Phishing: Wer zahlt den Schaden - Bank oder Kunde?

In der Praxis ist es für den geprellten Bankkunden oft schwer zu beweisen, dass er die Online-Überweisung nicht selbst veranlasst hat, sondern jemand anders mit seinen Zugangsdaten. Die Geldinstitute argumentieren hier oft damit, dass allein schon die Benutzung von korrekten Zugangsdaten ein Indiz dafür ist, dass der Bankkunde die Überweisung entweder selbst getätigt hat oder unvorsichtig mit seinen Zugangsdaten umgegangen ist.

Und: Bei einem grob fahrlässigen Umgang mit Zugangsdaten – wenn diese etwa zusammen mit der Kontokarte in der Brieftasche aufbewahrt werden – haftet die Bank nicht für den Schaden. Allerdings haben sich in den letzten Jahren sowohl die Sicherheitsvorkehrungen der Banken als auch die Methoden der Betrüger weiterentwickelt.

Da der Bankkunde oft nicht beweisen kann, dass eine kriminelle Handlung stattgefunden hat, geht es vor Gericht in derartigen Fällen meist um die Frage des sogenannten Anscheinsbeweises.

Man spricht von einem Anscheinsbeweis oder Beweis des ersten Anscheins bei einem ganz typischen Geschehensablauf, wenn also erfahrungsgemäß von einem bestimmten Ereignis auf eine bestimmte Folge und umgekehrt vom Eintritt dieser Folge auch auf das sie auslösende Geschehen geschlossen werden kann. Ein solcher Anscheinsbeweis lässt sich in der Regel nur dadurch entkräften, dass die Gegenseite vor Gericht einen ungewöhnlichen Geschehensablauf beweist. Inwieweit ein Anscheinsbeweis in einem Gerichtsverfahren zur Anwendung kommt, hängt stark von der Rechtsprechung der höheren Gerichte ab.

In seinem Urteil vom 16.1.2016 hat sich der Bundesgerichtshof mit der Anwendung des Anscheinsbeweises beim Online-Banking beschäftigt – also mit der Frage, ob allein die Verwendung der korrekten Zugangsdaten und Transaktionsnummer bei einer Überweisung auf das Konto eines Fremden einen Anscheinsbeweis dafür begründet, dass der Bankkunde unvorsichtig mit seinen Daten umgegangen ist (Az. XI ZR 91/14).

Der BGH hat entschieden, dass die gesetzliche Regelung in § § 675w Satz 3 des Bürgerlichen Gesetzbuches (BGB) eine Anwendung der Grundsätze des Anscheinsbeweises nicht automatisch ausschließt. Diese Regelung überträgt dem Zahlungsdienstleister grundsätzlich die Beweislast dafür, dass eine Überweisung korrekt autorisiert wurde.

Andererseits müsse geklärt sein, dass das genutzte Zahlungssystem im Allgemeinen praktisch unüberwindbar sei, im konkreten Fall ordnungsgemäß angewendet worden sei und ohne Fehler funktioniert habe. Bei einer missbräuchlichen Nutzung des Online-Bankings spreche kein Anscheinsbeweis für eine grobe Fahrlässigkeit des Kontoinhabers.

Das Gericht betonte, dass im Fall des Missbrauchs des Online-Bankings angesichts der zahlreichen Authentifizierungsverfahren, Sicherungskonzepte, Angriffe und daran anknüpfender denkbarer Pflichtverletzungen des Nutzers kein allgemeiner Erfahrungssatz bestehe, der auf ein bestimmtes typisches Fehlverhalten des Nutzers hinweise. Man könne also nicht generell unterstellen, dass dieser das Geld selbst überwiesen oder seine Zugangsdaten grob fahrlässig herausgegeben habe.

Der Fall, in dem es um rund 230.000 Euro ging, wurde an das OLG Schleswig zurückverwiesen, das genauere Feststellungen zur Sicherheit des konkreten Authentifizierungssystems und zur möglichen Erschütterung des Anscheinsbeweises treffen sollte.

Das OLG kam zu dem Ergebnis, dass es weder einen Anscheinsbeweis noch einen herkömmlichen Beweis dafür gab, dass der Kontoinhaber hier selbst die Überweisung durchgeführt hätte. Dieser hatte das zur Übermittlung der SMS-TAN genutzte Handy am fraglichen Tag nicht bei sich gehabt. Zwar ließ das Gericht durchblicken, dass seiner Ansicht nach offenbar diverse Prozessbeteiligte und Zeugen die Unwahrheit sagten. Der nötige Beweis - von der Bank zu erbringen - fehlte jedoch (Urteil vom 9.3.2017, Az. 5 U 87/13). Diese hatte also keinen Anspruch auf Ausgleich des verschwundenen Betrages.

Das Landgericht Oldenburg hat am 15.1.2016 zum Thema Phishing entschieden. In diesem Fall waren sowohl der Computer als auch das Smartphone eines Bankkunden von einem Trojaner infiziert gewesen. Dieser hatte eine Zahlung von 11.000 Euro auf ein fremdes Konto ausgelöst. Auch hier wollte das Geldinstitut im Wege des Anscheinsbeweises unterstellen, dass der Kunde mit seinen Zugangsdaten grob fahrlässig umgegangen sei. Allerdings war das Gericht der Ansicht, dass allein die Nutzung von Benutzername, PIN und TAN des Kunden noch keinen Anscheinsbeweis für ein unvorsichtiges Verhalten des Kunden begründe (Az. 8 O 1454/15). Die Bank hatte damit den Schaden zu tragen.

Über 4.000 Euro verlor eine Bankkundin, die eine E-Mail ernst genommen hatte, in der sie zur Aktualisierung ihrer Zugangsdaten für das Online-Banking aufgefordert wurde. Angeben sollte sie außer ihrer Kontonummer auch ihre Telefonnummer. Es folgte ein Anruf, in der eine angebliche Bank-Mitarbeiterin sie dazu aufforderte, ihr per SMS geschickte Zahlen vorzulesen. Darunter war auch eine TAN für die Überweisung.

Das Amtsgericht München entschied, dass die Weitergabe einer Transaktionsnummer am Telefon grob fahrlässig sei. In der SMS habe ausdrücklich gestanden, dass diese für die Überweisung von 4.444 Euro gedacht sei. Es müsse jedem einleuchten, dass man eine TAN unter diesen Umständen nicht an irgendwelche Leute am Telefon weitergeben dürfe. Die Bank musste den Betrag nicht ersetzen (Urteil vom 5.1.2017, Az. 132 C 49/15).

Mit seinen Zugangsdaten für Bankkonten oder Onlineshops oder auch Kreditkartendaten sollte man äußerst vorsichtig umgehen. Wer sie leichtgläubig herausrückt, riskiert, dass das Geld weg ist - und dass niemand anderer dafür haftet. Bei einem Streit mit Ihrer Bank ist ein Fachanwalt für Bankrecht der richtige Ansprechpartner.