Betrug bei online Nutzung von Kreditkarten und Online-Banking weiter auf extrem hohen Niveau
Die Zahl von Betrugsfällen ist weiter auf einem erschreckend hohen Niveau.
Ursache dafür sind neben den immer professionelleren Angriffsmethoden die regelmäßig zu langsame Anpassung der Systeme an die aktuellen Betrugsmaschen durch Banken und Sparkassen.
So etwa die sinngemäße Äußerung eines Bankvertreter in einer mündlichen Verhandlung, der meinte, die Systeme seien zwar sicher, aber die Kunden würden es offenbar nicht verstehen. Sichere Systeme müssen aber auch so gestaltet sein, dass der Kunde sie versteht, sonst sind Fehlnutzungen immanent.
Täter versuchen im Rahmen der Angriffe im Ergebnis regelmäßig, ein neues Authentifzierungsverfahren, etwa GooglePay, ApplePay oder auch SamsungPay (auf einem fremden Mobiltelefon) freizuschalten oder ein neues Mobiltelefon als Authentifizierungsgerät für das Online Banking oder die Kreditkarte zu registrieren.
Erleichtert wird den Tätern dies durch Banken, die weiter auf sog. mTAN (mittels SMS) für diese Freigaben und so auf ein bekannt angreifbares System setzen, so auch das BSI.
So auch ein von uns erstrittenes Urteil am AG Langen, inzwischen rkr.
Haben die Täter dies geschafft, haben sie letztlich freien Zugriff, die Kreditkarte, die Debitkarte oder das Konto zu plündern. Von den eigentlichen Verfügungen erfährt der Kunde häufig erst mit der nächsten Abrechnung.
Rechtslage
Ist es zu einem solchen Schaden gekommen, handelt es sich regelmäßig um nicht autorisierte Verfügungen, da es an einer Autorisierung der Verfügungen durch den Berechtigten fehlt.
1. unautorisierte Verfügung
Danach sind die Verfügungen taggleich durch die Bank oder Sparkasse dem Konto wieder gutzuschreiben, § 675u Satz 2 BGB. Dies ist idR unproblematisch, da eine Autorisierung eben nicht vorliegt.
Einige Banken versuchen noch, sich auf einen so. Anscheinsbeweis zu berufen, der nach (bestrittener) Auffassung auch im Bereich des Online Bankings möglich ist, wenn die Bank ein faktisch und technisch unüberwindbares Sicherheitssystem (zum Zeitpunkt des Angriffs) darlegt und nachweist.
In der Regel hilft dies der Bank aber nicht weiter, da dieser eigentlich immer durch einen sog. atypischen Geschehensablauf erschüttert werden kann und viele Gerichte daher dem Beweisangebit für den Anscheinsbeweis schon gar nicht mehr nachgehen.
2. Pflichtverletzung des Kunden
Der entscheidende Punkte ist vielmehr der vermeintliche Gegenanspruch der Bank nach § 675v Abs. 3 Nr. 2 BGB. Hat der Kunde vorsätzlich oder grob fahrlässig Pflichten des Zahlungsdienstevertrags verletzt, hat die Bank einen Schadensersatzanspruch, den sie dem Anspruch des Kunden auf Wiedergutschrift entgegen halten kann.
Dabei muss die Bank darlegen und beweisen, dass der Kunde Sicherheitsmerkmale (Passwort, PIN, TAN, nicht dagegen die Daten der Kreditkarte oder die CVV) an Dritte weiter- oder auf einer erkennbar gefälschten Seite eingegeben hat.
Wenn dies der Fall sein sollte, kommt es im Einzelfall darauf an, ob dies eine besonders schwerwiegende Pflichtverletzung in objektiver und subjektiver Hinsicht war.
Hier müssen alle Umstände des Einzelfalls betrachtet werden.
So wurde in der Vergangeheit in eigenen Fällen (uns bestätigt durch den Ombudsmann des BdB) bereits die psychsiche Erkrankung oder die Alkoholabhängigkeit der Kunden berücksichtigt, auch ein fortgeschrittenes Alter und eine besondere Unerfahrenheit des Kunden mit modernen Verfahren kann ein Argument sein.
Unklare Texte bei der Übersendung von TANs (sog. Visualisierungstexte) kann ein Verschulden des Kunden ausschließen, dazu der Hinweis in unserem Verfahren am LG Bielefeld.
3. Mitverschulden der Bank
Ist eine mindestens grob fahrlässige Pflichtverletzung des Kunden anzunehmen, stellt sich abschließend die Frage, ob die Bank ein Mitverschulden trifft, die den Gegenanspruch der Bank mindert.
Banken trifft die Pflicht, auf bekannte Betrugsmaschen angemessen zu reagieren. Details dazu sind streitig. Allerdings ist zB zu beobachten, dass einzelne Banken nun häufig schneller auf auffällige Verfügungen nach Registrierung eines neuen Mobiltelefons reagieren und auch nur Mobiltelefone zur Registrierung zulassen, die mittels Bluetooth mit dem aktuellen Handy verbunden sind. Diese Maßnahme allein unterbindet zahlreiche Betrugsmuster mit einfachen Mitteln. Viele Banken nutzen dies aber nicht.
Dennoch lassen viele Banken leider weiter das unsichere mTAN zu.
Ein Mitverschulden kann auch in der Überschreitung von kundenschützenden Limits liegen. Dann scheidet eine Haftung des Kunden aus, so ein ebenfalls von uns erstrittenes Urteil des LG Zweibrücken.
aktuelle Betrugsmaschen
Als aktuell (teilweise seit fast 4 Jahren) zu beobachtende Betrugsmaschen sind weiterhin auf dem Vormarsch
- (ebay) Kleinanzeigen
Dabei handelt es sich um den Klassiker des Betrugs über Verkaufsplattformen, der aber auch extrem professionell mit perfekt gefälschten Seiten, Emails, Livechat, etc agiert und Verkaufswillige zur Registrierung ihrer Kreditkarte für das (tatsächlich existente) Bezahlsystem "Sicher Bezahlen" veranlasst. Dabei verbleibt es oft unklar, welche Daten der Kunde tatsächlich eingibt
So wird die Karte dann mit einem anderen Handy verknüppt oder etwa Google- oder ApplePay aktiviert.
Jüngst konnten wir dazu ein positives Urteil am AG Minden erzielen, dazu unten.
- Booking.com
Hier wird der Kunde mittels gehackter Konten von Hotelanbietern über die Plattform kontaktiert und die nochmalige Zahlung der bereits gebuchten Reise gefordert.
- vinted
Funktioniert strukturell vergleichbar dem Betrug über Kleinanzeigen.de.
- etsy
In diesem Betrugsmuster meldet sich bei neu angemeldeten Verkäufern vermeintlich der Anbieter der Plattform (ebenfalls perfekt gemacht) und verlangt eine Testzahlung zur Authentifizierung, da sonst die Sperrung des Accounts drohe.
- DHL
Bei solchen idR per SMS versandten Mitteilung von Transportunternehmen werden kleine Beträge wegen Zoll- oder Versandgebühren angefordert und so Kartendaten abgephisht.
- Call-ID Spoofing
Diese Betrugsmasche ist im Online Banking beliebt. Hier wird unter Nutzung der echten Nummer der Bank (gespooft) der Kunde angerufen. Dabei sind die Täter bereits im Online Banking des Kunden eingeloggt. Dies macht den Betrug extrem gefährlich, da der Täter alle Daten des Kunden kennt.
Nun werden psychologisch geschickt verschiedene "Schreckensszenarien" skizziert, die eine TAN-Ein- oder Weitergabe erfordern würden. Dies ist in letzter Zeit verstärkt bei Commerzbank, Comdirect, Postbank und Targobank zu beobachten.
- Pharming / gefälschte Zugangsseiten
Das Nutzen von gefälschen Seiten zum Abfangen von Daten ist (bzw war) aktuell zB bei C24 und Solaris zu beobachten, war aber schon bei verschiedensten Banken zu beobachten und ist letztlich auch nicht sicher zu verhindern.
- Phishing Emails
Zudem bleiben auch klassische Phishing Emails ein weit verbreitetes Phänomen. Durch technische verbesserte Möglichkeiten sind diese vermeintlich von der eigenen Bank stammenden Emails inzwischen ohne erkennbare Rechtsschreibschwächen und mit richtigen Impressumtexten und kopierten Logos täuschend echt.
Als Anlass werden häufig tatsächliche Anlässe wie Aktualisierungen von Authentifizierungs-App genutzt oder vermeintliche Kontosperren und GWG-Pflichten, so dass Verbraucher genau prüfen müssen, ob diese echt sind. Generell sollte man auf solche Emails im Zweifel nicht reagieren.
Banken müssen sich aber auch hier den Vorwurf gefallen lassen, selbst in verschiedenen Anliegen den Kunden per Email zu kontontaktieren, so dass Kunden den Kommunikationsweg nicht generell als Betrug einordnen können.
- weitere Betrugsmaschen wie Quishing und gefälschte Briefe
Natürlich ist die vorstehende Auflistung nicht abschließend und es kommen auch Betrugsversuche mit gefälschten Briefen der Bank und gefälschten QR-Codes (Quishing) und Kombinationen (SMS und Phishing = Smishing und Anruf/Voice und Phishing = Vishing) vor.
SALEO mit der Erfahrung von zahlreichen Entscheidungen und fast 1.000 Verfahren
Unsere Kanzlei besitzt inzwischen die Erfahrungen aus annähernd 1.000 Verfahren in diesem Bereich gegen alle gängigen Zahlungsdienstleister, etwa die Commerzbank, einschließlich Comdirect, die Deutsche Bank, die Postbank, Targobank, DKB, TF Bank, Advanzia, Hanseatic, Consors, Barclays Solaris, N26, LBB, ING und zahlreiche Sparkassen und Genossenschaftsbanken.
Alleine in den letzten Wochen konnten wir Urteile an den Amtsgerichten Minden und Mitte sowie dem LG Darmstadt erzielen (alle nrkr).
Auch zahlreiche positive Ombudsmannentscheidungen konnten wir erreichen, auch hier.
SALEO Rechtsanwälte führende Kanzlei im Bereich Online-Banking Betrug und Kreditkartenbetrug
Unsere führende Positionierung in diesen Bereichen haben enommierte Verbraucherportale (finanztip.de und test.de) festgestellt.
Finanztip.de
Test.de
Beratung sinnvoll
RA Sebastian Koch, Fachanwalt für Bank- und Kapitalmarktrecht hat daher gegenüber zahlreichen Banken und Sparkassen in verschiedensten Schadenskonstellationen (Phishing, Pharming, Spoofing) die Erstattung ganz oder teilweise erfolgreich durchgesetzt und auch Ansprüche gegenüber den Empfängern der Zahlungen durch Adhäsionsanträge geltend gemacht.
Wenn auch Sie geschädigt sind, bieten wir eine Prüfung Ihrer Ansprüche durch einen qualifizierten Fachanwalt für Bank- und Kapitalmarktrecht an. Die Ersteinschätzung erfolgt dabei kostenfrei und unverbindlich.
Für rechtsschutzversicherte Mandanten holen wir kostenfrei die Deckungszusage ihrer Versicherung ein.
Rechtsanwalt Sebastian Koch
Fachanwalt für Bank- und Kapitalmarktrecht
www.saleo-recht.de/lp-bankrecht
www.saleo-recht.de/kreditkartenmissbrauch
www.saleo-recht.de/onlinebanking-betrug-und-missbrauch
