Bankenhaftung bei Online-Banking bei einer Phishing-Attacke

LG Oldenburg, Az.: 8 O 1454/15, Urteil vom 15.01.2016

Die Beklagte wird verurteilt, die bei der Beklagten geführten Zahlungskonten mit den Nrn. … und … wieder auf den Stand zu bringen, auf dem sich die Zahlungskonten des Klägers ohne diese Belastung der nicht autorisierten Zahlungsvorgänge in Höhe von insgesamt … € zuzüglich Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit dem 27.03.2015 befunden hätte.

Die Kosten des Rechtsstreits trägt die Beklagte.

Das Urteil ist gegen Sicherheitsleistung in Höhe von 110 % des jeweils zu vollstreckenden Betrages vorläufig vollstreckbar.

Tatbestand

Der Kläger ist Kunde bei der Beklagten und führt dort ein Sparkonto mit der Nummer … und ein Girokonto mit der Nummer … Seit etwa 15 Jahren nutzt er das von der Beklagten angebotene Online Banking System. Der Kläger nutze dafür die Homepage der Beklagten, auf welche es sich über einen Internet-Browser wie Google Chrome oder andere einloggen konnte.

Um die für Kontobewegungen erforderliche TAN zu erhalten, nutzte er das von der Beklagten empfohlene Mobile-Banking. Er erhielt von der Beklagten jeweils eine SMS auf sein Handy mit einer Ziffer (TAN), welche er auf dem PC in der entsprechenden Maske eintippte, nachdem er dort seinen Benutzernamen und sein Passwort eingegeben hatte.

Der Kläger verlangt von der Beklagten die Zahlung von 11.244,62 € mit der Behauptung, dass er Überweisungen in dieser Höhe nicht veranlasst habe. Vielmehr sei er schuldlos Opfer einer Phishingattacke geworden. Nachdem der Kläger Anzeige erstattet und Kontakt zur Beklagten in der Sache aufgenommen hatte, ließ er seinen Computer „reinigen“ und stellte sein Handy zurück. Mit Schreiben vom 19.03.2015 forderte er die Beklagte zur Rückzahlung des genannten Betrags vergeblich auf.

Zum Hergang behauptet der Kläger, dass er im Februar 2015 Probleme beim Einloggen gehabt habe und deshalb mit dem Mitarbeiter der Beklagten, Herrn D., gesprochen habe. Dieser habe ihm empfohlen, mit Hilfe eines anderen Browsers auf die Homepage zuzugreifen und sodann das Online-Banking-Programm … zu benutzen. Dazu legte Herr D. – unstreitig – diese Software in den Internet Postkorb des Online-Banking-Zugangs. Der Kläger installierte diese. Während der Installation sei er unter anderem nach dem Betriebssystem seines Mobiltelefons (Android) und nach dem Handytyp (HTC One) gefragt worden. Auch auf seinem Mobiltelefon sei – möglicherweise über eine SMS, die er angeklickt habe – eine App installiert worden.

Am 26.02.2015 habe er einige online-Überweisungen getätigt. Als er das nächste Mal am 15.03.2015 weitere Überweisungen habe durchführen wollen, habe er festgestellt, dass es im Zeitraum vom 09.03.2015 bis zum 13.03.2015 zu insgesamt 44 Überweisungen sowohl von seinem Giro- als auch von seinem Sparkonto in Höhe von insgesamt 11.244,62 € gekommen sei, die er nicht autorisiert habe. Wegen der unstreitig erfolgten Abbuchungen wird auf Seite 4 und fünf der Klageschrift Bezug genommen.

Der Kläger sperrte sofort seinen Online-Zugang und begab sich noch am selben Tag, einem Sonntag, zur Polizei. Das eingeleitete Strafverfahren wurde gemäß § 170 Abs. 2 StPO eingestellt, weil ein Täter nicht ermittelt werden konnte.

Der Kläger beantragt, die Beklagte zu verurteilen, an ihn 11.244,62 € nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit dem 27.03.2015 zu zahlen, hilfsweise, die Beklagte zu verurteilen, die bei der Beklagten geführten Zahlungskonten mit den Nrn. … und … wieder auf den Stand zu bringen, auf dem sich die Zahlungskonten des Klägers ohne diese Belastung der nicht autorisierten Zahlungsvorgänge in Höhe von insgesamt 11.244,62 € zuzüglich Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit dem 27.03. 2015 befunden hätte.

Die Beklagte beantragt, die Klage abzuweisen.

Die Beklagte hält den Klagvortrag für unsubstantiiert und macht Schadensersatzansprüche geltend. Sie wirft dem Kläger grobe Fahrlässigkeit im Umgang mit dem Online-Banking vor und behauptet, dass der Kläger kein Antivirenprogramm auf seinem PC installiert habe.

Herr D. habe den Kläger darauf hingewiesen, dass das Programm … ausschließlich auf der Homepage der Beklagten zu erlangen sei. In den allgemeinen Sicherheitsregeln auf der Homepage werde darauf hingewiesen, dass die Linkverwendung aus E-Mails nicht in Anspruch genommen werden solle.

Der Kläger habe Herrn D. telefonisch nicht darüber informiert, dass auf dem Mobiltelefon eine App installiert sei, welche einen Freischaltcode enthalte. Allein die Installation einer App, ohne deren Herkunft zu kennen, stelle eine grob fahrlässige Sorgfaltspflichtverletzung dar. Die App auf dem Mobiltelefon des Klägers habe sich nicht selbstständig installiert, sondern der Kläger habe diese angeklickt.

Als der Kläger am Montag, dem 16.03.2015, bei der Beklagten den vermeintlichen Betrugsfall angezeigt habe, habe sie die Sicherheitseinstellungen des Smartphones des Klägers kontrolliert und festgestellt, dass die Funktion „Unbekannte Quellen erlauben“ aktiviert gewesen sei. Schon die Eingabe des Handytyps, die seitens der Beklagten niemals gefordert wird, hätte den Kläger misstrauisch machen müssen.

Auf Anfrage habe der Kläger nicht mitgeteilt, welche Virenscanner auf seinem Handy und seinem PC installiert sei, so dass sie davon ausgehe, dass der Kläger kein Virenprogramm installiert habe.

Die Beklagte bestreitet mit Nichtwissen, dass die fraglichen Überweisungen unautorisiert erfolgten, denn für die fraglichen Überweisungen seien dem Kläger im Wege des mobile-TAN-Verfahrens PINs übersandt worden. Aufgrund der Verwendung von Pin und Titan bei der bei den Überweisungen spreche der Beweis des ersten Anscheins dafür, dass der Kläger selbst bzw. ein von ihm beauftragter Dritter die Überweisungen getätigt habe.

Sie bestreitet, dass auf dem Computer des Klägers ein Trojaner vorhanden gewesen sei. Da der Kläger sowohl PC als auch Handy gereinigt bzw. zurückgestellt habe, sei ihm Beweisvereitelung vorzuwerfen.

Hilfsweise erklärt die Beklagte die Aufrechnung mit einem Schadensersatzanspruch in Höhe der Klagforderung gemäß § 675 v Abs. 2 BGB.

Das Gericht hat Beweis erhoben durch Vernehmung des Zeugen D. und durch Anhörung und Parteivernehmung des Klägers. Die Akte der Staatsanwaltschaft Oldenburg zum Aktenzeichen 820 UJs 31659/15 lag vor.

Entscheidungsgründe

Können wir Ihnen helfen?

Kurzfristige Terminvergabe – Effiziente Beratung Online.

JETZT NEU!  Schnelle & unkomplizierte Kontaktaufnahme über SMARTPHONE MESSENGER.

Mit Hoccer direkt loslegen!

Bankenhaftung bei Online-Banking bei einer Phishing-Attacke
Symbolfoto: REDPIXEL.PL/Bigstock

Die Klage ist begründet, dem Kläger steht gemäß § 675 u S. 2 BGB ein Anspruch auf Zurücksetzung seines Kontos durch Erstattung der unautorisierten Überweisungen in Höhe von 11.244,62 € gemäß dem hilfsweise gestellten Klagantrag zu.

Nach dieser Vorschrift ist die Beklagte verpflichtet, dem Zahler (Kläger) den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch einen nicht autorisierten Zahlungsvorgang befunden hätte. Die Beklagte als Zahlungsdienstleisterin hat hier keinen Anspruch auf Erstattung ihrer Aufwendungen, so dass ihre Hilfsaufrechnung nicht durchgreift.

a) Die Beklagte, die gemäß § 675 w BGB und den allgemeinen Beweisregeln für die Autorisierung eines Zahlungsvorgangs beweisbelastet ist, hat diesen Beweis nicht erbracht. Entgegen ihrer Auffassung sind auch die Grundsätze des Anscheinsbeweises hier nicht zu ihren Gunsten anzuwenden. Wie sich aus § 675 w BGB ergibt, genügt allein die Tatsache, dass PIN, TAN, Benutzername usw. Anwendung fanden und der Vorgang elektronisch aufgezeichnet wurde, nicht zur Begründung einer Beweisvermutung. Vielmehr sind die Umstände des Einzelfalls hier zu berücksichtigen (Palandt, BGB, 73. Aufl., § 675 w Rn. 4).

Nach dem Ergebnis der Beweisaufnahme ist der Kläger hier tatsächlich Opfer eines Phishing geworden, und zwar waren bei ihm zwei Systeme befallen, nämlich einerseits sein PC, andererseits auch sein Mobiltelefon.

Nach den Ermittlungen der Polizei (Beiakte der StA Oldenburg Bl. 26ff) ergab sich aus den Umsatzdaten, dass Zahlungen an Firmen geleistet wurden, welche sämtlich ihren Sitz im Ausland (Niederlande, USA, Österreich, Polen usw.) haben und bei denen es sich u. a. Zahlungsdienstleister für digitale Waren im Internet handelt. So erfolgten Überweisungen an eine Internetplattform für Onlinespiele oder an einen Anbieter für Bitcoin und andere digital verschlüsselte Währungen. Die Polizei kam zu dem Ergebnis, dass Täterhinweise nicht vorhanden seien. Die Staatsanwaltschaft hat keine weiteren Ermittlungen angestellt und das Verfahren gemäß § 170 Abs. 2 StPO eingestellt.

Nach Auffassung des Gerichts ist es zu dem Ausspähen der Daten wie folgt gekommen: Vermutlich hatte der Kläger zunächst ein Schadprogramm auf seinem Rechner. Dafür spricht, dass er sich auf die Homepage der Beklagten über den üblichen Browser nicht einloggen konnte. Dieses Schadprogramm war so intelligent, dass es erkannte, dass der Kläger … herunterladen wollte und hat dem Kläger in diesem Zusammenhang Fragen in Bezug auf sein Mobiltelefon gestellt. Dem Kläger musste dadurch nicht misstrauisch werden, denn ihm war bekannt, dass sein Handy im Zusammenhang mit dem mTAN-Verfahren genutzt werden sollte. Diese Fragen zum Handytyp waren für ihn unverdächtig; eine spezielle Warnung insoweit wurde seitens der Beklagten insoweit auch nicht ausgesprochen.

Nachdem der/die Täter durch die Angaben des Klägers zu seinem Handy in die Lage versetzt waren, das Mobiltelefon des Klägers zu „übernehmen“, waren sie in der Lage, beide Systeme zu steuern und unbemerkt Überweisungen zu tätigen. Die Sicherheit des mTAN-Verfahrens wird nämlich grundsätzlich dadurch hergestellt, dass zwei Systeme (PC und Mobiltelefon) benutzt werden; dies wurde umgangen. Anhaltspunkte oder gar Beweise für einen anderen, dem Kläger anzulastenden Verlauf hat die Beklagte nicht dargetan.

Indem der Kläger auf diese raffinierte und nach Auffassung des Gerichts hochprofessionelle Vorgehensweise „hereingefallen“ ist, ist ihm keine (grobe) Fahrlässigkeit anzulasten.

Soweit die Beklagte sich für ihre Behauptung auf eine Entscheidung des LG Köln vom 26.08.2014 beruft, so lag der Fall dort anders. Dort passte der Text der an den Bankkunden geschickten SMS nicht zu der von ihm vorgesehenen Überweisung. Der Kunde hatte den Text der TAN-SMS nicht zur Kenntnis genommen, was den Vorwurf der groben Fahrlässigkeit begründet. Der Fall hier liegt anders, dem Kläger sind keinerlei TAN-SMS zugeschickt worden. Die 44 getätigten Überweisungen erfolgten ohne sein weiteres Zutun.

b) Die Beklagte hat auch nicht bewiesen, dass der Kläger kein Virenprogramm nutzte. Im Gegenteil ist zu vermuten, dass auf einem PC, der über einen längeren Zeitraum funktioniert, ein Antivirenprogramm vorhanden ist. Ein fehlender oder nicht aktueller „firewall“ würde nach der allgemeinen Lebenserfahrung nach kürzester Zeit bemerkt werden.

Allein der Umstand, dass der Computer des Klägers offenbar dem Angriff eines Trojaners unterlag, ist noch kein Indiz dafür, dass ein Virenschutzprogramm fehlte oder nicht ausreichend war. Es liegt in der Natur der Sache, dass ein Schutz vor Computerviren regelmäßig nur in Reaktion auf bekannte Viren entwickelt werden kann. Deshalb kann auch ein regelmäßig aktualisiertes Schutzprogramm keine vollständige Gewähr dafür bieten, dass der Computer nicht von einem neu entwickelten Trojaner infiziert wird (dazu auch das LG Landshut, Urteil v. 14.07.2011, Az. 24 O1129/11).

Außerdem hat der Kläger überzeugend geschildert, dass er das Programm „Antivir“ auf seinem Rechner installiert hatte; dies sei bereits beim Kauf vorhanden gewesen und es aktualisiere sich regelmäßig. Einer weiteren Beweisaufnahme zu diesem Thema bedarf es somit nicht.

c) Soweit die Beklagte dem Kläger Beweisvereitelung vorwirft, greift dies nicht durch.

Zwar hat der Kläger unstreitig seinen PC „gereinigt“ und sein Dienst-Handy durch einen Fachmann bei seinem Arbeitgeber bereinigen lassen. Zuvor jedoch war er bei der Polizei gewesen und hatte auch die Beklagte persönlich aufgesucht. Die Beklagte hat ihm in Bezug auf sein Handy oder seinen PC keinerlei Anweisungen erteilt oder in darauf hingewiesen, wie eine Beweissicherung zu erfolgen habe. Im Übrigen ist es dem Kläger nicht zuzumuten, ggf. monatelang bis zur Durchführung einer Beweisaufnahme vor Gericht den vermutlichen Trojaner auf seinem PC oder die Schad-Software auf dem Handy zu belassen, denn auf die ordnungsgemäße Funktion dieser Geräte ist man angewiesen. Es ist dem Kläger auch nicht zuzumuten, sich neue Geräte zuzulegen.

d) Der Kläger hat auch nicht dadurch vorsätzlich oder grob fahrlässig im Sinne des § 675 v Abs. 2 BGB gehandelt, dass er auf seinem Mobiltelefon „unbekannte Quellen“ zugelassen hat. Wie sich im Termin zur mündlichen Verhandlung herausstellte, konnte keiner der Anwesenden erklären, was dies im Einzelnen bedeutet und wo/wie/wozu man diese Einstellung vornehmen kann. Auch kann eine allgemeine Kenntnis dahin, dass dies eine Sicherheitslücke darstellt, nicht vorausgesetzt werden. Die Beklagte hat den Kläger in ihren Hinweisen zum Online-Banking auch nicht speziell auf eine entsprechende Einstellung verwiesen.

e) die nach Schluss der mündlichen Verhandlung eingegangenen Schriftsätze der Parteien geben keinen Anlass für eine anderweitige Entscheidung.

Der geltend gemachte Anspruch auf die Verzinsung ist aus dem Gesichtspunkt des Verzugs ebenfalls begründet. Die Nebenentscheidungen beruhen auf den §§ 91, 709 ZPO.