Online – Banking – Betrug. Wer muss für den Schaden haften?

Das vermeintlich sichere mTAN Verfahren ist nicht mehr sicher, soweit ein Smartphone verwendet wird. Lässt man sich die TAN per SMS auf ein Handy senden, das nicht internetfähig ist, bestehen die Probleme nicht!

Wer haftet aber, wenn das Konto leer geräumt wurde ?

Fall: Die Kunden einer Bank haben an ihrem PC die Überweisungsvorlage ausgefüllt und zusätzlich von ihrer Bank per SMS eine TAN-Nummer erhalten, womit sie dann die Überweisung ausführen konnten. Die Methode galt als absolut sicher, weil zwei voneinander unabhängige Geräte für die Überweisung notwendig waren.
In dem vorliegenden Fall haben sich Dritte zunächst mit einer Software in den Computer des Bankkunden eingehackt. Daraufhin haben sie mit den bekannt gewordenen Daten eine neue SIM-Karte bestellt und konnten anschließend mit der Bank kommunizieren und sich jeweils die erforderliche TAN auf die gefälschte SIM-Karte senden lassen. Bei dem Antrag auf eine neue SIM-Karte haben sich die Betrüger als Mitarbeiter eines Mobilfunkshops ausgegeben. Der Schaden beträgt Millionen.

Wer haftet ? Die Bank überweist auf Anweisung des angeblichen Kunden eine größere Summe an einen unbekannten Dritten und holt sich anschließend diese Summe bei dem Kunden, der angeblich die Überweisung getätigt haben soll. Der Bank steht nach durchgeführter Überweisung ein sog. Aufwendungsersatzanspruch gegen den Auftraggeber der Überweisung zu. Hat der Kunde die Überweisung jedoch nicht in Auftrag gegeben, liegt eine sogenannte „Geschäftsführung ohne Auftrag“ vor, und der Bankkunde müsste die Überweisung genehmigen. Verweigert der Kunde anschließend die Genehmigung, hat die Bank keinen Aufwendungsersatzanspruch gegen den Kunden. Aus diesem Grund sollte der Kunde sobald als möglich nach Kenntnis von dieser fälschlichen Überweisung der Bank mitteilen, dass die Überweisung nicht von ihm in Auftrag gegeben wurde und er diese nicht genehmigt. Damit könnte die Bank keine Ansprüche gegen den Kunden geltend machen.

Kann aber die Bank nachweisen, dass Bankkunde den Schaden mitverursacht hat, stehen ihr Schadensersatzansprüche zu. Hat der Kunde den Schaden grob fahrlässig verursacht, dann kann die Bank sogar den vollen Schaden von ihm verlangen.

Online-Banking Kunden sind zumindest verpflichtet ihren Rechner mittels aktuellen Virenschutzes zu sichern. Der Bankkunde hat außerdem die Pflicht die regelmäßigen Updates durchzuführen und darf selbstverständlich seine Bankdaten nicht an Dritte weitergeben. Nach Bekanntwerden dieses Betruges ist fraglich, ob es fahrlässig ist eine Smartphone zu benutzen.

Meine Empfehlung: Eigene Bankdaten niemals per Email oder per Telefon bekannt geben; einen aktuellen Virenschutz auf seinem Rechner installieren und die Passwörter so oft wie möglich ändern. Sollte dennoch eine Überweisung getätigt worden sein, melden Sie sich sofort bei der Bank und geben dieser bekannt, dass Sie diese nicht ausgelöst haben.

Erpressung, Drohung durch Inkassounternehmen mit Datenübermittlung an die Schufa ,rechtens?

Bestreitet der Schuldner eine Forderung, dann darf ihm weder ein Inkassounternehmen, oder sonst jemand damit drohen, seine Daten an die Schufa zu übermitteln! Er kann den Gläubiger, bzw. dessen Inkassounternehmen, auf Unterlassung in Anspruch nehmen, ggf. Strafanzeige stellen.

Der Fall: Auf das Schreiben eines Inkassounternehmens teilte der Schuldner mit, welche Einwendungen er gegen die geltend gemachte Forderung hat. Ungeachtet dessen hat die Inkassofirma ihn erneut angeschrieben und ihm gedroht, sie werde seine Daten an die Schufa übermitteln, sollte er nicht zahlen. Der vermeintliche Schuldner erhob daraufhin Unterlassungsklage und gewann vor dem Landgericht Lüneburg. Das Oberlandesgericht Zelle musste über die Berufung des Inkassounternehmens entscheiden.

 Das OLG Zelle hat entschieden, dass dem Schuldner ein Unterlassungsanspruch gegen eine drohende Inkassofirma zusteht, wenn seine Forderung bestritten ist. Sie darf in diesem Fall weder die Daten an die Schufa übermitteln, noch mit der Datenübermittlung drohen. Die Voraussetzungen nach § 28 a BDSG für die Übermittlung der personenbezogenen Daten haben nicht vorgelegen.

Gemäß § 28 a Abs. 1 S. 1 Nr. 4 BDSG ist eine Datenübermittlung dann nicht möglich, wenn der Schuldner die Forderung bestreitet. Ob das Inkassounternehmen ausdrücklich in ihrem 2. Mahnschreiben erklärte, sie werde die Daten nur dann übermitteln, wenn die Forderung tatsächlich unbestritten oder einredefrei sei ließ das OLG Zelle nicht gelten. Das erneute Mahnschreiben, mit diesem Inhalt war für einen Laien möglicherweise schwer verständlich. Aus seiner Sicht sei die wiederholte Drohung selbstverständlich ernst zu nehmen gewesen, bzw. war daraus deutlich geworden, dass das Inkassounternehmen das bisherige Bestreiten und die bisherigen Einwendungen des Schuldners für unerheblich hält. Aus diesem Grund sei die wortwörtliche Einschränkung in dem 2. Mahnschreiben unerheblich. Das Inkassounternehmen hat die grundsätzlichen Möglichkeiten einer Datenübermittlung an die Schufa als Druckmittel zur Forderungsdurchsetzung mißbraucht.

 Auch das Landgericht Darmstadt entschied zu Gunsten einer Verbraucherzentrale. In diesem Fall hatte wieder ein Inkassounternehmen mehrmals Mahnungen verschickt, auch an die Schuldner die bereits ihre Forderung bestritten haben. Das Landgericht Darmstadt entschied, durch das Versenden einer weiteren Mahnung mit dem Titel „ Letzte Mahnung „ werde ein solches bestreiten jedoch völlig ignoriert. Aus diesem Grund ist der Klage auf Unterlassung stattzugeben.