Der Internetverkehr boomt und leider auch die damit verbundenen Betrügereien. Als besonders beliebt hat sich das so genannte "Phishing" erwiesen, bei dem der Nutzer eine email eines vermeintlichen Geschäftspartners, in den meisten Fällen von einer Bank oder einem Internetauktionshaus, erhält, in der er aufgefordert wird, geheime Daten wie sein Passwort, PIN oder TAN-Nummer einzugeben. Der Versender dieser email tätigt dann mit Hilfe der preisgegebenen Daten Einkäufe oder Überweisungen im Namen und auf Kosten des Nutzers.
Eine weitere Methode ist das Platzieren von so genannten "Trojanern" auf dem Rechner des Nutzers, so dass ohne dessen Zutun alle Eingaben auf der Tastatur aufgezeichnet und an den Täter geschickt werden. Gleichzeitig wird verhindert, dass die vom Nutzer getätigte Eingabe abgesendet wird. Der Täter kann nun mit Hilfe der noch unbenutzten PIN und TAN-Nummer die ursprüngliche Eingabe des Nutzers zu seinen Zwecken abändern.
Hat ein Bankkunde in einer gefälschten email seine PIN und TAN-Nummer preisgegeben, kann er grundsätzlich von der Bank keinen Ersatz für die mit diesen Daten verursachten Kontobelastungen verlangen. Durch Eingabe der vertraulichen Daten hat er seine der Bank obliegende Geheimhaltungspflicht verletzt. Hat die Bank dem Kunden jedoch selbst Anlass dazu gegeben, dass er die email für echt halten konnte, indem sie z.B. mit ihren Kunden per email verkehrt oder häufig das Design der Webseite wechselt, kann sie dem Kunden das reagieren auf die betrügerische email nicht mehr vorwerfen. Auch muss sie ihre Kunden rechtzeitig und ausreichend auf diese Gefahr aufmerksam machen.
Hat der Kunde die Daten nicht selbst eingegeben, sonder ist der Betrüger durch einen Trojaner daran gelangt, scheidet eine Pflichtverletzung des Kunden von Anfang an aus. Es kann nicht vorausgesetzt werden, dass er die Manipulation an der Software bemerken kann.
Bei Identitätsmissbrauch während einer Internetauktion steht dem geprellten Ersteigerer, der nur gezahlt aber keine Ware erhalten hat, grundsätzlich kein Anspruch gegen den tatsächlichen Passwortinhaber zu.
Der tatsächliche Passwortinhaber hat gegenüber dem Auktionshaus den Anspruch, ein als betrügerisch erkanntes Angebot sofort zu löschen und das missbrauchte Account zu sperren. Das Auktionshaus hat dafür Sorge zu tragen, seine Kunden rechtzeitig über derartige Gefahren zu informieren und Mindestanforderungen an die Sicherheit der Plattform zu gewährleisten.
Kommt das Auktionshaus einer der oben genannten Pflichten schuldhaft nicht nach, kann der geprellte Ersteigerer von diesem Ersatz für seinen durch die Nachlässigkeit eingetretenen Schaden verlangen.
Während beim Online-BAnking grundsätzlich die Bank das Risiko des Missbrauchs trägt, trägt es beim Internethandel grundsätzlich der Erwerber/Ersteigerer.
