Haftung beim Phishing
Das AG Frankfurt am Main hat mit Urteil vom 24.03.2016 (Az.: 32 C 3377/15 (72)) eine Klage einer Bankkundin gegen die Postbank abgewiesen, in einem Verfahren, dem eine betrügerische Überweisung mittels Phishing zugrunde lag. Die Kundin hatte auf eine relativ professionell aussehende Phishing-E-Mail hin ihre Zugangsdaten zum Telefonbanking übermittelt und dadurch unbekannten Betrügern ermöglicht, von ihrem Girokonto EUR 4.900,- zu überweisen.
Das Gericht geht in diesem Fall von einer grob fahrlässigen Verletzung der Pflichten eines Bankkunden nach § 675l S. 1 BGB aus. Danach müssen sog. Zahlungsauthentifizierungsinstrumente vor unbefugtem Zugriff geschützt werden.
Das Amtsgericht führt hierzu aus, dass es einem durchschnittlichen und regelmäßigen Verwender des Online-Bankings – Telefonbanking hatte die Klägerin nicht genutzt – bekannt sein muss, dass Kriminelle im Internet versuchen, durch Versendung von Phishing-Mails an sensible Daten zu gelangen. Der Klägerin hätte nach Ansicht des Gerichts bekannt sein müssen, dass die Medien seit Jahren regelmäßig über Phishing-Attacken berichten.
In rechtlicher Hinsicht ist entscheidend, dass das Gericht von einer sog. groben Fahrlässigkeit ausgegangen ist und auch ausgehen musste, weil eine einfache Fahrlässigkeit nicht ausgereicht hätte und in diesem Fall das Missbrauchsrisiko vielmehr bei der Bank gelegen hätte.
Ob bei einer einigermaßen professionell aussehenden Phishing-Mail tatsächlich ein Fall grober Fahrlässigkeit angenommen werden kann, also die Außerachtlassung derjenigen Sorgfalt, die sich praktisch jedem aufdrängen muss, ist höchstrichterlich nicht geklärt und aus meiner Sicht diskutabel.
m.E. besteht da keinerlei Diskussionsbedarf. Wer einigermassen regelmässig online-Banking betreibt, kann die Warnhinweise der Banken „wir werden niemals Zugangsdaten per eMail abfragen“ nicht nur mitten in der Nacht vorbeten, sondern auch berücksichtigen.
Comment by ich — 6.04, 2016 @ 09:54
Banken sind uU ein spezieller Fall, da sie explizit klarstellen, dass sie solche Mails niemals versenden. Da gibt es also eigentlich keinen Raum fuer eine Fahrlaessigkeit in der Entscheidung, ob eine Mail wirklich echt ist oder nicht.
Comment by h s — 6.04, 2016 @ 10:33
Die Bamken versenden keine Mais, aber Tan-Nummern über Handy. Sie die Haspa.
Über Mails kann man aber mit Banken kommunizieren.
Comment by Rolf Schälike — 6.04, 2016 @ 14:55
Banken verschicken Mails, die Links zum Onlinebanking enthalten. Ich habe solche Mails bekommen, auf Nachfrage wurde mir bestätigt, daß diese Mails echt waren.
Comment by N. — 6.04, 2016 @ 16:48
Den Diskussionsbedarf kann man aber auch nur unter Ausserachtlassung des gesunden Menschenverstandes sehen ;-)
Wenn ein echt aussehender, aber falscher, Bankangestellter in Betrugsabsicht einen Bankkunden ein Überweisungsformular unterschreiben lässt – haftet dann die Bank ?
Wenn es nicht zu einer Sicherheitslücke kommt, sondern ein Dritter einen Betrug begeht und sich dabei nicht der bankeigenen Technik bedient, dann sollte doch nicht die Bank haften ?
Comment by christian — 6.04, 2016 @ 18:16
@ich
[…] „wir werden niemals Zugangsdaten per eMail abfragen“[…]
Hm….und wie schaut es mit „Bitte loggen Sie sich über >LINK zur Bankseite< auf Online-Banking xyz ein"?
Werden solche Mails von Banken versendet?
bombjack
Comment by Bj68 — 7.04, 2016 @ 06:43
Die Banken beschäftigen teure Juristen mit dem Ziel, den Kunden in immer größerem Maße die Schuld für Fehler, Eingriff von Kriminellen zuschieben zu können. Die Gewinne der Banken müssen steigen, die Verluste auf die Kunden abgewälzt werden .
Comment by Rolf Schälike — 7.04, 2016 @ 09:26
Um betrug zu vermeiden muss ich eine email auch im ’nur text‘ modus ansehen können. Bei html mails wird in vielen mailprogrammen die url vor dem klicken nicht angezeigt. Leider gibt es viele untetnehmen die explizit nur html mails versenden. Kabel/vodafon ist so einer. Nur html mail, rechnungen nur mit einloggen abrufbar und das nur via html-mail. Ich sehe das als bewust in kauf genommenes sicherheitsridiko das diese firmen in kauf nehmen.
Comment by Troll — 7.04, 2016 @ 10:48
Die Bank hat keinerlei Einfluss auf jegliche Phishing-Mail von Dritten. Darum kann sie nicht zur Haftung gezwungen werden.
Comment by Wolf-Dieter — 7.04, 2016 @ 13:09
Der Vollidiot sitzt immer vor dem Bildschirm. Endlich mal klare Kante. Natürlich wälzen Banken die Verantwortung auf die Kunden ab, aber diese sind (noch) nicht gezwungen, das Angebot des Online-Banking anzunehmen. Wenn es irgendwann so kommt, dass Banken darauf bestehen, alles durch Kunden online durchführen zu lassen, wird die Haftung dafür umgekehrt, da bin ich ganz sicher. Doch das werden sich die Raubvögel gut überlegen. Ein paar Filialen können auch in Zukunft nicht schaden. Man mag sich nicht ausmalen, was auf die Kunden zukommt, sollte das Bargeld in naher oder ferner Zukunft abgeschafft werden. Doch da wird das Bundesverfassungsgericht das letzte Wort sprechen, wenigstens für Deutschland.
Früher, als ich online ging (in der Steinzeit), nutzte ich als Mensch das Web, heute benutzt das Web bereits die Menschen. Echt übel.
Comment by Bengelbert — 8.04, 2016 @ 17:06
Nicht nur aus Ihrer Sicht. Meiner persönlichen Meinung nach darf kein Kunde dafür bestraft werden wenn er auf eine Phishing-E-Mail herein fällt. An welcher Stelle wollen sich die Banken den noch alles rausreden und die Gerichte, mit Personen die sich mit sowas NULL auskennen (und sich auch zu fein sind nachzufragen), sollen dann darüber Urteilen. Das da nur Müll rauskommt ist klar. Aber in Deutschland gibt es sowieso keine Gerechtigkeit (ist auch gar nicht gewollt), sondern nur Recht (das teilweise völlig abstrus ist).
Comment by Walter Wallach — 13.04, 2016 @ 08:03
@ Walter Wallach
Ich glaube die NULL-Nummer geht eher an Sie. Wer zu blöd ist, mit dem Internet umzugehen, dem können Richter und Banken auch nicht helfen. Gibt ja auch Leute die notieren sich ihre Geheimzahl auf der Rückseite der EC-Karte.
Comment by Rudi Radlos — 13.04, 2016 @ 20:41