Haftung der Bank bei Dummheit? Betrug beim Online-Banking

Keine Bank fordert Sie per Link in einer E-Mail dazu auf, Ihre Kontodaten, Zugangsdaten zum Online-Banking oder TANs auf einer Webseite einzugeben. Wenn Sie durch so einen Link oder durch einen Trojaner in einem E-Mail-Anhang Ihre Daten vom Online-Banking preisgegeben haben und Ihnen Geld vom Konto gestohlen wurde, haftet dann Ihre Bank für den Schaden?

Dummes, grob fahrlässiges Verhalten beim Online-Banking? Dann keine Haftung.

Wenn Sie nicht besonders gut aufgepasst haben, sondern sich dumm anstellten, dann haftet Ihre Bank nicht für den Phishing- oder Pharming-Angriff. Eine Erstattung der Schadenssumme durch die Bank ist nach § 675u Satz 2 des Bürgerlichen Gesetzbuchs BGB möglich, wenn Sie nach § 675v Absatz 3 Nr. 2 BGB Ihre Sorgfaltspflichten nicht grob fahrlässig verletzt haben.

Sie handeln grob fahrlässig, wenn Ihnen Ihre Dummheit hätte bewusst werden müssen, sich also Ihr Fehlverhalten klar zeigte, Ihnen sogar hätte aufdrängen müssen.

Pin vom Telefonbanking herausgegeben

Solche E-Mails können Sie nicht nur als Kunde der Postbank, Deutscher Bank, Commerzbank, eBay, Amazon und PayPal erhalten. Und mit einigermaßen Erfahrung im Umgang mit E-Mails und Internet-Betrug sollten Sie wissen, dass dies ein Angriff auf Ihr Guthaben, Ihr Geld ist.

Sie können dann lesen, dass auf Ihrem Konto ein versuchter Fremdzugriff entdeckt wurde, und dieser durch ein sensibles Sicherheitssystem erfolgreich gestoppt werden konnte. Ihr Konto wurde laut dieser Nachricht vorrübergehend eingeschränkt. Wenn Sie die Einschränkung, Limitierung aufheben lassen wollen, müssen Sie sich unter der folgenden Internetadresse https://IhreBank.de/…/… mit Ihren Zugangsdaten zum Online-Banking oder Online-Shop identifizieren. Wenn Sie dies nicht bis zum [Datum] durchführen, wird Ihr Konto dauerhaft gesperrt.

In einem konkreten Fall bei einer Klage gegen die Bank auf Schadensersatz, bei dem das Landgericht LG Essen die Klage abgewiesen hat, und das Oberlandesgericht OLG Hamm die Haftung der Bank verneinte, öffnete sich beim Klick auf den Phishing-Link eine Eingabemaske, wo ein Kunde seine Kontonummer, Bankleitzahl und die Pin des Telefonbankings eingegeben hat.

Die Diebe riefen fast einen Monat darauf hin bei der Bank an, gaben die richtigen Kontodaten und die herausgegebene Telefonbanking-PIN an und begangen einen Diebstahl über 7200 Euro. Der Kunde verklagte seine Bank auf Schadensersatz und verlor. Das Gericht betonte, dass ein durchschnittlicher Bankkunde der Online-Banking benutzt wissen muss, dass es solche Phishing-E-Mails gibt und dass Banken niemals per E-Mails nach den Zugangsdaten zum Konto fragen.

Kundin gibt per SMS erhaltene TAN an Betrüger weiter

Eine Kundin hat einen Betrüger am Telefon und soll die letzte Zahl aus der SMS mitteilen, die gleich auf ihr Handy kommen wird. In der SMS stand: „Die mobile Tan für Ihre Überweisung von 4444,44 Euro auf das Konto mit BIC … lautet 253844“.

Wie kann man nur so blöd sein? Die Kundin nutzt das Mobile-Tan-Verfahren, also jedes Mal, wenn sie online Geld überweist, erhält sie eine solche SMS und muss dann im Internet auf der Bankenwebseite diese TAN eingeben. Die Summe, die Kontonummer und Bankleitzahl wo das Geld hingehen soll, muss sie mit dem Empfänger wo sie das Geld hinüberweisen wollte vergleichen.

In der SMS steht alles drin und da sie sich für die mTAN angemeldet hat, wird sie es auch schon öfters genutzt haben. Natürlich gibt es Menschen, die das nicht mehr überblicken können. Dann muss man sich dafür aber auch nicht anmelden, bzw. sich bei fortschreitender Demenz wieder abmelden (oder die Angehörigen).

Die Frau hatte Ihren Namen, die Kontonummer, Bankleitzahl und Ihre Telefonnummer vorher auf einer Webseite eingegeben. Auf diese kam sie durch einen Link in einer E-Mail, zur Umstellung ihres Online-Banking-Zugangs auf SEPA, ohne ihr Zugang bald gesperrt würde. Danach riefen sie die Betrüger an.

Schadensersatz wollte sie von der Bank haben, aber auch das Amtsgericht AG München wies die Klage gegen die Bank ab, da die Weitergabe einer TAN am Telefon grob fahrlässig ist. Ich halte das bei dem eindeutigen Text in der SMS für einen Fall für eine Zwangsbetreuung durch einen gerichtlich bestellten Vormund.

Auch die Berufung vor dem Landgericht LG München I wurde zurückgewiesen. Die SMS sagt klar aus, dass jetzt Geld überwiesen werden soll und dass die dafür notwendige mobile TAN auf das Telefon gesendet wurde.

120 TANs auf Trojaner Webseite eingegeben

Ein Bankkunde fing sich einen Trojaner auf seinem Computer ein. Dadurch konnte die Bankwebseite manipuliert werden, wenn er diese von seinem Computer aus aufgerufen hat. Er wurde daraufhin bei einem Onlinebesuch seiner Bank aufgefordert eine Liste von 120 TAN-Nummern vorab einzugeben.

Die Diebe, die den Trojaner benutzten, überwiesen mit diesen gestohlenen TANs insgesamt dreimal Geld vom Bankkunden auf ihre eigenen Konten. Die Schadenshöhe betrug allerdings „nur“ 770 Euro. Das Landgericht LG Düsseldorf entschied, dass die Bank den nicht für den Schaden haften muss. Denn einfach 120 TAN-Nummern einzugeben ist grob fahrlässig.

Bloß weil eine Webseite das von einem verlangt, muss man doch nicht sein Gehirn ausschalten. Eine TAN für eine Überweisung etc. Warum sollte meine Bank von mir verlangen, 120 TANs auf ihrer Webseite einzugeben?

Kleine ungewöhnliche Veränderungen sind schwer zu entdecken

Nach den ganzen (grob) fahrlässigen Fällen, gibt es aber auch sehr unauffällige, eher kleine Veränderungen, auf die man leider auch achten muss. Wenn man zum Beispiel die Webseite sparkasse.de aufrufen möchte, muss man darauf achten, nicht sparkasse.finanso.de aufzurufen. Denn dann ist man auf eine Unterseite, die auf finanso.de angelegt wurde. Alle modernen Browser heben die tatsächliche Webadresse, die man besucht: sparkasse.de oder finanso.de extra hervor.

Eine grobe Überprüfung der Verschlüsselung der Webseite bringt nichts. Wenn ein grünes Schloss zu sehen ist, bedeutet das nur, dass die aufgerufene Webseite verschlüsselt ist. Dadurch ist die Übertragung der Daten von Ihrem Rechner auf die besuchte Webseite geschützt. Mehr nicht. Auch Abzocker-Webseiten können und werden verschlüsselt übertragen.

Sie müssen auf das grüne Schloss klicken und genau nachschauen, ob im Zertifikatenamen der Namen Ihrer Bank auftaucht. Dann können Sie sicher sein, dass Sie wirklich mit sparkasse.de kommunizieren.

Dies hätte man vielleicht auch im letzten Beispiel beachten können: Ein Bankkunde hat die vermeintlich richte Webadresse seiner Bank aufgerufen und wurde durch eine nachgebildete Eingabemaske für TAN-Nummer aufgefordert eine TAN einzugeben. Die Täter überwiesen sich mit dieser TAN 9352 Euro auf eine schottische Bank.

Das Landgericht LG Köln und die Berufungsinstanz entschieden, dass die Bank nicht für den Schaden haften muss. Der Bankkunde handelte grob fahrlässig, da während des Vorgangs des Onlinebankings einige ungewöhnliche Veränderungen und Probleme aufgetreten sind. Der Anmeldevorgang wurde dreimal mit einer ungewöhnlichen Fehlermeldung abgebrochen. Sofort danach wurde der Bankkunde zur Eingabe einer TAN aufgefordert, obwohl er noch gar keine Überweisung online eingegeben hat.

Wieso gehen Sie nicht zur Sparkassenfiliale oder kaufen im Laden?

Falls Sie sich nicht mehr in der Lage sehen, solche plumpen Betrügereien zu erkennen, sollten Sie jemand aus der Familie um Hilfe fragen, oder Ihre Bankgeschäfte bei der Sparkassenfiliale um die Ecke erledigen und in einen Laden zum Einkaufen gehen.

Das wenige Geld was Sie dort vielleicht mehr an Bankgebühren oder beim Kaufpreis bezahlen, können Sie als Versicherungsbeitrag gegen Internet-Betrug verbuchen. Wenn für so grob fahrlässig handelnde, eigentlich in meinen Augen schon dumme Leute, jedes Mal die Bank den Schaden durch den Diebstahl bezahlt, wird das auf alle anderen Kunden als Kosten und Gebühren umgelegt.

Also warum sollen alle Bank- und Sparkassenkunden den Schaden für Menschen bezahlen, die durch Online-Banking und online Einkaufen Geld sparen wollen, aber geistig dazu nicht (mehr) in der Lage sind? Ich selbst kenne viele Menschen, welche die Gefahren nicht erkennen und darauf hereinfallen würden, nur sie nutzen das deshalb auch nicht.

Literatur:

Diplom-Betriebswirt (FH) André Fiebig