Das Ausspähen von Kontozugangsdaten bildet seit einigen Jahren einen nicht nachlassenden Brennpunkt in der Kriminalstatistik. Das Bundeskriminalamt registrierte bereits 2006 eine Zunahme des Ausspähens von Daten um 26,4% im Vergleich zum Vorjahr. Schließlich war laut der Jahrespressekonferenz des BKA am 28.03.2008 für das Jahr 2007 ein nochmaliger Anstieg im Vergleich zu 2006 zu verzeichnen. Hintergrund ist, dass die Täter raffinierter geworden sind. Wer noch glaubt, Konten würden von Kriminellen allein dadurch leergeräumt, indem sie ihre Opfer per Spam-e-Mail im schlechten deutsch dazu auffordern, auf gefälschten Internetseiten Zugangsdaten einzugeben, der kennt die neusten Kniffe noch nicht. Inzwischen werden Trojaner heimlich auf dem Computer der Opfer installiert, die den Datenverkehr beim Online-Banking zwischen Kunde und Bank überwachen. Wer gerne mit der EC- oder Kreditkarte Transaktionen tätigt, der muss nicht nur auf vorgebaute Kartenlesegeräte an Geldautomaten achten, sondern sich auch vor eingebauten Chips in Bezahlsystemen an der Kasse (POS-Terminals) achtgeben. Dieses Ausspähen von Daten nennt man Skimming. Hochkriminell sind außerdem die Fälle, bei denen sich die Täter in das Online-Depot eines anderen einloggen und bis zur Grenze des Verfügungsrahmens Order zum Kauf von Aktien tätigen. Nach einer von ilex Rechtsanwälte erwirkten Entscheidung des Landgerichtes Berlin können Geschädigte aufatmen. Ähnlich entschied zuvor das Amtsgerichtes Wiesloch. Demzufolge haftet überwiegend die Bank gegenüber dem Bankkunden für den Schaden.

Übersicht:

• Die Täter sind meist nicht greifbar
• Für den Bankkunden sah es häufig schlecht aus
• Landgericht Berlin sieht die Haftung bei der Bank
• Wie ist die Rechtslage?

Die Täter sind meist nicht greifbar

Die Frage der Haftung von der Bank für den erlittenen Schaden des Bankkunden stellt sich besonders dann, wenn nur einer dieser beiden Personen überhaupt als Haftungsträger in Betracht kommt? In der Praxis ist dies der Regelfall. Zwar gibt es beim Abräumen des Konto per Online-Banking meist noch einen sog. „Geldboten“ oder „Finanzagenten“, auf dessen Konto das Geld zunächst landete, bevor es mit Western Union oder durch Barabhebung zu den Tätern transferiert wird. Doch dieser Geldbote lebt häufig unterhalb der Pfändungsfreigrenzen und kann allenfalls strafrechtlich belangt werden.

Für den Bankkunden sah es häufig schlecht aus

Bislang blieb der Bankkunde häufig auf dem Schaden sitzen, weil die Rechtsprechung ihm den „Anscheinsbeweis“ (lat. Prima facie-Beweis) entgegenhielt. Damit drückte man aus, es gäbe einen Erfahrungssatz, wonach der Bankkunde im Schadensfall häufig einen Fehler gemacht habe und man verlangte vom Bankkunden diesen Erfahrungssatz beweismäßig zu erschüttern, was ihm häufig nicht gelang. Die kontoführende Bank wirft ihm im Laufe des Prozesses einfach vor, er habe sicherlich die PIN auf die EC-Karte notiert oder die TAN-Liste beim Online-Banking nicht geheim gehalten. Einen solchen Anscheinsbeweis mag es 1999 noch gegeben haben, als beispielsweise das Landgericht Frankfurt/ Main entschied, dass das EC-Karten-System generell hinreichend sicher sei und deshalb davon ausgegangen werden müsse, dass der Kunde in fahrlässiger Weise seine PIN preisgegeben habe (Urt. v. 12.05.1999 – 2-01 S 336/98, WM 1999, 1930). Vor beinahe zehn Jahren waren die Fälle, bei denen die Kartendaten in POS-Terminals durch von außen nicht sichtbare Chips abgefangen wurden, mit denen die Täter anschließend gefälschte Karten fertigten, um vom Ausland aus Barabhebungen vorzunehmen, tatsächlich noch relativ selten. Das sieht heute gänzlich anders aus. Man muss nur bei einer Polizeidienststelle nachfragen, die im Bereich der IuK-Kriminalität tätig ist.

Landgericht Berlin sieht die Haftung bei der Bank

Anders entschied nun das Landgericht Berlin in einem von ilex Rechtsanwälte erwirkten Urteil vom 11.08.2009 (Az. 37 O 4/09). Das Landgericht Berlin hatte der kontoführenden Bank in der derzeit nicht rechtskräftigen Entscheidung das Phishing-Risiko zu über 90% auferlegt. Dem Bankkunden wurde die Haftung nur zu 10% auferlegt, weil er beim Einloggen in das Online-Banking auf einer von einem Trojaner verursachten Login-Seite der kontoführenden Bank nicht wissentlich insgesamt vier unverbrauchte TAN offenbart hatte. Ähnlich entschied zuvor das Amtsgericht Wiesloch in einem Urteil vom 04.07.2008 (Az. 4 C 57/08). Das Gericht hatte der kontoführenden Bank das Phishing-Risiko auferlegt, weil der Kunde die Sorgfaltspflichten eines durchschnittlichen PC-Benutzers eingehalten habe. Im Streitfall waren von dem Familiencomputer eines kaufmännischen Angestellten ohne dessen Wissen circa 5.000 € abgeräumt und auf ein anderes Konto überweisen worden. Auf dem Computer des Bankkunden war ein Antivirenprogramm und eine Firewall installiert. Das Gericht entschied, dass die Bank nicht das gesamte Risiko auf seine Kontoinhaber abwälzen könne.

Wie ist die Rechtslage?

Erfolglos muss die Inanspruchnahme der Bank im Schadensfall deshalb nicht sein; sie ist allenfalls einzelfallabhängig. Auf Seiten der anwaltlichen Beratung sollte eine genaue Kenntnis von den Handlungsmöglichkeiten und vom Stand der Rechtsprechung vorhanden sein. Auch besitzt die kontoführende Bank, die fast immer über die Information verfügt, wohin das Geld vom abgeräumten Konto floss, durchaus eine rechtliche Handhabe, sich selbst an einem bloßen „Strohmann“ schadlos zu halten. Das Landgericht und das Oberlandesgericht der Freien und Hansestadt Hamburg haben einer Bank übereinstimmend einen Anspruch gegen denjenigen zugebilligt, auf dessen Konto ein Geldbetrag im Rahmen einer illegalen Geldtransaktion zugeflossen war, welches der derart Begünstigte wiederum an Dritte ausgekehrt hatte (LG Hamburg, Urt. v. 18.05.2006 – 334 O 10/06; OLG Hamburg, Beschl. v. 02.08.2006 – 1 U 75/06).