Regelmäßig trudeln in den E-Mail-Postfächern sog. Phishing-Mails ein, mit denen versucht wird, Ahnungslosen die TAN-Nummern oder irgendwelche Passwörter zu entlocken. Kamen die E-Mails anfangs noch in einem sehr holprigen Deutsch und einer schlechten Babelfish-Übersetzung daher, werden sie zunehmend professioneller und es ist teilweise sehr schwierig, die Phishing-Mails als solche zu erkennen. Eine Auflistung von Beispielen und auch sonst zahlreiche interessante Informationen zu dem Thema findet man auf der Seite der Arbeitsgruppe Identitätsschutz im Internet (AI³) in Bochum.

Aus rechtlicher Sicht ist die Frage äußerst spannend, wer für den Schaden aufzukommen hat, der dadurch entsteht, dass Unbefugte mit den per Phishing-Mail gewonnenen TAN-Nummern Überweisungen vornehmen. Ein Erstattungsanspruch der Bank gegenüber dem Kontinhaber unter dem Gesichtspunkt des Aufwendungsersatzes scheidet aus, da es an einem Überweisungsantrag des Kunden fehlt. In Betracht kommt daher allenfalls ein Schadensersatzanspruch der Bank wegen Pflichtverletzung des Kunden, denn der Kunde ist grundsätzlich zur Geheimhaltung der PIN/TAN-Nummern verpflichtet.

Ein solcher Schadensersatzanspruch setzt jedoch ein Verschulden voraus. Hier wäre im Einzelfall zu fragen, ob der Kunde seine Geheimhaltungspflicht zumindest fahrlässig verletzt hat, wenn er sich durch die Phishing-Mail hat täuschen lassen. Entscheidend da ist zum einen, wie die E-Mails gestaltet und wie deutlich die Verdachtsmomente sind. Auf der anderen Seite sind jedoch auch die umfassende Berichterstattung in den Medien und die zahlreichen Warnungen zu berücksichtigen. Spätestens in den Fällen, in denen der Kunde auf einer Seite aufgefordert wird “10 unverbrauchte TAN-Nummern” einzugeben, wird man eine Fahrlässigkeit wohl bejahen müssen.

Ein weiterer Aspekt sei - so Prof. Borges (Mitbegründer der AI³) - auch

ob die Bank durch ihr Verhalten Anlass gab, die Phishing-Mail und die Website des Täters für echt zu halten, etwa durch Nutzung von E-Mails zur Kommunikation mit dem Kunden, durch häufig wechselndes Design der Login-Seite, durch Verwendung zahlreicher oder unklarer Domains etc. Soweit man eine Haftung des Kunden im Grundsatz bejaht, kommt es auf das Mitverschulden der Bank an, etwa darauf, ob rechtzeitig und hinreichend Maßnahmen zur Verhinderung von Phishing ergriffen wurden. (NJW 2005, 3313)

In der Literatur werden aber auch durchaus andere Auffassungen vertreten. So Recknagel, Vertrag und Haftung beim Internet-Banking, 2005, S. 222f., der eine Pflichtverletzung des Kunden stets bejaht.

Bleibt abzuwarten, wie die ersten Gerichtsentscheidungen zu dieser Thematik ausfallen. Allerdings könnten die noch einige Zeit auf sich warten lassen, da - soweit ich weiß - entsprechende Verluste von Banken in der Regel noch ausgeglichen werden.