Risikoverteilung beim Homebanking

Details zum Urteil

  • Artikel
  • vom 01.12.1998
  • Sonstiges: Beitrag von RA Stadler aus INTERNETWORLD 12/98
  • Abgelegt unter IT-Recht
  • Kommentiert von

Auf dieser Seite finden Sie

  1. Kommentar von

Kommentar von

Wer seine Bankgeschäfte online erledigt, wird sich angesichts der in schöner Regelmäßigkeit kursierenden Pressemeldungen über die Unsicherheit des Online-Bankings und der Knackbarkeit von PINs und TANs schon öfter die Frage gestellt haben, wer eigentlich das Risiko von Zugriffen durch Unberechtigte trägt.

Die deutschen Gerichte haben sich bisher offenbar mit dieser Frage nicht befaßt, weshalb eine gesicherte rechtliche Einschätzung sehr schwer möglich ist. Allerdings gibt es eine ganze Reihe von Entscheidungen, die sich mit der Frage der Sicherheit von PINs bei ec-Karten befassen. Hieraus lassen sich einige Erkenntnisse für die Homebanking-Problematik ableiten.

Zum besseren Verständnis der rechtlichen Vorgänge ist es notwendig, sich vorab mit dem Rechtsverhältnis auseinanderzusetzen, das zwischen der Bank und dem Kunden besteht.

Wenn der Kunde bei der Bank - egal ob offline oder online - ein Girokonto eröffnen, wird ein sogenannter Geschäftsbesorgungsvertrag abgeschlossen. Die Bank besorgt hiernach die Bankgeschäfte des Kunden auf dessen Einzelanweisung hin. Diese Einzelanweisung erteilt der Kunde z. B. dann, wenn er online eine Überweisung vornimmt. Infolge dieser Anweisung erhält die Bank einen Aufwendungsersatzanspruch in Höhe des Betrages, über den der Kunde verfügt hat. Diesen Aufwendungsersatzanspruch setzt die Bank um, indem sie das Kontoguthaben des Kunden entsprechend reduziert.

Ein solcher Aufwendungsersatzanspruch kann aber nur dann entstehen, wenn eine wirksame Anweisung durch den Berechtigten, also den Kontoinhaber, gegeben ist. Dies bedeutet, daß der Bank im Falle eines Mißbrauchs durch einen nicht berechtigten Dritten dieser Anspruch nicht zusteht und sie den entsprechenden Betrag auch nicht zu Lasten des Kontos ihres Kunden buchen kann. In diesem Falle können allerdings Schadensersatzansprüche der Bank gegeben sein, sofern der Kunde gegen seine Sorgfaltspflichten verstoßen hat.

Diese rechtlich für den Kunden zunächst sehr positiv erscheinende Situation erfuhr aber in Bezug auf ec-Karten eine wesentliche praktische Einschränkung. Die Rechtsprechung ist nämlich bis vor kurzem davon ausgegangen, daß die Verwendung der richtigen PIN den Anscheinsbeweis dafür begründet, daß tatsächlich der Berechtigte verfügt hat. Der Gegenbeweis war praktisch nie zu führen, weshalb derartige Prozesse immer zu Lasten der Kunden ausgegangen sind.

Für Aufsehen hat deshalb im letzten Jahr eine Entscheidung des OLG Hamm gesorgt, die von der bisherigen Rechtsprechung abrückte. Das OLG Hamm geht davon aus, daß nicht ausgeschlossen werden kann, daß ein Täter die PINs selbständig durch Ausprobieren oder Entschlüsseln anhand der auf der Karte gespeicherten Daten ermittelt und daß es deshalb nicht gerechtfertigt ist, zugunsten der Bank von einem Anscheinsbeweis auszugehen. Ob sich diese neue Rechtsprechung durchsetzen wird, ist noch ungewiß, da es bereits wieder neuere Entscheidungen gibt, die sich eindeutig von dem Urteil des OLG Hamm distanzieren.

In diesem Zusammenhang muß aber auch auf eine neuere Entscheidung des Amtsgerichts Pinneberg (http://www.online-recht.de) hingewiesen werden. Das AG Pinneberg hat in seinem Urteil erstmals entschieden, daß es zugunsten von T-Online bzw. T-Online-Anbietern keinen Anscheinsbeweis für die Richtigkeit der T-Online-Abrechnung gibt.

Da für das Online-Banking ebenfalls eine PIN und zusätzlich sogenannte TANs erforderlich sind, lassen sich die Grundsätze der skizzierten Rechtsprechung übertragen. Die ältere Rechtsprechung würde deshalb wohl auch beim Homebanking von einem Anscheinsbeweis zugunsten der Bank ausgehen, was bedeutet, daß der Kunde mit dem Vortrag, es sei eine Überweisung durch einen Unberechtigten vorgenommen worden, wohl kein Gehör gefunden hätte. Nach der neueren Rechtsprechung, z. B. des OLG Hamm oder des AG Pinneberg muß davon ausgegangen werden, daß das Risiko bei der Bank liegt. Dies bedeutet, daß die von einem Unberechtigten überwiesenen Beträge nicht zu Lasten des Kontos des Kunden gebucht werden dürfen bzw. daß der Kunde einen Anspruch gegen die Bank auf Wiedergutschrift hat.

Vergessen sollte man hierbei freilich nicht, daß den Kunde gewisse Sorgfaltspflichten treffen. Im Hinblick auf ec-Karten ist damit vor allem die Pflicht zur getrennten Aufbewahrung von Karte und Nummer gemeint. Als besonders grober Sorgfaltsverstoß wurde es bisher immer angesehen, wenn man die PIN auf die Karte geschrieben hatte.

Was das Homebanking betrifft, ist es deshalb auch erforderlich, die PIN und die TANs getrennt aufzubewahren. Tunlichst vermeiden sollte man es, PIN und TANs auf der Festplatte zu speichern, da die gängige Homebanking-Software, wie MS MONEY oder QUICKEN, die gespeicherten Nummern nur sehr schwach oder zum Teil gar nicht verschlüsselt. Hier sind allerdings auch die Softwarehersteller in der Pflicht, höhere Sicherheitsstandards zu schaffen.