ZBB 2023, 133
Haftung bei einem qualifizierten Phishing mit weiteren Elementen des Social Engineering
Trotz der Einführung der Zwei-Faktor-Authentifizierung in § 55 ZAG – einer der wesentlichen Errungenschaften der zweiten Zahlungsdiensterichtlinie (PSD II) – häufen sich in jüngerer Zeit Betrugsfälle im Onlinebanking. Die Täter wählen dabei ein zweistufiges Vorgehen. Mittels einer gefälschten Internetseite oder einer klassischen Phishing-Mail bewegen sie den Kunden zunächst dazu, seine Zugangsdaten zum Online-Banking einzugeben. Mit den so erlangten Zugangsdaten spähen die Täter Kontodetails aus, die sie sodann bei einer Ansprache des Kunden per Telefon oder über sozialen Medien einsetzen, um den Kunden dazu zu bewegen, einen von den Tätern angelegten Zahlungsauftrag freizugeben. Dazu wird entweder die Freigabe-App verwendet oder der Kunde zur Weitergabe der mittels des Push-TAN-Verfahrens erzeugten TAN-Nummer an die Täter verleitet. Der Beitrag untersucht zunächst, ob trotz der Täuschung ein Zahlungsauftrag vorliegen kann. Soweit man dies verneint, ist zu untersuchen, ob eine Haftung wegen grober Fahrlässigkeit nach § 675v Abs. 3 BGB vorliegt. Dabei steht die Frage im Mittelpunkt, ob der Haftungsausschluss in § 675v Abs. 4 Satz 1 Nr. 1 BGB auch dann eingreift, wenn der Zahlungsdienstleister im ersten Schritt unter Rückgriff auf Art. 11 der technischen Regulierungsstandards zu § 55 ZAG auf den Einsatz einer starken Kundenauthentifizierung beim Einloggen in das Kontos verzichtet hat. Es wird die These begründet, dass § 675v Abs. 4 Satz 1 BGB aufsichtsakzessorisch auszulegen ist.
Inhaltsübersicht
- I. Fallgruppen des qualifizierten Phishings mit weiteren Elementen des Social Engineering
- 1. Erster Schritt: Phishing der Zugangsdaten zum Online-Banking
- 2. Zweiter Schritt: Telefonische Kontaktaufnahme und Auslösen von Zahlungen an die Betrüger
- II. Die Struktur der zahlungsverkehrsrechtlichen Haftung nach § 675u und § 675v BGB – „Anspruch mit Gegenanspruch“
- III. Keine Autorisierung durch den Zahler?
- 1. Überblick
- 2. Regelfall: keine Autorisierung
- 2.1 Zahlungsauftrag durch den Betrüger – Stellvertretung und Rechtsscheingrundsätze im Online-Banking?
- 2.1.1 Ist eine Stellvertretung im Online-Banking überhaupt denkbar?
- 2.1.2 Die Problematik der Rechtsscheintatbestände
- 2.2 Der „Enkeltrick“ und vergleichbare Betrugssituationen im Online-Banking
- 2.2.1 Autorisierung in Kenntnis der Rechtsfolge
- 2.2.2 Autorisierung in Unkenntnis der Rechtsfolge
- 3. Besonderheiten bei der Autorisierung bei Freigabe der angezeigten Überweisung in der Freigabe-App
- IV. Gegenanspruch des Zahlungsdienstleisters wegen grobfahrlässiger Pflichtverletzung des Kunden nach § 675v Abs. 3 Nr. 2 BGB
- 1. Verortung des qualifizierten Phishings im Kontext des § 675v Abs. 3 BGB
ZBB 2023, 134
- 2. Bestimmung des Fahrlässigkeitsmaßstabs
- 2.1 Maßstäbe der Rechtsprechung
- 2.2 Rechtsprechungsüberblick – Auswirkung von BGH, Urt. v. 24. 4. 2012 – XI ZR 96/11 auf Phishing-Fälle
- 2.3 Verallgemeinernde Folgen aus dem Rechtsprechungsüberblick
- 3. Grobe Fahrlässigkeit beim Zugang Online-Banking
- 3.1 Einloggen aufgrund einer Phishingmail
- 3.2 Einloggen aufgrund einer Mail eines branchenfremden Anbieters
- 3.3 Einloggen aufgrund eines gefälschten, bei Google angezeigten Links
- 3.4 Phishing der Zugangsdaten zur Freigabe-App
- 4. Grobe Fahrlässigkeit infolge der Weitergabe einer TAN
- 4.1 Grundsatz
- 4.2 Geringerer Sorgfaltsmaßstab bei der Nutzung von Ausnahmen nach Art. 11 – 20 RTS?
- 5. Grobe Fahrlässigkeit bei Freigabe einer angezeigten Überweisung in der Freigabe-App
- 6. Pflichtverletzung beim Einloggen und Kausalität für eine spätere Pflichtverletzung
- V. Ausschluss des Gegenanspruchs nach § 675v Abs. 4 Nr. 1 BGB?
- 1. Verlangen und Akzeptieren einer starken Kundenauthentifizierung im Zusammenhang mit dem Online-Banking
- 1.1 Zur Terminologie des Verlangens und Akzeptierens
- 1.2 Aufsichtsrechtliche Pflicht zur Anwendung der starken Kundenauthentifizierung nach § 55 ZAG
- 1.3 Verzicht auf eine starke Kundenauthentifizierung beim Einloggen nach Art. 10 RTS
- 1.4 Auslösen des Überweisungsvorgangs
- 2. Konflikt zwischen Aufsichts- und Zivilrecht?
- 3. Stellungnahme
- 3.1 Einheit der Rechtsordnung; Verhältnis von Aufsichts- und Zivilrecht
- 3.2 Richtlinienkonforme Auslegung des § 675v Abs. 4 BGB; Wortlaut
- 3.3 Systematik
- 3.4 Historische Auslegung
- 3.5 Telos
- VI. Haftung des Kunden nach § 675v Abs. 1 BGB
- 1. Voraussetzungen der Haftung
- 2. Ausschluss nach § 675v Abs. 2 Nr. 1 BGB
- 3. Ausschluss nach § 675v Abs. 2 Nr. 2 BGB – warum ein Betrüger niemals Angestellter sein kann
- VII. Zusammenfassung der wesentlichen Ergebnisse
- *
- *)Prof. Dr. iur., Dipl.-Oec., Direktor des Instituts für Unternehmens- und Kapitalmarktrecht der Universität Münster
- **
- **)Wissenschaftlicher Mitarbeiter am Institut für Unternehmens- und Kapitalmarktrecht der Universität MünsterDer Beitrag geht auf eine Anfrage aus der Praxis zurück.
Der Inhalt dieses Beitrags ist nicht frei verfügbar.
Für Abonnenten ist der Zugang zu Aufsätzen und Rechtsprechung frei.
Sollten Sie über kein Abonnement verfügen, können Sie den gewünschten Beitrag trotzdem kostenpflichtig erwerben:
Erwerben Sie den gewünschten Beitrag kostenpflichtig per Rechnung.
Erwerben Sie den gewünschten Beitrag kostenpflichtig mit PayPal.
