Phishing-Attacke – Girokonto – Geldrückerstattung von der Bank

Phishing-Attacke – Girokonto – Geldrückerstattung von der Bank

 LG Berlin

Az.: 37 O 4/09

Urteil vom 11.08.2009


1. Die Beklagte wird verurteilt, an die Klägerin 13.050,- Euro nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit dem 25. November 2008 zu zahlen.

2. Die Beklagte wird verurteilt, an die Klägerin weitere 1.303,53 Euro nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit dem 25. November 2008 zu zahlen.

3. Im Übrigen wird die Klage abgewiesen.

4. Von den Kosten des Rechtsstreits haben die Klägerin 10 % und die Beklagte 90 % zu tragen.

5. Das Urteil ist vorläufig vollstreckbar, für die Klägerin jedoch nur gegen Sicherheitsleistung in Höhe des zu vollstreckenden Betrages zuzüglich 10 %. Die Klägerin darf die Vollstreckung durch Sicherheitsleistung in Höhe des zu vollstreckenden Betrages zuzüglich 10 % abwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in gleicher Höhe leistet.

Tatbestand

Die Klägerin verlangt von der verklagten Bank die Rückzahlung eines aufgrund einer Phishing-Attacke von ihrem Konto auf ein anderes Konto überwiesenen Geldbetrages.

Die Klägerin eröffnete am 21. Februar 2006 ein Konto bei der Beklagten, das ihr die Teilnahme am Online-Banking-Service eröffnete. Ausweislich Ziffer 6 des von ihr unterschriebenen Antragsformulars (Anlage B 11) wurden ihr aus diesem Anlass die Allgemeinen Geschäftsbedingungen der Beklagten sowie deren Sonderbedingungen für das PC-Banking ausgehändigt und von ihr als Vertragsgrundlage anerkannt. Kontoauszüge sollten der Klägerin vereinbarungsgemäß monatlich übersandt werden.

Am 29. September 2008 wurde die Klägerin Opfer einer so genannten Phishing-Attacke: Während des Authentifizierungsvorgangs, d. h. nachdem die Klägerin ihre PIN eingegeben hatte, um sich einzuloggen, öffnete sich auf der Internetseite der Beklagten ein weiteres Fenster, das äußerlich der Webseite der Beklagten glich und in dem sie darauf hingewiesen wurde, dass das Login nicht erfolgreich verlaufen sei und dass sie deshalb vier noch unverbrauchte TAN eingeben solle. Die Klägerin kam dieser Aufforderung nach und führte dann wie geplant zwei Überweisungsvorgänge durch. Am 30. September 2008 wurden daraufhin von ihrem Konto ein Betrag von 5.000,- Euro an eine der Klägerin unbekannte Frau … und ein Betrag von 9.500,- Euro an einen der Klägerin ebenso unbekannten Herrn … überwiesen. Die Klägerin bemerkte dies erst, als ihr am 8. Oktober 2008 der Kontoauszug für den Monat September übersandt wurde. Mit anwaltlichem Schreiben vom 9. Oktober 2008 teilte sie der Beklagten mit, dass die Überweisungsaufträge nicht von ihr stammten. Die Beklagte bemühte sich indes vergeblich, die überwiesenen Beträge zurück zu fordern, da das ins Ausland überwiesene Geld von den Empfängern bereits abverfügt worden war und die Empfängerbanken deshalb eine Rücküberweisung ohne Zustimmung der Empfänger ablehnten. Vor diesem Hintergrund lehnte die Beklagte es ungeachtet der ihr bis zum 25. November 2008 gesetzten Frist ab, dem Konto der Klägerin die Beträge wieder gut zu schreiben und für die außergerichtlichen Anwaltskosten der Klägerin aufzukommen.

Die Klägerin meint, dass ihr ein solcher Anspruch gegenüber der Beklagten zustehe, weil sie selbst keinen wirksamen Überweisungsauftrag erteilt habe und weil ihr auch keine schuldhafte Sorgfaltspflichtverletzung zur Last gelegt werden könne, auf die die Beklagte einen Schadenersatzanspruch ihr gegenüber stützen könne. Sie habe keinen Anlass gehabt, die perfekt nachgeahmte Aufforderung zur Eingabe weiterer TAN in Zweifel zu ziehen, weil dafür ein plausibler Grund genannt worden sei. Hingegen habe sich die Beklagte sorgfaltswidrig verhalten, weil es ihr hätte auffallen müssen, dass sie von dem Konto nie zuvor Überweisungen an Dritte getätigt habe. Überdies habe die Beklagte eine unverzügliche Stornierung vereitelt, indem sie den Kontoauszug für den Monat September nicht wie üblich und vereinbart am Monatsersten, sondern erst eine Woche später übersandt habe. Auch habe es die Beklagte verabsäumt, ihre Kunden in deutlicher Form auf die Gefahr entsprechender Computermanipulationen hinzuweisen und davor zu warnen. Entscheidend aber sei, dass die Beklagte missbräuchlichen Zugriffen Dritter auf ihr online-Konto dadurch Vorschub geleistet habe, dass sie nach wie vor das aus Sicht der Klägerin veraltete TAN-Verfahren und nicht das modernere i-Tan-Verfahren zur Legitimation von Transaktionen benutze.

Die Klägerin beantragt,

1. die Beklagte zu verurteilen, an sie einen Betrag von 14.500,- Euro nebst Zinsen in Höhe von acht Prozentpunkten über dem Basiszinssatz seit dem 25. November 2008 zu zahlen,

2. die Beklagte zu verurteilen, an sie die außergerichtlich angefallene Geschäftsgebühr gemäß §§ 13, 14 Nr. 2300 VV RVG in Höhe von 1.303,53 Euro nebst Zinsen in Höhe von acht Prozentpunkten über dem Basiszinssatz seit dem 25. November zu zahlen.

Die Beklagte beantragt,

die Klage abzuweisen.

Sie meint, dass die Überweisungsaufträge der Klägerin zuzurechnen seien, weil sie den Anschein erweckt habe, dass die Transaktionen legitimiert seien, indem sie Dritten die Möglichkeit eröffnet habe, ihre PIN und TAN einzusetzen. Hilfsweise macht sie geltend, dass ihr gegenüber der Klägerin im Falle der Rückzahlung der Beträge ein entsprechender Schadenersatzanspruch zustehe, weil die Klägerin die missbräuchliche Verfügung über ihr Konto grob fahrlässig ermöglicht habe. Ein Phishing –Angriff sei nur dann denkbar, wenn die Klägerin ihren Computer unzureichend vor Trojanern geschützt habe. Davon unabhängig sei der Umstand, dass die Klägerin der Aufforderung gefolgt sei, mehrere TAN einzugeben, als grober Sorgfaltspflichtverstoß zu werten. Die Beklagte behauptet, dass sie schon seit dem 13. Juni 2008 und damit mehrere Monate vor dem streitgegenständlichen Vorfall auf ihrer Webseite vor genau der Phishing-Seite gewarnt habe, auf die die Klägerin hereingefallen sei. Auch werde beim Online-Banking nie mehr als eine einzige TAN zur Bestätigung verlangt. Dies allein habe die Klägerin Verdacht schöpfen lassen müssen.

Entscheidungsgründe

Die Klage ist teilweise begründet.

1.

Der Klägerin steht gegenüber der Beklagten aus dem zwischen den Parteien geschlossenen Girovertrag im Sinne des § 676f BGB eine Anspruch darauf zu, an sie einen Betrag von 13.050,- Euro zu zahlen, weil die Beklagte ihr Konto ohne eine der Klägerin zurechenbare Weisung und damit zu Unrecht belastet hat. Hinsichtlich des darüber hinaus geltend gemachten Betrages von weiteren 1.450,- Euro ist die Klage unbegründet, weil der Beklagten insoweit gemäß § 280 BGB ein gemäß § 389 BGB aufrechenbarer Schadenersatzanspruch gegenüber der Klägerin zusteht.

a)

Die Beklagte ist verpflichtet, dem Konto der Klägerin einen Betrag von 13.050,- Euro wieder gutzuschreiben, weil die Klägerin ihr keinen Überweisungsauftrag erteilt hat.

Es steht außer Streit, dass die Klägerin die streitgegenständlichen Überweisungen nicht selbst veranlasst hat. Auf die Frage, ob in Fällen, in denen unter Verwendung der PIN und einer TAN eine Überweisung durchgeführt wird, ein Anscheinsbeweis dafür eingreift, das diese Überweisung vom Kontoinhaber oder einer von ihm beauftragten Person durchgeführt wurde, kommt es deshalb im vorliegenden Fall nicht an.

Der Klägerin sind die beiden Überweisungsaufträge auch nicht unter dem Gesichtspunkt der Anscheinsvollmacht  deshalb zurechenbar, weil sie durch Eingabe von PIN und TAN das berechtigte Vertrauen der Beklagten darauf geweckt hätte, dass die Überweisungen von ihr legitimiert seien. Nach den von der Rechtsprechung entwickelten Grundsätzen der Anscheinsvollmacht ist ein Verhalten dann wegen eines schuldhaft verursachten Rechtsscheins zuzurechnen, wenn der Vertretene das Handeln des Scheinvertreters nicht kennt, es aber bei pflichtgemäßer Sorgfalt hätte erkennen und verhindern können und der andere Teil annehmen durfte, der Vertretene dulde und billige das Handeln des Vertreters (Palandt/ Heinrichs, BGB, 68. Aufl., § 172, Rn. 11). Daran fehlt es, weil die Klägerin durch die Eingabe mehrerer TAN den missbräuchlichen Zugriff auf ihr Konto zwar ermöglicht hat, sie die dann von dritter Seite veranlasste Überweisung aber nicht etwa am Computerbildschirm verfolgen konnte. Sie konnte das Handeln ihres Scheinvertreters mithin nicht erkennen.

b)

Die Beklagte muss den dem Konto der Klägerin zur Last gelegten Betrag von insgesamt 14.500,- Euro aber nicht in vollem Umfang erstatten, weil ihr gegenüber der Klägerin ein aufrechenbarer Schadenersatzanspruch in Höhe von 1.450,- Euro zusteht.

Die Klägerin ist der Beklagten gemäß § 280 BGB zum Schadenersatz verpflichtet, weil sie in fahrlässiger Weise die ihr im Rahmen des online-Banking obliegenden Sorgfaltspflichten verletzt hat, als sie der Aufforderung folgte, die Eingabe der PIN mit vier TAN zu bestätigen.

Gemäß Ziffer 8 der Sonderbedingungen für die Teilnahme am PC-Banking, die Parteien bei Kontoeröffnung zur Vertragsgrundlage gemacht haben, ist die Klägerin zur Geheimhaltung von PIN und TAN verpflichtet. Die Klägerin hat diese Daten zwar nicht willentlich Dritten offenbart. Ihr kann auch nicht zur Last gelegt werden, die unbefugte Verwendung ihrer Geheimdaten durch Dritte dadurch ermöglicht zu haben, dass sie ihren Computer nicht durch ein entsprechendes Programm hinreichend vor Phishing-Angriffen geschützt habe. Sie hat sich aber deshalb sorgfaltswidrig verhalten, weil sie nicht angemessen auf die im online-Bankverkehr mit der Beklagten ungewöhnliche Aufforderung zur Eingabe mehrerer TAN reagiert hat.

(1.)

Die Beklagte, der die Darlegungs- und Beweislast für die ihren Schadenersatz begründenden Umstände obliegt, hat keine konkreten Anhaltspunkte dafür genannt oder gar unter Beweis gestellt, dass der Computer der Klägerin nicht durch ein aktuelles handelsübliches Virenschutzprogramm und eine Firewall gesichert gewesen sei. Dafür bietet der bloße Umstand, dass der Computer der Klägerin offenbar dem Angriff eines Trojaners unterlag, kein stichhaltiges Indiz. Es liegt in der Natur der Sache, dass ein Schutz vor Computerviren regelmäßig nur in Reaktion auf bekannte Viren entwickelt werden kann. Deshalb kann auch ein regelmäßig aktualisiertes Schutzprogramm keine Gewähr dafür bieten, dass der Computer nicht von einem neu entwickelten Trojaner infiziert wird (so auch AG Wiesloch, Urteil vom 20. Juni 2008 – 4 C 57/08). Die Beklagte unterstellt der Klägerin den unzureichenden Schutz ihres Computers ins Blaue hinein. Auf das Angebot der Klägerin, den Computer zu untersuchen ist sie nämlich nicht eingegangen. Ihr Einwand, im Nachhinein habe sie sowieso nicht mehr feststellen können, ob der Computer zum Tatzeitpunkt geschützt gewesen sei, ist deshalb unerheblich, weil die Beklagte damit lediglich selbst einräumt, dass der ihr obliegende Beweis nicht zu führen sei.

(2.)

Das Verhalten der Klägerin ist aber deshalb als fahrlässig zu werten, weil die Aufforderung, die PIN durch die Eingabe von vier TAN zu bestätigen, im Online-Banking völlig unüblich ist und der Klägerin Anlass hätte geben müssen, Verdacht zu schöpfen und den Überweisungsvorgang abzubrechen.

Ein Verstoß gegen die ausdrücklich vereinbarte Geheimhaltungspflicht bzgl. PIN und TAN liegt in dem Verhalten der Klägerin unabhängig von der Frage, ob die Beklagte diese Geheimhaltungspflicht durch die bloße Veröffentlichung von Warnhinweisen auf ihre Webseite einseitig dahin gehend konkretisieren konnte, dass ihre Kunden nur nach dem Erteilen von Aufträgen (nicht aber schon zur Bestätigung der PIN) die TAN eingeben dürften. Auch ohne eine solche Mitteilung der Beklagten war die Klägerin verpflichtet, darauf zu achten, ob sich Anhaltspunkte dafür böten, dass Dritte sich Zugriff auf ihre Geheimdaten verschaffen wollten (so auch Borges, Rechtsfragen des Phishing – Ein Überblick, NJW 2005, 3313, 3314, der eine angemessene Reaktion auf Verdachtsmomente verlangt). Dass ihr die Aufforderung zur Eingabe mehrerer TAN ungewöhnlich erschienen sei, hat die Klägerin selbst eingeräumt. Angesichts der Tatsache, dass allein der ordnungsgemäße Einsatz von PIN und TAN beim Online-Banking Schutz vor unberechtigten Zugriffen Dritter bieten kann, hätte die Klägerin diesem ungewöhnlichen Umstand besondere Aufmerksamkeit widmen müssen und der Aufforderung nicht ohne weiteres Folge leisten dürfen.

(3.)

Der Höhe nach beschränkt sich der Schadenersatzanspruch der Beklagten allerdings auf einen Betrag von 1.450,- Euro.

Bei der Bemessung des Schadenersatzanspruchs ist gemäß § 254 BGB auch ein Mitverschulden der Beklagten in Rechnung zu stellen. Es ist zu berücksichtigen, inwieweit der Schaden vorwiegend von der Klägerin oder von der Beklagten verursacht worden ist.

Das Gericht wertet das Verhalten der Klägerin nur als leicht fahrlässig. Dies gilt selbst unter der Prämisse, dass die Beklagte – wie sie behauptet – ihre Kunden schon Monate vor dem streitgegenständlichen Vorfall auf ihrer Anmeldungsseite zum Online-Banking vor gefälschten Internetseiten warnte. Der diesbezügliche Bildschirmausdruck der Beklagte (Anlage B 3) füllt eine ganze DIN A 4-Seite. Wie sich aus dem von der Beklagten als Anlage B 4 zu den Akten gereichten Bildschirmausdruck ersehen lässt, musste diese Seite – jedenfalls zeitweilig – auch erst geöffnet werden, indem der Hinweis auf „Wichtige Mitteilungen“ und die darunter befindliche „Warnung vor gefälschten Internetseiten“ angeklickt wurde. Es liegt auf der Hand, dass Bankkunden derartige Hinweise nicht unbedingt lesen, weil es Zeit kostet, die umfangreichen Warnhinweise zu verstehen und es schwer fällt, sich die jeweils geschilderten Merkmale gefälschter Internetseiten zu merken. Dies gilt umso mehr, als die Beklagte selbst erklärt hat, ihre Warnhinweise laufend zu aktualisieren, so dass sie ihre Kunden dazu nötigt, laufend neue Warnhinweise zu studieren, wiewohl das Online-Banking regelmäßig gewählt wird, um Zeit zu sparen. Wollte die Beklagte es ihren Kunden zur unablässigen Pflicht machen, diese Warnhinweise zur Kenntnis zu nehmen und zu beachten, so müsste sie dies vertraglich vereinbaren. Ebenso bestünde die Möglichkeit, auch die Verwendung der TAN verbindlich festzulegen und so dem Kunden jede Ungewissheit darüber zu nehmen, ob nach dem jeweils aktuellen Online-Banking-Programm nun nur eine einzige TAN zur Bestätigung eingegeben werden dürfe oder in Einzelfällen auch mehrere von Nöten seien und ob die TAN allein dazu bestimmt sei, einen Auftrag zu bestätigen oder auch zur Bestätigung der richtigen PIN dienen könne. Die Beklagte hat dies in den Vertragsbedingungen nicht geregelt. Sie hat deshalb die irrtümliche Annahme der Klägerin mit heraufbeschworen, das Verfahren zur Freigabe einer versehentlich falsch eingegebenen PIN sei von der Bank dergestalt verändert worden, dass mehrere TAN einzugeben seien.

Bei der Gewichtung der wechselseitigen Beiträge der Parteien zur Schadensentstehung bemisst das Gericht das Verschulden der Klägerin mit 10 %. Als Orientierungspunkt dient dabei die beim Einsatz einer EC-Karte übliche Regelung.

Die AGB-Banken für den EC-Service regeln unter Ziffer II. 6. 3 eine dem Online-Banking vergleichbare Geheimhaltungspflicht des Kunden hinsichtlich seiner PIN. Gemäß Ziffer III. 1. 4 bestimmt sich auch dort nach den Grundsätzen des Mitverschuldens, in welchem Umfang Bank und Kontoinhaber im Fall der missbräuchlichen Verwendung der EC-Karte den Schaden zu tragen haben. In Fällen leichter Fahrlässigkeit stellt die Bank ihren Kunden von der Haftung jedenfalls in Höhe von 90 % frei, während der Kunde bei grob fahrlässigem Verhalten den Schaden allein zu tragen hat. Diese Haftungsverteilung erscheint auch ohne vertragliche Vereinbarung auch bei missbräuchlichen Eingriffen in den Online-Banking-Verkehr angemessen. Auch beim Online-Banking ist es in erster Linie die Bank, die für einen technisch einwandfreien Ablauf des Zahlungsverkehrs Sorge tragen kann und muss. Sie ist es, die das Programm zur Verfügung stellt  und für klare Bedienungsanweisungen Sorge tragen kann, damit außenstehende Dritte, die sich im Rahmen von Phishing-Attacken Zugriff auf das Computerprogramm der Bankkunden verschaffen, dem Kunden keine neue Bedienungsanweisung vortäuschen können. Jedenfalls in Fällen, in denen sich dem Kunden wie der Klägerin, die erklärtermaßen glaubte, die Beklagte habe ihr Verfahren zur Verifizierung einer zunächst falsch eingegebenen PIN neu gestaltet, eine vordergründig plausible Erklärung dafür bietet, wieso der ungewohnten Aufforderung des Programms Folge geleistet werden sollte, ist das Verschulden des Kunden nicht als schwerwiegender zu gewichten.

Eine völlige Freistellung der Klägerin von ihrer Schadenersatzpflicht ist auch unter dem Gesichtspunkt der nach ihrem Dafürhalten verspätet übersandten Kontoauszüge und mit Rücksicht auf das von der Beklagten verwandte TAN-Verfahrens nicht gerechtfertigt. Abgesehen davon, dass die Kontoauszüge vereinbarungsgemäß nur monatlich und nicht zu einem bestimmten Tag übersandt werden mussten, hatte diese Verpflichtung der Beklagten nicht den Sinn, die Klägerin frühzeitig über missbräuchliche Zugriffe auf ihr Konto zu informieren. Dass die Beklagte anstelle des TAN-Verfahrens nicht das so genannte i-TAN-Verfahren zur Anwendung brachte, ist nicht als schuldhafte Pflichtverletzung zu werten, weil das i-TAN-Verfahren unwidersprochen andere Missbrauchsmöglichkeiten eröffnet hätte.

c)

Der Zinsanspruch der Klägerin in Höhe von 5 % ergibt sich mit Ablauf der der Beklagten gesetzten Zahlungsfrist aus §§ 286 Abs. 1, 288 Abs. 1 BGB. Ein darüber hinaus gehender Zinsanspruch in Höhe von 8 % steht der Klägerin gemäß § 288 Abs. 2 BGB nicht zu, weil sie Verbraucher ist.

2.

Weil die Beklagte mit der Zahlung des zuerkannten Betrages in Verzug geraten ist, ist sie auch verpflichtet, die vorgerichtlichen Kosten der Klägerin zu erstatten. Der Höhe nach ist dieser Anspruch ungeachtet der Tatsache gerechtfertigt, dass die Klägerin in der Hauptsache eine etwas überhöhte Forderung erhoben hat, weil dies nicht dazu geführt hat, dass die Anwaltskosten höher ausgefallen sind als wenn der nun zuerkannte Betrag geltend gemacht worden wäre. Der diesbezügliche Zinsanspruch ergibt sich gleichfalls aus §§ 286 Abs. 1, 288 Abs. 1 BGB.

3.

Die Kostenentscheidung ergeht gemäß § 92 Abs. 1 ZPO, die Entscheidung über die vorläufige Vollstreckbarkeit folgt aus §§ 708 Nr. 11, 709 S. 1 und 2, 711 ZPO.