Bekommen Phishing-Opfer ihr Geld zurück?
Vorsicht vor Phishing-Mails! – In letzter Zeit steigt nach Auskunft der Banken und Sparkassen die Zahl der Phishing-Opfer. Hintergrund hierfür könnte die Umstellung auf das neue SEPA-System sein.
Phishing-Täter forderten in diversen E-Mails ihre Opfer auf die eigene PIN einzugeben und die persönlichen Daten zu überprüfen. Die E-Mails wirken auf die Opfer authentisch, von der Gestaltung wie von der eigenen Sparkasse, von der Postbank oder von der Commerzbank und dass anlässlich der SEPA-Umstellung die seitens der Bank hinterlegten Kundendaten zu überprüfen. Alleine im Juni 2014 sind diverse Phishing-Mails vermeintlich der Advanzia Bank S.A., der Volksbank (Betreff z.B. “bestätigung Ihrer Zahlung an #317345”) oder der Deutschen Telekom AG (Betreff z.B. “RechnungOnline Monat Juni 2014, Buchungskonto: 1861618041”) bekannt geworden. Nichts ahnend lockten sich daraufhin einige Kunden mit ihrer PIN auf der Seite ein, zu der sie durch den Link in der E-Mail gelangten. Hier konnten sie nun ihre eigenen Daten verifizieren, wobei auch diese Seite täuschend echt aussah. „Vielen Dank“ erscheint vielen Bankkunden rückwirkend als blanker Hohn.
Betrugsmasche mit Erfolg für Täter und großem Nachsehen für Phishing-Opfer – gegen Sorgfaltspflicht für PIN verstoßen
Denn die Täter nutzen die PIN, um kurze Zeit später horrende Geldbeträge vom Konto abzuheben. Jeder Bankkunde, der hierauf reingefallen ist, scheint rechtlich Pech zu haben: Ein Anspruch gegen die eigene Bank, die Kontobelastung der Überweisung rückgängig zu machen, besteht grundsätzlich nämlich nicht. Zwar hat der Kunde die Überweisung nicht selbst in Auftrag gegeben, sodass an sich kein Aufwendungsersatzanspruch der Bank besteht, gegen einen Zurückbuchungsanspruch des Kunden aber in der Regel ein aufrechenbarer Schadensersatzanspruch der Bank, weil der Kunde durch die Preisgabe seiner PIN in der Phishing-Mail zumeist gegen seine Sorgfaltspflichten verstoßen hat. Es bleibt dann nur die Möglichkeit, mittels einer Strafanzeige sowie eines beauftragten Rechtsanwalts, der Akteneinsicht dann nimmt, zu hoffen, dass die Täter ermittelt werden und das erlangte Geld noch nicht ausgegeben haben.
Beweiserbringung: Hackerangriff auf Bankserver oder Phishing-Mail
Lässt sich dagegen nicht mehr aufklären, ob der Kunde tatsächlich auf eine Phishing-Mail reingefallen ist, oder ob die Täter auf andere Weise an die PIN gelangt sind (grundsätzlich nicht auszuschließen ist ein Hackerangriff auf den Server der Bank), so sehen die rechtlichen Karten des geschädigten Kunden durchaus besser aus. Denn die Bank hat nicht nur nachzuweisen, dass der Kunde selbst die Überweisungen in Auftrag gegeben hat, sondern vielmehr auch, dass er seine Sorgfaltspflichten eventuell verletzt hat. Die Bank müsste dann beweisen, dass entweder der Kunde selbst die Überweisung getätigt hat (ein Anscheinsbeweis durch die Verwendung der richtigen PIN ist seit der gesetzlichen Neuregelung zweifelhaft und zumindest im Telefon-Banking ausgeschlossen) oder, dass der Kunde auf eine Phishing-Mail geantwortet hat. Dies kann und wird der Bank in vielen Fällen nicht gelingen.
