Allgemein

Online-Banking Betrug: Wie ist die Rechtslage hinsichtlich der Haftung?

Wenn Kunden beim Online-Banking Opfer von Betrügern geworden sind, muss dafür unter Umständen die Bank des Kunden aufkommen. Das gilt aber nicht immer. 

 

 

Kunden die beim Online-Banking auf Betrüger hereingefallen sind, haben normalerweise gegenüber den Kriminellen einen Anspruch auf Schadensersatz aus § 823 Abs. 2 BGB in Verbindung mit einem Schutzgesetz wie Betrug § 263 StGB oder Computerbetrug § 263a StGB. Dies hilft ihnen in der Praxis allerdings wenig. Denn erst einmal müssen die Täter aufgrund einer Anzeige von der Polizei ermittelt werden. Darüber hinaus ist der Anspruch häufig kaum durchsetzbar, wenn die Täter mittellos sind.

 

Umso interessanter ist daher die Frage, inwieweit Kunden hier einen Anspruch auf Schadensersatz gegen die eigene Bank haben. Ein solcher Anspruch könnte sich aus § 675u Satz 2 BGB ergeben. Dies setzt voraus, dass es sich um einen nicht autorisierten Zahlungsvorgang handelt. Darüber hinaus ergibt sich allerdings aus § 675v Abs. 3 Nr. 2 BGB, dass der Kunde bei einer missbräuchlichen Verwendung eines Zahlungsinstrumentes den Schaden nicht durch grob fahrlässige Missachtung seiner Pflichten herbeigeführt hat. Wann eine solche Pflichtverletzung vorliegt, dazu gibt es einige interessante Beispiele.

 

Anruf durch angeblichen Bankmitarbeiter

In einem Fall erhielt ein langjähriger Bankkunde einen Anruf. Der Anrufer behauptete, dass er bei der Bank angestellt und für die Kundenbetreuung zuständig sei. Eine ihm persönlich bekannte Firma aus dem Ausland habe versucht, auf das Konto des Kunden zuzugreifen. Der Angerufene glaubte ihm, weil der Anrufer neben seinem Namen, seiner Adresse und seinem Geburtsdatum auch seine Bankverbindung kannte. Nachdem der Kunde im Anschluss daran anscheinend von einem Unternehmen zur Zahlung aufgefordert worden war, meldete sich der angebliche Mitarbeiter der Bank noch einmal. Er teilte dem Kunden mit, dass erneut ein Dritter versucht habe, auf sein Konto zuzugreifen. Das Konto sei hiergegen hinreichend gesichert. Einige Wochen später erhielt der Kunde ein weiteres Schreiben, dass angeblich von einer N AG stammte. Hierin machte diese eine gar nicht bestehende Forderung gegen ihn geltend. Kurze Zeit danach rief der vermeintliche Bank-Mitarbeiter zum dritten Mal an. Er verlangte vom Kunden, dass er ihm seine PIN und TAN angibt, um sein Konto gegen unberechtigte Abbuchungen aus dem Ausland sichern zu können. Nachdem der Kunde dem nachgekommen war, hoben Unbekannte vom Konto 21.800 Euro ab. Der Kunde verlangte von seiner Bank, dass diese für die unberechtigten Abmahnungen aufkommt.

 

Das Landgericht Köln wies die Klage des Kunden mit Urteil vom 10.09.2019 - 21 O 116/19 - ab. Die Richter begründeten dies damit, dass er durch die Herausgabe von PIN und TAN an einen ihm Unbekannten grob fahrlässig gehandelt hat. Ungewöhnlich ist, dass eine Bank telefonisch verlangt, dass ein Kunde seine PIN bzw. TAN am Telefon preisgibt. Darüber hinaus ist zu bedenken, dass das Kreditinstitut dies ausdrücklich untersagt hatte. 

 

Aufforderung zur „Testüberweisung“ 

In einem weiteren Fall war ein Bankkunde heimlich von einem Trojaner ausgespäht worden. Nachdem er sich anscheinend auf der Login-Seite seiner Bank befand wurde er zur Vornahme einer Testüberweisung aufgefordert. Sodann sollte er diese mit der TAN bestätigen, die er zuvor per SMS erhalten hatte. In der Überweisungsmaske stand in den Feldern „Name“, „IBAN“ und „Betrag“ jeweils das Wort „Muster“. Der Kunde bestätigte diese vermeintliche Testüberweisung mit der ihm übersandten TAN. Tatsächlich erfolgte dann aber eine echte Überweisung der 8.000 Euro auf ein polnisches Konto. 

 

Hierzu stellte das Oberlandesgericht Oldenburg mit Beschluss vom 21.08.2017 – 8 U 163/17 in Übereinstimmung mit der Vorinstanz klar, dass der Kunde von seiner Bank keinen Schadensersatz verlangen kann. Denn er hatte nach Ansicht der Richter grob fahrlässig gegen seine Pflichten als Bankkunde verstoßen. Dies ergab sich daraus, dass die Aufforderung zur Eingabe einer TAN zwecks Durchführung einer „Testüberweisung“ derart ungewöhnlich ist, dass er hätte misstrauisch werden müssen. Dies gilt auch deshalb, weil die Bank auf ihrer Webseite vor derartigen Praktiken gewarnt hatte. Darüber hinaus hätte er bei der Übermittlung seiner TAN die Überweisungsdaten, die in der SMS erneut mitgeteilt werden, noch einmal kontrollieren müssen. 

 

Kunde soll mehrere TANs eingeben 

Bei einem weiteren Bankkunden war ebenfalls ein Trojaner auf dessen Rechner platziert worden. Nachdem er sich durch Eingabe der PIN auf der Webseite seiner Bank eingeloggt hatte, wurde er über eine eingeblendete Eingabemaske zur Eingabe von insgesamt 120 unterschiedlichen TANs in den Computer aufgefordert. Dies sei angeblich wegen einer Systemumstellung erforderlich. Nachdem er dem nachgekommen war, veranlassten Kriminelle drei Abbuchungen im Wert von insgesamt 770 Euro. Fünf Tage später informierte der Kunde die Bank über den Vorfall. Das Landgericht Düsseldorf stellte mit Urteil vom 27.03.2014 - 21 S 211/13 in der Berufungsinstanz klar, dass der Kunde hier grob fahrlässig gehandelt hat. Denn Kunden brauchen stets nur eine TAN einzugeben, um eine Zahlung zu veranlassen. Hier hätte der langjährige Kunde stutzig werden müssen.

 

Kunde konnte Phishing-Attacke nicht erkennen

Anders sieht es jedoch aus, wenn er Kunde den Zahlungsvorgang gar nicht veranlasst hatte. So war es etwa in einem Sachverhalt, in dem innerhalb von wenigen Tagen 44 Überweisungen von einem Konto erfolgten. Dabei wurden Benutzernamen, PIN und TAN des Kunden verwendet. Der Kunde ging im Folgenden gegen die Bank vor. Dabei legte er dar, dass er die Überweisungen nicht veranlasst habe. Er sei das Opfer einer Phishing-Attacke geworden.

 

Das Landgericht Oldenburg gab der Klage des Kunden mit Urteil vom 15.01.2016 – 8 O 1454/15 statt. Nach den Feststellungen des Gerichtes war er tatsächlich Opfer von Phishing geworden. Er hatte keinerlei TAN-SMS erhalten. Vielmehr erfolgten die Überweisungen ohne sein Zutun. Ihm darf nicht einfach unterstellt werden, dass er kein Virenschutzprogramm benutzt hatte. Diese Entscheidung ist mittlerweile rechtskräftig. 

 

Fazit:

Beim Online-Banking sollten Kunden darauf achten, ob ihnen etwas auffällig vorkommt. Keinesfalls sollten sie angeblichen Mitarbeitern ihrer Bank ihre Zugangsdaten anvertrauen. Das gilt auch, wenn deren korrekte Durchwahlnummer angezeigt wird. Denn dies kann ebenfalls durch Dritte fingiert werden. Darüber hinaus gehen diese Daten auch die Mitarbeiter der Bank nichts an. Im Zweifel sollten sie ihr Konto am besten über die Notrufnummer sperren, um einer Haftung zu entgehen. Darüber hinaus muss die Bank sofort darüber informiert werden. Inwieweit Gerichte von grober Fahrlässigkeit ausgehen, hängt sehr von den Umständen des Einzelfalls ab. Glück können Kunden etwa dann haben, wenn sie ein veraltetes Identifikationsverfahren benutzen. Im Zweifel sollten sie sich von einer Verbraucherzentrale oder einem Rechtsanwalt beraten lassen. Auch eine Anzeige gegen Unbekannt ist empfehlenswert. 

 

 

Autor: Harald Büring, Ass. jur. (Fachanwalt.de-Redaktion)

Foto: © Vladislav Gajic - Fotolia.com

Diesen Artikel bewerten
Über den Autor





Weitere Artikel der Redaktion zum Thema
Verkehrsrecht Verkehrsunfall mit ausländischem Fahrzeug: Das sollten Sie beachten!

Kommt es zu einem Verkehrsunfall mit einem Fahrzeug aus dem Ausland, müssen einige Besonderheiten beachtet werden. Ein Verkehrsunfall ist immer besonders ärgerlich. Schnell kann es passieren, dass Menschen dabei verletzt oder getötet werden. Wenn das nicht der Fall ist, entsteht schnell ein hoher Schaden, der normalerweise über die Kraftfahrzeugversicherung des Halters des Kraftfahrzeugs reguliert wird, dessen Fahrer den Unfall verschuldet hat. Handelt es sich um ein deutsches Fahrzeug, verläuft das Ganze häufig ohne große Komplikationen.  Schwieriger ist die Situation zumeist dann, wenn der Verkehrsunfall mit einem ausländischen Fahrzeug passiert ist. Rein theoretisch ... weiter lesen

Arbeitsrecht Kündigung wegen Datenschutzverstoß: Besteht dieses Risiko für Arbeitnehmer?

Wenn Arbeitnehmer nicht verantwortlich mit den ihnen vom Arbeitgeber anvertrauten personenbezogenen Daten umgehen, kann das erhebliche Konsequenzen haben. Diese reichen bis zur fristlosen Kündigung.    Viele Arbeitnehmer kommen im Rahmen ihrer Tätigkeit mit personenbezogenen Daten ihres Arbeitgebers in Berührung. Hierzu gehören vor allem sensible Daten ihrer Kunden. Wer hier als Mitarbeiter diese Daten abruft, um seine persönliche Neugier zu befriedigen, muss unter Umständen mit der Kündigung rechnen. Dies gilt erst recht dann, wenn er durch eigenmächtige Aktionen die Kunden vergrault. Denn hierdurch verletzt er seine arbeitsvertraglichen Pflichten aus dem ... weiter lesen

Verkehrsrecht Überschreitung der Richtgeschwindigkeit: Findet eine automatische Mithaftung statt?

Auf Autobahnen gilt normalerweise nur eine Richtgeschwindigkeit. Gleichwohl müssen Autofahrer beim Überschreiten eventuell mit Konsequenzen rechnen. Doch gilt dies immer?   Was Richtgeschwindigkeit bedeutet Im Gegensatz zu vielen anderen Staaten müssen Autofahrer auf Autobahnen in Deutschland gewöhnlich keine bestimmte Höchstgeschwindigkeit einhalten. Eine Ausnahme gilt nur, soweit ein Verkehrsschild aufgestellt ist, das eine Höchstgeschwindigkeit vorschreibt – was vielerorts der Fall ist. Auf deutschen Autobahnen gilt lediglich durchgängig eine sogenannte Richtgeschwindigkeit von 130 km/h. Wie bereits der Wortlaut nahelegt, handelt es sich hierbei lediglich um ... weiter lesen

Versicherungsrecht Schulden bei der Krankenkasse: Ist ein Versicherungsschutz bei Erkrankung gegeben?

Schulden bei der Krankenkasse können sich schnell fatal auswirken. Unter Umständen braucht die Krankenkasse keine Leistungen erbringen. Das gilt aber nicht immer.  Obwohl vor über 10 Jahren eine Versicherungspflicht in der Krankenversicherung eingeführt wurde, bedeutet dies noch lange nicht, dass jeder Patient die ihm eigentlich zustehenden Leistungen in Anspruch nehmen kann. Insbesondere Selbstständige oder auch andere Personen, die ihre Beiträge selbst an die Krankenkasse bezahlen müssen aufpassen, dass sie diese regelmäßig entrichten.    Krankenkasse braucht unter Umständen nicht für Behandlungen etc. aufkommen Zwar brauchen Mitglieder einer ... weiter lesen