esb Rechtsanwälte

Banken haften für Schäden durch „Keylogger-Attacken” schon bei „durchschnittlichem Absicherungsniveau“ des PC-Benutzers

Bankkunden, nach deren Vortrag eine Summe von über 4.100 Euro von Unbekannten im Rahmen eines einfachen TAN-Verfahrens an einen Dritten überwiesen wurde, verklagten ihre Bank, nachdem eine Rückbuchung der Überweisung scheiterte und die Empfängerin der Überweisung den Betrag zwischenzeitlich nach Russland transferiert hatte. Die staatsanwaltschaftlichen Ermittlungen ergaben, dass sich auf dem der PC der Kunden 14 Schadprogramme befanden, darunter auch ein sog. „Keylogger“, einer Spyware, bei der die Eingaben des PC-Benutzers unerkannt mitprotokolliert werden können. Nach der Auffassung des Wieslocher Richters trägt die Bank grundsätzlich das Risiko des Missbrauchs der „Sicherungsmedien“ – und kann dieses nicht umfassend auf den Kunden abwälzen. Vor diesem Hintergrund sei eine Pflichtverletzung jedenfalls dann nicht anzunehmen, wenn wie im vorliegenden Fall ein “durchschnittliches Absicherungsniveau“ des PC festgestellt werden könne. Soweit dabei keine anderweitigen Sicherheitsmaßnahmen ausdrücklich vereinbart sind, reiche ein gängiges Antivirenprogramm aus. Eine konkrete Vertragspflicht dahingehend, dass der Kunde sich durch den Nachweis des Vorhandenseins einer Firewall gegen über der Bank exkulpieren müsse, könne nicht durch bloße Sicherheitsempfehlungen der Bank begründet werden. Es entspräche noch nicht mal ohne Weiteres „den Anforderungen an einen durchschnittlichen Computerbenutzer, ein kostenpflichtiges Antivirenprogramm zu benutzen“. Diese noch nicht rechtskräftige Entscheidung des Amtsgerichts Wiesloch ist im Sinne des Verbraucherschutzes grundsätzlich zu begrüßen. Sie trägt dem Umstand Rechnung, dass die Bank einerseits vom kostengünstigen, einfachen TAN Verfahren profitiert und es doch andererseits in ihrer freien Entscheidung steht, vertraglich bestimmte, hohe Sicherheitsstandards als Voraussetzung für deren Nutzung klar und eindeutig zu definieren. Da tatsächlich kein „ernst zunehmendes Fachwissen“ von Nöten ist, um Online-Banking zu betreiben, ist es dann in der Tat Sache des Systemanbieters, zumindest durch klare vertragliche Absprachen einen über den derzeit gängigen Sicherheitsstatus eines vorinstallierten PC hinausgehenden Schutz ausdrücklich zu fordern. Die richterrechtliche Rechtsfortbildung scheint noch nicht abgeschlossen; festzustellen bleibt aber, dass auch andere Gerichte zuletzt hinsichtlich der Risikosphären ähnlich argumentiert haben. Gleichwohl wird der Sorgfaltsmaßstab durchaus noch unterschiedlich bzw. enger definiert und beispielsweise eine Firewall sowie das regelmäßige Einspielen von Sicherheitsupdates für das Betriebssystem als Mindestvoraussetzung genannt. (siehe Landgericht Köln, Urt. v. 5. Dezember 2007 – Az. 9 S 195/07). Entscheidend für den Sorgfaltsmaßstab dürfte sein, was dem technisch ohne weiteres verfügbaren Standard bei der Nutzung von PC entspricht; für weitere, etwaig notwendige Konkretisierungen hat die Bank durch entsprechende Vertragsgestaltung zu sorgen. Auch im vom Amtsgericht Wiesloch entschiedenen Fall war auf dem Rechner der Kläger wohlgemerkt eine Firewall in der vorinstallierten Windows XP-Version nach Aufspielen des Service Pack 2 enthalten gewesen. Derlei Updates dürften in der Tat zum Sorgfaltsmaßstab gehören.