Durch ein aktuelles Urteil vom 24.04.2012 (Az. XII ZR 96/11) hat der für das Bank- und Börsenrecht zuständige XI. Zivilsenat des Bundesgerichtshofs (BGH) entschieden, unter welchen Voraussetzungen ein Bankkunde sich im Online-Banking bei einem Pharming-Angriff schadensersatzpflichtig macht. Im zugrunde liegenden Fall ging es um Schaden in Höhe von € 5.000,00.

Pharming ist eine Betrugsmethode, die durch das Internet verbreitet wird. Sie basiert auf einer Manipulation der DNS-Anfragen von Webbrowsern, um den Benutzer auf gefälschte Webseiten umzuleiten. Es ist eine Weiterentwicklung des klassischen Phishings.

Pharming hat sich als Oberbegriff für verschiedene Arten von DNS-Angriffen etabliert. Eine Methode dabei ist die lokale Manipulation der Host-Datei. Dabei wird unter Zuhilfenahme eines Trojanischen Pferdes oder eines Virus eine gezielte Manipulation des Systems vorgenommen mit der Konsequenz, dass von diesem System gezielt gefälschte Websites angezeigt werden, obwohl die Adresse korrekt eingegeben wurde. Benutzer können so beispielsweise auf täuschend echt nachgebildete Seiten einer Bank geleitet werden. Somit gelangt der Benutzer trotz korrekter URL auf die falsche Seite, ohne es zu merken. Ziel dieser Aktionen ist in der Regel, Kreditkartendaten oder ähnliche sicherheitsrelevante oder vertrauliche Informationen (z. B. von Onlineberatungen) zu stehlen.

In dem aktuell vom BGH entschiedenen Fall nahm der Kunde seit dem Jahre 2001 am Online-Banking seiner Bank teil. Für die Überweisungsaufträge verwendete die beklagte Bank das sog. i-TAN-Verfahren, bei dem der Nutzer nach Erhalt des Zugangs durch Eingabe einer korrekten persönlichen Identifikationsnummer (PIN) dazu aufgefordert wird, eine bestimmte, durch eine Positionsnummer gekennzeichnete (indizierte) Transaktionsnummer (TAN) aus einer ihm vorher zur Verfügung gestellten, durchnummerierten TAN-Liste einzugeben.

In der Mitte der Log-In-Seite des Online-Bankings der Beklagten befand sich folgender Hinweis:

"Derzeit sind vermehrt Schadprogramme und sogenannte Phishing-Mails in Umlauf, die Sie auffordern, mehrere Transaktionsnummern oder gar Kreditkartendaten in ein Formular einzugeben. Wir fordern Sie niemals auf, mehrere TAN gleichzeitig preiszugeben! Auch werden wir Sie niemals per E-Mail zu einer Anmeldung im … Net-Banking auffordern!"

Am 26. Januar 2009 wurde vom Girokonto des Klägers nach Eingabe seiner PIN und einer korrekten TAN ein Betrag von 5.000 € auf ein Konto bei einer griechischen Bank überwiesen. Der Kläger, der bestreitet, diese Überweisung veranlasst zu haben, erstattete am 29. Januar 2009 Strafanzeige und gab Folgendes zu Protokoll:

"Im Oktober 2008 - das genaue Datum weiß ich nicht mehr - wollte ich ins Online-banking. Ich habe das Online-banking der … Bank angeklickt. Die Maske hat sich wie gewohnt aufgemacht. Danach kam der Hinweis, dass ich im Moment keinen Zugriff auf Online-banking der ... Bank hätte. Danach kam eine Anweisung zehn Tan-Nummern einzugeben. Die Felder waren nicht von 1 bis 10 durchnummeriert, sondern kreuz und quer. Ich habe dann auch die geforderten Tan-Nummern, die ich schon von der Bank hatte, in die Felder chronologisch eingetragen. Danach erhielt ich dann Zugriff auf mein Online-banking. Ich habe dann unter Verwendung einer anderen Tan-Nummer eine Überweisung getätigt."

Das Ermittlungsverfahren wurde eingestellt, da ein Täter nicht ermittelt werden konnte.

Die Klage auf Zahlung von 5.000 € nebst Zinsen und vorgerichtlichen Kosten ist in den Vorinstanzen erfolglos geblieben. Der Bundesgerichtshof hat die vom Berufungsgericht zugelassene Revision zurückgewiesen. Auch wenn der Kläger die Überweisung der 5.000 € nicht veranlasst hat, ist sein Anspruch auf Auszahlung dieses Betrages erloschen, weil die Bank mit einem Schadensersatz-anspruch in gleicher Höhe gemäß § 280 Abs. 1 BGB aufgerechnet hat.

Der Kläger ist nach dem in seiner Strafanzeige vorgetragenen Sachverhalt Opfer eines Pharming-Angriffs geworden, bei dem der korrekte Aufruf der Website der Bank technisch in den Aufruf einer betrügerischen Seite umgeleitet worden ist. Der betrügerische Dritte hat die so erlangte TAN genutzt, um der Bank unbefugt den Überweisungsauftrag zu erteilen. Der Kläger hat sich gegenüber der Bank durch seine Reaktion auf diesen Pharming-Angriff schadensersatzpflichtig gemacht.

Der Karlsruher Bankensenat bewertete das Verhalten des Klägers als fahrlässig. Die Bank hatte schon damals bei jedem Log-in-Vorgang ausdrücklich davor gewarnt, auf Anforderung mehr als eine i-TAN auf einmal anzugeben. Genau das aber hatte der Kläger vorliegend getan. Er hatte auf entsprechende Anforderung insgesamt 10 TAN in einer entsprechenden Maske eingetragen. Nachdem er dies erledigt hatte, erhielt er Zugriff auf das Online-Banking und hat dann unter Verwendung einer anderen TAN eine reguläre Überweisung getätigt. Für die Haftung des Kunden reicht im vorliegenden Fall einfache Fahrlässigkeit aus, weil § 675v Abs. 2 BGB, der eine unbegrenzte Haftung des Kunden bei missbräuchlicher Nutzung eines Zahlungsauthentifizierungsinstruments nur bei Vorsatz und grober Fahrlässigkeit vorsieht, erst am 31. Oktober 2009 in Kraft getreten ist.

Nach Auffassung der obersten Zivilrichter wurde ein anspruchsminderndes Mitverschulden der Bank verneint. Nach den Feststellungen des Gerichts besteht zwar die Pflicht der Bank, ein möglichst wenig missbrauchsanfälliges System bereitzustellen. Im Jahre 2008 habe das i-TAN-Verfahren jedoch dem Stand der Technik entsprochen. Zudem müsse eine Bank einen Kunden nicht davor schützen, dass durch eine Transaktion sein Konto und sein Kreditrahmen überschritten wird.

Aus dieser Grundsatzentscheidung lässt sich eine Tendenz in der Rechtsprechung ableiten, auch wenn sicherlich hier weitere Einzelfallentscheidungen zu erwarten sind. Wer jedoch beim Online-Banking auf eine gefälschte Internetseite hereinfällt, wird im Regelfall den Schaden selbst tragen müssen. Hier hat der BGH mit der aktuellen Entscheidung erste Maßstäbe gesetzt und eine grundsätzlich bankenfreundliche Tendenz erkennen lassen.