Aktuelles Urteil zu Phishing-Angriff – Bank unterliegt!


In dem Urteil findet das Landgericht deutliche Worte für die Beweislastverteilung bei unautorisierten Überweisungen vom Konto.

Hintergrund der gerichtlichen Entscheidung war ein Angriff auf das Konto des Klägers unter Verwendung des smsTAN-Verfahrens bei Onlinebanking. Es wurde ein Betrag von über 25.000,00 Euro an unbekannte Empfänger gezahlt. Das Geld war nicht zurückzuerlangen, da sofort nach Eingang des Geldes, die Empfänger über die Summen verfügt hatten. Die Sparkasse verweigerte die Rückbuchung der Kontobelastungen. Es kam zu einem gerichtlichen Verfahren vor dem Landgericht Kiel, das wir für unseren Mandanten erfolgreich abschließen konnten.

In den Entscheidungsgründen stellt das Gericht zunächst klar, dass bei unautorisierten Überweisungen, wenn das Handy nicht gestohlen wurde oder ansonsten Zugangscodes abhandengekommen sind, die Zahlungsvorgänge nicht auf der Nutzung eines verloren gegangenen, gestohlenen oder sonst abhandengekommenen Zahlungsauthentifizierungsinstrument beruhen. Streitig ist nach Auffassung des Gerichts dabei auch, ob das Mobiltelefon im smsTAN-Verfahren als solches ein Zahlungsauthentifizierungsinstrument ist oder nur der Einsatz auf diese Weise erhaltener Transaktionsnummern. Im vorliegenden Fall war dem Kläger aber weder sein Mobiltelefon noch seine SIM-Karte verloren gegangen, gestohlen oder sonst abhandengekommen. Vermutlich hatte ein Unbekannter eine weitere SIM-Karte sich illegal beschafft.

In diesem Zusammenhang hatte die Bank argumentiert, dass eine wahrgenommene Störung der SIM-Karte dem Kläger oder Nutzer des Mobiltelefons hätte zu weiteren Maßnahmen veranlassen müssen. Dieser Anforderung erteilte das Gericht eine deutliche Abfuhr. Es ist dem Nutzer eines Mobiltelefons nicht zumutbar, jede Funktionsstörung sämtlicher Anbieter der über das Mobiltelefon zugänglichen Dienste melden zu müssen, zumal Funktionsstörungen vielfältige technische Ursachen haben können.

Weiterhin konnte im vorliegenden Fall nicht nachgewiesen werden, ob der Kläger die personalisierten Sicherheitsmerkmale unsicher aufbewahrt hat. Die pure Behauptung, ohne weiteren Nachweis, lies das Gericht nicht genügen. Es gäbe keinen entsprechenden Erfahrungssatz, dass bei unberechtigten Zugriffen immer die PIN nicht sicher aufbewahrt worden sei. Auch bei Anwendung der zumutbaren Sorgfalt ist ein unbefugter Zugriff auf personalisierte Sicherheitsmerkmale erfahrungsgemäß nicht auszuschließen. Beispielsweise können Nutzerangaben, wie die Eingabe eines PIN-Codes mithilfe von Schadsoftware abgefangen werden. Hierbei bezog sich das Gericht ausdrücklich auf Veröffentlichungen des BSI zu Cybercrime-Angriffen. Auch durch öffnen von E-Mails aus scheinbar vertrauenswürdiger Quelle, kann eine unbemerkte Infektion mit Schadsoftware erfolgen, ohne dass dem Anwender und Bankkunden daraus ein Vorwurf zu machen ist. Selbst aktuelle Virenschutzprogramme bieten stets nur gegen einen Teil der vorhandenen Schadprogramme Schutz, wie das Gericht richtig feststellt.

Anhaltspunkte für eine Umkehr der Beweislast sah das Gericht ebenfalls nicht, sodass nicht von einer unsicheren Aufbewahrung der PIN auszugehen ist.

Auch sehr deutlich betont das Gericht, dass einem Zahlungsdienstleister und einer Sparkasse es zumutbar ist, das verbleibende Restrisiko der Unaufklärbarkeit der Schadensursache zu tragen. Wörtlich heißt es in dem Urteil:

Denn ein gewerbliches Geschäftsmodell des Angebots von Zahlungsdiensten über das Internet ist untrennbar mit einem gewissen Verlustrisiko verbunden, welches einzukalkulieren ist.“

Auch konnte die Sparkasse dem Kläger nicht eine vorsätzliche oder grob fahrlässige Verletzung seiner Pflichten nachweisen. Hier hat es die Bank im gerichtlichen Vortrag stets bei Behauptungen belassen. Dies genügte dem Gericht nicht. Es gibt auch nach Auffassung des Gerichts keinen Erfahrungssatz, wonach bei einem Missbrauch des Onlinebankings bereits eine korrekte Aufzeichnung der Nutzung eines Zahlungsauthentifizierungsinstruments und die beanstandungsfreie Prüfung der Authentifizierung für eine grob fahrlässige Pflichtverletzung des Zahlungsdienstnutzers sprechen. So hatte die Bank im Gerichtsverfahren argumentiert.

Streitig war zwischen den Parteien auch, ob rechtmäßig die Allgemeinen Geschäftsbedingungen zum Onlinebanking Vertragsbestandteil geworden sind. Dies spielte aber im weiteren Verlauf eine untergeordnete Rolle, da die zentralen Tatbestandsvoraussetzungen für eine grobe Fahrlässigkeit oder einen Vorsatz des Bankkunden nicht nachgewiesen werden konnten.

Insgesamt hat das Gericht die Verantwortlichkeiten, auch im Sinne der bisherigen Rechtsprechung, deutlich positioniert und klargestellt, dass bei Phishing-Angriffen nicht der Bankkunde sich durch verschiedene Beweise entlasten muss, sondern die Bank entsprechende Nachweise für Rechtsverstöße in einem Zivilprozess erbringen muss.

Wir beraten gern bundesweit Betroffene, denen Geld vom Konto gestohlen wurde und verfügen über langjährige Erfahrung in solchen Fällen.

 

1 Star2 Stars3 Stars4 Stars5 Stars 2 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Unsere weiteren News und Berichte über Phishing

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Kontakt

RECHT FREUNDLICH
Feil Rechtsanwaltsgesellschaft mbH
Döhrbruch 62
30559 Hannover

Formular