Phishing im Online-Banking: Wer haftet bei Online-Banking-Betrug?

Veröffentlicht am von TP-Rechtsanwälte
Artikel Bewerten
Rate this post

Sie nutzen Online-Banking vermutlich, weil es bequem und einfach ist. Doch Kriminelle sehen genau das als Chance. Dieser Beitrag beleuchtet die zivilrechtliche Haftung im Phishing-Kontext, stützt sich auf die einschlägige Rechtsprechung und zeigt Ihnen systematisch, worauf Sie achten müssen.

  1. Einleitung und Bedeutung von Phishing im Online-Banking
  2. Funktionsweise des Phishing-Betrugs im Online-Banking
  3. Rechte von Betroffenen und Haftungsgrundlagen
  4. Anscheinsbeweis und Sorgfaltspflichten in Online-Banking-Betrugsfällen
  5. Wie setzen Sie Ihre Rechte erfolgreich durch?
  6. Fazit
  7. Was wir für Sie tun können

1. Einleitung und Bedeutung von Phishing im Online-Banking

Phishing-Angriffe stellen die häufigsten Betrugsmethoden im Online-Banking dar. Dabei locken Täter ihre Opfer auf gefälschte Webseiten oder versenden E-Mails, die der Kommunikation von Kreditinstituten täuschend ähnlich sehen. Sie fangen Ihre vertraulichen Daten (z.B. PIN, TAN, Passwörter) ab, um Ihr Konto zu plündern oder um unerwünschte Überweisungen vorzunehmen.

Diese Attacken entwickeln sich ständig weiter. Betrüger verwenden Anrufe, SMS (sogenanntes Smishing) oder hochprofessionell nachgebaute Webseiten. Phishing bedroht damit nicht nur Ihr Konto, sondern führt auch oft zu größeren Folgeschäden. Sie stehen am Ende vor erheblichem finanziellen Verlust und fragen sich: „Wer ersetzt mir meinen Schaden, wenn eine Bank auf einen gefälschten Auftrag reagiert hat?“

Hier kommt das Zivilrecht ins Spiel. Sie haben umfangreiche Ansprüche gegen Ihre Bank und potenziell auch gegen die Täter selbst.

2. Funktionsweise des Phishing-Betrugs im Online-Banking

Täter versuchen, Ihr Vertrauen zu gewinnen, indem sie sich als seriöser Absender Ihrer Bank oder anderer Unternehmen ausgeben. Sie schicken Ihnen E-Mails oder SMS. Darin fordern sie Sie zur Eingabe sensibler Daten auf. Häufig leitet ein Link in der E-Mail auf eine gefälschte Bank-Seite weiter, auf der Sie TAN und PIN eintragen sollen. Anschließend nehmen die Täter mithilfe dieser Daten unautorisierte Überweisungen vor.

In der Regel entstehen die wirtschaftlichen Schäden während der erforderlichen Autorisierung im  sogenannten „PushTAN“- oder „AppTAN“- Verfahren. Vor allem dann, wenn Sie arglos eine Freigabe bestätigen, ohne in der TAN-App die angezeigten Überweisungsdaten genau zu prüfen. Genau diese Sorgfaltsverpflichtungen spielen in Ihren möglichen Ansprüchen gegen die Bank eine große Rolle.

Gerichte berücksichtigen nämlich, ob Sie als Kontoinhaber grob fahrlässig gehandelt haben oder ob Sie Opfer einer Angriffsmethode waren, gegen die selbst sorgfältiges Verhalten kaum hilft.

Moderne Phishing-Techniken gehen mittlerweile weit über simple E-Mails mit Tippfehlern hinaus. Betrüger gestalten Mails, Anrufe und Webseiten inzwischen so echt, dass Sie diese ohne technische Gegenmaßnahmen schwer erkennen können. Dennoch untersuchen Gerichte stets, ob Sie grundlegende Warnsignale missachtet haben. Dazu zählt zum Beispiel die Eingabe mehrerer TAN hintereinander oder die Preisgabe von Zugangsdaten am Telefon, obwohl Banken ihre Kundschaft konsequent warnen, so etwas niemals zu tun.

3. Rechte von Betroffenen und Haftungsgrundlagen

a. Ihr Anspruch auf Erstattung gegen die Bank

Sie fragen sich zu Recht, ob Ihre Bank Ihnen den abgebuchten Geldbetrag erstatten muss. Die Grundlage hierfür liefert das Zahlungsdiensterecht. § 675u Satz 2 BGB sieht vor, dass die Bank Ihrem Konto einen Betrag wieder gutschreiben muss, sofern Sie keinen autorisierten Zahlungsauftrag erteilt haben. Ein Phishing-Angriff führt typischerweise zu einer unautorisierten Überweisung.

Allerdings prüfen Gerichte im nächsten Schritt, ob Sie durch grobe Fahrlässigkeit einen Beitrag zum Missbrauch Ihrer Daten geleistet haben. Die Bank kann dann Ansprüche gegen Sie geltend machen und sich auf § 675v BGB stützen. Bestätigen Gerichte ein grob fahrlässiges Verhalten Ihrerseits, entfallen in der Regel Ihre Erstattungsansprüche.

Die Bank muss hierbei nachweisen, dass Sie grob fahrlässig gehandelt haben. Es gestaltet sich für Kreditinstitute oftmals als schwierig, diesen Nachweis zu erbringen. Das erhöht Ihre Chance auf Erstattung des Betrages. Es ist aber denkbar, dass zu Ihren Lasten der erste Anschein dafür spricht, dass Sie grob fahrlässig gehandelt haben. Diesen sogenannten Anscheinsbeweis müssen Sie als Kunde durchbrechen. Wie das möglich ist, erläutern wir weiter unten.

b. Schadensersatz gegen die Täter

Ein direkter Schadenersatzanspruch gegen die unbekannten Täter besteht zwar theoretisch (z.B. aus Delikt nach § 823 Absatz 2 BGB i.V.m. § 263a StGB oder anderen Normen), ist in der Praxis aber selten durchsetzbar. Täter sitzen oft anonym im Ausland. Sie haben daher eher geringe Erfolgsaussichten, direkt an deren Vermögen heranzukommen.

c. Haftung von zwischengeschalteten Geldkurieren

Phishing-Täter nutzen regelmäßig Geldkuriere, die ahnungslos oder leichtfertig hohe Geldbeträge auf ihrem Konto entgegennehmen und dann weitersenden. Einige Gerichte bejahen unter bestimmten Umständen die zivilrechtliche Haftung dieser Geldkuriere.

So etwa das LG Köln:

„Der Geldkurier, der einen auf Grund eines Phishing-Angriffs bei ihm eingehenden Überweisungsbetrag an den Täter weiterleitet, haftet dem Kontoinhaber auf Zahlung des überwiesenen Betrags nach §§ 823 Abs. 2 BGB i.V.m. § 261 Abs. 2, 5 StGB wegen Verletzung eines Schutzgesetzes.“ (Auszug aus LG Köln, Urteil vom 05.12.2007 – 9 S 195/07).

In dem zugrunde liegenden Fall hatte ein Phishing-Opfer unwissentlich einen unautorisierten Überweisungsauftrag erlitten. Das Geld wurde zunächst auf das Konto des Beklagten überwiesen, der es „ohne vernünftige Prüfung“ sogleich ins Ausland weiterleitete. Nach Auffassung des Landgerichts stellte dies eine leichtfertige Form der Geldwäsche dar, weil der „Geldkurier“ alle Warnsignale ignorierte und dadurch den Vermögensschaden des Opfers manifestierte.

Das Urteil zeigt, dass unwissende Personen, die als Geldkuriere fungieren, durchaus in die Haftung genommen werden können, wenn sie betrügerisch erlangte Gelder weiterleiten. Damit entsteht für Phishing-Opfer ein zusätzlicher Ansatzpunkt, um den entstandenen Schaden ersetzt zu bekommen. Ob Sie gegen den Geldkurier Schadenersatzansprüche geltend machen können, ist allerdings eine Frage des Einzelfalls und bedarf einer genauen Prüfung.

4. Anscheinsbeweis und Sorgfaltspflichten in Online-Banking-Betrugsfällen

a. Der oft diskutierte Anscheinsbeweis

Häufig argumentierten Banken, der Einsatz der korrekten PIN und TAN beweise, dass Sie als Kunde entweder selbst die Transaktion veranlasst haben oder zumindest grob fahrlässig Ihre Daten herausgegeben haben. Wie bereits weiter oben ausgeführt, muss die Bank dann aber beweisen, dass Sie tatsächlich die Autorisierung veranlasst oder grob fahrlässig gehandelt haben. Dafür kann unter bestimmten Umständen der erste Anschein sprechen.

Zentral ist in dieser Hinsicht ein Urteil des BGH aus dem Jahr 2016 (BGH, Urt. v. 26.01.2016 – XI ZR 91/14). Darin stellte der Bundesgerichtshof klar, dass:

  • Das bloße Vorliegen einer korrekten PIN-/TAN-Eingabe noch keinen automatischen Anscheinsbeweis für eine autorisierte Überweisung liefert.
  • Die Bank muss vielmehr belegen, dass das von ihr verwendete Sicherheitsverfahren „allgemein praktisch unüberwindbar“ ist und auch im konkreten Fall fehlerfrei angewandt wurde. Hierfür muss die Bank zwingend Unterlagen über die erfolgte Autorisierung vorlegen.
  • Ist dieser äußerst hohe Standard nicht nachweislich erfüllt, kann sie sich nicht auf den Anschein korrekter Daten berufen und muss beweisen, dass Sie grob fahrlässig gehandelt haben.

Gelingt der Bank der Nachweis, dass eine Autorisierung erfolgt ist und dass ihr Sicherheitsverfahren unüberwindbar ist, gehen die Gerichte aufgrund der sog. Anscheinsrechtsprechung des BGH davon aus, dass Sie als Kunde grob fahrlässig gehandelt haben. Dann müssen Sie als Kunde diesen Anschein ausräumen und darlegen, dass Sie eben nicht grob fahrlässig gehandelt haben. Dies ist u.a. möglich, wenn Sie zeigen können, dass ein atypischer Geschehensablauf vorliegt.

Beispiel: Die Bank hat ihr TAN-Verfahren erst neulich umgestellt; Sie haben kürzlich neue Anmeldedaten für Ihr Online-Banking erhalten

Bewährte Kriterien für die Gerichte sind ferner, ob Sie aktuelle Schutzprogramme nutzten, Warnmeldungen Ihrer Bank beachteten oder auffällige E-Mails ignorierten.

b. Keine grobe Fahrlässigkeit bei unklaren Umständen

Es liegt nicht automatisch grobe Fahrlässigkeit vor, wenn Sie keine zusätzlichen Virenschutzprogramme oder Sicherheits-Apps installiert haben. So hat das LG Berlin entschieden, dass selbst die Verwendung eines Android-Smartphones ohne gesonderte Antivirus-App nicht zwingend eine grob fahrlässige Pflichtverletzung darstellt (LG Berlin, Urt. v. 13.12.2023 – 10 O 21/23).

Auch die Frage, ob Sie stets die Bank-Webadresse (z.B. „https://“ plus Schloss-Symbol) prüfen müssen, wird von Gerichten differenziert betrachtet. Man muss schließlich nicht IT-Experte sein, um Online-Banking nutzen zu dürfen.

Allerdings ist Ihr konkretes Verhalten im Einzelfall stets entscheidend. Wer etwa mehrere TANs gleichzeitig auf einer Website eingibt oder am Telefon bereitwillig alle Sicherheitsmerkmale preisgibt, handelt eher grob fahrlässig.

Darauf weist etwa das LG Lübeck (Urt. v. 3.1.2024 – 3 O 83/23) hin: Dort wurde die grobe Fahrlässigkeit bejaht. Der Kunde gab persönliche Daten und die TAN preis und authentifizierte den Überweisungsvorgang; und das trotz einer verdächtigen Website, ungewöhnlicher Anrufe zu später Stunde und einer unbelegten Forderung zur Freigabe einer fünfstelligen Summe.

c. Abwägung Ihrer Mitverantwortung

Entscheidend ist also eine Abwägung: Hat Ihre Bank ein veraltetes TAN-System eingesetzt, das nicht den regulatorischen Vorgaben der sogenannten „starken Kundenauthentifizierung“ entspricht? Haben Sie aber gleichzeitig selbst jegliche Warnungen ignoriert und praktisch allen Sicherheitsvorschriften widersprochen?

Wenn sowohl Sie, aber auch Ihre Bank Verantwortung tragen, kommt ggf. eine Haftungsteilung in Betracht.

5. Wie setzen Sie Ihre Rechte erfolgreich durch?

Sofortiges Handeln

  • Sie sollten bei Verdacht eines Phishing-Angriffs unverzüglich Ihre Bank informieren, Ihren Online-Banking-Zugang sperren lassen und Anzeige bei der Polizei erstatten.
  • Je schneller Ihre Bank von einem Missbrauch erfährt, desto eher kann sie Kontobewegungen rückgängig machen oder Gelder auf Zwischenkonten einfrieren.
  • Dokumentieren Sie, welche Sicherheitsmaßnahmen Sie genutzt haben: Virenscanner, aktuelle Firewall, Browser-Updates.

Kommunikation mit der Bank

  • Betonen Sie, dass Sie keinen Überweisungsauftrag autorisiert haben und fordern Sie unter Verweis auf § 675u BGB eine sofortige Erstattung.
  • Falls die Bank argumentiert, Sie hätten grob fahrlässig gehandelt, antworten Sie nicht mehr. Besprechen Ihre nächsten Schritte strategisch mit einem Rechtsanwalt Ihres Vertrauens. Professioneller rechtlicher Beistand steigert Ihre Chancen!

6. Fazit und Zusammenfassung

  • Phishing ist im Online-Banking ein weit verbreiteter Betrug: Täter nutzen hochprofessionelle Methoden und täuschend echte Webseiten/E-Mails.
  • Erstattungspflicht der Bank bei unautorisierten Aufträgen: Grundsätzlich muss die Bank den Betrag gutschreiben, wenn keine wirksame Autorisierung vorliegt.
  • Grobe Fahrlässigkeit des Kunden mindert Ansprüche: Bei mehrfacher TAN-Eingabe oder leichtsinnigem Weitergeben sensibler Daten kann der Erstattungsanspruch entfallen.
  • Gerichte lehnen oft einen „Anscheinsbeweis“ zugunsten der Bank ab: Nur weil die korrekten PIN/TAN genutzt wurden, muss der Kunde nicht schuld sein.
  • Dokumentation eigener Sorgfalt ist entscheidend: Wer regelmäßige Updates, Virenschutz und Warnmeldungen beachtet, widerlegt grobe Fahrlässigkeit leichter.
  • Möglichkeit der Klage gegen Täter oder Geldkuriere: Neben den Tätern können auch Kuriere haften
  • Schnelles Handeln nach Betrug: Unverzügliches Melden an Bank und Polizei ist wichtig, um Kontobewegungen zu stoppen und Chancen auf Schadenersatz zu wahren.

7. Was wir für Sie tun können

Haben Sie einen konkreten Phishing-Fall oder vermuten Sie, dass Ihr Konto unautorisiert belastet wurde? Dann unterstützen wir Sie dabei:

  • Prüfung des Sachverhalts: Wir analysieren Ihren Fall im Detail, klären, ob Sie selbst grob fahrlässig gehandelt haben könnten und ob die Bank ihrerseits Fehler gemacht hat (z.B. unsichere Verfahren, mangelhafte Warnungen).
  • Rechtsdurchsetzung: Steht Ihnen ein Erstattungsanspruch nach § 675u BGB zu, übernehmen wir die Korrespondenz mit Ihrer Bank. Falls nötig, setzen wir Ihren Anspruch auch gerichtlich durch.
  • Strategische Beratung: Wir helfen Ihnen, mögliche Mitverschuldensargumente der Bank zu entkräften. Zudem prüfen wir, ob andere Haftungsverantwortliche (z.B. Geldkuriere) in Betracht kommen.
  • Vorbeugung: Gemeinsam mit Ihnen entwickeln wir eine Sicherheitsstrategie, die künftige Phishing-Attacken erschwert. Dazu gehören Empfehlungen zu sicheren Authentifizierungsverfahren, Updates und Warnmeldungen.

So wahren Sie Ihre Rechte bestmöglich und minimieren das Kostenrisiko. Zögern Sie nicht, uns zu kontaktieren – je früher Sie handeln, desto größer die Chance, einen drohenden oder bereits eingetretenen Schaden abzuwenden.

Rate this post