Phishing - Geld zurück & Schadensersatz von der Bank? Informationen vom Anwalt
- 13 Minuten Lesezeit
In den letzten Jahren gibt es immer mehr Phishing Fälle, insbesondere auch solche, bei denen unbefugte Bank Zahlungen vorgenommen werden. Betroffene sollten schnell handeln und am besten sofort einen erfahrenen Rechtsanwalt, die Polizei und die Bank kontaktieren. Rechtsanwalt Dimitrov steht in Phishing Fällen für ein kostenloses Erstgespräch zur Verfügung. Das Ziel bei Phishing ist natürlich an erster Stelle das verlorene Geld zurück zu holen.
Was ist Phishing? Informationen vom Anwalt
Unter dem Begriff Phishing versteht man Versuche, sich über gefälschte Internetseiten, Whatsapp, Viber, Telegram, SMS oder sonstige Nachrichten eine vertrauenswürdige Kommunikation herzustellen und dadurch meist Vermögensvorteile zu erlangen. Durch das Phishing gelangen die Kriminellen an sensible persönliche Daten und/oder schaffen es die Opfer unter anderem zur Ausführung diverser vertraulicher Handlungen zu veranlassen - zB das Einloggen auf einer nachgebauten Internetseite. Sehr häufig werden sodann unbefugte Banküberweisungen vorgenommen oder Bestellungen teurer Waren getätigt. Auch ein sog. Identitätsdiebstahl wird häufig vorgenommen. Einerseits werden diverse Tricks eingesetzt und andererseits wird die Gutgläubigkeit des Opfers ausgenutzt. Das Wort Phishing kommt von fishing (Angeln, Fischen) und soll quasi das Angeln nach Passwörtern mit Ködern bezeichnen.
Phishing - Geld zurück?
Wie kann man bei Phishing Angriffen sein Geld zurückfordern? Bei einer nicht autorisierten Überweisung (Phishing) können unter Umständen Schadensersatz gegen die Bank durchgesetzt werden. Werden infolge des Phishings Überweisungen oder Auszahlungen ausgeführt, kommt eine Haftung des Handelnden aus ungerechtfertigter Bereicherung sowie ggf. aus unerlaubter Handlung in Betracht. Das Phishing kann auch strafrechtliche Relevanz haben - es liegen häufig eine Fälschung oder Gebrauch beweiserheblicher Daten gem. § 269 StGB , eine Urkundenfälschung gem. § 267 StGB oder ein Computerbetrug gem. § 263a StGB vor.
Opfer von Phishing beim Online-Banking können unter Umständen Schadensersatzansprüche gegen die kontoführende Bank durchsetzen.
Aufgrund der Komplexität der Phishing Fälle empfiehlt es sich in der Regel einen erfahrenen Anwalt zu beauftragen, der unter anderem die relevanten Beweise sichern kann sowie im Anschluss Strafanzeige erstatten und die Ansprüche gegen die Bank prüfen und durchsetzen kann.
Phishing - kundenfreundliche Gerichtsurteile
Es gibt diverse kundenfreundliche Urteile in Phishing Fällen, wonach die Banken den Kunden das Geld zurückerstatten müssen.
So hat etwa das Landgericht Berlin mit Urteil vom 13.12.2023, Az. 10 O 21/23, entschieden, dass der Bankkunde einen Anspruch auf Rückerstattung unautorisierter Zahlungsabgänge hat. Den durch die Bank im Gegenzug geforderten Schadensersatz wies das LG Berlin mangels grob fahrlässiger Pflichtverletzung zurück, lediglich ein Schadensersatzanspruch in Höhe von 50 EUR nach § BGB § 675v Abs. BGB stehe der Bank zu. Nach Ansicht des LG Berlin habe die Bank den ihr obliegenden Beweis einer Autorisierung der Zahlungsabgänge nicht erbringen können. Die Bank könne dem Anspruch des Klägers aus § BGB § 675 u S. 2 BGB auch keinen Schadensersatzanspruch aus § BGB § 675v BGB entgegenhalten. Außerdem hat das LG Berlin ausgeführt, dass eine grob fahrlässige Pflichtverletzung des Klägers nicht erkennbar sei. Insbesondere sei eine Pflichtverletzung durch den Bankkunden nicht in der Eingabe der auf der Kreditkarte dargestellten Informationen oder wegen Unkenntnis eines etwaigen Erfordernisses, ein Antivirenprogramm auf dem mobilen Endgerät installieren zu müssen, zu sehen.
Auch das LG Köln hat mit Urteil vom 5.12.2007, Az. 9 S 195/07, eine kundenfreundliche Entscheidung getroffen. Demnach hafte der Geldkurier, der einen auf Grund eines Phishing-Angriffs bei ihm eingehenden Überweisungsbetrag an den Täter weiterleitet, dem Kontoinhaber auf Zahlung des überwiesenen Betrags. Die Haftung ergäbe sich aus § 823 II BGB i.V.m. § 261 II, V StGB wegen Verletzung eines Schutzgesetzes. Im Rahmen eines etwaigen Mitverschuldens hat der Kontoinhaber nur die allgemeine Pflicht, diejenige Sorgfalt anzuwenden, die von einem verständigen Menschen erwartet werden kann, um sich vor Schaden zu schützen. Desweitere hat das LG Köln ausgeführt, dass man einem Nutzer des Online-Banking nur fordern kann, dass er eine aktuelle Virenschutzsoftware und eine Firewall verwendet und regelmäßig Sicherheitsupdates für sein Betriebssystem und die verwendete Software einspielt. Außerdem müsse er Warnungen der Bank beachten und deutliche Hinweise auf gefälschte E-Mails erkennen (sprachliche Mängel, deutlich falsche Internetadresse, Adresse unter „http:” statt „https:”). Eine Umkehr der Darlegungs- und Beweislast oder ein Anscheinsbeweis für die Anwendung von Phishing zu Lasten des Kontoinhabers kommen nicht in Betracht. Zudem hat das Gericht klargestellt, dass eine Umkehr der Darlegungs- und Beweislast oder ein Anscheinsbeweis für die Anwendung von Phishing zu Lasten des Kontoinhabers nicht in Betracht käme.
Indizien für Phishing
Es gibt diverse Umstände, bei denen erhöhte Vorsicht im Internet geboten ist. Beim Phishing wird man häufig z. B. per Mail unerwartet aufgefordert, persönliche Daten preiszugeben- Die Email/Nachricht stammt meistens von einem unbekannten Absender, der keine persönliche Anrede benutzt. Dabei wird man mit der Email/Nachricht meistens unter Druck gesetzt schnell zu handeln und es werden negative Konsequenzen in Aussicht gestellt, wenn man nicht sofort reagiert. Oftmals werden Links zu verdächtigen Webseiten oder angeblichen Formularen geschickt. Die Phishing Emails enthalten oft auffällige Rechtschreib- oder Grammatikfehler. Das Firmen- bzw. Bankenlogo ist oft auch auffällig bzw verzerrt.
Zum Teil gibt es auch eindeutige Grammatik- und Rechtschreibfehler und fehlende Sonderzeichen oder Buchstaben wie Ä, Ö, Ü.
Auch gewisse Abweichungen zum gewohnten Schriftverkehr oder unübersehbare Fehler in der Formatierung können Indizien für Phishing sein.
Unter Umständen kann es sinnvoll sein die Email-Header zu überprüfen sowie den vollständigen Namen des Absenders und dessen IP-Adresse. Ein Vergleich mit früheren Emails kann hilfreich sein. Auch ein Anruf bei der jeweiligen Firma/Bank kann helfen.
Tipps bei einem Phishing Angriff
Man sollte sofort die eigene Bank von dem Phishing Angriff informieren, damit das Konto ggf. gesperrt werden kann, um weiteren Schaden zu verhindern. Außerdem sollte man alle möglichen Beweise sichern, um später das Geld zurückfordern zu können - Emails, SMS, Screenshots, IP Daten, ggf. Daten von Fernwartungssoftware wie Anydesk oder Teamviewer. Man sollte auch daran denken die Zugangsdaten für das Online Banking zu ändern (PIN, Passwort u.a.), um weiteren Zugriff durch die Kriminellen zu verhindern. Es kann auch Beauftragung eines Rechtsanwalts sowie die Erstattung einer Strafanzeige zielführend sein.
Haftet die Bank bei Phishing?
Bei einem Phishing Angriff erleidet man meistens einen signifikanten finanziellen Schaden. Zum Glück haftet in vielen Fällen die Bank und muss den Geschädigten ihr Geld zurückzahlen.
Hat der Geschädigte die Zahlung nicht selbst autorisiert, muss die Bank in vielen Fällen den Schaden ersetzen, so dass das Opfer das Geld zurückbekommen kann.
Eine wichtige Rechtsvorschrift dabei ist häufig § 675u BGB:
"Bürgerliches Gesetzbuch (BGB)
§ 675u
Haftung des Zahlungsdienstleisters für nicht autorisierte ZahlungsvorgängeIm Fall eines nicht autorisierten Zahlungsvorgangs hat der Zahlungsdienstleister des Zahlers gegen diesen keinen Anspruch auf Erstattung seiner Aufwendungen. Er ist verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte. Diese Verpflichtung ist unverzüglich, spätestens jedoch bis zum Ende des Geschäftstags zu erfüllen, der auf den Tag folgt, an welchem dem Zahlungsdienstleister angezeigt wurde, dass der Zahlungsvorgang nicht autorisiert ist, oder er auf andere Weise davon Kenntnis erhalten hat. Hat der Zahlungsdienstleister einer zuständigen Behörde berechtigte Gründe für den Verdacht, dass ein betrügerisches Verhalten des Zahlers vorliegt, schriftlich mitgeteilt, hat der Zahlungsdienstleister seine Verpflichtung aus Satz 2 unverzüglich zu prüfen und zu erfüllen, wenn sich der Betrugsverdacht nicht bestätigt. Wurde der Zahlungsvorgang über einen Zahlungsauslösedienstleister ausgelöst, so treffen die Pflichten aus den Sätzen 2 bis 4 den kontoführenden Zahlungsdienstleister."
Ob Phishing-Opfer ihr Geld zurückbekommen, hängt im Wesentlichen von folgenden Umständen ab:
1. Haben der Geschädigte die Überweisung selbst autorisiert
2. Hat der Geschädigte den Phishing-Angriff durch grob fahrlässiges Handeln ermöglicht
Wenn der Geschädigte die Zahlung nicht selbst autorisiert hat und den Fishing Angriff nicht grob fahrlässig möglich gemacht hat, stehen die Chancen für Schadensersatz/Entschädigung meistens gut.
Wann haften die Zahler/Kunden bei Phishing?
Eine Haftung der Bank Kunden kommt in Betracht, wenn grob fahrlässig mit den Daten umgegangen worden ist und dadurch der Phishing-Betrug ermöglicht worden ist. Grob fahrlässig handelt der Bank Kunde etwa dann, wenn er eine TAN an Unbefugte weitergibt oder kein aktuelles Antiviren-Programm auf dem PC installiert hat, wobei die Bank beweisen muss, dass der Kunde grob fahrlässig gehandelt hat. Eine wichtige Vorschrift in dem Zusammenhang ist etwa § 675v BGB:
"Bürgerliches Gesetzbuch (BGB)
§ 675v Haftung des Zahlers bei missbräuchlicher Nutzung eines Zahlungsinstruments
(1) Beruhen nicht autorisierte Zahlungsvorgänge auf der Nutzung eines verloren gegangenen, gestohlenen oder sonst abhandengekommenen Zahlungsinstruments oder auf der sonstigen missbräuchlichen Verwendung eines Zahlungsinstruments, so kann der Zahlungsdienstleister des Zahlers von diesem den Ersatz des hierdurch entstandenen Schadens bis zu einem Betrag von 50 Euro verlangen.
(2) Der Zahler haftet nicht nach Absatz 1, wenn
1.es ihm nicht möglich gewesen ist, den Verlust, den Diebstahl, das Abhandenkommen oder eine sonstige missbräuchliche Verwendung des Zahlungsinstruments vor dem nicht autorisierten Zahlungsvorgang zu bemerken, oder2.der Verlust des Zahlungsinstruments durch einen Angestellten, einen Agenten, eine Zweigniederlassung eines Zahlungsdienstleisters oder eine sonstige Stelle, an die Tätigkeiten des Zahlungsdienstleisters ausgelagert wurden, verursacht worden ist.
(3) Abweichend von den Absätzen 1 und 2 ist der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler
1.in betrügerischer Absicht gehandelt hat oder2.den Schaden herbeigeführt hat durch vorsätzliche oder grob fahrlässige Verletzunga)einer oder mehrerer Pflichten gemäß § 675l Absatz 1 oderb)einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments.
(4) Abweichend von den Absätzen 1 und 3 ist der Zahler seinem Zahlungsdienstleister nicht zum Schadensersatz verpflichtet, wenn
1.der Zahlungsdienstleister des Zahlers eine starke Kundenauthentifizierung im Sinne des § 1 Absatz 24 des Zahlungsdiensteaufsichtsgesetzes nicht verlangt oder2.der Zahlungsempfänger oder sein Zahlungsdienstleister eine starke Kundenauthentifizierung im Sinne des § 1 Absatz 24 des Zahlungsdiensteaufsichtsgesetzes nicht akzeptiert.
Satz 1 gilt nicht, wenn der Zahler in betrügerischer Absicht gehandelt hat. Im Fall von Satz 1 Nummer 2 ist derjenige, der eine starke Kundenauthentifizierung nicht akzeptiert, verpflichtet, dem Zahlungsdienstleister des Zahlers den daraus entstehenden Schaden zu ersetzen.(5) Abweichend von den Absätzen 1 und 3 ist der Zahler nicht zum Ersatz von Schäden verpflichtet, die aus der Nutzung eines nach der Anzeige gemäß § 675l Absatz 1 Satz 2 verwendeten Zahlungsinstruments entstanden sind. Der Zahler ist auch nicht zum Ersatz von Schäden im Sinne des Absatzes 1 verpflichtet, wenn der Zahlungsdienstleister seiner Pflicht gemäß § 675m Abs. 1 Nr. 3 nicht nachgekommen ist. Die Sätze 1 und 2 sind nicht anzuwenden, wenn der Zahler in betrügerischer Absicht gehandelt hat."
Eine weitere wichtige Vorschrift ist § 675 w BGB:
"§ 675w Nachweis der Authentifizierung
Ist die Autorisierung eines ausgeführten Zahlungsvorgangs streitig, hat der Zahlungsdienstleister nachzuweisen, dass eine Authentifizierung erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht sowie nicht durch eine Störung beeinträchtigt wurde. Eine Authentifizierung ist erfolgt, wenn der Zahlungsdienstleister die Nutzung eines bestimmten Zahlungsinstruments, einschließlich seiner personalisierten Sicherheitsmerkmale, mit Hilfe eines Verfahrens überprüft hat. Wurde der Zahlungsvorgang mittels eines Zahlungsinstruments ausgelöst, reicht die Aufzeichnung der Nutzung des Zahlungsinstruments einschließlich der Authentifizierung durch den Zahlungsdienstleister und gegebenenfalls einen Zahlungsauslösedienstleister allein nicht notwendigerweise aus, um nachzuweisen, dass der Zahler
1.den Zahlungsvorgang autorisiert,2.in betrügerischer Absicht gehandelt,3.eine oder mehrere Pflichten gemäß § 675l Absatz 1 verletzt oder4.vorsätzlich oder grob fahrlässig gegen eine oder mehrere Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments verstoßen hat. Der Zahlungsdienstleister muss unterstützende Beweismittel vorlegen, um Betrug, Vorsatz oder grobe Fahrlässigkeit des Zahlungsdienstnutzers nachzuweisen."
Phishing und Rechtsschutzversicherung
Werden Phishing Fälle von der Rechtsschutzversicherung übernommen?Wenn Sie Opfer von Phishing geworden sind, ist es in der Regel ratsam anwaltliche Unterstützung in Anspruch zu nehmen. Die Anwaltskosten für eine solche Hilfe werden oft von einer Rechtsschutzversicherung übernommen.
Phishing und Online-Banking
Sehr häufig benutzen die Phishing Kriminellen ein gefälschtes Online-Banking Portal. Dieses ist mittlerweile oft auf den ersten Blick so gut wie gar nicht vom Original zu unterscheiden. Die Kriminellen benutzen moderne Software Tools und können sogar ohne vertiefte IT Kenntnisse eine täuschend echt aussehende Phishing Webseite aufbauen. Sogar die Anmeldung auf der Phishing Seite sieht oft authentisch aus. Häufig merken die Phishing Opfer erstmal nicht, dass es sich um eine Fake Seite handelt und aus und sehen dann plötzlich eine Art Fehlermeldung, wonach aus angeblichen Sicherheitsgründen PIN und TAN erneut eingegeben werden müssen.
Häufig kommt eine solche angebliche Bank Warnung auch per Email. Wichtig ist dabei sich nicht unter Druck setzen zu lassen, da man in Stresssituationen selbstverständlich häufiger Fehler macht.
Wenn die Kriminellen die Bankdaten abgefangen haben, schaffen sie es häufig sehr schnell Geld von Ihrem Konto auf das eigene Konto zu überweisen.
Phishing per Email
Besonders weiter verbreitet sind sog. Phishing-Mails, bei denen bereits durch das reine Öffnen der Email Schäden entstehen können. Wenn man auf verdächtige Links oder Dateien klickt, kann es noch leichter für die Kriminellen sein an sensible Daten ranzukommen.
Dank zahlreicher modernen Tools ist die Erstellung einer Phishing Mail heutzutage ganz einfach möglich. Viele Phishing Tools gibt es im Internet oder im sog. Darknet. Der Versand kann an zahlreiche Emails gleichzeitig und sogar kostenlos erfolgen. Heutzutage sind Mailadressen online sehr oft leicht oder sogar frei zugänglich.
Die Spam/Phishing Emails kommen dann häufig von bekannten und vertrauenswürdigen Firmen oder Finanzdienstleister wie zB Deutsche Post, DHL, Hermes, Paypal, Postbank, Deutsche Bank, Commerzbank, Binance, Lidl, Aldi u.a.. Die Kriminellen geben in der Betreff Zeile in der Regel eine Formulierung, die eine dringende und sofortige Reaktion erfordert.
Häufig benutzen die Phishing Kriminellen auch ein Formular, das verschiedene sensible Daten abfragt. Damit schaffen es die Kriminellen Namen, Adressen, Bankdaten, Kontodaten, PINs, TANs, Passwörter und andere Informationen zu bekommen.
Phishing angebliche Paket Lieferungen
In den letzten Jahren gibt es sehr häufig auch Phishing Emails von Lieferdiensten/Transportfirmen wie zB Deutsche Post, DHL, Hermes. Daher sollten Internet Nutzer besonders vorsichtig sein, wenn sie Emails mit angeblichen Zustellinformationen zu Paketen öffnen, insbesondere wenn sie die Pakete gar nicht erwarten.
Phishing und Social Media
Phishing Kriminelle erbeuten häufig die Zugangsdaten zu Social-Media-Accounts und professionellen Netzwerken. Dadurch, dass Dienste wie Xing, LinkedIn, TikTok, Instagram, Facebook, Google u.a. mit diversen anderen Accounts/Anwendungen verknüpft sind, bekommen die Phishing Kriminellen dadurch leicht sensible Daten.
Die Phishing Kriminellen können über die Social Media Accounts diverse Schäden verursachen bei Geschäftspartnern, Freunden oder Familienangehörigen. Möglich ist es auch, dass sie eine Art "Enkeltrick“ Straftaten begehen.
Phishing Straftaten in Deutschland
Aktuellen Schätzungen zufolge werden allein in Deutschland jährlich Milliardenbeträge durch Phishing Straftaten verloren. Betroffene können oft nicht sofort einschätzen welche Gefahren/Schäden durch einen Phishing Eingriff eintreten. Es kann unter Umständen auch zu einem "Identitätsdiebstahl" kommen, wobei die Kriminellen die erbeuteten Daten zB für neue Kontoeröffnungen u.a. nutzen.
Schutz vor Phishing-Angriffen?
In Phishing Fällen sollte man zeitnah die zuständigen Behörden kontaktieren. Auch ein Anwalt sollte frühzeitig einbezogen werden, da die Strafverfolgungsbehörden an erster Stelle zur Kriminalitätsbekämpfung befugt sind und nicht zur Entschädigung der Opfer.
Phishing Gefahren und seriöse Websites
Regel Nummer eins- die URL einer seriösen Website beginnt mit https://. Das heißt, dass die Seite über ein Sicherheitszertifikat verfügt.
Außerdem sollte man immer den genauen Namen und ggf. vorhandene Abweichungen mit dem Original prüfen. Es sollten keine Zusätze oder Änderungen und Sonderzeichen vorliegen.
Arbeitgeber sollten auch spezialisierte Schulungen zu aktuellen IT-Sicherheitsvorschriften in Anspruch nehmen und dafür sorgen, dass sämtliche Mitarbeiter geschult werden.
Wichtige sicherheitsrelevante Aufgaben wie Software Downloads und Programminstallation auf Firmenrechner sollten nur qualifizierten Mitarbeiter vorgenommen werden.
Außerdem sollte eine Hotline bzw eine einfache Kontaktaufnahme mit der IT-Abteilung vorhanden sein, um Notfälle schnell und sicher behandeln zu können.
Phishing und Fahrlässigkeit des Bankkunden
Bei Fahrlässigkeit des Bankkunden kann es unter Umständen sein, dass die Bank keinen Schadensersatz schuldet. So hat etwa das LG Lübeck im Verfahren mit dem Az.: 3 O 83/23 über die Erstattungsansprüchen nach einem Phishing-Angriff beim Online-Banking zu entscheiden. In diesem Fall wurde die Klage des Geschädigten abgewiesen, da das Gericht zu dem Schluss kam, dass der Kläger grob fahrlässig gehandelt habe, indem er die Auftragsdaten nicht überprüft und mehrere Warnhinweise ignoriert hatte. Außerdem hat das Gericht festgestellt, dass die Bank die erforderliche starke Kundenauthentifizierung angefordert hatte.
Es gibt natürlich auch zahlreiche Urteile, die in Phishing Fällen eine Haftung der Bank bejahen.
Phishing und Schadensersatz?
Häufig können Phishing Geschädigte Schadensersatz bekommen. Wie immer in der Justisterei kommt es entscheidend auf die Umstände des Einzelfalls an. Ein Anwalt mit Erfahrung im Bank- und Kapitalmarktrecht kannden Fall prüfen und die Erfolgsaussichten verbessern.
Artikel teilen: