Allgemein

Online-Banking Betrug: Wie ist die Rechtslage hinsichtlich der Haftung?

Wenn Kunden beim Online-Banking Opfer von Betrügern geworden sind, muss dafür unter Umständen die Bank des Kunden aufkommen. Das gilt aber nicht immer. 

 

 

Kunden die beim Online-Banking auf Betrüger hereingefallen sind, haben normalerweise gegenüber den Kriminellen einen Anspruch auf Schadensersatz aus § 823 Abs. 2 BGB in Verbindung mit einem Schutzgesetz wie Betrug § 263 StGB oder Computerbetrug § 263a StGB. Dies hilft ihnen in der Praxis allerdings wenig. Denn erst einmal müssen die Täter aufgrund einer Anzeige von der Polizei ermittelt werden. Darüber hinaus ist der Anspruch häufig kaum durchsetzbar, wenn die Täter mittellos sind.

 

Umso interessanter ist daher die Frage, inwieweit Kunden hier einen Anspruch auf Schadensersatz gegen die eigene Bank haben. Ein solcher Anspruch könnte sich aus § 675u Satz 2 BGB ergeben. Dies setzt voraus, dass es sich um einen nicht autorisierten Zahlungsvorgang handelt. Darüber hinaus ergibt sich allerdings aus § 675v Abs. 3 Nr. 2 BGB, dass der Kunde bei einer missbräuchlichen Verwendung eines Zahlungsinstrumentes den Schaden nicht durch grob fahrlässige Missachtung seiner Pflichten herbeigeführt hat. Wann eine solche Pflichtverletzung vorliegt, dazu gibt es einige interessante Beispiele.

 

Anruf durch angeblichen Bankmitarbeiter

In einem Fall erhielt ein langjähriger Bankkunde einen Anruf. Der Anrufer behauptete, dass er bei der Bank angestellt und für die Kundenbetreuung zuständig sei. Eine ihm persönlich bekannte Firma aus dem Ausland habe versucht, auf das Konto des Kunden zuzugreifen. Der Angerufene glaubte ihm, weil der Anrufer neben seinem Namen, seiner Adresse und seinem Geburtsdatum auch seine Bankverbindung kannte. Nachdem der Kunde im Anschluss daran anscheinend von einem Unternehmen zur Zahlung aufgefordert worden war, meldete sich der angebliche Mitarbeiter der Bank noch einmal. Er teilte dem Kunden mit, dass erneut ein Dritter versucht habe, auf sein Konto zuzugreifen. Das Konto sei hiergegen hinreichend gesichert. Einige Wochen später erhielt der Kunde ein weiteres Schreiben, dass angeblich von einer N AG stammte. Hierin machte diese eine gar nicht bestehende Forderung gegen ihn geltend. Kurze Zeit danach rief der vermeintliche Bank-Mitarbeiter zum dritten Mal an. Er verlangte vom Kunden, dass er ihm seine PIN und TAN angibt, um sein Konto gegen unberechtigte Abbuchungen aus dem Ausland sichern zu können. Nachdem der Kunde dem nachgekommen war, hoben Unbekannte vom Konto 21.800 Euro ab. Der Kunde verlangte von seiner Bank, dass diese für die unberechtigten Abmahnungen aufkommt.

 

Das Landgericht Köln wies die Klage des Kunden mit Urteil vom 10.09.2019 - 21 O 116/19 - ab. Die Richter begründeten dies damit, dass er durch die Herausgabe von PIN und TAN an einen ihm Unbekannten grob fahrlässig gehandelt hat. Ungewöhnlich ist, dass eine Bank telefonisch verlangt, dass ein Kunde seine PIN bzw. TAN am Telefon preisgibt. Darüber hinaus ist zu bedenken, dass das Kreditinstitut dies ausdrücklich untersagt hatte. 

 

Aufforderung zur „Testüberweisung“ 

In einem weiteren Fall war ein Bankkunde heimlich von einem Trojaner ausgespäht worden. Nachdem er sich anscheinend auf der Login-Seite seiner Bank befand wurde er zur Vornahme einer Testüberweisung aufgefordert. Sodann sollte er diese mit der TAN bestätigen, die er zuvor per SMS erhalten hatte. In der Überweisungsmaske stand in den Feldern „Name“, „IBAN“ und „Betrag“ jeweils das Wort „Muster“. Der Kunde bestätigte diese vermeintliche Testüberweisung mit der ihm übersandten TAN. Tatsächlich erfolgte dann aber eine echte Überweisung der 8.000 Euro auf ein polnisches Konto. 

 

Hierzu stellte das Oberlandesgericht Oldenburg mit Beschluss vom 21.08.2017 – 8 U 163/17 in Übereinstimmung mit der Vorinstanz klar, dass der Kunde von seiner Bank keinen Schadensersatz verlangen kann. Denn er hatte nach Ansicht der Richter grob fahrlässig gegen seine Pflichten als Bankkunde verstoßen. Dies ergab sich daraus, dass die Aufforderung zur Eingabe einer TAN zwecks Durchführung einer „Testüberweisung“ derart ungewöhnlich ist, dass er hätte misstrauisch werden müssen. Dies gilt auch deshalb, weil die Bank auf ihrer Webseite vor derartigen Praktiken gewarnt hatte. Darüber hinaus hätte er bei der Übermittlung seiner TAN die Überweisungsdaten, die in der SMS erneut mitgeteilt werden, noch einmal kontrollieren müssen. 

 

Kunde soll mehrere TANs eingeben 

Bei einem weiteren Bankkunden war ebenfalls ein Trojaner auf dessen Rechner platziert worden. Nachdem er sich durch Eingabe der PIN auf der Webseite seiner Bank eingeloggt hatte, wurde er über eine eingeblendete Eingabemaske zur Eingabe von insgesamt 120 unterschiedlichen TANs in den Computer aufgefordert. Dies sei angeblich wegen einer Systemumstellung erforderlich. Nachdem er dem nachgekommen war, veranlassten Kriminelle drei Abbuchungen im Wert von insgesamt 770 Euro. Fünf Tage später informierte der Kunde die Bank über den Vorfall. Das Landgericht Düsseldorf stellte mit Urteil vom 27.03.2014 - 21 S 211/13 in der Berufungsinstanz klar, dass der Kunde hier grob fahrlässig gehandelt hat. Denn Kunden brauchen stets nur eine TAN einzugeben, um eine Zahlung zu veranlassen. Hier hätte der langjährige Kunde stutzig werden müssen.

 

Kunde konnte Phishing-Attacke nicht erkennen

Anders sieht es jedoch aus, wenn er Kunde den Zahlungsvorgang gar nicht veranlasst hatte. So war es etwa in einem Sachverhalt, in dem innerhalb von wenigen Tagen 44 Überweisungen von einem Konto erfolgten. Dabei wurden Benutzernamen, PIN und TAN des Kunden verwendet. Der Kunde ging im Folgenden gegen die Bank vor. Dabei legte er dar, dass er die Überweisungen nicht veranlasst habe. Er sei das Opfer einer Phishing-Attacke geworden.

 

Das Landgericht Oldenburg gab der Klage des Kunden mit Urteil vom 15.01.2016 – 8 O 1454/15 statt. Nach den Feststellungen des Gerichtes war er tatsächlich Opfer von Phishing geworden. Er hatte keinerlei TAN-SMS erhalten. Vielmehr erfolgten die Überweisungen ohne sein Zutun. Ihm darf nicht einfach unterstellt werden, dass er kein Virenschutzprogramm benutzt hatte. Diese Entscheidung ist mittlerweile rechtskräftig. 

 

Fazit:

Beim Online-Banking sollten Kunden darauf achten, ob ihnen etwas auffällig vorkommt. Keinesfalls sollten sie angeblichen Mitarbeitern ihrer Bank ihre Zugangsdaten anvertrauen. Das gilt auch, wenn deren korrekte Durchwahlnummer angezeigt wird. Denn dies kann ebenfalls durch Dritte fingiert werden. Darüber hinaus gehen diese Daten auch die Mitarbeiter der Bank nichts an. Im Zweifel sollten sie ihr Konto am besten über die Notrufnummer sperren, um einer Haftung zu entgehen. Darüber hinaus muss die Bank sofort darüber informiert werden. Inwieweit Gerichte von grober Fahrlässigkeit ausgehen, hängt sehr von den Umständen des Einzelfalls ab. Glück können Kunden etwa dann haben, wenn sie ein veraltetes Identifikationsverfahren benutzen. Im Zweifel sollten sie sich von einer Verbraucherzentrale oder einem Rechtsanwalt beraten lassen. Auch eine Anzeige gegen Unbekannt ist empfehlenswert. 

 

 

Autor: Harald Büring, Ass. jur. (Fachanwalt.de-Redaktion)

Foto: © Vladislav Gajic - Fotolia.com

Diesen Artikel bewerten
Über den Autor





Jetzt Rechtsfrage stellen
Weitere Artikel der Redaktion zum Thema
Allgemein Corona-Kontaktdaten: Darf die Polizei im Zuge von Ermittlungen auf Gästelisten zurückgreifen?

Wer etwa ein Restaurant aufsuchen oder bestimmte Veranstaltungen besuchen möchte, muss seine Kontaktdaten hinterlassen. Unter Umständen darf hier auch die Polizei Zugriff nehmen.   Das Hinterlassen der personenbezogenen Kontaktdaten z.B. in einem Restaurant erfolgt auf Grundlage der Coronaschutz-Verordnung des jeweiligen Bundeslandes. Hierdurch soll erreicht werden, dass die Betroffenen im Falle einer Pandemie ermittelt und benachrichtigt werden können und zudem ihre Daten dem örtlichen Gesundheitsamt übermittelt werden. Dieses kann dann prüfen, inwieweit er auf Corona getestet sowie sich in Quarantäne begeben muss. Hierauf wird der Betroffene auch hingewiesen. Welche ... weiter lesen

Arbeitsrecht Videosprechstunde: Ist künftig eine Krankschreibung ohne Arztbesuch möglich?

Gerade in Corona-Zeiten finden es viele Arbeitnehmer lästig, wenn sie für eine Krankschreibung ihren Arzt aufsuchen müssen. Dies können sie sich unter bestimmten Voraussetzungen möglicherweise bald ersparen.   Wer als Arbeitnehmer krank wird und aufgrund dessen arbeitsunfähig ist, muss sich unverzüglich bei seinem Arbeitgeber krankmelden. Dies ergibt sich aus § 5 Abs. 1 Satz 1 des Entgeltfortzahlungsgesetzes (EFZG). Hierfür gibt es keine speziellen formellen Anforderungen. Es reicht aus, wenn der Mitarbeiter möglichst schnell bei seinem Arbeitgeber anruft oder ihm eine E-Mail schreibt. Er muss ihm darin mitteilen, wie lange er voraussichtlich nicht arbeiten ... weiter lesen

Verkehrsrecht Können auch Kinder bei Unfällen im Straßenverkehr haftbar gemacht werden?

Bei Verkehrsunfällen im Straßenverkehr müssen nicht nur Erwachsene sondern auch Kinder unter Umständen mit rechtlichen Konsequenzen rechnen.   Kommt es zu einem Verkehrsunfall, dann haftet häufig der an dem Unfall beteiligte Erwachsene. Typisches Beispiel ist etwa ein Autofahrer, der ein Kind als Fußgänger oder Radfahrer anfährt. Dies kommt dadurch, dass gegenüber Kindern erhöhte Sorgfaltspflichten gelten. Dies ergibt sich aus § 3 Abs. 2a StVO. Diese Regelung lautet wie Folgt: „Wer ein Fahrzeug führt, muss sich gegenüber Kindern, hilfsbedürftigen und älteren Menschen, insbesondere durch Verminderung der Fahrgeschwindigkeit und durch Bremsbereitschaft, so ... weiter lesen

Arbeitsrecht Corona-Infektionen im Unternehmen: Wann haftet der Arbeitgeber?

Auch in Betrieben ist es schon zu Corona-Infektionen gekommen. Unter welchen Voraussetzungen Arbeitgeber haften, erfahren Sie in diesem Beitrag.   Wenn eine Corona Infektion in einem Unternehmen auftritt, ist das alleine noch kein Grund, dass der Arbeitgeber haftet. Vielmehr kommt ein Anspruch des Arbeitnehmers dann gem. § 280 Abs. 1 BGB aus vertraglicher Grundlage in Betracht, wenn der Arbeitgeber hierdurch seine Schutzpflichten aus dem Arbeitsvertrag verletzt hat.    Diese könnte sich daraus ergeben, dass der Arbeitgeber seine Fürsorgepflichten aus § 618 Abs. 1 BGB verletzt. Nach dieser Vorschrift hat der Arbeitgeber als Dienstberechtigter Räume, ... weiter lesen