Betrüger finden heutzutage mithilfe des Internets immer neuere Methoden, um sensible und vertrauliche Daten von Bankkunden zu erschleichen und zu missbrauchen. Insbesondere ist das Online-Banking für Betrugsfälle anfälliger geworden. Seit dem Eintreten der Corona-Pandemie hat sich der Anteil der Online-Banking-Nutzern vermehrt. Eine Befragung des Statistischen Bundesamts hat ergeben, dass mehr als jede zweite Person nun Online-Banking verwendet. Eines der bekanntesten Formen des Betrugs erfolgt meistens durch „Phishing“. Betroffene von Betrugsfällen stellen sich oft die Frage, von wem und wie sie ihr verlorenes Geld zurückerhalten können – von ihrer Bank oder vom Täter? Ebenfalls ist es strittig, welchen Pflichten die Banken in so einem Fall unterliegen. In diesem Artikel stellt Herr Rechtsanwalt Sascha C. Fürstenow dar, wie Verbraucher betrügerische Aktivitäten erkennen und inwiefern sie im Betrugsfall Schadensersatzansprüche gegenüber der Bank geltend machen können.
Methoden des Betrugs
Während es verschiedene Möglichkeiten für Kriminelle gibt, einen Betrug durchzuführen, sind die bekanntesten Formen das Phishing und Pharming. Was diese Methoden bedeuten, erklärt RA Fürstenow kurz.
Phishing
bezeichnet einen sog. Identitätsdiebstahl, bei der persönliche Daten (wie z.B. Passwörter, Kreditkartennummern) durch gefälschte Webseiten, E-Mails oder SMS beschaffen werden. Dabei werden Webseiten oder E-Mails vertrauenswürdiger Stellen, wie z.B. Banken imitiert, die Verbraucher auffordern, vertrauliche Login-Daten einzugeben. Diese gestohlenen Daten verwendet der Täter anschließend, um im Namen des Opfers Vorgänge im Online-Banking durchzuführen.
Zur Erkennung solcher Phishing-Versuche wurden im Laufe der Jahre einige Merkmale gefunden, die jedoch nicht abschließend sind:
- Droht die E-Mail mit einem dringlichen Handlungsbedarf, wie z.B. das Aktualisieren von Daten, die ansonsten unwiderruflich verloren gehen, kann auf einen Phishing-Versuch hinweisen.
- Die E-Mail fordert zum Eingeben von PIN sowie Login-Daten auf und/oder erhält Links.
- Sprachliche Ungenauigkeiten oder unpersönliche Anreden wie „Sehr geehrte Damen und Herren“, können einen Verdacht ebenfalls nicht ausschließen.
- Gefälschte oder veränderte E-Mail-Adressen sind die auffälligsten Merkmale, auf die Kunden achten sollten und sollten diese versuchen mit vorherigen E-Mails vonseiten der Banken zu vergleichen oder telefonisch mit dem Kundenberater verifizieren lassen.
Pharming
ist eine andere Betrugsform der Cyberkriminalität, die dem Phishing ähnelt. Dabei werden manipulierte Webseiten benutzt, um an persönliche Daten zu gelangen. Hierzu werden Trojaner oder Viren benutzt, um dem Verbraucher eine falsche Webseite anzuzeigen, obwohl die korrekte URL angegeben wurde.
Zum Schutz vor solchen Online-Betrügern gilt auch hier die Devise „Vertrauen ist gut – Kontrolle besser“. E-Mails, die augenscheinlich von ihrer vertrauten Bank zu stammen scheinen, sollten sie bei Verdacht auf die Echtheit überprüfen lassen. Jedoch sind die Betrugsmethoden so raffiniert, dass die meisten Betrugsfälle erst im Nachhinein festgestellt werden. Zugangsdaten sollten niemals an Dritte oder verdächtige Webseiten herausgegeben werden. Zudem können sich in unbekannten Anhängen auch Malware befinden, die ihre Computer infizieren können. Einen weiteren Schutz bieten verschlüsselte WLAN-Netzwerke, öffentliche WLAN-Hotspots sollten für das Online-Banking vermieden werden. Bankkunden können mithilfe des TAN-Verfahrens sich ebenfalls beschützen.
Wie sollten Kunden im Betrugsfall reagieren?
Erkennen Sie noch während des Online-Bankings Phishing oder Pharming, sollten Sie den Vorgang sofort abbrechen und Ihr Konto und Online-Banking sperren lassen, rät Rechtsanwalt Fürstenow. Zu empfehlen ist auch die Polizei hierrüber zu informieren.
Fraglich ist, welche Rechte Sie gegenüber ihrer Bank haben, wenn Ihnen bereits ein finanzieller Schaden entstanden ist.
Pflichten der Bank
Der BGH hatte bereits entschieden, dass Banken verpflichtet sind, ihre Kunden vor Gefahren zu warnen (Urt. v. 06.05.2008 – XI ZR 56/07). Aus dem Girovertrag ergebe sich für die Bank eine Schutzpflicht, die Interessen des Kunden zu wahren. Dagegen spreche auch nicht § 11 Abs. 5 GwG, dass Banken die Kunden nicht über Verdachtsanzeigen informieren dürfen, da die Warnung vor einer drohenden Veruntreuung nicht verboten sei.
Grundsätzlich gilt, dass ein Überweisungsauftrag nach Eingang bei der Bank nicht mehr widerrufen werden kann. Jedoch besteht in einigen Ausnahmefällen die Möglichkeit einen Rückbuchungsantrag zu stellen, wenn der Kunde sich schnellstmöglich bei der Bank meldet. Ist die Rückbuchung nicht mehr möglich, kann die Erstattung der Gelder verlangt werden.
Rückzahlungsansprüche gegenüber der Bank nach §§ 675 ff. BGB
Grundsätzlich haben Bankkunden im Falle eines Betrugsfalls gemäß § 675u BGB einen Anspruch auf Rückzahlung der gestohlenen Beträge. Hierzu muss der Bank beweisen werden, dass der unautorisierte Zahlungsauftrag nicht vom Bankkunden ausgeführt wurde, sondern dass ein Dritter auf unbefugte Weise die Überweisung getätigt hat. § 675u BGB regelt hierzu:
Im Fall eines nicht autorisierten Zahlungsvorgangs hat der Zahlungsdienstleister des Zahlers gegen diesen keinen Anspruch auf Erstattung seiner Aufwendungen. Er ist verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte…
Sorgfaltspflichten nach dem Geldwäschegesetz und Kreditwesengesetz
Banken sind laut dem GwG und dem KWG (insbesondere § 25h KWG) dazu verpflichtet, Vorkehrungen zur Verhinderung von Geldwäsche, Terrorismusfinanzierung und sonstigen strafbaren Handlungen zu treffen. Dazu gehört es ein wirksames Risikomanagement aufzubauen und interne Sicherungsmaßnahmen zu durchführen, insbesondere aber auch die Überwachung der durchgeführten Transaktionen. Bisher gab es einen Vortatenkatalog nach § 261 StGB, nach welchen strafbaren Handlungen Geldwäsche begangen werden muss. Anstelle des Katalogs wird nun der „All-Crime-Ansatz“ ersetzt, wonach jede Straftat geldwäschetaugliche Vortaten sein können, dazu gehört natürlicherweise auch der Betrug. Zwar geht aus dem GwG direkt keine Verpflichtung vor, den Kunden direkt zu schützen, jedoch zeigt die Rechtsprechung, dass die Bank bei drohender Schädigung die Kunden warnen muss (BGH, Urteil vom 6.5.2008 – XI ZR 56/07).
Sind Transaktionen ersichtlich, die unplausibel erscheinen, bei denen der Verdacht auf Geldwäsche oder auf eine Vortat der Geldwäsche nicht eindeutig ausgeschlossen werden können, ist die Auffälligkeit mit dem Kunden zu klären. Nach den gesetzlichen Sorgfaltspflichten ist die Bank nach geltenden KYC-Prinzipien verpflichtet, die Bankgeschäfte ihrer Kunden zu verstehen.
Eigene Sorgfaltspflichten beachten
Um diese Ansprüche gegenüber ihrer Bank geltend zu machen, sollten Sie ihre Sorgfaltspflichten beachtet haben. Kunden haben dafür zu sorgen, dass kein Dritter Kenntnis von der PIN oder TAN erlangt. Sollten Sie vorsätzlich oder grob fahrlässig gehandelt haben, kann es im Einzelfall dazu führen, dass die Bank nicht verpflichtet wird, das Geld zu erstatten, hebt Rechtsanwalt Fürstenow hervor. Bei professionellen Betrugsfällen ist dies jedoch in der Regel nichtzutreffend.
Einige Beispiele aus der Rechtsprechung
- Der BGH hatte in seinem Urteil entschieden, dass ein Bankkunde grob fahrlässig handelt, wenn er trotz Aufklärungs- und Warnhinweis der Bank bei Auftreten des Online-Bankings nach Aufforderung 10 TAN-Nummern eingibt. (BGH-Urteil vom 24.4.2012 – XI ZR 96/11). Somit ist die Beachtung eigener Mitwirkungs- und Sorgfaltspflichten wichtig, um Erstattungsansprüche geltend machen zu können.
- Eine erfreulichere Entscheidung kam von der LG Oldenburg vom 15.01.2016 (Az. 8 O 1454/15). Dabei musste die Bank für den Schaden aufgrund einer Phishing-Attacke über 10.000 EUR an den Kunden bezahlen. Der Kunde hatte innerhalb von 5 Tagen über 40 unberechtigte Überweisungen auf seinem Konto festgestellt und den Schadensersatz von der Bank verlangt. Die Bank stimmte dem nicht zu, mit der Begründung, der Kunde habe grob fahrlässig gehandelt, da der Kunde „unsichere“ Apps heruntergeladen habe. Dabei hat das LG Oldenburg entschieden, dass die Bank darlegen müsse, dass es sich dabei um von Kunden autorisierte Überweisungen gehandelt habe, und nicht der Kunde müsse nachweisen, dass er Opfer einer Phishing-Attacke wurde.
- Laut einem anderen Urteil musste die Bank den Schaden erstatten, obwohl der Kontoinhaber seine Login-Daten an seinen Ehepartner weitergegeben hatte (LG Nürnberg-Fürth, Urteil vom 20.7.2020 – 6 O 5935/19). Hier hatte die Kundin Glück, da sie vor der Kontoeröffnung die E-Mail-Adresse ihres Mannes mitgeteilt hatte. Dabei musste die Bank rund 26.000 EUR zurückerstatten.
- In einem aktuellen Prozess entschied, dass LG München, dass die Bank den Schaden nach einem Phishing-Angriff nicht voll ersetzen muss. Die Kundin hatte eine Phishing-Mail erhalten und meldete sich mit dem richtigen Code auf einer falschen Seite (augenscheinlich die Online-Banking Webseite ihrer Bank) ein. Das Gericht stellte fest, dass der Kunde fahrlässig gehandelt habe, da die E-Mail Rechtschreibfehler erhielt, die die Kunden dafür sorgen sollte, den Betrug zu erkennen. Die Kundin hatte rund 20.000 EUR aufgrund dessen verloren. Der Schadensersatz vonseiten der Bank betrug lediglich 2.000 EUR.
Was können Bankkunden tun: Rechtliche Beratung
Zwar ist die Rechtsprechung nicht einheitlich, jedoch gibt es realistische Chancen, die verlorenen Beträge wieder zu bekommen. Ohne rechtliche Bewertung zu handeln kann in einigen Fällen zu größeren Verlusten führen. Haben Sie ohne Beachtung ihrer Sorgfaltspflichten gehandelt, wird die Bank versuchen, Schadensersatzansprüche gegenüber Ihnen geltend zu machen. Denn nach § 675v BGB hat die Bank das Recht auf Schadensersatz, wenn der Bankkunde die Sorgfaltspflichten verletzt habe. Dabei kann Ihnen ein Anwalt helfen, den Vorwurf der Fahrlässigkeit abzuwehren. Beim Aufeinandertreffen zweier Ansprüche ist es immer ratsam, einen Anwalt zur Hilfe zu holen.
Da jeder Fall jeweils individuell zu bewerten ist, ist es wichtig einen kompetenten Anwalt auf Ihrer Seite zu haben. Rechtsanwalt Sascha C. Fürstenow berät Sie hierzu gerne.
Der Rechtsrat wurde von der Mitarbeiterin der FÜRSTENOW Anwaltskanzlei, Frau Dastan, erstellt.