Phishing-Angriff: Zum grob fahrlässigen Verhalten eines Phishing-Opfers

Das Landgericht Landshut (24 O 1129/11) hat sich mit der Frage beschäftigt, wann ein Phishing-Opfer “grob fahrlässig” handelt. Die Frage ist bei der Rückabwicklung ungewollter Zahlungen von Bedeutung: Grundsätzlich legt §675u BGB fest, dass der “Zahler” (hier: Kontoinhaber) gegen seinen “Zahlungsdienstleister” (hier: Bank) einen Rückzahlungsanspruch hinsichtlich nicht autorisierter Zahlungen hat. Phishing-Opfer haben damit also grundsätzlich einen Rückzahlungsanspruch gegenüber der Bank. Aber: §675v II BGB sieht vor, dass im Falle grob fahrlässiger (oder gar vorsätzlicher) Verletzung von Pflichten der Kontoinhaber ggfs. zum Ersatz des vollen Schadens verpflichtet sein kann (sonst “nur” bis zu 150 Euro, §675v I BGB). Die Bank kann dem Kontoinhaber daher ggfs. entgegenhalten, dass dieser für den Schaden aufkommen muss (diesbezüglich wird dann “Aufrechnung” erklärt).

Interessant ist aber, wie weit das LG Landshut zu gehen bereit ist. Zuerst einmal hält das Landgericht (m.E. richtig) fest, dass alleine die Tatsache, dass ein Rechner eines Kunden einen Angriff durch einen Trojaner nicht “überstanden” hat, kein Indiz dafür sein kann, dass eine (aktuelle) Firewall/ein Virenscanner nicht installiert war:

Es liegt in der Natur der Sache, dass ein Schutz vor Computerviren regelmäßig nur in Reaktion auf bekannte Viren entwickelt werden kann. Deshalb kann auch ein regelmäßig aktualisiertes Schutzprogramm keine vollständige Gewähr dafür bieten, dass der Computer nicht von einem neu entwickelten Trojaner infiziert wird.

(Hinweis: Der Nutzer wurde nach einem Trojaner-Angriff bei Aufruf der Webseite seiner Bank in Wirklichkeit unbemerkt zu einer Phishing-Seite geleitet)

Phishing-Opfer müssen sich damit also nicht dem Vorwurf ausgesetzt sehen, dass sie nicht ausreichend gesichert waren, nur weil sie tatsächlich zum Opfer wurden. Andernfalls müsste das Phishing-Opfer erschöpfend beweisen, sich ausreichend gesichert zu haben.

Bemerkenswert ist aber, dass auch die Tatsache, dass das hier betroffene Opfer sämtliche (!) 100 TANs auf der Phishing-Seite eingetippt hat, nicht als grob fahrlässig zu bewerten sein soll. Zur Erinnerung: “Grobe Fahrlässigkeit setzt zunächst in objektiver Hinsicht eine das gewöhnliche Maß der Fahrlässigkeit erheblich übersteigende Schwere eines Sorgfaltsverstoßes voraus. Den Handelnden muss aber auch in subjektiver Hinsicht ein schweres Verschulden treffen.”.

Zu einer Verneinung grob fahrlässigen Verhalten führten folgende Erwägungen, die sicherlich nicht alle kritiklos hinzunehmen sind:

Zum einen beachtet das Gericht die subjektive Seite und berücksichtigt hier, dass der Betroffene nur “rudimentäre Computerkenntnisse” vorweisen konnte. Dies soll entlastend wirken. Der Bank wurde vorgeworfen, diesen Hinweis auf ihrer Seite platziert zu haben: “„Geben Sie nur dann eine TAN ein, wenn Sie selbst zuvor z. B. eine Überweisun… » Vollständiger Artikel