ZBB 2025, 381
Der Missbrauch mit sog. sekundären Freigabe-Applikationen
Zu Pflichten von Bank und Kunde bei einer neuen Sonderform des Phishing
Der Missbrauch mit ausgespähten Kundendaten, mit denen nicht autorisierte Zahlungsvorgänge ausgelöst werden, hat in den vergangenen Monaten und Jahren in bedenklicher Weise zugenommen. Eine Konstellation hat sich zuletzt in der Gerichts- und Schlichtungspraxis als besonders dringlich erwiesen: Auffallend häufig werden „abgephishte“ Daten benutzt, um eine Bezahlungs-Applikation auf einem Gerät des Täters einzurichten, die ihm Kontrolle über das Konto des Bankkunden gibt, bis der Kunde den Missbrauch bemerkt und das Konto sperren lässt. Der Beitrag schildert diesen neuen heutigen Hauptfall des sog. Phishing und geht auf die rechtlichen Besonderheiten gegenüber den bisherigen Missbrauchssachverhalten ein, die unter dem Prinzip der Zwei-Faktor-Authentifizierung bekannt geworden sind, und welche die heutige Judikatur noch weithin prägen.
Inhaltsübersicht
- I. Anlass und Gegenstand des Beitrags
- 1. Neue Missbrauchsformen im bargeldlosen Zahlungsverkehr
- 2. Die lückenhaften Vorgaben des Zahlungsdienstrechts
- 3. Gegenstand des Beitrags
- II. Grundzüge einer Kasuistik
- 1. Sachverhalte mit Direktkontakt zum Täter
- 2. Sachverhalte ohne Direktkontakt zum Täter
- 3. Sachverhalte mit Verwendung von Schadsoftware
- III. Risikozuweisende Nebenpflichten der Bank
- 1. Klarheit der Vertragsgrundlage: der besondere Warnschutz gem. § 675j Abs. 1 Satz. 3 und 4 BGB
- 1.1 Mindestinhalt der Vereinbarung
- 1.2 Sorgfaltspflichten hinsichtlich der unbestellten Aktivierungsdaten
- 2. Anforderungen an die Einrichtungstechnik
- 3. Zur Übermittlungsgefahr gem. § 675m Abs. 2 BGB
- 3.1 Freigabe-App als Zahlungsinstrument, Aktivierungsdaten als Sicherungsmerkmal
- 3.2 Folgerung
- 4. Warnpflichten vor Einrichtung einer Freigabe-App
- 4.1 Anlasslose und anlassbezogene Warnzeichen
- 4.2 Dialogtext zur Freigabe als wichtigstes Warnmedium
- 4.3 Zusätzliche Vorsichtsmittel
- 5. Nachträgliche Kontroll- und Schutzpflichten
- 5.1 Aufsichtsrechtliche Warnsysteme vs. auftragsrechtliche Kontrollpflicht
- 5.2 Pflicht zur Kontenkontrolle mithilfe künstlicher Intelligenz?
- 5.3 Datenschutzrechtliche Grenzen der Kontenkontrolle?
- 5.4 Zwischenergebnis
- 5.5 Eigener Ansatz: Kundenschutz durch befristete Schutz- und Warnpflichten
- 6. Vorab-Beschränkung kraft Parteiwillens
- 7. Reaktionspflichten der Bank nach einem Datenleck
ZBB 2025, 382
- IV. Risikozuweisende Nebenpflichten des Bankkunden
- 1. Haltepunkte in der Rechtsprechung zu früheren Fällen des Phishings
- 2. Erste Rechtsprechung zum Missbrauch mit einer sekundären Freigabe-App
- V. Gesamtbild und Folgerungen
- *
- *)Prof. Dr. iur., EBS Universität für Wirtschaft und Recht, Oestrich-Winkel
Der Inhalt dieses Beitrags ist nicht frei verfügbar.
Für Abonnenten ist der Zugang zu Aufsätzen und Rechtsprechung frei.
Sollten Sie über kein Abonnement verfügen, können Sie den gewünschten Beitrag trotzdem kostenpflichtig erwerben:
Erwerben Sie den gewünschten Beitrag kostenpflichtig per Rechnung.
Erwerben Sie den gewünschten Beitrag kostenpflichtig mit PayPal.
