Ein Mann war Kunde einer Bank und nutzte deren Online-Banking mit dem iTAN-Verfahren. Dabei erfragt die Bank zu jeder online auszuführenden Überweisung eine TAN von einer Liste, die dem Kunden zuvor per Post zugeschickt wurde. Auch das als sicherer eingeschätzte mobile TAN-Verfahren wird von der Bank angeboten, wurde von dem Kunden aber nicht genutzt.
Der Computer des Kunden war mit dem Trojaner SpyEye infiziert. Des Schadprogramm leitet eingegebene TAN an einen fremden Server weiter. Bei dem Einloggen in das Online-Banking wurde der Kunde auf eine Internetseite weitergeleitet, die der der Bank täuschend ähnlich sah. Dort wurde dem Kunden mitgeteilt, dass aus Sicherheitsgründen alle bisherigen TAN-Listen eingezogen würden. Er wurde aufgefordert, auf der Internetseite insgesamt 100 TAN einzugeben. Nachdem er die Onlinebankingwebseite mehrfach geschlossen und wieder aufrufen hatte, der Hinweis aber immer wieder erschien, folgte der Kunde der Aufforderung. Nach Eingabe der TAN konnte er das Onlinebanking wie gewohnt weiter nutzen.
Drei Tage später waren von seinem Konto sechs Überweisung zu je 1000,- € an einen ihm unbekannten Empfänger getätigt worden. Weitere vier Tage später bemerkte der Kunde die unautorisierten Abbuchungen und erstattete noch am selben Tag eine Anzeige gegen Unbekannt. Am darauffolgenden Tag informierte er die Bank und verlangte eine Rückbuchung der Beträge. Schließlich verklagte er das Kreditinstitut.
Ihm, dem Kunden, sei keine Sorgfaltspflichtverletzung zur Last zu legen. Sein Computer sei durch ein aktuelles Virenschutzprogramm und eine Firewall abgesichert. Die betrügerische Internetseite habe täuschend echt ausgesehen und er habe keinen Grund gehabt, die Aufforderung zur TAN-Eingabe anzuzweifeln. Außerdem habe er die Überweisungen nicht beauftragt. Vielmehr sei auf der Webseite der Bank nicht ausreichend vor möglichen Gefahren gewarnt worden und aus diesen Gründen müsse die Bank Schadensersatz zahlen.
Das Kreditinstitut sah keinen Schadensersatzanspruch des Kunden. Er habe seine Legitimationsdaten preisgegeben und ihm sei bekannt gewesen, dass er für das Login nur seine PIN, jedoch keine TAN-Nummern benötigt, insbesondere nicht 100 Stück. Zudem befinde sich auf der Login-Seite des Kreditinstituts ein Hinweis: „Geben Sie nur dann eine TAN ein, wenn Sie selbst zuvor z. B. eine Überweisung erfasst haben!„ Der Kunde hätte abgesehen davon auch das neuere mobile TAN-Verfahren nutzen können, das sein Kreditinstitut seit fast zwei Jahren anbot.
Das Gericht sprach dem Kunden einen Rückzahlungsanspruch in Höhe der 6.000,- € zu. Er habe weder vorsätzlich noch grob fahrlässig gehandelt. Er besitze nur geringe Computerkenntnisse und aufgrund seiner osteuropäischen Herkunft sei Deutsch nicht seine Muttersprache. Diese Umstände seien zu berücksichtigen. Auch deshalb sei die Aussage des Kunden plausibel, er habe keinen Verdacht geschöpft. Zudem sei der Hinweis auf der Webseite der Bank zu unpräzise. Der Umstand, dass der Kunde die Onlinebankingwebseite zunächst mehrfach schloss und wieder aufrief weise ebenfalls darauf hin, dass er vermutete, dass alles seine Richtigkeit habe, weil der Hinweis zu TAN-Eingabe bei jedem erneuten Einloggen in der selben Weise erfolgte. Dass der Kunde das iTAN- und nicht das mobile TAN-Verfahren der Bank nutze, sei ihm nicht zu Last zu legen. Schließlich biete die Bank beide Verfahren an und könne dem Kunden wegen der Nutzung keine grobe Fahrlässigkeit anlasten. Sie habe dafür zu sorgen, dass ihre Kunden vor Manipulationsversuchen gewarnt würden.
Landgericht Landshut, Aktz. 24 O 1129/11 vom 14.07.2011
Hinterlasse jetzt einen Kommentar