logo

Nach Auffassung des Amtsgericht Wiesloch haftet eine Bank für den Schaden, der einem Online-Banking-Kunden durch einem Phishing-Angriff entsteht, wenn der Kunde eine Virensoftware verwendete. Die Installation eines Firewall ist nicht erforderlich (AG Wiesloch, Urteil vom 20. Juni 2008 - 4 C 57/08 -).

Der Tatbestand:

Der vorliegende Fall hat die zivilrechtliche Beurteilung eines möglicherweise durch eine dritte Person erfolgten Zugriffes auf ein Onlinebankingkonto zum Gegenstand.

Der Kläger unterhält bei der Beklagten, einer Bank, das Konto mit der Nummer 6….. Seit etwa dem Jahr 2006 ist dieses Konto für das Onlinebanking aktiviert und sowohl der Kläger als auch seine kontobevollmächtigte Ehefrau nutzten dies. Der Computer ist mit dem Betriebssystem Windows XP und dem Antivirenprogramm „Norton Antivirus“ ausgestattet. Über die weitere konkrete Ausstattung mit einer Firewall und die Funktionsweise des Antivirenprogramms besteht Streit (vgl. As. 97).

Am 18.09.2007 um 11.38 Uhr wurde ein Betrag in Höhe von 4.127,67 EURO unter Angabe des Verwendungszweckes „892400371 EBAY“ und unter Verwendung der „TAN 867216“ an eine Person Namens D. überwiesen (vgl. den Kontoauszug Anlage K 1, As. 27). Die Überweisung wurde mittels eines einfachen TAN Verfahrens durchgeführt, bei dem die Angabe einer jeden TAN aus der TAN Liste geeignet ist, den Vorgang auszulösen. Eine zusätzliche weitere Absicherungen durch das sogenannte i-TAN- oder m-TAN- Verfahren oder ein Chipkartenverfahren fand nicht statt.

Am 19.09.2007 erhielt der Kläger einen Anruf von einem Mitarbeiter der Beklagten, dem die Überweisung als verdächtig aufgefallen war. Der Kläger gab dem Mitarbeiter gegenüber an, dass er die Überweisung nicht veranlasst habe und der Mitarbeiter sicherte zu, dass man versuchen werde, das Geld von der Empfängerbank zurückzubuchen. Mit Schreiben vom 27.09.2007 wandte sich der Vertreter des Klägers an die Beklagte und begehrte eine Rückbuchung (Anlage 4, As. 33). Diese wurde mit Schreiben vom 09.10.2007 von den Vertretern der Beklagten abgelehnt (Anlage K 5, As. 37).

Ein danach durchgeführter Scan des Computers des Klägers mit einem Antivirenprogramm ergab, dass auf dem Computer 14 sogenannte Schadprogramme vorhanden waren. Im Einzelnen wird hierzu auf die Liste Anlage K 3 (As. 31 ff.) verwiesen. Darüber hinaus beauftragte der Kläger den Sachverständigen H. mit der Auswertung eines vom Kläger selbst gefertigten Virenscans seines Computersystems. Dieser erstattete daraufhin zwei Gutachten. Die Klage wurde am 13.03.2008 den Vertretern der Beklagten zugestellt.

Der Kläger behauptet:

Seine Ehefrau habe am Sonntag, 16.09.2007 vom Familiencomputer drei Überweisungen tätigen wollen (As. 5). Sie habe daraufhin nach Eingabe der Empfängerdaten für die erste Überweisung die TAN 867216 eingegeben und die Überweisung freigegeben. Es sei daraufhin keine Mitteilung erfolgt, dass die Beklagte die Überweisung entgegengenommen habe. Die TAN sei jedoch verschwunden gewesen. In diesem Moment sei die Ehefrau des Klägers davon ausgegangen, dass vergessen worden sei, die TAN bei der letzten Transaktion einige Tage zuvor auszustreichen. Sodann habe die Ehefrau die geplanten Überweisungen durchgeführt.

Die Empfängerin des Geldes D. sei weder dem Kläger noch dessen Ehefrau bekannt und es bestünden keinerlei vertragliche oder tatsächliche Beziehungen zu dieser Person. Die Überweisung sei durch die unbekannten Täter mit Hilfe der sog. Keylogging- Methode durchgeführt worden.

Der Kläger behauptet weiter, er habe den Sachverständigen H. aufgrund der Ablehnung der Rückbuchung durch die Beklagte beauftragt. Dies habe Kosten in Höhe von 571,20 EURO verursacht.

Darüber hinaus sei dem Kläger oder seiner Ehefrau eine Aufklärung über die Risiken des Onlinebanking nicht zuteil geworden.

Der Kläger beantragt zuletzt (As. 3, 343) :

1. Die Beklagte wird verurteilt, an den Kläger 4.698,87 EURO nebst 5 Prozentpunkten Zinsen über dem Basiszinssatz aus 4.127,67 EURO seit dem 18.09.2007, nebst 5 Prozentpunkten Zinsen über dem Basiszinssatz aus 571,20 EURO seit Rechtshängigkeit zu zahlen.

2. Der Beklagte wird ferner verurteilt, an den Kläger 489,45 EURO nebst 5 Prozentpunkten Zinsen über dem Basiszinssatz hieraus seit Rechtshängigkeit zu zahlen.

Die Beklagte beantragt, die Klage abzuweisen.

Die Beklagte behauptet:

In rechtlicher Hinsicht nimmt die Beklagte den Standpunkt ein, dass aufgrund der Verwendung von PIN und TAN bei der Überweisung der Anscheinsbeweis dafür spreche, dass der Kontoinhaber selbst oder ein von ihm beauftragter Dritter die Überweisung getätigt haben muss (As. 93). Die Einwendungen der Klägerin seien „vom Ansatz her bereits nicht einmal geeignet, diesen Anscheinsbeweis zu entkräften“ (As. 95). Erst wenn bewiesen sei, dass die Überweisung durch einen Schädling ausgeführt sei, käme es zu einer „Abwägung des beiderseitigen Verschuldens“ (As. 97).

Durch das vorgelegte Gutachten des Herrn H. werde lediglich die Möglichkeit aufgezeigt, dass die aufgefundenen Schädlinge die Überweisung ausgeführt hätten. Selbst wenn die Überweisung jedoch von einem Schädling auf den Computer des Klägers ausgeführt worden sei, habe die Beklagte einen Schadensersatzanspruch gegen den Kläger (As. 329). Noch vor der den Gegenstand des vorliegenden Rechtsstreits bildenden Überweisung habe die Beklagte zahlreiche Hinweise zur Sicherheit des Onlinebanking im Internet zur Verfügung gestellt (As. 101) und eine Informationsbroschüre zugesandt, die auf die gegenüber dem einfachen TAN Verfahren sichereren Vatianten wie mTAN und das HBCI-Chipkartenverfahren hinweisen.

Darüber hinaus sei der Computer des Klägers nicht mit einer „Firewall“ ausgestattet gewesen. Diese alleine ermögliche es, den vorgefundenen Schädlingen den Zugang zum Computer zu verwehren (As. 97).

Hinsichtlich der Einzelheiten des Parteivorbringens wird auf die gewechselten Schriftsätze nebst Anlagen und die Protokolle der mündlichen Verhandlungen verwiesen. Das Gericht hat die Akte 61 Js 28344/07 der Staatsanwaltschaft Heilbronn beigezogen und zum Gegenstand der mündlichen Verhandlung gemacht. Auch wurde sie den Parteivertretern zur Verfügung gestellt (As. 315 und 317). Das Gericht hat Beweis erhoben durch Einvernehme der Zeugin W.. Hinsichtlich des Ergebnisses der Beweisaufnahme wird auf das Protokoll As. 337 ff verwiesen. Darüber hinaus wurde der Kläger informatorisch angehört (As. 329 ff.).

Die Entscheidungsgründe:

Der Klage war stattzugeben, da die Bank keinen Anspruch gegen den Kläger hatte, den sie durch Abbuchung vom Konto des Klägers befriedigen durfte. Ein Anspruch ergibt sich nicht aus einem Überweisungsvertrag mit dem Kläger – ggf. vertreten durch seine Ehefrau – (hierzu I. und III.). Auch die Verletzung einer Nebenpflicht, die zu einem Gegenanspruch der Beklagten gegen den Kläger führen könnte, ist nicht zur Überzeugung des Gerichts nachgewiesen (hierzu II. und III.). Daher waren auch die darüber hinaus geltend gemachten Kosten für das Gutachten und die Einschaltung eines Rechtsanwaltes zu erstatten (hierzu IV.).

I. Kein Überweisungsvertrag

A. Im konkreten Fall liegt der Abbuchung zur Überzeugung des Gerichts kein wirksamer Überweisungsvertrag zu Grunde.

1.) Rechtliche Ausgangslage

Die Beklagte hat nur dann einen Aufwendungsersatzanspruch gegen den Bankkunden, den sie durch Abbuchung vom Konto des Bankkunden befriedigen darf, wenn dieser oder eine von ihm beauftragte Person einen Überweisungsantrag abgegeben hat. Ohne wirksames Angebot des Kunden auf Abschluss eines Überweisungsvertrages kann das Konto nicht belastet werden, da es an einer Weisung fehlt. Das Fälschungsrisiko des Überweisungsauftrages trägt die Bank (Assies, Handbuch des Fachanwaltes für Bank- und Kapitalmarktrecht, 1. Auflage, 3. Kapitel, Rn. 52 unter Hinweis auf BGH, NJW 2001, 2968, 3183 und 3190 zu gefälschten Überweisungsträgern und Rn. 350 ff. zum Onlinebanking). Es kann dahinstehen ob der Auffassung Richters (in Assies, Handbuch des Fachanwaltes für Bank- und Kapitalmarktrecht, 1. Auflage, 6. Kapitel, Rn. 313) zuzustimmen ist, dass die „Verwendung der Legitimationsmedien [PIN und TAN] keinen Beweis im Rechtssinne für die Identität des Nutzers und die Berechtigung zur Kontonutzung darstellen.“ Im konkreten Fall wäre dieser jedenfalls widerlegt.

2.) Im konkreten Fall ergibt sich aus der Aussage der Zeugin W., die sich mit dem Ermittlungsergebnis der Staatsanwaltschaft Heilbronn im Verfahren 61 Js 28344/07 deckt, dass weder der Kläger noch dessen Ehefrau einen Überweisungsauftrag gegeben haben.

a.) Aussage der Ehefrau des Klägers

Die Zeugin W., die die TAN, mit der die den vorliegenden Rechtsstreit auslösende Überweisung ausgeführt wurde, in den PC eingegeben hat, hat angegeben, die Überweisung an die Empfängerin D. nicht ausgeführt zu haben (As. 343). Auch habe sie keinerlei Kontakt zu dieser Person gehabt.

b.) Beurteilung der Glaubwürdigkeit der Aussage

Die Zeugin schilderte den „klassischen Fall“ eines Zugriffes auf ein Bankkonto mittels des Einsatzes „bösartiger Software“ (vgl. zu den technischen Differenzierungen Assies/Richter, Handbuch des Fachanwaltes für Bank- und Kapitalmarktrecht, 1. Auflage, 3. Kapitel, Rn. 321 ff, 330, Erfurth, WM 2006, 2198). Das Gericht hat keinen Anlass an den Angaben der Zeugin zu zweifeln. Zwar hat sie ein gewisses Motiv, die Unwahrheit zu sagen, da ihr Ehemann ein wirtschaftliches Interesse am Ausgang des Prozesses hat. Auf der anderen Seite ist jedoch zu berücksichtigen, dass die Aussage selbst bereits zahlreiche Wahrheitssignale enthielt. So bejahte sie etwa die Frage, dass sie ein ebay-Konto unterhalte (As. 337). Da die Überweisung den Verwendungszweck „ebay“ aufwies hätte es nahegelegen, dies zu verschweigen, wenn die Zeugin hätte lügen wollen. Auch schilderten sowohl der Kläger als auch seine Frau beide übereinstimmend facettenreich die Installierung des Antivirenprogrammes durch den Freund und Kollegen des Mannes. Bei der Frage, ob jeweils das neueste Programm von dem Freund installiert werde, sage die Zeugin, dass sie dies nicht wisse. Auch bei der Frage der automatischen Aktualisierung zeigte sie sich nicht sicher. Gerade die letzten beiden Antworten werden vom Gericht ebenfalls als Wahrheitssignale eingestuft, da ein Lügner in dieser Situation klare und für den Kläger günstigere Antworten hätte geben können.

c.) Übereinstimmung der Aussage mit dem Ermittlungsergebnis der Staatsanwaltschaft Heilbronn

Vor allem aber decken sich die Angaben der Zeugin und des Klägers mit dem in der beigezogenen Akte 61 Js 28344/07 gegen die Empfängerin des Geldes und Beschuldigte D. sichtbaren Ermittlungsergebnis. Diese Akte war dem Kläger bei Einreichung der Klage noch nicht zur Verfügung gestellt worden. Hieraus ergibt sich, dass der Kläger selbst bereits am 19.09.2007 um 12.20 Uhr und damit kurz nach der Benachrichtigung durch die Bank über die Abbuchung bei der Kriminalpolizeiaußenstelle in Wiesloch bei KK P. Anzeige erstattet hatte. Die Empfängerin des Geldes hat in ihrer Vernehmung vom 08.04.2008 angegeben, das Geld abgehoben und mittels einer mit Western Union durchgeführten Barüberweisung nach St. Petersburg transferiert zu haben. Diese Vorgehensweise entspricht – was aus der Tätigkeit des Abteilungsrichters bei der Staatsanwaltschaft Heidelberg gerichtsbekannt ist – der Deliktstypik in derartigen Fällen der Onlinekriminalität.

Zwar ist der Beklagten zuzugeben, dass es durchaus theoretisch möglich ist, dass der Kläger auch Opfer eines Eingehungsbetruges im Rahmen eines Ebaykaufes wurde und die Empfängerin des Geldes D. als Finanzagentin für den Betrüger auftrat oder die Empfängerin Verkäuferin eines Gegenstandes bei ebay war (As. 95) . Es finden sich jedoch für diese These keinerlei Anhaltspunkte. Auch spricht das Vorhandensein von Schadprogrammen, die jedenfalls nach den Angaben des Gutachters H. geeignet sind, einen Keylogging Angriff durchzuführen, für die von der Zeugin geschilderte Version. Auch die ebenfalls in dem Verfahren 61 Js 28344/07 geführten Geschädigten L. und S., deren Gelder auch an die Empfängerin D. flossen, schilderten eine Tat im Zusammenhang mit Onlinebanking und auch auf einem der PC des L. wurden Bankdaten ausspähende Trojaner aufgefunden. Auch bei der Tat zu Lasten der S. wurden ausweislich ihrer Angaben in der Vernehmung vom 24.09.2007 der Verwendungszweck „ebay“ angegeben

d.) Übereinstimmung der Aussage mit dem vorgelegten Privatgutachten

Schließlich lassen sich die Angaben auch mit der von dem vom Kläger als Privatgutachten vorgelegten Auswertung eines Scans seines Computers in Übereinstimmung bringen. Dieses kommt zu dem Ergebnis, dass die dort aufgefundenen Viren - ohne dass entscheidungserheblich auf die exakte Funktionsweise der Viren ankommt (s.o.) - HTML/ADODB.Exploit.gen und PR7PSW.Sinowal.EV einen Zugriff auf den Computer im vorbeschriebenen Sinne ermöglichen (s. Seite 4 des Gutachtens Anlage K 6; As. 49).

3.) Eine Rechtsscheinshaftung des Klägers scheidet ebenfalls aus.

Die Vorrausetzungen der Rechtsscheinshaftung des Bankkunden im Fall der Verwendung von Passwörtern und anderen Identitätsmerkmalen werden in der Literatur als „noch sehr unscharf“ bezeichnet (Borges, Rechtsfragen des Phishing, NJW 2005, 3313). Nach Borges a.a.O. werden die Voraussetzungen regelmäßig nicht erfüllt sein, da der Kunde, solange er nicht weiß, dass er getäuscht wurde, keine Möglichkeit hat, den Missbrauch von PIN und TAN zu verhindern. Nach OLG Köln, MMR 2002, 813 (zu einer Emailadresse) ist eine Anscheinsvollmacht bei Benutzung einer Emailadresse nicht gegeben, da der Inhaber der Adresse nicht die Möglichkeit habe, das Verhalten eines Dritten vorauszusehen. Am ehesten dürfte eine Rechtsscheinshaftung nach Auffassung des Gerichts deshalb abzulehnen sein, da ein vom Kläger bewusst gesetzter Rechtsschein nicht vorhanden ist, dies jedoch - von den ausdrücklich normierten Fällen des „reinen Rechtsscheinsprinzips“ abgesehen - Voraussetzung für die Annahme einer Rechtsscheinshaftung ist (vgl. zum Vorstehenden Gernhuber, Bürgerliches Recht, 3. Auflage, S. 69, 73 und 79 sowie Canaris, Die Vertrauenshaftung im deutschen Privatrecht, § 43 (= S. 517).

B. Die Frage, ob zugunsten der Beklagten in den Fällen, in denen unter Verwendung der übermittelten PIN und TAN eine Überweisung durchgeführt wird, ein Anscheinsbeweis dafür eingreift, dass diese Überweisung vom Kontoinhaber oder einer beauftragten Person durchgeführt wurde (zum Streitstand Borges, NJW, 2005, 3313, 3316), kann vorliegend dahingestellt bleiben. Der Anscheinsbeweis setzt nämlich voraus, dass sich unter Berücksichtigung aller unstreitigen und festgestellten Einzelumstände und besonderen Merkmale des Sachverhaltes ein für die zu beweisende Tatsache nach der Lebenserfahrung typischer Geschehensablauf ergibt. Dann kann von einer feststehenden Ursache auf einen bestimmten Erfolg oder umgekehrt geschlossen werden. Ein Anscheinsbeweis kann jedoch erschüttert werden, indem konkrete Tatsachen behauptet oder bewiesen werden, aus denen sich die ernsthafte Möglichkeit eines vom Gewöhnlichen abweichenden Verlaufes ergibt. Im konkreten Fall wäre durch die unter A. gemachten Ausführungen ein Anscheinsbeweis erschüttert.

Lediglich als obiter dictum sei darauf hingewiesen, dass das Gericht gewisse Zweifel daran hat, ob bei Verwendung des im konkreten Fall angewendeten „einfachen TAN- Verfahrens“ ohne zusätzliche Absicherung durch das i-TAN Verfahren oder andere Sicherheitsmechanismen ein Anscheinsbeweis anzunehmen ist, der zum Inhalt hat, dass im Falle der Auslösung der Überweisung unter Verwendung der PIN und TAN der Kunde entweder den Überweisungsauftrag erteilt hat oder jedenfalls ein Schadensersatzanspruch der Bank besteht. Zum einen ist dem Gericht aufgrund der vormaligen Tätigkeit des Abteilungsrichters bei der Staatsanwaltschaft Heidelberg unter anderem im Bereich der Onlinekriminaltität bekannt, dass in zahlreichen Fällen die Daten etwa durch sog. Pharming an die Täter gelangen. In diesen Fällen ist dem Kunden nicht bekannt, dass er auf eine andere Homepage umgeleitet wird. Auch das LG Konstanz (MMR, 2002, 835, 836) sprach bereits im Jahr 2002 – die Gefahren durch Onlinekriminalität haben sich seither gesteigert (s. As. 191) – nach sachverständiger Beratung davon, dass das Ausspähen von Passworten mittels sog. Trojanischer Pferde eine „durchaus reelle Gefahr“ darstelle. Auch Stube (in Assies, Handbuch des Fachanwaltes für Bank- und Kapitalmarktrecht, 1. Auflage, 6. Kapitel, Rn. 54) spricht von der „mangelnden Systemsicherheit (...) des besonders störanfälligen PIN/TAN Systems“ und Erfurth (WM 2006, 2098, 2204 ff.) ist vor allem wegen des „rasant gestiegenen Einsatz“ von Keyloggern der Ansicht, dass ein Anscheinsbeweis nicht anzunehmen sei. Darüber hinaus sind Grundsätze der Entscheidung des Bundesgerichtshofes zum Anscheinsbeweis bei EC Karten (BGH, Urteil v. 05.102.004; XI ZR 210/03) möglicherweise nicht übertragbar. Zum einen handelt es sich bei der vorliegenden Fallkonstellation teilweise um eine täuschungsbedingte (klassisches Phishing) oder unbemerkte (Keylogging, Pharming) Preisgabe der Daten an den Täter, während der Kunde die Daten eigentlich seiner Bank geben will, während es sich beim typischen EC Karten Fall um einen Diebstahl der Karte handelt. Insofern ist es vermutlich nicht möglich, wie dies der Bundesgerichtshof im o.g. Urteil getan hat, aus der Verschlüsselungstechnologie selbst einen Rückschluss darauf zu ziehen, dass die PIN dann gerade unsorgfältig verwahrt worden sein musste. Es entspricht gerade der Deliktstypik, dass der Bankkunde die Informationen versehentlich an den Täter herausgibt (vgl. ausführlich zum technischen Hintergrund der Entscheidung zum Anscheinsbeweis bei EC Karten: Assies, Handbuch des Fachanwaltes für Bank- und Kapitalmarktrecht, 1. Auflage, 6. Kapitel, Rn. 162). Zum anderen hat der Gesetzgeber in § 292 a ZPO gerade einen Anscheinsbeweis für die sog. Elekronische Signatur nach dem SigG eingeführt. Es käme dann auf die Frage an, ob sich hieraus ein Umkehrschluss ziehen lässt, das in anderen Fällen ein Anscheinsbeweis nicht anzuwenden ist oder ob im Falle eines der elektronischen Signatur vergleichbaren Schutzniveaus eine analoge Anwendung möglich ist (zur logischen Gleichrangigkeit dieser Argumentationsfiguren Engisch, Einführung in das juristische Denken, 10. Auflage, S. 192).

II. Kein Gegenanspruch der Beklagten aus §§ 280, 241 Abs. 2 BGB

Da eine - dem Kläger gem. § 278 BGB zuzurechnende - Pflichtverletzung der Ehefrau des Klägers nicht von der Beklagten nachgewiesen ist, besteht kein Schadensersatzanspruch der Beklagten, den diese durch Abbuchung vom Konto des Klägers hätte befriedigen können.

1.) Sorgfaltsanforderungen an den Umgang mit PIN und TAN

Im konkreten Fall sind die allgemeinen Sorgfaltsanforderungen im Umgang mit der TAN und die Streitfrage, inwieweit diese einschlägig sind, wenn ein Kunde diese auf eine sog. Phishing-Mail antwortet, nicht entscheidungserheblich.

2.) Sorgfaltsanforderungen an die Absicherung eines Computers

a.) Rechtliche Ausganglage.

Im Ergebnis kann die Bank von ihren Kunden erwarten, dass diese einem den allgemeinen, an dem Verhalten eines durchschnittlichen PC-Benutzers orientierten Personalcomputer für die Benutzung des Onlinebanking verwenden (so auch Assies/Richter, Handbuch des Fachanwaltes für Bank- und Kapitalmarktrecht, 1. Auflage, 3. Kapitel, Rn. 354). Auch Erfurth (WM 2006, 2198, 220) verlangt „das zur Nutzung des Mediums notwendige Wissen, aber gerade kein fachspezifisches IT-Hintergrundwissen“ Eine irgendwie geartete Absicherung des Computers ist daher zu erwarten (so auch Assies/Richter, Handbuch des Fachanwaltes für Bank- und Kapitalmarktrecht, 1. Auflage, 3. Kapitel, Rn. 358; kundenfreundlicher jedoch Kind/Werner, CR 2006, 353 ff.). Hierbei ist jedoch zu beachten, dass das Kreditinstitut grundsätzlich das Risiko des Missbrauches der Sicherungsmedien trägt und dies nicht umfassend auf den Kunden abwälzen kann. Bei der Konkretisierung des Maßstabes ist weiterhin zu beachten, dass die Beklagte im Interesse einer vereinfachten Abwicklung und der Einsparung von Personalkosten (zu diesem Aspekt vgl. den Schriftsatz der Beklagten vom 13.03.2008; As. 99) weitgehend den Nutzern das Onlinebanking zur Verfügung stellte. Auch ist dem Abteilungsrichter aus seiner Tätigkeit als Staatsanwalt gerichtsbekannt, dass viele Personen einen als sorglos zu bezeichnenden Umgang mit den Gefahren des Internet pflegen und durch die immer benutzerfreundlichere Ausgestaltung der Personalcomputer und der Internetanwendungen kaum ein ernstzunehmendes Fachwissen besitzen müssen, um Onlinebanking zu betreiben. Letztlich ist es die unternehmerische Entscheidung der Bank, diesen Personen das Onlinebanking zur Verfügung zu stellen, was sich auf die anzuwendenden Sorgfaltsanforderungen auswirkt.

(2.) Soweit in Assies/Richter, Handbuch des Fachanwaltes für Bank- und Kapitalmarktrecht, 1. Auflage, 3. Kapitel, Rn. 343 ausgeführt wird, aufgrund der Allgemeinen Geschäftsbedingungen der Banken könne der Kunde aufgrund der bestehenden Vereinbarungen verpflichtet sein, seinen Rechner technisch aufzurüsten, wenn das Gerät durch Zeitablauf zur Verarbeitung der ausdrücklich vereinbarten Sicherheitsmaßnahmen (Hervorhebung vom Gericht) nicht mehr in der Lage ist, ist dies im vorliegenden Rechtsstreit nicht von Bedeutung. Die Beklagte hat eine derartige konkrete Vereinbarung nicht behauptet, sondern lediglich die Empfehlungen und Hinweise auf der Homepage übersendet. Diese haben jedoch keinen Vertragscharakter. Auf die AGB-rechtlichen Vereinbarkeit derartiger Klauseln und zur notwendigen Konkretisierung derartiger Klauseln (vgl. hierzu Assies/Richter, Handbuch des Fachanwaltes für Bank- und Kapitalmarktrecht, 1. Auflage, 3. Kapitel, Rn. 360 und Erfurth, WM 2006, 2198, 2200) kommt es daher nicht an. Soweit Assies/Richter, Handbuch des Fachanwaltes für Bank- und Kapitalmarktrecht, 1. Auflage, 3. Kapitel, Rn. 356 davon ausgehen, dass auch durch einseitige Hinweise der vom den Kunden anzuwendende Sorgfaltmaßstab erhöht werden kann, widerspricht dies allgemeinen vertragsrechtlichen Grundsätzen zur Begründung von Vertragspflichten (so im Ergebnis auch Erfurth, WM 2006, 2198, 2201).

b.) Die unter 2.a) herausgearbeiteten Anforderungen wurden im vorliegenden Fall erfüllt.

(1.) Dem Kläger und seiner Frau war „eigentlich klar“, dass ein Antivirenprogramm auf dem Computer installiert sein sollte (Aussage der Zeugin W.; As. 339). Daraufhin habe man über einen Freund und Geschäftskollegen des Klägers das Programm „Norton Antivirus“ installiert. Auch hatte die Zeugin, was sie in der Vernehmung durch eine Handbewegung unterstrich (As. 339), bei der Benutzung des PCs eine Acht auf dieses Programm. Nach den Angaben der Zeugin handelte es sich sogar um eine verbesserte Version des Programms, das nicht unentgeltlich, sondern kostenpflichtig war. Die Installation des Programmes wurde von dem Kläger im Rahmen seiner informatorischen Anhörung bestätigt (As. 337). Allerdings bezeichnete sich die Zeugin W. als „absolut kein Computermensch“ (As. 339). An eine Erläuterung der verschiedenen technischen Aspekte im Rahmen des Gesprächs über das Onlinebanking, das nach Angaben der Zeugin W. „kein langes Gespräch war“, konnten sich weder die Zeugin (As. 339) noch ihr informatorisch angehörter Ehemann erinnern (As. 337). Darüber hinaus hat sich die Ehefrau nach ihren Angaben in der Zeugenvernehmung einmal die Tipps auf der Homepage der Bank angeschaut. Hierin sei darüber informiert worden, dass über TANs nicht auf Anfragen von (angeblichen) „Bankangestellten“ geantwortet werden dürfe und welche Viren gerade im Umlauf seien (As. 337).

(2.) Dies entspricht den gerichtsbekannten durchschnittlichen Sorgfaltsvorkehrungen eines PC Benutzers oder übertrifft diese möglicherweise noch.

(a.) Der Abteilungsrichter ist selbst Benutzer eines internetfähigen Personalcomputers sowie des Onlinebankings und hat im Familien- und Freundeskreis Einblick in die Absicherung zahlreicher Computersysteme. Darüber hinaus war er bei der Staatsanwaltschaft 18 Monate auf einer Abteilung für allgemeine Strafsachen unter anderem im Bereich der Onlinekriminalität tätig und wertete als Staatsanwalt für einen Berichtsentwurf an das Justizministerium zur Onlinekriminalität weitere Akten zu dem vorliegenden Fall vergleichbaren Fällen aus. Aus den vorgenannten Umständen kann das durchschnittliche Absicherungsniveau eines Personalcomputers beurteilt werden.

(b.) Soweit von Seiten der Beklagen betont wurde, dass der Kläger keine Firewall auf seinem Computer installiert gehabt habe und es dadurch zu dem Befall des Computers gekommen sei, rechtfertigt dies keine andere Entscheidung. Zum einen hat das Gericht darauf hingewiesen, dass bei der auf dem Computer des Klägers installierten Windows XP-Version das Service Pack 2 installiert gewesen sei (As. 53) und dass dieses eine Firewall enthalte (As. 345 ff.). Zum anderen ist eine Firewall lediglich in den Empfehlungen, die auf der Homepage zur Verfügung gestellt werden, der Ehefrau des Klägers ausweislich ihrer Angaben im Termin jedoch nicht bekannt waren, erwähnt. Dort heißt es: „Unerlässlich ist deshalb, dass auf ihrem Computer ein Antivirenprogramm sowie eine Firewall installiert sind, die Sie regelmäßig aktualisieren.“ Eine konkrete Vertragspflicht, dass der Kunde sich gleichsam durch den Nachweis des Vorhandenseins einer Firewall gegenüber der Bank exkulpieren muss, kann hierdurch nicht begründet werden. Wenn die Beklagte derartige Anforderungen an ihre Kunden stellt, liegt es an ihr, im Rahmen der Entscheidung, welchen Kunden sie das Onlinebanking zur Verfügung stellt, das hierfür notwendige technische „know how“ vorauszusetzen oder zu vermitteln und eine ausdrückliche vertragliche Vereinbarung hierzu zu treffen.

(c.) Auch geht der Einwand, der Kläger habe pflichtwidrig ein kostenloses Antivirenprogramm benutzt, fehl. Zum einen hat die Zeugin W. angegeben, dass es sich nicht um ein kostenloses Programm gehandelt habe. Zum anderen entspricht es nicht den Anforderungen an einen durchschnittlichen Computerbenutzer, ein kostenpflichtiges Antivirenprogramm zu benutzen.

(3.) Die Einholung eines Schachverständigengutachtens hierzu war entbehrlich (s.a. die Hinweise As. 329 im Protokoll vom 11.06.2008)

(a.) Soweit der Beklagenvertreter ein Sachverständigengutachten zum Beweis der Tatsache beantragte, dass aus der Vielzahl der Schädlinge sich ergebe, dass von dem Kläger nichts zum Schutz des PC unternommen worden sei (As. 99), war dieses Gutachten nicht einzuholen. Es ist – worauf hingewiesen wurde (As. 329) – gerichtsbekannt, dass ein Schutz vor Computerviren immer nur reaktiv auf bereits bekannte Viren erfolgen kann. Die Entdeckung eines Computervirus setzt zwingend die Infizierung eines Computers mit Viren voraus, um diese anschließend zu bekämpfen. Auch die Beklagte hat in ihren im Internet veröffentlichten Hinweisen angegeben, dass sich Trojaner in der Regel unbemerkt installieren und erst mit Hilfe eines Antivirenprogrammes sichtbar würden (As. 125).

(b.) Soweit im Termin ein Sachverständigengutachten zum Beweis der Tatsache beantragt wurde, dass sich aus der Auswertung des Sachverständigen H. ergebe, dass der Computer des Klägers seit dem 25.01.2007 nicht mehr aktualisiert worden sei (As. 333), war diesem Antrag nicht nachzukommen. Es handelt sich hierbei um einen Ausforschungsbeweis. Aus der Scanliste Anlage K 3 (As. 31), die auszugsweise in dem Gutachten bei dem jeweiligen Virus wiedergegeben ist, ergibt sich nämlich, dass es sich bei der zur Grundlage des Beweisantrages gemachten Anmerkung im Gutachten „Um die Erkennung zu verbessern wurde die Engine mit folgenden Versionen akualisiert“ um eine Anmerkung des Scanprogrammes handelt, die nichts über den Zustand des Computers des Klägers aussagt. Darüber hinaus ist dieser Vermerk bei mehreren beschriebenen Virentypen mit jeweils anderen Daten aufgeführt, die sich auch noch teilweise nach dem Vorfall liegen (vgl. As. 31). Dies bestätigt auch der Gutacher H. in seinem Gutachten in dem ausdrücklich hervorgehoben wird, dass es sich um eine die Wiedergabe reiner Zitate der Vireninformationen der Firma Avira H + B handle (Anlage K 6 Seite 1 unter 1.; As. 43 und Seite 3 unter 3. am unteren Seitenende).

3.) Sorgfaltsanforderungen an die Reaktion nach der Überweisung

Im konkreten Fall ist auch ein – dem Kläger nach § 278 BGB zuzurechnendes - Fehlverhalten der Ehefrau im Zusammenhang mit der Durchführung der Überweisung des Klägers nicht nachgewiesen. Zwar spricht vieles dafür, wenngleich dies im konkreten Fall nicht zu entscheiden ist, dass ein Bankkunde, nachdem er von einem Angriff eines Dritten auf seine Daten Kenntnis erlangt, die Nebenpflicht hat, die Bank über den Angriff zu informieren (für die Einstufung als Rechtsscheinstatbestand jedoch Borges, NJW 2005, 3313. Auf S. 3315 heißt es jedoch: „Eine Pflichtverletzung (...) ist zu bejahen, wenn der Kunde nach Entdeckung des Phishing Angriffes untätig bleibt und dadurch weitere Verfügungen des Täters ermöglicht.“). Auch ist dem Abteilungsrichter aus der Tätigkeit bei der Staatsanwaltschaft bekannt, dass es in zahlreichen derartigen Fällen gelingen kann, das Geld von der Empfängerbank zurückzubuchen.

Im konkreten Fall liegt eine Sorgfaltspflichtverletzung jedoch nicht vor. Die Zeugin W. hat in ihrer Vernehmung angegeben, dass nach der TAN der Bildschirm zwei mal für einen Moment schwarz geworden sei (As. 341). Sie beschrieb diesen Zeitraum als eine zehntel Sekunde. Unabhängig davon, ob derartige Zeitschätzungen von einem Zeugen zutreffend vorgenommen werden, ist dennoch festzustellen, dass die Zeugin hiermit einen äußerst kurze Zeitspanne wiedergab. Danach war der Bildschirm nach Angaben der Zeugin wieder so wie er vorher war, lediglich die TAN war verschwunden. Sie habe gedacht, dass die TAN bei der letzten Überweisung verbraucht worden sei und daraufhin ihre Überweisungen mit anderen TANs erfolgreich durchgeführt (As. 341). Aufgrund der Tatsache, dass das System anschließend weiterlief und nicht – was gerichtsbekannt häufig in derartigen Fällen passiert – abstürzte und sich die Zeugin eine nachvollziehbare Erklärung für den Vorgang geben konnte, kann von der Verletzung einer Nebenpflicht nicht ausgegangen werden. Auch die Beklagte ging in ihren Hinweisen - deren Kenntnisnahme von dem Kläger bestritten wurde - davon aus, dass nur das „Abbrechen“ des Onlinebankingsystems Grund zur Benachrichtigung der Bank gebe (Anlage B 1; As. 105)

4.) Sorgfaltsanforderungen an die Auswahl eines sicheren TAN Systems durch den Kläger:

Soweit die Beklagte vorbrachte, der Kläger hätte sich trotz Information über das sicherere aber auch kostenpflichtige m-TAN System und das HBCI Chipkartenverfahren für das im vorliegenden Fall verwendete einfache TAN System entschieden (As. 101), kann hieraus keine Haftung des Klägers abgeleitet werden. Wenn die Beklagte möchte, dass ihre Kunden diese Systeme nutzten, mag sie das weniger sichere aber kostengünstige einfache TAN Verfahren aus ihrem Leistungsangebot nehmen und die sich hieran anschließende Konsequenz einer verminderten Attraktivität ihres Angebotes am Markt ziehen. Wenn sie es anbietet, kann in der Benutzung des Systems als solcher keine Pflichtverletzung des Kunden erblickt werden. Dies gilt um so mehr, als dass die Beklagte auf ihrer Homepage dieses Verfahren als sicher darstellte. Dort heißt es: „Durch die Verwendung von PIN und TAN ist sichergestellt, dass nur Sie mit ihrer Zugangskennung (VR-NetKey) (…) Bankgeschäfte mit der Online-Anwendung durchführen (…) können“ (As. 115). Die anderen Systeme wurden auf der Homepage lediglich „empfohlen“ (As. 147, 149).

III. Diese unter I. und II. beschriebene Rechtsauffassung hält einer die wirtschaftlichen Folgen und durch Missbrauchsmöglichkeiten hervorgerufenen wirtschaftlichen Risiken in Betracht ziehenden Überprüfung stand, da es sich um eine unter Anwendung des zwischenzeitlich überholten „normalen“ TAN Systems vorgenommene Überweisung handelt.

Das Gericht verkennt nicht, dass die oben dargestellte Rechtsauffassung gewisse Missbrauchsrisiken mit sich bringen kann. Die nachfolgenden Ausführungen stellen eine abstrakte Überprüfung der oben herausgearbeiteten Rechtsauffassung dar. Es liegt dem Gericht fern, dem Kläger unlautere Motive zu unterstellen.

1.) Es werden alleine in Deutschland ca. 6,7 Millionen Überweisungsvorgänge pro Jahr getätigt (Assies, Handbuch des Fachanwaltes für Bank- und Kapitalmarktrecht, 1. Auflage, 6. Kapitel, Rn. 1). Alleine diese Zahl bringt zum Ausdruck, dass die hierfür gesetzten rechtlichen Rahmenbedingungen sich als zur Abwicklung eines derartigen „Massengeschäfts“ tauglich erweisen müssen. Auch hat die Rechtsprechung vielfach auf die Bedürfnisse des Bankenverkehrs reagiert. So wurde etwa der Grundsatz der Formenstrenge des Überweisungsauftages entwickelt (vgl. Assies, Handbuch des Fachanwaltes für Bank- und Kapitalmarktrecht, 1. Auflage, 6. Kapitel, Rn. 14 – dort jedoch auch zu den Grenzen bei sich aufdrängendem Missbrauch unter Hinweis auf OLG Karlsruhe, WM 2007, 300). Es wäre in Zeiten der Globalisierung auf der anderen Seite ein leichtes, im Ausland ein Konto einzurichten, auf dieses Geld zu überweisen und anschließend zu behaupten, man habe die Überweisung nicht ausgeführt.

2.) Das Gericht stuft dieses Risiko jedoch im konkreten Fall trotz des Massencharakters des Überweisungsverkehrs als gering ein. Zum einen liegt es seit jeher im Verantwortungsbereich der Bank, dass etwa ein Überweisungsträger gefälscht wird. Auch diese Haftungsverteilung hat den Überweisungsverkehr nicht nennenswert beeinträchtigt. Das Online Banking und das Phänomen des Phishing bringen lediglich die Gefahren eines weiteren Kriminalitäsfeldes mit sich. Vor allem aber wurden aufgrund des zunehmenden Missbrauchs des Onlinebanking neue Identifizierungsverfahren wie i-TAN, n-TAN oder das Chipkartenleseverfahren entwickelt (Assies, Handbuch des Fachanwaltes für Bank- und Kapitalmarktrecht, 1. Auflage, 6. Kapitel, Rn. 142 ff, 259). Gerade durch das i-TAN Verfahren wurden die Schadensursachen reduziert (Assies, Handbuch des Fachanwaltes für Bank- und Kapitalmarktrecht, 1. Auflage, 3. Kapitel, Rn. 54). Die vorliegend zu beurteilende Überweisung wurde noch unter Verwendung einer sog. „normalen“ TAN durchgeführt. Seit dem Jahr 2006 sind die fortentwickelten PIN/TAN Systeme bei zahlreichen Banken im Einsatz (Assies/Richter, Handbuch des Fachanwaltes für Bank- und Kapitalmarktrecht, 1. Auflage, 3. Kapitel, Rn. 334 mit weiteren Nachweisen) und werden als „Stand der Technik“ bezeichnet (Assies/Strube, Handbuch des Fachanwaltes für Bank- und Kapitalmarktrecht, 1. Auflage, 3. Kapitel, Rn. 54). Die oben herausgearbeitete Rechtsauffassung ist daher – mehr muss im konkreten Fall nicht entschieden werden - auf eine begrenzte Anzahl abgeschlossener Fälle anzuwenden. Dies reduziert das Risiko, durch eine zu „kundenfreundliche“ Rechtsprechung zugleich ein Missbrauchsanreiz für Kriminelle zu liefern. Darüber hinaus ist im Rahmen der Beweiswürdigung eines jeden Falles selbstverständlich die - oben ausführlich dargestellte - Genese der Behauptung, die Überweisung sei nicht von dem Kontoinhaber getätigt worden, zu beachten. Hierbei wird insbesondere die Frage von Bedeutung sein, wann nach Kenntnis vom Überweisungsvorgang die Behauptung aufgestellt wurde und ob diese Behauptung durch die Anzeigenerstattung bei der Polizei dokumentiert wurde und ob die Behauptung mit dem Ermittlungsergebnis in Einklang zu bringen ist.

IV. Die Kosten für die Einholung des Gutachtens des H. und die Einschaltung eines Rechtsanwaltes sind erstattungsfähig.

A. Gutachterkosten:

Das Gutachten As. 43 wurde in Auftrag gegeben, da die Beklagte sich weigerte, den Betrag wieder gutzuschreiben. Die hierdurch verursachten (bestrittenen - As. 103) Kosten sind durch die Rechnungen As. 77 und 79 und die hierin genannten „Aufträge“ nachgewiesen. Das mit den Daten des Scans und des Gutachtens untermauerte Vorbringen des Beklagtenvertreters, die Weigerung sei nicht die Ursache für die Beauftragung gewesen (As. 97), ist unzutreffend. Der Gutacher wertete nämlich ein vom Kläger zuvor erstelltes Scanprotokoll aus. Angesichts der Komplexität der technischen und rechtlichen Zusammenhänge ist das Gutachten als zur zweckentsprechenden Rechtsverfolgung (s. zu diesem Kriterium s. Palandt, § 249 Rn. 40) notwendiges Gutachten einzustufen.

B. Rechtsanwaltskosten:

Im Falle eines fehlenden Überweisungsauftrages muss die Belastungsbuchung umgehend storniert werden (Assies, Handbuch des Fachanwaltes für Bank- und Kapitalmarktrecht, 1. Auflage, 6. Kapitel, Rn. 52). Am 19.09.2007 hat der Mitarbeiter der Beklagten nach dem unstreitigen Sachvortrag mitgeteilt, dass man versuche, den Betrag von dem Empfängerkonto „zurückzuholen“ (As. 7). Hierin ist eine Selbstmahnung i.S.v. Palandt, § 286 Rn. 25 zu sehen. Da dies trotz der Kommunikation des Klägers mit der Bank am 19.09.2007 nicht erfolgt ist, geriet die Bank in Verzug. Daher ist die vorgerichtliche Tätigkeit des Vertreters des Klägers in Form des Schreibens vom 27.09.2008 (Anlage K4, As. 33) als Verzugsschaden zu ersetzen. Hieraus ergibt sich der in Ziffer 2 zugesprochene Betrag in Höhe von 489,45 EURO (vgl. As 25). Da es sich hierbei um eine gesetzlich geregelte Vergütung handelt und das Schreiben vom 27.09.2008 nachgewiesen ist, konnte dieser Betrag trotz des Bestreitens der Beklagten (As. 103) festgestellt werden.

C. Verfahrensentscheidungen:

Die Klageabweisung im Übrigen beruht darauf, dass der Zinsanspruch erst ab dem 19.09.2007 und nicht - wie beantragt - ab dem 18.09.2007 besteht. Die Kostenentscheidung beruht auf §§ 91 Abs. 1, 92 Abs. 2 Nr. 1 ZPO. Der Ausspruch zur vorläufigen Vollstreckbarkeit beruht auf § 709 BGB. Die - im Urteil mögliche - Streitwertfestsetzung beruht auf §§ 3, 4 ZPO. Die Kosten der außergerichtlichen Beauftragung eines Rechtsanwaltes waren als „Kosten“ i.S.v. § 4 ZPO nicht hineinzurechnen.

Anmerkung:
Das AG Wiesloch senkt die Anforderungen an die Sorgfaltspflicht des Online-Banking-Kunden und weicht damit von der Rechtsprechung anderer Amtsgerichte ab. Die Entscheidung des AG Wiesloch ist aber gut vertretbar, weil es letztlich die Banken sind, die von dem Online-Banking erheblich proftieren. Denn die Bankenlassen sich von dem Online-Bankkunden die Buchungsarbeit abnehmen. Wer derart Kosten spart, muss auch selbst für die erforderliche Sicherheit sorgen. Eine Bank, die aber noch das alte und anfällige TAN-Verfahren anbietet, muss daher auch das Risiko des TAN-Mißbrauchs tragen.
Es bleibt abzuwarten, ob eine oberlandesgerichtliche oder höchstgerichtliche Rechtsprechung zu diesem Thema kommt und ob diese dann für Banken und Kunden die erforderliche Rechtssicherheit bringt.