Phishing-Schaden: Bank ist Mitschuld

Nach einer Phishing-Attacke gegen einen Bankkunden steht der Bank kein Ersatz ihrer eigenen Aufwendungen zu. Nutzt die Bank nicht das iTAN-Verfahren, muss sie dem Kunden 70 Prozent des entstandenen Schadens ersetzen. Das geht aus einem Urteil des Kammergerichtes Berlin hervor (Urteil vom 29.11.2010 – Az.: 26 U 159/09).

Geklagt hatte eine Bankkundin. Die Kundin wollte online eine Überweisung tätigen. Während des Überweisungsvorgangs öffnete sich ein weiteres Fenster, das äußerlich der Webseite der Bank entsprach. Die Kundin wurde aufgefordert, vier weitere TANs einzugeben, da die erste Überweisung angeblich fehlgeschlagen sei. Am nächsten Tag wurden Überweisungen in Höhe von fast 15.000 Euro vorgenommen.

Die Klägerin erklärte, dass sie Opfer einer Phishing-Attacke geworden sei und verlangte von der Bank die Zahlung der 15.000 Euro. Die Bank wandte dagegen ein, dass die Kundin den Tätern fahrlässig Zugriff auf die Bankdaten gewährt habe – und verlangte ihrerseits von der Kundin einen Schadensersatz.

Die Entscheidung: Die Richter gaben der Klage der Kundin weitestgehend statt. Sie erklärten, dass zwischen den Parteien ein wirksamer Girovertrag bestehe. Aufgrund der zu Unrecht erfolgten Abbuchungen stehe der Kundin daher gegenüber der Bank ein Zahlungsanspruch zu. Die vier Überweisungen seien ohne Anweisungserklärung der Kundin durchgeführt worden (durch bösartige Software) – so dass die Bank keinen Ersatz ihrer eigenen Aufwendungen beanspruchen könne.

Die Bank könne der Kundin zwar einen Schadensersatzanspruch entgegenhalten, dieser sei jedoch um 70 Prozent zu kürzen. Dies liege daran, dass die Bank Sorgfaltspflichten verletzt habe, die zur Entstehung des Schadens beigetragen hätten. Schließlich nutzte die Bank nicht das iTAN-Verfahren, welches einen Angriff der vorliegenden Art verhindert hätte. Die Kundin erhielt letztlich etwas mehr als 10.000 Euro.