Wird objektiv der Pflichtverstoß verwirklicht wird das Verschulden nach § 280 I 2 BGB vermutet. Der Kunde muss sich exculpieren. Er muss nachweisen, dass die Kenntnisnahme der Codes durch den Dritten nicht auf ein außer acht lassen der erforderliche Sorgfalt beruht. Dies wird ihm bei objektiv vorliegendem Pflichtverstoß selten gelingen. Das konkrete Verhalten ist in jedem Einzelfall unter Berücksichtigung der Verkehrsauffassung zu untersuchen. Verallgemeinernd wird man sagen können, dass eine schuldhafte Sorgfaltspflichtverletzung anzunehmen ist, wenn der Kunde ein Ausspähen der Codes dadurch erleichtert hat, dass er diese gemeinsam notiert, gespeichert oder in Verbindung mit der Chip-Karte sorglos behandelt hat, so dass ein Datendieb auf einen Schlag ohne weitere nennenswerte Maßnahmen zwei oder mehr Sicherheitshürden überwinden kann.

Die Situation ist hier vergleichbar mit der einer EC-Karte, so dass die hierzu gefundenen Grundsätze entsprechend heranzuziehen sind. Gelingt die Exculpation nicht, haftet er der Bank auf Schadensersatz nach §§ 241 II, 280 I 1 BGB. Schaden ist in soweit die durch die Bank getätigte Aufwendung zur Durchführung des vermeintlichen Überweisungsauftrags des Kunden. Sie kann diesen durch Verrechnung mit dem Kontensaldo im Rahmen der Kontokorrentabrede zur Erfüllung bringen.

c) Cracker (CCC-Angriff)

Fraglich ist, ob dem Kunden eine schuldhafte Sorgfaltspflichtverletzung vorzuhalten ist, wenn wie im Beispiel des Cracker-Angriffs des CCC durch Einsatz technischen Know-hows und unter Ausnutzung der tatsächlichen Gegebenheiten des Internets die Sicherheitsvorkehrungen unter Einschaltung der Codes des Kunden überwunden werden. Rechtsprechung oder Literatur zu dieser Frage existiert soweit ersichtlich noch nicht. Die Antwort hängt davon ab, welche Verhaltensmuster dem Kunden auferlegt werden können und welche Abweichungen hiervon als schuldhaft pflichtverletzend anzusehen sind.

Im genannten Beispiel wurde der Kunde durch die Einschleusung eines Trojanischen Pferdes überlistet. Wenn nun ihm die Abschottung seines Systems vor derartigen Programmen mit allen Mitteln zugemutet wird, so hätte dies zur Folge, dass ihm die Überlistung als schuldhafte Pflichtverletzung zugerechnet werden müsste, er also der Bank schadenersatzpflichtig wäre. Tatsächlich scheint es jedoch so zu sein, dass ein effektiver Schutz vor Viren, Trojanischen Pferden und Würmern, die auch von den gängigen Virenprogrammen nicht erkannt werden, nur durch eine völlige Abstinenz im E-Mail-Verkehr zu erreichen ist. Selbst auf E-Mails von vertrauenswürdigen Personen kann nicht vertraut werden, wie der „I love you“-Virus und viele Folgeerscheinungen gezeigt haben. Die weltweite Verbreitung dieses Virus innerhalb kürzester Zeit trotz umgehender Aufklärung der Massen in den Medien diesbezüglich hat gezeigt, dass ein effektiver Schutz in der Praxis nicht realisierbar ist.

Man wird dies also als bestehendes offenkundiges systemimmanentes Risiko einordnen müssen, das dann aber nicht allein dem Kunden auferlegt werden kann. Insbesondere die Banken fördern die Einführung des Internets, da hierdurch Kosten für Personal und Einrichtung von Filialen entfallen. Sie haben das primäre Interesse an der Verwendung des Systems Internet-Banking. Ihnen ist auch das geschilderte Sicherheitsrisiko bekannt. Gleichzeitig diktieren die Banken die zu verwendenden Techniken, indem sie die Standards definieren, wie beispielsweise bei der Einführung des HBCI-Standards.[57]

Der Kunde hat in soweit lediglich die Wahl, ob er hieran teilnimmt oder nicht; auf den vorgegebene Sicherheitsstandard kann er keinen Einfluss nehmen. Durch die Wahl zur Teilnahme begibt er sich zwar auch freiwillig in den Gefahrenbereich, so dass auch ihm gegenüber eine Zurechnung möglich erscheint.[58] Die Freiheit der Wahl wird jedoch dadurch eingeschränkt werden, dass zunehmend Banken Filialen schließen und mittelfristig abzusehen ist, dass allein das Filial-Banking nicht mehr als gleichwertig zum Online-Banking anzusehen sein wird. Wenn die Banken in Kenntnis der systemimmanenten Sicherheitsrisiken den Kunden mehr oder weniger zum Online-Banking führen, kann nicht von diesem erwartet werden, dass er sein Internetverhalten ausschließlich auf das Sicherheitsbedürfnis der Bank umstellt.

Im Ergebnis kann dies vom Kunden nicht erwartet werden, so dass, jedenfalls ohne Hinzutreten besonderer Umstände, in geschickt aufgezogenen Cracker-Angriffen nach der Verkehrsauffassung nicht von einem schuldhaft pflichtwidrigem Verhalten ausgegangen werden sollte. Welches Verhalten des Kunden dabei noch im Rahmen des Sorgfältigen bleibt, ist im Einzelfall zu bestimmen. Es wird abzuwarten sein, ob sich in Rechtsprechung und Lehre ähnlich wie zur EC-Kartenproblematik gewisse Fallgruppen herausbilden, aus denen dann verallgemeinerungsfähige Schlüsse zu ziehen sind. Soweit kein besonderes Fehlverhalten des Kunden vorliegt, besteht somit insoweit kein Anspruch der Bank gegen den Kunden auf Schadensersatz.

E) Beweislast

Anschließend stellt sich die Frage, wer im Rückabwicklungsprozess was vorzutragen und unter Beweis zustellen hat sowie die Frage nach Beweiserleichterungen. Auch prozessual gelten im Online-Verkehr keine Besonderheiten.[59] Der Kunde hat vorzutragen, dass die Bank gemäß § 812 BGB durch die Belastungsbuchung ohne Rechtsgrund bereichert ist. Das Fehlen der causa ist zunächst zu behaupten. Die Bank hat das Bestehen eines Rechtsgrundes vorzutragen und zu beweisen.

Zurückblättern zu Seite 5
Weiterlesen auf Seite 7

Zu den Fußnoten – Stand 10/2002, Wiesbaden Rechtsanwalt C. Walter