Betrug beim Online-Banking (Phishing) – Muss die Bank den Schaden ersetzten?

Das Problem betrügerischer Aktivitäten im Zusammenhang mit dem Online-Banking besteht seit vielen Jahren unverändert. In unserer anwaltlichen Praxis nimmt die Zahl der Fälle nicht ab. Immer wieder werden Bankkonten von unbekannten Tätern geplündert. Polizei und Staatsanwaltschaft sind dagegen weitgehend machtlos, da es sich meist um professionelle Täter handelt, die aus dem Ausland agieren. Obwohl in den vergangenen Jahren die Sicherheitsvorkehrungen beim Online-Banking verbessert wurden, finden Kriminelle immer wieder Möglichkeiten, um sich unberechtigten Zugriff auf fremde Bankkonten zu verschaffen.

Für Geschädigte stellt sich die Rechtsfrage, ob ihr Geld unwiederbringlich verloren ist oder ob eventuell die Bank für den Schaden aufkommen muss.

Bevor wir die rechtlichen Fragen beleuchten, müssen wir uns ein wenig mit den technischen Gegebenheiten beschäftigen. Wenn ein krimineller Täter Geld von einem fremden Konto auf sein eigenes Konto überweisen will, muss er sich über das Internet Zugriff auf das Bankkonto verschaffen und eine Überweisung auslösen. Hierzu muss er die seitens des jeweiligen Kreditinstituts vorgesehenen Sicherheitsvorkehrungen überwinden. Dabei geht man heute davon aus, dass es grundsätzlich nicht möglich ist, sich einfach so in das Bankystem hinein zu „hacken“. Solange das System der Bank ordnungsgemäß funktioniert, erhält man nur Zugriff, wenn man sich für das jeweilige Bankkonto und den Zahlungsvorgang „authentifizieren“ kann. Gemeint ist damit, dass man für den Zugriff auf das Bankkonto beispielsweise ein Passwort, eine PIN (Abkürzung für Personal Identification Number) oder eine TAN (Abkürzung für Transaktionsnummer) benötigt.

Gemäß § 675j Abs. 1 S. 1 BGB ist ein Zahlungsvorgang gegenüber dem Kontoinhaber nur wirksam, wenn er diesem zugestimmt hat (Autorisierung). Wenn die Bank die ordnungsgemäße Autorisierung eines Zahlungsvorgangs nicht nachweisen kann, haftet der Bankkunde nicht für die Zahlung. Die von der Bank durchgeführte Überweisung darf in diesem Fall grundsätzlich nicht dem Bankkonto des Karteninhabers belastet werden. Sofern die Bank das Konto belastet hat, ist sie gemäß § 675u S. 2 BGB verpflichtet, dies durch Gutschrift wieder auszugleichen.

Wie beim Online-Banking die Autorisierung zu erfolgen hat, ist von Kreditinstitut zu Kreditinstitut unterschiedlich geregelt und wird jeweils im Kundenverhältnis vereinbart. Hierzu können unterschiedliche technische Ausgestaltungen, zum Beispiel die Verwendung eines Smartphones oder eines TAN-Generators vorgesehen sein. Unabhängig davon, liegt die Beweislast für die höchstpersönliche Autorisierung des Zahlungsvorgangs durch den Kontoinhaber beim Kreditinstitut. Gemäß § 675w S. 1 und 2 BGB muss das Kreditinstitut zumindest nachweisen, dass eine Authentifizierung erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht sowie nicht durch eine Störung beeinträchtigt wurde. Eine Authentifizierung ist erfolgt, wenn der Zahlungsdienstleister die Nutzung eines bestimmten Zahlungsinstruments, einschließlich seiner personalisierten Sicherheitsmerkmale, mit Hilfe eines Verfahrens überprüft hat.  Gemäß § 1 Abs. 24 des Zahlungsdiensteaufsichtsgesetzes ist unter Authentifizierung ein Verfahren zu verstehen, mit dessen Hilfe der Zahlungsdienstleister die Identität eines Zahlungsdienstnutzers oder die berechtigte Verwendung eines bestimmten Zahlungsinstruments, einschließlich der Verwendung der personalisierten Sicherheitsmerkmale des Nutzers, überprüfen kann.

Das Gesetz schreibt heutzutage für Zahlungsvorgänge eine sogenannte „starke Kundenauthentifizierung“ vor. Gemäß § 1 Abs. 24 des Zahlungsdiensteaufsichtsgesetzes handelt es sich bei einer starken Kundenauthentifizierung um eine Authentifizierung, die so ausgestaltet ist, dass die Vertraulichkeit der Authentifizierungsdaten geschützt ist und die unter Heranziehung von mindestens zwei der folgenden, in dem Sinne voneinander unabhängigen Elementen geschieht, dass die Nichterfüllung eines Kriteriums die Zuverlässigkeit der anderen nicht in Frage stellt:

1. Kategorie Wissen, also etwas, das nur der Nutzer weiß,
2. Kategorie Besitz, also etwas, das nur der Nutzer besitzt oder
3. Kategorie Inhärenz, also etwas, das der Nutzer ist.

Im Ergebnis bedeutet dies, dass für Überweisungen im Online Banking die Identität des Kontoinhabers auf zwei verschiedene Arten nachgewiesen werden muss (so genannte 2-Faktor-Autentifizierung). Dies kann beispielsweise so realisiert werden, dass für das Login ein Passwort erforderlich ist (Kategorie Wissen) und für die Auslösung der Überweisung zusätzlich eine TAN eingegeben werden muss, die auf das Smartphone des Kontoinhabers übermittelt wird (Smartphone => Kategorie Besitz). Auf andere Art und Weise könnte die 2-Faktor-Autentifizierung beispielsweise erfolgen, wenn für einen Zahlungsvorgang eine Kreditkarte verwendet wird (Kategorie Besitz) und zusätzlich der Fingerabdruck des Kontoinhabers gescannt wird (Kategorie Inhärenz). Ausnahmsweise kann bei Kleinbeträgen (bis 30 €) auf die 2-Faktor-Autentifizierung verzichtet werden. Dafür genügt es, wenn man nur die Bankkarte ohne weitere Sicherheitsüberprüfung verwendet. Abgesehen von dieser Ausnahme muss die Bank eine 2-Faktor-Autentifizierung verwenden und dies nachweisen. Gelingt der Bank dies nicht, so haftet der Kontoinhaber nicht für den entstandenen Schaden (§ 675v Abs. 4 BGB).

Das Kreditinstitut muss also zunächst nachweisen, dass der Zahlungsvorgang in technischer Hinsicht ordnungsgemäß ausgelöst wurde. Vor Gericht bedeutet dies, dass die Bank zumindest aussagefähige Protokolle vorlegen muss, aus denen der gesamte Vorgang vollständig nachvollzogen werden kann. Die Bank muss außerdem Nachweise dafür vorlegen, dass die technischen Einrichtungen zum jeweiligen Zeitpunkt ordnungsgemäß funktioniert haben und die verwendeten IT-Systeme dem aktuellen Stand der Technik entsprochen haben.

In der Praxis wird es der Bank in den meisten Fällen gelingen, eine rein technisch betrachtet ordnungsgemäße Authentifizierung eines Zahlungsvorgangs nachzuweisen.

Dies allein genügt aber nach dem Gesetz noch nicht für den endgültigen Nachweis der tatsächlichen Autorisierung durch den Kontoinhaber. Im Zweifelsfall muss das Kreditinstitut weitere Beweise vorbringen, um den Nachweis der Autorisierung führen zu können (§ 675w S. 3 und 4 BGB). An dieser Stelle ist in rechtlicher Hinsicht noch vieles ungeklärt und umstritten. Ungeklärt ist beispielsweise, inwieweit bei ordnungsgemäßer Authentifizierung ein Anscheinsbeweis zugunsten der Bank angenommen werden kann. Eine vollständige Abhandlung der Rechtsprechung und Literatur in diesem Zusammenhang würde den Rahmen dieses Artikels sprengen. Letztlich kommt es dabei aber immer auf die gesamten Umstände des Einzelfalls an.

In der Praxis geht es meist darum, dass der Bankkunde behauptet, unbekannte Täter hätten sich Zugang zu seinen personalisierten Sicherheitsmerkmalen verschafft, während die Bank dies bestreitet. Es geht also um die Frage, wie es den unbekannten Tätern gelingen konnte, sich der personalisierten Sicherheitsmerkmale des Kontoinhabers zu bemächtigen. Am häufigsten handelt es sich dabei um das sogenannte Phishing. Darunter versteht man ein kriminelles Vorgehen, bei dem Täter mittels Täuschung versuchen, den Kontoinhaber dazu zu bringen, seine Zugangsdaten und TAN preiszugeben. Dies geschieht beispielsweise durch den Versand von E-Mails, die das Opfer auf gefälschte Internetseiten locken. Dabei wird vorgetäuscht, dass es sich um eine E-Mail der Bank handelt und es wird eine mehr oder weniger echt wirkende Nachbildung der Internetseite der Bank präsentiert. Dabei wird der Täter dazu aufgefordert, seine Zugangsdaten – genau wie auf der echten Internetseite der Bank – einzugeben. Anschließend verwenden die Täter die so erschlichenen Zugangsdaten dazu, sich selbst Zugang zum Konto des Opfers zu verschaffen.

In derartigen Fällen bestreitet die Bank regelmäßig, dass es überhaupt zum Ausspähen von Zugangsdaten durch Phishing gekommen ist. Im Nachhinein ist dies auch kaum aufklärbar, zumal die gefälschte Internetseite später nicht mehr vorhanden ist. Zusätzlich wirft die Bank dem Kunden regelmäßig vor, sich zumindest grob fahrlässig verhalten zu haben, da er hätte erkennen müssen, dass es sich in Wirklichkeit nicht um die echte Internetseite der Bank handelte.

Wenn ein Geschehensablauf im Nachhinein nicht mehr vollständig aufgeklärt werden kann und die Parteien eines Rechtsstreits sich auf unterschiedliche Geschehensabläufe berufen, stellt sich stets die Frage nach der Darlegungs- und Beweislast. Es geht also darum, wer vor Gericht zunächst eine hinreichend konkrete Behauptung aufstellen muss und Beweis hierfür anbieten muss und es geht um die Frage, zu wessen Nachteil es sich auswirkt, wenn bestimmte Umstände durch Beweise nicht aufklärbar sind. Beispielsweise könnte die Bank behaupten, dass ein Zahlungsvorgang von dem Kontoinhaber höchst persönlich autorisiert wurde, während der Kontoinhaber dies bestreitet und vorträgt, dass ein Fall von Phishing vorliegt. Nach den oben vorgestellten gesetzlichen Regelungen muss die Bank zumindest die ordnungsgemäße Autorisierung (z.B. mittels PIN und TAN) darlegen und beweisen. Wenn ihr dies etwa durch Vorlage überzeugender Protokolle gelingt, kann nach der Rechtsprechung des Bundesgerichtshofs (Urteil vom 26.01.2016 – XI ZR 91/14) ein sogenannter Anscheinsbeweis für die Autorisierung durch den Kontoinhaber in Betracht kommen. Dies gilt aber nur dann, wenn auf Grundlage aktueller Erkenntnisse die allgemeine praktische Unüberwindbarkeit des eingesetzten Sicherungsverfahrens sowie dessen ordnungsgemäße Anwendung und fehlerfreie Funktion im konkreten Einzelfall feststehen. Im Rechtsstreit bedeutet dies, dass sich das Gericht konkret mit dem jeweiligen Sicherheitsverfahren auseinandersetzen muss. Es obliegt der Bank, darzulegen und zu beweisen, dass das verwendete Verfahren praktisch unüberwindbar ist. Wenn der Bank dies nicht gelingt, besteht auch kein Anscheinsbeweis zugunsten der Bank. Da die Bank ansonsten keine Beweismittel zur Verfügung hat, wird sich die Beweislast zu deren Ungunsten auswirken und es wird davon auszugehen sein, dass keine wirksame Autorisierung durch den Kontoinhaber vorliegt. Wenn es der Bank gelingt, zur Überzeugung des Gerichts nachzuweisen, dass das Sicherungsverfahrens praktisch unüberwindbar ist und im konkreten Einzelfall fehlerfrei funktioniert hat, wird das Gericht möglicherweise zugunsten der Bank von einem Anscheinsbeweis ausgehen und zunächst davon ausgehen, dass die Zahlung durch den Kontoinhaber autorisiert wurde. Der Kontoinhaber hat dann aber die Möglichkeit, zur Erschütterung eines für die Autorisierung eines Zahlungsauftrags sprechenden Anscheinsbeweises Umstände vorzutragen, die dennoch für einen nicht autorisierten Zahlungsvorgang sprechen. Hierzu muss der Kontoinhaber Tatsachen darlegen und gegebenenfalls zur vollen Überzeugung des Gerichts beweisen, wonach die ernsthafte, ebenfalls in Betracht kommende Möglichkeit einer anderen Ursache naheliegt. Der Bankkunde muss also beispielsweise Umstände vorbringen können, die dafür sprechen, dass ein unbefugter Dritter sich Zugang verschafft hat. Wenn dem Bankkunden dies gelingt, kann zumindest nicht mehr angenommen werden, dass der Zahlungsvorgang von ihm selbst autorisiert wurde.

Weiter argumentiert die Bank regelmäßig, dass der Bankkunde auch dann für den entstandenen Schaden selbst haften müsse, wenn der Zahlungsvorgang nicht von ihm persönlich autorisiert worden sein sollte. Hierzu beruft sich die Bank auf die Vorschrift des § 675v Abs. 3 BGB, wonach der Bankkunde der Bank gegenüber zum Schadensersatz verpflichtet ist, wenn er den Schaden vorsätzlich oder grob fahrlässig selbst verursacht hat. Dem Bankkunden wird unterstellt, dass er zumindest grob fahrlässig mit seinen personalisierten Sicherheitsmerkmalen umgegangen sei und somit ermöglicht habe, dass Unberechtigte auf das Bankkonto zugreifen. Grob fahrlässig handelt derjenige, der gegen die verkehrsübliche Sorgfalt in besonders schwerem Maße verstößt. Nach der Rechtsprechung des Bundesgerichtshofs setzt dies einen „in objektiver Hinsicht schweren und subjektiv schlechthin unentschuldbaren Verstoß gegen konkrete Sorgfaltspflichten voraus“. Als grob fahrlässig wurde es beispielsweise angesehen, wenn der Geschädigte sich auf eine leicht als schlechte Fälschung erkennbare Internetseite locken lässt und dort seine Zugangsdaten eingibt. Ebenfalls wurde es als grob fahrlässig angesehen, eine TAN einzugeben, ohne zugleich eine Überweisung zu tätigen. Auch als grob fahrlässig wurde es angesehen, mehrere TAN direkt nacheinander einzugeben. Ebenfalls als grob fahrlässig wurde es angesehen, wenn der Kontoinhaber bemerkt hat, dass Unbefugte die Zugangsdaten erlangt haben und dies nicht unverzüglich der Bank gemeldet hat. Deshalb ist es wichtig, bei Verlust von Zugangsdaten, TAN, Bankkarten oder sonstigen Sicherheitsmerkmalen dies sofort der Bank zu melden. Als grob fahrlässig wurde es auch angesehen, einem Unbekannten, der sich als Bankmitarbeiter ausgibt, telefonisch Zugangsdaten und TAN mitzuteilen.

Nach unserer anwaltlichen Erfahrung unterstellen Banken ihren Kunden in sehr vielen Fällen grob fahrlässiges Verhalten. Dabei wird argumentiert, dass ein Zahlungsvorgang beispielsweise ordnungsgemäß mit PIN und TAN autorisiert wurde und daher feststehe, dass der Bankkunde seine Zugangsdaten nicht ordnungsgemäß verwahrt habe. Deshalb habe der Bankkunde sich grob fahrlässig verhalten. Diese Argumentation ist allerdings unzulässig. Wenn man ohne konkrete Kenntnisse von dem Geschehensablauf immer dem Bankkunden unterstellen würde, seine Zugangsdaten nicht geheim gehalten zu haben, würde dies eine unzulässige Beweislastumkehr darstellen. Nach der gesetzlichen Regelung muss nämlich die Bank das grob fahrlässige Verhalten des Bankkunden beweisen und nicht umgekehrt. Gemäß § 675w S. 4 BGB genügt die ordnungsgemäße Autorisierung einer Zahlung mit PIN und TAN gerade nicht, um dem Bankkunden grob fahrlässiges Verhalten zu unterstellen. Danach muss nämlich die Bank unterstützende Beweismittel vorlegen, um Betrug, Vorsatz oder grobe Fahrlässigkeit des Kunden nachzuweisen. Die Bank muss deshalb konkret darlegen und beweisen, welches Verhalten des Bankkunden den Schaden grob fahrlässig herbeigeführt haben soll. Gelingt dies der Bank nicht, haftet der Kunde auch nicht auf Schadensersatz.

Gemäß § 675v Abs. 1 BGB ist der Bankkunde allerdings der Bank gegenüber zum Ersatz des entstandenen Schadens bis zu einem Maximalbetrag von 50 EURO verpflichtet. Dies gilt aber nur dann, wenn die Bank in den Allgemeinen Geschäftsbedingungen hierauf nicht verzichtet hat. Der Zahler haftet auch nicht, wenn es ihm nicht möglich gewesen ist, den Verlust, den Diebstahl, das Abhandenkommen oder eine sonstige missbräuchliche Verwendung des Zahlungsinstruments vor dem nicht autorisierten Zahlungsvorgang zu bemerken, oder der Verlust des Zahlungsinstruments durch einen Angestellten, einen Agenten, eine Zweigniederlassung eines Zahlungsdienstleisters oder eine sonstige Stelle, an die Tätigkeiten des Zahlungsdienstleisters ausgelagert wurden, verursacht worden ist.

Nach unserer anwaltlichen Erfahrung lehnen Banken und Sparkassen in vielen Fällen die Schadensübernahme mit fadenscheinigen Argumenten zu Unrecht ab. Teilweise geben sich die Banken dabei noch „kulant“ in dem versucht wird, den Kunden mit einer Erstattung eines geringen Teilbetrags abzuspeisen. In solchen Fällen ist es sehr zu empfehlen, die Hilfe eines spezialisierten Rechtsanwalts in Anspruch zu nehmen.

Die Kanzlei TREWIUS Rechtsanwälte hilft bei allen Problemen im Zusammenhang mit Banken und Sparkassen und insbesondere bei Fällen von Phishing. Wir stehen Ihnen gerne für eine kostenlose Erstberatung zur Verfügung. Weitere Informationen finden Sie auf unserer Internetseite.