BGH-Urteil

Bei Online-Betrug zahlt die Bank dem Kunden nichts

| Lesedauer: 5 Minuten
Lina Panitz und Karsten Seibel

Wenn Kriminelle Geld abschöpfen, haftet der Kontoinhaber. Etwa durch "Phishing". Das hat der Bundesgerichtshof entschieden.

Bankkunden müssen den Schaden tragen, wenn sie leichtfertig mit ihren Transaktionsnummern für das Onlinebanking umgehen und Betrüger deshalb ihr Konto plündern können. Dies stellte der Bundesgerichtshof (BGH) in einem Urteil klar. Damit scheiterte ein Bankkunde, von dessen Konto Unbekannte 5000 Euro nach Griechenland überwiesen hatten, mit seiner Klage. Er hatte im Herbst 2008 zehn seiner Transaktionsnummern (Tan) auf einer gefälschten Internetseite preisgegeben und wurde damit zum Opfer einer sogenannten Pharming-Attacke (Az.: XI ZR 96/11). Dem Vernehmen nach war der Kläger Kunde einer Sparda-Bank.

Der Kunde hatte nach eigenen Angaben beim Onlinebanking den Hinweis bekommen, dass er zunächst zehn Transaktionsnummern eingeben müsse. Die Nummern habe er in dafür vorgesehene Felder eingetragen und anschließend wieder Zugriff auf das Onlinebanking erhalten. Mit den Daten erleichterten unbekannte Täter das Konto des Mannes um 5000 Euro.

Der für Bank- und Börsenrecht zuständige XI. Zivilsenat des BGH machte deutlich, dass die Bank dafür nicht verantwortlich gemacht werden kann. Der Kunde habe „die im Verkehr erforderliche Sorgfalt außer Acht gelassen“. Zumal das Institut auf seiner Internetseite ausdrücklich vor solchen Betrügereien gewarnt habe. „Wir fordern Sie niemals auf, mehrere Tan gleichzeitig preiszugeben!“, habe an prominenter Stelle gestanden.

Das Urteil betrifft zunächst alle Opfer vergleichbarer Fälle bis zum 30. Oktober 2009. Danach trat eine Gesetzesänderung in Kraft, die eine Haftung des Verbrauchers nur bei grober Fahrlässigkeit vorsieht. Die Richter ließen in der Pressemitteilung offen, ob es sich in diesem Fall um grobe Fahrlässigkeit handelte. Bei der Frage nach einer Mitschuld der Bank schlossen sich die obersten Richter den Ausführungen der Vorinstanzen an. Mit dem Einsatz „des im Jahr 2008 dem Stand der Technik entsprechenden iTan-Vefahrens“ sei die Bank ihrer Pflicht nachgekommen, ein „möglichst wenig missbrauchsanfälliges System des Onlinebanking“ bereit zu stellen. Sie habe keine Aufklärungs- oder Warnpflichten verletzt.

Kreditinstitute sind zufrieden

Auf Bankenseite zeigte man sich mit dem Urteil denn auch zufrieden. „Die deutsche Kreditwirtschaft entwickelt zum Nutzen der Kunden die Onlinebanking-Verfahren kontinuierlich weiter, um die Sicherheit des Onlinebanking im Interesse von Kunde und Bank zu gewährleisten“, hieß es beim Bundesverband der Deutschen Volksbanken und Raiffeisenbanken (BVR), zu dessen Mitgliedern auch die Sparda-Banken gehören. So hätten gerade die Genossenschaftsbanken bis Ende 2011 die iTan-Listen abgeschafft und durch chipTan oder mobileTan ersetzt. Bei diesen Verfahren hat der Kunde keine Liste mit Transaktionsnummern mehr vorrätig, sondern erhält die zur Freischaltung einer Transaktion notwendige Ziffernfolge erst, wenn tatsächlich ein konkreter Betrag überwiesen werden soll.

Grobe Fahrlässigkeit

Auch Verbraucherschützer sehen die Schuld in diesem Fall nicht bei den Banken. „Man muss sogar davon ausgehen, dass es sich um grobe Fahrlässigkeit handelt und der Kunde auch nach der neuen Gesetzeslage auf seinem Schaden sitzen geblieben wäre“, sagt Markus Feck, Bank-Jurist der Verbraucherzentrale Nordrhein-Westfalen. Allerdings legt er Wert auf die Feststellung, dass sich aus dem Urteil in keiner Weise ablesen lasse, dass Kunden künftig eher haften müssten als bislang.

Zu den immer noch am häufigsten genannten Warnungen gehört, dass Kunden bei Bankgeschäften via Internet stets aktuelle Virenschutzprogramme einsetzen, nie mehr als eine Tan eingeben und vor allem gesundes Misstrauen walten lassen. Wobei es nicht so einfach ist, Betrüger zu erkennen. Heute müssen Nutzer keine Datei mehr anklicken, um sich einen sogenannten Trojaner einzufangen. Dabei handelt es sich um ein Schadprogramm, das sich in den Computer einnistet und gezielt auf gefälschte Internetseiten führt, obwohl die Adresse korrekt eingegeben wurde. Sicherheitsexperten verweisen darauf, dass bereits das Lesen einer Internetseite reichen kann, um sich einen solchen Trojaner einzufangen. Sicherheitshinweise wie das Schlossbild im Browserfenster sollte die gesicherte Verbindung anzeigen. Von der Echtheit der Internetseite kann man sich anhand des Zertifikats mit Klick auf das Schloss-Symbol überzeugen.

Absolute Sicherheit gibt es beim Onlinebanking nicht. „Beim Verdacht auf Phishing sollten Verbraucher sofort die Bank informieren“, empfiehlt deshalb der Internetverband Bitkom. Nicht immer sei das Geld weg. Wenn eine Überweisung nicht lange zurückliegt, kann sie manchmal rückgängig gemacht werden. Entsteht doch ein Schaden, müsse unbedingt Anzeige erstatten. „Das ist eine Voraussetzung, um das Geld zurückzubekommen“, so die Experten. Wenn der Kunde nachweist, dass er nur fahrlässig gehandelt hat, ist seine Haftung auf 150 Euro beschränkt.

Auch der Bundesgerichtshof hält in seinem Urteil indirekt eine Empfehlung für alle Bankkunden bereit. „Einen die einzelne Transaktion unabhängig vom Kontostand beschränkenden Verfügungsrahmen hatten die Parteien nicht vereinbart“, heißt es in der Pressemitteilung. Hätten Bank und Kunde vereinbart, dass eine Überweisung nicht mehr als 1000 Euro oder 2000 Euro übersteigen darf, wäre der Schaden im konkreten Fall nicht ganz so hoch gewesen.