Haftung der Bank bei Online-Banking-Betrug
In den vergangenen Jahren häufen sich Fälle von sogenanntem Online-Banking-Betrugs. Kriminelle verschaffen sich dabei Zugang zu den geschützten Web-Portalen von Banken und lösen zulasten der arglosen Bankkunden Zahlungen auf fremde Konten aus. Das Geld wird von den Empfängerkonten in der Regel unverzüglich abgehoben und die Konteninhaber sind nicht zu ermitteln oder vermögenslos. Nicht selten beträgt der Schaden mehrere Tausend oder gar Zehntausende Euro.
Einwände der Bank
Banken und Sparkassen berufen sich bei der Reklamation von Online-Banking-Betrug häufig auf die Autorisierung des Zahlungsvorgangs durch den Kunden und / oder auf ein grob fahrlässiges Verhalten des Bankkunden. In beiden Fällen wird eine Erstattung der nicht autorisierten Transaktionen dann abgelehnt.
Hinter der Argumentation der Banken steht der Gedanke, dass nur der Kunde seine Zugangsdaten zu seinem Online-Banking-Zugang kennen kann und auch nur der Bankkunde über das sogenannte Authentifizierungsinstrument verfügt. Letzteres ist beispielsweise eine Bankkarte oder eine Smartphone-App zum Generieren einer TAN. Wird also mit Zugangsdaten und TAN eine Zahlung ausgelöst, vermutet die Bank, dass die Zahlung auch von ihrem Kunden autorisiert wurde.
Erstattungsanspruch bei nicht autorisierten Zahlungsvorgängen
Die Tatsache, dass die Zahlung tatsächlich vom Kunden ausgelöst wurde, muss aber die Bank nach § 676w BGB vollumfänglich beweisen. In der Regel tritt eine Bank diesen Beweis durch Vorlage ihrer technischen Aufzeichnungen vom Zahlungsvorgang an. Sofern der Bankkunde auch nach Vorlage der technischen Aufzeichnungen keine Erklärung zu dem Zahlungsvorgang hat, muss – sofern es zur gerichtlichen Auseinandersetzung kommt – in der Regel ein Sachverständigengutachten über den streitigen Zahlungsvorgang eingeholt werden und geklärt werden, ob die Zahlung vom Kunden oder von einem Dritten (beispielsweise unter Ausnutzung von Sicherheitslücken) ausgelöst wurde. Sofern der Kunde die Zahlung nicht veranlasst hat, besteht grundsätzlich nach § 675u BGB ein Erstattungsanspruch gegen die Bank wegen einer sogenannten nicht autorisierten Zahlung.
Grob fahrlässige Mitwirkung des Bankkunden bei dem Zahlungsvorgang
Obgleich ein Zahlungsvorgang nicht vom Bankkunden veranlasst wurde, kann der Erstattungsanspruch nach § 675v Abs. 3 Nr. 2 BGB ausgeschlossen sein, wenn der Bankkunde gegen seine Sorgfaltsplichten in grob fahrlässiger Weise verstoßen hat. Hintergrund von sogenannten Online-Banking-Betrugsfällen ist häufig ein rechtswidriges Abgreifen von geschützten Daten des Bankkunden durch unbekannte Täter. Die Täter gelangen dabei beispielsweise durch Pharming oder Phishing zunächst an die Zugangsdaten zu dem Online-Banking-Account der Kunden. So werden beispielsweise täuschend echt aussehende E-Mails oder SMS an die Bankkunden versendet, die einen Link auf eine gefälschte Bankseite enthalten. Dort werden dann die nichts ahnenden Kunden unter einem Vorwand (beispielsweise Aktualisierung von Daten o.ä.) zur Eingabe ihrer Zugangsdaten aufgefordert. Haben sich die Täter auf diese Weise erst einmal Zugang zu dem Konto verschafft, stoßen sie im nächsten Schritt eine Autorisierung des Zahlungsvorgangs an, indem sie beispielsweise den Bankkunden unter der im Online-Banking-Account ersichtlichen Telefonnummer kontaktieren. Dies geschieht beispielsweise in einem persönlichen Telefonat. Der Bankkunde wird dabei von den Tätern im Telefonat in den Glauben versetzt, er wurde von seiner Bank angerufen und müsse bei einer sicherheitsrelevanten Aktivität mitwirken. Die so getäuschten Kunden bestätigen dann beispielsweise in ihrer App eine Aktivität, die tatsächlich die Zahlung auslöst.
In Fällen der geschilderten Art berufen sich dann die Banken in der Regel auf ein grob fahrlässiges Verhalten ihrer Kunden. Banken verweisen regelmäßig darauf, dass sie vor entsprechenden Betrugsfällen regelmäßig warnen und die beschriebene Masche landläufig bekannt sei. Erstattungen werden dann von der Bank abgelehnt.
Erstattung trotz grob fahrlässiger Mitwirkung?
Häufig sind die Fälle aber nicht so eindeutig wie von der Bank geschildert. Die denkbaren Fallgestaltungen sind sehr vielfältig und nicht jedes – auch grob fahrlässiges – Mitwirken des Kunden bei dem Zahlungsvorgang führt zu einem Ausschluss seines Erstattungsanspruchs.
So sieht § 675u Abs. 4 BGB ausdrücklich vor, dass die Bank trotz grob fahrlässigem Verhaltens ihres Kunden eine nicht autorisierte Zahlung erstatten muss, wenn sie eine sogenannte starke Kundenauthentifizierung (auch: „Zwei-Faktor-Authentifizierung“) nicht verlangt hat. Hier ist die Bank voll beweisbelastet. Die Bank muss also nachweisen, dass der streitige Zahlungsvorgang sowohl mit den Zugangsdaten des Kunden als auch mit dem weiteren Authentifizierungsinstrument, das die TAN generiert hat, ausgelöst wurde. Hat die Bank es versäumt, die starke Kundenauthentifizierung bei dem streitigen Zahlungsvorgang zu verlangen, haftet sie immer in Höhe des nicht berechtigten Zahlungsbetrags.
Ergebnis
Die Haftung der Bank für Online-Betrugs-Fälle bedarf also einer mehrstufigen Prüfung. Hat der Bankkunde überhaupt keine Erklärung für die Belastung auf seinem Konto, genügt der Vortrag, dass er die Zahlung nicht veranlasst hat. Hier muss die Bank entweder die Autorisierung des Zahlungsvorgangs durch den Kunden nachweisen oder den Betrag erstatten. Wirft die Bank ihrem Kunden ein grob fahrlässiges Mitwirken bei dem Zahlungsvorgang vor, muss die Bank auch das grob fahrlässige Verhalten des Kunden nachweisen. Trotz grob fahrlässigem Mitwirken des Kunden bei der Zahlung kann aber dennoch ein Erstattungsanspruch bestehen, wenn die Bank die Zahlung ohne eine starke Kundenauthentifizierung ausgelöst hat.
Die Kanzlei PSS Rechtsanwälte aus Wiesbaden hat eine langjährige Erfahrung in Rechtsstreitigkeiten in Online-Banking-Betrugsfällen. Fachanwalt für Bank- und Kapitalmarktrecht Dr. Perabo-Schmidt vertritt Sie sowohl außergerichtlich als auch gerichtlich gegen Banken und Sparkassen.