Verpflichtung der Bank zum Kontoausgleich nach Phishing-Angriff
News
18.03.2021
Datenweitergabe an Ehepartner steht nicht entgegen
Bild: Nico ⁄ pixelio
Phishing, das Angeln nach Passwörtern, setzt sich zusammen aus Password und Fishing
Das LG Nürnberg-Fürth hatte einen Fall zu entscheiden, in dem es auf dem Wertpapierdepotkonto einer Bankkundin zu einem Angriff mittels Phishing („nach Passwörtern angeln“) gekommen war. Die Bankkundin hatte die personalisierten Sicherheitsmerkmale des Kontos an ihren Ehemann weitergegeben, der das Konto auch verwaltete.
Ehemann sollte Wertpapierdepotkonto verwalten
Die Klägerin hatte bei der beklagten Bank ein Wertpapierdepotkonto eröffnet. Anlässlich des Eröffnungsantrags hatte sie ausschließlich die E-Mail-Adresse ihres Ehemannes angegeben. Als Telefonverbindung hatte sie für die beklagte Bank erkennbar die Mobilfunknummer ihres Ehemannes hinterlegt. Sie hatte allerdings nicht angegeben, dass sie die vollständige Verwaltung Ihres Kontos dem Ehemann übertragen hatte. Die Übermittlung der TANs erfolgte anschließend per SMS auf das durch den Ehemann der Klägerin genutzte Mobiltelefon.
Über 25.000 EUR via Phishing-Angriff abgebucht
Im Frühjahr 2019 erfolgte eine Abbuchung auf dem Konto in Höhe von 25.960,45 EUR. Diese Transaktion war weder von der Klägerin noch von ihrem Ehemann autorisiert. Wie sich herausstellte, war die Abbuchung im Rahmen eines Phishing-Angriffs erfolgt. Die Klägerin forderte die Bank auf, für den sofortigen Ausgleich ihres Kontos zu sorgen.
Die Bank lehnte ab mit der Begründung, die Klägerin habe vertragswidrig ihre Kontodaten an einen Dritten, nämlich ihren Ehemann weitergegeben und dadurch erst den Phishing-Angriff ermöglicht, der ausschließlich über das Mobiltelefon des Ehemannes erfolgt sei.
Banken-AGB untersagten Datenweitergabe
In den dem Bankvertrag zu Grunde liegenden AGB war bestimmt, dass personalisierte Sicherheitsmerkmale geheim zu halten und Authentifizierungselemente so zu verwahren sind, dass sie dem Zugriff Dritter entzogen sind. Hierauf verwies die beklagte Bank. Die Bank argumentierte, selbst wenn der Klägerin ein Anspruch auf Ausgleich grundsätzlich zustehe, so stehe dieser Forderung ein Anspruch der Bank auf Schadenersatz in gleicher Höhe gegenüber. Der Schadensersatzanspruch beruhe auf einer schuldhaften Verletzung des Bankvertrages durch die Klägerin in Form der Weitergabe der personalisierten Kontodaten an ihren Ehemann.
Grundsatz beim Phishing: Ausgleichsanspruch gegen die Bank
Dieser Argumentation folgte das LG nicht. Das LG stützte seine Entscheidung auf §§ 675 u Satz 1 u. 2 BGB. Nach dieser Vorschrift hat der Zahlungsdienstleister im Fall eines nicht autorisierten Zahlungsvorgangs gegen den Kontoinhaber
- keinen Anspruch auf Erstattung seiner Aufwendungen und
- ist verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und
- das Zahlungskonto wieder auf den ursprünglichen Stand zu bringen, auf dem es ohne den nicht autorisierten Zahlungsvorgang war.
Die Voraussetzungen für diesen Ausgleichsanspruch der Klägerin sah das LG als erfüllt an.
Kein Gegenanspruch der Bank aus Vertragsverletzung
Entgegen der Auffassung der Beklagten stand dem Ausgleichsanspruch der Klägerin nach dem Urteil des LG kein Schadensersatzanspruch der Bank gemäß 675v Abs. 3 BGB entgegen. Nach dieser Vorschrift ist der Kontoinhaber dem Zahlungsdienstleister zum Ersatz des gesamten aus einem nicht autorisierten Zahlungsvorgang entstandenen Schaden unter anderem dann verpflichtet, wenn der Kontoinhaber den Schaden durch vorsätzliche oder grob fahrlässige Verletzung vertraglicher Pflichten oder vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments herbeigeführt hat.
Keine erhöhte Gefährdung durch Datenweitergabe an den Ehemann
Die Voraussetzungen für einen solchen Schadensersatzanspruch lagen nach Auffassung der LG-Kammer nicht vor. Die Weitergabe der Kontodaten an ihren Ehemann bewertete das LG nicht als grob fahrlässige Verletzung der vertraglichen Pflichten durch die Kontoinhaberin. Die Gefahr eines Phishing-Angriffs sei durch die Weitergabe der PIN nicht erhöht worden.
Auch infolge der Verwaltung des Kontos durch den Ehemann habe sich das Schutzniveau gegen Phishing-Angriffe nicht verändert. Gründe dafür, dass ein Angriff auf das Mobiltelefon des Ehemanns leichter oder wahrscheinlicher war als auf das Mobiltelefon der Klägerin selbst, seien nicht ersichtlich.
Mögliche Pflichtverletzung wäre nicht kausal für den Schadenseintritt
Nach Auffassung des LG würde sich an dem Ergebnis auch dann nichts ändern, wenn man von einer Pflichtverletzung der Klägerin durch die Weitergabe der Kontodaten an ihren Ehemann ausgehe. Die Weitergabe der personifizierten Daten sei nämlich nicht kausal für den eingetretenen Schaden geworden, weil die Weitergabe die Gefährdungslage nicht erhöht habe.
Damit sei der Phishing-Vorgang auf dem Konto der Klägerin von dieser nicht im Sinne des § 675v Abs. 3 BGB ursächlich herbeigeführt worden. Ein Schadensersatzanspruch der Bank gegen die Klägerin scheide damit auch unter diesem Gesichtspunkt aus. Mit diesen Erwägungen gab das LG der Klage auf Kontoausgleich statt.
(LG Nürnberg-Fürth, Urteil v. 17.7.2020, 6 O 5935/19).
Hintergrund: Welche Straftatbestände werden beim Phishing erfüllt?
Phishing, das sich zusammensetzt aus den englischen Wörtern Password und Fishing, meint das Ausspionieren von Passwörtern oder anderen geheimen Daten im Internet. Wie machen sich die Täter damit strafbar?
- Durch das Erstellen der gefälschten Website sowie der gefälschten Email kann eine strafbare Marken- bzw. Urheberrechtsverletzung (§ 143 MarkenG, §§ 106 ff. UrhG) sowie eine Strafbarkeit gemäß § 263a Abs.3 (Vorbereitung eines Computerbetrugs) und § 269 1.Alt. StGB (Fälschung beweiserheblicher Daten) gegeben sein.
- Durch das Versenden der gefälschten Email wird der Straftatbestand des § 269 2.Alt. StGB und des versuchten Betruges gemäß § 263 StGB erfüllt.
- Werden mittels Phishing tatsächlich vertrauliche Zugangsdaten erlangt, liegt ein vollendeter Betrug gemäß § 263 StGB vor.
- Die Verwendung der erschlichenen Daten und die Geldabhebung stellt einen Computerbetrug gemäß § 263a StGB dar.
Schlagworte zum Thema:
Cyberkriminalität, Schadensersatz
-
Italienische Bußgeldwelle trifft deutsche Autofahrer
2.943
-
Wie kann die Verjährung verhindert werden?
2.041
-
Klagerücknahme oder Erledigungserklärung?
1.654
-
Wohnrecht auf Lebenszeit trotz Umzugs ins Pflegeheim?
1.5782
-
Diese Compliance-Regelungen gelten für Geschenke und Einladungen
1.381
-
Brief- und Fernmelde-/ Kommunikationsgeheimnis: Was ist erlaubt, was strafbar?
1.380
-
Gerichtliche Ladungen richtig lesen und verstehen
1.340
-
Patronatserklärungen: Wirkung, Varianten und praktische Bedeutung
1.333
-
Überbau und Konsequenzen – wenn die Grenze zum Nachbargrundstück ignoriert wurde
1.169
-
Wann muss eine öffentliche Ausschreibung erfolgen?
1.110
-
Rechtsunsicherheit für die Kundenanlage
17.12.2024
-
Die Verordnung über das Verbot von Produkten, die in Zwangsarbeit hergestellt wurden
11.12.2024
-
Änderungen des Energiewirtschaftsrechts – Was kommt noch nach dem Ampel-Aus?
10.12.2024
-
Anteil der Zahlungen von Cyber-Versicherungen wegen Datenschutzverstößen steigt stetig
06.12.2024
-
Das Scraping-Urteil des BGH zum Facebook-Datenleck
04.12.2024
-
BGH begrenzt Zulässigkeit von Skonti auf verschreibungspflichtige Arzneimittel
03.12.2024
-
Microsoft Advertising haftet bei fehlender Einwilligung automatisch gesetzter Cookies
28.11.2024
-
Rückbeteiligung bei Unternehmensverkäufen: Chancen und Herausforderungen
26.11.2024
-
Diese Compliance-Regelungen gelten für Geschenke und Einladungen
25.11.2024
-
Risiko der Betriebsstättenbegründung durch mobiles Arbeiten im Ausland
18.11.2024
Bild: Haufe Online Redaktion
Aktuelle Informationen aus dem Bereich Wirtschaftsrecht frei Haus - abonnieren Sie unseren Newsletter:
- Handels- und Gesellschaftsrecht
- Gewerblicher Rechtsschutz
- Vertriebsrecht