IT-Recht

Wann haftet der Kunde bei Missbrauch des Online-Banking?

Online-Banking
geschrieben von Boris Burow

Eine Vielzahl von Bankkunden wickelt heutzutage seine Bankgeschäfte online ab. Hierbei ist es vor allen Dingen die Online-Überweisung, die den Großteil der Nutzung des Online-Banking ausmacht. Mit der steigenden Verbreitung des Online-Banking nahmen auch die Missbrauchsfälle zu, sodass die Gerichte in vielfacher Hinsicht Entscheidungen zu treffen hatten, wer für eine missbräuchliche Überweisung haftet. Ebenso hat der Gesetzgeber reagiert und Rahmenregelungen für den Missbrauch beim Online-Banking aufgestellt. Im Gegensatz zu gefälschten Papier-Überweisungen ist die Rechtslage dabei etwas komplizierter.

Die Rechtslage ist bei Papier-Überweisungen relativ einfach. Hier trägt in der Regel die Bank das Risiko, dass die Papier-Überweisung gefälscht wurde. Wenn ein Dritter einen Überweisungsbeleg mit den Daten des Kontoinhabers ausfüllt und die Unterschrift fälscht, so liegt kein Auftrag des Kontoinhabers vor. Die Bank hat hier eine Schutzpflicht ihren Kunden gegenüber und ist entsprechend zum Schadensersatz verpflichtet, wenn eine Papier-Überweisung gefälscht worden ist. Letztlich muss die Bank dem Kunden gegenüber den Betrag, der von seinem Konto überwiesen wurde, gutschreiben. Dies galt auch für einen Fall, in dem der Täter eine Originalüberweisung aus dem Briefkasten der Bank entfernt und diese dann gefälscht hat. Bei Papier-Überweisungen kann man sich demnach relativ sicher sein, dass die Bank den entsprechenden Schaden ersetzen muss.

Die Haftung der Bank ist selbstverständlich ausgeschlossen, wenn jemand einen Überweisungsträger nur teilweise ausfüllt, mit seiner Unterschrift versieht und sodann einem Dritten übergibt mit der Weisung, diesen nur abredegemäß auszufüllen. Weicht der Dritte dann von der Vereinbarung ab, haftet die Bank für diesen Schaden nicht. Hier hat der Bankkunde das Schadensereignis grob fahrlässig selbst verursacht.

Eindeutige Rechtslage bei Papier-Überweisungen

Daneben setzen die Banken Prüfsoftware ein, die die vorab hinterlegte Unterschrift des Kunden mit den Unterschriften auf dem Überweisungsträger abgleicht. Aus eigener Erfahrung kann ich berichten, dass selbst eine für mich perfekte Täuschung der Unterschrift durch die Bank erkannt wurde und die entsprechende Überweisung nicht ausgeführt worden ist. Es ist ein Interesse der Banken, gefälschte Überweisungen erst gar nicht auszuführen, sodass sie lieber im Hintergrund aufwendige Prüfungen durchführen, um einen solchen Fall zu vermeiden.

Um einen Missbrauch von Papier-Überweisungen komplett auszuschließen, kann man bei den meisten Banken Papier-Überweisungen komplett sperren lassen. In diesem Fall wird jede Überweisung abgelehnt und ein Schaden kann auch hier erst gar nicht entstehen. Seit der Einführung des Online-Banking und der papierlosen Überweisung ist die Sach- und Rechtslage etwas komplizierter geworden. Für die Banken war klar, dass sie Sicherheitsmerkmale einführen muss, um zu vermeiden, dass Onlinesysteme missbräuchlich verwendet werden.

Online-Banking: Verschiedene Sicherheitssysteme sind im Einsatz

Neben einem klassischen Login, der aus einer Benutzerkennung und einem Passwort besteht, war es von Anfang an für Überweisungen notwendig, eine weitere Sicherheitsüberprüfung durchzuführen. Zu Beginn arbeiteten die Banken hier mit TAN-Listen, bei denen der Kunde eine beliebige TAN zur Autorisierung eines Überweisungsauftrages eingeben musste. Später wurden diese TAN-Listen durchnummeriert, sodass der Kunde eine spezielle TAN-Nummer eingeben musste. Diese Verfahren sind heutzutage weitestgehend abgeschafft und durch modernere Verfahren ersetz worden. Regelmäßig bieten die Banken drei Verfahren an.

Es gibt Banken, die einen TAN-Generator an ihre Kunden ausgeben, der nach Eingabe der letzten zehn Ziffern der IBAN eine entsprechende TAN berechnet. Bei dieser Berechnung wird aber nicht nur die IBAN herangezogen, sondern auch weitere Faktoren. Eine weitere Möglichkeit besteht darin, dass der Kunde mit seiner EC-Karte und einem Lesegerät einen Code auf dem Monitor erfasst, welcher dann zur Generierung einer TAN führt. Daneben gibt es noch die Möglichkeit, dass die  Bank eine App anbietet, mit der die TAN generiert wird oder aber zum Beispiel eine SMS mit der jeweiligen TAN versendet. Diese Verfahren werden von den Banken als sehr sicher eingestuft mit der Folge, dass sie bei einer missbräuchlichen Überweisung zunächst einmal davon ausgehen, dass der Kunde in irgendeiner Form für den Missbrauch verantwortlich ist. Wenn der Kunde für den Missbrauch verantwortlich ist, ist die Bank von der Haftung befreit.

Die Fälle, in denen eine Haftung der Bank relativ einfach ausgeschlossen werden kann, betreffen Konstellationen, in denen der Kontoinhaber zum Beispiel die Zugangsdaten auf einen Zettel niederschreibt und diesen öffentlich sichtbar an seinem Computer liegen lässt in Kombination mit dem TAN-Generator. Wer Dritten freiwillig Zugang zu seinem Online-Banking gewährt, ist auch selbst verantwortlich, wenn diese Personen abweichende Überweisungen ausführen.

Wie vorsichtig muss der Kontoinhaber sein?

Problematischer sind die Fälle, bei denen Dritte versuchen die Sicherungsmechanisem der Bank auszuhebeln. Grundsätzlich gilt hier aber ein strenger Haftungsmaßstab. Wer im Internet Zugangsdaten und/oder generierte TAN-Nummern eingibt, ist hierfür selbst verantwortlich. Wer auf Phishing-E-Mails hereinfällt und seine Zugangsdaten bzw. TAN-Nummern preisgibt, ist ebenfalls für diese Schäden selbst verantwortlich. Auch wenn Dritte sich rechtswidrig Zugang zum Computer eines Nutzers verschaffen, kann eine Haftung des Bankkunden angenommen werden, wenn dieser allgemein bekannte Sicherungsmaßnahmen unterlässt.

Aufgrund der weitreichenden Berichterstattung gehen die Gerichte derzeit davon aus, dass es einem Computernutzer durchaus zumutbar ist, eine Antivirensoftware sowie eine Firewall zu nutzen. Weiterhin gehen die Gerichte davon aus, dass ein Bankkunde immer misstrauisch sein muss, wenn er aufgefordert wird, seine Zugangsdaten und/oder eine TAN-Nummer einzugeben oder eine solche zu generieren. Die Banken weisen nämlich regelmäßig auf den Webseiten des Online-Banking darauf hin, dass die Generierung von TAN-Nummern niemals von Bankmitarbeitern selbst verlangt wird. Die Generierung von TAN-Nummern ist immer nur im konkreten Einzelfall bei Durchführung einer Online-Banking-Aktion zu generieren und es sind auch nur die Daten zu nutzen, die man selbst zuvor eingegeben hat. Wenn ein Bankkunde nach Eingabe von Überweisungsdaten daher plötzlich andere Daten zur Generierung einer TAN in den TAN-Generator eingeben soll, so hat er misstrauisch zu sein und den Vorgang sicherheitshalber abzubrechen.

Problemfall: SMS-TAN

Gerade im Bereich des SMS-TAN-Verfahren ergibt sich aber eine Problematik, die durchaus die Frage aufwerfen kann, wer für den Missbrauch des SMS-TAN-Verfahren haftet. Gerade dabei kann es nämlich durchaus passieren, dass Betrüger eine Ersatz-SIM-Karte anfordern und diese Ersatz-SIM-Karte für den Erhalt von SMS aktivieren. Wenn die Betrüger sich in einem zweiten Schritt Zugang zum Online-Banking-System verschaffen, etwa durch eine Phishing-E-Mail, so stellt sich die Frage, wer nun für diesen Missbrauch zu haften hat.

Der Bundesgerichtshof hatte nun einen Fall zu entscheiden, bei dem der Kontoinhaber am Online-Banking teilnahm. Die Freigaben wurden durch das sogenannte SMS-TAN-Verfahren durchgeführt. Der Kontoinhaber erhielt aus nicht geklärten Umständen zwei Gutschriften auf seinem Geschäftskonto. Die Bank veranlasste entsprechende Stornierungen, welche aber aufgrund des Wochenendes erst am darauffolgenden Montag ausgeführt wurden. Zuvor wurde aber am Freitagabend unter Verwendung der zutreffenden Login-Daten und einer gültigen SMS-TAN eine Überweisung in Höhe von 235.000 Euro vom Konto des Kontoinhabers abgebucht. Die Bank führte zunächst die Überweisung aus und später die Stornierung, sodass ein entsprechender Sollbetrag auf dem Geschäftskonto des Kontoinhabers entstand. Diesen forderte die Bank vom Bankkunden ein. Dieser widersetzte sich und so kam es zum Rechtsstreit.

System praktisch unüberwindbar?

Der BGH hat hierzu festgestellt, dass bei einer missbräuchlichen Nutzung des Online-Banking kein Beweis des ersten Anscheins für ein grobfahrlässiges Verhalten des Kontoinhabers vorliegt. Dies ist insoweit wichtig, weil nach dem Gesetz der Kontoinhaber bei grob fahrlässigem Verhalten für einen Missbrauch haftet. Liegt dagegen einfache Fahrlässigkeit vor, haftet der Bankkunde nicht. Es obliegt zunächst der Bank, darzulegen, dass das Sicherungssystem zum Zeitpunkt der Vornahme der strittigen Überweisung im Allgemeinen praktisch unüberwindbar war, im konkreten Fall ordnungsgemäß angewendet worden ist und fehlerfrei funktioniert hat. Hierzu ist es notwendig, sich das konkrete Authentifizierungsverfahren anzuschauen und festzustellen, ob diese Voraussetzungen vorliegen.

Es ist daher von Seiten der Bank nicht möglich zu behaupten, dass die Nutzung der korrekten Logindaten und korrekten SMS-TAN automatisch dazu führt, dass der Kunde grob fahrlässig gehandelt haben muss. Der Kunde muss aber Einwendungen darlegen, die eine missbräuchliche Nutzung möglich erscheinen lassen, dass er nicht grob fahrlässig gehandelt hat. Der BGH hat die Sache nun zurückverwiesen, da hierzu weitere Feststellungen notwendig sind. Aber es kann gut sein, dass gerade im Bereich des SMS-Tan-Verfahren trotz Nutzung der Zugangsdaten und der korrekten TAN bedingt durch die Möglichkeit, dass Dritte durch eine weitere SIM-Karte die SMS abfangen, keine Haftung des Bankkunden besteht.

In der wöchentlichen Kolumne Boris berät beantwortet euch Rechtsanwalt Boris Burow eure Fragen zum Thema Internet-, IT- und Social-Media-Recht. Fragen? Immer her damit!

Jobs in der IT-Branche


Über den Autor

Boris Burow

Boris ist Rechtsanwalt aus Karlsruhe und hat seine Begeisterung für IT, Medien und Internet zum Schwerpunkt seiner Arbeit gemacht.

1 Kommentar

  • Der Titel ist dir recht zweideutig gelungen: Missbrauch des Online-Banking. Das ist wie die Tür des Haus.
    Wen oder was missbraucht das Online-Banking?
    Trau dir ruhig und hab Mut: des Online-Bankings

Kommentieren