In einem Gerichtsprozess zwischen einer Bank und einer Kundin, die Opfer eines Phishing-Angriffs wurde, hat das KG ein Mitverschulden der Bank darin gesehen, dass diese immer noch ein einfaches TAN-Verfahren verwendet. Bei diesem kann der Kunde zur Freigabe einer Transaktion aus einer TAN-Liste eine beliebige Nummer auswählen.
Die Kundin hatte sich zum Online-Banking eingeloggt und wurde daraufhin unbemerkt auf eine gefälschte Website umgeleitet. Hier gab sie vier unverbrauchte TAN ein. Bereits am nächsten Tag wurden Überweisungen zu Lasten ihres Kontos in Höhe von 14.500 Euro vorgenommen.
Das Kammergericht bejaht zwar eine Pflichtverletzung der Kundin durch die Eingabe von gleich vier unverbrauchten TAN. Gleichzeitig wird jedoch auch in der Verwendung des einfachen TAN-Verfahrens ein Mitverschulden seitens der Bank gesehen. Das Gericht führt aus:
„Nach Auffassung des Senats liegt eine Sorgfaltspflichtverletzung der Bank zumindest dann vor, wenn sie ein System verwendet, das bei der Mehrzahl der Kreditinstituten nicht mehr im Einsatz ist und hinter dem Sicherheitsstandard des neueren Systems zurückbleibt.“
Die bloße Platzierung eines Warnhinweises auf der Homepage genüge den Sicherheitsanforderungen nicht.
Das Kammergericht kommt zu dem Ergebnis, dass das Mitverschulden 70 % betrage.
Das vollständige Urteil kann hier abgerufen werden.