Mit Urteil vom 05.12.2007 (Az. 9 S 195/07) änderte das LG Köln ein Urteil des AG Köln ab und sprach dem Phishing-Opfer einen Schadensersatzanspruch gegen den Geldkurier zu.
Vom Konto des klagenden Phishing-Opfers waren ohne dessen Wissen und Wollen etwa 3.000 € von „einem oder mehreren unbekannten Tätern vermutlich osteuropäischer Herkunft“, so das LG Köln, auf das Konto des beklagten Geldkuriers überwiesen worden. Dieses Geld wurde sodann vom Geldkurier mittels Western Union an eine Person in Russland überwiesen, die ihm gegenüber den Namen M verwendete. Zuvor hatte der Geldkurier E-Mail-Kontakt zu einer weiteren Person, die sich N nannte. N erklärte dem Geldkurier, dass das Geld aus einer Erbschaft ihres verstorbenen Vaters stammen würde.
Das LG Köln führt aus, dass das AG Köln zwar einen Bereicherungsanspruch des Klägers mit zutreffender Begründung abgelehnt hat, der Kläger jedoch einen Schadensersatzanspruch aus § 823 Abs. 2 BGB i.V.m. § 261 Abs. 2, 5 StGB habe und dem Kläger ein Mitverschulden nicht zur Last falle.
Hierzu erläutert das LG Köln zunächst ausführlich, dass der Geldkurier sich durch den Transfer des Geldes einer strafbaren Geldwäsche i.S.d. § 261 Abs. 2 Nr. 1, 5 StGB schuldig gemacht habe. Hierbei habe der Beklagte leichtfertig nicht erkannt, dass das Geld aus einem Computerbetrug stammt. Bei objektiver Betrachtung hätte es für den Beklagten auf der Hand liegen müssen, dass das Geld nicht aus einer Erbschaft der N, sondern aus kriminellen Machenschaften stammen musste. Das Gericht nennt in seinem Urteil zahlreiche Anhaltspunkte, die für die Leichtfertigkeit des Beklagten sprechen. Zum einen erklärte die N bereits nach kurzer Zeit, in der lediglich E-Mails ausgetaucht wurden, den Beklagten zu lieben. Zum anderen seien vergleichbare Betrügereien seit langem bekannt und Gegenstand häufiger Meldungen in den Medien. Außerdem stammten die eingehenden Gelder nicht von einem Konto, sondern von drei verschiedenen, die wiederum drei verschiedene Kontoinhaber aufwiesen. Darüber hinaus wurde seitens der N nie ein nachvollziehbarer Grund genannt, warum das Konto des Beklagten zum Transfer benötigt werden würde. Letztendlich sei auch die Verwendung von Western Union für den Geldtransfer verdächtig gewesen. Die Verkennung dieser Umstände könne nach Ansicht des Gerichts in der Gesamtschau nur als besonders unachtsam bezeichnet werden.
Indem er sich einer Geldwäsche schuldig gemacht habe, habe der Beklagte auch ein Schutzgesetz i.S.d. § 823 Abs. 2 BGB verletzt. Nach der Ansicht des LG Köln schützt § 261 StGB auch das durch die Vortat verletzte Rechtsgut, vorliegend also das Vermögen des Klägers. Die Vorinstanz verneinte hingegen den Schutzgesetzcharakter des § 261 StGB.
Der Schaden des Klägers besteht nach der Ansicht des LG Köln in der Vertiefung des durch den Computerbetrug entstandenen Schadens. Durch den Transfer des Geldes nach Russland sei eine einfache Rückbuchung durch die Bank des Klägers nach der Verfügung des Beklagten über den Betrag nämlich nicht mehr möglich gewesen.
Ein Mitverschulden des Klägers bei der Entstehung des Schadens lehnte das Gericht ab. Grundsätzlich hinge ein Verschuldensvorwurf davon ab, wie die Täter an die Kontodaten des Beklagten gekommen sind und welche Sorgfaltsanforderungen an den Kläger als Nutzer von Internet und Online-Banking zu stellen sind.
Beim Online-Banking könne man von einem verständigen, technisch durchschnittlich begabten Anwender fordern, dass dieser eine aktuelle Virenschutzsoftware und eine Firewall verwendet und regelmäßig Sicherheitsupdates für sein Betriebssystem und die verwendete Software einspielt. Außerdem müsse ein Kontoinhaber die Warnungen der Banken beachten, PIN und TAN niemals auf Anforderung per Telefon oder Mail herauszugeben. Ebenso müsse er deutliche Hinweise auf gefälschte E-Mails und Internetseiten seiner Bank erkennen. Beispielhaft nennt das Gericht hier sprachliche Mängel, deutlich falsche Internetadressen, Adressen ohne https:// oder das fehlende Schlüsselsymbol in der Statusleiste. Die Verwendung besonders leistungsfähiger Virenschutzprogramme oder spezialisierter Software zum Schutz gegen Schadsoftware, die Veränderung der Standard-Sicherheitseinstellungen von Betriebssystem oder Programmen, das Arbeiten ohne Administratorrechte, die ständige Überprüfung der Zertifikate oder auch das Erkennen subtiler Abweichungen in der Internetadresse würden die Sorgfaltsanforderungen hingegen überspannen.
Ein Mitverschulden sei zwar anzunehmen, wenn der Kontoinhaber PIN und TAN aufgrund eines klassischen Phishing-Angriffs herausgibt. Einen solchen Angriff nahm das Gericht jedoch vorliegend nicht an. Es spreche kein Anscheinsbeweis für die Anwendung von Phishing durch die Täter, weil auch andere Angriffsmethoden gleichermaßen in Betracht kämen. Die Täter hätten die Daten nämlich auch mittels Malware (Viren, Trojaner etc.) ausspionieren können. Dies sei selbst dann möglich, wenn der Kontoinhaber seine IT hinreichend schützt und hinreichend aufmerksam ist. Auch aktuelle Virenschutzsoftware könne nicht immer die neuesten Schadprogramme erkennen. Von einem durchschnittlichen User von Online-Banking könne angesichts der vielfältigen technischen Möglichkeiten nicht erwartet werden, im Nachhinein nachzuvollziehen, auf welchem Wege die Täter eines Computerbetruges an seine Kontodaten gelangt sind. Das Gericht ging daher auch nicht davon aus, dass die Täter die Kontodaten erlangt haben, weil der Kläger den geforderten Sorgfaltsmaßstab nicht eingehalten hat.