LG Köln, Urteil vom 05.12.2007 - 9 S 195/07

Phishing & Finanzagenten - Zum Mitverschulden des Phishingopfers für den ihm Rahmen von Phishing und "Online-Geldwäsche" entstandenen (Vermögens-) Schaden.

BGB §§ 254 Abs. 1, 823 Abs. 2 Satz 1; StGB §§ 261 Abs. 2, 5, 263a Abs. 1

1. Die Frage, ob dem Phishingopfer ein (Mit-) Verschuldensvorwurf gemacht werden kann, weil es die unbefugte Überweisung durch aktives Tun oder das Unterlassen der erforderlichen Sicherheits- und Vorsichtsmaßnahmen ermöglicht hat, hängt davon ab, wie die Täter (hier: des zu Grunde liegenden Computerbetrugs) an die Kontodaten gekommen sind und welche Sorgfaltsanforderungen das Phishingopfer als Nutzer von Internet und Online-Banking (hier: gegenüber dem Überweisenden/Finanzagenten) trafen.

2. Im Fall nicht vertraglich verbundener Parteien, gilt für den Kontoinhaber nur die allgemeine Pflicht, diejenige Sorgfalt anzuwenden, die von einem verständigen Menschen erwartet werden kann, um sich vor Schaden zu schützen. Maßstab ist daher die ihm in eigenen Angelegenheiten obliegende Sorgfalt.

3. Für den Fall des Online-Bankings kann man von einem verständigen, technisch durchschnittlich begabten Anwender fordern, dass er eine aktuelle Virenschutzsoftware und eine Firewall verwendet und regelmäßig Sicherheitsupdates für sein Betriebssystem und die verwendete Software einspielt. Ebenso muss ein Kontoinhaber die Warnungen der Banken beachten, PIN und TAN niemals auf telefonische Anforderung oder Anforderung per E-Mail herauszugeben. Außerdem wird man von ihm erwarten können, dass er deutliche Hinweise auf gefälschte E-Mails und Internetseiten seiner Bank erkennt (sprachliche Mängel, deutlich falsche Internet-Adresse, Adresse ohne https://, kein Schlüsselsymbol in der Statusleiste).

4. Weitergehende Sicherheitsmaßnahmen wie etwa die Verwendung bestimmter, besonders leistungsfähiger Virenschutzprogramme oder spezialisierter Programme zum Schutz gegen bestimmte Schadsoftware, die Veränderung der Standard-Sicherheitseinstellungen von Betriebssystem und Programmen, das Arbeiten ohne Administratorrechte, die ständige Überprüfung der Zertifikate oder auch das Erkennen subtiler Abweichungen in der Internetadresse, würden die Sorgfaltsanforderungen dagegen überspannen.

5. Während ein Mitverschulden des Kontoinhabers (als Phishingopfer) zu bejahen bzw. jedenfalls zu vermuten sein dürfte, wenn der Kontoinhaber PIN und TAN aufgrund von Phishing oder Vishing herausgibt, können Täter andere Angriffsmethoden wie Malware und Pharming auch dann mit Erfolg einsetzen, wenn der Kontoinhaber sich unter Berücksichtigung entsprechender Sicherheitsmaßstäbe hinreichend schützt und hinreichend aufmerksam ist. Auch aktuelle Virenschutzsoftware kann nicht immer die neuesten Schadprogramme erkennen und alle Sicherheitslücken stets abdecken. Ebenso gibt es durchaus gefälschte Internetseiten von Banken, die auch dem aufmerksamen Betrachter täuschen können.

6. Zum strafrechtlichen Leichtfertigkeitsmaßstab (auf Seiten des überweisenden sog. Finanzagenten) im Fall der "Online-Geldwäsche".

MIR 2008, Dok. 028