Phishing: muss die Bank zahlen?

In letzter Zeit werden wir in immer mehr Fällen von Kontoplünderungen durch das sogenannten Phishing um Hilfe gebeten. Die Fallzahlen beim zum betrug beim Online-Banking, Cybercrime durch Phishing, Pharming, Skimming, Spoofing und Kreditkartenmissbrauch steigen erheblich. Viele Banken und Sparkassen verweigern zu Unrecht die Erstattung des Schadens. Hier geben wir eine Übersicht, wie sie sich am Besten verhalten und ob und in welchen Fällen die Bank Ihren Schaden nach einem Phishing Angriff erstatten muss.

Betrug beim Online-Banking

Justus Rechtsanwälte vertritt bundesweit Bankkunden, die Opfer von Internetbetrug beim Online-Banking und Kreditkartenmissbrauch geworden sind. Wir haben viel Erfahrung in diesem Bereich und ausgewiesene Expertise als Fachanwälte unter anderem für Bank – und Kapitalmarktrecht. In dem sich ständig ändernen Rechtsbereich sind wir durch laufende Fortbildung immer auf dem aktuellen Stand. Sie schildern uns einfach den Sachverhalt und wir geben Ihnen eine kostenfreie Ersteinschätzung.

Phishing; Cybercrime
Phishing: Konto geplündert, was nun?

Was ist Phishing?

Unter dem Begriff Phishing (von fishing, engl. für ‚Angeln‘) versteht man Versuche, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner auszugeben. Ziel des Betrugs ist es z. B. an persönliche Daten eines Internet-Benutzers zu gelangen oder ihn z. B. zur Ausführung einer schädlichen Aktion zu bewegen. In der Folge werden dann beispielsweise Kontoplünderung oder Identitätsdiebstahl begangen oder eine Schadsoftware installiert. Es handelt sich dabei um eine Form des Social Engineering, bei dem die Gutgläubigkeit des Opfers ausgenutzt wird (Quelle Wikipedia).

Hohe und weiter stark steigenden Phishing Fälle:

Cyberkriminalität hat 2021 Höchststand erreicht: 146.363 Cyber-
crimedelikte wurden in Deutschland registriert, 12 % mehr als im Vorjahr. 2021 war der Finanzsektor weltweit am stärksten von Phishing betroffen, auch in Folge der Corona-Pandemie.

Häufige Phishing Maschen:

Bankmitarbeiter ruft an wegen Wartungsarbeiten

Zunächst fischen die Täter die Zugangsdaten für das Onlinebanking des
Kunden sowie weitere persönliche Daten (Geburtsdatum, Nummer der Girocard) über eine
Phishing-Mail ab. Dann erhält das Opfer einen Anruf. Hier gibt sich der Täter als Bankmitarbeiter aus und gibt vor, dass das Online-Banking des Kunden wegen Wartungsarbeiten gesperrt sei und für die Freischaltung TANs oder
„Start-Codes“ benötigt werden. Der Kunde soll dann mit seinem TAN-Generator TANs erstellen und am Telefon durchgeben. Nun können die Täter Überweisungen ausführen.

PushTAN App vom Handy

Kunde gibt wie oben durch eine Phishing-Mail die Zugangsdaten zu seinem Onlinebanking ab. Dann wird er von Täter kontaktiert, der sich meist als Bankmitarbeiter ausgibt. Auch stimmt oft die Telefonnummer der Bank. Da es beim Update des Onlinebankings des
Kunden Probleme gebe, wird ihm eine SMS mit einem Link geschickt, über den er die
Zurücksetzung seiner PushTAN-App beauftragt. Dann erhält der Kunde eine weitere SMS mit Link zur Neu-Installation der PushTAN-App. Diesen Link gibt er in einem
Fenster ein, welches die Betrüger auslesen können. Mit dem Aktivierungslink für die PushTAN-App kann die App auf neuen Endgeräten installiert und benutzt werden.

Die gespiegelte Bank oder Sparkassen-Webseite

Das Opfer erhält von der vermeintlichen Sparkasse, DKB oder anderen Bank eine SMS, in der behauptet wird, ihre PushTAN-Registrierung sei abgelaufen. Es wird dazu aufgefordert, den in der SMS enthaltenen Link anzuklicken. Über diesen Link gelangt der Kunde auf eine “gefälschte” Webseite, die dem Original täuschend ähnlich sieht. Durch die Anmeldung erhält der Täter die Anmeldedaten. Danach erscheint ein Fenster zur TAN-Eingabe und der Kunde generiert mit ihrer PushTAN-App eine TAN und gibt diese in das Fenster ein. Das Fenster stürzt scheinbar ab, ein neues Fenster erscheint und der Kunde generiert nochmals eine TAN. Der Täter kann so mehrere Überweisungen ausführen.

Es gibt natürlich noch viele weitere Fallbeispiele für das Phishing und die Betrugsmaschen werden ständig weiter entwickelt, so dass man sich als Bankkunde kaum davor schützen kann.

Die entscheidenden Fragen sind daher, Wie verhalte ich mich nach Kenntnis der Kontenplünderung? und Wer bleibt auf dem Schaden für die immer raffinierteren Betrugsmaschen hängen? Die Bank oder der Kunde.

Was tun nach der Kontenplünderung?

  • Anfertigung von Screenshots von der Phishing-Mail, gespiegelter Webseite, Link, SMS, etc.
  • Anruf bei der Sperrhotline der eigenen Bank und Dokumentation des Anrufs, Email, etc
  • Beauftragung des sogenannten Rückrufs/Recall der nicht autorisierten Zahlungsanweisung
  • Strafanzeige stellen und das polizeiliche Aktenzeichen notieren
  • Schadensmeldung an die Bank entweder selbst, besser aber durch einen Fachanwalt abgeben lassen.
  • Rechtsschutzversicherung und Haftpflichtversicherung informieren

Wer muss wann zahlen? Die Rechtslage beim Phishing

Grundsätzlich hat der Bankkunde einen Erstattungsanspruch gegen die Bank (Zahlungsdienstleister) aus § 675 BGB, wenn ein Zahlungsvorgang von seinem Konto ohne sein Wissen und Willen (Autorisierung) erfolgt ist.

Im Fall eines nicht autorisierten Zahlungsvorgangs entfällt der Aufwendungsersatzanspruch des Zahlungsdienstleisters (Bank) gegenüber dem Kunden (§ 675u S. 1 BGB). Die Bank oder Sparkasse hat dann unverzüglich dem Kunden den Zahlbetrag zu erstatten (§ 675u S. 2 BGB).
Ist die Autorisierung eines ausgeführten Zahlungsvorgangs streitig, hat die Bank nachzuweisen, dass eine Authentifizierung durch den Kunden erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht und nicht durch eine Störung beeinträchtigt wurde (§ 675w S. 1 BGB).
Die Bank trägt also die Darlegungs- und Beweislast für das Vorliegen eines
Aufwendungsersatzanspruches. Sie hat zu beweisen, dass die streitige Zahlung durch den Kunden autorisiert worden ist.

Dies führt zu allerlei Streitigkeiten, die dann die Fachanwälte für Bank- und Kapitalmarktrecht und Gerichte beschäftigen. Hierbei kommt es immer auf den Einzelfall an, bzw. auf das, was die Bank (Zahlungsdienstleister) zu dem konkreten Zahlungsvorgang darlegen und nachweisen kann.

Sie sehen daher, wie schwer die pauschale Vorhersage ist und wie wichtig es ist, dass Sie sich rechtzeitig und möglichst vor pauschalen Angaben bei Polizei und Bank oder Sparkasse beraten lassen.

Wir können aus unserer Paxis aber feststellen, dass in den überwiegenden Phishing Fällen, in denen die Bank oder Sparkasse die Erstattung (Gutschrift) zunächst abgelehnt hat, diese im Ergebnis falsch lag.

Urteile zum Phishing:

Landgericht Kiel im Urteil vom 22. Juni 2018 (Aktenzeichen: 12 O 562/17) und Oberlandesgericht (OLG) Schleswig vom 29. Oktober 2018 (Aktenzeichen: 5 U 290/18) : Bank zur Rückzahlung nicht autorisierter Online-Überweisungen verurteilt. Gegenstand was das SMSTan-Verfahren, bei dem dem Kunden ein Code zur Überweisung auf sein Handy geschickz wird. Der Kläger erhielt von der Bank eine Erstattung von 28.170 Euro.

LG Köln (Urteil vom 16.10.2015, Az.: 30 O 330/14 ) und OLG Köln (Beschluss vom 21.03.2016, Az.: 13 U 223/15):
Kunde hat der Zahlung zugestimmt oder zumindest den Rechtsschein der Autorisierung gesetzt, wenn er selbst die TAN generiert hat und daraufhin ein mit einer korrekten TAN versehener Überweisungsauftrag ausgeführt worden ist. Dies trifft nicht zu, wenn Täter z.B.
PushTAN-App gekapert haben oder ein Authentifizierungsverfahren verwendet worden ist,
bei dem gar keine TANs generiert werden.

BGH, Urteil vom 26.01.2016,Az.:XI ZR 91/14:

Der Bundesgerichtshof stellt hier die vier Kriterien auf, die die Bank beweisen muss um die Autorisierung der Überweisung durch den Kunden nachzuweisen.

Wir werden hier fortlaufend weiter die wichtigsten Urteile zum Thema Phishing auflisten.

Kostenfreie Erstberatung

Es lohnt sich, den Sachverhalt mit Hilfe von Experten zu analysieren, bevor man der Bank vorschnell Zugeständnisse oder den Rechtsstreit in ein eventuell teures und ggf. aussichtsloses Klageverfahren führt.

Lassen Sie sich kostenfrei beraten. Unserer Ersteinschätzung in den Fällen des Phishing, Pharming, Skomming, des Kreditkartenbetuges und zur Internetkriminalität ist kostenfrei und unverbindlich. Soweit wir weitere Recherchen oder Vertrags- und Unterlagenprüfung durchführen müssen, teieln wir Ihnen die hierdurch enstehenden Kosten transparent vorher schriftlich mit.

Please follow and like us:

Schreibe einen Kommentar