Schaden durch Phishing & Pharming

vermoegensschadenDer vierte Teil der Beitragsserie zum Missbrauch des Online-Banking und dessen strafrechtliche und zivilrechtliche Folgen erklärt, wer den Schaden eines Computerbetrugs mit gephishten Daten hat.

Überweisung mit gephishter TAN

Verschiedene TAN-Verfahren sollen Online-Banking sicher machen. Der Nutzer loggt sich mit einer PIN ein und autorisiert seine Überweisung mit einer TAN. Bemerkt er dabei allerdings einen Phishing-/Pharming-Angriff, muss er den Überweisungsvorgang abbrechen. Fährt er stattdessen fort und gibt seine TAN preis, handelt der Bankkunde grob fahrlässig. Mit den abgephishten Daten können die Angreifer der Banking-Software vortäuschen, der Nutzer autorisiere die Überweisung. Die Täter machen sich wegen Computerbetrug strafbar und zugleich schadenersatzpflichtig – bleiben aber meistens unbekannt.

Schaden der Bank

Nur bei einem autorisierten Zahlungsvorgang hat die Bank einen Aufwendungsersatzanspruch gegen den Kunden (§§ 670, 675c BGB). Wenn die Bank einen nicht autorisierten Zahlungsvorgang ausführt,  ist sie umgekehrt verpflichtet, dem Kunden den Zahlungsbetrag zu erstatten (§ 675u S. 2 BGB). Eine Überweisung mit gephishter TAN ist nicht vom Kontoinhaber autorisiert. Die Bank hat keinen Anspruch gegen den Kunden, sondern muss ihm den überwiesenen Betrag erstatten. Damit ist die Bank die Geschädigte des Computerbetrugs.

Schadenersatzanspruch der Bank

Den Schaden kann sie jedoch später wieder ausgleichen, indem sie vom Kunden Schadenersatz wegen grob fahrlässiger Weitergabe der Daten verlangt (§675v Abs. 2 BGB). Hat der Bankkunde bestimmte Verdachtsmomente nicht erkannt, wird er zivilrechtlich für die (fehlende) Abwehr von falschen Überweisungen verantwortlich gemacht.

Schadenersatzanspruch des Bankkunden

Theoretisch hat der Bankkunde auch einen Schadenersatzanspruch gegen die Betrüger. Die Täter des Computerbetrugs schalten jedoch Strohmänner dazwischen, die die Überweisung empfangen und den Geldbetrag abheben (sog. Finanzagenten). Auf diese Weise bleiben die Haupttäter unbekannt. So werden sie weder bestraft noch müssen sie das Geld zurückzahlen.

In aller Regel werden nur die Strohmänner wegen Beihilfe zum Computerbetrug oder Geldwäsche belangt. Dem Bankkunden bleibt die Möglichkeit, vom verurteilten Finanzagenten Schadenersatz zu verlangen (§ 823 Abs. 2 BGB i.V.m. § 261 Abs. 2, 5 StGB), wenn der Finanzagent

  • das Geld aufgrund eines Computerbetrugs des Haupttäters erhalten hat (sog. Vortat)
  • das Geld leichtfertig an eine unbekannte Person im Ausland transferiert hat (Geldwäsche)
  • beim Kontoinhaber einen Vermögensschaden verursacht hat, den der Kontoinhaber nicht mitverschuldet hat

(LG Köln, Urteil vom 05. 12.2007, Az. 9 S 195/07)

Auswirkung auf die strafrechtliche Bewertung

Die spätere zivilrechtliche Regulierung ändert jedoch nichts daran, dass strafrechtlich allein die Bank als Geschädigte anzusehen ist.

Ein strafrechtlicher Vermögensschaden liegt vor, wenn das Vermögen nach der schädigenden Verfügung (hier die Überweisung an den Finanzagenten) geringer ist als vorher. Kein Vermögensschaden liegt vor, wenn die Minderung durch einen unmittelbaren Zuwachs kompensiert wird. Unmittelbar bedeutet, dass die Vermögensverfügung selbst Vorteil und Nachteil zugleich hervorbringt. Eine Kompensation scheidet aus, wenn sich die Vermögensmehrung nicht aus der Verfügung selbst ergibt, sondern durch eine andere, rechtlich selbständige Handlung (hier den zivilrechtlichen Ausgleich) hervorgebracht wird.

Die kontoführende Bank trägt den Schaden des Computerbetrugs, weil sie bei einem nicht autorisierten Zahlungsvorgang keinen Aufwendungsersatzanspruch gegen ihren Kunden hat. Das Buchgeld ist auf ein anderes Konto übertragen und das Vermögen der Bank gemindert, ohne dass sie zugleich einen kompensierender Anspruch hat. Der mögliche Schadenersatzanspruch gegen den Kunden ist hingegen nicht geeignet, den entstandenen Verlust unmittelbar zu kompensieren. Er muss eigenständig geltend gemacht werden und besteht nur, wenn der Kunde die missbräuchliche Verwendung seiner Zugangsdaten grob fahrlässig ermöglicht hat.