Prozesserfolg Bankrecht: wer haftet beim Phishing?
Aus dem modernen Zahlungsverkehr ist das Online-Banking kaum noch wegzudenken. Für den Bankkunden bietet Online-Banking bequeme Transaktionen, die kontoführende Bank hat weniger Personalaufwand. Die elektronischen Geldtransaktionen haben allerdings auch neue Formen der Kriminalität hervorgerufen, insbesondere das sogenannte Phishing und Pharming. Dabei geht es den Tätern stets darum, die Legitimationsdaten eines Bankkunden (PIN und TAN oder die Authentifizierung per HBCI) ohne dessen Wissen zu erlangen und für illegale Transaktionen zu missbrauchen. Ilex Rechtsanwälte konnte in einem Grundsatzurteil vor dem Landgericht Berlin die Frage klären, ob die kontoführende Bank für den Vermögensschaden gegenüber dem Bankkunden haftet, wenn Kontozugangsdaten im Online-Banking zuvor durch Dritte abgefangen werden und das Konto anschließend leergeräumt wird. Das Landgericht Berlin entschied per Urteil vom 11.08.2009 (Az. 37 O 4/09), dass die kontoführend Bank 90% des entstandenen Schadens zu tragen hat.
In dem vor dem Landgericht Berlin zu beurteilenden Fall wurde während des Authentifizierungsvorganges zum Online-Banking, d.h. als der Bankkunde gerade Kontonummer und PIN eingeben wollte, um sich einzuloggen, von den Straftätern eine Internetseite des Geldinstitutes vorgetäuscht. Auf der durch die Täter manipulierten Internetseite gab der Bankkunde den Tätern im Vertrauen auf die gewohnte Umgebung versehentlich vier unverbrauchte TAN preis. Die derzeit nicht rechtskräftige Entscheidung können Sie hier abrufen.
Wie funktioniert das technisch (Trojaner und Pharming)?
Sobald der Bankkunde eine Internetverbindung zu seiner Bank hergestellt hat, liest ein Schadprogramm (Trojaner) auch die für eine Transaktion notwendige „Persönliche Identifikations-Nummer“ (PIN) und eine oder mehrere „Transaktionsnummern“ (TAN) mit und schaltet sich zugleich zwischen die Datenverbindung des Kunden und seiner Bank (sog. Man-in-the-Middle-Angriff). Dabei kann der Kunde mit Hilfe des Schadprogrammes auf eine gefälschte Internetseite geleitet werden, die derjenigen der eigenen Hausbank täuschend echt ähnlich sieht. In dem Fall vor dem Landgericht Berlin loggte sich der Bankkunde gerade in das Online-Banking ein, als sich ein neues Fenster öffnete, welches in den Leitfarben der eigenen Bank gehalten und mit deren Logo ausgestattet war. Dem Kunden wurde mitgeteilt, der Login sei nicht erfolgreich verlaufen. Deshalb wurde gebeten, vier neue und unverbrauchte TAN zur Authentifizierung einzugeben.
Prozessführung
Solche und ähnliche Fälle gelangen in den letzten Jahren vermehrt zu den Gerichten. Die Einordnung der Pflichten zwischen Bank und dem Bankkunden im „Online-Banking“ ist dabei entscheidend für die Zuweisung von Risiken und für die Haftungsverteilung.
Rechtsanwalt Dr. Schulte am Hülse, der die Entscheidung erwirkt hatte, kommentierte das Urteil wie folgt: „die Prozessführung im Bereich des Abgreifens von Kontozugangsdaten verlangt neben dem üblichen juristischen Handwerkszeug auch eine genaue Kenntnis der technischen Abläufe. Da die Kriminellen sich sehr geschickt an die jeweiligen technischen Gegebenheiten der von den Banken bereitgestellten Systemen anpassen, ist es nicht damit getan, sich an früheren Gerichtsentscheidungen zu orientieren, die zu teilweise völlig anderen Sachverhalten ergangen sind.“