Grobe Fahrlässigkeit bei Phishing & Pharming

sorgfaltspflichtenDer zweite Teil der Beitragsserie zum Missbrauch des Online-Banking und dessen strafrechtliche und zivilrechtliche Folgen zeigt, wann der Kunde für die falsche Überweisung verantwortlich gemacht wird. Handelt er grob fahrlässig, muss er der Bank den Schaden ersetzen, der aus dem Phishing-/ Pharming-Angriff entstanden ist.

Haftung für nicht autorisierte Überweisungen

Der Nutzer des Online-Banking muss jede Überweisung mit einer TAN autorisieren. Anschließend hat die Bank einen Aufwendungsersatzanspruch gegen den Kunden (§§ 670, 675c BGB), sie darf den Betrag also von seinem Konto abbuchen.

Wenn der Nutzer seine TAN jedoch auf einer manipulierten Webseite preisgibt, können Kriminelle die TAN zur Autorisierung einer Überweisung verwenden (strafbar als Computerbetrug gem. § 263a StGB). Im Falle eines nicht autorisierten Zahlungsvorgangs hat die Bank keinen Anspruch auf Erstattung der Aufwendungen, sondern ist umgekehrt verpflichtet, dem Nutzer den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den vorherigen Stand zu bringen (§ 675u S. 2 BGB).

Im Ergebnis muss die Bank dem Kunden bei einer nicht autorisierten Überweisung eines Kriminellen den Betrag jedoch nicht erstatten, wenn sie einen Schadenersatzanspruch gegen den Kunden hat, mit dem sie aufrechnen kann. Der Nutzer muss der Bank den gesamten Schaden ersetzen, wenn er infolge einer vorsätzlichen oder grob fahrlässigen Verletzung der vertraglichen Pflichten beim Online-Banking entstanden ist (§675v Abs. 2 BGB).

Sorgfaltspflichten

Nutzer des Online-Banking sind verpflichtet

  • den Rechner mit aktuellem Virenschutz und Firewall zu sichern,
  • Updates wichtiger Programme, v.a. des Betriebssystems und des Internetbrowsers vorzunehmen,
  • auf die Verwendung des https-Protokolls zu achten, das eine verschlüsselte Verbindung zu einer authentifizierten Webseite gewährleistet,
  • PIN und TAN gegenüber Dritten geheim zu halten.

Grobe Fahrlässigkeit des Bankkunden

Wenn die Bank und der Kunde sich darüber streiten, ob die Bank den von Kriminellen überwiesenen Betrag an den Kunden erstatten oder (wegen eines aufrechenbaren Schadensersatzanspruches) nicht erstatten muss, kommt es darauf an, ob der Kunde bei Preisgabe seiner TAN auf einer Phishing- oder Pharming-Webseite grob fahrlässig handelte. Hätte der Kunde die Täuschung des Angreifers erkennen müssen?

Nach ständiger Rechtsprechung handelt grob fahrlässig, wer die erforderliche Sorgfalt nach den gesamten Umständen in ungewöhnlich großem Maße verletzt und dasjenige unbeachtet lässt, was jedem hätte einleuchten müssen. Dabei kommt es auch darauf an, inwieweit der Nutzer im Umgang mit Computern vertraut ist und sich der Gefahren und Risiken des Internets bewusst ist.

Allgemeinwissen zum Online-Banking

Bestimmte Verdachtsmomente gelten als allgemein bekannt. Der Kunde wird für die (fehlende) Abwehr von falschen Überweisungen verantwortlich gemacht, wenn er sie nicht erkennt. Der durchschnittliche Nutzer soll wissen, dass Kreditinstitute ihre Kunden niemals

  • per E-Mail anschreiben,
  • durch einen Link zur ihrer Webseite leiten,
  • dazu auffordern, mehrere TAN auf einmal einzugeben
  • dazu auffordern, schon beim Log-In und unabhängig von einer Transaktion eine TAN einzugeben.

iTAN-Liste„Durch die Eingabe von ca. 40 TAN auf einer nicht zertifizierten, dem Kläger völlig unbekannten, nicht ansatzweise seinem Kontobereich mangels Angabe insbesondere des Kontostandes wiedergebenden Maske hat er eine unentschuldbare Pflichtverletzung begangen, die das gewöhnliche Maß erheblich übersteigt.“ (LG Berlin, Urteil vom 08.11.2011, Az. 21 O 80/11)

mTAN„Denn allein die schlichte Lektüre der mit der TAN versandten SMS hätte hier den Missbrauch offenbart. Einen Abgleich der mit der TAN übermittelten Daten und dem von Geschäftsführer der Klägerin tatsächlich Gewollten wäre diesem auch ohne weiteres zumutbar gewesen“ (LG Köln, Urteil vom 26.08.2014, Az. 3 O 390/13)

TAN-Generator„Wird ein Bankkunde im Rahmen eines sog. Phishing-Angriffs aufgefordert, eine Transaktionsnummer (TAN) für das Online-Banking durch Eingabe von Bestandteilen der Überweisungsdaten zu generieren, während das reguläre Online-Banking-Verfahren hierzu das elektronische Auslesen einer Grafik am Computerbildschirm mittels eines TAN-Generator vorsieht, so handelt er grob fahrlässig, wenn er die so generierte TAN anschließend zur Auslösung einer Überweisung in den Computer eingibt.“ (LG Köln, Urteil vom 07.10.2014, Az. 21 S 5/14, LS)

Ausblick

Haben die Angreifer durch Phishing und Pharming die Daten des Kunden erlangt, werden sie für Überweisungen eingesetzt. Im dritten Teil wird erläutert, wie die Täter Computerbetrug (strafbar gem. § 263a StGB) begehen.
Der vierte Teil zeigt, wer den Schaden eines Computerbetrugs mit gephishten Daten hat. Zunächst führt die Bank die betrügerische Überweisung aus und trägt strafrechtlich den Schaden. Der Kunde muss aber anschließend zivilrechtlichen Schadenersatz (§ 675v Abs. 2 BGB) an die Bank zahlen, wenn er grob fahrlässig auf den Phishing-/Pharming-Angriff reagiert hat.