Haftung der Bank bei EC-Karten-/Kreditkarten-Missbrauch

Die zunehmende Digitalisierung des Alltags führt auch zu einer Vermehrung von Missbrauchsfällen. Banken und Sparkassen weisen Ansprüche von Kunden im Falle eines Missbrauchs häufig zurück. Wir helfen Bankkunden, ihre Ansprüche gegen die Bank durchzusetzen.

Bank haftet für Betrug im Online Banking

Bei einem Betrug im Online Banking (bspw. Überweisungsbetrug, Phishing oder Social Engineering) haftet grundsätzlich die Bank. Zunächst versuchen sich Cyberkriminelle Zugang zu Ihrem Onlinebanking zu verschaffen, um anschließend weitere Sicherheitsvorkehrungen zu überwinden. Dabei werden sowohl technische als auch menschliche Schwächen ausgenutzt. Insbesondere werden neue digitale (Kredit-)Karten registriert, Echtzeitüberweisungen vorgenommen oder vorhandene Überweisungslimits erhöht. Besonders problematisch ist, dass meistens auch Leistungen bezahlt werden, welche Sie nicht in Anspruch genommen haben.

Obwohl das Gesetz die Haftung für einen Überweisungsbetrug oder einen Kreditkartenbetrug grundsätzlich der Bank zuweist, kommt es zwischen der Bank und dem Kunden oftmals zu Streit um die Fragen, wer die Überweisung oder die Zahlung autorisiert hat und ob dem Bankkunden der Vorwurf eines grob fahrlässigen Umgangs mit den Sicherheitsmerkmalen des Online Bankings gemacht werden kann. Nur wenn die Bank dem Kunden eine grob fahrlässige Pflichtverletzung im Zusammenhang mit dem Online Banking nachweisen kann, scheidet eine Haftung der Bank in der Regel aus.

Unautorisierte Verfügung

Ausgangspunkt für die verschuldensunabhängige Haftung der Bank für einen Betrug des Online Bankings ist eine unautorisierte Verfügung. Der Überweisungsauftrag oder die Online Zahlung darf nicht von dem Kontoinhaber genehmigt worden sein. Wie die Autorisierung erfolgt, wird von den Banken unterschiedlich gehandhabt. Seit der Umsetzung der PSD2-Richtlinie ist es gesetzlich vorgeschrieben, dass die Verfügung durch eine 2-Faktor-Authentifizierung (sog. starke Kundenauthentifizierung) erfolgen muss. Diese setzt stets ein Wissenselement voraus (bspw. eine PIN, oder eine Kombination aus PIN und Benutzerkennung). Der zweite Faktor muss ein Besitzelement (bspw. Smartphone oder TAN-Generator) oder ein Inhärenzelement (bspw. Fingerabdruckerkennung, Gesichtserkennung) sein.

Beweislast für die Verfügung

Wer die Verfügung mittels der 2-Faktor-Authentifizierung ausgelöst hat, ist weder für den Kunden, noch für die Bank leicht zu beweisen. Die Beweislast trägt zunächst die Bank. Die Beweislast kann aber auf den Kunden übergehen, wenn zugunsten der Bank ein Anscheinsbeweis für die Autorisierung durch den Kunden eingreift. Dieser kommt nach der Rechtsprechung des BGH nur in Betracht, wenn die Bank darlegen und beweisen kann, dass das verwendete Authentifizierungsverfahren praktisch unüberwindbar ist. Ob dies der Fall ist, muss im Einzelfall von der Bank bewiesen werden. Im smsTAN-Verfahren (auch mobileTAN oder mTAN genannt) kann eine praktische Unüberwindbarkeit aufgrund der unverschlüsselten Versendung von SMS und der Möglichkeit SMS-Nachrichten abzufangen, nicht angenommen werden.

Einwand grober Fahrlässigkeit

Neben der Frage der Autorisierung steht oftmals in Streit, ob der Kunde im Umgang mit den Sicherheitsmerkmalen des Online-Bankings (bspw. PIN, TAN) grob Fahrlässig gehandelt hat. Oftmals geht den Überweisungen ein Phishing Angriff der Täter voraus, den die Bank als Anknüpfungspunkt für den Vorwurf der groben Fahrlässigkeit macht. Die Anforderungen an eine grobe Fahrlässigkeit sind hoch. Der BGH verlangt hierfür einen „in objektiver Hinsicht schweren und in subjektiver Hinsicht schlechthin unentschuldbaren Verstoß gegen die Anforderungen der Nutzung“ des Online-Bankings. Es kommt also stets auch auf die individuellen Kenntnisse und Fähigkeiten des Bankkunden mit modernen Kommunikationsmedien an.

Die Beweislast für das Vorliegen der groben Fahrlässigkeit trägt die Bank. Beim Online Banking besteht grundsätzlich kein Anscheinsbeweis für eine grobe Fahrlässigkeit des Kunden. Gelingt der Bank der Beweis nicht, muss diese die unautorisierten Beträge dem Kunden erstatten.

Betrugsmasche über eBay Kleinanzeigen

Nach Einstellung einer Anzeige auf Kleinanzeigen meldet sich kurzfristig ein Kaufinteressent. Der angebliche Interessent ist in der Regel sofort und ohne Verhandlung bereit den eingestellten Kaufpreis zu bezahlen. Als Bezahlmethode besteht der Interessent jedoch auf Abwicklung über die „Sicher bezahlen“-Funktion. Der Verkäufer erhält im Anschluss an den Chat-Austausch eine E-Mail, die vermeintlich von Kleinanzeigen stammt und dieser zum Verwechseln ähnlichsieht. In dieser E-Mail wird der Verkäufer dazu aufgefordert, einen Link anzuklicken, um die Zahlung abzuwickeln. Weder die E-Mail, noch die Website stammen jedoch von Kleinanzeigen. Über die Website werden schließlich die Daten des Nutzers abgefragt, mit dessen Hilfe, die Betrüger einen Betrag vom Konto des Betroffenen abbuchen. Vielfach befindet sich auf diesen Websites auch ein Live-Chat mit einem angeblichen Mitarbeiter, der den Betroffenen in Sicherheit wiegen soll.

Phishing-Anrufe / Abbuchung über digitale Debitkarte mittels ApplePay bzw. Google Pay

Zudem zählt sogenannte Phishing-Anrufe fast schon zum Alltag. In einem solchen Fall teilt der betrügerische Anrufer dem Kunden mit, dass er aufgrund aktueller Betrugsfälle vorsorglich dessen Konto und Karte gesperrt habe und diese nun wieder mit ihm zusammen entsperren würde. Er bat den Kunden hierfür eine pushTAN freizugeben, die er nun erhalten werde. Tatsächlich meldete sich in diesem Moment die pushTAN-App des Klägers und verlangte die Freigabe eines Auftrags mit dem Text „Registrierung Karte“. Der Kunde gibt in der Regel unwissend den Auftrag frei. Infolgedessen wird eine digitale Version der Debitkarte des Kunden auf einem mobilen Endgerät des Täters freigegeben. Diese konnten sodann beispielsweise über ApplePay oder Google Pay Zahlungen vornehmen.

Auch in einem solchen Fall kann Ihnen ein Anspruch auf Wiedergutschrift der unautorisierten Beträge im Sinne des § 675u S. 2 BGB zu. Für Fragen stehen wir Ihnen mit unserem kompetenten Team aus Rechtsanwälten und Steuerberatern unter der Telefonnr.: 0931/22222 zur Verfügung. Gerne können Sie uns Ihr Anliegen auch per E-Mail an info@steinbock-partner.de oder über unseren Button „Kontakt“ schildern.

rechtsanwalt domenic ipta
Domenic Ipta Rechtsanwalt
Kontaktieren Sie uns
Wir freuen uns Sie persönlich kennenzulernen.
info@steinbock-partner.de