Phishing & Kontomissbrauch

Beim Online-Banking kommt es immer wieder zu Phishing und anderen missbräuchlichen Kontoverfügungen. In diesem Beitrag finden Sie die wichtigsten Fragen und Antworten zu diesem Thema.

Was versteht man unter Phishing?

Das Wort „Phishing“ ist an das englische Wort „fishing“ (Angeln) angelehnt. Unter Phishing versteht man im Bankbereich die Betrugsmasche, an persönliche Daten von Bankkunden inklusive deren Zugangsdaten zu gelangen, um so das Konto des Betroffenen plündern zu können.

Wie funktioniert Phishing?

Die Vorgehensweise beim Phishing ist häufig ähnlich. Ein Betrüger verschickt massenweise E-Mails, die so aufgemacht sind, als stammen sie von einer bestimmten Bank. So werden z.B. offizielle Logos, Layouts etc. der jeweiligen Bank verwendet. In diesen E-Mails wird den Empfängern vorgespiegelt, dass angeblich dringender Handlungsbedarf vorliege z.B.:

„Bestätigung Ihrer persönlichen Daten erforderlich“

„Ihr Konto wurde gesperrt und muss reaktiviert werden“

„Ihre Kontoangaben müssen wegen Geldwäschevorschriften aktualisiert werden“

Banken weisen in diesem Zusammenhang regelmäßig darauf hin, dass sie niemals persönliche Daten von ihren Kunden per E-Mail abfragen.

Die Phishing Mails enthalten dann meistens Links auf eine Internetseite, die der echten Seite der Bank zum Täuschen ähnlich sieht. Dort soll das Opfer nun verschiedenste Daten eingeben, insbesondere Zugangsdaten, PIN-Codes und TAN-Nummern.

Wer hierauf hereinfällt, hat den Betrügern die erforderlichen Daten für eine Online-Überweisung gegeben. Die Betrüger überweisen dann vom Konto des Opfers Beträge auf ein anderes Konto, häufig im Ausland.

Die Methoden der Betrüger entwickeln sich dabei stetig weiter. So werden z.B. auch die Computer der Opfer mit Schadsoftware („Malware“) infiziert, sodass die Nutzer beim Online-Banking automatisch auf gefälschte Internetseiten umgeleitet werden. So bleiben derartige Missbrauchsfälle häufig unerkannt.

Wie ist die Rechtslage beim Phishing?

„Phishing“ beschreibt rechtlich gesehen eine vom Kunden nicht autorisierte Überweisung.

Das Bürgerliche Gesetzbuch (BGB) enthält mittlerweile umfangreiche Regelungen zu Zahlungsvorgängen (wie z.B. Überweisungen). Das Gesetz selbst spricht dabei von „Zahlungsdienstleistern“ und „Zahlern“. Im folgenden ist zur Vereinfachung von Bank bzw. Bankkunde die Rede.

Natürlich stehen dem Kunden Schadensersatzansprüche gegen den bzw. die Betrüger zu, die sein Konto belastet haben. Nur sind diese häufig schwer zu fassen.

Wird das Bankkonto eines Bankkunden ohne dessen Autorisierung belastet, so kann der Kunde allerdings auch Ansprüche gegen die Bank geltend machen, wenn er nicht vorsätzlich gehandelt hat und ihn keine grobe Fahrlässigkeit trifft.

Wann gilt eine Zahlung als autorisiert?

Die Autorisierung des Bankkunden richtet sich nach § 675j BGB. Danach ist entweder die Einwilligung oder die Genehmigung der Zahlung erforderlich. Eine Einwilligung wird vorher erklärt, eine Genehmigung nachträglich.

Bei Phishing & Co. liegt naturgemäß regelmäßig keine Autorisierung des Kunden vor.

Welche Ansprüche hat der Bankkunde bei einem unautorisierten Zahlungsvorgang?

Im Falle eines nicht autorisierten Zahlungsvorgangs hat der Bankkunde gegen die Bank einen Erstattungsanspruch gemäß § 675u BGB:

„Im Fall eines nicht autorisierten Zahlungsvorgangs hat der Zahlungsdienstleister des Zahlers gegen diesen keinen Anspruch auf Erstattung seiner Aufwendungen. Er ist verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.“

Das bedeutet im Ergebnis, dass der Bankkunde eine Korrektur seines Kontoverlaufs verlangen kann, ihm darf daraus kein Zinsnachteil entstehen (valutengerechte Korrektur).

Wann haftet der Kunde beim Phishing?

Gemäß § 675v Abs. 2BGB ist ein Bankkunde in folgenden Fällen zum Ersatz des gesamten Schadens verpflichtet:

1. Wenn der Kunde den Schaden in betrügerischer Absicht ermöglicht hat.
2. Wenn der Kunde den Schaden durch vorsätzliche oder grob fahrlässige Verletzung der gesetzlichen Sorgfaltspflichten gemäß § 675l BGB herbeigeführt hat.
3. Wenn der Kunde den Schaden durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsauthentifizierungsinstruments herbeigeführt hat.

Beim klassischen Phishing, also wo Zugangsdaten per betrügerischen E-Mails abgefragt werden, gingen in der Vergangenheit viele Gerichte von einer groben Fahrlässigkeit des Bankkunden aus, da sich ein Betrug insoweit aufdrängen müsste, dies sei durch Nachrichten etc. ausreichend bekannt (vgl. LG Köln, Urteil vom 30. Juli 2015 – 15 O 505/14; OLG Hamm, Beschluss vom 16. März 2015 – I-31 U 31/15; LG Essen, Urteil vom 04. Dezember 2014 – 6 O 339/14; LG Köln, Urteil vom 07. Oktober 2014 – 21 S 5/14).

Wer trägt die Beweislast beim Phishing?

Zunächst einmal muss nach allgemeinen Grundsätzen der Bankkunde vortragen, dass er einen Erstattungsanspruch nach § 675u BGB hat, z.B. wegen Phishing. Für diesen Erstattungsanspruch trägt er die Darlegungs- und Beweislast.

Das Problem für den Bankkunden ist an dieser Stelle natürlich, dass er beweisen müsste, dass er eine Zahlung nicht autorisiert hat. Das ist naturgemäß schwierig, wenn nicht sogar unmöglich.

Daher trifft die Bank die Darlegungs- und Beweislast dafür, dass der Bankkunde die Zahlung autorisiert hat. Das ergibt sich aus § 675w Satz 1 BGB:

„Ist die Autorisierung eines ausgeführten Zahlungsvorgangs streitig, hat der Zahlungsdienstleister nachzuweisen, dass eine Authentifizierung erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht sowie nicht durch eine Störung beeinträchtigt wurde.“

Was genau muss die Bank beim Phishing nachweisen?

Die Bank muss nachweisen, dass

1. der Bankkunde ein Zahlungsauthentifizierungsinstrument und dessen personalisierte Sicherheitsmerkmale (z.B. SMS-TAN-Verfahren) genutzt hat und
2. diese Nutzung durch den Zahlungsdienstleister mithilfe eines Verfahrens überprüft worden ist.

Vereinfacht gesagt: Die Bank muss nachweisen, dass die korrekten Zugangsdaten verwendet wurden.

Das erfolgt in der Praxis regelmäßig durch den Ausdruck von technischen Aufzeichnungen. Teilweise werden auch Bankmitarbeiter als Zeugen benannt.

Reicht der Nachweis durch die Bank aus?

Damit allein ist aber noch nichts zu Gunsten der Bank entschieden. Denn das Gesetz stellt ausdrücklich klar, dass mit diesem Nachweis nicht automatisch eine Autorisierung durch den Kunden bewiesen ist, § 675w Satz 3 BGB:

„Wurde der Zahlungsvorgang mittels eines Zahlungsauthentifizierungsinstruments ausgelöst, reicht die Aufzeichnung der Nutzung des Zahlungsauthentifizierungsinstruments einschließlich der Authentifizierung durch den Zahlungsdienstleister allein nicht notwendigerweise aus, um nachzuweisen, dass der Zahler

1. den Zahlungsvorgang autorisiert,

2. in betrügerischer Absicht gehandelt,

3. eine oder mehrere Pflichten gemäß § 675l verletzt oder

4. vorsätzlich oder grob fahrlässig gegen eine oder mehrere Bedingungen für die Ausgabe und Nutzung des Zahlungsauthentifizierungsinstruments verstoßen hat.“

Wenn die Bank z.B. nachweisen kann, dass eine Online-Überweisung mittels Nutzung der korrekten Login-Daten und der korrekten SMS-TAN ausgelöst wurde, so hat sie zwar nachgewiesen, dass die Überweisung nicht durch einen eigenen Fehler erfolgt ist. Das allein reicht aber noch nicht aus, um eine Autorisierung des Bankkunden nachzuweisen.

Wenn der Kunde daraufhin Umstände vorträgt, die auf einen Missbrauch seiner Zugangsdaten hinauslaufen, muss sich die Bank bzw. das Gericht damit beschäftigen. Das Gericht kann nicht ohne weiteres eine Beweislastentscheidung zu Gunsten der Bank treffen.

Gibt es einen Anscheinsbeweis zu Gunsten der Bank bei Verwendung der korrekten Zugangsdaten?

Bei Streitigkeiten um die Autorisierung von Zahlungsvorgängen wenden Gerichte häufig die Regeln des so genannten Anscheinsbeweises an. Das bedeutet, das Gericht unterstellt ein bestimmtes Beweisergebnis, wenn ein typischer Geschehensablauf feststeht.

Beispiel: Bei missbräuchlicher Abhebung an einem Geldautomaten unter Verwendung der Originalkarte und der Eingabe der richtigen persönlichen Geheimzahl (PIN) spricht ein Anscheinsbeweis dafür, dass der Karteninhaber pflichtwidrig die PIN auf der Karte notiert oder gemeinsam mit dieser verwahrt hat (vgl. BGH, Urteil vom 29.11.2011 – XI ZR 370/10).

Allerdings hat der Bundesgerichtshof mit Urteil vom 26.01.2016 (Aktenzeichen: XI ZR 91/14) die Anforderungen an einen Anscheinsbeweis zu Gunsten der Banken bei Zahlungsvorgängen erheblich verschärft.

Bei Zahlungsvorgängen ist demnach Voraussetzung für einen Anscheinsbeweis, dass

• auf Grundlage aktueller Erkenntnisse
• die allgemeine praktische Unüberwindbarkeit des eingesetzten Sicherungsverfahrens sowie
• dessen ordnungsgemäße Anwendung und fehlerfreie Funktion
• im konkreten Einzelfall feststehen.

Außerdem hat der BGH festgestellt, dass im Bereich des Online-Bankings auch keinen Anscheinsbeweis zu Lasten des Kunden gibt, wonach bei einer korrekten Aufzeichnung der Nutzung eines Zahlungsauthentifizierungsinstruments und der beanstandungsfreien Prüfung der Authentifizierung von einer grob fahrlässigen Pflichtverletzung des Kunden auszugehen ist.

Kann der Kunde beim Phishing einen Anscheinsbeweis entkräften?

Ja, auch das hat der BGH in seiner Entscheidung vom 26.01.2016 klargestellt. Wenn bei Zahlungsvorgängen zu Gunsten der Bank von einem Anscheinsbeweis ausgegangen werden darf, kann der Bankkunde diesen erschüttern. Dazu muss er lediglich Umstände darlegen und gegebenenfalls beweisen, welche die ernsthafte, ebenfalls in Betracht kommende Möglichkeit einer anderen Ursache nahelegen. Technische Ausführungen zum Authentifizierungsinstrument sind dazu nach Ansicht des BGH auch nicht erforderlich.

Rechtsprechung zum Thema Phishing

• LG Krefeld, Urteil vom 30. September 2016 – 1 S 30/16 (Haftung eines Finanzagenten)
• AG Berlin-Mitte, Urteil vom 20. April 2016 – 15 C 20/15 (Beweislast bei PIN/TAN-Verfahren)
• BGH, Urteil vom 26. Januar 2016 – XI ZR 91/14 (Anscheinsbeweis bei Missbrauch im Online-Banking)
• LG Oldenburg (Oldenburg), Urteil vom 15. Januar 2016 – 8 O 1454/15 (Beweis fahrlässigen Handelns bei einer Trojaner-Attacke)
• LG Köln, Urteil vom 30. Juli 2015 – 15 O 505/14 (Grobe Fahrlässigkeit bei Preisgabe einer mittels TAN-Generators generierten TAN)
• LG Bonn, Urteil vom 31. März 2015 – 3 O 387/14 (Rücküberweisungstrojaner)
• OLG Hamm, Beschluss vom 16. März 2015 – I-31 U 31/15 (Phishing darf als bekannt vorausgesetzt werden)
• LG Essen, Urteil vom 04. Dezember 2014 – 6 O 339/14 (Beantwortung von Phishing Mails ist grob fahrlässig)
• LG Köln, Urteil vom 07. Oktober 2014 – 21 S 5/14 (grobe Fahrlässigkeit bei Herausgabe einer TAN, wenn diese sonst anders generiert wird)
• LG Darmstadt, Urteil vom 28. August 2014 – 28 O 36/14 (Zur Beweislast beim Smart-TAN-Verfahren)
• LG Köln, Urteil vom 26. August 2014 – 3 O 390/13 (Zur Beweislast beim SMS-TAN-Verfahren)
• LG Karlsruhe, Urteil vom 23. Mai 2014 – 20 O 24/13 (Autorisierter Zahlungsvorgang trotz Einsatzes eines Trojaners)
• AG Köln, Urteil vom 26. Juni 2013 – 119 C 143/13 (Mitverschulden des Bankkunden bei unterlassener Rücksprache mit der Bank)
• AG Düsseldorf, Urteil vom 06. Juni 2013 – 37 C 13695/12 (Grobe Fahrlässigkeit bei Pharmingattacke)
• AG Krefeld, Urteil vom 06. Juli 2012 – 7 C 605/11 (grobe Fahrlässigkeit bei Eingabe mehr als einer TAN)
• BGH, Urteil vom 24. April 2012 – XI ZR 96/11 (Fahrlässigkeit des Bankkunden bei gleichzeitiger Eingabe von zehn TAN)
• OLG München, Urteil vom 23. Januar 2012 – 17 U 3527/11 (Grobe Fahrlässigkeit bei Nutzung des „iTAN“-Verfahrens)
• LG Berlin, Urteil vom 08. November 2011 – 21 O 80/11 (Grobe Fahrlässigkeit durch Eingabe von 40 TANs)
• KG Berlin, Urteil vom 29. November 2010 – 26 U 159/09 (Verwendung eines herkömmlichen TAN Systems als Sorgfaltspflichtverletzung der Bank)