Schadensersatz: Was gilt grundsätzlich?
Schadensersatz ist generell dann zu zahlen, wenn jemand einen Schaden erlitten hat, den ein anderer verursachte. Dieser Anspruch auf Schadensersatz kann sich einerseits aus einem Vertragsverhältnis, aber auch aus einem gesetzlichen Schuldverhältnis ergeben.
Bei Vertragsverhältnissen muss ein Vertragspartner Schadensersatz leisten, wenn er beispielsweise durch eine Pflichtverletzung einen Schaden beim Vertragspartner verursacht hat. Gesetzliche Schuldverhältnisse greife dann ein, wenn kein vertragliches Verhältnis besteht und ein Schaden entstanden ist. Beispiel hierfür ist der Verkehrsunfall.
Beim Phishing besteht sowohl ein vertragliches Verhältnis, als auch ein gesetzliches Schuldverhältnis. Schadensersatz kann sich hier aus verschiedenen Möglichkeiten ergeben.
Konto geplündert, dann Schadensersatz?
Das Opfer einer Phishing-Attacke ist der Bankkunde, dessen Konto geplündert wurde. Zur Bank besteht ein Vertragsverhältnis.
Trägt die Bank durch irgendeine Pflichtverletzung eine Schuld oder Mitschuld am Phishing, ist Schadensersatz denkbar. Eine Schuld kann sich daraus ergeben, dass die Bank ein unsicheres TAN-Verfahren empfohlen hat, oder über gewisse Sicherheitsrisiken nicht rechtzeitig informierte.
Zwischen dem Täter (also dem Hacker) des Phishing und dem Opfer besteht kein Vertragsverhältnis. Hier greift das gesetzliche Schuldverhältnis aus unerlaubter Handlung, da es sich um eine vorsätzliche Schädigung handelt.
Auch zwischen dem Täter des Phishing und der Bank kann ein solches gesetzliches Schuldverhältnis greifen. Auch die strafrechtliche Dimension darf nicht unberücksichtigt bleiben.
Schadensersatz ist also auch von Opfer zu Täter, oder von der Bank zum Täter denkbar, wenn etwa die Bank aufgrund des Täters Schadensersatz an das Opfer zahlen muss.
Phishing und Schadensersatz – wer muss zahlen?
Der klassische Phishing-Fall läuft in etwa so ab: Das Opfer tut und weiß nichts, und ist auf einmal mehrere tausend, manchmal mehrere zehntausend Euro ärmer.
Die Bank weigert sich, für den Schaden aufzukommen. Der Täter ist unauffindbar, die Polizei kann nicht weiterhelfen.
Jetzt möchte der Bankkunde von der Bank Schadensersatz, denn irgendwer muss doch für das Phishing aufkommen? Die Bank wiederum stellt sich auf den Standpunkt, keinesfalls schuldig zu sein und verweist auf die eigenen Sicherheitsmaßnahmen des Kunden, beispielsweise ob dessen Computer ausreichend gesichert war, oder ob er auf dubiosen Internetseiten surfte, E-Mail-Anhänge von Fremden öffnete, Anti-Virensoftware installiert hatte etc.
Wie unterschiedlich die Antwort auf die Frage sein kann, ob und inwieweit die Bank bei Phishing Schadensersatz leisten muss, zeigen folgende Links:
http://www.computerbetrug.de/2012/04/bgh-verneint-schadenersatz-fur-phishing-opfer-6198
https://www.der-betrieb.de/meldungen/schadenersatz-bei-phishing-attacke/
Es kommt also sehr auf den Einzelfall an. Die Rechtsprechung ist nicht einheitlich, und bei Summen aufwärts von 10.000 Euro wird wohl jede Bank auch den Gerichtsweg beschreiten, oder es drauf ankommen lassen, dass das Phishing-Opfer tatsächlich Klage auf Schadensersatz erhebt.
Leider müssen Betroffene damit rechnen, dass sie ein unschönes Gerichtsverfahren überstehen müssen, bevor das verlorene Geld zurücküberwiesen wird.
Bank zahlt Schadensersatz nicht – was tun?
Unserer Erfahrung nach zahlen Banken nicht gerade gern nach einer Phishing-Attacke. Klar, sie fühlen sich auch nicht schuldig und unterstellen dem Phishing-Opfer eventuell gar, Teil eines Komplotts zu sein. Schadensersatz bekommt der Bankkunde also meistens nicht, außer es wird Druck ausgeübt oder geklagt.
Wenn die Bank nach dem Phishing-Vorfall keinen Schadensersatz zahlt, berufen wir uns für unsere Mandanten auf die klare Entscheidung des Gesetzgebers. Dieser sieht in speziellen Vorschriften rund um die §§ 675 ff. BGB vor, dass die Bank in vielen Fällen das Konto des Phishing-Opfers auszugleichen hat.
Hierbei wird auch die Bank nicht völlig schutzlos gestellt. Ist das Phishing aufgrund einer groben Fahrlässigkeit des Opfers aufgetreten, hat die Bank wiederum einen Anspruch auf Schadensersatz gegen den Bankkunden. Letztlich klagt also der Bankkunde gegen die Bank auf Schadensersatz, und die Bank klagt im Rahmen einer sogenannten Widerklage ebenfalls auf Schadensersatz.
Es kommt dann sehr darauf an, wie der Einzelfall liegt – die Rechtsprechung macht keine Pauschalaussagen und prüft jeden Einzelfall unter Berücksichtigung aller Umstände.
Bank will Schadensersatz von mir – wie wehre ich mich?
Sollte eine Bank unseren Mandanten im Rahmen einer Widerklage auf Schadensersatz in Anspruch nehmen wollen, muss der Bankkunde den Vorwurf der groben Fahrlässigkeit abwehren. Die Banken stellen sich hierbei auf den Standpunkt, dass etwa das Betriebssystem auf dem für das Onlinebanking genutzten Computer nicht aktuell war, oder aber kein Antiviren-Programm installiert wurde, oder dieses veraltet war.
Dies mögen alles stimmige Vorwürfe zur Fahrlässigkeit sein, von grober Fahrlässigkeit ist dies aber unserer Auffassung nach noch weit entfernt. Außerdem kommt es immer darauf an, welches TAN-Verfahren die Bank empfohlen hat, und ob dieses letztlich sicher für den Bankkunden war. Pauschalaussagen führen nicht weiter, es muss stets der Einzelfall geprüft werden.
Da es beim Phishing um viel Geld geht, und Schadensersatz gegen die Bank für die Opfer meist der einzige Weg ist, wieder an das Geld zu kommen, empfehlen wir eine fachanwaltliche Beratung.
Unsere Kanzlei ist seit Jahrzehnten auf das IT-Recht spezialisiert und betreut Mandanten bundesweit in Phishing-Fällen. Gern helfen wir auch Ihnen.