Phishing richtet sich häufig gegen Bankkunden. Zivilrechtlich sind daher besonders die Rechte und Pflichten im Umgang mit PIN und TAN von Interesse. Diesen Fragestellungen widmet sich der gleichnamige Aufsatz von Kind/Werner, erschienen in der CR 2006, S. 353 ff.
Die Autoren beschäftigen sich zunächst mit den materiell-rechtlichen Rechten und Pflichten im Umgang mit PIN und TAN und untersuchen sodann die sich daraus ergebenden beweisrechtlichen Fragen.
Kind/Werner kommen zu dem Ergebnis, dass der Nutzer seine Sorgfaltspflichten nicht dadurch schuldhaft verletzt, dass er auf seinem Computersystem keine Sicherheitsvorkehrungen in Form von Antivirenprogrammen oder Firewalls trifft. Dieses Ergebnis wird durch die Rechtsprechung des BGH in seinem Dialer-Urteil gestützt. Demgegenüber kommt nach Auffassung der Autoren eine Pflichtverletzung für die Fälle in Betracht, in denen der Nutzer auf eine besonders schlecht gemachte Phishing-Mail hereinfällt oder er konkrete Warnhinweise seiner Bank ignoriert.
Die Banken treffen umfassende Informationspflichten sowohl bei der erstmaligen Einrichtung eines Account, als auch während der laufenden Geschäftsbeziehung. Nach Kind/Werner sind die Banken zurzeit aber nicht verpflichtet sicherere Technologien einzuführen.
Zentrale beweisrechtliche Frage im Zusammenhang mit Phishing ist die Frage nach dem Bestehen eines Anscheinsbeweises zugunsten der Kreditinstitute. Die Autoren kommen zu dem Ergebnis, dass im Bereich des Onlinebanking kein Anscheinsbeweis besteht. Würde ein solcher dennoch angenommen, so wäre er leicht zu erschüttern.