Bereits im Jahr 2004 war allgemein bekannt, dass Kriminelle Fehler in den Internet-Seiten der Banken nutzen, um den Inhalt der Seite durch eigene Inhalte auszutauschen, ohne die Internet-Adresse der Bank zu verändern. Das Erscheinungsbild der gefälschten Internet-Seite entspricht dadurch exakt dem Original.
Seither wird vor Gerichten viel darüber gestritten, ob bei sog. Phishing- / Pharming Attacken Banken verpflichtet sind, den Geldbetrag dem Konto wieder gutzuschreiben:
- Das Kammergericht hat mit Urteil vom 29.11.2010, Az.: 26 U 159/09 als Berufungsinstanz entschieden, dass Überweisungen, die auf einer gefälschten Internetseite der Bank vorgenommen worden sind, dem Bankkunden insbesondere nicht über die Regeln der Anscheinsvollmacht zugerechnet werden können. Auch die Tatsache, dass auf dem Computer des Bankkunden geheime Daten ausgespäht worden sind, erlaube nicht den Schluss darauf, dass es insoweit an einem wirksamen Virenschutzprogramm mangele. Die Grundsätze des Anscheinsbeweises würden in einem solchen Fall nicht eingreifen, da es verschiedene Möglichkeiten gibt, wie kriminelle Dritte an geheime Daten gelangen können.
Bei Angriffen auf das Online-Banking werden Kunden häufig veranlasst, FIN, PIN und TAN bzw. iTAN auf gefälschten Bank-Websites einzugeben, so auch im Fall des BGH Urteils vom 24. 4. 2012, NJW 2012, 2422. Entsprechend ist es für die Haftung des Kunden im Online-Banking von entscheidender Bedeutung, welche Anforderungen an den Kunden im Hinblick auf die Vermeidung von Täuschungen zu stellen sind.
Diese können nach einem Aufsatz des Herrn Professor Dr. Georg Borges, in NJW 2012, 2385, „Haftung für Identitätsmissbrauch im Online-Banking“, in zwei große Fallgruppen unterteilt werden:
Das Erkennen einer gefälschten Website zum einen, die Deutung sonstiger Verdachtsmomente zum anderen:
a) Erkennen einer gefälschten Website
Angriffe auf das Online-Banking erfolgen meist durch Verwendung von gefälschten Websites oder Elementen wie etwa Pop-Up-Fenstern oder Teilen von Websites bzw. eingebetteten Inhalten (z. B. Werbebanner). So erfolgen die vielleicht gefährlichsten Angriffe zur Infektion von Computern mit Schadprogrammen durch so genannte Drive-by-Infektionen in der Weise, dass auf seriösen und bekannten Websites Schadprogramme eingeschleust werden, die etwa als Werbebanner getarnt sind.
Derartige Fälschungen sind für den Internetnutzer nicht erkennbar. Dagegen ist es zwar möglich, eine insgesamt gefälschte Website zu identifizieren, etwa schon durch Analyse der URL, vor allem aber durch Prüfung des Zertifikats. Allerdings wird nahezu allgemein angenommen, dass diese Maßnahmen den Kunden überfordern und ihm daher nicht zuzumuten sind. Dieser Einschätzung schließt sich auch der BGH an.
b) Erkennen von sonstigen Verdachtsmomenten
Anlass für die Haftung des Kunden ist das Erkennen sonstiger Verdachtsmomente, beispielsweise ungewöhnlicher Aufforderungen. Dies hat etwa bei klassischen Phishing-Angriffen durch eine gefälschte E-Mail Bedeutung. Hier liegt das Verdachtsmoment darin, dass eine Bank ihre Kunden nicht per E-Mail anschreibt und auffordert, über einen Link die Bank-Website aufzurufen.
- Auch das Landgericht Oldenburg, Urteil vom 15.1.2016, Az.: 8 O 1454/15, bestätigt, dass eine grobe Fahrlässigkeit nicht in dem Umstand liegen kann, der Bankkunde habe keine aktuelle Schadsoftware verwendet. Allein der Umstand, dass der Computer des Geschädigten dem Angriff eines Trojaners unterlag, ist noch kein Indiz dafür, dass ein Virenschutzprogramm fehlte oder nicht ausreichend war, da ein regelmäßig aktualisiertes Schutzprogramm keine vollständige Gewähr dafür bietet, dass der Computer nicht von einem neu entwickelten Trojaner infiziert wird.
- Daneben bestätigt das Amtsgericht Berlin-Mitte, Urteil vom 20.04.2016, Az.: 15 C 20/15, dass nach § 675w BGB die Eingabe von PIN und TAN nicht notwendigerweise das einwandfreie Funktionieren des Autorisierungssystems oder gar die Autorisierung an sich belegen.
Das Amtsgericht Berlin-Mitte führt aus:
„Es gibt bereits auf dem Weg zu diesen Sicherheitsschranken Manipulierungspotential, das nicht allein in der Sphäre des Zahlers liegt und daher nicht von ihm zu beweisen wäre. Zwar wurde bei den streitgegenständlichen Überweisungen die korrekten PIN und Tan verwendet, so dass die Beklagte zu 1) zunächst ihrer Darlegungspflicht gemäß § 675w BGB genügt hat. Hieraus folgt aber nicht bereits das der Zahlungsdienstleister den Beweis der Autorisierung unter Berücksichtigung des § 675w Satz 3 BGB erbracht hat. Ob insoweit ein Anscheinsbeweis zugunsten des Zahlungsdienstleisters besteht, was höchst umstritten ist, kann vorliegend dahinstehen, denn die Klägerin hat hinreichend substantiiert dargelegt, dass ein Computerbetrug vorgelegen hat.“
>>>Die Bank kann den Anscheinsbeweis nicht erschüttern, indem sie lediglich angibt, der Kunde habe seine persönlichen Sicherheitsmerkmale eingegeben<<<
Uns sind des weiteren Fälle bekannt, bei denen die Täter sich sogar bei dem Telekommunikationsanbieter eine Zweitkarte ausstellen lassen und auf diese Weise die TAN auf eine zweite SIM Karte weiterleiten lassen, sog. Sim-Swapping.
Auch in diesen Fällen haben Sie gem. § 675u BGB einen Anspruch gegen ihre Bank, damit bei nicht autorisierten Zahlungen ihr Bankkonto wieder auf den Zustand gebracht wird, wie er ohne diesen Betrug gewesen wäre.
- Das Landgericht Kiel hat in einem derartigen Verfahren mit Urteil vom 22.6.2018, Az.: 12 O 562/17, dieses Risiko jedenfalls dem Zahlungsdienstleister übertragen. Das Urteil wurde in zweiter Instanz durch das OLG Schleswig, Beschluss vom 29.10.2018, Az.: 5 U 290/18 bestätigt.
Jeder Online-Banking Betrug ist ein Einzelfall, denn die Täter handeln immer ausgeklügelter
Wenn auch Sie Opfer eines solchen Angriffs geworden sind, lassen Sie ihren Anspruch gegen ihre Hausbank durch die Fachanwältin für Bankrecht, Frau RA’in Handan Kes, überprüfen.
Wir haben bereits Erfahrung mit vielen ähnlichen Fällen.