Wer haftet im Schadensfall bei Internet-Betrug?

Bei den enormen Geldbeträgen, die elektronisch rund um den Globus für Einkäufe und Bank-Transaktionen übers Netz geschickt werden, verwundet es kaum, dass die Kriminelle sich auch hier bedienen wollen. Trotz ständig verbesserter Sicherheitsmaßnahmen der Banken und Online-Shops gelingt ihnen das auch regelmäßig. Die Frage ist allerdings: Wer muss für den Schaden aufkommen? Die Bank oder der Kunde? Die Antwort ist zumindest teilweise davon abhängig, mit welcher Methode die Betrüger vorgegangen sind.

Die Gesetzteslagen – meist nur 150 Euro Selbstbeteiligung: Am 31. Oktober 2009 hat der Gesetzgeber mit den Paragraphen 675c bis 676c BGB neue Normen für Zahlungsdienste erlassen. Damit setzte die Bundesrepublik eine SEPA-Richtlinie um. Die Single Euro Payments Area (Einheitlicher Euro-Zahlungsverkehrsraum) ist ein Projekt, mit dem innerhalb der Euro-Zone Zahlungen vereinheitlicht werden, so dass Überweisungen in andere Euro-Länder genauso einfach und kostengünstig sind wie innerhalb des eigenen Landes.

Die genannten neuen Paragraphen legen unter anderem fest, dass die Bank ihrem Kunden bei einem Online-Betrug nachweisen muss, dass er grob fahrlässig gehandelt hat. Nur dann muss er den Schaden selbst bezahlen. Falls der Bank dieser Nachweis nicht gelingt, bleibt sie selbst auf dem Schaden sitzen, und der Kunde haftet mit einer Selbstbeteiligung von maximal 150 Euro. Aus dieser gesetzlichen Richtlinie lässt sich ableiten, wer im Fall von Online-Betrügereien den Schaden zu tragen hat.

Beim klassischen Phishing versucht der Betrüger, mithilfe von gefälschten Websites oder auch E-Mails an die Kontodaten sowie die PIN und TAN eines Kontobesitzers zu gelangen, um auf diese Weise Geld auf eigene Konten zu transferieren. Seit die Banken Mobile-TANs und Smart-TANs eingeführt haben, sind diese ursprünglichen Phishing-Angriffe nahezu ausgestorben. Beim Mobile-TAN-Verfahren schickt die Bank dem Kunden eine SMS mit der TAN, beim Smart-TAN-Verfahren wird der Code von einem Generator erzeugt, den die Bank dem Kunden zur Verfügung stellt.
Da mittlerweile praktisch alle deutschen Geldinstitute diese Verfahren einsetzen, sind die Betrüger auf andere Methoden ausgewichen. Sie arbeiten heute zumeist mit Trojanern, die beispielsweise die Eingabefelder auf den Formularen der Online-Banking-Sites überlagern, die Überweisungsbeträge erhöhen und sie auf andere Konten umleiten. Erkennen lässt sich das nur, wenn beim Mobile-TAN-Verfahren in der SMS von der Bank beispielsweise ein anderer Betrag angegeben ist als man tatsächlich überweisen möchte oder wenn die Kontonummer nicht stimmt. Doch nicht jede Bank übermittelt diese Daten. Da die gefälschten Felder auf der Website, wenn überhaupt, nur sehr schwer zu erkennen sind, kann man wohl nicht von einem fahrlässigen Handeln des Kunden ausgehen, schon gar nicht von einer groben Fahrlässigkeit. Den Schaden trägt also die Bank. Aber es empfiehlt sich natürlich, SMS und Überweisungsdaten sorgfältig zu prüfen, um den Ärger von vornherein zu vermeiden. Und, wichtig: Sobald Sie feststellen, dass es Geldabflüsse von Ihrem Konto gibt, die Sie nicht veranlasst haben, müssen Sie sofort Ihre Bank verständigen.

Beim Pharming wird der Anwender etwa beim Online-Shopping von einem Trojaner auf eine gefälschte Website umgeleitet. Dort soll er dann beispielsweise seine Kreditkartendaten eingeben, die die Betrüger dann abgreifen, um eigene Geschäfte zu tätigen. Die Umleitung erfolgt meist durch eine Manipulation der Host-Datei, die auf jedem PC zur Auflösung von DNS-Adressen vorhanden ist. Obwohl der Anwender die korrekte URL eingibt, landet er anschließend auf einer anderen Seite. Grobe Fahrlässigkeit lässt sich damit in der Regel ausschließen. Zudem sind Käufe per Kreditkarte besonders geschützt, siehe dazu unten mehr.