Die Haftung der Banken beim missbräuchlichen Online-Banking/Phishing

Kriminelle schaffen es immer öfter, sich Zugang zu den persönlichen Daten des Kunden zu verschaffen und damit missbräuchliche Transaktionen vorzunehmen, die für den Kunden oftmals katastrophal sind.

Die meisten Kunden kennen zwischenzeitlich die Warnungen ihrer Hausbanken, keine Email zu beantworten, in denen die persönliche PIN und TAN des Kunden abgefragt wird.

In letzter Zeit haben Banken mit einem Trick zu kämpfen, der selbst einem aufmerksamen Kunden nicht auffällt: So loggt sich der Kunde zunächst mit seinen Anmeldedaten in das Online-Banking-System seiner Hausbank ein. Bevor er seine Aufträge ausführen kann, öffnet sich ein Fenster, das im Layout der Hausbank gestaltet ist und scheinbar von dieser stammt. Der Kunde erhält darin die Mitteilung, dass er sich aus Sicherheitsgründen autorisieren solle, er wird aufgefordert, eine TAN Nummer einzugeben.

Dies erscheint den meisten Kunden nicht ungewöhnlich, viele Banken sehen in ihren AGBs sogar vor, dass der Kunde nicht mehr als eine TAN eingeben soll, wenn eine Sicherheitskontrolle durchgeführt wird.

Nachdem der Kunde der Aufforderung entsprochen und seine TAN eingegeben hat, lässt sich das Online-Banking wie gewohnt weiterführen. Erst danach schlagen die Täter zu und räumen ab, indem sie die größtmögliche Summe auf ein anderes Konto überweisen. Das Phishing Opfer merkt den Missbrauch seines Kontos oft erst dann, wenn der Kontoauszug vorliegt - und zu diesem Zeitpunkt ist der Phishing Dieb bereits über alle Berge.

Nur weniges Banken erstatten den missbräuchlich überwiesenen Betrag unproblematisch, größtenteils ist die Hinzuziehung eines Rechtsanwalts erforderlich, da sich viele Banken „pauschal" auf den Standpunkt stellen, dass sich der Kunde im Umgang mit seinen vertraulichen Daten sorgfaltswidrig verhalten habe.

Dabei ist die Aussicht des geschädigten Kunden, Schadensersatz von seiner Hausbank zu erhalten, durchaus positiv:

Grundsätzlich hat der Bankkunde einen Anspruch darauf, dass Buchungen, die ohne seinen Auftrag oder ohne Rechtsgrund zu Lasten seines Kontos durchgeführt werden, wieder rückgängig gemacht werden. Das Risiko für die Fälschung eines Überweisungsauftrages trägt grundsätzlich die Bank(BGH NJW 2001, 2968).

Die meisten Banken haben die Bedingungen für das Online Banking in Sonderbedingungen geregelt. Danach trifft die Bank - auch bei Missbrauchsfällen im Phishingbereich - eine Erstattungspflicht, die nur dann ausgeschlossen ist, wenn der Kunde den Zugang seiner Daten unbefugten Dritten ermöglicht und sich sorgfaltswidrig verhält. Wohlgemerkt ist die Bank in der Beweispflicht, dass sich der Kunde sorgfaltswidrig verhalten hat.

Sorgfaltswidrig handelt der Kunde, wenn er einen Computer nutzt, auf dem keine aktuelle Antivirensoftware und keine aktuelle Firewall installiert ist. Die Frage, wann der Kunde sonst gegen seine Sorgfaltspflichten verstoßen hat, ist eine Frage des Einzelfalles, die von einem Richter zu beurteilen ist.

In einem vor dem LG Berlin verhandelten „Phishing"-Fall loggte sich der Kunde zunächst auf der echten Internetseite seiner Bank ein. Anschließend erhielt er in einem neuen Fenster, das wie die Seite seiner Bank aussah, die Mitteilung, dass das Login fehlgeschlagen sei. Der Kunde wurde aufgefordert, Tans einzugeben - anschließend wurde sein Konto leer geräumt. Die Richter sahen keine grobe Fahrlässigkeit des Kunden und verurteilten die Bank zum Ersatz von 90 % des entstandenen Schadens.

Insgesamt ist festzustellen, dass Opfer eines Phishings durchaus Hoffnung haben, dass die Bank für den eingetretenen Schaden eintreten muss.

Rechtsanwältin Olivia Holik

Fachanwältin für Bank- und Kapitalmarktrecht

Rechtsanwaltkanzlei Holik