Schäden durch Phishing – neue Urteile zur Beweislast im Online-Banking

02.02.2016, Redaktion Anwalt-Suchservice / Lesedauer ca. 3 Min. (168 mal gelesen)
Schäden durch Phishing – neue Urteile zur Beweislast im Online-Banking © Marco2811 - Fotolia.com
Wer durch eine Phishing-Attacke geschädigt wird, muss sich oft den Vorwurf gefallen lassen, dass er unvorsichtig mit seinen Daten umgegangen ist. Dann bleibt er auf seinem Schaden sitzen. Die neueste Rechtsprechung zeigt, dass Bankkunden durchaus Chancen auf Schadenersatz von ihrer Bank haben.

Was versteht man unter Phishing?
Phishing ist eine Methode, mit deren Hilfe Betrüger an die Zugangsdaten von Bankkunden gelangen, mit deren Hilfe Überweisungen getätigt werden können – namentlich Benutzername, PIN und TAN. Zu diesem Zweck werden sogenannte Phishing-Mails verschickt, bei denen der Nutzer oft unter einem Vorwand dazu aufgefordert wird, seine Daten auf der Internetseite seiner Bank einzugeben, die über einen Link in der Mail erreichbar ist. Leider ist diese Seite wie die Mail selbst meist gefälscht, so dass der Täter in den Besitz der Zugangsdaten kommt. Es gibt mehrere Varianten dieses Verfahrens.

Wer trägt den Schaden?
Nun ist es in der Praxis für einen geprellten Bankkunden meist schwer zu beweisen, dass nicht er selbst eine Online-Überweisung in die Wege geleitet hat, sondern jemand anders mit seinen Zugangsdaten. Die Geldinstitute versuchen sich bei dieser Problematik oft auf die Position zurückzuziehen, dass die Benutzung von korrekten Zugangsdaten ein Indiz dafür ist, dass der Bankkunde die Überweisung entweder selbst getätigt hat oder aber unvorsichtig mit seinen Zugangsdaten umgegangen ist. Bei einem grob fahrlässigen Umgang mit Zugangsdaten – wie etwa dem Aufbewahren von Kontokarte, PIN in Schriftform und ausgedruckten Transaktionsnummern zusammen in der Brieftasche – haftet die Bank nicht für den Schaden. In den letzten Jahren haben sich allerdings sowohl die Sicherheitsvorkehrungen der Banken als auch die Methoden der Betrüger weiterentwickelt. Da der Bankkunde oft nicht beweisen kann, dass eine kriminelle Handlung stattgefunden hat, geht es vor Gericht in einem solchen Verfahren aus dem Bankrecht oft um die Frage des Anscheinsbeweises:

Der Anscheinsbeweis – was ist das?
Von einem Anscheinsbeweis oder Beweis des ersten Anscheins spricht man bei einem typischen Geschehensablauf, wenn erfahrungsgemäß von einem bestimmten Ereignis auf eine bestimmte Folge und im Umkehrschluss von einer Folge auch auf das zugrunde liegende Geschehen geschlosssen werden kann. Ein Anscheinsbeweis wird in der Regel nur dadurch entkräftet, dass die Gegenseite einen ungewöhnlichen Geschehensablauf beweist. Inwieweit ein Anscheinsbeweis zur Anwendung kommt, hängt im Zivilrecht stark von der Rechtsprechung der höheren Gerichte ab.

Online-Banking: BGH-Urteil vom Januar 2016
Der Bundesgerichtshof hat sich in seinem Urteil vom 16.1.2016 mit der Anwendung des Anscheinsbeweises beim Online-Banking befasst – also mit der Frage, ob die Verwendung der korrekten Zugangsdaten und Transaktionsnummer bei einer Überweisung auf das Konto eines Fremden einen Anscheinsbeweis dafür begründet, dass der Nutzer unvorsichtig mit seinen Daten umgegangen ist (Az. XI ZR 91/14). Der BGH in Karlsruhe kam dabei zu dem Ergebnis, dass die gesetzliche Regelung in § § 675w Satz 3 des Bürgerlichern Gesetzbuches eine Anwendung der Grundsätze des Anscheinsbeweises hier nicht grundsätzlich verbiete.

Strenge Anforderungen an das Sicherheitssystem
Aber: Es müsse geklärt sein, dass das verwendete Zahlungssystem im Allgemeinen praktisch unüberwindbar sei und im jeweiligen Fall auch ordnungsgemäß angewendet worden wäre sowie ohne Fehler funktioniert habe. Im Falle einer missbräuchlichen Nutzung des Online-Bankings spreche kein Anscheinsbeweis für grobe Fahrlässigkeit des Kontoinhabers. Das Gericht hob auch hervor, dass im Falle des Missbrauchs des Online-Bankings angesichts der zahlreichen Authentifizierungsverfahren, Sicherungskonzepte, Angriffe und daran anknüpfender denkbarer Pflichtverletzungen des Nutzers kein Erfahrungssatz bestehe, der auf ein bestimmtes typisches Fehlverhalten des Zahlungsdienstnutzers hinweise. Der Fall wurde an das OLG Schleswig zurückverwiesen, das nun genauere Feststellungen zur Sicherheit des konkreten Authentifizierungssystems und zur möglichen Erschütterung des Anscheinsbeweises zu treffen hat.

Aktuelles Urteil des Landgerichts Oldenburg: Die Bank haftet
Das Landgericht Oldenburg hat (am 15.1.2016) zum Thema Phishing entschieden. Hier waren sowohl der Computer als auch das Smartphone eines Bankkunden von einem Trojaner infiziert gewesen, der eine Zahlung von 11.000 Euro auf ein fremdes Konto veranlasst hatte. Das Geldinstitut wollte auch hier im Wege des Anscheinsbeweises unterstellen, dass der Kunde grob fahrlässig mit seinen Zugangsdaten umgegangen sei. Das Gericht betonte. dass allein die Nutzung von Benutzername, PIN und TAN des Kunden noch keinen Anscheinsbeweis für ein unvorsichtiges Verhalten des Kunden begründen könne (Az. 8 O 1454/15). Die Bank musste daher den Schaden übernehmen.