Internet-Law

Onlinerecht und Bürgerrechte 2.0

15.9.11

Haftung der Bank beim Phishing

Das Landgericht Landshut hat mit Urteil vom 14. Juli 2011 (Az.: 24 O 1129/11) einen äußerst interessanten Fall zum sog. Phishing entschieden.

Der Kläger hat  das von seiner Bank angebotene Online-Banking nach dem sog. iTAN-Verfahren genutzt. Anfang des Jahres 2011 wurde er Opfer eines Phishing-Angriffs. Durch einen auf seinem Rechner unbemerkt installierten Trojaner ist der Kläger auf eine Website geleitet worden, die der seiner Bank täuschend ähnlich sah. Dort wurde er wiederholt zur Eingabe von sog. Transaktionsnummern (TAN) aufgefordert. Der Kläger gabt dort insgesamt 100 (!) TAN’s ein.

Anschließend haben unbekannte Täter in 6 Einzelüberweisungen insgesamt 6000 EUR vom Konto des Klägers wegüberwiesen. Mit seiner Klage gegen die Bank verlangt der Kläger die Rückzahlung dieser 6000 EUR.

Das Landgericht Landshut hat der Klage stattgegegeben und die Bank zur Rückzahlung verurteilt.

Das Gericht stellt zunächst dar, dass im Rahmen des zwischen den Parteien bestehenden Girovertrages für die Überweisungen keine wirksame Anweisung des Klägers vorgelegen hat. Dies bedeutet, dass die Überweisung im Verhältnis zum Kläger das Kontoguthaben nicht wirksam geschmälert hat. Diese Argumentation ist zutreffend und juristisch nicht zu beanstanden.

Die entscheidene Frage lautet allerdings, ob dem Kläger ein Sorgfaltsverstoß vorzuwerfen war, der einen vertraglichen Schadensersatzanspruch der Bank gegen ihn begründet, mit der Konsequenz, dass der Kunde letztlich auf dem Schaden sitzen bleibt und nicht die Bank.

Eine solche Sorgfaltsverletzung hat das Landgericht verneint. Das Gericht wendet die Vorschrift des § 675v Abs. 2 BGB an, die die Haftung des Zahlers bei missbräuchlicher Nutzung eines Zahlungsauthentifizierungsinstruments regelt. Danach haftet der Zahler nur bei einer vorsätzlichen oder grob fahrlässigen Pflichtverletzung.

Der Kläger hat sicherlich fahrlässig gehandelt, was allerdings für eine Haftung nicht ausreichend ist. Die entscheidene Frage war also, ob auch die zusätzlichen Voraussetzungen einer groben Fahrlässigkeit gegeben waren, was das Gericht verneint hat.

Die Ansicht des Landgerichts, dass auch das Befolgen der Aufforderung, alle 100 TAN-Nummern einzugeben, keine grobe Fahrlässigkeit begründet, halte ich allerdings für diskutabel.

Wenn man von einem durchschnittlichen Online-Banking-Kunden ausgeht, dann muss man m.E. das Bewusstsein unterstellen, dass eine Bank niemals 100 TANs am Stück abfragen wird. Dass man dem Kläger hier zusätzlich zugute hält, dass er aus Osteuropa kommt und nur über eingeschränkte Kenntnisse der deutschen Sprache verfügt, halte ich für fragwürdig. Es dürfen und müssen zwar bei der Fahrlässigkeit auch subjektive Aspekte berücksichtigt werden. Andererseits wird man bei jemandem, der sich bewusst für das Online-Banking entscheidet, auch ein Mindestmaß an Verständnis unterstellen dürfen.

Ob das Urteil rechtskräftig geworden ist, ist mir nicht bekannt. Es ist aber anzunehmen, dass die Bank Berufung eingelegt hat.

Das Urteil zeigt in jedem Fall sehr deutlich, dass das Haftungsrisiko für einen Missbrauch im Bereich des Onlinebankings und auch im Bereich der EC-Karten-Zahlung vom Gesetzgeber deutlich auf die Zahlungsdienstleister verlagert worden ist. Der Kunde haftet nur für Vorsatz und grobe Fahrlässigkeit. Wann eine solche grobe Fahrlässigkeit tatsächlich vorliegt, ist allerdings immer eine Frage des Einzelfalls und häufig auch umstritten, wie der geschilderte Fall zeigt.

posted by Stadler at 10:39  

26.8.11

Das BKA und die Hysterie

Daran, dass der Präsident des Bundeskriminalamts Jörg Ziercke selten sachlich argumentiert, aber dennoch von Teilen der Politik Ernst genommen wird, habe ich mich gewöhnt, ebenso wie an den Umstand, dass Ziercke Bürgerrechtlern Hysterie vorwirft, während er gleichzeitig Ängste schürt.

Dass er flankierend eine gezielte Irreführung betreibt, muss aber immer und immer wieder deutlich angesprochen werden.  Ziercke behauptet nach einem Bericht von Heise-Online zum wiederholten Male, dass man schwerste Straftaten im Internet mit klassischen polizeilichen Ermittlungsmethoden nicht mehr aufklären könne, weshalb es bei schweren Straftaten wie Kinderpornografie oder im Kampf gegen den internationalen Terrorismus möglich sein müsse, auf Verbindungsdaten mindestens sechs Monate zurückzugreifen.

Diese Aussagen sind gleich in mehrfacher hinsicht falsch und stehen z.T. auch in Widerspruch zu eigenen Veröffentlichungen des BKA. Wenn man auf die Polizeiliche Kriminalstatistik – auf deren begrenzte Tauglichkeit ich mehrfach hingewiesen habe – zurückgreift, dann zeigt sich, dass die Aufklärungsquote bei Internetstraftaten nach wie vor über dem Durchschnitt liegt. Davon, dass Internetstraftaten nicht mehr aufklärbar seien, kann also gar keine Rede sein. Außerdem ist selbst das BKA der Ansicht, dass ein Zusammenhang zwischen Aufklärungsquoten und Vorratsdatenspeicherung nicht nachweisbar ist. Auf der Website des BKA kann man hierzu folgendes lesen:

Aufklärungsquoten der PKS können also weder als Argument für noch gegen Mindestspeicherfristen herangezogen werden

Vielleicht sollte Herr Ziercke einfach die Veröffentlichungen seines eigenen Hauses aufmerksamer verfolgen.

Wenn man mit Beamten des BKA spricht – ich hatte im letzten Jahr Gelegenheit dazu – ist im Zusammenhang mit Internkriminalität primär von der Bekämpfung von Betrugsstraftaten die Rede. Das ist auch nicht weiter verwunderlich, denn nach der PKS sind mehr als 80 % der Internetdelikte Betrugsfälle. Davon spricht Ziercke allerdings nicht.

Wenn der BKA-Präsident redlich argumentieren würde, so müsste er sagen, dass man mit der Vorratsdatenspeicherung die Hoffnung verbindet, zusätzlich eine gewisse – allerdings eher geringe – Anzahl von Betrugsdelikten aufzuklären. Stattdessen polemisiert er und redet ständig von schwersten Straftaten und von Terrorismus. Denn nur wenn es drastisch genug ist, kann man die Bevölkerung von der Notwendigkeit einer Vorratsdatenspeicherung überzeugen. Denn wer wird es schon für sinnvoll und angemessen halten, die Telekommunikationsverbindungsdaten sämtlicher Bürger für 6 Monate auf Vorrat zu speichern, wenn damit allenfalls – und selbst dies ist ungewiss – eine Handvoll Betrugsdelikte zusätzlich aufgeklärt werden können. Genau diese Diskussion wäre aber zu führen.

posted by Stadler at 10:42  

16.12.09

Dämliche Phishing-Mail

Aus einer in überzeugendem Deutsch gehaltenen Phishing-Mail, die ich vorher bekommen habe:

“Sie werden angewiesen, um die t-online.de E-Mail-Konto anmelden, um zu überprüfen, ob Ihr Konto noch gültig ist und senden Ihnen umgehend die Folowing:

Login-Name: …………………………….( Pflicht)
Passwort: ………………………………( Pflicht)
Geburtsdatum ……………………………( Optional)
Bundesland: ………………………………..( Optional)

Alles, was Sie tun müssen, ist Klicken Sie auf Antworten und geben Sie die oben genannten Informationen, Ihr Konto wird nicht unterbrochen werden und wird auch weiterhin wie gewohnt.”

Es gibt vermutlich selbst bei solchen Mails noch Leute, die brav ihre Daten hinschicken.

posted by Stadler at 14:38