Das AG Frankfurt am Main (Urteil vom 24.03.2016, 32 C 3377/15) hat sich mit der Haftung bei gefälschten E-Mails, durch die Dritte an sensible Kundendaten gelangen wollen (Phishing), beschäftigt. Es entschied, dass ein Bankkunde, der wegen einer Phishing-E-Mail seine Kontodaten und seinen Telefonbanking-PIN an Dritte weitergibt, grob fahrlässig handelt und die Bank nicht haftet.
Sachverhalt
Die Klägerin ist eine Bankkundin, für die bei einer Bank sowohl das Onlinebanking als auch das Telefonbanking freigeschaltet gewesen ist. Der Verfügungshöchstfreibetrag belief sich auf 10.000 EUR, der Überziehungskredit auf 4.000 EUR.
2014 erhielt die Klägerin eine E-Mail, in der sie darauf hingewiesen wurde, dass aus Sicherheitsgründen die Telefonbanking-PIN geändert werden müsse. Hierzu solle sie ihre Kontodaten in die im Anhang befindliche Datei eintragen und die ausgefüllte Datei zurückschicken. Die E-Mail war mit dem Logo der beklagten Bank versehen und mit einer entsprechenden Absenderkennung.
Daraufhin wurde eine Überweisung in Höhe von 4.900 EUR vom Konto der Klägerin unter Verwendung der von ihr gesendeten Daten vorgenommen. Da der Empfänger dieses Betrags sofort über diesen verfügte, sei der Beklagten zufolge eine Rückerstattung nicht möglich.
Die Bank stellte klar, dass sie entsprechende Sicherheitshinweise über die Gefahren von Phishing-E-Mails gegeben habe.
Bankkundin handelte grob fahrlässig
Das AG Frankfurt am Main urteilte, dass die Klägerin ihre Pflicht aus § 675l S. 1 BGB durch die Weitergabe insbesondere der Telefonbanking-PIN grob fahrlässig verletzt habe. Nach § 675l S. 1 BGB sei ein Bankkunde verpflichtet, alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Grob fahrlässig handelt, wer die im Verkehr erforderliche Sorgfalt in ungewöhnlich hohem Maße verletzt.
Das Gericht stellt deutlich klar: Es muss „jedoch einem durchschnittlichen und regelmäßigen Verwender der Onlinebanking-Funktion einer Bank wie der Klägerin, welche das Onlinebanking-Verfahren seit Jahren genutzt hat, bekannt sein, dass im Internet Kriminelle versuchen, mittels der Versendung von Emails an sensible Daten Dritter zu gelangen. Der Klägerin hätte überdies bekannt sein müssen, dass seit Jahren vor Januar 2014 in sämtlichen Medien regelmäßig von Phishing-Attacken berichtet wird, mit denen meist unbekannt bleibende Täter durch Emails versuchen, Kunden von Banken zur Eingabe von sensiblen Daten, insbesondere zur Eingabe einer PIN, zu bewegen.“ Das AG Frankfurt am Main verweist in diesem Zusammenhang auf das OLG Hamm (Beschluss vom 16.02.2015, I-31 U 31/15) und auf das LG Essen (Urteil vom 04.12.2014, 6 O 339/14).
Die Anfrage solcher sensibler Daten hätte der Klägerin „bereits äußerst verdächtig erscheinen“ müssen. Insbesondere hätte sie Verdacht schöpfen müssen, da sie außer der Telefonbanking-PIN auch „weitere Daten in den der Email beigefügten Emailanhang eingeben und versenden musste.“ Darüber hinaus habe die Bank auf ihrer Homepage Sicherheitshinweise eingestellt, die auf die Gefahren von Phishing hinwiesen.
Das Urteil wurde im Internet erstmals am 06.04.2016 bei internet-law.de veröffentlicht.
Vorsicht vor Phishing-Mails: auf Indizien achten
Das Thema Phishing ist seit Jahren aktuell. Wer vermeintliche E-Mails von seiner Bank bekommt, sollte deren Authentizität überprüfen. Auf eine Phishing-E-Mail kann beispielsweise hinweisen:
- fehlende persönliche Anrede
- kein konkreter Sachbearbeiter
- sprachliche Mängel (Rechtschreibung, Grammatik)
Bei Zweifeln informieren Sie sich auf der Homepage Ihrer Bank nach aktuellen oder vergangenen Phishing-Sicherheitshinweisen.
Phishing auch bezüglich Amazon, PayPal und anderen
Phishing-E-Mails beziehen sich jedoch nicht nur auf Banken, sondern aktuell auch insbesondere auf Nutzer von Amazon und PayPal. Nicht selten sind solche Phishing-E-Mails auch mit Trojanern verseucht. Die Betrüger versuchen zudem immer professioneller zu wirken. Darum gilt: größte Vorsicht bei solchen E-Mails.