Bankrecht und Kapitalmarktrecht

Das Konto wurde gehackt: wer haftet bei Cyberattacken?

10.05.2023
 (1)
Zuletzt bearbeitet am: 10.05.2023

In den letzten Monaten erreichen uns immer häufiger Mandatsanfragen von verzweifelten Bankkunden, die plötzlich feststellen mussten, dass von ihrem Konto im Rahmen des Online-Bankings hohe Beträge abgebucht wurden, Dispo-Kredite auf ihren Namen abgeschlossen wurden, Überweisungslimits heraufgesetzt wurden etc.

Der wirtschaftliche Schaden ist für die Mandanten meist immens, da die Konten meist vollständig „leergeräumt“ werden.

Mit dem wirtschaftlichen Verlust einher, geht zudem auch oft noch ein Vertrauensverlust des Betroffenen in seine Bank. Das Gefühl, dass man sein Geld sicher auf dem eigenen Konto liegen hat, ist plötzlich weg. Zudem besteht eine große Unsicherheit, ob das eigene Konto künftig überhaupt noch von Zugriffen Dritter sicher geschützt ist.

Der erste Schritt betroffener Bankkunden führt natürlich zur eigenen Bank. Das Konto muss schnellstmöglich gesperrt werden. Die Bank muss umgehend versuchen, das Geld zurückholen. Mandanten berichten uns hier häufig von zahlreichen Versuchen, in der Hotline ihrer Bank jemanden zu erreichen. Die Erreichbarkeit gestaltet sich insbesondere an den Wochenenden schwierig und dies, obwohl es gerade dann auf ein schnelles Handeln der Bank ankommt.

Der folgende Beitrag soll einen Überblick über die einzelnen Methoden der Täter geben und über die Frage, was Betroffene tun können und wer letztlich für den Schaden haften muss.

Wie gehen Täter vor?

Eine der dringendsten Fragen, welche Betroffene uns stellen, sind oft: wie konnte überhaupt ein Dritter auf mein Konto zugreifen? Ich dachte, die Bank hätte ein Sicherheitssystem, welches die Konten schützt. Auf dieses System verweisen Banken dann auch häufig.

Die Methoden der Täter werden jedoch leider immer einfallsreicher. Die uns bisher bekannten Methoden werden nun im Einzelnen kurz dargestellt. Denn nur, wenn man weiß, wie Täter vorgehen können, kann man sich im Vorfeld – möglicherweise – etwas schützen.

Phishing:

Bei dieser Betrugsmethode verschaffen sich Täter mittels gefälschter E-Mails vertrauliche Zugangs- und Identifikationsdaten von unbeteiligten Dritten. Der Täter nutzt so durch die Täuschung über seine Identität das Vertrauensverhältnis der Betroffenen aus. Ein wichtiges Beispiel hierfür sind E-Mails, die den Anschein erwecken sollen, sie kämen von einer Bank und der Betroffene müsse dringend handeln, sonst würde sein Account, Konto etc. gesperrt.

Pharming:

Hier verschaffen sich die Täter durch das Umleiten des Internetnutzers auf gefälschte Webseiten durch Manipulation des Webbrowsers vertraulich Zugangs- und Identifikationsdaten. Die so gewonnen Daten ermöglichen dann natürlich Handlungen im Online-Banking des Betroffenen unter seiner Identität.

Smishing:

Dieser Begriff setzt sich aus der Kombination von SMS und Phishing zusammen. Die Täter treten beispielsweise als Bank, Kartenaussteller oder als seriöser Dienstanbieter auf und versenden SMS an die Betroffenen. Mittels dieser SMS werden Betroffenen dann dazu verleitet, sicherheitsrelevante Daten preiszugeben. Die Täter fordern in diesen Nachrichten meist dazu auf, einen Link zu einer Webseite anzuklicken oder eine Telefonnummer zur Überprüfung, Aktualisierung oder Reaktivierung des Kontos anzurufen. Der Link führt natürlich zu einer gefälschten Webseite. Die Telefonnummer führt zu einem Betrüger, der sich als Vertreter eines Unternehmens ausgibt und dann die Identifikationsdaten abfragt. Mandanten haben uns berichtet, dass sie solche SMS teilweise im gewöhnlichen SMS-Verlauf mit ihrer Bank erhalten haben. Da sie bereits zuvor durch SMS mit ihrer Bank kommuniziert hatten, konnten sie nicht erkennen, dass diese eine SMS dann gerade nicht von ihrer Bank versandt wurde, sondern von Dritten.

Skimming:

Bei dieser Methode versuchen Täter Kartendaten und die PIN auszuspähen. Diese Methode wird meist an Bankautomaten angewendet. Es werden illegal die Kartendaten erlangt, indem Daten von Magnetstreifen ausgelesen werden und dann auf gefälschte Karten kopiert werden. Der Täter kann dann durch die gewonnenen Daten dann Zahlungsvorgänge für den Betroffenen auslösen, beispielsweise Einkäufe tätigen.

Was ist zu tun?

Für die Betroffenen stellt sich dann die Frage, was ist zu tun?

Neben den oben genannten Schritten, das betroffenen Konto schnellstmöglich sperren zulassen, sollte immer auch eine Strafanzeige gegen Unbekannt gestellt werden. Zudem sollte umgehend der Schaden bei der Bank reklamiert werden.

 

Rechtlicher Grundsatz der Haftung:

Nach §§ 675 u Satz 1 und 2 BGB hat der Zahlungsdiensteleister (Bank) im Falle eines nicht autorisierten Zahlungsvorgangenges gegen den Kontoinhaber keinen Anspruch auf Erstattung seiner Aufwendungen. Er ist im Gegenteil dazu verpflichtet, dem Kontoinhaber den Zahlungsvorgang unverzüglich zu erstatten und das Konto wieder auf den Stand zu bringen, auf dem es ohne den nicht autorisierten Zahlungsvorgang war.

Grundsätzlich haftet, vereinfacht gesagt, die Bank!

Wann haftet die Bank jedoch nicht?

Das Gesetz sieht im Falle einer Schadenverursachung durch Verletzung vertraglicher Pflichten oder vereinbarter Bedingungen auf Grund von Vorsatz oder grober Fahrlässigkeit seitens des Kontoinhabers nach § 675 v Absatz 3 BGB vor, dass dieser der Bank zum Ersatz des gesamten aus einem nicht autorisierten Zahlungsvorgang entstandenen Schaden verpflichtet ist.

Vorsatz liegt vor, wenn die schädigende Handlung, also die Abbuchung durch Dritte, wissentlich oder gewollt vorgenommen wird, in dem Bewusstsein, gegen bestehende Regeln zu verstoßen und dadurch jemanden zu schädigen. Vorsatz wird also in der Regel seitens der Betroffenen nicht vorliegen.

Grobe Fahrlässigkeit liegt bei der Außerachtlassung der erforderlichen Sorgfalt in besonders schwerem Maße vor und bedeutet leichtfertiges Handeln. Banken wenden häufig gegenüber den Betroffenen ein, dass man den Schachen nicht regulieren müsse, da der Kunde grob fahrlässig gehandelt habe, also beispielsweise im Rahmen des Smishing dem Link in der SMS gefolgt sei und dann Daten preisgegeben habe.

Hier gilt es gegen zu argumentieren und die von der Bank eingewandten Argumente nötigenfalls auch überprüfen zu lassen, denn Banken bringen in diesen Fällen häufig die gleichen bekannten Argumente. Gerade in Fällen, in denen für den Bankkunden gar nicht erkennbar war, dass es sich um z.B. eine betrügerische SMS o.ä. handelt, würde es zu keinem gerechten Ergebnis führen, dass der Kunde letztlich den Schaden hat und die Bank trotz ihres offensichtlich angreifbaren Sicherheitssystems aus der Haftung ist.

 

Katharina Schnellbacher

Rechtsanwältin und Fachanwältin

Diesen Artikel bewerten
Über den Autor

Gesamt:

Katharina Schnellbacher
Rechtsanwalt • Fachanwältin für Bank- und Kapitalmarktrecht
Louisenstraße 121
61348 Bad Homburg

Telefon: 06172-9819313


Honorar/Leistung: (0)
Erreichbarkeit: (0)
Verständlichkeit: (0)
Freundlichkeit: (0)
Diesen Rechtsanwalt bewerten
Vereinbaren Sie hier eine Rechtsberatung zum Artikel-Thema:
Kontaktieren Sie hier Fachanwalt Katharina Schnellbacher:
* Pflichtfeld
Ja, ich willige ein, dass meine im „Kontaktformular“ eingetragenen personenbezogenen Daten zum Zwecke der Angebotsvermittlung per Fax und E-Mail an den zu kontaktierenden Anwalt übermittelt und gespeichert werden. Diese jederzeit widerrufliche Einwilligung sowie die Verarbeitung und Datenübermittlung durch Dritte erfolgen gem. unserer Datenschutzerklärung.
Kontaktieren
Weitere Artikel des Autors
Bankrecht und Kapitalmarktrecht Vermeidung oder Rückforderung der Vorfälligkeitsentschädigung

Zahlreiche Banken und Sparkassen haben in ihren Darlehensverträgen unzureichend über die Berechnung der Vorfälligkeitsentschädigung informiert. Für diese Fälle sieht das Gesetz (§ 502 Absatz 2 Nr. 2 BGB) den Entfall der sogenannten Vorfälligkeitsentschädigung vor. Dies gilt jedoch nur für Darlehensverträge, die ab dem 21.03.2016 geschlossen wurden. Wann fällt grundsätzliche eine Vorfälligkeitsentschädigung an? Diese fällt zunächst nach § 502 Abs. 1 BGB immer dann an, wenn ein Darlehensnehmer seinen Darlehensvertrag innerhalb der Zinsbindungsfrist vorzeitig ablösen will. Diese ... weiter lesen

Bankrecht und Kapitalmarktrecht Gutachter am EuGH: Schufa-Score verstößt gegen EU-Recht

Der EuGH könnte das Geschäftsmodell der Schufa und damit auch ihre Macht in Kürze beenden, sofern er dem Antrag des Generalstaatsanwaltes vom 16.03.2023 folgt. Der Generalstaatsanwalt hält die meist lange Speicherung von Daten und damit auch die Erstellung des sogenannten Score-Wertes für die Kreditwürdigkeit von Verbrauchern für rechtswidrig, da sie gegen die europäische Datenschutzgrundverordnung (DSGVO) verstoße und somit gegen geltendes Europarecht. Die Schufa speichert Daten aus öffentlichen Verzeichnissen - wie beispielsweise die Register der Insolvenzgerichte - meist länger als das öffentliche Verzeichnis ... weiter lesen

Weitere Artikel der Redaktion zum Thema
Bankrecht und Kapitalmarktrecht Finanzmakler haftet für falsche Rating-Angabe

München (jur). Finanzdienstleister können für fehlerhafte Auskünfte wie etwa eine fehlerhafte Rating-Angabe haften. Das hat das Landgericht München I in einem am Freitag, 28. April 2023, bekanntgegebenen Urteil entschieden (Az.: 32 O 2905/22). Es verpflichtete damit einen Finanzdienstleister zur Zahlung von drei Millionen Euro Schadenersatz an die Stadt Mengen in Baden-Württemberg.  Im November 2020 hatte die Stadt eine Serien-Mail erhalten, in der der Finanzdienstleister unter anderem verschiedene Möglichkeiten zur kurzfristigen Geldanlage empfahl. Darin war die Greensill Bank in Bremen mit einem Rating von A- aufgeführt, obwohl die Bank bereits auf BBB+ ... weiter lesen

Bankrecht und Kapitalmarktrecht BGH: Abtretungsklausel der Mercedes-Benz Bank unwirksam bei Diesel-Klagen

In einem aktuellen Urteil vom 24. April 2023 ( Az.: VIa ZR 1517/22 ) hat der Bundesgerichtshof (BGH) entschieden, dass eine Abtretungsklausel der Mercedes-Benz Bank unwirksam ist. Demnach können Klagen gegen Mercedes auch für von der Bank finanzierte Autos eingereicht werden. Der Kläger hatte Schadenersatz aufgrund eines Thermofensters verlangt, das eine unzulässige Abschalteinrichtung darstelle. Die Vorinstanzen hatten die Klage aufgrund der Abtretungsklausel abgewiesen. Der BGH hob dieses Urteil nun auf und verwies den Streit zur inhaltlichen Prüfung an das Oberlandesgericht zurück. Klage wegen unzulässiger Abschalteinrichtung durch Thermofenster Der Kläger ... weiter lesen

Bankrecht und Kapitalmarktrecht BaFin haftet nicht gegenüber Anlegern

Frankfurt/Main (jur). Auch wenn sie ihre Aufsicht möglicherweise unzureichend wahrgenommen hat, haftet die Bundesanstalt für Finanzdienstleistungen (BaFin) gegenüber privaten Anlegern nicht auf Schadensersatz. Denn ihre Aufgaben nimmt sie „allein im öffentlichen Interesse wahr“, wie das Oberlandesgericht (OLG) Frankfurt am Main in einem am Freitag, 10. Februar 2023, bekanntgegebenen Beschluss zum Wirecard-Skandal entschied (Az.: 1 U 173/22). Zudem seien hier der BaFin auch keine Vorwürfe zu machen.  Im Skandal um den 1999 gegründeten Finanzdienstleister Wirecard AG hatten Sonderprüfer 2020 festgestellt, dass es für Bankguthaben auf Treuhandkonten in Höhe von ... weiter lesen

Bankrecht und Kapitalmarktrecht Vorzeitige Kredittilgung lenkt nur Zinskosten und laufende Kosten

Luxemburg (jur). Bei der vorzeitigen Tilgung eines Kredits können Verbraucher nur eine Beendigung der Zinszahlungen und eine anteilige Verringerung der laufzeitabhängigen Kosten verlangen. Die laufzeitunabhängigen Bearbeitungskosten muss die Bank dagegen nicht anteilig erstatten, urteilte am Donnerstag, 9. Februar 2023, der Europäische Gerichtshof (EuGH) in Luxemburg (Az.: C-555/21). Danach dürfen die Banken laufzeitabhängige Kosten aber nicht in solchen Bearbeitungskosten verstecken.  Konkret bestätigte der EuGH eine Vertragsklausel der UniCredit Bank in Österreich. Bei einer vorzeitigen Rückzahlung eines Kredits verringern sich danach die Zinsen und anteilig ... weiter lesen

Ihre Spezialisten