Der Bundesgerichtshof hat entschieden: In Betrugsfällen haften die Kunden der Banken für die entstandenen Schäden, wenn sie ihre Sorgfaltspflicht verletzen. Damit sind die Weichen für die Zukunft gestellt, auch wenn Anwälte dieser Entscheidung noch keine grundlegende Bedeutung beimessen.
Es ist einfach und praktisch, das Onlinebanking. Aber es ist auch mit verschiedenen Gefahren versehen und eine gewisse Sorgfalt sollte der Nutzer walten lassen. Eine fahrlässige Handlung kann teuer werden. Dennoch kann verhindert werden, dass das Konto abgeräumt wird, wenn man verschiedene Dinge beachtet. Zum Beispiel ist es ungewöhnlich und nicht üblich, dass mehrere TAN-Nummern für eine Zahlung eingegeben werden müssen. Durch diese Aufforderung sollte der Nutzer bereits misstrauisch werden. Wenn eine Transaktion vorgenommen wird, ist grundsätzlich die Verwendung von nur einer TAN-Nummer erforderlich.
SMS-TAN sind sicher(er)
Der Bundesgerichtshof hat nun festgestellt, dass der Fehler in diesem Einzelfall beim Kunden lag und die Bank dafür keinerlei Verantwortung trägt. Im bekannten Fall hatte die Bank zudem vorab noch über die Machenschaften informiert und ihre Kunden gewarnt. Somit steht eindeutig fest, dass der Kunde seine Sorgfaltspflicht verletzt hat. Es ist eine Einzelfallentscheidung des Bundesgerichtshofes, dennoch ist es natürlich auf andere Fälle anwendbar.
Das iTAN-Verfahren in der bisher bekannten Form wird inzwischen nur noch von ein wenigen Banken ausschliesslich angewendet. Inzwischen gibt es andere, wesentlich sichere Lösungen, wie zum Beispiel das Chip-TAN oder die SMS-TAN. Für das Chip-Tan steht ein kleines Gerät zur Verfügung, das zunächst gekauft werden muss. Manche Banken stellen es jedoch kostenlos zur Verfügung. Für die SMS-Tan wird die benötigte TAN auf die vorher angegebene und bestätigte Handynummer des Bankkunden geleitet. Bei beiden Verfahren wird nur eine TAN zugeteilt. Damit ist zudem gewährleistet, dass die TANs nicht in falsche Hände geraten.
Zu dem Urteilsspruch ist hinzuzufügen, dass es sich um einen Vorfall handelte, der bereits im Jahr 2008 vorgekommen ist. Bereits seit 2009 gibt es im Bürgerlichen Gesetzbuch nur noch die Haftung bei Vorsatz oder grober Fahrlässigkeit. Im Fall, der vom Bundesgerichtshof verhandelt wurde, wäre es wohl mit einfacher Fahrlässigkeit getan gewesen, sodass das Urteil so nicht gefällt worden wäre.
Keine Auswirkungen für Kunden der ING-DiBa
Sehr kundenfreundlich agiert die ING-DiBa in dem Zusammenhang. So erklärte die Direktbank direkt nach dem Urteil, dass die Entscheidung des Bundesgerichtshofes (BGH) für die Kunden der ING-DiBa keine Auswirkungen hat. Die Direktbank sichert ihren Online-Banking-Nutzern im Rahmen des „ING-DiBa Versprechens“ zu, diese von der Haftung komplett freizustellen, wenn Dritte deren Zugangsdaten zum Internetbanking missbrauchen. Dabei wird nicht geprüft, ob der Kunde ein Mitverschulden haben könnte.
Als Voraussetzung für die Übernahme eines Schadens muss der Kunde die Bank lediglich unverzüglich über den Vorfall, zum Beispiel einen Phishing- oder Pharming-Angriff, informieren und eine Betrugsanzeige bei der Polizei erstatten. Außerdem dürfen die für die Transaktionen notwendigen Transaktionsnummern (iTAN oder mTAN) nicht auf demselben Computer oder Smartphone, mit dem der Kunde das Online-Banking betrieben hat, gespeichert oder empfangen worden sein.