Phishing beim Online-Banking: Beweislast liegt bei der Bank
Online-Banking: Wenn jemand anderes als der Inhaber eines Kontos Geld abbucht, dann ist das Geldinstitut in der Pflicht, nachzuweisen, dass diesen "diebischen Transfer" der Kunde selbst verschuldet hat. Kann die Bank keine Beweise erbringen, muss sie dem Kunden das gestohlene Geld ersetzen. Das hat das OLG Oldenburg am 15. Januar des aktuellen Jahres entschieden (8 O 1454/15).
Im konkreten Fall hatte sich ein Mann an das Gericht gewandt, weil von seinem Konto im Zeitraum vom neunten bis dreizehnten März des Vorjahres vierzig Überweisungen abgegangen waren, die er nicht zu verantworten hatte. Der Nutzer des Online-Banking-Verfahrens hatte das System fünfzehn Jahre lang problemlos verwendet und war jüngst auf das neue Tan-Verfahren seiner Bank, die Tan Vergabe per SMS „M-Tan“, eingestiegen, so ward im Versicherungsjournal geschrieben.
Anzeige
Diebstahl auf Online-Konto: Wer haftet?
Über diese M-Tan nun schienen 11.400 Euro verschwunden zu sein. Ohne, dass der Mann etwas von dem Geld gehabt hätte und vor allem: ganz ohne seine Schuld war dieses Geld abhanden gekommen. Wer trägt die Verantwortung und wer ersetzt die Diebstahlsumme? Die Bank jedenfalls wollte den Betrag nicht ersetzen. Sie unterstellte ihrem Bankkunden, dieser Vorfall hätte sich nur deshalb ereignen können, weil sich der Bestohlene „grob fahrlässig Apps aus nicht sicherer Quelle auf sein Mobiltelefon“ geladen habe.
Das Landgericht fand den Vorwurf der Bank nicht überzeugend und sprach dem Bankkunden das Recht zu. Für den „Anschein“ gab es keinen Beweis seitens der Bank, die sich, so entschied das Gericht, damit nicht auf die Grundsätze des „Beweises des ersten Anscheins“ berufen könne.
Beweise des ersten Anscheins
In vergleichbaren Fällen standen jeweils die Umstände des Einzelfalls zur Berücksichtigung, und die Umstände des vorliegenden Falles würden eindeutig für den Kläger sprechen. Entsprechend des Paragraphen § 675u Satz 2 BGB steht es dem Kläger zu, dass die Bank ihm das von den Betrügern gestohlene Geld wieder seinem Konto zuführt.
Denn nachdem das Gericht ausführlich Beweise aufgenommen hatte, kam es zu dem Schluss, dass der Kläger das Opfer eines ausgetüftelten Phishing-Angriffs war. Die Täter sind dabei sehr professionell vorgegangen, der Bestohlene war also von fahrlässigem Handeln, wie es ihm die Bank unterstellte, weit entfernt.
Bank in der Nachweispflicht
Nun hätte die Bank nachweisen müssen, dass die Überweisungen vom Konto ihres Bankkunden durch ihn autorisiert worden waren – die elektronische Aufzeichnung der Zahlungsvorgänge durch die Bank reichte dafür jedoch nicht aus.
So begründete das Gericht die Entscheidung zugunsten des Bankkunden, der innerhalb weniger Tage elftausend Euro weniger auf dem Konto hatte, mit dem Paragraphen §675w aus dem Bürgerlichen Gesetzbuch.
Anzeige
Der Wortlaut darin ist: „Wurde der Zahlungsvorgang mittels eines Zahlungs-Authentifizierungs-Instruments ausgelöst, reicht die Aufzeichnung der Nutzung des Zahlungs-Authentifizierungs-Instruments einschließlich der Authentifizierung durch den Zahlungsdienstleister allein nicht notwendigerweise aus, um nachzuweisen, dass der Zahler
- 1. den Zahlungsvorgang autorisiert,
- 2. in betrügerischer Absicht gehandelt,
- 3. eine oder mehrere Pflichten gemäß § 675l [BGB] verletzt oder
- 4. vorsätzlich oder grob fahrlässig gegen eine oder mehrere Bedingungen für die Ausgabe und Nutzung des Zahlungs-Authentifizierungs-Instruments verstoßen hat.“