Bundesgerichtshof zur zivilrechtlichen Haftung des Phishing-Opfers

Manchmal bleibt das Opfer eines Verbrechens auf dem eigenen Schaden sitzen – und nicht nur dann, wenn man des Täters nicht habhaft wird. Das „Phishing“ war früher ein ganz besonderes Problem in diesem Bereich. Zur Erinnerung: Phishing liegt vor, wenn man versucht, an Zugangsdaten eines Nutzers zu gelangen. Vor allem mit gefälschten Emails wird hier gearbeitet, die auf täuschend echt aussehende Login-Seiten weiterleiten. Denkbar ist aber auch, dass Daten eines Nutzers durch einen Telefonanruf oder gefälschte Briefe erschlichen werden.

Fachanwalt für IT-Recht Jens Ferner in Alsdorf, Aachen

Wenn nun jemand auf ein solches „Phishing“ herein gefallen ist, und ein Dritter mit Hilfe der erlangten Daten unautorisierte Überweisungen vorgenommen hat, streiten sich das Opfer und die Bank regelmäßig darüber, ob und in welcher Höhe das Geld an das Opfer zurück zu zahlen ist. Der Gesetzgeber hat hier inzwischen reagiert und die gesetzliche Lage Ende 2009 angepasst.

Grundsätzliches
Im Grundsatz sieht es so aus: Beim Phishing nimmt ein Dritter eine Überweisung vor, die vom Opfer – dem Kontoinhaber – gar nicht gewollt, gar nicht „veranlasst“ ist. Diese Überweisung entspricht nicht dem Auftrag des Kontoinhabers und ist grundsätzlich von der ausführenden Bank zu ersetzen. Das Opfer hat also einen Anspruch gegen die ausführende Bank auf „Rückzahlung“.

Aber: Die Bank kann Ihrerseits einen Anspruch gegen das Phishing-Opfer haben, wenn sich dieses vertragswidrig verhalten hat, eine Pflicht entsprechend §280 BGB verletzt hat. Wenn durch die Pflichtverletzung der Schaden entstanden ist, bestünde ein Schadensersatzanspruch der Bank gegen das Phishing-Opfer in gleicher oder anteiliger Höhe der Schadenssumme. Diese Summe kann die Bank dann Ihrerseits von dem Opfer verlangen. Der Einfachheit halber wird dann einfach Aufrechnung erklärt, so dass gar kein Geld fliessen muss.

Haftung des Opfers: Alte Rechtslage
Bis Ende 2009 gab es keine spezielle Regelung für diesen Fall. Es galt das allgemeine Schuldrecht und bei der Haftung des Phishing-Opfers wurde entsprechend §276 BGB jede Form von Fahrlässigkeit, also auch die einfache Fahrlässigkeit, berücksichtigt. Wenn also das Opfer die Weitergabe der Daten nur einfach fahrlässig veranlasst hatte, war es schon in der Haftung.

Vor dem Hintergrund dieser Rechtslage hat der Bundesgerichtshof (XI ZR 96/11) nun entschieden. Dabei ging es um den Fall, dass die Bank Ihren Kunden im Kundenbereich explizit den Hinweis gegeben hatte, niemals mehrere TAN-Nummern nacheinander irgendwo einzugeben, auch wenn es aussieht wie die „richtige Seite“. Dennoch gab das Opfer – der Bankkunde – insgesamt 10 TAN an, als er unbemerkt auf eine Phishing-Seite umgeleitet wurde.

Technischer Hinweis: Genau genommen geht es hier um das so genannte „Pharming“. Systeme haben lokale host-Dateien, in diesen Dateien kann man manuell vorgeben, dass bestimmte URL auf bestimmte IP-Adressen verweisen sollen. Gerade im Intranet mag das für viele hilfreich sein, wenn man anstelle 192.168.178.20 einfach nur „suppenkasper“ in den Browser eintippen muss. Beim Pharming wird diese lokale Datei manipuliert, so dass man bei Eingabe seiner richtigen Bank-URL unbemerkt auf eine Seite weitergeleitet wird, die die eigenen Daten ausspionieren möchte.

Diese Kombination nun aus Warnhinweis (der zur Kenntnis genommen wurde vom Opfer!) und dem klaren Handeln entgegen dem Warnhinweis genügte dem BGH, um eine einfache Fahrlässigkeit und im Ergebnis eine Haftung des Phishing-Opfers festzustellen.

Damit ist aber auch klar, dass dieser Fall wenig Präzedenz-Charakter hat. Abgesehen davon, dass hiervon ohnehin nur Altfälle betroffen sein können, deren Ansprüche aktuell verjähren müssten (wenn man mit der 3-jährigen Verjährungsfrist darauf abstellt, dass nur Vorfälle bis Oktober 2009 nach alter Lage betroffen sind): Hier ging es um den klaren Fall eines zur Kenntnis genommenen Warnhinweises, der explizit missachtet wurde, was sich auch eindeutig auf den Schaden ausgewirkt hat. Sobald eine Bank betroffen ist, bei welcher der Warnhinweis irgendwo auf einer Dokumentations-Seite „versteckt“ war, dürfte die Sachlage schon wieder anders aussehen.

Darüber hinaus war schon die damalige Rechtsprechung der Auffassung, dass die unreflektierte Weitergabe von jedenfalls mehreren TANs eine einfache Fahrlässigkeit darstellt (LG Köln, 9 S 195/07; LG Berlin, 37 O 4/09). Gleiches, wenn aktuelle System-Updates nicht eingespielt werden oder keine aktuelle Antiviren-Lösung vorhanden ist (LG Nürnberg-Fürth, 10 O 11391/07; LG Köln, 9 S 195/07).

Haftung des Opfers: Aktuelle Rechtslage

Inzwischen gilt mit § 675v Abs. 2 BGB ein ganz anderer Haftungsmaßstab, nämlich die „grobe Fahrlässigkeit“. Hierzu gibt es bisher die beachtenswerte Entscheidung des Landgerichts Landshut (24 O 1129/11), die ich hier ausführlich besprochen hatte. Dabei sehe ich die Entscheidung dieses LG weiterhin recht kritisch, man sollte die dortigen Grundsätze (es ging immerhin um 100 eingegebene TAN, also die komplette TAN-Liste!) nicht verallgemeinern.

Wenn die vollständigen Urteilsgründe des BGH vorliegen, wird sich zeigen, ob sich dort auch Ausführungen zur groben Fahrlässigkeit finden lassen. Indes ist das keinesfalls notwendig und m.E. auch nicht zu erwarten. Insofern wird die Rechtslage weiterhin für Phishing-Opfer bei Haftungsfragen offen sein.

Sonstige Ansprüche

Jedenfalls das LG Köln (9 S 195/07) hat festgestellt, dass ein Anspruch gegen „Finanzagenten“ auf Rückzahlung bestehen kann. Finanzagenten sind angeblich gutgläubige, die ihr Konto zur Weiterleitung des Geldes an den eigentlichen Dritten zur Verfügung stellen. Ihr (deutsches) Konto wird quasi als „Parkraum“ für das entwendete Geld benutzt. Das LG Köln nahm dabei einen Anspruch wegen Verletzung eines Schutzgesetzes, hier wegen Geldwäsche, an (§§ 823 Abs. 2 BGB i. V. m. § 261 Abs. 2, 5 StGB). Diese Strafbarkeit wegen Geldwäsche wird von Gerichten bei Finanzagenten wohl gerne erkannt (so auch LG Darmstadt, 212 Ls – 360 Js 33848/05 – 7 Ns; AG Hamm, 10 Ds 101 Js 244/05-1324/05; Kammergericht, 8 U 26/09). Anders das LG Bad-Kreuznach (2 O 331/07), das einen Computerbetrug (§263a StGB) erkennen möchte.

Zum Thema: