Rechtliche Folgen für Phishing-Opfer

Wer auf gefälschte E-Mails, sogenannte Phishing-Mails, hereinfällt und sensible Daten an Kriminelle weitergibt, hat zwar ein Recht auf Schadenersatz von seiner Bank oder vom Online-Händler, wenn Überweisungen von Kriminellen getätigt oder Käufe vorgenommen wurden. Dafür aber muss das Phishing-Opfer beweisen, dass es den Zahlungsvorgang nicht autorisiert und nicht grob fahrlässig gehandelt hat. Ein schwieriges Unterfangen, aber nicht aussichtslos.

Jeder Fall liegt anders

Ein Ehepaar aus Aying in Bayern, das 2014 den Aufforderungen einer Phishing-Mail der (angeblichen) Hypovereinsbank nachgekommen war und alle Bankdaten per Formular weitergegeben und später noch die TAN in einem Telefongespräch preisgegeben hatte, sah seine 4.444 Euro nicht wieder. Die Weitergabe einer TAN in einem Telefongespräch begründet den Vorwurf der groben Fahrlässigkeit, sodass eine Bank nicht verpflichtet ist, das über Phishing ergaunerte Geld zu erstatten. Dies entschied das Amtsgericht München.
Das Landgericht Oldenburg hat eine Bank aus Lohne 2017 zum Ausgleich des Schadens verurteilt, den ein Nutzer des Online-Banking-Verfahrens aufgrund einer Phishing-Attacke erlitten hatte.
Innerhalb einer Woche wurden dem Kläger per 44 Überweisungen 11.244,62 Euro abgebucht. Der Kläger hatte per Apps überwiesen, die laut Bank nicht aus sicheren Quellen herrührten.
Die Bank musste nachweisen, dass die Zahlungsvorgänge vom Kläger autorisiert waren, während der Kläger nicht beweisen musste, dass er Opfer einer Phishing-Attacke wurde und dass somit die Zahlungsvorgänge durch unberechtigte Dritte erfolgten. Zwar hatte die Bank die Zahlungsvorgänge elektronisch aufgezeichnet, das reichte als Nachweis für die Autorisierung aber nicht aus. Auch habe kein Anscheinsbeweis für eine autorisierte Zahlung gesprochen, da zur Legitimation die zur Verfügung gestellten Benutzernamen, die PIN und die TAN erfolgte.
Das Kammergericht Berlin sprach einer Bank zu 70 Prozent eine Mitschuld an einer Überweisung von 14.500,00 Euro zu, die auf einem falschen Konto gelandet waren. Dies passierte, weil ein Überweisungsvorgang angeblich nicht funktioniert und sich ein neues Fenster geöffnet hatte mit der Aufforderung, die angeforderte TAN jetzt einzugeben. Das Gericht warf der Bank vor, ein überholtes TAN-System verwendet zu haben. Die Klägerin habe jedoch ihre eigene Pflicht zur Geheimhaltung ihrer Zugangsdaten schuldhaft verletzt, indem sie der Aufforderung zur Eingabe von vier weiteren TAN-Nummern nachgekommen sei.

Phishing-Opfer mit zivilrechtlichen Ansprüchen

Ist durch Phishing-Mails ein Schaden entstanden, steht die Frage nach den rechtlichen Folgen, beispielsweise bei Banküberweisungen.
Zunächst muss geklärt werden, ob es sich um eine vom Kunden autorisierte Zahlung handelt. Eine Zahlung gilt nur dann als autorisiert, wenn der Bankkunde seine Einwilligung zur Zahlung gegeben hat. Liegt aber eine solche Einwilligung oder Genehmigung nicht vor, wie dies beim Phishing ja der Fall ist, handelt es sich aus Sicht der Betroffenen um keine autorisierte Zahlung. Damit ergeben sich für das Phishing-Opfer zivilrechtliche Ansprüche gegen die Bank oder den Online-Händler.
Welche Ansprüche ein Bankkunde gegen die eigene Bank im Falle eines nicht autorisierten Zahlungsvorgangs hat, regelt der Paragraf 675u des Bürgerlichen Gesetzbuches (BGB). Hier heißt es, dass „der Zahlungsdienstleister verpflichtet ist, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.“ So weit, so gut.
Allerdings kann auch die Bank Schadensersatzansprüche gegen den Bankkunden, also das Phishing-Opfer, erheben, nämlich dann, wenn dieser sich vertragswidrig verhalten hat und die Bank selbst die Überweisung als vom Kunden autorisiert vorgenommen hat. „Verletzt der Schuldner eine Pflicht aus dem Schuldverhältnis, so kann der Gläubiger Ersatz des hierdurch entstehenden Schadens verlangen. Dies gilt nicht, wenn der Schuldner die Pflichtverletzung nicht zu vertreten hat“, so Paragraf 280 BGB.
Der Zahler, also das Phishing-Opfer, ist laut Paragraf 675v BGB dann gegenüber der Bank zum Ersatz des gesamten Schadens verpflichtet, wenn er den Schaden durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehrerer Pflichten oder einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments herbeigeführt hat.
Grobe Fahrlässigkeit liegt vor, wenn die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt wurde.

Urteil des Bundesgerichtshofes hat Position von Phishing-Opfer verbessert

In der Praxis wird in vielen Fällen der sogenannte Anscheinsbeweis von Gerichten herangezogen. Dabei stützt sich das Gericht auf Erfahrungen und auf bewiesene oder auf zu beweisende Tatsachen. Die Banken versuchen natürlich, dem Kunden grobe Fahrlässigkeit zu unterstellen. 2016 hat der Bundesgerichtshof (BGH) mit einem Urteil zum Phishing die Rechtsposition der Phishing-Opfer allerdings verbessert: Eine unautorisierte Buchung könne nicht automatisch dem Kunden angelastet werden. Bei den Auseinandersetzungen um die Haftung bei Phishing-Angriffen spielen auch die Sicherheit des Online-Banking-Systems und die Informationspflicht der Banken gegenüber Sicherheitsstandards eine Rolle.
Besser als im Schadensfall vor Gericht zu ziehen, sind allemal ein sorgfältiger Umgang mit E-Mails aller Art und eine gute Firewall.