Bank haftet für Schäden durch Phishing-Attacke

Nach einem noch nicht veröffentlichten Urteil des Amtsgerichts Wiesloch vom 20. Juni 2008 (Az.: 4 C 57/08) haftet eine Bank für die einem Kunden durch einem Phishing-Angriff entstehenden Schäden, sofern die Sicherheitsmaßnahmen des Kunden beim Betrieb seines Rechners "durchschnittlichen Sorgfaltsanforderungen" genügen. Von dem Konto des Kunden wurde im Herbst 2007 ein Betrag von rund 4100 Euro mittels eines einfachen TAN-Verfahrens an einen Dritten überwiesen.

Bereits am nächsten Tag erhielt er einen Anruf eines Mitarbeiters seiner Bank, dem die Überweisung als verdächtig aufgefallen war. Eine Rückbuchung der Überweisung scheiterte jedoch. Der Kunde stellte daraufhin Strafanzeige. Im Rahmen der Ermittlungen ergab sich, dass die Empfängerin der Überweisung den Betrag zwischenzeitlich nach Russland transferiert hatte.

Eine Untersuchung des Rechners des Kunden ergab, dass sich darauf nicht weniger als 14 Schadprogramme befanden, darunter auch ein Keylogger. Nach dem Vortrag des Kunden sei die Überweisung von einem unbekannten Dritten mit Hilfe der durch den Keylogger gewonnenen Zugangsdaten durchgeführt worden. Als sich seine Bank weigerte, ihm die überwiesene Summe zu ersetzen, klagte der Kunde vor dem Amtsgericht Wiesloch. Das Gericht gab dem Kläger Recht und verurteilte die Bank zum Ersatz des durch die Abbuchung verursachten Schadens sowie der Kosten für einen Rechtsanwalt und einen privat beauftragten Gutachter.

Nach Ansicht des Richters hat die Bank keinen Anspruch gegen den Kunden, der sie zu einer Abbuchung von seinem Konto berechtigte. Insbesondere bestehe auch keine Pflichtverletzung des Kunden, da dieser den Sorgfaltsanforderungen an die Absicherung seines Rechners erfüllt habe. Von einem Kunden sei lediglich "das zur Nutzung des Mediums notwendige Wissen" und damit eine "irgendwie geartete Absicherung des Computers" zu erwarten. Dabei sei auch zu berücksichtigen, dass Online-Banking auch im Interesse der Bank stattfinde und diese mit ihren Kunden eben gerade keine besonderen Sicherheitsmaßnahmen vertraglich vereinbart habe. Zudem trage das Fälschungsrisiko eines Überweisungsauftrags grundsätzlich die Bank.

Die vom Kunden nachgewiesene Installation eines kostenpflichtigen Antivirus-Programms entspreche den "gerichtsbekannten durchschnittlichen Sorgfaltsvorkehrungen" eines PC-Nutzers "oder übertreffe diese möglicherweise noch". Zur Installation einer Firewall sei der Kunde dagegen nicht verpflichtet. Offen blieb in dem Verfahren die Frage, ob die Antivirus-Software des Kunden auch regelmäßig aktualisiert worden war. Nach dem Vortrag der Bank sei dies seit Anfang 2007 nicht mehr geschehen.

Die noch nicht rechtskräftige Entscheidung des Amtsgerichts Wiesloch entspricht damit im Ergebnis einem in einem vergleichbaren Fall ergangenen Urteil des Landgerichts Köln. Dieses hatte allerdings die Messlatte für die an einen Computernutzer zu stellenden Sorgfaltsvorkehrungen weitaus höher gelegt. So verlangten die Richter aus Köln als Mindestvoraussetzung für einen ausreichenden Schutz die Verwendung einer aktuellen Virenschutzsoftware und einer Firewall sowie das regelmäßige Einspielen von Sicherheitsupdates für das Betriebssystem und die verwendete Software. (Joerg Heidrich) / (hob)