In dem Rechtsstreit ging es um einen Bankkunden, dessen PIN und mindestens eine TAN von Online-Betrügern ausgespäht worden waren, und die daraufhin Geld von seinem Konto nach Osteuropa transferiert hatten. Den Schaden muss das Bankinstitut dem Urteil zufolge nicht ersetzen, obwohl vor Gericht nicht mehr geklärt werden konnte, wie genau die Phisher an die erforderlichen Informationen gelangt waren.
Die Kölner Richter legten in ihrem Urteil Maßnahmen fest, die von einem Online-Banking-Nutzer erwartet werden können: Die Verwendung einer Firewall und eines aktuellen Virenschutzprogramms, regelmäßige Sicherheits-Updates für das Betriebssystem und die verwendete Software, sowie das Beachten der Hinweise, PIN und TAN niemals auf Anforderung per Telefon oder E-Mail weiter zu geben. Selbst eine deutlich falsche Internetadresse, oder das Fehlen des Schlüssel-Symbols im Browser müsse ein Bankkunde als Warnhinweis auf eine gefälschte Banking-Website erkennen.
Das Gericht erwartet hingegen nicht, dass ein Durchschnittsnutzer die Grundeinstellungen seines Betriebssystems ändert, Zertifikate prüft oder bei der Verwendung seines Computers auf Administratorrechte verzichtet.
