Haftung von Banken bei nicht autorisierten Zahlungsvorgängen (etwa Phishing-Angriffen)

Haftung von Banken bei nicht autorisierten Zahlungsvorgängen (etwa Phishing-Angriffen)

Im Online-Banking-Zeitalter geraten Banken und Kunden regelmäßig in Streit, wenn durch Betrug (z.B. Phishing) unautorisierte Zahlungen erfolgen. Die aktuelle Rechtslage und die Gerichtsentscheidungen dazu sind für Laien oft verwirrend. Im Zentrum stehen das Bürgerliche Gesetzbuch (BGB) und die europäische Zweite Zahlungsdiensterichtlinie (PSD2).

Grundsatz:

Schutz des Kunden und Beweislast der Bank
Der Ausgangspunkt ist klar im Gesetz (§ 675u BGB) verankert:

Erstattungsanspruch:

Wurde ein Zahlungsvorgang nicht autorisiert (d.h., Sie haben ihn nicht bewusst gewollt oder zugestimmt, wie z.B. bei Phishing), muss die Bank Ihnen den Betrag unverzüglich erstatten.

Beweislast der Bank:

Die Bank trägt die volle Beweislast (§ 675w BGB). Sie muss nachweisen, dass die Zahlung tatsächlich autorisiert wurde (z.B. durch Nutzung eines sicheren 2-Faktor-Verfahrens) oder dass Sie den Schaden durch grobe Fahrlässigkeit verursacht haben.

Die Ausnahme: Grobe Fahrlässigkeit des Kunden

Der Schutz des Kunden entfällt, wenn die Bank nachweisen kann, dass der Kunde den Schaden durch eine grob fahrlässige Verletzung seiner Sorgfaltspflichten herbeigeführt hat (§ 675v Abs. 3 BGB).

Was Gerichte als grobe Fahrlässigkeit sehen:

Weitergabe von Zugangsdaten/TANs: Werden PIN, Passwort und TANs, oft an angebliche Bankmitarbeiter oder über gefälschte Phishing-Seiten, leichtfertig weitergegeben, wird dies oft als grob fahrlässig eingestuft.

Ignorieren klarer Warnsignale:

Wenn eine Phishing-E-Mail offensichtliche Rechtschreibfehler, unpersönliche Anreden („Sehr geehrter Kunde“) oder unlogische Forderungen enthält, hätte der Kunde die Täuschung erkennen müssen.

Wann Kunden trotz Fehlern haften:

Ein Urteil des OLG Oldenburg verneinte die Haftung der Bank, weil die Kundin auf eine Phishing-Mail mit klaren Mängeln (Rechtschreibfehler, unpersönliche Anrede) reagiert und ihre Daten preisgegeben hatte.

Haftung der Bank trotz Kundenfehler: Die PSD2-Sicherheit

Einige neuere Urteile führen zu einer Mithaftung der Bank, selbst wenn beim Kunden eine grobe Fahrlässigkeit vorlag. Das ist der Fall, wenn die Bank gegen die Sicherheitsanforderungen der PSD2 verstößt, insbesondere gegen die Pflicht zur Starken Kundenauthentifizierung (SCA):

Verstoß gegen SCA:

Nach § 675v Abs. 4 BGB haftet der Kunde nicht, wenn die Bank die gesetzlich vorgeschriebene starke Kundenauthentifizierung (2-Faktor-Verfahren, z.B. Passwort + TAN) nicht verlangt hat.

Mithaftung (Quotelung):

Das OLG Dresden urteilte, dass bei einem Phishing-Angriff, bei dem der Kunde grob fahrlässig handelte, die Bank dennoch mithaften muss (hier 20 % des Schadens), wenn sie es versäumt hatte, bei kritischen Schritten (z.B. Login) einen zweiten Faktor zu verlangen. Dies signalisiert, dass die System-Sicherheitspflicht der Bank bestehen bleibt, auch wenn der Kunde einen Fehler macht.

Haftung von Banken bei nicht autorisierten Zahlungsvorgängen (etwa Phishing-Angriffen)

Die Notwendigkeit der unverzüglichen Meldung

Für den Kunden ist es entscheidend, sofort zu handeln, sobald ihm eine unautorisierte Zahlung auffällt.

Pflicht zur Meldung:

Sie müssen Ihrer Bank den Vorfall unverzüglich melden (§ 676b BGB).

Wirkung der Meldung:

Mit der Meldung wird der gesetzliche Erstattungsanspruch (§ 675u BGB) ausgelöst. Die Bank muss dann spätestens bis zum Ende des nächsten Geschäftstags den Betrag Ihrem Konto gutschreiben.

Konsequenz bei verspäteter Meldung:

Wenn Sie die unautorisierte Zahlung nicht spätestens 13 Monate nach der Abbuchung melden, erlischt Ihr Erstattungsanspruch.

Checkliste: Sofortmaßnahmen bei Betrug

Bank kontaktieren und Sperren:

Rufen Sie unverzüglich die Sperrhotline (z.B. 116 116) oder Ihre Bank an und lassen Sie den Zugang und die Karte sperren.

Schriftliche Forderung:

Fordern Sie die Bank schriftlich zur sofortigen Erstattung des unautorisierten Betrags unter Berufung auf § 675u BGB auf.

Beweise sichern:

Machen Sie Screenshots der Phishing-Mail oder -Webseite und des Kontobewegung.

Strafanzeige stellen:

Erstatten Sie Anzeige bei der Polizei und notieren Sie sich das Aktenzeichen.

Dieses Vorgehen optimiert Ihre Position und setzt Ihre Rechte gegenüber der Bank durch.