Ausarbeitung im Rahmen des EULISP (Stand 10/2002)
Rechtsanwalt Chris Walter, LL.M., Wiesbaden[1]
–Aktueller Hinweis: Eine Kommentierung der Entscheidung des BGH vom 24.04.2012 -XI ZR 96/11- zur Haftung beim Online-Banking nach einem Pharming-Angriff finden Sie hier!-
Zu den Fußnoten
Die Kunden waren zunächst skeptisch gegenüber dem Online-Banking. Dennoch hat sich die Zahl der Online-Banking-Konten in Deutschland explosionsartig entwickelt und die 15 Millionengrenze weit überschritten.[2] Es fragt sich, ob die Sicherheitsbedenken der Kunden gerechtfertigt sind und wer Risiken, insbesondere bei Cracker-Angriffen, zu tragen hat. Die Untersuchung stellt zunächst die verwendeten Online-Banking-Systeme kurz dar und überprüft diese auf typische Schwachstellen. Danach werden die rechtlichen Abläufe bei der Offline-Überweisung dargestellt und auf das Online-Banking übertragen. Anschließend werden Darlegungs- und Beweislast im Prozess untersucht. Nach hier vertretener Auffassung existiert im Ergebnis allein eine Haftung des Kunden, die Bank „haftet„ lediglich auf die Rückabwicklung der Belastungsbuchung. Beruft sich der Kunde substantiiert auf einen Cracker-Angriff, bestehen für die Bank schwer überwindbare Beweisprobleme zur Durchsetzung ihres Aufwendungsersatzanspruchs, die nicht durch Beweiserleichterungen gemildert werden.
A) Der Ablauf beim Online-Banking
Die Teilnahme am Online-Banking setzt eine zusätzliche Vereinbarung zum bestehenden Giro- oder Bankvertrag voraus,[3] die mangels besonderer Formvorschriften online erfolgen kann. Hierin ist das einzusetzende Verfahren, das klassische PIN/TAN- und das HBCI-Verfahren (HomeBanking-Computer-Interface), die sich parallel etabliert haben,[4] festzulegen. [5]Nach derzeitigem Stand der Technik ist davon auszugehen, dass der Datentransfer als solcher aktuell als „sicher“ vor Entschlüsselung und vor planmäßiger unbemerkter Verfälschung anzusehen ist.[6] [7] Nicht sichergestellt ist hierdurch, wer der Absender der Transaktionen ist. Dieser muss über das PIN/TAN- oder über das HBCI-Verfahren identifiziert werden.
a) Das PIN/TAN-Verfahren
Der Kunde erhält i.d.R. per Post eine persönliche Identifizierungsnummer (PIN) und eine Liste mit Transaktionsnummern (TAN). Die zunächst durch die Bank ausgegebene PIN ist eine i.d.R. fünfstellige zufällige Kombination aus Zahlen und Buchstaben,[8] die durch den Kunden beliebig abänderbar ist. Die separat per Blindbrief ausgegebene TAN ist eine zufällige, nicht errechenbare Zahlenkombination, die nach dem einmaligen Gebrauch verfällt. Der Kunde ruft via Internet die Website der Bank auf und stellt eine sichere Verbindung her. Durch Eingabe seiner Kontonummer (Login) definiert er das Konto, auf das sich die folgende Transaktion beziehen soll. Vor Auswahl einer Dienstleistung (Kontostandsabfrage, Überweisung, Brokerage, etc) muss er sich durch Eingabe der PIN online legitimieren. Die Eingabe der PIN erfolgt blind, d.h. sie wird auf dem Bildschirm des Kunden nicht angezeigt.[9] Sensible Transaktionen,[10] sind zusätzlich durch Eingabe der TAN freizugeben. Diese erfolgt im Klartext, so dass der Kunde die TAN kontrollieren kann.[11] Die Transaktion wird übermittelt und nach Überprüfung durch die Bank ausgeführt.