eRecht24 - Portal zum Internetrecht von Rechtsanwalt Sören Siebert

Phishing-Attacke: Bank haftet auch bei Eingabe von 100 TAN-Nummern

Phishing ist der Versuch, an Bankdaten von Online-Banking-Nutzern zu gelangen, indem ganze Bankwebseiten nachgeahmt werden und das Opfer geködert wird, seine Daten einzugeben. Das LG Landshut hat nun entschieden, ob die Bank in einem solchen Fall haftet, wenn der Nutzer 100 TAN-Nummer eingibt.

Was war geschehen?

Ein Bankkunde wurde durch einen ausgeklügelten Trojaner bei Aufruf der Webseite seiner Bank auf eine Webseite geleitet, welche dem Online-Banking-Auftritt seiner Bank zum Verwechseln ähnlich sah. Auf dieser Webseite wurde er aus Sicherheitsgründen aufgefordert, 100 seiner Transaktionsnummern einzugeben. In der Folge wurden dann insgesamt 6.000 Euro von seinem Bankkonto abgebucht.

Als er auf die Abbuchung kurze Zeit später aufmerksam wurde, erstattete er Strafanzeige gegen Unbekannt und forderte Schadensersatz von der Bank. Die Bank hingegen weigerte sich, den Schaden zu ersetzen, da der Kunde ihrer Ansicht nach grob fahrlässig gem. § 675v Abs. 2 BGB gehandelt hat, indem er unbefugten Dritten seine Legitimationsdaten in einer auffälligen Anzahl preisgegeben hat. Darüber hinaus nutzt der Kunde das veraltete iTan-Verfahren, obwohl die Bank seit geraumer Zeit die wesentlich sicheren „mobile TAN-Verfahren“ einsetzte.

Entscheidung des Gerichts

Das Landgericht Landshut entschied Mitte Juli (Urteil vom 14.07.2011 – Az.: 24 O 1129/11), dass die Bank für eine Phishing Attacke haftet und den Schaden ersetzen muss und folgt damit der Ansicht des Klägers. Ihm steht der geltend gemachte Schadensersatzanspruch gegen seine Bank zu.

Der Inhaber des Bankkontos handelte im konkreten Einzelfall nach Ansicht der Landshuter Richter gerade nicht grob fahrlässig, wenn er 100 Transaktionsnummern (TAN) auf der gefälschten Bankseite eingibt. Die Richter begründeten ihre Entscheidung damit, dass der klagende Bankkunde seine Bankdaten nicht willentlich den „Phishern“ offenbart hat, sondern davon ausging, seine Bank fordert die Daten von ihm.

Darüber hinaus lässt sich eine Trojaner-Infektion auch durch hohe Sicherheitsmaßnahmen nicht völlig ausschließen. Das Gericht schenkte dem Kläger Glauben, dass er den Phishing Angriff als Computer-Laie nicht erkennen konnte. Schließlich sah das Gericht auch keine Pflicht des Kunden, auf ein sicheres TAN-Verfahren umzusteigen, da die Bank das iTan-Verfahren weiterhin angeboten hatte und vielmehr ihre Kunden vor entsprechenden Manipulationsversuchen hätte warnen müssen.

Fazit

Die Landshuter Richter sehen die Verantwortlichkeit nicht beim Bankkunden selbst, sondern bei der Bank, selbst wenn sich der Bankkunde wie im vorliegenden Fall nicht gerade umsichtig verhält. Allerdings ist zu beachten, dass dies nur eine einzelne Entscheidung ist und es im Fall von Phishing noch keine gesicherte, höchstrichterliche Rechtsprechung gibt. Eine anwaltliche Beratung am konkreten Einzelfall ist in jedem Fall ratsam.