Kein Anscheinsbeweis für Banken : Hoffnung für Opfer von Online-Banking-Betrug
17.11.2023, Autor: Herr Matthias Steinfartz / Lesedauer ca. 3 Min. (207 mal gelesen)
Wenn die Bank keine starke Kundenauthentifizierung bei ihrem Online Banking Verfahren anbietet, kann sie sich nicht auf den Anscheinsbeweis berufen, ihr Verfahren sei sicher.
Die Fälle des Social Engineering
Kürzlich hatte das Landgericht Heilbronn einen Fall zu entscheiden, der auf den ersten Blick klar schien. Ein Kunde der Volksbank erhielt einen Anruf von jemandem, der sich als Mitarbeiter der Bank ausgab. Der Anrufer informierte den Kunden, dass sein Konto durch mehrere unbefugte Transaktionen in Höhe von ca. 9.000 € belastet worden sei. Es wurde dringend empfohlen, schnell zu handeln, um diese Transaktionen rückgängig zu machen. Der Kunde hatte sowohl die Banking-App als auch die Push-TAN-App auf seinem Mobiltelefon installiert. Somit konnte er über die Banking-App die TAN generieren und über die Push-TAN-App die Überweisung freigeben. Der Kunde folgte der Aufforderung des vermeintlichen Bankmitarbeiters und übermittelte ihm die generierten TANs über das Telefon, damit dieser die angeblichen missbräuchlichen Transaktionen rückgängig machen konnte. Tatsächlich wurden jedoch mit diesen TANs des Kunden die tatsächlichen missbräuchlichen Transaktionen durchgeführt.
Die grobe Fahrlässigkeit als individueller Verschuldensvorwurf
Das Landgericht Heilbronn entschied in diesem Fall des „Social Engineering“, dass der Kunde keinen Anspruch auf Erstattung des Schadens gegenüber der Bank habe, da er sich durch die Weitergabe der drei TANs grob fahrlässig verhalten habe (siehe Landgericht Heilbronn, Urteil vom 16.5.2023, Az. Bm 610/23). Es ist zwar richtig, dass die Online-Banking-Bedingungen der Banken festlegen, dass die Weitergabe von TANs an Dritte als grob fahrlässig betrachtet wird und solche Fälle auch bekannt sind. Dennoch kann man in Fällen des Social Engineering darüber diskutieren, ob das Verhalten des Kunden tatsächlich in dieser Situation als grob fahrlässig einzustufen ist. Es ist zu beachten, dass der Kunde durch solche Anrufe überrumpelt wird und sich in einer ungewöhnlichen Ausnahmesituation befindet, in der ihm keine Zeit gegeben wird, in Ruhe abzuwägen, was zu tun ist. Insbesondere ältere Personen sind oft überfordert und können daher nicht für grob fahrlässiges Verhalten verantwortlich gemacht werden. Hinzu kommt, dass sie von geschulten Tätern massiv unter Druck gesetzt werden.
Die starke Kundenauthentifizierung
Bemerkenswert ist jedoch, dass das Landgericht Heilbronn diesen Fall nutzte, um festzustellen, dass die Bank keinen Anscheinsbeweis für ein unüberwindbares Sicherheitsverfahren mehr geltend machen kann, wenn sich sowohl die Banking-App als auch die Push-TAN-App auf demselben Smartphone befinden. Gemäß § 1 Abs. 24 des Zahlungsdiensteaufsichtsgesetzes (ZAG) muss für ein sogenanntes starkes Kundenauthentifizierungsverfahren die Authentifizierung durch den Kunden durch mindestens zwei voneinander unabhängige Elemente (Besitz und Wissen) erfolgen. Das Landgericht Heilbronn argumentiert, dass in Fällen, in denen sich sowohl die Banking-App als auch die Push-TANauf einem Gerät befindet, nicht mehr von zwei getrennten Kommunikationswegen die Rede sein kann und deshalb die Voraussetzungen nach § 1 Abs. 24 ZAG, nämlich dass die Bank eine starke Kunden Authentifizierung durchführt, nicht mehr vorliegent. Dies hat sehr weit reichende Folgen´, überlegt man, dass fast jedes Sicherheitssystem der Banken inzwischen von dem smsTAN Verfahren auf das pushTAN-Verfahren mit der App auf demselben mobilen Endgerät übergegangen sind.
Kein Anscheinsbeweis für die Bank
Es gibt keinen Anscheinsbeweis für die Banken, wenn das Erfordernis einer starken Kundenauthentifizierung gemäß § 1 Abs. 24 ZAG nicht erfüllt ist, weil sowohl die Banking- als auch die pushTAN-App auf demselben Endgerät verwendet werden. In diesem Fall kann die Bank sich nicht mehr auf den Anscheinsbeweis gemäß § 675w BGB berufen und bleibt im Zweifel beweisfällig. Die Bank trägt die Darlegungs- und Beweislast für das grob fahrlässige Verhalten des Kunden. Darüber hinaus könnte § 675 v Abs. 4 BGB angewendet werden, wonach die Bank keinen Schadensersatzanspruch gegen den Kunden hat, wenn sie selbst kein Sicherheitsverfahren mit einer starken Kundenauthentifizierung gemäß § 1 Abs. 24 ZAG anbietet.
Kostenlose Ersteinschätzung
Gerne bieten wir Ihnen eine kostenlose Ersteinschätzung an und stehen Ihnen für weitere Beratung zur Verfügung.
Die Fälle des Social Engineering
Kürzlich hatte das Landgericht Heilbronn einen Fall zu entscheiden, der auf den ersten Blick klar schien. Ein Kunde der Volksbank erhielt einen Anruf von jemandem, der sich als Mitarbeiter der Bank ausgab. Der Anrufer informierte den Kunden, dass sein Konto durch mehrere unbefugte Transaktionen in Höhe von ca. 9.000 € belastet worden sei. Es wurde dringend empfohlen, schnell zu handeln, um diese Transaktionen rückgängig zu machen. Der Kunde hatte sowohl die Banking-App als auch die Push-TAN-App auf seinem Mobiltelefon installiert. Somit konnte er über die Banking-App die TAN generieren und über die Push-TAN-App die Überweisung freigeben. Der Kunde folgte der Aufforderung des vermeintlichen Bankmitarbeiters und übermittelte ihm die generierten TANs über das Telefon, damit dieser die angeblichen missbräuchlichen Transaktionen rückgängig machen konnte. Tatsächlich wurden jedoch mit diesen TANs des Kunden die tatsächlichen missbräuchlichen Transaktionen durchgeführt.
Die grobe Fahrlässigkeit als individueller Verschuldensvorwurf
Das Landgericht Heilbronn entschied in diesem Fall des „Social Engineering“, dass der Kunde keinen Anspruch auf Erstattung des Schadens gegenüber der Bank habe, da er sich durch die Weitergabe der drei TANs grob fahrlässig verhalten habe (siehe Landgericht Heilbronn, Urteil vom 16.5.2023, Az. Bm 610/23). Es ist zwar richtig, dass die Online-Banking-Bedingungen der Banken festlegen, dass die Weitergabe von TANs an Dritte als grob fahrlässig betrachtet wird und solche Fälle auch bekannt sind. Dennoch kann man in Fällen des Social Engineering darüber diskutieren, ob das Verhalten des Kunden tatsächlich in dieser Situation als grob fahrlässig einzustufen ist. Es ist zu beachten, dass der Kunde durch solche Anrufe überrumpelt wird und sich in einer ungewöhnlichen Ausnahmesituation befindet, in der ihm keine Zeit gegeben wird, in Ruhe abzuwägen, was zu tun ist. Insbesondere ältere Personen sind oft überfordert und können daher nicht für grob fahrlässiges Verhalten verantwortlich gemacht werden. Hinzu kommt, dass sie von geschulten Tätern massiv unter Druck gesetzt werden.
Die starke Kundenauthentifizierung
Bemerkenswert ist jedoch, dass das Landgericht Heilbronn diesen Fall nutzte, um festzustellen, dass die Bank keinen Anscheinsbeweis für ein unüberwindbares Sicherheitsverfahren mehr geltend machen kann, wenn sich sowohl die Banking-App als auch die Push-TAN-App auf demselben Smartphone befinden. Gemäß § 1 Abs. 24 des Zahlungsdiensteaufsichtsgesetzes (ZAG) muss für ein sogenanntes starkes Kundenauthentifizierungsverfahren die Authentifizierung durch den Kunden durch mindestens zwei voneinander unabhängige Elemente (Besitz und Wissen) erfolgen. Das Landgericht Heilbronn argumentiert, dass in Fällen, in denen sich sowohl die Banking-App als auch die Push-TANauf einem Gerät befindet, nicht mehr von zwei getrennten Kommunikationswegen die Rede sein kann und deshalb die Voraussetzungen nach § 1 Abs. 24 ZAG, nämlich dass die Bank eine starke Kunden Authentifizierung durchführt, nicht mehr vorliegent. Dies hat sehr weit reichende Folgen´, überlegt man, dass fast jedes Sicherheitssystem der Banken inzwischen von dem smsTAN Verfahren auf das pushTAN-Verfahren mit der App auf demselben mobilen Endgerät übergegangen sind.
Kein Anscheinsbeweis für die Bank
Es gibt keinen Anscheinsbeweis für die Banken, wenn das Erfordernis einer starken Kundenauthentifizierung gemäß § 1 Abs. 24 ZAG nicht erfüllt ist, weil sowohl die Banking- als auch die pushTAN-App auf demselben Endgerät verwendet werden. In diesem Fall kann die Bank sich nicht mehr auf den Anscheinsbeweis gemäß § 675w BGB berufen und bleibt im Zweifel beweisfällig. Die Bank trägt die Darlegungs- und Beweislast für das grob fahrlässige Verhalten des Kunden. Darüber hinaus könnte § 675 v Abs. 4 BGB angewendet werden, wonach die Bank keinen Schadensersatzanspruch gegen den Kunden hat, wenn sie selbst kein Sicherheitsverfahren mit einer starken Kundenauthentifizierung gemäß § 1 Abs. 24 ZAG anbietet.
Kostenlose Ersteinschätzung
Gerne bieten wir Ihnen eine kostenlose Ersteinschätzung an und stehen Ihnen für weitere Beratung zur Verfügung.
