0221 1680 650 0221 1680 6599 kanzlei@stader-law.de
Durch die Nutzung dieser Website erklären Sie sich damit einverstanden, dass wir Cookies verwenden, um die Benutzerfreundlichkeit unserer Website zu verbessern. Weiterlesen …

Missbrauch im Online-Banking – Ansprüche des Kunden gegen die Bank

Nach dem aktuellen Cybercrime-Lagebericht des Bundeskriminalamtes wurden im Jahr 2016 über 2000 Fälle des Missbrauchs von Online-Banking-Zugängen zur Anzeige gebracht. Im Durchschnitt ist den Bankkunden pro Fall ein Schaden von € 4.000,- entstanden. Der Gesamtschaden im Jahr 2016 belief sich auf 8,7 Mio Euro. Für das Risiko eines Missbrauchs des Online-Bankings haftet grundsätzlich die Bank selbst. Wir helfen Bankkunden, ihre Ansprüche gegen die Bank durchzusetzen.

Online-Banking

Formen des Missbrauchs

Die häufigste Form des Missbrauchs beim Online-Banking ist das sog. „Phishing“. Beim Phishing werden regelmäßig sog. „Trojanische Pferde“ auf dem Computer des betroffenen Bankkunden installiert. Diese sind speziell auf den deutschen Bankensektor ausgerichtet und verfügen über das technische Potenzial, sowohl das iTan- (bspw. Tan-Liste) als auch das mTan-Verfahren (bspw. smsTan) mittels einer sog. Echtzeitmanipulation erfolgreich anzugreifen.

Die Manipulation kann durch unbemerkten Zugriff auf die Internetkommunikation erfolgen, indem sich der Täter durch technische Hilfsmittel gegenüber dem Kunden als Bank und gegenüber der Bank als Kunde ausgibt (sog. Man-In-The-Middle-Angriff).

Auch kommt es vor, dass die Täter den Computer des Bankkunden durch einen Trojaner innerhalb des Webbrowsers so manipulieren, dass andere Informationen an die Bank weitergegeben werden (bspw. ein anderer Zahlungsempfänger und ein anderer Überweisungsbetrag), als sie vom Nutzer eingegeben wurden (sog. Man-In-The-Browser-Angriff).

Manipulation durch Social Engineering

Eine weitere Form des Missbrauchs liegt in dem sog. Social Engineering. Bei diese Form werden keine technischen Hilfsmittel verwendet, um an die notwendigen Informationen zu kommen. Vielmehr treten die Täter unter einem Vorwand an die Kunden (häufig per E-Mail) heran und fordern die Kunden auf, die vertraulichen Informationen freiwillig preiszugeben. Dies erfolgt oftmals unter rechtswidriger Verwendung eines bekannten Firmen- oder Behördenlogos, um bei dem Kunden ein Pflichtgefühl zur Preisgabe seiner Informationen zu erwecken.

Zu beachten ist jedoch, dass Banken auf Ihrer Webseite regelmäßig darauf hinweisen, dass sie niemals die persönlichen Daten abfragen. Wer die Daten gleichwohl preisgibt muss sich ggf. grobe Fahrlässigkeit zur Last legen lassen.

Ansprüche des Kunden gegen die Täter

Die betroffenen Bankkunden haben zunächst stets einen Anspruch gegen die Täter. Dieser ist jedoch meistens wertlos, da die Täter entweder nicht ermittelt werden können oder nicht solvent sind.

Ansprüche des Kunden gegen die Bank

Für den Bankkunden sind daher ausschließlich seine Ansprüche gegen die kontoführende Bank von Bedeutung. Die Bank haftet grundsätzlich für nicht autorisierte Zahlungsvorgänge. Sie hat keinen Anspruch auf Erstattung des Betrages durch den Kunden. Vielmehr ist sie verpflichtet, den abgebuchten Betrag dem Bankkunden wieder gutzuschreiben.

Haftung der Bank kann ausgeschlossen sein

Die Haftung der Bank kann aber ausgeschlossen sein, wenn die Überweisung von dem Bankkunden autorisiert wurde, wobei die Art und Weise der Autorisierung zwischen Bank und Kunde vertraglich geregelt sein muss. Es kann vereinbart werden, dass die Autorisierung mittels eines sog. „Zahlungsauthentifizierungsinstruments“ erteilt werden kann. Beim Online-Banking erfolgt diese Zahlungsauthentifizierung durch Eingabe von PIN und TAN.

Hat ein Dritter rechtswidrig die Überweisung durch eine Phishing-Attacke veranlasst, fehlt es an einer solchen Autorisierung.

Nachweis der Autorisierung

Die Frage nach der Autorisierung ist oftmals ein wesentlicher Streitpunkt in den Prozessen gegen die Bank. Nach aktueller Rechtsprechung des BGH muss die Bank zunächst beweisen, dass die Authentifizierung sowie die ordnungsgemäße Aufzeichnung, Verbuchung und störungsfreie, keine Auffälligkeiten aufweisende technische Abwicklung des Überweisungsvorgangs erfolgt ist. Unter Authentifizierung versteht das Gesetz die Nutzung des vereinbarten Online-Banking-Verfahrens unter Beachtung der personalisierten Sicherheitsmerkmale. Kann die Bank die störungsfreie Durchführung der Überweisung nicht nachweisen, bleibt die Haftung bestehen.

In der Regel wird die Bank durch die automatisch erstellten Protokolle nachweisen können, dass das Überweisungsverfahren ordnungsgemäß durchgeführt wurde, da beim Phishing nicht der Überweisungsprozess als solcher manipuliert wird, sondern die eingegebenen Daten des Kunden verändert werden oder eine Überweisung mit unrechtmäßig erlangten Daten des Kunden ausgeführt wird.

Anscheinsbeweis zugunsten der Bank

Der Nachweis der Authentifizierung des Zahlungsvorgangs genügt für die Bank aber nicht, um eine Haftung auszuschließen. Die Bank muss auch beweisen, dass das verwendete Online-Banking-Verfahren gegen Zugriffe wie Phishing oder dergleichen sicher ist.

Nach der aktuellen Rechtsprechung des BGH (Urt. v. 26.01.2016, XI ZR 91/14) muss die Bank hierfür nachweisen, dass das vereinbarte Verfahren „praktisch sicher“ ist und „die Einhaltung des Sicherheitsverfahrens im konkreten Einzelfall“ auch erfolgt ist. Nur dann kann sich die Bank auf einen sog. Beweis des ersten Anscheins berufen. Dieser führt dazu, dass die Bank nicht mehr beweisen muss, dass wirklich die berechtigte Person die Überweisung ausgeführt hat.

Die Voraussetzungen für diesen Anscheinsbeweis grenzt der BGH weiter dahingehend ein, dass die Bank den Nachweis erbringen muss, dass es sich bei ihrem Online-Banking-Verfahren um ein „praktisch nicht zu überwindendes und um konkreten Einzelfall ordnungsgemäß angewendetes und fehlerfrei funktionierendes Sicherheitssystem“ handelt. Eine solche praktische Unüberwindbarkeit liegt nach dem Cyberkriminalitätsbericht des Bundeskriminalamtes weder bei Tan-Listen, noch beim smsTan-Verfahren vor.

Kunde kann Anscheinsbeweis erschüttern

Selbst wenn es der Bank gelingt, einen solchen Nachweis der „praktischen Unüberwindbarkeit“ zu führen, kann der Kunde diesen Anscheinsbeweis widerlegen. Hierzu kann der Bankkunde alle plausiblen Umstände vortragen und beweisen, die eine Autorisierung der Zahlung durch ihn selbst widerlegen. Der Kunde muss nach der Rechtsprechung des BGH nicht beweisen, dass er Opfer einer Phishing-Attacke geworden ist. Er kann sich auch auf außerhalb des Sicherheitssystems der Bank beruhenden Indizien berufen.

Bankkunde haftet bei Vorsatz oder grober Fahrlässigkeit

Hat der Bankkunde die unautorisierte Überweisung durch grobe Fahrlässigkeit verschuldet, oder diese gar vorsätzlich herbeigeführt, haftet nur der Kunde für den Missbrauch seines Online-Bankings. Er ist der Bank in diesem Fall zum Schadensersatz verpflichtet. Die Beweislast für das Vorliegen der groben Fahrlässigkeit trägt die Bank. Auf einen Anscheinsbeweis kann sich die Bank nach der aktuellen Rechtsprechung des BGH nicht berufen.

Beispiele für grobe Fahrlässigkeit im Umgang mit den pesönlichen Daten i#m Online-Banking sind:

  • Offenbarung der Online-Banking-Daten aufgrund einer betrügerischen E-Mail (OLG Hamm, Besch. v. 16.03.2018, I-31 U 31/15; LG Essen, Urt. v. 04.12.2014, 6 O 339/14).

  • Keine Installation von Antivirusprogrammen auf dem infizierten PC, wobei die Tatsache, dass der PC mit einem Trojaner befallen ist keinen Indiz dafür darstellt, dass auf diesem kein Virenschutzprogramm installiert war. Die Bank muss aktiv beweisen, dass der PC über kein Antivirusprogramm verfügte (vgl. LG Oldenburg, Urt. v. 15.01.2016, 8 O 1454/15).

  • Keine Installation einer Firewall

  • Lascher Umgang mit Passwörtern und TAN-Listen (bspw. schutzlose Speicherung auf der Festplatte des PC oder im Mobiltelefon)

Ihr Ansprechpartner im Bank- & Kapitalmarktrecht

David Stader

Rechtsanwalt | Fachanwalt f. Bank- & Kapitalmarktrecht | Honoraranwalt der Verbraucherzentrale NRW
0221 1680 650

Rückruf vereinbaren

Sie haben eine Frage zu diesem Thema? Unsere Rechtsanwälte rufen Sie zurück. Kostenlos und unverbindlich.

© Stader Rechtsanwälte GbR. Alle Rechte vorbehalten.

Kostenloses Infomaterial

Unsere Kanzlei stellt Rechtssuchenden laufend hochwertige Informationsmaterialien und Broschüren kostenlos zur Verfügung. Gerne senden wir auch Ihnen unsere Informationsbroschüren zu aktuellen Themen kostenlos per Post zu.