Immer mehr Banken versuchen Kunden zu überzeugen, ihr Girokonto/Kreditkartenkonto online zu führen. Zum einen wird dies dadurch begünstigt, dass die Kontoführungsgebühren hierbei geringer sind, zum anderen dadurch, dass das Filialnetz der Banken immer weiter ausgedünnt wird, sodass sich viele gezwungen sehen oder es auch komfortabler erscheint, zu Hause am PC oder auch mithilfe des Mobiltelefon die Bankgeschäfte erledigen zu können.
Bei allen Vorteilen der Digitalisierung ergeben sich hierbei aber auch immer neue Gefahren für den Nutzer. Die Technik sowie verschiedene Tricks erlauben es Betrügern, auf fremde Konten zuzugreifen und Gelder abzuzweigen.
Phishing
Es begann vor einigen Jahren damit, dass Kunden vermeintliche emails von ihrer Bank, die in Wirklichkeit von Betrügern stammten, zugeleitet wurden, in der der Kunde einen Anhang öffnen sollte, mit dem angeblich Informationen oder neue Bedingungen enthalten waren, in Wirklichkeit aber hierin eine Spähoftware enthalten war, die den Betrügern es ermöglichte, verfügbare Daten des PC, damit PIN oder Passwörter zu entwenden bzw. abzufischen (deswegen aus dem englischen der Begriff Phishing).
Ähnlich sind Angriffe über SMS-Nachrichten der vermeintlichen Bank, in denen ebenfalls unter Beifügung eines Links der Kunde aufgefordert wird, Kontakt mit seiner Bank aufzunehmen. Sobald man aber diesen Link betätigt, gelangt man auf eine betrügerische Seite, die der echten Bank täuschend ähnlich sieht und ebenfalls entweder Daten abfragt oder sogleich mithilfe einer Schadsoftware die Daten von dem Mobiltelefon abgreift und so an geheime Informationen gelangt.
Spoofing
Sodann entdeckten Betrüger die Möglichkeit, über Software, die im Internet leicht erhältlich ist, bei Anrufen eine falsche Telefonnummer, nämlich die der vermeintlichen Bank, vorzuspiegeln, die im Display des Kunden erscheint. Dieser denkt dann wirklich, ein Mitarbeiter seiner Bank ruft an. Der vermeidet Mitarbeiter entlockt dann dem Kunden unter Vorwänden wie z.B., dass sein Konto aktualisiert werden müsste oder sogar Fremde auf sein Konto Zugriff genommen hätten, PIN und TAN zur Durchführung von Überweisungen im online Verkehr.
Mittlerweile gibt es noch eine Reihe mehr an Tricks, wie die Betrüger an geheime Daten gelangen, die erhebliche Schäden verursachen können. Streitig ist dann, ob die Bank eine solche Belastung rückgängig machen muss. Grundsätzlich sieht die Gesetzeslage in § 675 u BGB vor, dass ein Kunde verlangen kann, dass eine solche Buchung rückgängig gemacht wird, wenn er sie nicht selbst autorisiert, d. h. veranlasst hat. Hierzu ist zunächst erforderlich, dass sich der Kunde bei der Bank zunächst ordnungsgemäß authentifiziert hat, d. h. seine Identität und seine Berechtigung nachweist. Seit mehreren Gesetzesänderungen ist eine sogenannte doppelte Authentifizierung notwendig, d. h. z.B. durch Anmeldung auf der Internetseite der Bank mit dem PC unter Eingabe von Passwort und PIN und sodann durch Freigabe einer Zahlung mithilfe einer T AN mithilfe einer App auf dem Mobiltelefon. Hier ist oft streitig, ob dies der Fall ist, wofür die Banken gerne einen sogenannten Anscheinsbeweis anführen, wonach die Systeme sicher sind und davon ausgegangen werden muss, dass der Kunde sich ordnungsgemäß mit Passwort und PIN auf der Internetseite der Bank angemeldet hat.
Schon hier gibt es eine Reihe von Fällen, in denen die Gerichte dies anders gesehen haben, weil gerade ein solch zu 100 % sicheres System nicht gegeben ist. Sodann ist zu beachten, dass selbst bei einer ordnungsgemäßen Authentifizierung nicht immer automatisch von einer entsprechenden Autorisierung durch den Kunden auszugehen ist. Die Gesamtumstände des jeweiligen Falls müssen berücksichtigt werden, d. h. Anhaltspunkte für ein betrügerisches Verhalten Dritter einbezogen werden, da dann der entsprechende Anscheinsbeweis erschüttert ist und die Bank wiederum in der Nachweispflicht für die Autorisierung durch den Kunden ist. Gelingt der Bank dies nicht, ist zunächst davon auszugehen, dass keine Autorisierung stattgefunden hat und der Kunde die Rückgängigmachung im ersten Schritt verlangen kann.
Andererseits kann die Bank in einem zweiten Schritt gemäß den Vorschriften der §§ 675v und w BGB Rückgriff beim Kunden nehmen, wenn der Kunde es grob fahrlässig ermöglicht hat, dass ein Dritter die personalisierten Sicherheitsmerkmale wie PIN, Passwort oder TAN erlangen konnte. Es ist dann eine Frage des Einzelfalls, ob der Kunde grob fahrlässig oder nur leicht fahrlässig gehandelt hat, weil im letzteren Fall keine Haftung besteht und die Bank alleine den Schaden tragen muss.
Grob fahrlässig ist nach allgemeiner Definition, wenn der Kunde im Geschäftsverkehr die erforderliche Sorgfalt in ungewöhnlich hohem Maße verletzt und unbeachtet lässt, was in dem gegebenen Fall jedem einleuchten müsste.
Wenn ein Kunde Sicherheitsmerkmale nicht sorgfältig bei sich aufbewahrt oder leichtsinnig preisgibt, nehmen die Gerichte in der Regel eine grobe Fahrlässigkeit an. Hierzu zählt auch in der Regel die Bekanntgabe von solchen Sicherheitsmerkmalen am Telefon, weil davon ausgegangen wird, dass allgemein durch die Medien, Sicherheitshinweise der Bank auf der Internetseite andere Informationen bekannt ist, dass die Bank solche Sicherheitsmerkmale am Telefon nicht erfragt.
Anders sieht die Sache in anderen Konstellationen aus, sodass man im Einzelfall sehr genau hinsehen muss, wie sich der Schaden ereignet hat und in welcher Form die notwendige Authentifizierung normalerweise abläuft. So gibt es z.B. Fälle, in denen Kunden unter der angeblichen Telefonnummer Ihrer Bank angerufen und gebeten werden, mithilfe einer App auf dem Mobiltelefon ihre Karte zu entsperren oder eine angeblich neue Karte zu registrieren, während in Wirklichkeit hiermit Betrüger in die Lage versetzt werden, eine digitale Debit Karte oder moderne mobile Zahlungsfunktionen wie Apple Pay auf deren Handynummer einzurichten. In einem solchen Fall hat beispielsweise das Landgericht Köln die Bank zur Rückgängigmachung der Buchung verurteilt und eine grobe Fahrlässigkeit des Kunden abgelehnt.
Ebenso ist zu berücksichtigen, dass nach Auffassung einiger Gerichte die Bank bei auffälligen Zahlungsaufträgen eine Prüfungspflicht hat, d. h. durch entsprechende Software und Künstliche Intelligenz sicherstellen muss, dass ein vom sonstigen Kundenverhalten völlig abweichender Zahlungsauftrag zunächst nicht aufgeführt, sondern bei besonders hohen Beträgen, die von dem üblichen Zahlungsverhalten abweichen und Zahlungsempfängern im Ausland der Fall, wenn vorher der Kunde nur inländische Überweisungen vorgenommen hat, weil erfahrungsgemäß Betrüger aus dem Ausland agieren. So hat es beispielsweise das Kammergericht in Berlin entschieden.
Quintessenz ist also, dass einerseits Kunden besonders vorsichtig bei Anrufen oder anderen auffälligen Mitteilungen sein müssen, andererseits aber bei unberechtigten Abbuchungen es nicht einfach still und brav akzeptieren sollten, wenn Bank eine Rückerstattung ablehnt und auf angebliche Fehler des Kunden verweist. Bei einem Schaden im Einzelfall empfiehlt sich die Hinzuziehung eines in diesem Bereich erfahrenen Anwalts.
