Erfolg für Bankkunden – Schadensersatz nach Phishing-Angriff

Banken sind verpflichtet, nach einem Phishing-Angriff innerhalb weniger Stunden Kontakt mit dem Kreditinstitut des Zahlungsempfängers aufzunehmen. So sollen falsche Überweisungen gestoppt werden. Tun sie dies nicht und verliert der Kunde dadurch sein Geld, steht ihm Schadensersatz zu.

Online-Banking wird mittlerweile von zahlreichen Bankkunden genutzt. Neben den Vorteilen birgt es aber auch diverse Gefahren. Eine davon ist das sogenannte Phishing: Durch das Versenden von Spam-Mails senden Betrüger ihren Opfern täuschend echt wirkende E-Mails des Bankinstituts zu. 

Klickt der Betroffene hierauf, landet er auf einer der Bank ähnelnden Website und muss vertrauliche Daten angeben. Die so erhaltenen Daten nutzen die Betrüger, um eine Überweisung vom Bankkonto des Opfers an sich selbst zu tätigen. Die Schäden werden vom Opfer oft zu spät bemerkt. Das Oberlandesgericht (OLG) Köln hat nun in einem Urteil über die Verhaltens- und Reaktionspflichten von Banken auf Phishing-Angriffe entschieden.

Klägerin informierte Bankinstitut zeitnah über falsche Überweisung

In dem vor dem OLG zu verhandelnden Fall begehrte die Klägerin von ihrem Bankinstitut Wiedergutschrift eines Geldbetrages, der durch einen Phishing-Angriff abhandengekommen ist.

Die Klägerin bemerkte eine unautorisierte Transaktion mittels des mobilen TAN-Verfahrens über ihr Konto. Daraufhin kontaktierte sie unmittelbar telefonisch ihr Bankinstitut mit der Bitte, die Überweisung zu stoppen. Statt, wie in einem solchen Fall üblich, sofort das Kreditinstitut des Empfängers zu kontaktieren, ließ sich das Bankinstitut der Klägerin jedoch mehr als 48 Stunden mit einer Kontaktaufnahme Zeit. Dadurch war ein Rückerhalt des Geldes nicht mehr möglich.

Die Klägerin stützt ihr Begehren darauf, dass, hätte das beklagte Bankinstitut zeitnah gehandelt, der Verlust des Geldes verhindert worden wäre.

Bankinstitut aufgrund Vertragsverhältnisses verpflichtet, zeitnah zu handeln

Nachdem der Klägerin bereits in erster Instanz Schadensersatz zugesprochen wurde, urteilte auch das OLG Köln zu ihren Gunsten. Das Gericht entschied auf Basis gängiger Bankpraxis, dass die Klägerin zwar nicht wie gefordert einen Anspruch auf Wiedergutschrift habe, allerdings sei ihr hilfsweise gestellter Antrag auf Schadensersatz begründet.

Durch das zu späte Einschreiten habe die Bank eine vertragliche Nebenpflicht aus § 241 Abs. 2 BGB verletzt. Allgemeine Schutzpflichten zum Zwecke der Vereinfachung des bargeldlosen Zahlungsverkehrs bestehen zwar nur in engen Grenzen. 

Das beklagte Bankinstitut hätte sich in diesem Fall jedoch früher an die Empfängerbank wenden müssen. Vertragsparteien sind nach § 241 Abs. 2 BGB zum Schutz der Rechtsgüter ihrer Vertragspartner verpflichtet, soweit möglich und zumutbar. 

Daraus folgt laut OLG die Pflicht der Bank, Informationen zu Phishing-Angriffen unverzüglich an die Empfängerbank weiterzuleiten. Der beklagten Bank wäre eine zeitige Kontaktaufnahme problemlos möglich und zumutbar gewesen. 

Eine zeitnahe Kontaktaufnahme hätte nach Auskunft der Empfängerbank zu dem Rückerhalt des Geldes für die Klägerin geführt. Die Bank hätte, wie in einem solchen Fall üblich, das Konto gesperrt und die Staatsanwaltschaft informiert. 

Durch diese Nebenpflichtverletzung sei der Klägerin ein Schaden in Form des Verlustes des Geldes entstanden. Diesen kann die Klägerin gemäß § 280 Abs. 1 BGB ersetzt verlangen.

In der Praxis vergehen wenige Stunden bis zur Informationsweitergabe

Im Falle eines Betrugsverdachtes ist es gängige Praxis bei Banken, unverzüglich Maßnahmen einzuleiten, die geeignet sind einen Schaden für den Kunden abzuwenden. 

Es gibt dafür zwar keinen vorgeschriebenen Verhaltensablauf. Allerdings haben Banken Vordrucke für einen solchen Fall, die bei den zuständigen Mitarbeitern ausliegen und an andere Banken via Telefax versendet werden können. In der Praxis vergehen von Eingang des Kundenbegehrens bei der eigenen Bank bis zur Kontaktaufnahme mit der Bank des Empfängerkontos nur wenige Stunden. 

Frühzeitiges Informieren der Bank kann Schaden abwenden

Für Bankkunden ist dieses Urteil erfreulich. Dennoch wird nicht in jedem Fall eine falsche Überweisung auch zum Rückerhalt des Geldes oder alternativ zum Ersatz des entstandenen Schadens führen. Ein frühzeitiges Reagieren erhöht die Chance, das Geld zurückzuerhalten. Betroffene sollten sich daher umgehend an ihr Bankinstitut wenden und auf den Betrugsvorfall aufmerksam machen.