Die Haftung der Bank beim Phishing Missbrauch

26.04.20105344 Mal gelesen
Der Name Phishing ist eine Wortschöpfung, die sich aus "Password" und "fishing" zusammensetzt und soviel wie das Stehlen von Passwörtern bedeutet. Mit den gestohlenen Daten loggen sich die Betrüger u.a. auf die unterhaltenen online-Konten der Opfer ein und räumen ab.
 
Die Methoden der Betrüger an die Passwörter zu gelangen sind unterschiedlich. Teilweise werden E-Mails verschickt, in denen Online-Banking Nutzer über einen Link auf eine täuschend echte Kopie der Online-Banking Webseite ihres Geldinstituts gelockt werden. Diese Phishing-Emails stammen scheinbar von der Hausbank und fordern dazu auf, innerhalb kurzer Zeit zu reagieren. Manchmal öffnet sich auch auf der Internetseite der Bank, bei der man gerade seine Online-Geschäfte ausführt, ein Fenster, das scheinbar von der Hausbank stammt, wobei die persönlichen Zugangsdaten wie Kontonummer, PIN und/oder TAN eingegeben werden sollen. Teilweise nutzen Phishing Betrüger auch gefälschte Webseiten (gespoofe Webseiten), die auf den ersten Blick aufgrund der verwendeten Grafiken und Schriftarten wie die echten Webseiten der jeweiligen Bankinstitute aussehen. Auf dieser gefälschten Webseite wird der Kunde unter einem dringenden Vorwand aufgefordert, persönliche Daten wie die PIN oder TAN einzugeben.
 
Das arglose Phishingopfer gibt die geforderten Anmeldedaten, Kennwörter oder andere vertrauliche Informationen auf der gefälschten Webseite ein, so dass einem Kriminellen mithilfe dieser Angaben die missbräuchliche Verwendung des Kontos ermöglicht wird. Das Phishing Opfer merkt den Missbrauch seines Kontos oft erst dann, wenn der Kontoauszug vorliegt. Zu diesem Zeitpunkt ist der Phishing Dieb mit dem abgezapften Betrag meist schon über alle Berge.
 
Informiert der Kunde die Bank nach einem bemerkten Missbrauch, heißt es überwiegend pauschal, dass eine Erstattung des Betrages nicht erfolgen könne, da der Kunde seine Sorgfaltspflicht im Umgang mit den vertraulichen Kennwörtern, Tans, Pins etc. vernachlässigt habe.
 
Entgegen dieser oftmals pauschalen Ablehnungsschreiben der Banken gibt es durchaus Hoffnung für geschädigte Phishing Opfer, eine Erstattung des missbräuchlich verwendeten Betrages zu erreichen. Für die Erstattungspflicht der Bank gilt rechtlich gilt folgendes:
 
Grundsätzlich hat der Bankkunde einen Anspruch darauf, dass Buchungen, die ohne seinen Auftrag oder ohne Rechtsgrund zu Lasten seines Kontos durchgeführt werden, wieder rückgängig gemacht werden. Die Bank hat demnach nur dann einen Aufwendungsersatzanspruch gegen ihren Kunden, den sie durch Abbuchung von dessen Bankkonto befriedigen darf, wenn dieser oder eine von ihm beauftragte dritte Person einen Überweisungsantrag abgegeben hat. Ohne wirksames Angebot des Kunden auf Abschluss eines Überweisungsvertrages kann das Konto nicht belastet werden, da es an einer Weisung fehlt. Das Risiko für die Fälschung eines Überweisungsauftrages trägt damit grundsätzlich die Bank
 
Die meisten Banken haben in Sonderbedingungen die Nutzungsbedingungen für das Online Banking geregelt. Danach trifft die Bank auch bei Missbrauchsfällen im Phishingbereich eine Erstattungspflicht, die nur dann ausgeschlossen ist, wenn der Kunde den Zugang seiner Daten unbefugten Dritten ermöglicht und sich sorgfaltswidrig verhält.
 
Die Bank kann also der grundsätzlichen Haftung auf Erstattung des missbräuchlich verwendeten Betrages nur entkommen, wenn sie darlegen kann, dass der Kunde gegen seine Sorgfaltspflichten verstoßen hat. Wann genau das der Fall ist, ist eine Ermessensentscheidung, die meist von einem Richter zu beurteilen ist.
 
So hat beispielsweise das Amtsgericht Wiesloch entschieden, dass eine Bank für den Schaden haftet, der einem Online-Banking Kunden durch einen Phishing-Angriff entsteht, wenn der Computer des Kunden durchschnittlichen Sorgfaltsanforderungen genügt. Von einem Kunden könne lediglich eine "irgendwie geartete Absicherung des Computers" erwartet werden. Soweit keine besonderen Sicherheitsmaßnahmen vertraglich vereinbart seien, reiche ein Antivirenprogramm zur Sicherung des eigenen Computers aus. Das Gericht wies auch darauf hin, dass grundsätzlich die Bank das Fälschungsrisiko eines Überweisungsauftrags zu tragen habe.

In einem vor dem Landgericht Berlin verhandelten Fall wurde die Bank zu Ersatz von 90 % des entstandenen Schadens in einem Phishingfall verurteilt. Hier loggte sich der Kunde zunächst auf der echten Internetseite seiner Bank ein. Anschließend erhielt er in einem neuen Fenster, das wie die Seite seiner Bank aussah, die Mitteilung, dass das Login fehlgeschlagen sei. Der Kunde wurde aufgefordert, Tans einzugeben anschließend wurde sein Konto leer geräumt. In diesem Fall konnte der Kunde im Prozess darlegen, dass sich nach der Herstellung der Internetverbindung zu der Bank ein Schadprogramm (Trojaner) aktiviert und auch die für eine Transaktion notwendige PIN und eine oder mehrere "Transaktionsnummern" (TAN) mitgelesen hat. Die Richter sahen eine grobe Fahrlässigkeit des Kunden nicht als gegeben an und verurteilten die Bank zum Ersatz von 90 % des entstandenen Schadens.
 
Insgesamt ist festzustellen, dass Opfer eines Phishings durchaus Hoffnung haben können, dass die Bank für den eingetretenen Schaden eintreten muss.