Veröffentlicht von:
"Geld verloren durch Phishing? Ihre Rechte bei Online-Banking-Betrug!
- 12 Minuten Lesezeit
Erstattungsanspruch aus § 675u BGB bei Online-Banking-Betrug
Im digitalen Zeitalter spielt Online-Banking eine stetig wachsende Rolle in unserem Alltag. Jedoch birgt diese Entwicklung auch Herausforderungen und Risiken, insbesondere in Bezug auf Betrugsdelikte. In diesem Beitrag möchten wir Sie über die rechtlichen Aspekte und Möglichkeiten, insbesondere im Hinblick auf einen möglichen Erstattungsanspruch geschädigter Bankkundinnen und Bankkunden gegenüber der kontoführenden Bank nach § 675u BGB, aufklären.
Viele Betroffene wissen nicht, dass die Bank grundsätzlich den Schaden aus nicht autorisierten Überweisungen gegenüber dem Kunden zu erstatten hat. Sie lassen sich stattdessen von ihrer Hausbank mit Aufforderungsschreiben und Fristen unter Druck setzen und reichen ohne vorherige Rücksprache mit einer Anwältin oder einem Anwalt selbst-belastende Sachverhaltsschilderungen ein oder spielen ihrer Bank in die Hände, in dem Sie voreilig auf Rechte verzichten oder Ansprüche gegen unbekannte Schädiger abtreten. Dies geschieht häufig in Unkenntnis der Rechtslage. Die Betroffenen wissen nicht, dass sie mit einem solchen Verhalten die Chancen auf eine erfolgreiche Durchsetzung ihres Erstattungsanspruchs eher schmälern. Umso wichtiger es für die Betroffenen, die Rechtslage bei Online-Banking-Betrugsfällen zu kennen, um die richtigen Entscheidungen zu treffen.
Bevor wir genauer auf den Erstattungsanspruch des Zahlungsdienstnutzers gegenüber dem Kreditinstitut eingehen, ist es wichtig zu verstehen, mit welchen Methoden sich Betrüger Zugriff auf fremde Konten verschaffen, um anschließend unberechtigte Überweisungen zum Nachteil der Kontoinhaber: innen vorzunehmen. Die verbreitetste Methode ist sicherlich das sogenannte Phishing. Dieser Begriff setzt sich aus den englischen Worten "Password" und "Fishing" zusammen, was so viel wie "Passwortfischen" bedeutet.
1. Wie funktioniert Phishing?
In vielen Fällen erfolgt Phishing per E-Mail, aber auch per SMS. Der Betrüger gibt sich als eine vertrauenswürdige Institution aus, in der Regel als Ihre Bank, und bittet Sie, Ihre Kontodaten zu bestätigen oder zu aktualisieren. Die Nachricht sieht oft täuschend echt aus, mit Logos und Formulierungen, die denen Ihrer Bank ähneln. Aber hierbei handelt es sich nur ein Trick, um Sie zur Preisgabe Ihrer Daten zu verleiten.
a) Die Phishing-E-Mail
Stellen Sie sich vor, Sie erhalten eine E-Mail, die angeblich von Ihrer Bank stammt. In der E-Mail steht, dass aufgrund eines Sicherheitsproblems alle Konten überprüft werden müssen und Sie aufgefordert werden, Ihre Kontodaten zu bestätigen. Es gibt einen Link, der zu einer Website führt, die genauso aussieht wie die Ihrer Bank. Aber wenn Sie Ihre Daten eingeben, landen sie direkt bei den Betrügern.
b) Social Engineering: Die menschliche Schwachstelle im Online-Banking
Wenn wir an Online-Banking-Betrug denken, stellen wir uns oft komplexe technische Hacks und ausgeklügelte Betrugsprogramme vor. Aber eine der häufigsten und effektivsten Methoden, die Betrüger nutzen, hat wenig mit Technologie und viel mit Menschenkenntnis zu tun. Diese Methode ist als Social Engineering bekannt.
Social Engineering, auf Deutsch auch als "soziale Manipulation" bezeichnet, ist eine Betrugstechnik, bei der Menschen dazu verleitet werden, vertrauliche Informationen preiszugeben oder bestimmte Handlungen auszuführen. Statt sich auf komplizierte technische Fähigkeiten zu verlassen, nutzen Social-Engineers die menschlichen Schwächen wie Vertrauen, Hilfsbereitschaft oder Angst aus.
c) Wie funktioniert Social Engineering?
Social Engineering kann auf viele verschiedene Arten erfolgen. Betrüger können sich als vertrauenswürdige Personen ausgeben, falsche Geschichten erzählen oder Druck ausüben, um ihre Ziele zu erreichen. Im Kontext des Online-Bankings kann dies dazu führen, dass Sie vertrauliche Informationen wie Ihre Kontonummer oder PIN preisgeben.
Stellen Sie sich vor, Sie erhalten einen Anruf von jemandem, der behauptet, ein Mitarbeiter Ihrer Bank zu sein. Der Anrufer erklärt, dass es ein Problem mit Ihrem Konto gibt und dass er Ihre Hilfe benötigt, um es zu lösen. Er bittet Sie, sich in Ihr Online-Banking-Konto einzuloggen und einige Transaktionen durchzuführen, während er Sie am Telefon anleitet. Aber anstatt Ihnen zu helfen, nutzt der Betrüger diese Gelegenheit, um Zugang zu Ihrem Konto zu erhalten oder Sie dazu zu bringen, Geld auf sein eigenes Konto zu überweisen.
2. Erstattungsanspruch des Geschädigten nach § 675u Satz 2 BGB
Nachdem klar geworden sein sollte, wie die Betrüger Zugriff auf fremde Konten erlangen, sollten wir uns nun der Struktur des § 675u Satz 2 BGB zuwenden, auf deren Grundlage Kunden ihre Schäden gegenüber dem Kreditinstitut geltend machen können.
Für den Erstattungsanspruch nach § 675u Satz 2 BGB müssen folgende Voraussetzungen erfüllt sein.
Erstens muss der Betrug unverzüglich gegenüber der Bank gemeldet worden sein
(§ 676b Abs. 1 BGB). Das bedeutet, Sie müssen Ihre Bank sofort informieren, sobald Sie merken, dass eine unberechtigte Abbuchung stattgefunden hat. Ich habe es in meiner Anwaltspraxis leider häufig erleben müssen, dass die Kreditinstitute sich auf diese Norm berufen, wenn
Zahlungsdienstnutzer: innen sich zunächst an eine Anwältin oder einen Anwalt wenden und erst nach erfolgter Beratung durch diesen den Schaden gegenüber der Bank melden. Dieses Vorgehen ist zwar verständlich. Dennoch sollten Betroffene den Schaden sofort melden, um ihre Erfolgsaussichten bei der Durchsetzung ihrer Ansprüche nicht unnötig zu gefährden. Eine Sachverhaltsschilderung sollten Sie aber zu diesem Zeitpunkt noch nicht abgeben, sonders erst nach Rücksprache mit einer Anwältin oder einem Anwalt. Zunächst es ausreichend, die Transaktion bei der Bank schlicht als nicht autorisierte Überweisung zu melden.
Zweitens darf keine Verfristung vorliegen. Nach § 676b Abs. 2 BGB muss der Zahlungsdienstnutzer dem Zahlungsdienstleister innerhalb von 13 Monaten nach dem Tag der Belastung über den nicht autorisierten Zahlungsvorgang unterrichten.
Drittens muss ein nicht autorisierter Zahlungsvorgang im Sinne von § 675u Satz 1 und
§ 675j Abs. 1 Satz 1 BGB vorliegen. Was viele nicht wissen: Die Bank hinsichtlich des Vorliegens der Autorisierung darlegungs- und beweisbelastet.
Eine Autorisierung, also die Zustimmung zum Zahlungsvorgang, kann entweder als Einwilligung oder, als Genehmigung erfolgen. Ein Widerruf der Autorisierung nach § 675p Abs. 1 BGB ist nur bis zum Zugang der Autorisierung möglich - was in der Praxis selten der Fall ist.
Man spricht im Rahmen von § 675u Satz 2 BGB aus folgendem Grund von einem „Erstattungsanspruch“: Normalerweise erlangt die Bank in den Fällen der ordnungsgemäßen Autorisierung des Zahlvorgangs durch den Kunden für ihre Aufwendungen, die durch die Umsetzung des Zahlauftrages entstehen, einen Ersatzanspruch. Durch eine Belastungsbuchung auf das Zahlungskonto des Kunden wird dieser Aufwendungsersatzanspruch des Zahlungsdienstleisters realisiert. Allerdings ist diese Belastungsbuchung dann nicht begründet und rückgängig zu machen, wenn der Zahlungsvorgang durch den Kunden nicht autorisiert wurde. Hier kommt dann der
§ 675 u Satz 2 BGB ins Spiel, der auf die Rückgängigmachung einer solchen unbegründeten Belastungsbuchung gerichtet ist. Diese Zusammenhänge sind rechtlich komplex und für Laien nicht einfach zu durchschauen.
a) Warum liegt in den meisten Fällen von Online-Banking-Betrug eine nicht autorisierte Überweisung vor?
Bei den meisten Fällen von Online-Banking-Betrug, etwa bei Phishing oder Social Engineering, gibt der Nutzer seine Daten nicht freiwillig und wissentlich an Betrüger weiter. Vielmehr werden diese Informationen durch Täuschung oder Manipulation erlangt. Insofern kann man argumentieren, dass solche Überweisungen in der Regel nicht autorisiert sind, da die „Zustimmung“ des Nutzers nicht in Kenntnis der tatsächlichen Umstände erteilt wurde.
b) Was passiert, wenn die Voraussetzungen erfüllt sind?
Ist ein Zahlungsvorgang nicht autorisiert, ist die Bank verpflichtet, den Zahlungsbetrag unverzüglich zu erstatten bzw. das Konto auf den Stand zu bringen, auf dem es sich ohne die nicht autorisierte Zahlung befunden hätte (§ 675u Satz 2 BGB).
Die Erstattung muss spätestens bis zum Ende des Geschäftstages erfolgen, der auf den Tag folgt, an dem der Zahlungsvorgang der Bank angezeigt wurde (§ 675u Satz 3 BGB).
Eine Ausnahme von dieser Regel besteht nur, wenn die Bank der zuständigen Behörde schriftlich berechtigte Gründe für den Verdacht eines betrügerischen Verhaltens des Zahlers mitgeteilt hat. In diesem Fall muss die Erstattung unverzüglich erfolgen, sobald sich der Betrugsverdacht nicht bestätigt hat (§ 675u Satz 4 BGB).
Insgesamt bietet § 675u BGB also einen wichtigen Schutzmechanismus für Opfer von Online-Banking-Betrug. Um die Erfolgsaussichten für die Durchsetzung des Erstattungsanspruchs zu maximieren, müssen die rechtlichen Zusammenhänge einzelfallbezogen von einer Anwältin oder einem Anwalt mit dem Schwerpunkt Bankrecht gegenüber der Bank vorgetragen werden. Die Banken (Großbanken und Sparkassen gleichermaßen) verfügen über exzellente Jurist:innen, gegen deren Argumentationskompetenz Sie ohne juristischen Beistand nicht ankommen werden.
3. Der Schadensersatzanspruch der Bank nach § 675v Abs. 3 BGB im Falle von Online-Banking-Betrug
Ein wichtiger Aspekt bei der Betrachtung von Online-Banking-Betrug ist die Regelung in
§ 675v Abs. 3 BGB. Diese Norm bietet der Bank eine gesetzliche Grundlage, um unter bestimmten Umständen Schadensersatzansprüche gegen den Zahlungsdienstnutzer geltend zu machen. Ist der Schadensersatzanspruch begründet, kann die Bank mit diesem gegen den Erstattungsanspruch des Kunden aus § 675u Satz 3 BGB aufrechnen. Gelingt der Bank der Nachweis dieses Schadensersatzanspruchs, bedeute das im Ergebnis, dass der Erstattungsanspruch des Kunden entweder gekürzt wird oder der Kunde im schlimmsten Fall seinen Anspruch ganz verliert (zumindest nach wirtschaftlicher Betrachtungsweise).
a) Die Voraussetzungen für den Schadensersatzanspruch der Bank
Voraussetzung für den Schadensersatzanspruch der Bank ist, dass der Kunde entweder in betrügerischer Absicht gehandelt hat oder eine oder mehrere seiner Pflichten gemäß § 675l BGB oder ggf. mit der Bank vereinbarte Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments verletzt hat und dabei vorsätzlich oder grob fahrlässig gehandelt hat.
Zu den Pflichten des Kunden nach § 675l Abs. 1 BGB gehört beispielsweise, angemessene Vorkehrungen zum Schutz personalisierter Sicherheitsmerkmale vor unberechtigtem Zugriff zu treffen und die missbräuchliche Verwendung oder den Diebstahl von Zahlungsinstrumenten zu melden. Auch muss der Kunde die von ihm gestellten Bedingungen für die Verwendung und Ausgabe des Zahlungsinstruments einhalten.
„Personalisierte Sicherheitsmerkmale“ sind einzigartige Daten oder Informationen, die ausschließlich dem Zahlungsdienstnutzer, also dem Kunden, zugeordnet sind. Sie dienen dazu, den Kunden eindeutig zu identifizieren und die Ausführung von Zahlungsvorgängen zu autorisieren (vgl. Legaldefinition in: § 1 Abs. 25 ZAG = Zahlungsdienstaufsichtsgesetz). In der Praxis umfassen diese Merkmale beispielsweise Passwörter, PINs (Persönliche Identifikationsnummern), TANs (Transaktionsnummern) oder sogar biometrische Daten wie Fingerabdrücke oder Gesichtserkennung, sofern sie von der Bank zur Verfügung gestellt werden.
Unter dem Begriff "Zahlungsinstrument" versteht man jegliche Vorrichtung oder Verfahren, das Nutzer zur Erteilung von Zahlungsaufträgen verwenden können (vgl. Legaldefinition in:
§ 1 Abs. 20 ZAG = Zahlungsdienstaufsichtsgesetz). Im Kontext des Online-Bankings können dazu etwa Kredit- oder Debitkarten, das Online-Banking selbst, aber auch Mobile-Payment-Lösungen wie Smartphone-Apps zählen.
Der Vorgang des Nachprüfens der Nutzung eines Zahlungsinstruments und des personalisierten Sicherheitsmerkmals mittels eines Verfahrens durch den Zahlungsdienstleister wird auch als „Authentifizierung“ bezeichnet (vgl. Legaldefinition in: § 1 Abs. 23 ZAG = Zahlungsdienstaufsichtsgesetz). Der Nachweis einer Authentifizierung durch das Kreditinstitut ist in aller Regel nicht ausreichend, um eine Autorisierung des Zahlvorgangs durch den Kunden zu beweisen. Dies ist zumindest die gesetzgeberische Vorgabe in § 675 w BGB.
Es ist daher wichtig zu betonen, dass die Hürden für die Bank hoch sind, um tatsächlich einen Schadensersatzanspruch geltend machen zu können. Das Vorliegen grober Fahrlässigkeit oder von Vorsatz muss die Bank beweisen können, was in der Praxis oft nicht einfach ist.
b) Warum liegt in den meisten Fällen von Online-Banking-Betrug kein grob fahrlässiges Handeln des Kunden vor?
Im Allgemeinen kann man argumentieren, dass tendenziell in den Fällen von Online-Banking-Betrug kein grob fahrlässiges Handeln von Kunden vorliegt. Betrüger nutzen immer ausgefeiltere Methoden, um an die persönlichen Informationen ihrer Opfer zu gelangen. Diese Methoden sind oft so raffiniert, dass sie selbst für vorsichtige und gut informierte Nutzer schwer zu durchschauen sind.
Darüber hinaus ist es für die Bank schwierig, ein grob fahrlässiges Handeln zu beweisen. In der Regel bleibt die Argumentation der Bank auf einer sehr abstrakten Ebene. Häufig wird nicht konkret zum Fall vorgetragen. Das liegt daran, dass die Bank naturgemäß – weil sie selbst nur indirekt Betroffene ist – nur sehr eingeschränktes Wissen über den Hergang des Betrugsfalles in der Sphäre des Kunden hat. Da sie aber darlegungs- und beweisbelastet ist, wirkt sich dieser Umstand regelmäßig nachteilig in Gerichtsprozess für sie aus.
c) Berücksichtigung des Mitverschuldens der Bank
Die Gerichte berücksichtigen im Rahmen des Schadensersatzanspruches der Bank aus § 675v Abs. 3 BGB auch regelmäßig den Einwand des Mitverschuldens nach § 254 BGB (vgl. OLG München 19. Zivilsenat, Hinweisbeschluss vom 22.09.2022 – 19 U 2204/22) wenn die Sicherheitssysteme der Bank offensichtlich versagt haben. Zum Beispiel, wenn es mehrere Abbuchungen in einem kurzen Zeitraum gibt, die extrem hohe und glatte Beträge aufweisen und zu ungewöhnlichen Zeiten, wie etwa mitten in der Nacht, erfolgen. In solchen Fällen kann der Schadensersatzanspruch der Bank teilweise bis zu 50% gekürzt werden. Das bedeutet im Ergebnis, dass die Bank nicht im vollen Umfang mit ihrem Schadensersatzanspruch gegen den Erstattungsanspruch des Kunden aus § 675u BGB aufrechnen kann. Es lohnt sich daher in jedem Fall, die Sachlage von einer Anwältin oder einem Anwalt für Bankrecht rechtlich überprüfen zu lassen. Auf keinen Fall sollten Geschädigte vorschnell aufgeben aus Angst davor, sich mit Ihrer Bank auseinanderzusetzen.
d) Rückausnahmen zu § 675v Abs. 3 BGB nach § 675v Abs. 4 BGB
Schließlich gibt es noch die Rückausnahmen nach § 675v Abs. 4 BGB, die einen Schadensersatzanspruch der Bank ausschließen können. Diese greifen zum Beispiel, wenn der Zahlungsdienstleister oder der Zahlungsempfänger keine starke Kundenauthentifizierung im Sinne von § 1 Absatz 24 (ZAG = Zahlungsdienstaufsichtsgesetz) verlangt hat oder akzeptiert.
Unter einer starken Kundenauthentifizierung versteht man ein Verfahren, das die Identität des Zahlungsdienstnutzers auf der Basis von zwei oder mehr Elementen aus den Kategorien Wissen (etwas, das nur der Nutzer weiß), Besitz (etwas, das nur der Nutzer besitzt) und Inhärenz (etwas, das der Nutzer ist) überprüft. Diese Elemente müssen so gestaltet sein, dass die Vertraulichkeit der Authentifizierungsdaten gewahrt bleibt. In nicht wenigen Fällen kommen Online-Banking-Betrugsfälle nur dadurch zustande, weil die Bank kein starke Kundenauthentifizierung vorhalten kann.
4. Fazit
Zusammenfassend lässt sich festhalten, dass die rechtlichen Aspekte und Möglichkeiten im Zusammenhang mit dem Erstattungsanspruch (bei nicht autorisierten Zahlungsvorgängen) beim Online-Banking-Betrug komplex und oftmals nicht leicht zu durchschauen sind. Ein wichtiger Aspekt ist dabei der § 675u BGB, der den Erstattungsanspruch des Geschädigten gegenüber der Bank regelt. Trotz der klaren gesetzlichen Regelungen scheinen die Betroffenen in der Praxis dennoch häufig auf Probleme zu stoßen, insbesondere aufgrund mangelnder Kenntnisse und Missverständnisse bezüglich der zu ergreifenden Maßnahmen und des Umgangs mit den Banken.
Es kann daher nachdrücklich empfohlen werden, dass sich Betroffene bei Online-Banking-Betrug anwaltlichen Rat einholen. Eine Anwältin oder ein Anwalt mit Expertise im Bank- und Kapitalmarktrecht ist in der Lage, die spezifischen rechtlichen Aspekte eines solchen Falls zu durchleuchten, die Erfolgsaussichten eines Erstattungsanspruchs abzuwägen und den Betroffenen durch den Prozess zu führen. Qualifizierte Anwältinnen und Anwälte können die komplexen rechtlichen Zusammenhänge verstehen und die relevanten Argumente gegenüber den Banken darlegen.
5. Benötigen Sie rechtlichen Beistand bei Online-Banking-Betrug?
Wenn Sie oder jemand, den Sie kennen, Opfer von Online-Banking-Betrug geworden sind, ist es entscheidend, so schnell wie möglich zu handeln.
Betroffene können unsere kostenlose telefonische Ersteinschätzung nutzen!
0157-37896881
Dr. Michel de Araujo Kurth ist ein erfahrener und fachkundiger Rechtsanwalt, der sich auf diesen Bereich spezialisiert hat und der über sehr gute Kontakte in die Finanzwirtschaft verfügt. Er versteht die Komplexität dieser Fälle und kann Ihnen wertvolle Ratschläge und Unterstützung bieten. Zögern Sie nicht, sich bei Bedarf an ihn zu wenden. Ihr finanzielles Wohl und Ihre Rechte sollten nicht aufs Spiel gesetzt werden.
So erreichen Sie unsere Kanzlei:
Artikel teilen: