem Kunden zuvor zur Verfügung gestellten, durchnummerierten TAN-Liste. Die Bank warnte zudem auf ihrer Website vor Phishing-Mails.

Der Kläger stellte kurz nach der Überweisung Strafanzeige gegen unbekannt und gab dabei an: "Ich habe das Onlinebanking der ... Bank angeklickt. Die Maske hat sich wie gewohnt aufgemacht. Danach kam der Hinweis, dass ich im Moment keinen Zugriff auf Onlinebanking der ... Bank hätte. Danach kam eine Anweisung, zehn Tan-Nummern einzugeben. Die Felder waren nicht von 1 bis 10 durchnummeriert, sondern kreuz und quer. Ich habe dann auch die geforderten Tan-Nummern, die ich schon von der Bank hatte, in die Felder chronologisch eingetragen. Danach erhielt ich dann Zugriff auf mein Onlinebanking. Ich habe dann unter Verwendung einer anderen Tan-Nummer eine Überweisung getätigt."

Das Ermittlungsverfahren wurde eingestellt, da ein Täter nicht ermittelt werden konnte.

Klage unbegründet

Der Bundesgerichtshof schloss sich in seinem Revisionsurteil den Entscheidungen der Vorinstanz an. Es hatte die Klage gegen die Bank auf Zahlung von 5.000 Euro nebst Zinsen und vorgerichtlichen Kosten zurückgewiesen. Nach Ansicht der Richter ist die Klage unbegründet (Urteil vom 24. April 2012 - XI ZR 96/11).

Der Kläger habe mit seiner Reaktion auf die Phishing-Mail "die im Verkehr erforderliche Sorgfalt außer Acht gelassen, indem er beim Loginvorgang, also nicht in Bezug auf einen konkreten Überweisungsvorgang, trotz des ausdrücklichen Warnhinweises der Bank gleichzeitig zehn TAN eingegeben hat".

Die Bank habe das iTan-Verfahren eingesetzt, das im Jahr 2008 dem Stand der Technik entsprach. Damit habe sie ihrer Pflicht genügt, ein möglichst wenig missbrauchsanfälliges System für das Onlinebanking bereitzustellen, befand der Bundesgerichtshof.

Drei Tipps für Onlinebanking

Bitkom-Sicherheitsexperte Lutz Neugebauer sagte: "Beim Onlinebanking sollten Kunden auf drei Dinge achten: Das sicherste Überweisungsverfahren ihrer Bank wählen, aktuelle Sicherheitssoftware einsetzen und gesunde Vorsicht walten lassen. Dann bietet Online-Banking ein sehr hohes Sicherheitsniveau." Zurzeit nutzten rund 28 Millionen Deutsche Onlinebanking. Das Bundeskriminalamt meldete für das Jahr 2010 rund 5.300 Phishing-Fälle in Deutschland, doch die Tendenz ist steigend.

Der Fall erfolgte noch vor Einführung des Paragrafen 675v des Bürgerlichen Gesetzbuchs, der nun regelt, dass Nutzer beim Onlinebanking nur haften, wenn ihnen PIN und TAN grob fahrlässig abhandengekommen sind. Erst die ausführliche Urteilsbegründung wird zeigen, ob sich das Gericht dazu äußert, wann Kunden grob fahrlässig handeln und für den entstandenen Schaden voll haften müssen. Kann der Kunde nachweisen, dass er nur fahrlässig gehandelt hat, ist seine Haftung auf 150 Euro beschränkt.