In einem wegweisenden Urteil Phishing hat der Bundesgerichtshof (BGH) am 5. März 2024 entschieden, dass eine Bank verpflichtet ist, ihrer Kundin den Betrag von 255.395,61 € zu erstatten, der durch eine Serie nicht autorisierter Überweisungen von ihrem Konto abgebucht wurde (Az. XI ZR 107/22).
Dieser Fall betraf eine perfide Phishing-Attacke, bei der Betrüger die E-Mail-Adresse der Klägerin kompromittierten und falsche Zahlungsanweisungen an die Bank schickten. Die Entscheidung betont die Verantwortung der Banken, die Autorisierung von Zahlungsvorgängen zu beweisen, und stärkt die Rechte der Verbraucher erheblich. Das Urteil ist von großer Bedeutung für alle Betroffenen von Phishing-Angriffen und setzt einen wichtigen Präzedenzfall im Bereich des Bank- und Zahlungsdienstleistungsrechts.
Sachverhalt – Urteil Phishing:
Die Klägerin, Kundin einer Bank, klagte auf Erstattung von 255.395,61 €, die durch nicht autorisierte Überweisungen von ihrem Konto abgebucht wurden. Die Klägerin hatte einen Kundenstammvertrag mit der Bank, in dem unter anderem die Allgemeinen Geschäftsbedingungen (AGB) der Bank einbezogen waren.
Zwischen Mai 2016 und Februar 2017 erhielt der Kundenbetreuer der Klägerin dreizehn E-Mails mit Zahlungsanweisungen, die angeblich von der Klägerin stammten. Diese E-Mails waren jedoch gefälscht, und die angegebenen Zahlungsempfänger existierten nicht. Der Kundenbetreuer führte die Überweisungen durch, ohne Rücksprache mit der Klägerin zu halten, und bestätigte sie per E-Mail. Die Klägerin bemerkte die unautorisierten Transaktionen erst im Februar 2017, als sie die Kontoauszüge überprüfte und die Bank informierte.
Urteilsgründe:
Das Berufungsgericht und der Bundesgerichtshof entschieden zugunsten der Klägerin und verurteilten die Bank zur Zahlung der geforderten Summe.
- Beweislast der Bank: Die Bank trägt die Beweislast für die Autorisierung der Zahlungsvorgänge durch die Klägerin. Nach den maßgeblichen gesetzlichen Regelungen (§ 675w BGB aF) muss der Zahlungsdienstleister nachweisen, dass die Zahlungen autorisiert waren. In diesem Fall konnte die Bank diesen Nachweis nicht erbringen.
- Kein Saldoanerkenntnis: Die Bank konnte sich nicht auf ein anerkanntes Saldoanerkenntnis berufen, da die Klägerin den unautorisierten Überweisungen fristgerecht widersprochen hatte. Die monatlichen Kontoauszüge der Bank erfüllten nicht die Anforderungen an einen Rechnungsabschluss gemäß den AGB.
- Fehlende Genehmigung der Überweisungen: Es konnte nicht nachgewiesen werden, dass die Klägerin die streitgegenständlichen Überweisungen konkludent genehmigt hatte, indem sie längere Zeit keine Einwendungen gegen die Kontoauszüge erhoben hatte. Eine solche Genehmigung wäre nur wirksam gewesen, wenn sie ausdrücklich zwischen den Parteien vereinbart worden wäre.
- Sperrwirkung des § 675v BGB aF: Schadensersatzansprüche der Bank gegen die Klägerin wegen angeblicher Pflichtverletzungen waren ausgeschlossen. Die Bank konnte keinen Betrug oder grobe Fahrlässigkeit seitens der Klägerin nachweisen.
- Direkter Zahlungsanspruch: Da das Konto der Klägerin trotz der unautorisierten Belastungen einen Habensaldo aufwies, konnte die Klägerin direkt die Auszahlung des zu Unrecht belasteten Betrags verlangen.
Dieses Urteil Phishing unterstreicht die Bedeutung der Beweislastverteilung in Fällen von nicht autorisierten Zahlungsvorgängen und schützt Verbraucher vor den Folgen von Phishing-Angriffen. Es verdeutlicht auch die Pflicht der Banken, Sicherheitsmaßnahmen zu ergreifen und verdächtige Transaktionen sorgfältig zu überprüfen. Für Opfer von Phishing-Angriffen ist dieses Urteil Phishing ein bedeutender Erfolg, der ihre Rechte stärkt und ihnen eine klare rechtliche Grundlage bietet, um Ansprüche gegenüber ihren Banken durchzusetzen.