Mittels immer raffinierterer Methoden schaffen es Täter dabei, an dynamisch generierte TANs zu gelangen, um Verfügungen auszulösen oder sogar neue Autorisierungsgeräte zu registrieren, die ihnen dann freien Zugriff ermöglichen.
Banken und Sparkassen mit strukturellen Sicherheitslücken
Begünstigt wird dies durch teilweise bestehende strukturelle Sicherheitslücken, wie RA Koch, Fachanwalt für Bank- und Kapitalmarktrecht beobachtet.
Koch: "Verschiedene Banken und Kreditinstitute haben den Wechsel eines Registrierungsgeräts in der Vergangenheit nicht postalisch abgesichert oder generierte TANS zeigten nicht an, welche Verfügung nun damit autorisiert werden soll."
Dies ermöglichte es den Tätern erst mit fingierten Anrufen und Darstellung, dass TANs nur erforderlichen Registrierungen oder der Verhinderung eines bereits erfolgten Missbrauchs dienen sollten, die Kontoinhaber zur Bekanntgabe solcher TANs zu veranlassen.
Grobe Fahrlässigkeit?
All diese Punkte sind zu bewerten, denn rechtlicher Kernpunkt der Auseinandersetzung mit der Bank, Sparkasse oder dem Kreditkartenunternehmen ist fast immer die Frage einer angeblich groben Fahrlässigkeit des Kunden.
Denn die Kunden autorisieren die dann stattfindenden Verfügungen nicht, so dass das Kreditinstitut dann nach § 675 u Satz 2 BGB die taggleiche Wiedergutschrift schuldet.
Nur bei einer grob fahrlässigen Pflichtverletzung hätte die Bank einen Schadensersatzanspruch in gleicher Höhe nach § 675v Abs. 3 Nr. 2 BGB.
Dies ist eine Frage des Einzelfalls und ob ein derart gesteigertes Maß an Sorgfaltspflichtverstoß vorliegt, ist auch von der Professionalität des Angriffs und der konkreten Situation und der Person des Kunden abhängig.
Es muss sich bei einem grob fahrlässigen Verhalten um ein auch in subjektiver Hinsicht unentschuldbares Fehlverhalten handeln, das ein gewöhnliches Maß erheblich übersteigt.
Daher kann eben gerade nicht bei einem Fall von Vishing, Phishing oder Pharming gerade nicht von einer groben Fahrlässigkeit ausgegangen werden.
Selbst wenn ein Schadensersatzanspruch des Kunden im Einzelfall anzunehmen ist, kommt immer noch ein Mitverschulden der Bank in Betracht.
Sebastian Koch: "Die Banken machen es sich in der Regel viel zu einfach, indem darauf verwiesen wird, dass die Weitergabe von TANs generell grob fahrlässig sei. Sie verweisen dabei auf alte Urteile zu noch viel älteren Sachverhalten, die mit den modernen Angriffsmethoden der Täter aktuell nichts zu tun haben und daher auch nicht übertragbar sind. Da es um einen subjektiven Vorwurf geht, ist jeder Fall individuell zu betrachten."
Mitverschulden der Bank beachten
Wichtig ist zudem, dass die Bank, die Online-Bezahldienste anbietet auch zur Unterhaltung angemessener Sicherheitssysteme verpflichtet ist. Dafür werden idR sog. Fraud-Prevention Abteilungen unterhalten und geeignete Algorithmen sollen typische Betrugskonstellationen erkennen.
Unterlässt dies die Bank oder macht dies nur unzureichend, kommt zumindest ein anteiliges Mitverschulden in Betracht.
Auffällige Konstellationen, die immer wieder zu beobachten sind, die aber nicht hinreichend von den Banken erkannt werden, sind
- Wechsel des Autorisierungsgeräts (Anmeldung eines neuen Handys oder Tablet zur Autorisierung)
- hohe Überweisungen als Echtzeitüberweisungen
- Überweisungen vom Tagesgeld- oder Sparkonto auf das Girokonto
- Rückruf von Lastschriften zum Auffüllen des Kontos
- Erhöhungen von Limits
- Überweisungen auf sog Fintech-Banken, die für Mängel bei der Identifikation von Kontoinhabern bei der Eröffnung bekannt sind.
In der Regel ist jede einzelne Maßnahme per se ggfs unverdächtig. Treten Sie aber - wie bei Missbrauchsfällen typisch - im Zusammenspiel in kurzer Frist auf, so muss die Bank dies erkennen und die Überweisungen stoppen. Tut sie dies nicht, ist dies ein Ansatz für den Einwand des Mitverschuldens.
Um dies zu ermitteln, ist es regelmäßig sinnvoll, das den Transaktionen zugrunde liegende Transaktionsprotokoll anzufordern.
Weiter ist zu prüfen, ob ggfs noch rechtzeitig ein Widerruf der Überweisung erfolgt ist.
Weiter hat sich in diversen Verfahren herausgestellt, dass Missbrauchsverfügungen bei den Empfängerbanken wegen des Verdachts auf Geldwäsche eingefroren werden. Dies kann durch Einsicht in die Ermittlungsakte in Erfahrung gebracht werden.
Beratung sinnvoll
RA Sebastian Koch, Fachanwalt für Bank- und Kapitalmarktrecht hat daher gegenüber zahlreichen Banken und Sparkassen in vergleichbaren Fällen die Erstattung ganz oder teilweise erfolgreich durchgesetzt.
Jüngst hat auch der Ombudsmann der Volks- und Raiffeisenbanken eine VR Bank in einem von RA Koch geführten Verfahren entschieden, dass die Bank den kompletten Schaden von mehr als € 20.000 erstatten soll.
Wenn auch Sie geschädigt sind, bieten wir eine Prüfung Ihrer Ansprüche durch einen qualifizierten Fachanwalt für Bank- und Kapitalmarktrecht an. Die Ersteinschätzung erfolgt dabei kostenfrei und unverbindlich.
Wir haben in den letzten Monaten gegenüber verschiedensten Banken und Sparkassen Erstattungsansprüche erfolgreich außergerichtlich und gerichtlich durchgesetzt oder günstige Vergleiche geschlossen.
Für rechtsschutzversicherte Mandanten holen wir kostenfrei die Deckungszusage ihrer Versicherung ein.
Rechtsanwalt Sebastian Koch
Fachanwalt für Bank- und Kapitalmarktrecht