Die Täter bedienten sich im vorliegenden Fall der Technik des sog. DNS-Spoofing, bei dem der Bankkunde – obwohl er im Browser die korrekte Internet-Adresse seiner Bank angegeben hatte – eine gefälschte Internetseite aufruft. Im Januar 2009 fiel der Kläger, über dessen Fall am Dienstag der Bundesgerichtshof in Karlsruhe beriet, den Tätern zum Opfer: Er überwies von seinem Konto 5000 Euro nach Griechenland, die Täter waren nicht zu ermitteln.
Der Bundesgerichtshof sah in der Eingabe der TAN auf der gefälschten Website ein fahrlässiges Verhalten des Opfers. Auf die in § 675v Abs. 2 BGB angelegte Unterscheidung zwischen leichter und grober Fahrlässigkeit kam es im vorliegenden Fall nicht an, da sich der Sachverhalt vor der Änderung der Vorschriften zum 31. Oktober 2009 zugetragen hatte.
Der vom BGH aufgestellte Grundsatz, dass Bankkunden für Schäden selbst aufkommen müssen, gilt daher nur eingeschränkt: er gilt nur für Bankkunden, die vor dem 30. Oktober 2009 auf gefälschten Webseiten mehrere Trankaktionsnummern (TAN) angegeben haben, da sich das Urteil des BGH ausschließlich auf die Rechtslage vor Inkrafftreten des neuen Zahlungsrechts bezieht. Nach dem heute geltenden § 675v BGB haften Bankkunden nur bei grober Fahrlässigkeit unbeschränkt. Bei leichter Fahrlässigkeit ist die Haftung auf den Höchstbetrag von 150 € beschränkt.
Der BGH lässt ausweislich der Pressemitteilung ausdrücklich offen, ob bei Eingabe mehrer TAN grobe Fahrlässigkeit anzunehmen ist. Diese für die Haftung des Bankkunden wesentliche Frage ist daher nach wie vor offen.