Das Landgericht (LG) Köln hat sich in einer Entscheidung (Aktenzeichen 9 S 195/07) mit der Haftungsfrage bei Phishing-Attacken beschäftigt.
Im Internet-Banking kommt es immer wieder zu Schadensfällen. Erstmals hat nun ein Gericht Sorgfaltsanforderungen an das Online- beziehungsweise Internet-Banking aufgestellt. Der Entscheidung liegt die Klage eines Geschädigten gegen einen inländischen Zahlungsempfänger (Geldwäscher) zugrunde, der das erlangte Guthaben per Western-Union sogleich ins Ausland an Dritte transferierte.
Im Rahmen dieses Rechtstreits hatte das Gericht die Frage zu klären, ob dem Geschädigten ein Mitverschulden bei der Entstehung des Schadens vorzuwerfen ist. Insoweit waren die Sicherheitsanforderungen des Internet-Banking von Relevanz. Bei der Konstellation des Rechtsstreites war keine Bank als Partei beteiligt. Das LG Köln hat Folgendes entschieden:
Von einem Nutzer des Online-Banking kann man fordern, dass er eine aktuelle Virenschutzsoftware und eine Firewall verwendet.
Hinzu kommen regelmäßige Sicherheitsupdates für sein Betriebssystem und die verwendete Software. Außerdem muss er Warnungen der Bank beachten und deutliche Hinweise auf gefälschte E-Mails erkennen (sprachliche Mängel, deutlich falsche Internetadressen, Adresse unter http- statt https-Protokoll). Wenn die vorgenannten Voraussetzungen erfüllt sind, scheidet laut den Kölner Richtern ein Mitverschulden des Geschädigten aus. Das heißt er kann gegenüber dem Geldwäscher die volle Höhe des Schadens geltend machen.
Das Gericht führt zudem aus, welche Sorgfaltsanforderungen an einen User zu hoch sind. Dazu gehören unter anderem:
- weitergehende Sicherheitsmaßnahmen wie etwa die Verwendung bestimmter, besonders leistungsfähiger Virenschutzprogramme;
- die Verwendung spezialisierter Software zum Schutz gegen bestimmte Schadsoftware;
- die Veränderung der Standard-Sicherheitseinstellungen von Betriebssystemen und Programmen;
- das Arbeiten ohne Admin-Rechte;
- die ständige Überprüfung der Zertifikate oder auch
- das Erkennen subtiler Abweichungen in der Internetadresse.
Die vom LG Köln dargelegte Argumentation läßt sich in der Praxis auch auf Fälle im Verhältnis Kunde-Bank übertragen. Werden die Grundanforderungen vom Kunden beachtet besteht ein entsprechender Schadenersatzanspruch.
Stand: 10.06.2008