Banken ersetzen Vermögensschäden infolge von Phishing-Mails

In den letzten Monaten haben eine Vielzahl von Bankkunden erhebliche Schäden erlitten, nachdem sie  auf sog. Phishing-Mails reagiert haben.  

Diese Phishing-Mails versuchen aufgrund ihres äußeren Erscheinungsbilds den Eindruck zu erwecken, Absender sei eine Bank. Dem Empfänger der Mail wird darin suggeriert, es bestehe dringender Handlungsbedarf in Bezug auf ihr Konto:

So wird etwa in der Mail behauptet, 

• das Konto sei gesperrt und werde erst wieder freigeschaltet, wenn ein Formular gemäß den Anweisungen und Schritten unter Kundenbereich ausgefüllt werde.
• dass Unstimmigkeiten bei den persönlichen Daten festgestellt wurden. Um höchstmögliche Sicherheit gewähren zu können, müssten diese erneut angeben werden: zur Homepage.
• dass ein neues Dokument erstellt werden müsse:  VR-SecureGO.
• dass es notwendig sei, das Konto zu verifizieren und es dazu ein Bestätigungsprozess durchlaufen werden müsse: Link .
• dass die Karte nicht mehr verwendet werden könne, folglich das neue Web-Sicherheitssystem aktiviert werden müsse durch Klicken auf den Link: Revision.
• dass aufgrund strengerer Richtlinien der Europäischen Union die gespeicherten Daten aktualisiert werden müssten durch Betätigen des Links Konto wieder aktivieren .
• dass sich der Kunde durch Betätigung des Links für das neue 3-D-Secure-Verfahren anmelden könne.

Betätigt der Empfänger der Mail diesen Link erhält der Absender der Mail direkten Zugriff auf dessen Computer, kann die darauf gespeicherten Daten ausspähen und unbemerkt Gelder vom Konto transferieren. Der Versuch, die Gelder anschließend wieder zurückzuholen, ist praktich aussichtslos.   

Dagegen bestehen gute Chancen, den Schaden von dem Bankinstitut  ersetzt zu erhalten:

Eine Zahlung ist dem Kontoinhaber gegenüber nach § 675 j BGB nämlich nur dann wirksam, wenn er dieser zugestimmt hat. Folglich ist die Bank verpflichtet, dem Konto den Betrag wieder gutzuschreiben.

Demgegenüber wenden die Banken zwar regelmäßig ein, der Kontoinhaber habe sich grob fahrlässig verhalten, weil er sensible Daten preisgegeben habe und rechnen mit Schadensersatzansprüchen auf.  Allerdings muss die Bank die Sorgfaltspflichtverletzung beweisen. 

Inzwischen sind jedoch durchaus auch Fälle bekannt geworden, in denen der Kontoinhaber zwar den Link betätigt, aber weder Login-Daten eingegeben noch einen Registrierungscode weitergegeben hat. Trotzdem kam es zu nicht-autorisierten Verfügungen. Hier hat offensichtlich das bloße Anklicken des Links dem Absender der Mail den Zugriff auf die Kontodaten ermöglicht. 

Der Einwand der grobfahrlässigen Sorgfaltspflichtverletzung greift daher durchaus nicht immer. Das haben inzwischen auch einige Banken erkannt und den entstandenen Verlust dem Kundenkonto endgültig wieder gutgeschrieben.