Bankrecht: Haftung der Bank bei Pishing

published on 25/08/2010 10:55
Bankrecht: Haftung der Bank bei Pishing
Gesetze
Artikel zu passenden Rechtsgebieten

Author’s summary

unter Verwendung des einfachen TAN-Verfahrens - BSP Bierbach, Streifler & Partner PartGmbB
Das AG Wiesloch hat mit dem Urteil vom 20.06.2008 (Az: 4 C 57/08) folgendes entschieden: Die Beklagte wird verurteilt, an den Kläger 4.698,87 EURO nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz aus 4.127,67 EURO seit dem 19.09.2007 und weitere Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz aus 571,20 EURO seit dem 13.03.2008 zu zahlen.

Die Beklagte wird weiter verurteilt, an den Kläger 489,45 EURO nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz hieraus seit dem 13.03.2008 zu zahlen.

Im Übrigen wird die Klage abgewiesen.

Die Kosten des Verfahrens werden der Beklagten auferlegt.

Das Urteil ist vorläufig vollstreckbar gegen Sicherheitsleistung in Höhe von 110 Prozent des aus dem Urteil vollstreckbaren Betrages.

Der Streitwert wird auf 4.698,87 EURO festgesetzt.


Tatbestand:

Der vorliegende Fall hat die zivilrechtliche Beurteilung eines möglicherweise durch eine dritte Person erfolgten Zugriffes auf ein Onlinebankingkonto zum Gegenstand.

Der Kläger unterhält bei der Beklagten, einer Bank, das Konto mit der Nummer 6 ... Seit etwa dem Jahr 2006 ist dieses Konto für das Onlinebanking aktiviert und sowohl der Kläger als auch seine kontobevollmächtigte Ehefrau nutzten dies. Der Computer ist mit dem Betriebssystem Windows XP und dem Antivirenprogramm „Norton Antivirus“ ausgestattet. Über die weitere konkrete Ausstattung mit einer Firewall und die Funktionsweise des Antivirenprogramms besteht Streit.

Am 18.09.2007 um 11.38 Uhr wurde ein Betrag in Höhe von 4.127,67 EURO unter Angabe des Verwendungszweckes „892400371 X“ und unter Verwendung der „TAN ...“ an eine Person Namens D. überwiesen. Die Überweisung wurde mittels eines einfachen TAN Verfahrens durchgeführt, bei dem die Angabe einer jeden TAN aus der TAN Liste geeignet ist, den Vorgang auszulösen. Eine zusätzliche weitere Absicherungen durch das sogenannte i-TAN- oder m-TAN- Verfahren oder ein Chipkartenverfahren fand nicht statt.

Am 19.09.2007 erhielt der Kläger einen Anruf von einem Mitarbeiter der Beklagten, dem die Überweisung als verdächtig aufgefallen war. Der Kläger gab dem Mitarbeiter gegenüber an, dass er die Überweisung nicht veranlasst habe und der Mitarbeiter sicherte zu, dass man versuchen werde, das Geld von der Empfängerbank zurückzubuchen. Mit Schreiben vom 27.09.2007 wandte sich der Vertreter des Klägers an die Beklagte und begehrte eine Rückbuchung. Diese wurde mit Schreiben vom 09.10.2007 von den Vertretern der Beklagten abgelehnt.

Ein danach durchgeführter Scan des Computers des Klägers mit einem Antivirenprogramm ergab, dass auf dem Computer 14 sogenannte Schadprogramme vorhanden waren. Im Einzelnen wird hierzu auf die Liste Anlage K 3 verwiesen. Darüber hinaus beauftragte der Kläger den Sachverständigen H. mit der Auswertung eines vom Kläger selbst gefertigten Virenscans seines Computersystems. Dieser erstattete daraufhin zwei Gutachten. Die Klage wurde am 13.03.2008 den Vertretern der Beklagten zugestellt.

Der Kläger behauptet:

Seine Ehefrau habe am Sonntag, 16.09.2007 vom Familiencomputer drei Überweisungen tätigen wollen. Sie habe daraufhin nach Eingabe der Empfängerdaten für die erste Überweisung die TAN 867216 eingegeben und die Überweisung freigegeben. Es sei daraufhin keine Mitteilung erfolgt, dass die Beklagte die Überweisung entgegengenommen habe. Die TAN sei jedoch verschwunden gewesen. In diesem Moment sei die Ehefrau des Klägers davon ausgegangen, dass vergessen worden sei, die TAN bei der letzten Transaktion einige Tage zuvor auszustreichen. Sodann habe die Ehefrau die geplanten Überweisungen durchgeführt.

Die Empfängerin des Geldes D. sei weder dem Kläger noch dessen Ehefrau bekannt und es bestünden keinerlei vertragliche oder tatsächliche Beziehungen zu dieser Person. Die Überweisung sei durch die unbekannten Täter mit Hilfe der sog. Keylogging- Methode durchgeführt worden.

Der Kläger behauptet weiter, er habe den Sachverständigen H. aufgrund der Ablehnung der Rückbuchung durch die Beklagte beauftragt. Dies habe Kosten in Höhe von 571,20 EURO verursacht.

Darüber hinaus sei dem Kläger oder seiner Ehefrau eine Aufklärung über die Risiken des Onlinebanking nicht zuteil geworden.


Entscheidungsgründe:

Der Klage war stattzugeben, da die Bank keinen Anspruch gegen den Kläger hatte, den sie durch Abbuchung vom Konto des Klägers befriedigen durfte. Ein Anspruch ergibt sich nicht aus einem Überweisungsvertrag mit dem Kläger - ggf. vertreten durch seine Ehefrau. Auch die Verletzung einer Nebenpflicht, die zu einem Gegenanspruch der Beklagten gegen den Kläger führen könnte, ist nicht zur Überzeugung des Gerichts nachgewiesen. Daher waren auch die darüber hinaus geltend gemachten Kosten für das Gutachten und die Einschaltung eines Rechtsanwaltes zu erstatten.

Kein Überweisungsvertrag

Im konkreten Fall liegt der Abbuchung zur Überzeugung des Gerichts kein wirksamer Überweisungsvertrag zugrunde.

Rechtliche Ausgangslage

Die Beklagte hat nur dann einen Aufwendungsersatzanspruch gegen den Bankkunden, den sie durch Abbuchung vom Konto des Bankkunden befriedigen darf, wenn dieser oder eine von ihm beauftragte Person einen Überweisungsantrag abgegeben hat. Ohne wirksames Angebot des Kunden auf Abschluss eines Überweisungsvertrages kann das Konto nicht belastet werden, da es an einer Weisung fehlt. Das Fälschungsrisiko des Überweisungsauftrages trägt die Bank. Es kann dahinstehen ob der Auffassung Richters zuzustimmen ist, dass die „Verwendung der Legitimationsmedien [PIN und TAN] keinen Beweis im Rechtssinne für die Identität des Nutzers und die Berechtigung zur Kontonutzung darstellen.“ Im konkreten Fall wäre dieser jedenfalls widerlegt.

Im konkreten Fall ergibt sich aus der Aussage der Zeugin W., die sich mit dem Ermittlungsergebnis der Staatsanwaltschaft Heilbronn im Verfahren 61 Js 28344/07 deckt, dass weder der Kläger noch dessen Ehefrau einen Überweisungsauftrag gegeben haben.

Aussage der Ehefrau des Klägers

Die Zeugin W., die die TAN, mit der die den vorliegenden Rechtsstreit auslösende Überweisung ausgeführt wurde, in den PC eingegeben hat, hat angegeben, die Überweisung an die Empfängerin D. nicht ausgeführt zu haben. Auch habe sie keinerlei Kontakt zu dieser Person gehabt.

Beurteilung der Glaubwürdigkeit der Aussage

Die Zeugin schilderte den „klassischen Fall“ eines Zugriffes auf ein Bankkonto mittels des Einsatzes „bösartiger Software“. Das Gericht hat keinen Anlass an den Angaben der Zeugin zu zweifeln. Zwar hat sie ein gewisses Motiv, die Unwahrheit zu sagen, da ihr Ehemann ein wirtschaftliches Interesse am Ausgang des Prozesses hat. Auf der anderen Seite ist jedoch zu berücksichtigen, dass die Aussage selbst bereits zahlreiche Wahrheitssignale enthielt. So bejahte sie etwa die Frage, dass sie ein X Konto unterhalte. Da die Überweisung den Verwendungszweck „X“ aufwies hätte es nahegelegen, dies zu verschweigen, wenn die Zeugin hätte lügen wollen. Auch schilderten sowohl der Kläger als auch seine Frau beide übereinstimmend facettenreich die Installierung des Antivirenprogrammes durch den Freund und Kollegen des Mannes. Bei der Frage, ob jeweils das neueste Programm von dem Freund installiert werde, sage die Zeugin, dass sie dies nicht wisse. Auch bei der Frage der automatischen Aktualisierung zeigte sie sich nicht sicher. Gerade die letzten beiden Antworten werden vom Gericht ebenfalls als Wahrheitssignale eingestuft, da ein Lügner in dieser Situation klare und für den Kläger günstigere Antworten hätte geben können.

Übereinstimmung der Aussage mit dem Ermittlungsergebnis der Staatsanwaltschaft Heilbronn

Vor allem aber decken sich die Angaben der Zeugin und des Klägers mit dem in der beigezogenen Akte 61 Js 28344/07 gegen die Empfängerin des Geldes und Beschuldigte D. sichtbaren Ermittlungsergebnis. Diese Akte war dem Kläger bei Einreichung der Klage noch nicht zur Verfügung gestellt worden. Hieraus ergibt sich, dass der Kläger selbst bereits am 19.09.2007 um 12.20 Uhr und damit kurz nach der Benachrichtigung durch die Bank über die Abbuchung bei der Kriminalpolizeiaußenstelle in Wiesloch bei KK P. Anzeige erstattet hatte. Die Empfängerin des Geldes hat in ihrer Vernehmung vom 08.04.2008 angegeben, das Geld abgehoben und mittels einer mit Western Union durchgeführten Barüberweisung nach St. Petersburg transferiert zu haben. Diese Vorgehensweise entspricht - was aus der Tätigkeit des Abteilungsrichters bei der Staatsanwaltschaft Heidelberg gerichtsbekannt ist - der Deliktstypik in derartigen Fällen der Onlinekriminalität.

Zwar ist der Beklagten zuzugeben, dass es durchaus theoretisch möglich ist, dass der Kläger auch Opfer eines Eingehungsbetruges im Rahmen eines X-kaufes wurde und die Empfängerin des Geldes D. als Finanzagentin für den Betrüger auftrat oder die Empfängerin Verkäuferin eines Gegenstandes bei X war . Es finden sich jedoch für diese These keinerlei Anhaltspunkte. Auch spricht das Vorhandensein von Schadprogrammen, die jedenfalls nach den Angaben des Gutachters H. geeignet sind, einen Keylogging Angriff durchzuführen, für die von der Zeugin geschilderte Version. Auch die ebenfalls in dem Verfahren 61 Js 28344/07 geführten Geschädigten L. und S., deren Gelder auch an die Empfängerin D. flossen, schilderten eine Tat im Zusammenhang mit Onlinebanking und auch auf einem der PC des L. wurden Bankdaten ausspähende Trojaner aufgefunden. Auch bei der Tat zu Lasten der S. wurden ausweislich ihrer Angaben in der Vernehmung vom 24.09.2007 der Verwendungszweck „X“ angegeben.

Übereinstimmung der Aussage mit dem vorgelegten Privatgutachten

Schließlich lassen sich die Angaben auch mit der von dem vom Kläger als Privatgutachten vorgelegten Auswertung eines Scans seines Computers in Übereinstimmung bringen. Dieses kommt zu dem Ergebnis, dass die dort aufgefundenen Viren - ohne dass entscheidungserheblich auf die exakte Funktionsweise der Viren ankommt - HTML/ADODB.Exploit.gen und PR7PSW.Sinowal.EV einen Zugriff auf den Computer im vorbeschriebenen Sinne ermöglichen.

Eine Rechtsscheinshaftung des Klägers scheidet ebenfalls aus.

Die Vorrausetzungen der Rechtsscheinshaftung des Bankkunden im Fall der Verwendung von Passwörtern und anderen Identitätsmerkmalen werden in der Literatur als „noch sehr unscharf“ bezeichnet. Nach Borges a. a. O. werden die Voraussetzungen regelmäßig nicht erfüllt sein, da der Kunde, solange er nicht weiß, dass er getäuscht wurde, keine Möglichkeit hat, den Missbrauch von PIN und TAN zu verhindern. Nach OLG Köln, MMR 2002, 813 (zu einer Emailadresse) ist eine Anscheinsvollmacht bei Benutzung einer Emailadresse nicht gegeben, da der Inhaber der Adresse nicht die Möglichkeit habe, das Verhalten eines Dritten vorauszusehen. Am ehesten dürfte eine Rechtsscheinshaftung nach Auffassung des Gerichts deshalb abzulehnen sein, da ein vom Kläger bewusst gesetzter Rechtsschein nicht vorhanden ist, dies jedoch - von den ausdrücklich normierten Fällen des „reinen Rechtsscheinsprinzips“ abgesehen - Voraussetzung für die Annahme einer Rechtsscheinshaftung ist.

Die Frage, ob zugunsten der Beklagten in den Fällen, in denen unter Verwendung der übermittelten PIN und TAN eine Überweisung durchgeführt wird, ein Anscheinsbeweis dafür eingreift, dass diese Überweisung vom Kontoinhaber oder einer beauftragten Person durchgeführt wurde, kann vorliegend dahingestellt bleiben. Der Anscheinsbeweis setzt nämlich voraus, dass sich unter Berücksichtigung aller unstreitigen und festgestellten Einzelumstände und besonderen Merkmale des Sachverhaltes ein für die zu beweisende Tatsache nach der Lebenserfahrung typischer Geschehensablauf ergibt. Dann kann von einer feststehenden Ursache auf einen bestimmten Erfolg oder umgekehrt geschlossen werden. Ein Anscheinsbeweis kann jedoch erschüttert werden, indem konkrete Tatsachen behauptet oder bewiesen werden, aus denen sich die ernsthafte Möglichkeit eines vom Gewöhnlichen abweichenden Verlaufes ergibt. Im konkreten Fall wäre durch die unter A. gemachten Ausführungen ein Anscheinsbeweis erschüttert.

Lediglich als obiter dictum sei darauf hingewiesen, dass das Gericht gewisse Zweifel daran hat, ob bei Verwendung des im konkreten Fall angewendeten „einfachen TAN- Verfahrens“ ohne zusätzliche Absicherung durch das i-TAN Verfahren oder andere Sicherheitsmechanismen ein Anscheinsbeweis anzunehmen ist, der zum Inhalt hat, dass im Falle der Auslösung der Überweisung unter Verwendung der PIN und TAN der Kunde entweder den Überweisungsauftrag erteilt hat oder jedenfalls ein Schadensersatzanspruch der Bank besteht. Zum einen ist dem Gericht aufgrund der vormaligen Tätigkeit des Abteilungsrichters bei der Staatsanwaltschaft Heidelberg unter anderem im Bereich der Onlinekriminalität bekannt, dass in zahlreichen Fällen die Daten etwa durch sog. Pharming an die Täter gelangen. In diesen Fällen ist dem Kunden nicht bekannt, dass er auf eine andere Homepage umgeleitet wird. Auch das LG Konstanz sprach bereits im Jahr 2002 - die Gefahren durch Onlinekriminalität haben sich seither gesteigert - nach sachverständiger Beratung davon, dass das Ausspähen von Passworten mittels sog. Trojanischer Pferde eine „durchaus reelle Gefahr“ darstelle. Auch Stube spricht von der „mangelnden Systemsicherheit (...) des besonders störanfälligen PIN/TAN Systems“ und Erfurth ist vor allem wegen des „rasant gestiegenen Einsatz“ von Keyloggern der Ansicht, dass ein Anscheinsbeweis nicht anzunehmen sei. Darüber hinaus sind Grundsätze der Entscheidung des Bundesgerichtshofes zum Anscheinsbeweis bei EC Karten möglicherweise nicht übertragbar. Zum Einen handelt es sich bei der vorliegenden Fallkonstellation teilweise um eine täuschungsbedingte (klassisches Phishing) oder unbemerkte (Keylogging, Pharming) Preisgabe der Daten an den Täter, während der Kunde die Daten eigentlich seiner Bank geben will, während es sich beim typischen EC Karten Fall um einen Diebstahl der Karte handelt. Insofern ist es vermutlich nicht möglich, wie dies der Bundesgerichtshof im o. g. Urteil getan hat, aus der Verschlüsselungstechnologie selbst einen Rückschluss darauf zu ziehen, dass die PIN dann gerade unsorgfältig verwahrt worden sein musste. Es entspricht gerade der Deliktstypik, dass der Bankkunde die Informationen versehentlich an den Täter herausgibt. Zum Anderen hat der Gesetzgeber in § 292 a ZPO gerade einen Anscheinsbeweis für die sog. Elekronische Signatur nach dem SigG eingeführt. Es käme dann auf die Frage an, ob sich hieraus ein Umkehrschluss ziehen lässt, das in anderen Fällen ein Anscheinsbeweis nicht anzuwenden ist oder ob im Falle eines der elektronischen Signatur vergleichbaren Schutzniveaus eine analoge Anwendung möglich ist.

Kein Gegenanspruch der Beklagten aus §§ 280, 241 Abs. 2 BGB

Da eine - dem Kläger gem. § 278 BGB zuzurechnende - Pflichtverletzung der Ehefrau des Klägers nicht von der Beklagten nachgewiesen ist, besteht kein Schadensersatzanspruch der Beklagten, den diese durch Abbuchung vom Konto des Klägers hätte befriedigen können.

Sorgfaltsanforderungen an den Umgang mit PIN und TAN

Im konkreten Fall sind die allgemeinen Sorgfaltsanforderungen im Umgang mit der TAN und die Streitfrage, inwieweit diese einschlägig sind, wenn ein Kunde diese auf eine sog. Phishing-Mail antwortet, nicht entscheidungserheblich.

Sorgfaltsanforderungen an die Absicherung eines Computers

Rechtliche Ausganglage.

Im Ergebnis kann die Bank von ihren Kunden erwarten, dass diese einem den allgemeinen, an dem Verhalten eines durchschnittlichen PC-Benutzers orientierten Personalcomputer für die Benutzung des Onlinebanking verwenden. Auch E. verlangt „das zur Nutzung des Mediums notwendige Wissen, aber gerade kein fachspezifisches IT-Hintergrundwissen“ Eine irgendwie geartete Absicherung des Computers ist daher zu erwarten. Hierbei ist jedoch zu beachten, dass das Kreditinstitut grundsätzlich das Risiko des Missbrauches der Sicherungsmedien trägt und dies nicht umfassend auf den Kunden abwälzen kann. Bei der Konkretisierung des Maßstabes ist weiterhin zu beachten, dass die Beklagte im Interesse einer vereinfachten Abwicklung und der Einsparung von Personalkosten weitgehend den Nutzern das Onlinebanking zur Verfügung stellte. Auch ist dem Abteilungsrichter aus seiner Tätigkeit als Staatsanwalt gerichtsbekannt, dass viele Personen einen als sorglos zu bezeichnenden Umgang mit den Gefahren des Internet pflegen und durch die immer benutzerfreundlichere Ausgestaltung der Personalcomputer und der Internetanwendungen kaum ein ernstzunehmendes Fachwissen besitzen müssen, um Onlinebanking zu betreiben. Letztlich ist es die unternehmerische Entscheidung der Bank, diesen Personen das Onlinebanking zur Verfügung zu stellen, was sich auf die anzuwendenden Sorgfaltsanforderungen auswirkt.

Soweit in Assies/Richter, Handbuch des Fachanwaltes für Bank- und Kapitalmarktrecht, 1. Auflage, 3. Kapitel, Rn. 343 ausgeführt wird, aufgrund der Allgemeinen Geschäftsbedingungen der Banken könne der Kunde aufgrund der bestehenden Vereinbarungen verpflichtet sein, seinen Rechner technisch aufzurüsten, wenn das Gerät durch Zeitablauf zur Verarbeitung der ausdrücklich vereinbarten Sicherheitsmaßnahmen (Hervorhebung vom Gericht) nicht mehr in der Lage ist, ist dies im vorliegenden Rechtsstreit nicht von Bedeutung. Die Beklagte hat eine derartige konkrete Vereinbarung nicht behauptet, sondern lediglich die Empfehlungen und Hinweise auf der Homepage übersendet. Diese haben jedoch keinen Vertragscharakter. Auf die AGB-rechtlichen Vereinbarkeit derartiger Klauseln und zur notwendigen Konkretisierung derartiger Klauseln kommt es daher nicht an. Soweit Assies/Richter, Handbuch des Fachanwaltes für Bank- und Kapitalmarktrecht, 1. Auflage, 3. Kapitel, Rn. 356 davon ausgehen, dass auch durch einseitige Hinweise der vom den Kunden anzuwendende Sorgfaltmaßstab erhöht werden kann, widerspricht dies allgemeinen vertragsrechtlichen Grundsätzen zur Begründung von Vertragspflichten.

Die unter 2.a) herausgearbeiteten Anforderungen wurden im vorliegenden Fall erfüllt.

Dem Kläger und seiner Frau war „eigentlich klar“, dass ein Antivirenprogramm auf dem Computer installiert sein sollte. Daraufhin habe man über einen Freund und Geschäftskollegen des Klägers das Programm „Norton Antivirus“ installiert. Auch hatte die Zeugin, was sie in der Vernehmung durch eine Handbewegung unterstrich, bei der Benutzung des PCs eine Acht auf dieses Programm. Nach den Angaben der Zeugin handelte es sich sogar um eine verbesserte Version des Programms, das nicht unentgeltlich, sondern kostenpflichtig war. Die Installation des Programmes wurde von dem Kläger im Rahmen seiner informatorischen Anhörung bestätigt. Allerdings bezeichnete sich die Zeugin W. als „absolut kein Computermensch“. An eine Erläuterung der verschiedenen technischen Aspekte im Rahmen des Gesprächs über das Onlinebanking, das nach Angaben der Zeugin W. „kein langes Gespräch war“, konnten sich weder die Zeugin noch ihr informatorisch angehörter Ehemann erinnern. Darüber hinaus hat sich die Ehefrau nach ihren Angaben in der Zeugenvernehmung einmal die Tipps auf der Homepage der Bank angeschaut. Hierin sei darüber informiert worden, dass über TANs nicht auf Anfragen von (angeblichen) „Bankangestellten“ geantwortet werden dürfe und welche Viren gerade im Umlauf seien.

Dies entspricht den gerichtsbekannten durchschnittlichen Sorgfaltsvorkehrungen eines PC Benutzers oder übertrifft diese möglicherweise noch.

Der Abteilungsrichter ist selbst Benutzer eines internetfähigen Personalcomputers sowie des Onlinebankings und hat im Familien- und Freundeskreis Einblick in die Absicherung zahlreicher Computersysteme. Darüber hinaus war er bei der Staatsanwaltschaft 18 Monate auf einer Abteilung für allgemeine Strafsachen unter anderem im Bereich der Onlinekriminalität tätig und wertete als Staatsanwalt für einen Berichtsentwurf an das Justizministerium zur Onlinekriminalität weitere Akten zu dem vorliegenden Fall vergleichbaren Fällen aus. Aus den vorgenannten Umständen kann das durchschnittliche Absicherungsniveau eines Personalcomputers beurteilt werden.

Soweit von Seiten der Beklagen betont wurde, dass der Kläger keine Firewall auf seinem Computer installiert gehabt habe und es dadurch zu dem Befall des Computers gekommen sei, rechtfertigt dies keine andere Entscheidung. Zum Einen hat das Gericht darauf hingewiesen, dass bei der auf dem Computer des Klägers installierten Windows XP-Version das Service Pack 2 installiert gewesen sei und dass dieses eine Firewall enthalte. Zum Anderen ist eine Firewall lediglich in den Empfehlungen, die auf der Homepage zur Verfügung gestellt werden, der Ehefrau des Klägers ausweislich ihrer Angaben im Termin jedoch nicht bekannt waren, erwähnt. Dort heißt es: „Unerlässlich ist deshalb, dass auf ihrem Computer ein Antivirenprogramm sowie eine Firewall installiert sind, die Sie regelmäßig aktualisieren.“ Eine konkrete Vertragspflicht, dass der Kunde sich gleichsam durch den Nachweis des Vorhandenseins einer Firewall gegenüber der Bank exkulpieren muss, kann hierdurch nicht begründet werden. Wenn die Beklagte derartige Anforderungen an ihre Kunden stellt, liegt es an ihr, im Rahmen der Entscheidung, welchen Kunden sie das Onlinebanking zur Verfügung stellt, das hierfür notwendige technische „know how“ vorauszusetzen oder zu vermitteln und eine ausdrückliche vertragliche Vereinbarung hierzu zu treffen.

Auch geht der Einwand, der Kläger habe pflichtwidrig ein kostenloses Antivirenprogramm benutzt, fehl. Zum Einen hat die Zeugin W. angegeben, dass es sich nicht um ein kostenloses Programm gehandelt habe. Zum anderen entspricht es nicht den Anforderungen an einen durchschnittlichen Computerbenutzer, ein kostenpflichtiges Antivirenprogramm zu benutzen.

Die Einholung eines Schachverständigengutachtens hierzu war entbehrlich.

Soweit der Beklagenvertreter ein Sachverständigengutachten zum Beweis der Tatsache beantragte, dass aus der Vielzahl der Schädlinge sich ergebe, dass von dem Kläger nichts zum Schutz des PC unternommen worden sei, war dieses Gutachten nicht einzuholen. Es ist - worauf hingewiesen wurde - gerichtsbekannt, dass ein Schutz vor Computerviren immer nur reaktiv auf bereits bekannte Viren erfolgen kann. Die Entdeckung eines Computervirus setzt zwingend die Infizierung eines Computers mit Viren voraus, um diese anschließend zu bekämpfen. Auch die Beklagte hat in ihren im Internet veröffentlichten Hinweisen angegeben, dass sich Trojaner in der Regel unbemerkt installieren und erst mit Hilfe eines Antivirenprogrammes sichtbar würden.

Soweit im Termin ein Sachverständigengutachten zum Beweis der Tatsache beantragt wurde, dass sich aus der Auswertung des Sachverständigen H. ergebe, dass der Computer des Klägers seit dem 25.01.2007 nicht mehr aktualisiert worden sei, war diesem Antrag nicht nachzukommen. Es handelt sich hierbei um einen Ausforschungsbeweis. Aus der Scanliste Anlage K 3, die auszugsweise in dem Gutachten bei dem jeweiligen Virus wiedergegeben ist, ergibt sich nämlich, dass es sich bei der zur Grundlage des Beweisantrages gemachten Anmerkung im Gutachten „Um die Erkennung zu verbessern wurde die Engine mit folgenden Versionen akualisiert“ um eine Anmerkung des Scanprogrammes handelt, die nichts über den Zustand des Computers des Klägers aussagt. Darüber hinaus ist dieser Vermerk bei mehreren beschriebenen Virentypen mit jeweils anderen Daten aufgeführt, die sich auch noch teilweise nach dem Vorfall liegen. Dies bestätigt auch der Gutacher H. in seinem Gutachten in dem ausdrücklich hervorgehoben wird, dass es sich um eine die Wiedergabe reiner Zitate der Vireninformationen der Firma Avira H + B handle.

Sorgfaltsanforderungen an die Reaktion nach der Überweisung

Im konkreten Fall ist auch ein - dem Kläger nach § 278 BGB zuzurechnendes - Fehlverhalten der Ehefrau im Zusammenhang mit der Durchführung der Überweisung des Klägers nicht nachgewiesen. Zwar spricht vieles dafür, wenngleich dies im konkreten Fall nicht zu entscheiden ist, dass ein Bankkunde, nachdem er von einem Angriff eines Dritten auf seine Daten Kenntnis erlangt, die Nebenpflicht hat, die Bank über den Angriff zu informieren. Auch ist dem Abteilungsrichter aus der Tätigkeit bei der Staatsanwaltschaft bekannt, dass es in zahlreichen derartigen Fällen gelingen kann, das Geld von der Empfängerbank zurückzubuchen.

Im konkreten Fall liegt eine Sorgfaltspflichtverletzung jedoch nicht vor. Die Zeugin W. hat in ihrer Vernehmung angegeben, dass nach der TAN der Bildschirm zwei mal für einen Moment schwarz geworden sei. Sie beschrieb diesen Zeitraum als eine zehntel Sekunde. Unabhängig davon, ob derartige Zeitschätzungen von einem Zeugen zutreffend vorgenommen werden, ist dennoch festzustellen, dass die Zeugin hiermit einen äußerst kurze Zeitspanne wiedergab. Danach war der Bildschirm nach Angaben der Zeugin wieder so wie er vorher war, lediglich die TAN war verschwunden. Sie habe gedacht, dass die TAN bei der letzten Überweisung verbraucht worden sei und daraufhin ihre Überweisungen mit anderen TANs erfolgreich durchgeführt. Aufgrund der Tatsache, dass das System anschließend weiterlief und nicht - was gerichtsbekannt häufig in derartigen Fällen passiert - abstürzte und sich die Zeugin eine nachvollziehbare Erklärung für den Vorgang geben konnte, kann von der Verletzung einer Nebenpflicht nicht ausgegangen werden. Auch die Beklagte ging in ihren Hinweisen - deren Kenntnisnahme von dem Kläger bestritten wurde - davon aus, dass nur das „Abbrechen“ des Onlinebankingsystems Grund zur Benachrichtigung der Bank gebe

Sorgfaltsanforderungen an die Auswahl eines sicheren TAN Systems durch den Kläger

Soweit die Beklagte vorbrachte, der Kläger hätte sich trotz Information über das sicherere aber auch kostenpflichtige m-TAN System und das HBCI Chipkartenverfahren für das im vorliegenden Fall verwendete einfache TAN System entschieden, kann hieraus keine Haftung des Klägers abgeleitet werden. Wenn die Beklagte möchte, dass ihre Kunden diese Systeme nutzten, mag sie das weniger sichere aber kostengünstige einfache TAN Verfahren aus ihrem Leistungsangebot nehmen und die sich hieran anschließende Konsequenz einer verminderten Attraktivität ihres Angebotes am Markt ziehen. Wenn sie es anbietet, kann in der Benutzung des Systems als solcher keine Pflichtverletzung des Kunden erblickt werden. Dies gilt um so mehr, als dass die Beklagte auf ihrer Homepage dieses Verfahren als sicher darstellte. Dort heißt es: „Durch die Verwendung von PIN und TAN ist sichergestellt, dass nur Sie mit ihrer Zugangskennung (VR-NetKey) (…) Bankgeschäfte mit der Online-Anwendung durchführen (…) können“. Die anderen Systeme wurden auf der Homepage lediglich „empfohlen“.

Diese unter I. und II. beschriebene Rechtsauffassung hält einer die wirtschaftlichen Folgen und durch Missbrauchsmöglichkeiten hervorgerufenen wirtschaftlichen Risiken in Betracht ziehenden Überprüfung stand, da es sich um eine unter Anwendung des zwischenzeitlich überholten „normalen“ TAN Systems vorgenommene Überweisung handelt.

Das Gericht verkennt nicht, dass die oben dargestellte Rechtsauffassung gewisse Missbrauchsrisiken mit sich bringen kann. Die nachfolgenden Ausführungen stellen eine abstrakte Überprüfung der oben herausgearbeiteten Rechtsauffassung dar. Es liegt dem Gericht fern, dem Kläger unlautere Motive zu unterstellen.

Es werden alleine in Deutschland ca. 6,7 Millionen Überweisungsvorgänge pro Jahr getätigt. Alleine diese Zahl bringt zum Ausdruck, dass die hierfür gesetzten rechtlichen Rahmenbedingungen sich als zur Abwicklung eines derartigen „Massengeschäfts“ tauglich erweisen müssen. Auch hat die Rechtsprechung vielfach auf die Bedürfnisse des Bankenverkehrs reagiert. So wurde etwa der Grundsatz der Formenstrenge des Überweisungsauftrages entwickelt. Es wäre in Zeiten der Globalisierung auf der anderen Seite ein leichtes, im Ausland ein Konto einzurichten, auf dieses Geld zu überweisen und anschließend zu behaupten, man habe die Überweisung nicht ausgeführt.

Das Gericht stuft dieses Risiko jedoch im konkreten Fall trotz des Massencharakters des Überweisungsverkehrs als gering ein. Zum einen liegt es seit jeher im Verantwortungsbereich der Bank, dass etwa ein Überweisungsträger gefälscht wird. Auch diese Haftungsverteilung hat den Überweisungsverkehr nicht nennenswert beeinträchtigt. Das Online Banking und das Phänomen des Phishing bringen lediglich die Gefahren eines weiteren Kriminalitätsfeldes mit sich. Vor allem aber wurden aufgrund des zunehmenden Missbrauchs des Onlinebanking neue Identifizierungsverfahren wie i-TAN, n-TAN oder das Chipkartenleseverfahren entwickelt. Gerade durch das i-TAN Verfahren wurden die Schadensursachen reduziert. Die vorliegend zu beurteilende Überweisung wurde noch unter Verwendung einer sog. „normalen“ TAN durchgeführt. Seit dem Jahr 2006 sind die fortentwickelten PIN/TAN Systeme bei zahlreichen Banken im Einsatz und werden als „Stand der Technik“ bezeichnet. Die oben herausgearbeitete Rechtsauffassung ist daher - mehr muss im konkreten Fall nicht entschieden werden - auf eine begrenzte Anzahl abgeschlossener Fälle anzuwenden. Dies reduziert das Risiko, durch eine zu „kundenfreundliche“ Rechtsprechung zugleich ein Missbrauchsanreiz für Kriminelle zu liefern. Darüber hinaus ist im Rahmen der Beweiswürdigung eines jeden Falles selbstverständlich die - oben ausführlich dargestellte - Genese der Behauptung, die Überweisung sei nicht von dem Kontoinhaber getätigt worden, zu beachten. Hierbei wird insbesondere die Frage von Bedeutung sein, wann nach Kenntnis vom Überweisungsvorgang die Behauptung aufgestellt wurde und ob diese Behauptung durch die Anzeigenerstattung bei der Polizei dokumentiert wurde und ob die Behauptung mit dem Ermittlungsergebnis in Einklang zu bringen ist.

Die Kosten für die Einholung des Gutachtens des H. und die Einschaltung eines Rechtsanwaltes sind erstattungsfähig.

Gutachterkosten:

Das Gutachten As. 43 wurde in Auftrag gegeben, da die Beklagte sich weigerte, den Betrag wieder gutzuschreiben. Die hierdurch verursachten Kosten sind durch die Rechnungen As. 77 und 79 und die hierin genannten „Aufträge“ nachgewiesen. Das mit den Daten des Scans und des Gutachtens untermauerte Vorbringen des Beklagtenvertreters, die Weigerung sei nicht die Ursache für die Beauftragung gewesen, ist unzutreffend. Der Gutacher wertete nämlich ein vom Kläger zuvor erstelltes Scanprotokoll aus. Angesichts der Komplexität der technischen und rechtlichen Zusammenhänge ist das Gutachten als zur zweckentsprechenden Rechtsverfolgung notwendiges Gutachten einzustufen.

Rechtsanwaltskosten:

Im Falle eines fehlenden Überweisungsauftrages muss die Belastungsbuchung umgehend storniert werden. Am 19.09.2007 hat der Mitarbeiter der Beklagten nach dem unstreitigen Sachvortrag mitgeteilt, dass man versuche, den Betrag von dem Empfängerkonto „zurückzuholen“. Hierin ist eine Selbstmahnung i. S. v. Palandt, § 286 Rn. 25 zu sehen. Da dies trotz der Kommunikation des Klägers mit der Bank am 19.09.2007 nicht erfolgt ist, geriet die Bank in Verzug. Daher ist die vorgerichtliche Tätigkeit des Vertreters des Klägers in Form des Schreibens vom 27.09.2008 als Verzugsschaden zu ersetzen. Hieraus ergibt sich der in Ziffer 2 zugesprochene Betrag in Höhe von 489,45 EURO. Da es sich hierbei um eine gesetzlich geregelte Vergütung handelt und das Schreiben vom 27.09.2008 nachgewiesen ist, konnte dieser Betrag trotz des Bestreitens der Beklagten festgestellt werden.

Verfahrensentscheidungen:

Die Klageabweisung im Übrigen beruht darauf, dass der Zinsanspruch erst ab dem 19.09.2007 und nicht - wie beantragt - ab dem 18.09.2007 besteht. Die Kostenentscheidung beruht auf §§ 91 Abs. 1, 92 Abs. 2 Nr. 1 ZPO. Der Ausspruch zur vorläufigen Vollstreckbarkeit beruht auf § 709 BGB. Die - im Urteil mögliche - Streitwertfestsetzung beruht auf §§ 3, 4 ZPO. Die Kosten der außergerichtlichen Beauftragung eines Rechtsanwaltes waren als „Kosten“ i. S. v. § 4 ZPO nicht hineinzurechnen.


Show what you know!
8 Gesetze

moreResultsText

{{count_recursive}} Gesetze werden in diesem Text zitiert

(1) Die unterliegende Partei hat die Kosten des Rechtsstreits zu tragen, insbesondere die dem Gegner erwachsenen Kosten zu erstatten, soweit sie zur zweckentsprechenden Rechtsverfolgung oder Rechtsverteidigung notwendig waren. Die Kostenerstattung um

(1) Verletzt der Schuldner eine Pflicht aus dem Schuldverhältnis, so kann der Gläubiger Ersatz des hierdurch entstehenden Schadens verlangen. Dies gilt nicht, wenn der Schuldner die Pflichtverletzung nicht zu vertreten hat. (2) Schadensersatz weg

Der Wert wird von dem Gericht nach freiem Ermessen festgesetzt; es kann eine beantragte Beweisaufnahme sowie von Amts wegen die Einnahme des Augenscheins und die Begutachtung durch Sachverständige anordnen.
7 Artikel zu passenden Rechtsgebieten

moreResultsText

25/08/2010 10:48

bei PIN-Verschlüsselungssystems der Geldausgabeautomaten - BSP Bierbach, Streifler & Partner PartGmbB
25/08/2010 10:51

unter Benutzung von TAN und PIN haftet Bankkunde - BSP Bierbach, Streifler & Partner PartGmbB
25/08/2010 10:44

Ausspähen der PIN setzt zeitlichen Zusammenhang mit Eingabe der PIN durch den Karteninhaber am Geldautomaten voraus - BSP Bierbach, Streifler & Partner PartGmbB
30/11/2011 11:34

Fortentwicklung der Grundsätze für Haftung des Karteninhabers bei missbräuchlichen Abhebungen von Bargeld an Geldautomaten mit Karte und PIN-BGH vom 29.11.11-Az:XI ZR 370/10
Artikel zu Geld- und Kreditkarten

Annotations

(1) Verletzt der Schuldner eine Pflicht aus dem Schuldverhältnis, so kann der Gläubiger Ersatz des hierdurch entstehenden Schadens verlangen. Dies gilt nicht, wenn der Schuldner die Pflichtverletzung nicht zu vertreten hat.

(2) Schadensersatz wegen Verzögerung der Leistung kann der Gläubiger nur unter der zusätzlichen Voraussetzung des § 286 verlangen.

(3) Schadensersatz statt der Leistung kann der Gläubiger nur unter den zusätzlichen Voraussetzungen des § 281, des § 282 oder des § 283 verlangen.

(1) Kraft des Schuldverhältnisses ist der Gläubiger berechtigt, von dem Schuldner eine Leistung zu fordern. Die Leistung kann auch in einem Unterlassen bestehen.

(2) Das Schuldverhältnis kann nach seinem Inhalt jeden Teil zur Rücksicht auf die Rechte, Rechtsgüter und Interessen des anderen Teils verpflichten.

Der Schuldner hat ein Verschulden seines gesetzlichen Vertreters und der Personen, deren er sich zur Erfüllung seiner Verbindlichkeit bedient, in gleichem Umfang zu vertreten wie eigenes Verschulden. Die Vorschrift des § 276 Abs. 3 findet keine Anwendung.

(1) Die unterliegende Partei hat die Kosten des Rechtsstreits zu tragen, insbesondere die dem Gegner erwachsenen Kosten zu erstatten, soweit sie zur zweckentsprechenden Rechtsverfolgung oder Rechtsverteidigung notwendig waren. Die Kostenerstattung umfasst auch die Entschädigung des Gegners für die durch notwendige Reisen oder durch die notwendige Wahrnehmung von Terminen entstandene Zeitversäumnis; die für die Entschädigung von Zeugen geltenden Vorschriften sind entsprechend anzuwenden.

(2) Die gesetzlichen Gebühren und Auslagen des Rechtsanwalts der obsiegenden Partei sind in allen Prozessen zu erstatten, Reisekosten eines Rechtsanwalts, der nicht in dem Bezirk des Prozessgerichts niedergelassen ist und am Ort des Prozessgerichts auch nicht wohnt, jedoch nur insoweit, als die Zuziehung zur zweckentsprechenden Rechtsverfolgung oder Rechtsverteidigung notwendig war. Die Kosten mehrerer Rechtsanwälte sind nur insoweit zu erstatten, als sie die Kosten eines Rechtsanwalts nicht übersteigen oder als in der Person des Rechtsanwalts ein Wechsel eintreten musste. In eigener Sache sind dem Rechtsanwalt die Gebühren und Auslagen zu erstatten, die er als Gebühren und Auslagen eines bevollmächtigten Rechtsanwalts erstattet verlangen könnte.

(3) Zu den Kosten des Rechtsstreits im Sinne der Absätze 1, 2 gehören auch die Gebühren, die durch ein Güteverfahren vor einer durch die Landesjustizverwaltung eingerichteten oder anerkannten Gütestelle entstanden sind; dies gilt nicht, wenn zwischen der Beendigung des Güteverfahrens und der Klageerhebung mehr als ein Jahr verstrichen ist.

(4) Zu den Kosten des Rechtsstreits im Sinne von Absatz 1 gehören auch Kosten, die die obsiegende Partei der unterlegenen Partei im Verlaufe des Rechtsstreits gezahlt hat.

(5) Wurde in einem Rechtsstreit über einen Anspruch nach Absatz 1 Satz 1 entschieden, so ist die Verjährung des Anspruchs gehemmt, bis die Entscheidung rechtskräftig geworden ist oder der Rechtsstreit auf andere Weise beendet wird.

(1) Die Führung der Geschäfte der Gesellschaft steht den Gesellschaftern gemeinschaftlich zu; für jedes Geschäft ist die Zustimmung aller Gesellschafter erforderlich.

(2) Hat nach dem Gesellschaftsvertrag die Mehrheit der Stimmen zu entscheiden, so ist die Mehrheit im Zweifel nach der Zahl der Gesellschafter zu berechnen.

Der Wert wird von dem Gericht nach freiem Ermessen festgesetzt; es kann eine beantragte Beweisaufnahme sowie von Amts wegen die Einnahme des Augenscheins und die Begutachtung durch Sachverständige anordnen.

(1) Für die Wertberechnung ist der Zeitpunkt der Einreichung der Klage, in der Rechtsmittelinstanz der Zeitpunkt der Einlegung des Rechtsmittels, bei der Verurteilung der Zeitpunkt des Schlusses der mündlichen Verhandlung, auf die das Urteil ergeht, entscheidend; Früchte, Nutzungen, Zinsen und Kosten bleiben unberücksichtigt, wenn sie als Nebenforderungen geltend gemacht werden.

(2) Bei Ansprüchen aus Wechseln im Sinne des Wechselgesetzes sind Zinsen, Kosten und Provision, die außer der Wechselsumme gefordert werden, als Nebenforderungen anzusehen.