You can not select more than 25 topics Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.
 
 

46 lines
6.7 KiB

<!doctype html public "-//W3C//DTD HTML 4.0 //EN">
<html>
<head>
<title>Bundesgerichtshof zu Pharming-Angriffen im Online-Banking </title>
<meta name="author" content="Pressestelle des BGH">
<meta name="generator" content="PMzuHTML v2">
<meta name="subject" content="Nr. 050 vom 24.04.12">
<meta name="" content="">
<meta name="LfdNr" content="050">
<meta name="Jahr" content="2012">
<meta name="Senat" content="XI. Zivilsenat">
<meta name="Aktenzeichen" content="XI ZR 96/11">
<meta name="Datum" content="24.04.12">
<meta name="" content="24.04.12">
</head>
<body text="#000000" bgcolor="#FFFFFF" link="#FF0000" alink="#FF0000" vlink="#FF0000">
<h1>Bundesgerichtshof</h1>
<h2>Mitteilung der Pressestelle</h2>
<hr noshade size="1">
<p align="justify">Nr. 50/2012 </p>
<p><div align="center"><font size="+2"><b>Bundesgerichtshof zu Pharming-Angriffen </b></font></div></p>
<p><div align="center"><font size="+2"><b>im Online-Banking </b></font></div></p>
<p align="justify">Der f&uuml;r das Bank- und B&ouml;rsenrecht zust&auml;ndige XI.&nbsp;Zivilsenat des Bundesgerichtshofs hat entschieden, unter welchen Voraussetzungen ein Bankkunde sich im Online-Banking bei einem Pharming-Angriff schadensersatzpflichtig macht. </p>
<p align="justify">Im zugrundeliegenden Fall nimmt der Kl&auml;ger die beklagte Bank wegen einer von ihr im Online-Banking ausgef&uuml;hrten &Uuml;berweisung von 5.000&nbsp;€ auf R&uuml;ckzahlung dieses Betrages in Anspruch. </p>
<p align="justify">Der Kl&auml;ger unterh&auml;lt bei der Beklagten ein Girokonto und nimmt seit 2001 am Online-Banking teil. F&uuml;r &Uuml;berweisungsauftr&auml;ge verwendet die Beklagte das sog. iTAN-Verfahren, bei dem der Nutzer nach Erhalt des Zugangs durch Eingabe einer korrekten pers&ouml;nlichen Identifikationsnummer (PIN) dazu aufgefordert wird, eine bestimmte, durch eine Positionsnummer gekennzeichnete (indizierte) Transaktionsnummer (TAN) aus einer ihm vorher zur Verf&uuml;gung gestellten, durchnummerierten TAN-Liste einzugeben. </p>
<p align="justify"> </p>
<p align="justify">In der Mitte der Log-In-Seite des Online-Bankings der Beklagten befand sich folgender Hinweis: </p>
<p align="justify">&quot;Derzeit sind vermehrt Schadprogramme und sogenannte Phishing-Mails in Umlauf, die Sie auffordern, mehrere Transaktionsnummern oder gar Kreditkartendaten in ein Formular einzugeben. Wir fordern Sie niemals auf, mehrere TAN gleichzeitig preiszugeben! Auch werden wir Sie niemals per E-Mail zu einer Anmeldung im … Net-Banking auffordern!&quot; </p>
<p align="justify">Am 26.&nbsp;Januar 2009 wurde vom Girokonto des Kl&auml;gers nach Eingabe seiner PIN und einer korrekten TAN ein Betrag von 5.000&nbsp; € auf ein Konto bei einer griechischen Bank &uuml;berwiesen. Der Kl&auml;ger, der bestreitet, diese &Uuml;berweisung veranlasst zu haben, erstattete am 29.&nbsp;Januar 2009 Strafanzeige und gab Folgendes zu Protokoll: </p>
<p align="justify">&quot;Im Oktober 2008 -&nbsp;das genaue Datum wei&szlig; ich nicht mehr&nbsp;- wollte ich ins Online-banking. Ich habe das Online-banking der … Bank angeklickt. Die Maske hat sich wie gewohnt aufgemacht. Danach kam der Hinweis, dass ich im Moment keinen Zugriff auf Online-banking der ... Bank h&auml;tte. Danach kam eine Anweisung zehn Tan-Nummern einzugeben. Die Felder waren nicht von 1 bis 10 durchnummeriert, sondern kreuz und quer. Ich habe dann auch die geforderten Tan-Nummern, die ich schon von der Bank hatte, in die Felder chronologisch eingetragen. Danach erhielt ich dann Zugriff auf mein Online-banking. Ich habe dann unter Verwendung einer anderen Tan-Nummer eine &Uuml;berweisung get&auml;tigt.&quot; </p>
<p align="justify">Das Ermittlungsverfahren wurde eingestellt, da ein T&auml;ter nicht ermittelt werden konnte. </p>
<p align="justify">Die Klage auf Zahlung von 5.000&nbsp;€ nebst Zinsen und vorgerichtlichen Kosten ist in den Vorinstanzen erfolglos geblieben. Der Bundesgerichtshof hat die vom Berufungsgericht zugelassene Revision zur&uuml;ckgewiesen. </p>
<p align="justify">Die Klage ist unbegr&uuml;ndet. Auch wenn der Kl&auml;ger die &Uuml;berweisung der 5.000&nbsp;€ nicht veranlasst hat, ist sein Anspruch auf Auszahlung dieses Betrages erloschen, weil die Beklagte mit einem Schadensersatzanspruch in gleicher H&ouml;he gem&auml;&szlig; &sect;&nbsp;280 Abs.&nbsp;1 BGB aufgerechnet hat. </p>
<p align="justify">Der Kl&auml;ger ist nach dem in seiner Strafanzeige vorgetragenen Sachverhalt Opfer eines Pharming-Angriffs geworden, bei dem der korrekte Aufruf der Website der Bank technisch in den Aufruf einer betr&uuml;gerischen Seite umgeleitet worden ist. Der betr&uuml;gerische Dritte hat die so erlangte TAN genutzt, um der Bank unbefugt den &Uuml;berweisungsauftrag zu erteilen. Der Kl&auml;ger hat sich gegen&uuml;ber der Bank durch seine Reaktion auf diesen Pharming-Angriff schadensersatzpflichtig gemacht. Er hat die im Verkehr erforderliche Sorgfalt au&szlig;er Acht gelassen, indem er beim Log-In-Vorgang, also nicht in Bezug auf einen konkreten &Uuml;berweisungsvorgang, trotz des ausdr&uuml;cklichen Warnhinweises der Bank gleichzeitig zehn TAN eingegeben hat. F&uuml;r die Haftung des Kunden reicht im vorliegenden Fall einfache Fahrl&auml;ssigkeit aus, weil &sect; 675v Abs. 2 BGB, der eine unbegrenzte Haftung des Kunden bei missbr&auml;uchlicher Nutzung eines Zahlungsauthentifizierungsinstruments nur bei Vorsatz und grober Fahrl&auml;ssigkeit vorsieht, erst am 31. Oktober 2009 in Kraft getreten ist. </p>
<p align="justify">Ein anspruchsminderndes Mitverschulden der Bank hat das Berufungsgericht zu Recht verneint. Nach seinen Feststellungen ist die Bank mit dem Einsatz des im Jahr 2008 dem Stand der Technik entsprechenden iTAN-Verfahrens ihrer Pflicht zur Bereitstellung eines m&ouml;glichst wenig missbrauchsanf&auml;lligen Systems des Online-Banking nachgekommen. Sie hat auch keine Aufkl&auml;rungs- oder Warnpflichten verletzt. Ob mit der Ausf&uuml;hrung der &Uuml;berweisung der Kreditrahmen des Kunden &uuml;berschritten wurde, ist unerheblich, weil Kreditinstitute grunds&auml;tzlich keine Schutzpflicht haben, Konto&uuml;berziehungen ihrer Kunden zu vermeiden. Einen die einzelne Transaktion unabh&auml;ngig vom Kontostand beschr&auml;nkenden Verf&uuml;gungsrahmen hatten die Parteien nicht vereinbart. </p>
<p align="justify">Urteil vom 24.&nbsp;April 2012 -&nbsp;XI ZR 96/11 </p>
<p align="justify">Amtsgericht D&uuml;sseldorf - Urteil vom 6.&nbsp;April 2010 -&nbsp;36&nbsp;C 13469/09 </p>
<p align="justify">Landgericht D&uuml;sseldorf - Urteil vom 19.&nbsp;Januar 2011 -&nbsp;23&nbsp;S 163/10 </p>
<p align="justify">Karlsruhe, den 24.&nbsp;April 2012 </p>
<p><font size="-1">
Pressestelle des Bundesgerichtshofs <br>
76125 Karlsruhe<br>
Telefon (0721) 159-5013<br>
Telefax (0721) 159-5501</font></p>
</body>
</html>