bedeckt München 14°

Urteil des Bundesgerichtshofs zum Phishing:Kunde haftet für eigene Fehler beim Online-Banking

Ein Kunde muss selbst die Kosten tragen, wenn Betrüger im Online-Banking per Phishing Zugangsdaten zu seinem Konto erbeuten. Der Bundesgerichtshof hat einer Bank recht gegeben - weil sie ihre Kunden vor den Kriminellen gewarnt hatte.

Es ist die erste höchstrichterliche Entscheidung zu der Frage, welche Sorgfaltspflicht Banken und Kunden beim Online-Banking haben, um Missbrauch zu vermeiden: Bankkunden haften für ihre Schäden, wenn sie im Online-Banking auf Betrüger hereinfallen und ihre Geheimnummern weitergeben, obwohl die Bank sie gewarnt hat. Das hat der Bundesgerichtshofs (BGH) entschieden.

Geklagt hatte ein Rentner, der 5000 Euro von seiner Bank wiederhaben will. Dieser Betrag wurde von seinem Konto auf ein Girokonto einer griechischen Bank überwiesen. Nach seiner Darstellung hat er die Überweisung selbst nicht getätigt. Die Buchung geschah drei Monate nachdem er insgesamt zehn Transaktionsnummern (TAN) eingegeben hatte. Dazu hatte ihn eine vermutlich von Betrügern manipulierte Seite der Bank aufgefordert. Dieses sogenannte Phishing ist ein beliebter Trick bei Online-Abzockern.

Doch dafür ist die Bank laut Urteil nicht verantwortlich. Denn sie habe auf ihrer Internetseite ausdrücklich vor solchem Betrug gewarnt. Der Kläger selbst sei nicht sorgfältig genug gewesen, als er die TANs eingab. Er habe fahrlässig gehandelt.

TANs sind Ziffernfolgen, die ein Kunde von seiner Bank erhält. Er muss jeweils eine von ihnen eingeben, um eine Online-Überweisung freizugeben. Den Kunden dabei vor Betrug zu schützen, sei Aufgabe der Bank, argumentierte der Kläger.

Das Urteil ist eine Bestätigung der beiden vorherigen: Amtsgericht und Landgericht hatten die Forderung des Kunden abgewiesen. Sie waren der Argumentation der Bank gefolgt, der Kunde sei selbst schuld, dass er auf den Trick hereingefallen sei. Schon damals sei allgemein bekannt gewesen, dass die Aufforderung, mehrere TANs einzugeben, auf Phishing hindeute. Die Bank hatte auch auf der Login-Seite selbst vor Phishing gewarnt - ob der Kunde das gesehen hat, ist allerdings fraglich, weil er laut eigener Darstellung ja auf einer gefälschten Seite seine Daten eingegeben hat.

Das Urteil betrifft zunächst alle Opfer vergleichbarer Fälle bis zum 30. Oktober 2009. Danach trat eine Gesetzesänderung in Kraft, die eine Haftung des Verbrauchers nur bei grober Fahrlässigkeit vorsieht. Die Richter ließen nun offen, ob es sich in diesem Fall um grobe Fahrlässigkeit handelte. Denn da der Vorfall vor dem Stichtag lag, reiche "einfache Fahrlässigkeit" aus.

Wem das dubiose Konto gehörte, ist unklar. Die deutschen Behörden hatten Griechenland um Rechtshilfe ersucht, doch der Inhaber konnte nicht gefunden werden.

Die Bank wollte das Geld nicht zurücküberweisen. Schließlich habe der Kunde die korrekten TANs eingegeben. Das deute darauf hin, dass er das Geld entweder selbst überwiesen habe oder jemand anderem ermöglicht habe, sie auszuspähen. Da er sich in den Sonderbedingungen der Bank zum Online-Banking verpflichtet hat, Zugangsdaten und TANs vor fremden Augen zu schützen, sei er selbst für den Verlust verantwortlich.

Möglicherweise wurde der Rentner, der in Karlsruhe klagte, Opfer des sogenannten Pharmings, einer besonderen Form des Phishings. Dabei wird dem Opfer im Browser die korrekte Internet-Adresse der Bank vorgegaukelt, obwohl die dargestellte Webseite auf einem Computer des Betrügers liegt. Mittlerweile werden Rechner vor allem von sogenannten Man-in-the Browser-Programmen befallen. Unbemerkt vom Nutzer, manipulieren diese Teile echter Seiten, auf denen er surft. Ihm wird zum Beispiel in seinem Online-Banking eine Überweisung angezeigt, die er zurücküberweisen soll - obwohl sie in Wirklichkeit nie stattgefunden hat.

Die beklagte Sparda-Bank gehört zu den letzten Banken, die noch das iTan-Verfahren verwendet. Dabei fordert die Bank-Website den Kunden auf, eine bestimmte Zahlenfolge aus einer durchnummerierten Liste einzugeben, um zu überweisen. iTAN gilt als anfällig für Attacken von Betrügern. Ein Sprecher des Bundesverbandes der Deutschen Volks- und Raiffeisenbanken, zu dem die Sparda gehört, sagt jedoch: "Vor dem BGH stand die Sicherheit des iTAN-Verfahrens selbst nicht zur Debatte."

Viele Banken verwenden inzwischen mobile TAN-Verfahren, bei dem der Kunde für jede Überweisung extra eine TAN aufs Handy erhält, oder Chip-TAN. Dabei erzeugt ein spezieller Generator, den der Kunden zu Hause hat, eine TAN, die an eine bestimmte Überweisung gekoppelt ist. Dadurch sinkt die Chance, dass Betrüger die TAN missbrauchen können.

2010 zählte das Bundeskriminalamt 5300 Anzeigen wegen Phishings beim Online-Banking - 82 Prozent mehr als ein Jahr zuvor. Für 2011 liegen noch keine Daten vor.

Im vergangenen Jahr haben 44 Prozent der Bankkunden in Deutschland zumindest teilweise ihre Bankgeschäfte über das Internet abgewickelt. Das sind 27 Millionen Kontoinhaber, sagt der Bundesverband Deutscher Banken.

© Süddeutsche.de/dpa/AFP/jab/hgn/rus

Lesen Sie mehr zum Thema

Zur SZ-Startseite