Der Wert der Lebenserfahrung

Das Amtsgericht Wiesloch setzt der Risikoexternalisierung im Online-Banking Grenzen

Technische Fragen stoßen bei manchen Gerichten auf das Problem, dass Teile des Personals zwar über zureichende Rechtskenntnisse verfügen, die Subsumtion von Lebenssachverhalten unter Rechtsvorschriften aber dadurch leidet, dass der engste Kontakt, den manche Mitarbeiter mit Computern oder dem Internet hatten, das Lesen der von der Sekretärin ausgedruckten E-Mails war. Dies begünstigte eine Tendenz, sich in manchen Fällen zu sehr auf Gutachter und Ausführungen von Anwälten zu verlassen. Da Banken häufig mehr Geld für so etwas ausgeben konnten, entschieden sich Verfahren auf dem Wege durch die Instanzen möglicherweise unter anderem deshalb häufig zu ihren Gunsten.

Mittlerweile gibt es aber auch eine Generation von Entscheidern, die bereits eigene Erfahrung mit Online-Banking, Virenscannern und Firewalls vorweisen kann. Ein solcher Richter ist in der 4. Zivilabteilung des Amtsgerichts Wiesloch tätig – und er fällte ein Urteil, das (obwohl offiziell noch nicht veröffentlicht) Ende letzter Woche seinen Weg in die Tagespresse fand. In ihm wird einer Bank die Verantwortung für den aus einer Phishing-Attacke entstandenen Schaden auferlegt. Geschädigter war ein Bankkunde, dessen Ehefrau am 16. September 2007 bei einer Online-Überweisung eine TAN eingab, nach der keine Bestätigung erfolgte. Die Dame ging deshalb davon aus, dass vergessen wurde, die TAN bei der letzten Überweisung auszustreichen und gab die nächste ein, welche dann auch funktionierte.

Als einem Mitarbeiter der Bank auffiel, dass von dem Konto etwa 4.127,67 Euro transferiert wurden, verständigte er den Inhaber und musste erfahren, dass dieser von nichts wusste. Bei der Überweisung war als Verwendungszweck eine neunstellige mit "Ebay" ergänzte Nummer und die bei der Phishing-Attacke heimlich entwendete TAN angegeben. Eine Überprüfung des PCs durch einen von dem Ehepaar beauftragten Sachverständigen förderte trotz eines bereits vor dem Schadensfall installierten Virenscanners insgesamt 14 Malware-Programme zu Tage, darunter auch die zum Online-Banking-Betrug geeigneten HTML/ADOB.Exploit.gen und PR7PSW.Sinowal.EV. Zudem konnte eine in Heilbronn ansässige Frau ermittelt werden, die aussagte, das Geld per Western-Union-Barüberweisung nach Russland weitergeleitet zu haben. Die Frau war an mindestens einem weiteren Betrugsfall beteiligt, der nach demselben Muster durchgeführt wurde. Auch auf dem Rechner des Geschädigten in diesem zweiten Fall wurde entsprechende Malware gefunden.

Aufgrund dieser Sachlage entschied das Gericht, dass kein wirksamer Überweisungsvertrag zustande kam und in diesem Fall die Bank "das Fälschungsrisiko des Überweisungsauftrags trägt". Aus diesem Grund hatte die Bank durch die Abbuchung der Summe vom Konto des Geschädigten ihren nicht bestehenden, sondern lediglich behaupteten Anspruch in unzulässiger Weise befriedigt und muss ihm das Geld zuzüglich des Honorars für seinen Rechtsanwalt Stefan Schilling, Zinsen und 521,20 Euro für den Sachverständigen erstatten.

Das bemerkenswerteste an diesem Urteil ist allerdings gar nicht so sehr das Ergebnis, sondern die ungewöhnliche Sorgfalt und vor allem die Sachkunde, mit der es begründet wurde. Dabei verweist der Abteilungsrichter nicht nur auf seine eigene Lebenserfahrung als Online-Banking-Nutzer sowie auf den "Einblick in die Absicherung zahlreicher Computersysteme […] im Familien- und Freundeskreis", sondern auch auf seine Tätigkeit als Staatsanwalt im Bereich der Online-Kriminalität und auf die Auswertung zahlreicher Akten aus diesem Gebiet als Berichterstatter für das hessische Justizministerium.

Behauptetes Verschulden durch Nichtreaktion auf eine Werbebroschüre

Lesenswert ist das unter anderem durch zahlreiche Kommentarverweise sehr sorgfältig ausgearbeitete Urteil vor allem an den Stellen, an denen es darum geht, mit welchen Argumenten die Bank, deren Namen man aufgrund der Rechtsauffassung der Pressekammer des Hamburger Landgerichts nicht nennen darf, versuchte, sich der Haftung zu entziehen: Obwohl ihr Handeln unmittelbar nach Entdeckung der Überweisung nahe legt, dass auch sie von einem Phishing- oder Pharming-Fall ausging, plädierte sie in dem Verfahren darauf, ein "Anscheinsbeweis" spreche dafür, dass der Kontoinhaber oder ein von ihm beauftragter Dritter die Überweisung selbst durchgeführt habe.

Selbst wenn der Kunde beweise könne, so die Bank, dass einer der auf dem Rechner gefundenen Schädlinge die Überweisung durchgeführt habe, käme es lediglich zu einer "Abwägung des beiderseitigen Verschuldens." Das Sachverständigengutachten beweise jedoch nicht die Überweisung durch den Schädling, sondern eine bloße Möglichkeit. Zudem habe die Bank einen Anspruch gegen den Kunden, da dieser nur die billigste von der Bank angebotene Möglichkeit zum Online-Banking genutzt und auf eine Werbebroschüre für kostenpflichtiges mTAN und HBCI nicht reagiert habe. Überdies habe das Geldinstitut auf seiner Website Sicherheitshinweise zum Online-Banking zur Verfügung gestellt.

Unter anderem machte das Unternehmen geltend, dass trotz Windows XP mit Service Pack 2 eine zusätzliche Firewall installiert hätte werden müssen und dass der installierte Virenscanner nicht zählen würde, weil er kostenfrei sei. Dabei ging die Bank offenbar ganz selbstverständlich davon aus, dass einer der kostenfreien Virenscanner (die in Tests teilweise sogar besser abschneiden als manche kostenpflichtigen) die Standardausrüstung eines privaten PCs ist, und kostenpflichtige Varianten eher im Geschäftsbereich verwendet werden. Pech für das Geldinstitut, als sich herausstellte, dass es sich bei der auf dem PC installierten Antivirensoftware um ein kostenpflichtiges Angebot handelte. Nun mussten ihre Anwälte argumentieren, das Programm wäre nicht häufig genug auf den neusten Stand gebracht worden.

In seiner sehr ausführlichen Auseinandersetzung mit der Rechtsscheinshaftung führt das Gericht jedoch aus, dass ein bloßer Anscheinsbeweis bereits dadurch erschüttert wird, dass "Tatsachen behauptet oder bewiesen werden, aus denen sich die ernsthafte Möglichkeit eines vom Gewöhnlichen abweichenden Verlaufs ergibt."

Unter anderem aus diesen Kenntnissen heraus, aber auch über mehrere Kommentarstellen, kam der Richter zu dem Schluss, dass eine Pflichtverletzung des Klägers oder seiner Ehefrau nicht vorliegt, Die von dem Ehepaar getroffenen Maßnahmen übertrafen die "gerichtsbekannten durchschnittlichen Sorgfaltsvorkehrungen eines PC Benutzers" eher, als dass sie diese unterschritten hätten.

Zu den auf der Bank-Website angebrachten Sicherheitshinweisen stellte das Gericht fest, dass diese keinesfalls eine konkrete Vereinbarung begründen, sondern höchstens als Empfehlungen und Hinweise ohne Vertragscharakter gewertet werden konnten. Dass, wie die Bank vorbrachte, "der vom Kunden anzuwendende Sorgfaltsmaßstab" durch solche einseitigen Hinweise erhöht werden kann, widerspreche, so das Gericht unter Hinweis auf den Kommentar von Erfurth, "allgemeinen vertragsrechtlichen Grundsätzen zur Begründung von Vertragspflichten".

Kein vollständiges Abwälzen der Risiken auf den Kunden

Die Bank, so das Gericht, trägt "grundsätzlich das Risiko des Missbrauchs der Sicherungsmedien [und kann] dies nicht umfassend auf den Kunden abwälzen". "Bei der Konkretisierung des Maßstabs", so das Gericht weiter, müsse zudem beachtet werden, dass die Bank "im Interesse einer vereinfachten Abwicklung und der Einsparung von Personalkosten" praktisch allen Nutzern ohne besondere Überprüfung von deren IT-Ausstattung und ihrer Kenntnisse solche Verfahren anbietet oder sogar aufdrängt. "Letztlich ist es die unternehmerische Entscheidung der Bank, diesen Personen das Online-Banking zur Verfügung zu stellen", was sich, so der Richter, "auf die anzuwendenden Sorgfaltsanforderungen auswirkt."

Noch klarer lesen sich die Ausführungen des Gerichts zu den Vorwürfen der Bank, der Kunde hätte auf eine postalisch zugesandte Werbebroschüre zu kostenpflichtigen mTAN- und HBCI-Verfahren nicht reagiert, weshalb er für den entstandenen Schaden haften müsse:

"Wenn die Beklagte möchte, dass ihre Kunden diese Systeme nutzen, mag sie das weniger sichere aber kostengünstige einfache TAN Verfahren aus ihrem Leistungsangebot nehmen und die sich hieran anschließende Konsequenz einer verminderten Attraktivität ihres Angebots am Markt ziehen. Wenn sie es anbietet, kann in der Benutzung des Systems als solcher keine Pflichtverletzung des Kunden erblickt werden. Dies gilt um so mehr, als dass die Beklagte auf ihrer Homepage dieses Verfahren als sicher darstellte."

Eine Verletzung der Nebenpflicht des Kunden, die Bank über Phishing-Angriffe zu informieren, lag nach Auffassung des Gerichts nicht vor: Während der Eingabe einer TAN hatte die Ehefrau zwar einen zweimaligen kurzen Blackscreen-Effekt bemerkt, dies aber auf technische Unzulänglichkeiten zurückgeführt. Solche keineswegs seltenen Effekte können von durchschnittlichen Nutzern kaum als Hinweise auf Malware interpretiert werden. Tatsächlich sind Schäden am Bildschirmkabel oder an der Verbindung zur Grafikkarte die weitaus häufigere Standardursache für solche keineswegs seltenen Störungen.

Obwohl das noch nichts rechtskräftige Urteil unter anderem wegen der darin enthaltenen fachkundigen Ausführungen zur Funktionsweise und zum begrenzten Nutzen von Antivirenprogrammen einiges an Begründungsmühe erfordern dürfte, um es wieder aufzuheben, ist es für Bankkunden noch kein Grund zur Entwarnung, da es sich auf einen Fall bezieht, bei dem die Bank Online-Überweisungen mittels eines einfachen TAN-Verfahrens erlaubte. Im Urteil selbst wird ausgeführt, dass iTAN-, mTAN- und HBCI sicherer sind. Die speziell für ein Verfahren, das nicht mehr dem Stand der Technik entspricht, herausgearbeitete Rechtsauffassung reduziert nach Auffassung des Gerichts das Risiko, "durch eine zu 'kundenfreundliche' Rechtsprechung [einen] Missbrauchsanreiz für Kriminelle zu liefern." Stattdessen ist sie möglicherweise dazu geeignet, denjenigen Banken, die aus Profitgründen immer noch das einfache TAN-Verfahren erlauben, durch eine Teilhabe an den bisher auf die Kunden externalisierten Kosten, einen Anreiz zu geben, mehr auf Sicherheit zu achten.