Individuelle Beratung durch Fachanwalt für Bankrecht
Betrug im Online Banking - Rechte des Bankkunden
Die zunehmende Digitalisierung des Alltags führt auch zu einer Vermehrung von Missbrauchsfällen. Banken und Sparkassen weisen Ansprüche von Kunden im Falle eines Missbrauchs häufig zurück. Wir helfen Bankkunden, ihre Ansprüche gegen die Bank durchzusetzen.
Kostenlose Erstberatung
Fachanwalt für Bankrecht
Geprüfte fachliche Qualifikation im Bankrecht
Erfahrene Prozessanwälte
Mehr als 570 Gerichtsverfahren gegen Banken
Bank haftet für Betrug im Online Banking
Bei einem Betrug im Online Banking (bspw. Überweisungsbetrug oder mit Zahlungsdiensten) haftet grundsätzlich die Bank. Nur wenn die Bank dem Kunden eine grob fahrlässige Verletzung der Pflichten im Zusammenhang mit dem Online Banking nachweisen kann, scheidet eine Haftung der Bank aus.
Obwohl das Gesetz die Haftung für einen Überweisungsbetrug grundsätzlich der Bank zuweist, kommt es zwischen der Bank und dem Kunden oftmals zu Streit um die Fragen, wer die Überweisung oder die Zahlung autorisiert hat und ob dem Bankkunden der Vorwurf eines grob fahrlässigen Umgangs mit den Sicherheitsmerkmalen des Online Bankings gemacht werden kann.
David Stader
Rechtsanwalt | Fachanwalt für Bank- & Kapitalmarktrecht
Unverbindliche Erstberatung
Die Erstberatung zu dem Thema Missbrauch Onlinebanking ist kostenlos und unverbindlich. Nutzen Sie gerne unser kostenloses Erstberatungsangebot und lassen Sie Ihr Anliegen rechtlich durch unsere spezialisierten Rechtsanwälte prüfen.
Geprüfte Expertise
RA David Stader wurde neben der Erlaubnis zur Führung des Fachanwaltstitels "Bank- & Kapitalmarktrecht" auch das Zertifikat "Qualität durch Fortbildung" der Bundesrechtsanwaltskammer verliehen.
Unautorisierte Verfügung
Ausgangspunkt für die verschuldensunabhängige Haftung der Bank für einen Betrug des Online Bankings ist eine unautorisierte Verfügung. Der Überweisungsauftrag oder die Online Zahlung darf nicht von dem Kontoinhaber genehmigt worden sein. Wie die Autorisierung erfolgt, wird von den Banken unterschiedlich gehandhabt. Seit der Umsetzung der PSD2-Richtlinie ist es gesetzlich vorgeschrieben, dass die Verfügung durch eine 2-Faktor-Authentifizierung (sog. starke Kundenauthentifizierung) erfolgen muss. Diese setzt stets ein Wissenselement voraus (bspw. eine PIN, oder eine Kombination aus PIN und Benutzerkennung). Der zweite Faktor muss ein Besitzelement (bspw. Smarthphone oder TAN-Generator) oder ein Inhärenzelement (bspw. Fingerabdruckerkennung, Gesichtserkennung) sein.
Beweislast für die Verfügung
Wer die Verfügung mittels der 2-Faktor-Authentifizierung ausgelöst hat, ist weder für den Kunden, noch für die Bank leicht zu beweisen. Die Beweislast trägt zunächst die Bank. Die Beweislast kann aber auf den Kunden übergehen, wenn zugunsten der Bank ein Anscheinsbeweis für die Autorisierung durch den Kunden eingreift. Dieser kommt nach der Rechtsprechung des BGH nur in Betracht, wenn die Bank darlegen und beweisen kann, dass das verwendete Authentifizierungsverfahren praktisch unüberwindbar ist. Ob dies der Fall ist, muss im Einzelfall von der Bank bewiesen werden. Im smsTAN-Verfahren (auch mobileTAN oder mTAN genannt) kann eine praktische Unüberwindbarkeit nach unserer Ansicht aufgrund der unverschlüsselten Versendung von SMS und der Möglichkeit SMS-Nachrichten abzufangen, nicht angenommen werden.
Einwand grober Fahrlässigkeit des Kunden
Neben der Frage der Autorisierung steht oftmals in Streit, ob der Kunde im Umgang mit den Sicherheitsmerkmalen des Online-Bankings (bspw. PIN, TAN) grob Fahrlässig gehandelt hat. Oftmals geht den Überweisungen ein Phishing Angriff der Täter voraus, den die Bank als Anknüpfungspunkt für den Vorwurf der groben Fahrlässigkeit macht. Die Anforderungen an eine grobe Fahrlässigkeit sind hoch. Der BGH verlangt hierfür einen "in objektiver Hinsicht schweren und in subjektiver Hinsicht schlechthin unentschuldbaren Verstoß gegen die Anforderungen der Nutzung" des Online-Bankings. Es kommt also stets auch auf die individuellen Kenntnisse und Fähigkeiten des Bankkunden mit modernen Kommunikationsmedien an.
Der Einwand grober Fahrlässigkeit ist aber grds. ausgeschlossen, wenn die Bank für die Autorisierung von Zahlungen keine starke Kundenauthentifizierung (= 2-Faktor-Autorisierung) verlangt. Ob das smsTAN-Verfahren grds. die Voraussetzungen einer starken Kundenauthentifizierung erfüllt, ist umstritten. Einige Banken haben dieses Verfahren daher bereits eingestellt.
Kein Anscheinsbeweis für grobe Fahrlässigkeit
Die Beweislast für das Vorliegen der groben Fahrlässigkeit trägt die Bank. Anders als in EC-Karten-Fällen gibt es beim Online Banking keinen Anscheinsbeweis für eine grobe Fahrlässigkeit des Kunden. Gelingt der Bank der Beweis nicht, muss sie die unautorisierten Beträge dem Kunden erstatten.
Erstberatung
Im Thema Missbrauch Onlinebanking bieten wir eine kostenlose und unverbindliche Erstberatung durch unsere spezialisierten Rechtsanwälte an. Nutzen Sie unser Angebot.
Erstberatung mit Fachanwalt
Besprechen Sie das Thema Missbrauch Onlinebanking mit einem Anwalt.
Formen des Betrugs
Die Form des Betrugs beim Online-Banking sind vielfältig und entwickeln sich stetig weiter. Bei den nachfolgend dargestellten Methoden handelt es sich um die häufigsten Formen des Betrugs beim Online-Banking.
Phishing
Beim Phishing versuchen die Täter sich über täuschend echt gefälschte Webseiten, E-Mails oder SMS als Bank auszugeben und den Kunden zur Preisgabe der Authentifizierungsmerkmale (Benutzerkennung, PIN, TAN) zu bewegen. Mit den sodann erbeuteten Daten loggen sich die Täter in das echte Online-Banking ein und tätigen Überweisungen oder kapern den ganzen Zugang.
Social Engineering
Beim Social Engineering werden keine technischen Hilfsmittel verwendet, um an die notwendigen Informationen zu kommen. Vielmehr treten die Täter unter einem Vorwand an die Kunden (häufig per E-Mail oder Telefon) heran und fordern die Kunden auf, die vertraulichen Informationen freiwillig preiszugeben. Oft ist dem Social-Engineering-Angriff ein Phishing-Angriff vorausgegangen, sodass die Täter bereits im Besitz von sensiblen Informationen des Kunden sind. In aktuellen Fällen gaben sich Täter als Bankmitarbeiter aus und täuschten durch ein sog. "Spoofing" die Telefonnummer der Bank vor, um den Kunden zu suggerieren, dass sie wirklich mit ihrer Bank telefonierten. Sodann veranlassten die Täter die Kunden dazu, die von ihnen ausgelösten TANs preiszugeben, mit denen Überweisungen ausgeführt oder das Online Banking vollständig gekapert wurde.
Man-in-the-Middle-Angriff
Beim Man-in-the-Middle-Angriff wird das digitale Endgerät des Kunden durch Schadsoftware infiziert. Diese späht sodann das Passwort für das Online Banking aus und leitet den Bankkunden beim Aufruf der Webseite auf eine gefälschte Seite der Täter um. Gleichzeitig loggen sich die Täter in das echte Online Banking mit den ausgespähten Daten ein und beauftragen eine Überweisung. Gibt der Kunde dann die durch die Täter ausgelöste TAN in die gefälschte Webseite ein, da er meint er würde eine echte Überweisung tätigen, autorisiert der Täter als Mann-in-der-Mitte mit dieser TAN seine eigene Überweisung auf der echten Webseite der Bank.
Zusammenfassung
Wer haftet für einen Betrug im Online Banking?
Grundsätzlich haftet die Bank in Fällen eines Online Banking Betrugs. Etwas anderes gilt nur, wenn dem Kunden im Umgang mit den Sicherheitsmerkmalen des Online Bankings (TAN-Nummern, Zugangsdaten) eine grobe Fahrlässigkeit zur Last gelegt werden kann.
Wer muss die unautorisierte Verfügung beweisen?
Die Beweislast dafür, wer die Autorisierung erteilt hat, trägt die Bank. Ein Anscheinsbeweis dafür, dass die Autorisierung nur vom Kunden erfolgen konnte, ist zwar möglich, aber an hohe Anforderungen geknüpft. Die Bank muss darlegen und beweisen, dass ihr System praktisch unüberwindbar ist, was nach unserer Ansicht beim smsTAN-Verfahren nicht angenommen werden kann.
Wann ist die Haftung der Bank ausgeschlossen?
Die Haftung der Bank für eine unautorisierte Verfügung ist ausgeschlossen, wenn dem Kunden der Vorwurf eines grob fahrlässigen Verhaltens im Zusammenhang mit dem Umgang der Authentifizierungsmerkmale (PIN, TAN) gemacht werden kann. Einen Anscheinsbeweis für die grobe Fahrlässigkeit gibt es nicht. Die Anforderungen an den Nachweis der groben Fahrlässigkeit sind hoch und müssen sowohl in objektiver als auch subjektiver Hinsicht von der Bank dargelegt werden. Die Haftung wegen grober Fahrlässigkeit ist ausgeschlossen, wenn die Bank keine starke Kundenauthentifizierung verlangt.
