· Fachbeitrag · Online-Banking
Wer haftet, wenn das Konto leer geräumt wurde?
von RA Thomas Feil, Hannover
| Der Betrug beim Online-Banking wächst von Jahr zu Jahr. Mithilfe von sogenannten Trojanern gelingt es Betrügern immer wieder, an Kontodaten zu gelangen. Diese werden dazu genutzt, von den Konten der Kunden Überweisungen vorzunehmen und so das Konto leer zu räumen. Der Bankkunde ist allerdings nicht schutzlos. Auch wenn Banken zunächst versuchen, das Problem schulterzuckend abzuwälzen. |
1. Muss die Bank das Geld zurückzahlen? Wer haftet?
Wenn sich ein unbekannter Dritter (z.B. durch Verwendung von Phishing oder Pharming oder durch Entwendung der Bankkarte) illegal Zugang oder Kontrolle über das Konto eines Bankkunden verschafft und Geldsummen an sich oder Mittelsmänner überweist, kann der Betroffene Anspruch gegenüber der Bank auf Erstattung des Betrags haben. Die Bank muss ihrem Kunden den Betrag ersetzen, der ihm beispielsweise durch eine Überweisung verloren ging, die er oder ein Bevollmächtigter nicht selbst veranlasst hat. So kann das Opfer eines solchen illegalen Zugriffs sein Geld zurückbekommen, auch wenn der Täter nicht auffindbar ist.
2. Anspruch auf Erstattung des Betrags nach § 675u BGB
Die Rechtslage beim Online-Banking sieht wie folgt aus: Nach § 675u BGB ist der Zahlungsdienstleister, also die Bank, bei einem nicht autorisierten Zahlungsvorgang verpflichtet, dem Betroffenen den entwendeten Zahlungsbetrag unverzüglich zu erstatten oder dessen Konto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte. Also einfach gesagt, hat der Kontobesitzer einen Anspruch gegen die Bank, das Geld zurückzubekommen, das ihm von einem Betrüger beispielsweise durch eine der beschriebenen Methoden gestohlen wurde.
Um diesen Anspruch zu begründen, muss der Betroffene darlegen können, dass tatsächlich ein Betrüger und nicht er selbst die Überweisung in Auftrag gegeben hat. Da die Bank dies in den meisten Fällen nicht einfach so hinnehmen wird, sind rechtliche Schritte notwendig, um diesen Anspruch durchzusetzen.
Wird an Geldausgabeautomaten mit der zutreffenden Geheimzahl Geld abgehoben spricht nach der rechtsprechung des BGH der Beweis des ersten Anscheins dafür, dass entweder der Karteninhaber die Abhebungen selbst vorgenommen hat oder ein Dritter nach der Entwendung der Karte von der Geheimnummer nur wegen ihrer gemeinsamen Verwahrung Kenntnis erlangen konnte. In solchen Fällen ist es also schwierig, das Gegenteil zu belegen. Es muss dargelegt werden, wann und wie die Bankkarte verloren gegangen ist oder gestohlen wurde und dass der Betroffene nicht selbst Geld abgehoben hat.
Des Weiteren ist zu beachten, dass - obwohl dieser Anspruch besteht - auch die Bank einen Anspruch auf Schadenersatz gegen den Betroffenen hat, wenn der nicht autorisierte Zahlungsvorgang auf verlorenen oder gestohlenen Zahlungsauthentifizierungsinstrumenten beruht. Hier wird die Rechtslage etwas kompliziert. Wie viel Schadenersatz der Betroffene zu zahlen hat, hängt von den Umständen ab und davon, ob der Betroffene seine Sorgfaltspflichten verletzt hat.
3. Sorgfaltspflichten des Nutzers beim Onlinebanking
Nach § 675l BGB ist der Nutzer eines Bankkontos nach Erhalt eines Zahlungsauthentifizierungsinstruments, also beispielsweise der Möglichkeit des Online-Bankings, verpflichtet, alle zumutbaren Vorkehrungen zu treffen, um seine persönlichen Zugangsdaten vor unbefugtem Zugriff zu schützen. Der Nutzer muss seine Passwörter vor dem Zugriff Dritter schützen und sicherstellen, dass der verwendete Computer über aktuelle Virenschutzprogramme und eine Firewall verfügt. Gehen seine Zugangsdaten verloren oder werden entwendet, hat der Nutzer dies unverzüglich der Bank zu melden, nachdem er davon Kenntnis erlangt hat.
4. Mögliche Verstöße gegen Sorgfaltspflichten (Haftung)
Ein Kontoinhaber kann auf verschiedene Arten gegen seine Sorgfaltspflichten verstoßen. Tut er dies, kann das sehr schnell zur Folge haben, dass die Bank Schadenersatzansprüche gegen ihn geltend machen kann.
Einen klaren Verstoß begeht, wer seine PIN zusammen mit seiner Bankkarte im Geldbeutel verwahrt oder sie sogar auf seine Karte schreibt. Ein weiterer Verstoß besteht darin, seine Online-Banking-Vorgänge auf ungesicherten Geräten durchzuführen. Jeder Nutzer sollte sicherstellen, dass auf den verwendeten Geräten aktuelle Virenschutzprogramme installiert sind und eine sichere Firewall vorhanden ist. Verzichtet der Kontoinhaber auf diese Vorsichtsmaßnahmen und wird ihm vom Gericht grob fahrlässiges Verhalten zugeschrieben, haftet er gemäß § 675v Abs. 2 BGB unbegrenzt.
5. Schadenersatzanspruch der Bank nach § 675v BGB
Grundsätzlich ist die Bank gemäß § 675v Abs. 1 BGB dazu berechtigt, im Falle eines nicht autorisierten Zahlungsvorgangs aufgrund von verlorenen, gestohlenen oder sonst abhandengekommenen Zugangsdaten, vom Kontonutzer Schadenersatz in Höhe von bis zu 150 EUR zu verlangen.
Hat der Kontonutzer den Zahlungsvorgang in betrügerischer Absicht ermöglicht, ist er zur Zahlung des gesamten Schadens verpflichtet. Der Schaden entspräche hier der entwendeten Summe vom Konto des Betroffenen. Gleiches gilt, wenn er seine Pflichten aus § 675l BGB, also seine Sorgfaltspflichten in Bezug auf seine Kontodaten, oder die vereinbarten Bedingungen über die Nutzung seines Kontos vorsätzlich oder grob fahrlässig verletzt hat. Das war nicht immer so. Vor der Änderung des § 675v BGB haftete der Kontoinhaber auch schon für leicht fahrlässiges Verhalten unbegrenzt, wenn er damit den Zugriff eines unbefugten Dritten herbeigeführt hat.
Häufig weisen Banken auf ihren Log-In-Seiten oder auf ähnliche Weise darauf hin, dass zum Schutze vor illegalen Zugriffen auf das Konto der Kontobenutzer aufmerksam darauf achten muss, kein Opfer von illegalen Zugriffen zu werden. So heben Banken in ihren Sicherheitshinweisen gerne hervor, dass sie niemals mehrere TAN gleichzeitig abfragen würden oder sie ihre Kunden niemals per E-Mail zur Anmeldung im Online-Banking auffordern würden. Solche Hinweise sollten natürlich grundsätzlich beachtet werden.
Ist es jedoch schon zu spät, können solche Sicherheitshinweise der Bank dazu führen, dass dem Betroffenen grobe Fahrlässigkeit vorgeworfen werden kann, wenn nachgewiesen wird, dass die Hinweise nicht ausreichend berücksichtigt wurden. Das hätte dann zur Folge, dass der Kunde der Bank den entstandenen Schaden zu ersetzen hat.
6. Aufeinandertreffen zweier Ansprüche
In diesem Fall kommt es zum Aufeinandertreffen zweier Ansprüche, den des Kontoinhabers und den der Bank. Der Kontoinhaber hat Anspruch, seinen verlorenen Betrag erstattet zu bekommen und die Bank hat Anspruch auf den Ersatz des entstandenen Schadens. Der Schaden der Bank ist der durch den illegalen Zugriff eines Dritten entwendete Betrag vom Konto des betroffenen Kontoinhabers. Das klingt also erst einmal so, als müsste der Betroffene doppelt zahlen. Aber dazu kommt es nicht dank seines eigenen Anspruchs gegenüber der Bank und der sogenannten Aufrechnung der Ansprüche.
7. Rechtslage nach Aufrechnung der Ansprüche
Die Rechtslage beim Online-Banking-Betrug kann also noch durch Aufrechnung etwas verändert werden. Wenn die Bank recht bekommt und der Kontoinhaber zum Ersatz des Schadens verpflichtet ist, kommt es aus Gründen der Einfachheit zur Aufrechnung der beiden Ansprüche. Die Bank und der Kontoinhaber haben also gegenüber dem jeweils anderen einen Anspruch auf die gleiche Summe. Hierfür gibt es in der Rechtslage eine einfache Lösung. Weil es unsinnig wäre, den Betrag hin und her zu schieben, kommt es gemäß § 387 BGB zu einer Aufrechnung der Ansprüche miteinander. Folglich muss keine Partei der anderen etwas zahlen. Ärgerlich ist hier nur für den Kontoinhaber, dass er sein gestohlenes Geld nicht wieder zurückbekommt. Daher ist im Umgang mit Online-Banking Vorsicht geboten.