Das, meint der IT-Fachanwalt Jens Nebel, könnte daran liegen, dass Banken bei derartigen Streitigkeiten oft Kulanz zeigen. „Die Banken haben kein Interesse daran, dass das für sie recht einfache PIN/TAN-Verfahren kompromittiert wird“, so der Anwalt der Essener Kanzlei Kümmerlein.

Wenn unter Verwendung korrekter Geheimzahlen eine Überweisung ausgelöst wird, gilt zunächst der Anschein, dass der Kunde die Überweisung auch selbst veranlasst hat. Legt der Kunde jedoch dar, dass er Opfer einer Phishing-Attacke geworden ist, kann er diesen Anschein erschüttern. Hierfür könne beispielsweise ein Bildschirmausdruck (Screenshot) genügen, sagt Nebel.

In diesen Fällen kommt es darauf an, ob der Kunde zumindest eine Mitschuld an dem Datendiebstahl hat. Seit November 2009 gilt hier aufgrund einer europäischen Richtlinie ein kundenfreundlicher Maßstab: Demnach haftet der Kunde für „nicht autorisierte Zahlungsvorgänge“ nur bis zu einem Betrag von 150 Euro - es sei denn, er hat seine Pflichten zum Schutz der Zugangsdaten in grob fahrlässiger Weise verletzt.

Zumindest fahrlässig sei es beispielsweise, wenn der Bankkunde kein Virenschutzprogramm auf seinem Computer installiert habe, meint Rechtsanwalt Nebel. „Andererseits ist aber auch die Bank verpflichtet, eine sichere technische Plattform zur Verfügung zu stellen.“

Nach einer Entscheidung des Kammergerichts Berlin trifft die Bank zumindest ein Mitverschulden, wenn sie ein veraltetes TAN-System verwendet. Das sogenannte iTAN-Verfahren, bei dem für jede Überweisung eine Nummer zufällig ausgewählt wird, entsprach nach der neuen Entscheidung des BGH zumindest im Jahr 2008 dem Stand der Technik.