Phishing: Wer zahlt den Schaden - Bank oder Kunde?

Geprellte Bankkunden können oft nur schwer beweisen, dass sie die Online-Überweisung nicht selbst veranlasst haben, sondern, dass diese durch Fremde mit ihren Zugangsdaten erfolgt ist. Meist argumentieren die Geldinstitute damit, dass bereits die Benutzung von korrekten Zugangsdaten ein Indiz dafür ist, dass der Bankkunde die Überweisung entweder selbst getätigt hat oder unvorsichtig mit seinen Zugangsdaten umgegangen ist.

Bei einem grob fahrlässigen Umgang mit den eigenen Zahlungsdaten haftet die Bank nicht für den Schaden. Klassisches Beispiel: Sie verwahren Daten wie etwa die PIN für Auszahlungen zusammen mit der Kontokarte in der Brieftasche. Allerdings haben sich in den letzten Jahren die Sicherheitsvorkehrungen der Banken und auch die Methoden der Betrüger weiterentwickelt.

Weil der Bankkunde häufig nicht beweisen kann, dass eine kriminelle Handlung stattgefunden hat, geht es vor Gericht in solchen Fällen meist um die Frage des sogenannten Anscheinsbeweises.

Von einem Anscheinsbeweis oder Beweis des ersten Anscheins spricht man bei einem ganz typischen Geschehensablauf, wenn also erfahrungsgemäß von einem bestimmten Ereignis auf eine bestimmte Folge und umgekehrt geschlossen werden kann. Beispiel: Von meinem Bankkonto wird mit meinen Bankdaten und meiner TAN eine Überweisung autorisiert. Die Erfahrung spricht dafür, dass ich diese Überweisung getätigt habe.

Vor Gericht lässt sich ein solcher Anscheinsbeweis in der Regel nur dadurch entkräften, dass die Gegenseite einen ungewöhnlichen Geschehensablauf beweist. Banken möchten natürlich, dass in Phishing-Fällen ein solcher Anscheinsbeweis zum Tragen kommt, sodass sie für den Schaden nicht haften. Vor Gericht ist die Situation aber nicht so eindeutig.

Der Bundesgerichtshof hat sich 2016 mit der Anwendung des Anscheinsbeweises beim Online-Banking befasst. Es ging also um die Frage, ob allein die Verwendung der korrekten Zugangsdaten und Transaktionsnummer bei einer Überweisung auf das Konto eines Fremden beweist, dass der Bankkunde unvorsichtig mit seinen Daten umgegangen ist.

Nach § 675w Satz 3 des Bürgerlichen Gesetzbuches (BGB) trägt grundsätzlich der Zahlungsdienstleister die Beweislast dafür, dass eine Überweisung korrekt autorisiert wurde. Das ist gut für einen betrogenen Bankkunden. Andererseits schließt diese gesetzliche Regelung laut BGH eine Anwendung der Grundsätze des Anscheinsbeweises nicht automatisch aus. Das ist eher ungünstig für das Opfer einer Phishing-Attacke.

Zur Anwendung des Anscheinsbeweises müsse aber geklärt sein, dass das genutzte Zahlungssystem im Allgemeinen praktisch unüberwindbar sei, im konkreten Fall ordnungsgemäß angewendet worden sei und fehlerlos funktioniert habe. Werde das Online-Banking missbräuchlich genutzt, spreche dies gegen einen Anscheinsbeweis der groben Fahrlässigkeit des Kontoinhabers.

Der BGH betonte: Im Falle eines Missbrauchs des Online-Bankings bestehe angesichts der zahlreichen Authentifizierungsverfahren, Sicherungskonzepte, Angriffe und daran anknüpfender möglicher Pflichtverletzungen des Nutzers kein allgemeiner Erfahrungssatz, der auf ein bestimmtes typisches Fehlverhalten des Nutzers hinweise. Man könne also nicht generell unterstellen, dass dieser das Geld selbst überwiesen oder seine Zugangsdaten grob fahrlässig herausgegeben habe.

Im konkreten Fall ging es um rund 230.000 Euro. Dieser Fall wurde an das OLG Schleswig zurückverwiesen, welches noch genauere Feststellungen zur Sicherheit des konkreten Authentifizierungssystems und zur möglichen Erschütterung des Anscheinsbeweises treffen sollte (Urteil vom 16.1.2016, Az. XI ZR 91/14).

Das OLG sah hier weder einen Anscheinsbeweis noch einen herkömmlichen Beweis dafür, dass der Kontoinhaber selbst die Überweisung durchgeführt hätte. Dieser hatte das zur Übermittlung der SMS-TAN genutzte Handy am fraglichen Tag gar nicht bei sich gehabt. Zwar ließ das Gericht durchblicken, dass seiner Ansicht nach diverse Prozessbeteiligte und Zeugen die Unwahrheit sagten. Der nötige Beweis dafür, der von der Bank hätte erbracht werden müssen, fehlte jedoch (Urteil vom 9.3.2017, Az. 5 U 87/13). Damit haftete die Bank für den verschwundenen Betrag.

Auch das Landgericht Oldenburg hat zum Thema Phishing entschieden. Hier waren sowohl der Computer als auch das Smartphone eines Bankkunden von einem Trojaner infiziert gewesen. Dieser hatte eine Zahlung von 11.000 Euro auf ein fremdes Konto autorisiert. Auch in diesem Fall wollte das Geldinstitut mit Hilfe des Anscheinsbeweises unterstellen, dass der Kunde mit seinen Zugangsdaten grob fahrlässig umgegangen sei. Das Gericht war jedoch der Ansicht, dass allein die Nutzung von Benutzername, PIN und TAN des Kunden noch keinen Anscheinsbeweis für ein unvorsichtiges Verhalten seinerseits begründe. Die Bank musste den Schaden tragen (Urteil vom 15.1.2016, Az. 8 O 1454/15).

Über 4.000 Euro verlor eine Bankkundin, die eine E-Mail ernst genommen hatte, in der sie zur Aktualisierung ihrer Zugangsdaten für das Online-Banking aufgefordert wurde. Sie sollte außer ihrer Kontonummer auch ihre Telefonnummer angeben. Als sie dies tat, bekam sie einen Anruf, in dem eine angebliche Bankmitarbeiterin sie dazu aufforderte, ihr per SMS geschickte Zahlen vorzulesen. Darunter war auch eine TAN für die Überweisung.

Nach Ansicht des Amtsgerichts München war hier die Weitergabe einer Transaktionsnummer am Telefon grob fahrlässig. In der SMS habe ausdrücklich gestanden, dass die TAN für die Überweisung von 4.444 Euro gedacht sei. Es müsse jedem einleuchten, dass man eine TAN unter diesen Umständen nicht an irgendwelche Leute am Telefon weitergeben dürfe. Daher blieb die Bankkundin auf ihrem Schaden sitzen (Urteil vom 5.1.2017, Az. 132 C 49/15).

Ein Lübecker Bankkunde meldete sich abends auf seinem PC beim Online-Banking seiner Bank an. Allerdings kam ihm die aufgerufene Website merkwürdig vor. Er rief die Seite der Bank zusätzlich auf seinem Smartphone auf. Dort erschien die gleiche Seite. Nun war er beruhigt und gab seine Zugangsdaten ein. Daraufhin erschien auf der Website ein Zahlencode mit der Mitteilung, dass er gleich einen Anruf erhalte. Dies passierte auch: Eine Bank-Mitarbeiterin erklärte ihm, dass er für die Anmeldung die TAN-App auf seinem Smartphone öffnen und eine TAN eingeben müsse. Dies tat er. Nun fragte die Anruferin, ob er ein Tagesgeldkonto eröffnen wolle – was der Fall war. Sie erklärte ihm dann, dass jetzt zum Test ein Euro auf das neue Konto überwiesen werde. Diesen Vorgang solle er per TAN genehmigen. Das tat er. Am nächsten Morgen fehlten vom Konto 15.000 Euro.

Das Landgericht Lübeck wies seine Schadensersatzklage gegen die Bank ab. Der Bankkunde habe grob fahrlässig gehandelt. Er selbst sei bereits zu Anfang misstrauisch gewesen. Der Anruf um 21 Uhr 30 hätte ein weiteres Warnsignal sein müssen. Auch hätte er sich in jedem Fall die autorisierte Überweisung und das Zielkonto genauer ansehen müssen, auch bei einem Betrag von nur einem Euro (Urteil vom 19.12.2023, Az. 3 O 83/23).

Beim beliebten Portal "Kleinanzeigen", früher "eBay-Kleinanzeigen", gibt es eine Funktion "Sicher bezahlen". Hier häufen sich in letzter Zeit die Betrugsfälle im Zusammenhang mit Phishing. Teilweise fordern Verkäufer die Käufer von Artikeln dazu auf, ihnen eine E-Mail-Adresse zukommen zu lassen. Dann kommt eine Mail, manchmal vom Verkäufer, manchmal auch scheinbar vom Portal selbst. Darin wird der Nutzer aufgefordert, sich für das Bezahlsystem zu registrieren und Zahlungsdaten oder Kartendaten einzugeben. Allerdings bewegt er sich dann schnell außerhalb des Portals auf einer gefälschten Website. Bald werden ihm vierstellige Beträge abgebucht. Zum Teil werden auch SMS oder WhatsApp-Nachrichten genutzt, um Kunden vom Portal auf andere Seiten umzuleiten, auf denen sie dann ihre Daten eingeben sollen.

Auch bei der Nutzung von Sofortüberweisungen und der Funktion "Direkt kaufen" sind Betrugsfälle bekannt geworden. Hier wird den Käufern zum Teil ein QR-Code zugeschickt, den sie mit ihrem Handy einscannen sollen. Anschließend übernimmt ein Trojaner das Handy und die Zahlungs-App und beginnt, Geld an Fremde zu überweisen.

Der sicherste Weg, über "Kleinanzeigen" Geschäfte zu machen, ist nach wie vor:
- Barzahlung bei Abholung,
- Kommunikation nur über das Portal,
- Keine Weitergabe von eigenen E-Mail-Adressen, Telefonnummern, WhatsApp etc.

Mit seinen Zugangsdaten für Bankkonten oder Onlineshops und seinen Kreditkartendaten sollte man äußerst vorsichtig umgehen. Wer sie leichtgläubig herausrückt, riskiert, dass das Geld weg ist. Es gibt immer wieder Fälle, in denen niemand anderer dafür haftet – insbesondere, wenn die jeweilige Betrugsmasche bereits bekannt ist und davor öffentlich gewarnt wurde. Bei einem Streit mit Ihrer Bank ist ein Fachanwalt für Bankrecht der beste Ansprechpartner.