Haftung des Zahlungsdienstleisters für nicht autorisierte Zahlungsvorgänge durch Pishing
LG Landshut, 14.07.2011 – 24 O 1129/11
Worum geht es in diesem Fall?
Dieser Rechtsstreit handelt von einem Bankkunden, der Opfer eines Betruges beim Online-Banking geworden ist. Der Kunde verlor dabei Geld, weil Kriminelle seine Zugangsdaten gestohlen haben. Der Kunde wollte, dass seine Bank ihm dieses gestohlene Geld zurückzahlt. Die Bank weigerte sich jedoch zunächst. Das Gericht musste entscheiden, ob der Kunde das Geld erstattet bekommt oder ob er selbst schuld an dem Verlust ist.
Die Beteiligten
Auf der einen Seite steht der Kläger. Das ist ein Mann, der als Schlosser arbeitet. Er stammt ursprünglich aus Osteuropa und Deutsch ist nicht seine Muttersprache. Er kennt sich mit Computern und dem Internet nur wenig aus.
Auf der anderen Seite steht die Beklagte. Das ist die Bank, bei der der Mann sein Girokonto hat. Diese Bank bietet Online-Banking an. Dabei nutzte man damals ein Verfahren mit sogenannten TAN-Listen (Papierlisten mit Transaktionsnummern).
Was ist genau passiert?
Der Kunde wollte am 20. Februar 2011 sein Online-Banking nutzen. Er ging an seinen Computer und rief die Webseite der Bank auf. Doch dabei passierte etwas Ungewöhnliches. Während er sich anmeldete, öffnete sich ein neues Fenster auf seinem Bildschirm.
Dieses Fenster sah fast genau so aus wie die echte Seite der Bank. Es wirkte täuschend echt. In diesem Fenster stand ein Text. Darin wurde behauptet, dass es neue Sicherheitsmaßnahmen gebe. Deshalb seien alle alten TAN-Listen ungültig. Der Kunde wurde aufgefordert, alle seine noch übrigen 100 TAN-Nummern in eine Liste auf dem Bildschirm einzutippen.
Der Kunde glaubte dieser Meldung. Er dachte, die Nachricht stamme wirklich von seiner Bank. Die Erklärung mit der Sicherheit klang für ihn logisch. Also gab er alle 100 Nummern ein.
In Wahrheit war dies jedoch ein Trick von Betrügern. Der Computer des Kunden war mit einem schädlichen Programm infiziert, einem sogenannten Trojaner. Die Betrüger fingen die eingegebenen Nummern ab. Wenige Tage später nutzten die Täter diese Daten. Sie überwiesen in sechs Schritten insgesamt 6.000 Euro vom Konto des Kunden an einen Fremden. Der Kunde hatte diese Überweisungen nicht beauftragt.
Als der Kunde den Diebstahl bemerkte, ging er sofort zur Polizei und informierte seine Bank. Er verlangte, dass die Bank das Geld zurückbucht.
Der Streit vor Gericht
Die Bank wollte den Schaden von 6.000 Euro nicht bezahlen. Sie war der Meinung, der Kunde sei selbst schuld. Die Bank argumentierte so:
- Es sei grob fahrlässig, einfach 100 TAN-Nummern einzugeben.
- Auf der Webseite der Bank stünden Warnhinweise.
- Man dürfe eine TAN nur eingeben, wenn man selbst eine Überweisung tätigt.
- Der Kunde habe seinen Computer nicht gut genug geschützt.
Der Kunde hingegen sagte:
- Die gefälschte Seite sah extrem echt aus.
- Der Grund für die Eingabe (Sicherheitsupdate) klang glaubwürdig.
- Er habe ein Virenschutzprogramm benutzt.
- Er sei kein Computer-Experte und habe den Betrug nicht erkennen können.
Die Entscheidung des Gerichts
Das Landgericht Landshut hat am 14. Juli 2011 ein Urteil gefällt. Das Ergebnis: Der Kunde hat gewonnen.
Die Bank wurde verurteilt, dem Kunden die gestohlenen 6.000 Euro vollständig zurückzuzahlen. Außerdem muss die Bank Zinsen bezahlen und die Anwaltskosten des Kunden übernehmen. Auch die Kosten für das Gerichtsverfahren muss die Bank tragen.
Warum hat das Gericht so entschieden?
Das Gericht hat seine Entscheidung sehr ausführlich begründet. Der wichtigste Punkt war die Frage der „groben Fahrlässigkeit“.
Wenn ein Kunde grob fahrlässig handelt, muss die Bank den Schaden oft nicht ersetzen. Grob fahrlässig bedeutet: Man hat einfachste Überlegungen nicht angestellt und Risiken ignoriert, die jedem sofort hätten auffallen müssen. Das Gericht prüfte, ob der Kunde sich so verhalten hat. Der Richter kam zu dem Schluss: Nein, der Kunde hat nicht grob fahrlässig gehandelt.
Haftung des Zahlungsdienstleisters für nicht autorisierte Zahlungsvorgänge durch Pishing
Hier sind die Gründe im Detail:
1. Die persönlichen Fähigkeiten des Kunden Das Gericht schaute sich den Kunden genau an. Er ist Schlosser, kein IT-Experte. Er spricht Deutsch nicht als Muttersprache. Man kann von ihm nicht das gleiche Wissen erwarten wie von einem Fachmann. Für einen Laien wie ihn war die Fälschung schwer zu erkennen.
2. Die Qualität der Täuschung Die gefälschte Internetseite war sehr gut gemacht. Sie sah aus wie die echte Bankseite. Außerdem tauchte das falsche Fenster genau im richtigen Moment auf, nämlich während des Log-ins. Das wirkte passend. Auch die Geschichte mit den „neuen Sicherheitsmaßnahmen“ klang für einen normalen Menschen logisch und nachvollziehbar.
3. Die Warnhinweise der Bank waren zu ungenau Die Bank sagte zwar, sie habe auf ihrer Seite gewarnt: „Geben Sie nur dann eine TAN ein, wenn Sie selbst zuvor z. B. eine Überweisung erfasst haben!“ Das Gericht fand diesen Hinweis aber nicht gut genug. Die Abkürzung „z. B.“ (zum Beispiel) ist verwirrend. Sie deutet an, dass es auch andere Fälle geben könnte, in denen man eine TAN eingeben muss. Ein Kunde könnte denken, dass ein „Sicherheitsupdate“ genau so eine Ausnahme ist.
4. Das Eingeben von 100 TANs war konsequent Die Bank meinte, es sei dumm gewesen, alle 100 Nummern einzutippen. Das Gericht sah das anders. Der Kunde wurde auf der gefälschten Seite ja genau dazu aufgefordert. Er hat nur das getan, was dort stand. Hätte er nach 50 Nummern aufgehört, wäre er misstrauisch gewesen. Aber er hat die Anweisung bis zum Ende befolgt. Das zeigt, dass er wirklich glaubte, alles sei in Ordnung.
5. Der Virenschutz Die Bank behauptete, der Computer des Kunden sei unsicher gewesen. Sie konnte das aber nicht beweisen. Der Kunde sagte, er habe ein Antivirenprogramm und eine Firewall. Das Gericht erklärte zudem: Selbst gute Virenscanner erkennen nicht immer jeden neuen Trojaner sofort. Nur weil ein Virus auf dem PC war, heißt das nicht automatisch, dass der Kunde unvorsichtig war.
6. Das alte TAN-Verfahren Die Bank warf dem Kunden vor, er hätte ein moderneres Verfahren (mobile TAN per Handy) nutzen können. Das Gericht lehnte dieses Argument ab. Solange die Bank das alte Verfahren mit der Papierliste (iTAN) noch anbietet, darf der Kunde es auch benutzen. Er macht keinen Fehler, wenn er das tut.
Zusammenfassung
Der Kunde bekommt sein Geld zurück, weil er nicht grob unvorsichtig war. Er ist auf einen sehr gut gemachten Betrug hereingefallen. Unter Berücksichtigung seiner geringen Computerkenntnisse und der geschickten Fälschung kann man ihm keinen schweren Vorwurf machen. Die Bank muss für die Sicherheit sorgen und im Zweifel für den Schaden aufkommen, wenn sie dem Kunden keine schwere Schuld nachweisen kann.
