Die Angriffe auf sensible Informationen wie Online-Banking-Daten nehmen immer weitere Ausmaße an. Zwar sind die Banken bemüht, technische Sicherheitsmaßnahmen zu erhöhen, jedoch machen sich Kriminelle vor allem zu Nutze, dass ein Kontakt zwischen Bank und Kunde meist nur noch mittels Fernkommunikationsmittel stattfindet. Vor allem die Methoden des sog. „Pharming“ haben sich in der letzten Zeit konsequent weiterentwickelt, so dass auch die Rechtslage neu bewertet werden muss.

 

Die Entwicklung von Pharmingangriffen

Unter dem Begriff Pharming versteht man die betrügerische Handlung, durch eine nachge­machte Webseite an geheime Informationen des Nutzers zu gelangen. Anders als beim sog. „Phishing“, wobei durch gefälschte Emails die Empfänger auf manipulierte Webseiten ge­lockt werden, geschieht dies beim klassischen Pharming durch das tatsächliche Besuchen und Nutzen von existierenden Webseiten. Dies ist eine besonders beliebte Methode um an vertrauliche Online-Banking-Daten zu gelangen. Dabei wird der Server der Bank, der für die Umwandlung der IP-Adressen zuständig ist, so manipuliert, dass Bankkunden, die zwar die richtige Webadresse eingeben, auf eine gefälschte Website der Bank gelotst werden. PIN und TAN werden dann bei getätigten Überweisungen direkt an den Hacker weitergegeben. Eine besonders gefährliche Weiterentwicklung des Pharming stellen die „Social Engineering Trojaner“ und besonders sogenannte „Rücküberweisungstrojaner“ dar. Ist so ein Trojaner auf der Festplatte des Nutzers installiert, sieht es für ihn auf seiner Online-Banking-Seite so aus, als wäre ein hoher Geldbetrag auf seinem Konto eingegangen. Kurze Zeit darauf bekommt der Nutzer dann eine gefälschte Nachricht seiner Bank, in der er dazu aufgefordert wird, das Geld zurückzuüberweisen. Da der Nutzer den Betrag tatsächlich sehen kann, hält er diese Meldung für echt, überweist allerdings mit der Rücküberweisung sein eigenes Geld auf das Konto des Hackers. Zwar stellen Social Engineering-Trojaner eine Weiterentwicklung des klassischen Pharming dar, jedoch ist die Rechtslage bezüglich der Haftung des Kunden in beiden Fällen sehr unterschiedlich.

Rechtslage beim klassischen Pharming

In einem Fall, über den der BGH vor ca. 1 Jahr erstmals über die Verantwortlichkeit des Bankkunden entschied, gab der Kläger, der auf eine betrügerische Seite umgeleitet wurde, dort, abgesehen von der PIN auch noch zehn TAN preis, wovon dann eine dazu benutzt wurde, 5000 € auf ein ausländisches Bankkonto zu überweisen. Die Bank allerdings hatte vorher über allgemeine Hinweise zu Schadprogrammen und Phishing-Mails ihre Kunden darauf aufmerksam gemacht, dass sie selbst ihre Kunden niemals auffordern würde, mehrere TAN gleichzeitig anzugeben.

Anspruch des Bankkunden

Natürlich stellt sich in einem Fall von Pharming für den Bankkunden sofort die Frage, ob er das Geld, das zu Unrecht von seinem Konto abgebucht wurde, von der Bank  zurückverlangen kann. Die Bank hat grundsätzlich einen Anspruch auf Aufwendungsersatz gem. §§ 675c Abs. 1, 670 BGB, da Zahlungsaufträge zuerst mit dem Vermögen der Bank bewirkt werden. Demzufolge ist der Auftraggeber der Bank zum Ersatz von Aufwendungen verpflichtet. Dies setzt jedoch voraus, dass ein wirksamer Zahlungsauftrag des Kontoinhabers erteilt worden ist. Dies ist beim Pharming nicht der Fall, da der Bankkunde gar nicht Initiator des Auftrags ist. Es handelt sich hier um eine Geschäftsführung ohne Auftrag, bei der jemand (die Bank) für einen anderen (Bankkunden) eine Handlung vornimmt, ohne von diesem dazu beauftragt worden zu sein. Schon aufgrund des Vertragsverhältnisses zwischen Bankkunden und Bank ergibt sich, dass der Kunde gegen die Bank einen Anspruch auf Rückgewährung des Betrages hat, denn dem Vertrag zugrunde liegt ja dass nur autorisierte Transaktionen vorgenommen werden sollen.  Die Haftung der Bank ist in solchen Fällen auch gesetzlich in § 675u BGB geregelt, wonach der Kunde den Anspruch hat, die Berichtigung des fehlerhaft ausgewiesenen Kontostands zu verlangen.

Anspruch der Bank  

Ob die Bank gegenüber dem Bankkunden einen Schadenersatzanspruch hat, wodurch zumindest eine teilweile Aufrechnung möglich ist, wird durch § 675v BGB geregelt. Nach § 675v I BGB kann die Bank von ihrem Kunden verschuldensunabhängig einen Höchstbetrag von maximal 150 € des entstandenen Schadens verlangen, wenn ein Zahlungsvorgang auf der Nutzung von Zahlungsauthenzitifierungsinstrumenten basiert, die der Bankkunde verloren hat, die ihm gestohlen wurden oder auf anderer Weise abhanden gekommen sind. Vorausgesetzt wird also ein tatsächlicher Besitzverlust wie z.B. einer Tan-Liste, der jedoch beim Pharming durch Abgreifen einzelner PIN oder TAN nicht gegeben ist, sondern nur aufgrund mangelnder Sicherheit durch das Online-Banking-System entsteht. Die Haftung des Kunden sieht jedoch nach § 675v II BGB anders aus. Wenn der Schaden dadurch entsteht, dass der Kunde  in betrügerischer Absicht gehandelt oder seine Pflichten  nach § 675l BGB zumindest grob fahrlässig verletzt hat, geht die Haftung des Kunden über 150 € hinaus. Grob fahrlässiges Verhalten ist dann gegeben, wenn die erforderliche Sorgfalt in besonders schwerem Maße verletzt wird.
 Der Handelnde hat nicht beachtet, was in der Situation jedem hätte einleuchten müssen.

In seinem Urteil hatte der BGH jedoch nicht nach der Zahlungsdiensterichtlinie nach § 675v BGB entschieden, sondern argumentiert, dass der Kunde durch die Eingabe von zehn TAN fahrlässig gegen die Sorgfaltspflichten nach § 675i BGB, Nr. 7 der Online-Banking-Bedingungen verstoßen hat, wonach er beim Online-Banking ein gewisses Maß an Sorgfalt an den Tag legen muss. Somit hat er keinen Anspruch auf Zahlung der 5.000,00 €, da die Bank gleichermaßen Schadensersatz geltend machen könnte. Der BGH hat in diesem Fall den Grad der Fahrlässigkeit nicht genannt, da das Urteil auf der Rechtslage früherer Entscheidungen erging, jedoch liegt hierbei nach heutigen Ermessen grobe Fahrlässigkeit vor, da keine Bank von ihren Kunden zehn TAN-Nummern verlangen würde. Auch die instanzgerichtliche Rechtsprechung hat die grobe Fahrlässigkeit kurz nach Veröffentlichung des BGH-Urteils bejaht.

Relevanz des Urteils

Fraglich ist, wie viel Praxisrelevanz dem Urteil des BGH zukommen wird, da zwischenzeitlich komplexere TAN-Verfahren beim Online-Banking üblich sind. Heutzutage benutzen die meisten Kreditinstitute TAN-Verfahren der 3. Generation, wobei der TAN bei jedem Auftrag neu generiert wird und auch nur für einen einzelnen Auftrag genutzt werden kann. Übermittelt werden die TAN dem Nutzer per TAN-Generator, SMS-Kurzmitteilung oder pushTANApp. Hierbei wird auch nochmal der konkrete Auftrag angezeigt, die der Nutzer überprüfen und somit mögliche, durch Schadsoftware modifizierte Überweisungen, erkennen kann. Durch dieses neue TAN-Verfahren wurden zwar die Angriffe auf Online-Banking-Daten seltener, jedoch haben sich auch die Angriffsmöglichkeiten weiterentwickelt.

Rechtslage bei Social Engineering Trojanern

Da der Bankkunde anders als beim klassischen Pharming nicht nur PIN und eventuell TAN angibt, sondern bei einer Attacke durch Social Engineering Trojaner, wie oben beschrieben, tatsächlich und durchaus bewusst eine (Rück)überweisung in Auftrag gibt, hat die Bank in solch einem Fall auch Anspruch auf Aufwendungsersatz gem. § 670 BGB. Weil der Kunde diesen Auftrag tatsächlich initiiert hat, kann er sich auch nicht auf § 675u BGB berufen. Natürlich stellt sich für den Bankkunden in solch einem Fall die Frage, ob es andere Möglichkeiten gibt, das Geld zurück zu erlangen. Da eine Anfechtung des Aufwendungsersatzes weder aufgrund einer arglistiger Täuschung noch eines Irrtums möglich ist, bleibt dem Bankkunden nur die Möglichkeit einen Schadenersatzanspruch gegenüber der Bank geltend zu machen. Dafür muss er jedoch eine Pflichtverletzung der Bank beweisen, die jedoch meistens nicht vorliegt. Grund dafür ist, dass die Schadsoftware das System des Kunden angegriffen hat und nicht das der Bank. Abgesehen davon ist  der Kunde für den Schutz seines Systems laut Online-Banking-Bedingungen selbst verantwortlich.

Fazit

Die Haftung des Bankkunden scheint aufgrund der aufgezeigten Rechtslage ziemlich kontrovers. Beim klassischen Pharming liegt die Haftung, außer in Fällen grober Fahrlässigkeit oder Vorsatz bei der Bank, in Fällen von Rücküberweisungstrojanern muss der Kunde aber haften, auch dann, wenn ihm keine Fahrlässigkeit zur Last gelegt werden kann. Dies scheint nicht angemessen, da Social Engineering Trojaner wesentlich heimtückischer die Online-Daten des Kunden angreifen. Aufgrund dessen zeigen sich die Banken in solchen Fällen meist aber kulant und erstatten dem Bankkunden das Geld zurück. Jedoch sollte trotzdem bei vertraulichen Daten im Internet in jedem Fall ein besonders hohes Maß an Sorgfalt geboten sein.