Pishing und Rückbuchung unberechtigter Abbuchung bei Überweisung per Telefon-Banking der Postbank

Das Telefonbanking der Postbank ist bisher eine der am schlechtesten abgesicherten modernen Zahlungsarten. Die Identifikation des Anrufers geschieht im Wesentlichen nur über einer immer gleichen PIN, die der Anrufer für die Autorisierung einer Überweisung dem Sprachcomputer der Postbank telefonisch mitteilen muss. Stammt der Anruf jedoch nicht vom Kunden, hat in Wahrheit nicht er, sondern ein unbefugter Dritter die Überweisung autorisiert.

Beim Pishing der PIN kommt es in letzter Zeit vermehrt zum Einsatz von Vorschaltseiten zum Browser, die täuschend echt aussehen. Es wird sogar scheinbar eine sichere Verbindung zum Server der Postbank aufgebaut, erkennbar an dem https:/ statt http:/. Es wird dem Kunden vorgespiegelt, dass er seine normale Einwahl-PIN mehrfach unrichtig eingegeben hat und er wird für die Entsperrung nach seinem Telefonbanking-PIN gefragt. Vielen Kunden ist in dieser Situation gar nicht bewusst, was es mit dem Telefonbanking-PIN auf sich hat und dass man alleine mit dem Telefonbanking-PIN eine Überweisung – grundsätzlich in jeder beliebigen Höhe – auslösen kann. Verschärft wird die Situation dadurch, dass die Postbank jedenfalls in den früheren AGB keine Wahlmöglichkeit zur Nutzung des Telefonbanking vorsah. , Daher wurde ihm wegen der in den AGB der Postbank vorgesehenen festen Verknüpfung des Internet -mit dem Telefonbanking nie bewusst gemacht, dass er sich in einem anderen Sicherheitssystem befindet, wenn er auf Nachfrage die Telefonbanking-PIN als Entsperr - PIN eingibt. 

Der Betrüger löst mittels der Telefon-Banking PIN eine Überweisung aus. Da jedoch der Anruf nicht vom Kunden stammt, fehlt es an einer wirksamen Autorisierung. 

Stammt die Überweisung jedoch nicht vom Kontoinhaber, so hat der Kunde nach § 675u BGB grundsätzlich einen Anspruch auf Gutschrift der nicht von ihm stammenden Überweisung. Nur dann, wenn die Postbank dem Kunden den Entschädigungsanspruch nach § 675v Abs. 2 BGB entgegenhalten kann, der vorsätzlichen Missbrauch oder grobe Fahrlässigkeit voraussetzt, muss sie den wegen fehlender Autorisierung zu Unrecht abgebuchten Betrag nicht wieder gutschreiben. Ansonsten ist die Haftung des Kunden nach § 675v Abs. 1 BGB auf einen Betrag von 150 € beschränkt.

Damit die grundsätzlich kundenfreundliche Risikoverteilung bei fehlender tatsächlicher Autorisierung beschrieben: Wenn die Überweisung nicht vom Kunden stammt, so ist somit der Anspruch auf Gutschrift gegen die Postbank nur dann nicht durchsetzbar, wenn die Postbank dem Kunden grob fahrlässige oder vorsätzliche Verletzung der Pflichten aus dem Vertrag über das besondere Zahlungsinstrument nachweisen kann. Hier spielen AGB-rechtliche Feinheiten eine wichtige Rolle.

Entgegen der von der Postbank vertretenen Ansicht genügt es in dieser Situation für den Vorwurf grober Fahrlässigkeit nicht, wenn der Kunde auf die gefälschte Postbank Internetseite hereingefallen ist und seine PIN offenbart. An den Nachweis der groben Fahrlässigkeit sind strenge Anforderungen zu stellen. Im Ernstfall gelingt es – wie in diesem Fall – immer wieder, den Vorwurf der groben Fahrlässigkeit zu entkräften.

Stephan Lengnick

Rechtsanwalt