ClickCease
Kanzlei Dr. Araujo Kurth - Mutig vorangehen - Das optimale Ergebnis erzielen

Opfer von Phishing-Angriffen? Ihre Rechte im Falle von Online-Banking-Betrug!

Fachbeitrag im Bank- und Kapitalmarktrecht

Anspruch auf Rückerstattung gemäß § 675u BGB bei Online-Banking-Betrug

Im heutigen digitalen Zeitalter nimmt das Online-Banking einen stetig wachsenden Stellenwert in unserem Alltag ein. Allerdings gehen mit dieser Entwicklung auch Herausforderungen und Risiken einher, insbesondere in Bezug auf betrügerische Aktivitäten. In diesem Artikel möchten wir Sie über die rechtlichen Aspekte und Möglichkeiten aufklären, insbesondere hinsichtlich des potenziellen Anspruchs auf Rückerstattung, den geschädigte Bankkunden gemäß § 675u BGB gegenüber ihrer kontoführenden Bank geltend machen können.

Oftmals sind Betroffene nicht darüber informiert, dass die Bank grundsätzlich dazu verpflichtet ist, den Schaden aus nicht autorisierten Überweisungen dem Kunden zu erstatten. Stattdessen geraten sie in einen Druck seitens ihrer Hausbank, durch Aufforderungsschreiben und Fristen, und geben ohne vorherige Konsultation eines Rechtsanwalts belastende Sachverhalte an oder verzichten voreilig auf ihre Rechte oder übertragen Ansprüche auf unbekannte Schädiger. Dies geschieht häufig aus Unkenntnis der rechtlichen Situation. Die Betroffenen sind sich nicht bewusst, dass ein solches Verhalten ihre Erfolgschancen bei der Durchsetzung ihres Rückerstattungsanspruchs eher mindert. Daher ist es umso bedeutsamer, dass die Betroffenen die rechtliche Lage im Zusammenhang mit Online-Banking-Betrugsfällen verstehen, um die richtigen Entscheidungen treffen zu können.

Bevor wir genauer auf den Anspruch des Zahlungsdienstnutzers auf Rückerstattung gegenüber dem Kreditinstitut gemäß § 675u BGB eingehen, ist es von Bedeutung, zu verstehen, auf welche Weise Betrüger Zugang zu fremden Konten verschaffen, um daraufhin unberechtigte Überweisungen zum Schaden der Kontoinhaber durchzuführen. Eine der am häufigsten angewandten Methoden ist zweifellos das sogenannte Phishing. Dieser Begriff setzt sich aus den englischen Wörtern „Password“ und „Fishing“ zusammen, was so viel wie „Passwortfischen“ bedeutet.

1. Wie Phishing funktioniert

Phishing erfolgt oft per E-Mail oder auch per SMS. Hierbei gibt sich der Betrüger als vertrauenswürdige Organisation aus, meistens als Ihre Bank, und fordert Sie auf, Ihre Kontodaten zu bestätigen oder zu aktualisieren. Die Nachricht ist häufig äußerst authentisch gestaltet, mit Logos und Formulierungen, die jenen Ihrer Bank ähneln. Dies soll Sie dazu verleiten, Ihre Daten preiszugeben, obwohl es sich lediglich um einen Trick handelt.

a) Die Phishing-E-Mail 

Stellen Sie sich vor, Sie erhalten eine E-Mail, die vorgibt von Ihrer Bank zu stammen. In dieser E-Mail wird behauptet, dass aufgrund von Sicherheitsproblemen alle Konten überprüft werden müssen und Sie gebeten werden, Ihre Kontodaten zu bestätigen. Ein Link führt zu einer Webseite, die exakt wie die Ihrer Bank aussieht. Doch wenn Sie dort Ihre Daten eingeben, gelangen diese direkt in die Hände der Betrüger.

b) Social Engineering: Die menschliche Schwachstelle im Online-Banking 

Beim Thema Online-Banking-Betrug denken wir oft an komplexe technische Hacks und ausgeklügelte Betrugssoftware. Tatsächlich gehört eine der häufigsten und wirkungsvollsten Methoden, die Betrüger einsetzen, wenig zur Technologie und viel zur Menschenkenntnis. Diese Methode nennt sich Social Engineering.

Social Engineering, auch als „soziale Manipulation“ bekannt, ist eine Betrugsmethode, bei der Menschen dazu gebracht werden, vertrauliche Informationen preiszugeben oder bestimmte Aktionen durchzuführen. Anstatt auf ausgeklügelte technische Fertigkeiten zu setzen, nutzen Social Engineers menschliche Schwächen wie Vertrauen, Hilfsbereitschaft oder Angst aus.

c) Funktionsweise von Social Engineering 

Social Engineering kann auf verschiedene Weisen erfolgen. Betrüger können sich als vertrauenswürdige Personen ausgeben, erfundene Geschichten erzählen oder Druck ausüben, um ihre Ziele zu erreichen. Im Zusammenhang mit Online-Banking kann dies dazu führen, dass Sie vertrauliche Informationen wie Ihre Kontonummer oder PIN preisgeben.

Stellen Sie sich vor, Sie bekommen einen Anruf von jemandem, der vorgibt, ein Mitarbeiter Ihrer Bank zu sein. Der Anrufer teilt Ihnen mit, dass es ein Problem mit Ihrem Konto gibt und er Ihre Unterstützung benötigt, um es zu lösen. Er bittet Sie, sich in Ihr Online-Banking-Konto einzuloggen und einige Transaktionen vorzunehmen, während er Sie telefonisch anleitet. Doch statt Ihnen zu helfen, nutzt der Betrüger diese Gelegenheit, um Zugriff auf Ihr Konto zu erlangen oder Sie dazu zu bringen, Geld auf sein eigenes Konto zu überweisen.

2. Erstattungsanspruch des Geschädigten gemäß § 675u Satz 2 BGB

Nachdem wir nun den Prozess des Betrugsverfahrens und die Methoden, wie Betrüger Zugang zu fremden Konten erlangen, beleuchtet haben, ist es wichtig, uns mit der Struktur des § 675u Satz 2 BGB auseinanderzusetzen. Dieser Paragraph bildet die Grundlage, auf der Kunden ihre erlittenen Schäden gegenüber dem Kreditinstitut geltend machen können.

Für den Anspruch auf Rückerstattung gemäß § 675u Satz 2 BGB sind folgende Bedingungen zu erfüllen:

Erstens muss der Betrug unverzüglich der Bank gemeldet werden (§ 676b Abs. 1 BGB). Dies bedeutet, dass Sie Ihre Bank sofort in Kenntnis setzen müssen, sobald Sie bemerken, dass eine nicht autorisierte Transaktion erfolgt ist. In meiner beruflichen Praxis habe ich leider oft erlebt, dass Banken auf diese Regel verweisen, wenn Zahlungsdienstnutzer zunächst rechtliche Beratung von Anwälten in Anspruch nehmen und erst nach dieser Beratung den Schaden der Bank melden. Diese Vorgehensweise ist verständlich, jedoch sollten Betroffene den Schaden unmittelbar melden, um die Erfolgschancen für die Geltendmachung ihrer Ansprüche nicht unnötig zu mindern. Zwar ist es zu diesem Zeitpunkt noch nicht notwendig, detaillierte Sachverhaltsdarstellungen abzugeben. Diese sollten erst nach Rücksprache mit einem Anwalt erfolgen. Es genügt vorerst, die Transaktion bei der Bank als nicht autorisierte Überweisung zu melden.

Zweitens darf keine Verjährung vorliegen. Gemäß § 676b Abs. 2 BGB muss der Zahlungsdienstnutzer dem Zahlungsdienstleister innerhalb von 13 Monaten nach dem Tag der Belastung über den nicht autorisierten Zahlungsvorgang Bericht erstatten.

Drittens muss ein nicht autorisierter Zahlungsvorgang im Sinne von § 675u Satz 1 und § 675j Abs. 1 Satz 1 BGB vorliegen. Es ist wichtig zu beachten, dass die Bank die Beweislast für das Vorliegen der Autorisierung trägt.

Die Autorisierung, also die Zustimmung zur Transaktion, kann entweder durch Zustimmung oder Genehmigung erfolgen. Eine Rücknahme der Autorisierung gemäß § 675p Abs. 1 BGB ist nur bis zum Zeitpunkt des Eingangs der Autorisierung möglich, was in der Praxis selten vorkommt.

Die Bezeichnung „Erstattungsanspruch“ in § 675u Satz 2 BGB hat eine besondere Bedeutung: Normalerweise hat die Bank Anspruch auf Erstattung ihrer Auslagen, die durch die Durchführung des Zahlungsauftrags entstehen, wenn die Transaktion ordnungsgemäß autorisiert wurde. Eine Belastungsbuchung auf das Konto des Kunden realisiert diesen Anspruch auf Auslagenerstattung. Jedoch ist diese Belastungsbuchung nicht gerechtfertigt und muss rückgängig gemacht werden, wenn die Transaktion nicht durch den Kunden autorisiert wurde. Hier kommt § 675u Satz 2 BGB ins Spiel, der darauf abzielt, solche ungerechtfertigten Belastungsbuchungen rückgängig zu machen. Diese Zusammenhänge sind rechtlich komplex und für Laien schwer zu durchschauen.

a) Warum liegt in den meisten Fällen von Online-Banking-Betrug eine nicht autorisierte Überweisung vor? Bei den meisten Fällen von Online-Banking-Betrug, wie beispielsweise beim Phishing oder Social Engineering, gibt der Nutzer seine Daten nicht freiwillig und wissentlich an Betrüger weiter. Vielmehr werden diese Informationen durch Täuschung oder Manipulation erlangt. Daher kann argumentiert werden, dass solche Überweisungen in der Regel nicht autorisiert sind, da die Zustimmung des Nutzers nicht unter Kenntnis der tatsächlichen Umstände erteilt wurde.

b) Was passiert, wenn die Voraussetzungen erfüllt sind? Wenn eine Transaktion nicht autorisiert wurde, ist die Bank verpflichtet, den Betrag sofort zu erstatten bzw. das Konto auf den Stand zurückzuführen, den es ohne die nicht autorisierte Transaktion gehabt hätte (§ 675u Satz 2 BGB).

Die Erstattung muss spätestens bis zum Ende des Geschäftstags erfolgen, der auf den Tag der Meldung der Transaktion an die Bank folgt (§ 675u Satz 3 BGB).

Eine Ausnahme von dieser Regel gilt nur, wenn die Bank der zuständigen Behörde schriftlich begründete Verdachtsgründe für betrügerisches Verhalten des Kunden mitgeteilt hat. In diesem Fall muss die Erstattung sofort erfolgen, sobald sich der Betrugsverdacht nicht bestätigt (§ 675u Satz 4 BGB).

Insgesamt bietet § 675u BGB einen bedeutsamen Schutzmechanismus für Opfer von Online-Banking-Betrug. Um die Erfolgsaussichten für die Geltendmachung des Erstattungsanspruchs zu maximieren, ist es entscheidend, dass die rechtlichen Aspekte von einem spezialisierten Anwalt vor der Bank vertreten werden. Banken (egal ob Großbanken oder Sparkassen) verfügen über erfahrene Rechtsanwälte, denen Laien ohne juristische Unterstützung kaum gewachsen sind.

3. Der Schadensersatzanspruch der Bank nach § 675v Abs. 3 BGB im Fall von Online-Banking-Betrug

Ein bedeutender Aspekt in Bezug auf Online-Banking-Betrug ist die Regelung in § 675v Abs. 3 BGB. Dieser Paragraph bildet die rechtliche Grundlage, auf der die Bank unter bestimmten Umständen Schadensersatzansprüche gegen den Zahlungsdienstnutzer geltend machen kann. Ist der Schadensersatzanspruch gerechtfertigt, kann die Bank diesen Anspruch mit dem Erstattungsanspruch des Kunden gemäß § 675u Satz 3 BGB verrechnen. Wenn die Bank erfolgreich den Nachweis für diesen Schadensersatzanspruch erbringt, könnte dies bedeuten, dass der Erstattungsanspruch des Kunden entweder gekürzt wird oder im schlimmsten Fall (zumindest aus wirtschaftlicher Sichtweise) ganz verloren geht.

a) Die Voraussetzungen für den Schadensersatzanspruch der Bank 

Um einen Schadensersatzanspruch der Bank geltend zu machen, müssen bestimmte Bedingungen erfüllt sein. Entweder muss der Kunde in betrügerischer Absicht gehandelt haben oder eine oder mehrere Pflichten gemäß § 675l BGB oder eventuell mit der Bank vereinbarte Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments verletzt haben. Dabei muss der Kunde vorsätzlich oder grob fahrlässig gehandelt haben.

Zu den Pflichten des Kunden gemäß § 675l Abs. 1 BGB gehört beispielsweise, angemessene Vorkehrungen zum Schutz personalisierter Sicherheitsmerkmale zu treffen und missbräuchliche Verwendung oder Diebstahl von Zahlungsinstrumenten zu melden. Der Kunde muss auch die von ihm festgelegten Bedingungen für die Verwendung und Ausgabe des Zahlungsinstruments einhalten.

„Personalisierte Sicherheitsmerkmale“ sind einzigartige Daten oder Informationen, die nur dem Zahlungsdienstnutzer, also dem Kunden, zugeordnet sind. Diese dienen dazu, den Kunden eindeutig zu identifizieren und die Ausführung von Zahlungsvorgängen zu autorisieren. Beispiele für solche Merkmale sind Passwörter, PINs (Persönliche Identifikationsnummern), TANs (Transaktionsnummern) oder sogar biometrische Daten wie Fingerabdrücke oder Gesichtserkennung, sofern von der Bank bereitgestellt.

Unter „Zahlungsinstrument“ versteht man jegliche Vorrichtung oder Verfahren, das Nutzer verwenden können, um Zahlungsaufträge zu erteilen. Im Kontext des Online-Bankings können dies Kredit- oder Debitkarten, das Online-Banking selbst und auch Mobile-Payment-Lösungen wie Smartphone-Apps sein.

Die Authentifizierung, also die Überprüfung der Nutzung eines Zahlungsinstruments und der personalisierten Sicherheitsmerkmale durch den Zahlungsdienstleister, wird auch als „Authentifizierung“ bezeichnet. Der Nachweis einer Authentifizierung durch das Kreditinstitut reicht normalerweise nicht aus, um die Zustimmung des Kunden zur Transaktion zu beweisen. Dies ist zumindest die Vorgabe in § 675w BGB.

Es ist daher wichtig zu betonen, dass die Hürden für die Bank hoch sind, um tatsächlich einen Schadensersatzanspruch durchzusetzen. Das Vorliegen von grober Fahrlässigkeit oder Vorsatz muss von der Bank bewiesen werden, was in der Praxis oft schwierig ist.

b) Warum liegt in den meisten Fällen von Online-Banking-Betrug keine grobe Fahrlässigkeit des Kunden vor? 

Im Allgemeinen lässt sich argumentieren, dass in den meisten Fällen von Online-Banking-Betrug keine grobe Fahrlässigkeit der Kunden vorliegt. Betrüger verwenden immer raffiniertere Methoden, um an die persönlichen Informationen ihrer Opfer zu gelangen. Diese Methoden sind oft so ausgeklügelt, dass sie selbst für vorsichtige und gut informierte Nutzer schwer zu durchschauen sind.

Darüber hinaus ist es für die Bank schwierig, grobe Fahrlässigkeit zu beweisen. Die Argumentation der Bank bleibt in der Regel auf einer sehr abstrakten Ebene, da sie nur begrenzte Informationen über den Betrugsfall im Kundenbereich hat. Da die Bank jedoch darlegungs- und beweisbelastet ist, kann sich dieser Umstand im Gerichtsprozess oft zu ihrem Nachteil auswirken.

c) Berücksichtigung des Mitverschuldens der Bank 

Die Gerichte berücksichtigen oft den Einwand des Mitverschuldens gemäß § 254 BGB im Rahmen des Schadensersatzanspruchs der Bank gemäß § 675v Abs. 3 BGB, insbesondere wenn die Sicherheitssysteme der Bank offensichtlich versagt haben. Zum Beispiel, wenn es innerhalb kurzer Zeit mehrere Abbuchungen gibt, die ungewöhnlich hohe Beträge zu ungewöhnlichen Zeiten, wie mitten in der Nacht, aufweisen. In solchen Fällen kann der Schadensersatzanspruch der Bank teilweise um bis zu 50% gekürzt werden. Das bedeutet, dass die Bank nicht in vollem Umfang mit ihrem Schadensersatzanspruch gegen den Erstattungsanspruch des Kunden aus § 675u BGB aufrechnen kann. Es ist daher ratsam, die Situation von einem Anwalt für Bankrecht prüfen zu lassen. Geschädigte sollten keinesfalls voreilig aufgeben, aus Angst vor Konfrontation mit ihrer Bank.


d) Ausnahmen von der Rückwirkung gemäß § 675v Abs. 4 des Bürgerlichen Gesetzbuches (BGB) für § 675v Abs. 3 BGB

Rückwirkungseinschränkungen gemäß § 675v Abs. 4 BGB hervorzuheben, die die potenzielle Schadensersatzverpflichtung der Bank beeinflussen können. Diese besonderen Umstände gelten beispielsweise, falls der Anbieter von Zahlungsdiensten oder der Empfänger der Zahlung auf die Einhaltung einer ausdrücklichen Kundenauthentifizierung gemäß § 1 Absatz 24 des Zahlungsdiensteaufsichtsgesetzes (ZAG) verzichtet oder diese nicht angenommen hat.

Der Begriff „starke Kundenauthentifizierung“ umfasst ein Verfahren, bei dem die Identität des Nutzers von Zahlungsdiensten anhand von zwei oder mehr Faktoren aus den Kategorien Wissen (Informationen, die nur dem Nutzer bekannt sind), Besitz (Gegenstände, die nur dem Nutzer gehören) und Inhärenz (biometrische Merkmale des Nutzers) verifiziert wird. Diese Faktoren müssen so gestaltet sein, dass die Vertraulichkeit der Authentifizierungsdaten gewährleistet wird. In zahlreichen Fällen können betrügerische Online-Banking-Vorfälle vermieden werden, indem eine wirksame starke Kundenauthentifizierung seitens der Bank implementiert wird.

Fazit

Zusammenfassend ergibt sich, dass die rechtlichen Fragestellungen und Optionen im Kontext des Erstattungsanspruchs bei betrügerischen Online-Banking-Zahlungsvorgängen vielschichtig und oft schwer verständlich sind. Ein Schlüsselaspekt hierbei ist § 675u des Bürgerlichen Gesetzbuches (BGB), der den Anspruch auf Erstattung für Geschädigte gegenüber ihrer Bank regelt. Trotz der klaren gesetzlichen Vorgaben scheinen Betroffene in der Praxis häufig auf Schwierigkeiten zu stoßen, vor allem aufgrund unzureichender Kenntnisse und Missverständnisse bezüglich der notwendigen Schritte und der Kommunikation mit den Banken.

Es wird daher nachdrücklich empfohlen, dass Opfer von Online-Banking-Betrug juristische Beratung in Anspruch nehmen. Ein Rechtsanwalt oder eine Rechtsanwältin mit Fachwissen im Bank- und Kapitalmarktrecht kann die spezifischen rechtlichen Aspekte des Falls analysieren, die Erfolgsaussichten eines Erstattungsanspruchs einschätzen und die Betroffenen durch den Prozess begleiten. Qualifizierte Rechtsvertreter verstehen die komplexen rechtlichen Zusammenhänge und können die relevanten Argumente gegenüber den Banken präzise formulieren.

Rechtsgebiet

Bank-undKapitalmarktrecht2

Jederzeit für Sie erreichbar

Kontakt

Ihre Kanzlei Dr. Araujo Kurth. Immer für Sie da

Adresse

Berliner Allee 47
64295 Darmstadt

Öffnungszeiten

Mo. – Fr. 08:00–18:00 Uhr

Kontakt