Wer haftet, wenn durch eine Phishing-Attacke Geld von meinem Konto abgebucht wurde?

Liegt eine Abbuchung vom eigenen Konto vor und eine Rückbuchung des Geldes ist gescheitert, dann stellt sich die Frage der Haftung. Die Banken verweisen in diesen Fällen sodann immer auf ihre Allgemeinen Geschäftsbedingungen (AGB). Beispielhaft lauten diese bei der Berliner Sparkasse in Nr. 20, Absatz 2 (PDF-Format, Stand: 31.10.2009) „Mitwirkungs- und Sorgfaltspflichten des Kunden“ wie folgt:

„Schäden und Nachteile aus einer schuldhaften Verletzung von Mitwirkungs- und sonstigen Sorgfaltspflichten gehen zu Lasten des Kunden. Bei schuldhafter Mitverursachung des Schadens durch die Landesbank richtet sich die Haftung nach den Grundsätzen des Mitverschuldens, Paragraf 254 Bürgerliches Gesetzbuch.“

Dahinter verbirgt sich im Grundsatz, dass derjenige, der auf eine Phishing-E-Mail reingefallen ist, auch für den Schaden verantwortlich ist, da er seine Sorgfaltspflicht bei der Eingabe seiner Zugangsdaten in das gefälschte Formular verletzt hat. Die Banken werden in fast allen Fällen darauf verweisen und eine eigene Haftung, also eine Rückerstattung des abgebuchten Geldes, verweigern.

In Ausnahmefällen wird aber eine prozentuale Mithaftung der Bank angenommen. Dies wird grundsätzlich durch den oben im Auszug der AGB zitierten Paragraf 254 BGB zum „Mitverschulden“ geregelt. So hat das Berliner Kammergericht in einem Fall entschieden, dass die Bank 70 Prozent und die betroffene Kundin 30 Prozent des Schadens tragen muss. Die Verletzung der Sorgfaltspflicht auf Seiten der Kundin lag in der Eingabe der Transaktionsnummern in das gefälschte Formular; das Mitverschulden der Bank lag darin, dass diese ein veraltetes TAN-Verfahren anstatt des neueren iTan-Verfahrens eingesetzt hat. Der Schadenszeitpunkt in diesem Fall lag vor dem 01.11.2009. Danach ist der neue Paragraf 675v BGB in Kraft getreten.

Dieser regelt unter dem Titel: „Haftung des Zahlers bei missbräuchlicher Nutzung eines Zahlungsauthentifizierungsinstruments“, dass der Bankkunde in Phishing-Fällen grundsätzlich nur für „grobe Fahrlässigkeit“, nicht aber für einfaches fahrlässiges Verhalten haftet. Ob und in welcher Form die Haftungsverteilung berechnet werden kann, hängt aber naturgemäß stark vom Einzelfall ab.