… wird geladen

zurück zur News-Übersicht

24.April 2012

BGH entscheidet zu Pharming-Fällen beim Online-Banking

Der Bundesgerichtshof hat heute zugunsten der Banken entschieden, dass sich ein Bankkunde im Falle eines sog. Pharming Angriffs schadensersatzpflichtig macht.  Ein Bankkunde, der bereits seit 2001 mit dem PIN/TAN-Verfahren seine Bankgeschäfte online führte, hatte im Januar 2009 beim Öffnen seines Online-Accounts eine Aufforderung erhalten, insegsamt zehn unterschiedliche TAN-Nummern einzugeben, um Zugriff auf sein Konto zu erhalten. Dem kam er nach, erhielt daraufhin ungehinderten Zugang zu seinem Account und tätigte wie gewohnt eine Überweisung. Im Vorhinein hatte die Bank über allgemeine Hinweise zu Schadprogrammen und Phishing-Mails ihre Kunden darauf hingewiesen, dass sie selbst ihre Kunden niemals auffordern würde, mehrere TAN-Nummern gleichzeitig preiszugeben.  Wie sich später herausstellte, war der Kläger Opfer eines sog. Pharming-Angriffs geworden. Die Aufforderungsmaske zur Eingabe der TAN-Nummern stammte tatsächlich nicht von der beklagten Bank, sondern von einem Dritten, der so Zugriff auf das klägerische Konto erhielt und eine Überweisung in Höhe von 5.000,00 € auf ein griechisches Bankkonto veranlasste. Der BGH entschied, dass dem Kläger kein Anspruch auf Zahlung der 5.000,00 € zusteht, weil die Bank Schadensersatz in gleicher Höhe gegenüber dem klägerischen Bankkunden beanspruchen könne. Der Kläger habe fahrlässig gehandelt, indem er die TAN-Nummern ohne Bezug zu einer konkreten Überweisung eingegeben habe.  Die Bank treffe auch kein Mitverschulden, da sie keine Aufklärungs- oder Sorgfaltspflicht verletzt habe. Sie sei lediglich verpflichtet gewesen, einen Account zur Verfügung zu stellen, der dem Stand der Technik zur Zeit des Angriffs  entsprechend "möglichst wenig mißbrauchsanfällig" sei. Außerdem könne ihr auch die Kontoüberziehung nicht vorgeworfen werden, weil sie grundsätzlich keine Schutzpflicht habe, Überziehungen auf den Konten ihrer Kunden zu vermeiden. Fazit: Der BGH stärkt die Rechte der Banken bei Pharming Angriffen und bürdet dem Kontoinhaber eine größere Verantwortung auf. Meines Erachtens ist die Entscheidung richtig, da der Bankkunde im Gegensatz zur Bank selbst - zumindest bei entsprechenden Vorab-Hinweisen der Bank - in der Lage ist, Pharming-Angriffe zu erkennen und entsprechend zu reagieren.