Online-Banking Betrug: Wenn die Bank nicht erreichbar ist

Sicherlich kennt jeder den Fall, dass man dringend Hilfe bei seiner Bank sucht und in einer endlosen Warteschleife am Verzweifeln ist. Viele Banken schließen nicht nur Ihre Filialen vor Ort, sondern sparen auch, wenn es um die telefonische Betreuung Ihrer Kunden geht. Welche negativen Folgen dies auch für die Banken haben kann, zeigt anschaulich folgender Fall von Online-Banking Betrug.

Spoofing – eine fiese Taktik mit enormer Wirkung

Der Kläger erhält über eine angebliche Telefonnummer seines Bankinstituts den Anruf eines angeblichen Mitarbeiters der Bank. In der Annahme einen Anruf von seiner Bank zu erhalten, nimmt der Betroffene das Gespräch an. Er ahnt nicht, dass sich am anderen Ende der Leitung ein Betrüger für einen Mitarbeiter seiner Bank ausgibt. Dieser vermeintliche Mitarbeiter eröffnet in diesem Gespräch, dass das Konto des Bankkunden gehackt worden sei und bereits mehrere Überweisungen stattgefunden hätten. Schnellstmöglich wolle die Bank nun den Schaden beheben und diese Transaktionen rückgängig machen. Doch dazu benötige der angebliche Mitarbeiter die TAN-Nummern, die der Bankkunde auf sein Smartphone erhalten habe. Und das am besten sofort. Nur wenn der Bankkunde sogleich die TAN-Nummern herausgibt, kann ihm geholfen werden. 

Einen solchen Vorgang bezeichnet man im IT-Jargon übrigens als Spoofing, wobei mittels technischer Wege eine vertraute Telefonnummer auf dem Telefon-Display des Betrugsopfers angezeigt wird. Spoofing wiederum ordnet sich dem Social Engineering zu. Social Engineering ist ein Dachbegriff für mannigfaltige Formen der Cyberkriminalität und umfasst im Kern die psychische Manipulation der Betroffenen, um ein gewünschtes Verhalten auszulösen, etwa die Herausgabe sensibler Daten. 

Einerseits ist allgemein bekannt, dass persönliche Daten und schon gar keine persönlichen Authentifizierungsmerkmale wie TAN-Nummern an Dritte kommuniziert werden sollten. Gibt der Betroffene dennoch seine Daten heraus, gehen Rechtsprechung und AGBs der Bank in der Regel von einem grob fahrlässigen Verhalten des Bankkunden aus. Der Bundesgerichtshof hat sich dieser Thematik bereits 2016 in einem umfassenden Urteil angenommen (Urteil des XI. Zivilsenats vom 26.1.2016 – XI ZR 91/14).

Andererseits ist die psychische Komponente nicht unerheblich: Der geschädigte Bankkunde befindet sich in einer Ausnahmesituation. Es wird Druck gemacht am Telefon und in Aussicht gestellt, der Betroffene verliere sein gesamtes Guthaben auf dem Konto, sollte er nicht unverzüglich die erforderlichen TAN-Nummern herausgeben. Kann hierbei noch von grober Fahrlässigkeit des Bankkunden gesprochen werden? Eine Frage, über die sich gut streiten lässt.

Gefangen in der Warteschleife

Und erinnern wir uns an das oben beschriebene Szenario: Die Filiale vor Ort fehlt oder der Fall spielt sich außerhalb der Öffnungszeiten ab. Der Anruf der Service Hotline – ebenso aussichtslos. Was also tun?

Zunächst gilt: Ist die Bank in einer kritischen Situation wie dieser nicht zu erreichen, um einen Schaden zu verhindern, scheiden Schadensersatzansprüche der Bank grundsätzlich aus. 

Im vorliegenden Fall bemüht sich der Ehepartner des Klägers bereits während des betrügerischen Telefonats, einen Ansprechpartner über die Hotline der Comdirect Bank zu kontaktieren. So will er sich vergewissern, ob Betrüger das Konto tatsächlich gehackt haben. Doch leider ist niemand über die Hotline der Comdirect Bank zu erreichen.

Fast 30 Minuten verbringt der Anrufende in der Warteschleife der Bank, ohne jemanden zu erreichen. Die Taktik der Betrüger geht am Ende auf: Der Bankkunde gibt dem Druck des angeblichen Bankmitarbeiters nach und übermittelt die TAN-Nummern. Und damit kann der Täter nun die missbräuchlichen Überweisungen ausführen. 

Im Anschluss weigert sich die Comdirect Bank zunächst, den Schaden zu übernehmen. Die Begründung der Bank: Der Bankkunde agierte grob fahrlässig in diesem Fall.

Pflichtverletzung: Die Bank muss den Schaden erstatten

Doch es kommt zu einer Wende im Laufe der Klage des Bankkunden. Die Klage stützte sich darauf, dass die Bank die Möglichkeit einer Sperranzeige vereitelt hatte. Der Bankkunde haftet nicht auf Schadensersatz, wenn das Kreditinstitut die Pflicht nach § 675m Abs. 1 Nr. 3 BGB verletzt hat. Demnach muss die Bank dem Kunden jederzeit die Möglichkeit einräumen, eine Sperranzeige abzugeben (§ 675v Abs. 5 Satz 2 BGB). Konkret bedeutet das: Die Bank muss als Empfänger der Sperranzeige jederzeit erreichbar sein. Kunden müssen rund um die Uhr einschließlich an Feiertagen ihre Bank erreichen können. Eine Haftung des Bankkunden entfällt, wenn das Kreditinstitut dieser Pflicht nicht genügt (§ 33. Bankgeschäfte online , Maihold, Ellenberger/Bunte, Bankrechts-Handbuch,6. Auflage 2022 Rn. 399-402 ).  

Der Kläger konnte beweisen, dass die Hotline der Comdirect Bank zu dem kritischen Zeitpunkt nicht erreichbar gewesen ist. Möglicherweise hätte der Schaden dadurch vereitelt werden können. Daher musste die Bank den gesamten Schaden aus dem Online-Banking Betrug erstatten. 

Sie benötigen rechtliche Hilfe? Nutzen Sie unsere kostenlose Ersteinschätzung

Sind Sie betroffen? Gerne helfen wir Ihnen weiter und unterstützen Sie im Rahmen einer kostenlosen Ersteinschätzung in Ihrem Fall. Kontaktieren Sie uns telefonisch oder via E-Mail.