Online-Banking Betrug: Wenn die Bank nicht erreichbar ist
23.04.2024, Autor: Herr Matthias Steinfartz / Lesedauer ca. 4 Min. (161 mal gelesen)
In manchen Online-Banking Betrugsfällen ließe sich großer Schaden abwenden, wäre die Bank erreichbar gewesen. Doch Banken sind nicht immer zu erreichen - mit fatalen Folgen wie im folgenden Fall.
Sicherlich kennt jeder den Fall, dass man dringend Hilfe bei seiner Bank sucht und in einer endlosen Warteschleife am Verzweifeln ist. Viele Banken schließen nicht nur Ihre Filialen vor Ort, sondern sparen auch, wenn es um die telefonische Betreuung Ihrer Kunden geht. Welche negativen Folgen dies auch für die Banken haben kann, zeigt anschaulich folgender Fall.
Spoofing - eine fiese Taktik mit enormer Wirkung
Der Kläger erhält über eine angebliche Telefonnummer seines Bankinstituts den Anruf eines angeblichen Mitarbeiters der Bank. In der Annahme einen Anruf von seiner Bank zu erhalten, nimmt der Betroffene das Gespräch an. Er ahnt nicht, dass sich am anderen Ende der Leitung ein Betrüger für einen Mitarbeiter seiner Bank ausgibt. Dieser vermeintliche Mitarbeiter eröffnet in diesem Gespräch, dass das Konto des Bankkunden gehackt worden sei und bereits mehrere Überweisungen stattgefunden hätten. Schnellstmöglich wolle die Bank nun den Schaden beheben und diese Transaktionen rückgängig machen, doch dazu braucht es die TAN-Nummern, die der Bankkunde auf sein Smartphone erhalten habe und das am besten sofort. Nur wenn der Bankkunde sogleich die TAN-Nummern herausgibt, kann ihm geholfen werden.
Einen solchen Vorgang bezeichnet man im IT-Jargon übrigens als Spoofing, wobei mittels technischer Wege eine vertraute Telefonnummer auf dem Telefon-Display des Betrugsopfers angezeigt wird. Spoofing wiederum ordnet sich dem Social Engineering zu. Social Engineering ist ein Dachbegriff für mannigfaltige Formen der Cyberkriminalität und umfasst im Kern die psychische Manipulation der Betroffenen, um ein gewünschtes Verhalten auszulösen, etwa die Herausgabe sensibler Daten.
Einerseits ist allgemein bekannt, dass persönliche Daten und schon gar keine persönlichen Authentifizierungsmerkmale wie TAN-Nummern an Dritte kommuniziert werden sollten. Gibt der Betroffene dennoch seine Daten heraus, gehen Rechtsprechung und AGBs der Bank in der Regel von einem grob fahrlässigen Verhalten des Bankkunden aus. Der Bundesgerichtshof hat sich dieser Thematik bereits 2016 in einem umfassenden Urteil angenommen (Urteil des XI. Zivilsenats vom 26.1.2016 - XI ZR 91/14).
Andererseits wird hier eine wichtige Komponente außer Acht gelassen: Der geschädigte Bankkunde befindet sich in einer Ausnahmesituation. Es wird Druck gemacht am Telefon und in Aussicht gestellt, der Betroffene verliere sein gesamtes Guthaben auf dem Konto, sollte er nicht unverzüglich die erforderlichen TAN-Nummern herausgeben. Kann hierbei noch von grober Fahrlässigkeit des Bankkunden gesprochen werden? Eine Frage, über die sich gut streiten lässt.
Gefangen in der Warteschleife
Und erinnern wir uns an das oben beschriebene Szenario insbesondere in einer solch perfiden Lage: Die Filiale vor Ort fehlt oder der Fall spielt sich außerhalb der Öffnungszeiten ab. Der Anruf der Service Hotline - ebenso aussichtslos. Was also tun?
Zunächst gilt: Ist die Bank in einer kritischen Situation wie dieser nicht zu erreichen, um einen solchen Schaden zu verhindern, scheiden Schadensersatzansprüche der Bank grundsätzlich aus.
Im vorliegenden Fall bemüht sich der Ehepartner des Klägers bereits während des betrügerischen Telefonats, die Hotline der Comdirect Bank zu erreichen, um sich zu vergewissern, ob tatsächlich das Konto gehackt worden war. Vergeblich, denn leider ist niemand über die Hotline der Comdirect Bank zu erreichen.
Fast 30 Minuten verbringt der Anrufende in der Warteschleife der Bank, ohne eine klärende Antwort zu erhalten. Die Taktik der Betrüger geht am Ende auf: Der Bankkunde gibt dem Druck des angeblichen Bankmitarbeiters nach und übermittelt die TAN-Nummern. Und damit kann der Täter nun die missbräuchlichen Überweisungen ausführen.
Im Anschluss weigert sich die Comdirect Bank zunächst, den Schaden zu übernehmen mit der Begründung eines grob fahrlässigen Verhaltens des Bankkunden.
Pflichtverletzung: Die Bank muss den Schaden erstatten
Doch es kommt zu einer Wende im Laufe der Klage des Bankkunden: Die Klage stützte sich darauf, dass die Bank die Möglichkeit einer Sperranzeige vereitelt hatte. Der Bankkunde haftet nicht auf Schadensersatz, wenn das Kreditinstitut die Pflicht nach § 675m Abs. 1 Nr. 3 BGB verletzt hat. Demnach muss die Bank dem Kunden jederzeit die Möglichkeit einräumen, eine Sperranzeige abzugeben (§ 675v Abs. 5 Satz 2 BGB). Konkret bedeutet das für die Bank: Sie muss als Empfänger der Sperranzeige jederzeit, also 24 Stunden am Tag einschließlich an Feiertagen erreichbar sein. Eine Haftung des Bankkunden entfällt, wenn das Kreditinstitut dieser Pflicht nicht genügt (§ 33. Bankgeschäfte online, Maihold, Ellenberger/Bunte, Bankrechts-Handbuch, 6. Auflage 2022 Rn. 399-402).
Da der Kläger beweisen konnte, dass die Hotline der Comdirect Bank zu dem kritischen Zeitpunkt nicht erreichbar gewesen ist und möglicherweise der Schaden dadurch hätte vereitelt werden können, musste die Bank den gesamten Schaden aus dem Online-Banking Betrug erstatten.
Sie benötigen rechtliche Hilfe? Nutzen Sie unsere kostenlose Ersteinschätzung
Sind Sie betroffen? Gerne helfen wir Ihnen weiter und unterstützen Sie im Rahmen einer kostenlosen Ersteinschätzung in Ihrem Fall. Sie erreichen uns in unserem Rostocker Büro unter der Telefonnummer 0381/ 403 103 10 in unserem Hamburger Büro unter der Telefonnummer 040/ 228 688 288 sowie via E-Mail unter mail@kanzlei-steinfartz.de
Sicherlich kennt jeder den Fall, dass man dringend Hilfe bei seiner Bank sucht und in einer endlosen Warteschleife am Verzweifeln ist. Viele Banken schließen nicht nur Ihre Filialen vor Ort, sondern sparen auch, wenn es um die telefonische Betreuung Ihrer Kunden geht. Welche negativen Folgen dies auch für die Banken haben kann, zeigt anschaulich folgender Fall.
Spoofing - eine fiese Taktik mit enormer Wirkung
Der Kläger erhält über eine angebliche Telefonnummer seines Bankinstituts den Anruf eines angeblichen Mitarbeiters der Bank. In der Annahme einen Anruf von seiner Bank zu erhalten, nimmt der Betroffene das Gespräch an. Er ahnt nicht, dass sich am anderen Ende der Leitung ein Betrüger für einen Mitarbeiter seiner Bank ausgibt. Dieser vermeintliche Mitarbeiter eröffnet in diesem Gespräch, dass das Konto des Bankkunden gehackt worden sei und bereits mehrere Überweisungen stattgefunden hätten. Schnellstmöglich wolle die Bank nun den Schaden beheben und diese Transaktionen rückgängig machen, doch dazu braucht es die TAN-Nummern, die der Bankkunde auf sein Smartphone erhalten habe und das am besten sofort. Nur wenn der Bankkunde sogleich die TAN-Nummern herausgibt, kann ihm geholfen werden.
Einen solchen Vorgang bezeichnet man im IT-Jargon übrigens als Spoofing, wobei mittels technischer Wege eine vertraute Telefonnummer auf dem Telefon-Display des Betrugsopfers angezeigt wird. Spoofing wiederum ordnet sich dem Social Engineering zu. Social Engineering ist ein Dachbegriff für mannigfaltige Formen der Cyberkriminalität und umfasst im Kern die psychische Manipulation der Betroffenen, um ein gewünschtes Verhalten auszulösen, etwa die Herausgabe sensibler Daten.
Einerseits ist allgemein bekannt, dass persönliche Daten und schon gar keine persönlichen Authentifizierungsmerkmale wie TAN-Nummern an Dritte kommuniziert werden sollten. Gibt der Betroffene dennoch seine Daten heraus, gehen Rechtsprechung und AGBs der Bank in der Regel von einem grob fahrlässigen Verhalten des Bankkunden aus. Der Bundesgerichtshof hat sich dieser Thematik bereits 2016 in einem umfassenden Urteil angenommen (Urteil des XI. Zivilsenats vom 26.1.2016 - XI ZR 91/14).
Andererseits wird hier eine wichtige Komponente außer Acht gelassen: Der geschädigte Bankkunde befindet sich in einer Ausnahmesituation. Es wird Druck gemacht am Telefon und in Aussicht gestellt, der Betroffene verliere sein gesamtes Guthaben auf dem Konto, sollte er nicht unverzüglich die erforderlichen TAN-Nummern herausgeben. Kann hierbei noch von grober Fahrlässigkeit des Bankkunden gesprochen werden? Eine Frage, über die sich gut streiten lässt.
Gefangen in der Warteschleife
Und erinnern wir uns an das oben beschriebene Szenario insbesondere in einer solch perfiden Lage: Die Filiale vor Ort fehlt oder der Fall spielt sich außerhalb der Öffnungszeiten ab. Der Anruf der Service Hotline - ebenso aussichtslos. Was also tun?
Zunächst gilt: Ist die Bank in einer kritischen Situation wie dieser nicht zu erreichen, um einen solchen Schaden zu verhindern, scheiden Schadensersatzansprüche der Bank grundsätzlich aus.
Im vorliegenden Fall bemüht sich der Ehepartner des Klägers bereits während des betrügerischen Telefonats, die Hotline der Comdirect Bank zu erreichen, um sich zu vergewissern, ob tatsächlich das Konto gehackt worden war. Vergeblich, denn leider ist niemand über die Hotline der Comdirect Bank zu erreichen.
Fast 30 Minuten verbringt der Anrufende in der Warteschleife der Bank, ohne eine klärende Antwort zu erhalten. Die Taktik der Betrüger geht am Ende auf: Der Bankkunde gibt dem Druck des angeblichen Bankmitarbeiters nach und übermittelt die TAN-Nummern. Und damit kann der Täter nun die missbräuchlichen Überweisungen ausführen.
Im Anschluss weigert sich die Comdirect Bank zunächst, den Schaden zu übernehmen mit der Begründung eines grob fahrlässigen Verhaltens des Bankkunden.
Pflichtverletzung: Die Bank muss den Schaden erstatten
Doch es kommt zu einer Wende im Laufe der Klage des Bankkunden: Die Klage stützte sich darauf, dass die Bank die Möglichkeit einer Sperranzeige vereitelt hatte. Der Bankkunde haftet nicht auf Schadensersatz, wenn das Kreditinstitut die Pflicht nach § 675m Abs. 1 Nr. 3 BGB verletzt hat. Demnach muss die Bank dem Kunden jederzeit die Möglichkeit einräumen, eine Sperranzeige abzugeben (§ 675v Abs. 5 Satz 2 BGB). Konkret bedeutet das für die Bank: Sie muss als Empfänger der Sperranzeige jederzeit, also 24 Stunden am Tag einschließlich an Feiertagen erreichbar sein. Eine Haftung des Bankkunden entfällt, wenn das Kreditinstitut dieser Pflicht nicht genügt (§ 33. Bankgeschäfte online, Maihold, Ellenberger/Bunte, Bankrechts-Handbuch, 6. Auflage 2022 Rn. 399-402).
Da der Kläger beweisen konnte, dass die Hotline der Comdirect Bank zu dem kritischen Zeitpunkt nicht erreichbar gewesen ist und möglicherweise der Schaden dadurch hätte vereitelt werden können, musste die Bank den gesamten Schaden aus dem Online-Banking Betrug erstatten.
Sie benötigen rechtliche Hilfe? Nutzen Sie unsere kostenlose Ersteinschätzung
Sind Sie betroffen? Gerne helfen wir Ihnen weiter und unterstützen Sie im Rahmen einer kostenlosen Ersteinschätzung in Ihrem Fall. Sie erreichen uns in unserem Rostocker Büro unter der Telefonnummer 0381/ 403 103 10 in unserem Hamburger Büro unter der Telefonnummer 040/ 228 688 288 sowie via E-Mail unter mail@kanzlei-steinfartz.de