Phishing: Zur groben Fahrlässigkeit bei mehrfacher TAN-Eingabe wegen Pharming-Angriff

Auf Grund technischer Entwicklungen sollten die Fälle erfolgreicher Phishing-/Pharming-Angriffe in Kombination mit papiergebundenen TAN-Listen eher abnehmen. Gleichwohl lässt sich aus der entsprechenden Rechtsprechung einiges zur groben Fahrlässigkeit beim „Homebanking“ entnehmen. So hat sich das Landgericht Köln (15 O 505/14) zur mehrfachen Eingabe von TAN, bedingt durch einen Pharming-Angriff, geäußert und die Rechtsprechung bestätigt, die hier eine grobe Fahrlässigkeit erkennt:

Grob fahrlässig handelt, wer die im Verkehr erforderliche Sorgfalt in ungewöhnlich grobem Maße verletzt und auch ganz naheliegende Überlegungen nicht anstellt oder das nicht beachtet, was im konkreten Fall jedem hätte einleuchten müssen. Dabei sind anders als bei einfacher Fahrlässigkeit auch subjektive, in der Individualität des jeweils Handelnden begründete Umstände zu berücksichtigen. Danach können auch Unerfahrenheit und Unbeholfenheit grobe Fahrlässigkeit ausschließen. Solche in der Individualität des Bankkunden liegende Umstände sind gerade bei der Teilnahme am Online-Banking von besonderer Bedeutung, da sich angesichts der komplexen, laufend fortentwickelten technischen Abläufe und Verfahren, die eine schwer zu überblickende Vielfalt von Angriffsvarianten zulassen, ein verlässliches Alltagswissen zur Risikovermeidung nicht herausgebildet hat (Maihold, in: Bankrechtshandbuch, 4. Aufl., 2011, § 55 Rn. 108).

In der Rechtsprechung wurde bereits mehrfach entschieden, dass die Eingabe einer Vielzahl von TANs bei einem Pharming-Angriff als grob fahrlässig anzusehen ist (LG Düsseldorf, Urt. v. 27.03.2014, 21 S 211/13; OLG München, Urt. v. 23.01.2012, 17 U 3527/11; LG Berlin, Urt. v. 08.11.2011, 21 O 80/11; für die Annahme – nach damaliger Rechtslage ausreichender – einfacher Fahrlässigkeit BGH, Urt. v. 24.04.2012, XI ZR 96/11). Ob bereits die einmalige Preisgabe einer TAN stets den Vorwurf grober Fahrlässigkeit auslöst kann hier dahinstehen (dafür AG Köln, Urt. v. 20.01.2014, 142 C 406/13; zweifelnd Palandt-Sprau, 74. Aufl., 2015, § 675v Rn. 5: „sehr weitgehend“; für die einmalige Eingabe einer TAN auf der Startseite Maihold, in: Bankrechts-Handbuch, 4. Aufl., 2011, § 55 Rn. 132).

Durch ein grob fahrlässiges Handeln steht der Bank ein Schadensersatzanspruch in Höhe des finanziellen Verlustes gemäß § 675v Abs. 2 BGB zu, mit dem gegenüber eventuellen Ansprüchen des Kontoinhabers aufzurechnen ist.

Das Landgericht hat zudem Kriterien herausgearbeitet, bei denen nach Ansicht des Landgerichts bei der Nutzung von Online-Banking eine gewisse Skepsis auftreten muss:

  • So ist es im Allgemeinen ungewöhnlich, dass eine TAN eingegeben werden muss, ohne dass eine Überweisung durchzuführen ist.
  • Stutzig machen muss es auch, wenn der Log-In-Prozess zunächst nicht funktioniert und auch noch eine lange Wartezeit hinzukommt.
  • Wenn man Zahlen für einen angeblichen Login eingeben soll, aber tatsächlich eine Kommastelle plötzlich auftaucht, was auf einen Geldbetrag hinweist.
Fachanwalt für IT-Recht Jens Ferner