Das Landgericht Landshut (24 O 1129/11) hat sich mit der Frage beschäftigt, wann ein Phishing-Opfer „grob fahrlässig“ handelt. Die Frage ist bei der Rückabwicklung ungewollter Zahlungen von Bedeutung: Grundsätzlich legt §675u BGB fest, dass der „Zahler“ (hier: Kontoinhaber) gegen seinen „Zahlungsdienstleister“ (hier: Bank) einen Rückzahlungsanspruch hinsichtlich nicht autorisierter Zahlungen hat. Phishing-Opfer haben damit also grundsätzlich einen Rückzahlungsanspruch gegenüber der Bank. Aber: §675v II BGB sieht vor, dass im Falle grob fahrlässiger (oder gar vorsätzlicher) Verletzung von Pflichten der Kontoinhaber ggfs. zum Ersatz des vollen Schadens verpflichtet sein kann (sonst „nur“ bis zu 150 Euro, §675v I BGB). Die Bank kann dem Kontoinhaber daher ggfs. entgegenhalten, dass dieser für den Schaden aufkommen muss (diesbezüglich wird dann „Aufrechnung“ erklärt).
Interessant ist aber, wie weit das LG Landshut zu gehen bereit ist.
Zuerst einmal hält das Landgericht (m.E. richtig) fest, dass alleine die Tatsache, dass ein Rechner eines Kunden einen Angriff durch einen Trojaner nicht „überstanden“ hat, kein Indiz dafür sein kann, dass eine (aktuelle) Firewall/ein Virenscanner nicht installiert war:
Es liegt in der Natur der Sache, dass ein Schutz vor Computerviren regelmäßig nur in Reaktion auf bekannte Viren entwickelt werden kann. Deshalb kann auch ein regelmäßig aktualisiertes Schutzprogramm keine vollständige Gewähr dafür bieten, dass der Computer nicht von einem neu entwickelten Trojaner infiziert wird.
(Hinweis: Der Nutzer wurde nach einem Trojaner-Angriff bei Aufruf der Webseite seiner Bank in Wirklichkeit unbemerkt zu einer Phishing-Seite geleitet)
Phishing-Opfer müssen sich damit also nicht dem Vorwurf ausgesetzt sehen, dass sie nicht ausreichend gesichert waren, nur weil sie tatsächlich zum Opfer wurden. Andernfalls müsste das Phishing-Opfer erschöpfend beweisen, sich ausreichend gesichert zu haben.
Bemerkenswert ist aber, dass auch die Tatsache, dass das hier betroffene Opfer sämtliche (!) 100 TANs auf der Phishing-Seite eingetippt hat, nicht als grob fahrlässig zu bewerten sein soll. Zur Erinnerung: „Grobe Fahrlässigkeit setzt zunächst in objektiver Hinsicht eine das gewöhnliche Maß der Fahrlässigkeit erheblich übersteigende Schwere eines Sorgfaltsverstoßes voraus. Den Handelnden muss aber auch in subjektiver Hinsicht ein schweres Verschulden treffen.“.
Zu einer Verneinung grob fahrlässigen Verhalten führten folgende Erwägungen, die sicherlich nicht alle kritiklos hinzunehmen sind:
- Zum einen beachtet das Gericht die subjektive Seite und berücksichtigt hier, dass der Betroffene nur „rudimentäre Computerkenntnisse“ vorweisen konnte. Dies soll entlastend wirken.
- Der Bank wurde vorgeworfen, diesen Hinweis auf ihrer Seite platziert zu haben: „„Geben Sie nur dann eine TAN ein, wenn Sie selbst zuvor z. B. eine Überweisung erfasst haben!““. Dies sei ebenfalls zu Gunsten des Opfers zu werten, da durch die Verwendung von „z.B.“ gerade nicht klar war, wann man kritisch werden muss, bei der Eingabe von TANs.
- Auch die Tatsache alleine – und jetzt wird es richtig bunt – dass das Opfer sämtliche 100 TANs eingegeben hat, sei nicht grob fahrlässig. Vielmehr sei es nur konsequent, wenn das Opfer der Aufforderung, alle TANs eingeben zu müssen glaubt. Zu seinem Nachteil solle es sich vielmehr auswirken, wenn er nach 50 oder 60 TANs misstrauisch geworden wäre und abbricht. Sprich: Wer damit anfängt, sollte es auch bis zu Ende durchziehen. Dabei erscheint doch fraglich, warum ein anfänglich unbekümmertes Verhalten bei einem späteren Verdacht (der sich hier durchaus aufdrängt) zu einer anderen Bewertung führen soll.
- Mit dem Landgericht soll es sich übrigens zu Lasten des Phishing-Opfers auswirken, wenn die Phishing Seite bei jedem Aufruf ein anderes Erscheinungsbild aufweist.
- Ebenfalls sei kein Vorwurf zu machen, wenn der Betroffene nicht auf die Möglichkeit des iTAN-Verfahrens umgestiegen ist.
Ergebnis: Eine Einzelfall-Entscheidung, die spätestens dann nicht mehr heran zu ziehen ist, wenn jemand ohne rudimentäre Computerkenntnisse agiert. Die Frage der groben Fahrlässigkeit ist noch lange nicht ausgeurteilt, die hier vorliegende Entscheidung setzt einige Orientierungspunkte.
- Russische Militärische Cyber-Akteure nehmen US- und globale kritische Infrastrukturen ins Visier - 11. September 2024
- Ransomware Risk Report 2024 von Semperis - 11. September 2024
- Künstliche Intelligenz in Deutschland – Status, Herausforderungen und internationale Perspektiven - 10. September 2024