Phishing: Konsequenzen aus dem BGH-Urteil vom 26.01.2016

Beim Phishing stellt sich die Frage, wer für den Schaden haftet, wenn Zugangsdaten durch Straftäter im Online-Banking abgegriffen werden und eine von dem Bankkunden nicht gewollte Überweisung vorgenommen wurde? Für diese Fälle hat sich das Kunstwort Phishing etabliert, welches aus den englischen Begriffen „password“ und „fishing“ (phishing = Passwörter fischen) zusammengesetzt ist. Neuere Tathandlungen sind inzwischen davon geprägt, dass beim Phishing eine technisch ausgefeilte Schadsoftware im Rahmen einer Echtzeitmanipulation das Online-Banking angreift. Täter setzen beim Phishing eine ausgeklügelte technische Angriffsform ein. Gleichzeitig versuchen sie, beim Phishing mittels einer sozialen Manipulation (Social Engineering) an erforderliche Zugangsinformationen zu gelangen, um Zugriff auf das Online-Banking nehmen zu können.

Wer haftet beim Phishing?

Für eine nichtautorisierte Zahlungsanweisung haftet beim Phishing im Verhältnis einer Bank zu seinen Bankkunden grundsätzlich die Bank, sofern der Bankkunde die Überweisung nicht autorisiert hat (§ 675u BGB). Hat sich der Bankkunde dabei jedoch mindestens grob fahrlässig verhalten, bleibt er auf dem Schaden sitzen. Dann kann seine Bank einen eigenen Schadensersatzanspruch in gleicher Höhe gegen den Bankkunden beanspruchen (§ 675v Abs. 2 BGB).

Doch dabei stellen sich Fragen: Wann handelt ein Bankkunde beim Phishing grob fahrlässig? Wie beweist man beim Phishing eine Nichtautorisierung? Da die Straftäter oft unbekannt bleiben, sind an den rechtlichen Auseinandersetzungen zu den Haftungsfragen des Phishing oftmals nur ein Bankkunde sowie seine Bank beteiligt. In einigen Fällen wird beim Phishing ggf. noch ein Geldkurier in Anspruch genommen oder es ist eine oder es sind mehrere Versicherungen beteiligt. Die exakten Tathandlungen bleiben beim Phishing oftmals überwiegend im Dunkeln. Eine wesentliche Kernfrage bei Phishing-Fällen besteht darin, welcher Partei die Darlegungs- und Beweislast für die Geltendmachung eines Anspruchs beim Abgreifen von Zugangsdaten zum Online-Banking obliegt? Der Bundesgerichtshof hat seine Rechtsprechung zur Anwendbarkeit der Beweisgrundsätze des Anscheinsbeweises bei streitigen Zahlungsaufträgen beim Phishing per Urteil vom 26.01.2016 inzwischen fortentwickelt (Az. XI ZR 91/14). In diesem Urteil wurden deutlich einschränkende Grundsätze für den Bereich des Online-Bankings zulasten von Banken formuliert.

Phishing: Was bedeutet die Diskussion zum Anscheinsbeweis?

Eine Kernfrage von Gerichtsverfahren in den vergangenen Jahren bestand beim Phishing darin, ob man einer Bank die jederzeit erschütterbare Beweiserleichterung eines Anscheinsbeweises zugutekommen lassen kann? Anscheinsbeweis bedeutet in diesem Zusammenhang, dass aus einer allgemeinen Lebenserfahrung heraus dem Bankkunden unterstellt wird, er habe entweder die streitige Zahlungsanweisung selbst autorisiert oder aber, er habe sich bei der Aufbewahrung seiner – ihm von dem Zahlungsdienstleister überlassenen – Authentifizierungsmitteln (z. B. PIN, TAN, Signaturkarte etc.) grob fahrlässig verhalten. Die Beweiserleichterung des Anscheinsbeweises würde bedeuten, dass beim Phishing nicht mehr die Bank darlegen und beweisen muss, das ein Bankkunde entweder die Zahlungsanweisung autorisiert hat oder er sich grob fahrlässig verhalten hat. Vielmehr müsste nun der Bankkunde den Anscheinsbeweis durch Darlegung eines abweichenden Geschehensablaufs erschüttern. Gelingt ihm dies beim Phishing nicht, ist die Bank haftungsfrei.

Konsequenzen aus dem Urteil des BGH vom 26.01.2016 – XI ZR 91/14

Der Bundesgerichtshof hat die Anwendbarkeit des Anscheinsbeweises beim Phishing im Online-Banking durch sein Urteil vom 26.01.2016 fortentwickelt und deutlich einschränkende Grundsätze formuliert. Zu klären ist zunächst, worauf sich die Beweiserleichterung eines Anscheinsbeweises beim Phishing beziehen soll. Bezieht sich ein Anscheinsbeweis auf ein angeblich zu unterstellendes grob fahrlässiges Verhalten des Bankkunden, so lehnt der Bundesgerichtshof diese Art von Anscheinsbeweis im Bereich des Online-Bankings nunmehr grundsätzlich ab. Bezieht sich ein Anscheinsbeweis dagegen auf die Frage, ob ein Bankkunde eine Zahlungsanweisung autorisiert hat oder nicht, kommt die Anwendbarkeit des Anscheinsbeweises zugunsten einer Bank nur dann in Betracht, wenn das Sicherungssystem des konkret eingesetzten Online-Banking-Systems im Zeitpunkt der Vornahme des strittigen Zahlungsvorgangs im Allgemeinen praktisch unüberwindbar war. Ferner muss das Online-Banking nach Ansicht des Bundesgerichtshofes im konkreten Einzelfall ordnungsgemäß angewendet worden sein sowie fehlerfrei funktioniert haben.

Was bedeutet das Kriterium der Unüberwindbarkeit?

Ist das maßgebliche Kriterium zur Anwendbarkeit der Beweisgrundsätze des Anscheinsbeweises im Hinblick auf eine Autorisierung die „allgemeine praktische Unüberwindbarkeit“ des konkret eingesetzten Sicherungssystems auf der Grundlage aktueller Erkenntnisse und unter Beachtung des konkret eingesetzten Sicherungsverfahrens, stellt die Darlegungs- und Beweislast für den Zahlungsdienstleister bei einem modernen und ausgefeilten „Man-in-the-Middle-Angriff“ beim Phishing eine hohe Hürde dar. Wer sich Haftungsfragen durch Phishing ausgesetzt sieht, gleich ob als Bankkunde oder als Bank, wird in der Regel fachanwaltliche Hilfe benötigen.

Das Kriterium einer „Unüberwindbarkeit“ verweist in die bereits 1989/90 von der damaligen Zentralstelle für Sicherheit in der Informationstechnik (BSI) für die Bewertung und Zertifizierung von Computersystemen und Software erarbeiteten IT-Sicherheitskriterien. Demnach wird bei der Bewertung eines vertrauenswürdigen Computersystems regelmäßig zwischen der Wirksamkeit einer Methode und der Korrektheit der Implementierung unterschieden. Die Wirksamkeit einer Methode bezeichnet hierbei die Widerstandsfähigkeit eines Schutzmechanismus gegen Umgehungsversuche, die anhand der IT-Sicherheitskriterien schon damals in eine sechsstufige Bewertungsskala eingeteilt worden war. Davon ausgehend beschreibt der Begriff „nicht überwindbar“ die höchste Qualitätsklasse. Nicht überwindbar bedeutet demnach, dass das konkrete eingesetzte Online-Banking-System einen derzeit nicht überwindbaren Schutz vor Phishing bieten muss. Zur Aufrechterhaltung seiner Stärke dürfen höchstens solche organisatorische Maßnahmen eingesetzt werden, die durch systeminterne Überwachungsfunktionen praktisch vollständig gegen Fehler abgesichert sind. Alle diese Kontrollfunktionen müssen Bestandteil der zu evaluierenden Software sein. Selbst für die direkt darunterliegende Stufe gilt, dass sie nach dem Stand der Technik nur mit äußerstem Aufwand zu überwinden sein darf. Unüberwindbarkeit greift dagegen nur, wenn die Überwindbarkeit im Zeitpunkt einer Phishing-Tathandlung allgemein und praktisch ausgeschlossen war.

Dies macht eine Einzelfallbetrachtung des jeweils bei einer Tathandlung konkret eingesetzten Online-Banking-Systems erforderlich. Will man abschätzen, wer beim Phishing haftet, so setzt dies eine grundlegende Kenntnis der permanent im Fluss befindlichen Kriminalitätsentwicklung im Zeitpunkt der Tathandlung voraus. Dies kann sicherlich nur ein spezialisiert tätiger Fachanwalt für Bankrecht bzw. ein IT-Experte leisten. Es bleibt damit zu rechnen, dass es zukünftig vermehrt zu Sachverständigengutachten in den Gerichtsverfahren beim Phishing kommen dürfte.

Literaturhinweis: ilex Rechtsanwälte publizierte im Juli-Heft 2016 der juristischen Fachzeitschrift Multimedia und Recht (MMR) zum zweiten Mal in Folge einen Fachbeitrag zu den Haftungsfragen bei den aktuellen Fällen des „Phishing“ (MMR, Heft 7/2016, S. 435-440, ISBN 1434596X).