Gefälschte E-Mails sind nicht nur ärgerlich, sondern können vor allem beim Online Banking hohe Schäden verursachen. Aber ist die Bank zum Ersatz verpflichtet, wenn der Kunde auf eine Phishing-Attacke reinfällt und die Angreifer Geld vom Kundenkonto abbuchen? Das AG Frankfurt am Main hat aktuell einen solchen Fall entschieden.
Kundin fällt auf Phishing-Mail rein
Die Kundin einer Bank erhielt eine Pishing-Mail. Kriminelle hatten die E-Mail mit dem Logo ihrer Bank versehen und forderten sie zur Änderung ihres Telefonbanking-PINs auf. Hierzu sollte sie ihren aktuellen PIN in ein vorbereitetes Formular eingeben. Die E-Mail wies einige sprachliche Besonderheiten (z.B. Fehlen einer persönlichen Anrede) und Fehler auf. Auch der Sachbearbeiter der Bank war nicht genannt.
Die Betroffene kam der Forderung in der E-Mail nach. Die Betrüger erbeuteten so insgesamt 4.900 Euro. Als die Kundin auf den Schwindel aufmerksam wurde, forderte sie die Bank zu Erstattung des Kontobetrages auf. Diese weigerte sich. Die Kundin klagte. Das Amtsgericht Frankfurt am Main hat den Fall im März dieses Jahres entschieden.
Gericht: Kundin hätte Phishing-Mail erkennen können
Das Amtsgericht Frankfurt am Main [Urteil vom 24. März 2016, Az. 32 C 3377/15 (72)] entschied, dass die Bank nicht zur Erstattung des Guthabens verpflichtet war. Bankkunden sind verpflichtet, alle möglichen und zumutbaren Vorkehrungen zu treffen, um die Zugangsdaten zu ihren Konten vor unbefugtem Zugriff zu schützen. Die Kundin handelte nach Ansicht des Gerichts grob fahrlässig, indem sie ihre PIN an die Kriminellen weitergab.
Auch wenn die E-Mail professionell gestaltet war, hätte es sich der Betroffenen aufdrängen müssen, dass die Nachricht nicht von ihrer Bank stammt. Bei näherer Betrachtung der E-Mail hätten ihr die sprachlichen Fehler (z.B. „die Änderung […] zu ändern“) auffallen müssen. Auch der Umstand, dass eine persönliche Anrede fehlte und auch kein konkreter Sachbearbeiter in der E-Mail genannt war, hätte ihr Misstrauen wecken müssen. Jedenfalls hätte sie sich vor der Änderung ihrer PIN bei ihrer Bank telefonisch oder auf der Homepage über Betrugswarnungen erkundigen können.
Fazit:
Nicht immer muss die Bank Schäden ersetzen, die durch Phishing-Mails entstehen. Viele solcher Mails sind so schlecht gestaltet, dass der Betrug schnell auffällt. Im Zweifel sollten sich Kunden bei ihrer Bank nach der Echtheit der Nachricht erkundigen.
Klicken Sie einfach auf das Formularfeld und kopieren Sie sich den Link heraus.
Sören Siebert ist Rechtsanwalt mit Kanzleien in Berlin und Potsdam.
