Online-Banking: Ins Netz gegangen

Harald P. freute sich. Mit gut 35 Prozent Gewinn verkaufte er im Dezember ein Aktienpaket und überwies die Summe von rund 24 000 Euro online auf sein Girokonto. Wie immer gab P. seine Zugangsdaten online ein und bestätigte die Überweisung mit einer iTAN. Zwar flackerte der Bildschirm kurz, doch schien alles seinen geregelten Weg zu gehen. Erst ein paar Tage später bemerkte er, dass auf seinem Konto nichts angekommen war. Harald P. war Opfer einer sogenannten Pharming- Attacke geworden. Dabei schleichen sich Trojaner-Programme unbemerkt auf dem PC ein und speichern die Zugangsdaten des Anlegers. Bei einer Geld-Transaktion wird die Kontonummer des Empfängers im Hintergrund dann blitzschnell durch die des Betrügers ersetzt. Der Bankkunde bemerkt zunächst nichts.

Wer haftet für den Schaden? Übernimmt die Online-Bank die Summe, die in solchen Fällen meist unwiederbringlich auf ein Konto in Russland oder Fernost überwiesen wurde? Oder bleibt der Schaden beim Anleger hängen? „Das hängt vom Einzelfall ab“, sagt Kerstin Altendorf, Sprecherin des Bundesverbandes deutscher Banken. Der Kunde müsse nachweisen, dass er seine Sorgfaltspflicht nicht verletzt habe. Dazu gehöre, dass er auf seinem PC die neueste Version des Betriebssystems und einen aktuellen Viren- und Trojaner-Schutz installiert habe und seine Zugangsdaten sicher verwahre. Die Nachweispflicht liege hier beim Kunden. Umgekehrt gelte indes: „Wer seinen PC gut schützt und Sorgfalt beweist“, sagt die Bankensprecherin, „wird umgehend entschädigt“.

Häufig jedoch bemängeln Banken Sicherheitslücken oder allzu leutseliges Verhalten bei ihren Kunden. Da eine gesetzliche Regelung von Haftungsfragen im Online-Banking aussteht und auch höchstrichterlich kein Spruch vorliegt, entscheiden immer wieder Gerichte im Einzelfall.

So sah das Amtsgericht Wiesloch die Sorgfaltspflicht bereits erfüllt, wenn der Bankkunde sich wie ein normaler PC-Nutzer verhalte und zwar ein Virenschutzprogramm, aber keine ausgeklügelte Firewall benutze. Die Bank könne vom Kunden weder fachspezifisches IT-Wissen verlangen noch das gesamte Risiko auf ihn abwälzen (Aktenzeichen 4C57/08). Auch das Landgericht Köln war der Meinung, dass die Latte in puncto Sorgfaltspflicht nicht zu hoch gelegt werden dürfe ( 9S195/07).

Unklar ist, wer die Haftung beim sogenannten Phishing übernimmt. Das Wort steht für das Abfischen von Kontodaten mithilfe gefälschter Mails oder Internet- Seiten. Ende Dezember etwa erhielten Kunden der Credit Europe Bank eine Mail. In sachlichem Bankdeutsch wies der Absender darauf hin, dass die Festgeldanlage X mit Laufzeit Y demnächst fällig werde. Eine Wiederanlage, hieß es in der Mail, könne zu attraktiven Konditionen angeboten werden. Wer dem Angebot folgte, wurde auf eine fingierte Bankseite gelockt und überwies das frei werdende Festgeld direkt auf die Konten der Datendiebe. Auch Kunden großer Geschäftsbanken erhalten immer wieder Mails mit Hinweisen auf Sicherheits-Updates oder neue Schutzprogramme, die eine Eingabe der Kundendaten, manchmal sogar mit TAN, erforderlich machten. Mittels eines Link werden sie auf täuschend echte Kopien der Bank-Homepages weitergeleitet und ausgeplündert. „Jeder sollte wissen, dass keine Bank jemals einen Kunden per Mail auffordern wird, via Link auf die Internetseite zu gehen und dort Zugangsdaten einzugeben“, betont Bankensprecherin Altendorf.

Viele Online-Banken haben angesichts der unsicheren Rechtslage in ihren Geschäftsbedingungen Kataloge von Handlungsanweisungen untergebracht, die kaum ein Kunde kennen dürfte. So knüpft Comdirect die Haftung an zahlreiche Bedingungen. In jedem Fall haftet der Kunde mit mindestens 150 Euro, bei „grob fahrlässiger Verletzung der Sorgfaltspflichten“ muss er den Schaden komplett tragen. Auch Cortal Consors sieht „eine Mitwirkungspflicht des Kunden in puncto Sicherheit“, sagt Sprecher Dirk Althoff.

26 Millionen Deutsche erledigen ihre Bankgeschäfte nur noch online. Doch nicht nur Datenspione und Betrüger verursachen Schäden. Auch Systemausfälle, Wartungsarbeiten oder ein Versagen der Technik haben Anleger schon viel Geld gekostet. So wie Nicolas G., der versuchte, eine Position mit speziellen Optionsscheinen kurzfristig über einen Online-Broker zu verkaufen. Ein technisches Problem verhinderte jedoch das Login – der Gewinn schmolz durch die halbstündige Verzögerung um 4500 Euro.

Muss die Bank einen solchen Schaden übernehmen? Sei die Kauf- oder Verkaufsabsicht belegt, etwa durch die in Logfiles notierten Versuche, sein Depot zu öffnen, oder durch festgelegte Verkaufsaufträge wie Stopp-Loss-Order, sei die Bank in der Pflicht, sagt Consors-Sprecher Althoff. Der Kunde müsse jedoch nachweisbar versucht haben, seine Bank auch via Telefon zu erreichen. Die Bank sei verpflichtet, bestätigen Verbraucherschützer, den Handel mit Börsenprodukten termingerecht und fehlerfrei abzuwickeln und für Verluste durch verspätete Verkäufe geradezustehen. Hilfreich bei der Klärung der Haftung sei es, die Verkaufsmaske auszudrucken oder sich zu notieren, welche Stückzahl an welcher Börse zu welchem Zeitpunkt nicht ordnungsgemäß ver- oder gekauft werden konnten. Ein Versagen der Computersysteme, urteilte der Bundesgerichtshof (XI ZR 138/00), schließe die Haftung der Bank nicht aus. Entstünden dem Kunden dadurch Nachteile, müsse das Kreditinstitut Schadenersatz zahlen. Kommt es zum Streit, vermitteln auch die Ombudsmänner des Bankenverbandes.