Verpflichtung der Bank zum Kontoausgleich nach Phishing-Angriff

Die Weitergabe der Zugangsdaten zum Online-Banking an den Ehepartner verhindert nicht den Ausgleichsanspruch gegen die Bank im Fall eines Phishing-Angriffs auf ein Wertpapierdepotkonto, wenn durch die Datenweitergabe keine erhöhte Gefährdung entstanden ist und sie nicht kausal für den Schaden war.

Das LG Nürnberg-Fürth hatte einen Fall zu entscheiden, in dem es auf dem Wertpapierdepotkonto einer Bankkundin zu einem Angriff mittels Phishing („nach Passwörtern angeln“) gekommen war. Die Bankkundin hatte die personalisierten Sicherheitsmerkmale des Kontos an ihren Ehemann weitergegeben, der das Konto auch verwaltete.

Ehemann sollte Wertpapierdepotkonto verwalten

Die Klägerin hatte bei der beklagten Bank ein Wertpapierdepotkonto eröffnet. Anlässlich des Eröffnungsantrags hatte sie ausschließlich die E-Mail-Adresse ihres Ehemannes angegeben. Als Telefonverbindung hatte sie für die beklagte Bank erkennbar die Mobilfunknummer ihres Ehemannes hinterlegt. Sie hatte allerdings nicht angegeben, dass sie die vollständige Verwaltung Ihres Kontos dem Ehemann übertragen hatte. Die Übermittlung der TANs erfolgte anschließend per SMS auf das durch den Ehemann der Klägerin genutzte Mobiltelefon.

Über 25.000 EUR via Phishing-Angriff abgebucht

Im Frühjahr 2019 erfolgte eine Abbuchung auf dem Konto in Höhe von 25.960,45 EUR. Diese Transaktion war weder von der Klägerin noch von ihrem Ehemann autorisiert. Wie sich herausstellte, war die Abbuchung im Rahmen eines Phishing-Angriffs erfolgt. Die Klägerin forderte die Bank auf, für den sofortigen Ausgleich ihres Kontos zu sorgen.

Die Bank lehnte ab mit der Begründung, die Klägerin habe vertragswidrig ihre Kontodaten an einen Dritten, nämlich ihren Ehemann weitergegeben und dadurch erst den Phishing-Angriff ermöglicht, der ausschließlich über das Mobiltelefon des Ehemannes erfolgt sei.

Banken-AGB untersagten Datenweitergabe

In den dem Bankvertrag zu Grunde liegenden AGB war bestimmt, dass personalisierte Sicherheitsmerkmale geheim zu halten und Authentifizierungselemente so zu verwahren sind, dass sie dem Zugriff Dritter entzogen sind. Hierauf verwies die beklagte Bank. Die Bank argumentierte, selbst wenn der Klägerin ein Anspruch auf Ausgleich grundsätzlich zustehe, so stehe dieser Forderung ein Anspruch der Bank auf Schadenersatz in gleicher Höhe gegenüber. Der Schadensersatzanspruch beruhe auf einer schuldhaften Verletzung des Bankvertrages durch die Klägerin in Form der Weitergabe der personalisierten Kontodaten an ihren Ehemann.

Grundsatz beim Phishing: Ausgleichsanspruch gegen die Bank

Dieser Argumentation folgte das LG nicht. Das LG stützte seine Entscheidung auf §§ 675 u Satz 1 u. 2 BGB. Nach dieser Vorschrift hat der Zahlungsdienstleister im Fall eines nicht autorisierten Zahlungsvorgangs gegen den Kontoinhaber

  • keinen Anspruch auf Erstattung seiner Aufwendungen und
  • ist verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und
  • das Zahlungskonto wieder auf den ursprünglichen Stand zu bringen, auf dem es ohne den nicht autorisierten Zahlungsvorgang war.

Die Voraussetzungen für diesen Ausgleichsanspruch der Klägerin sah das LG als erfüllt an.

Kein Gegenanspruch der Bank aus Vertragsverletzung

Entgegen der Auffassung der Beklagten stand dem Ausgleichsanspruch der Klägerin nach dem Urteil des LG kein Schadensersatzanspruch der Bank gemäß 675v Abs. 3 BGB entgegen. Nach dieser Vorschrift ist der Kontoinhaber dem Zahlungsdienstleister zum Ersatz des gesamten aus einem nicht autorisierten Zahlungsvorgang entstandenen Schaden unter anderem dann verpflichtet, wenn der Kontoinhaber den Schaden durch vorsätzliche oder grob fahrlässige Verletzung vertraglicher Pflichten oder vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments herbeigeführt hat.

Keine erhöhte Gefährdung durch Datenweitergabe an den Ehemann

Die Voraussetzungen für einen solchen Schadensersatzanspruch lagen nach Auffassung der LG-Kammer nicht vor. Die Weitergabe der Kontodaten an ihren Ehemann bewertete das LG nicht als grob fahrlässige Verletzung der vertraglichen Pflichten durch die Kontoinhaberin. Die Gefahr eines Phishing-Angriffs sei durch die Weitergabe der PIN nicht erhöht worden.

Auch infolge der Verwaltung des Kontos durch den Ehemann habe sich das Schutzniveau gegen Phishing-Angriffe nicht verändert. Gründe dafür, dass ein Angriff auf das Mobiltelefon des Ehemanns leichter oder wahrscheinlicher war als auf das Mobiltelefon der Klägerin selbst, seien nicht ersichtlich.

Mögliche Pflichtverletzung wäre nicht kausal für den Schadenseintritt

Nach Auffassung des LG würde sich an dem Ergebnis auch dann nichts ändern, wenn man von einer Pflichtverletzung der Klägerin durch die Weitergabe der Kontodaten an ihren Ehemann ausgehe. Die Weitergabe der personifizierten Daten sei nämlich nicht kausal für den eingetretenen Schaden geworden, weil die Weitergabe die Gefährdungslage nicht erhöht habe.

Damit sei der Phishing-Vorgang auf dem Konto der Klägerin von dieser nicht im Sinne des § 675v Abs. 3 BGB ursächlich herbeigeführt worden. Ein Schadensersatzanspruch der Bank gegen die Klägerin scheide damit auch unter diesem Gesichtspunkt aus. Mit diesen Erwägungen gab das LG der Klage auf Kontoausgleich statt.

(LG Nürnberg-Fürth, Urteil v. 17.7.2020, 6 O 5935/19).



Hintergrund: Welche Straftatbestände werden beim Phishing erfüllt?

Phishing, das sich zusammensetzt aus den englischen Wörtern Password und Fishing, meint das Ausspionieren von Passwörtern oder anderen geheimen Daten im Internet. Wie machen sich die Täter damit strafbar?

  • Durch das Erstellen der gefälschten Website sowie der gefälschten Email kann eine strafbare Marken- bzw. Urheberrechtsverletzung (§ 143 MarkenG, §§ 106 ff. UrhG) sowie eine Strafbarkeit gemäß § 263a Abs.3 (Vorbereitung eines Computerbetrugs) und § 269 1.Alt. StGB (Fälschung beweiserheblicher Daten) gegeben sein. 
  • Durch das Versenden der gefälschten Email wird der Straftatbestand des § 269 2.Alt. StGB und des versuchten Betruges gemäß § 263 StGB erfüllt.
  • Werden mittels Phishing tatsächlich vertrauliche Zugangsdaten erlangt, liegt ein vollendeter Betrug gemäß § 263 StGB vor.
  • Die Verwendung der erschlichenen Daten und die Geldabhebung stellt einen Computerbetrug gemäß § 263a StGB dar.

Schlagworte zum Thema:  Cyberkriminalität, Schadensersatz