ZBB 2023, 133

RWS Verlag Kommunikationsforum GmbH & Co. KG, Köln RWS Verlag Kommunikationsforum GmbH & Co. KG, Köln 2199-1715 Zeitschrift für Bankrecht und Bankwirtschaft ZBB 2023 AufsätzeMatthias Casper* / Bastian Reich**

Haftung bei einem qualifizierten Phishing mit weiteren Elementen des Social Engineering

Trotz der Einführung der Zwei-Faktor-Authentifizierung in § 55 ZAG – einer der wesentlichen Errungenschaften der zweiten Zahlungsdiensterichtlinie (PSD II) – häufen sich in jüngerer Zeit Betrugsfälle im Onlinebanking. Die Täter wählen dabei ein zweistufiges Vorgehen. Mittels einer gefälschten Internetseite oder einer klassischen Phishing-Mail bewegen sie den Kunden zunächst dazu, seine Zugangsdaten zum Online-Banking einzugeben. Mit den so erlangten Zugangsdaten spähen die Täter Kontodetails aus, die sie sodann bei einer Ansprache des Kunden per Telefon oder über sozialen Medien einsetzen, um den Kunden dazu zu bewegen, einen von den Tätern angelegten Zahlungsauftrag freizugeben. Dazu wird entweder die Freigabe-App verwendet oder der Kunde zur Weitergabe der mittels des Push-TAN-Verfahrens erzeugten TAN-Nummer an die Täter verleitet. Der Beitrag untersucht zunächst, ob trotz der Täuschung ein Zahlungsauftrag vorliegen kann. Soweit man dies verneint, ist zu untersuchen, ob eine Haftung wegen grober Fahrlässigkeit nach § 675v Abs. 3 BGB vorliegt. Dabei steht die Frage im Mittelpunkt, ob der Haftungsausschluss in § 675v Abs. 4 Satz 1 Nr. 1 BGB auch dann eingreift, wenn der Zahlungsdienstleister im ersten Schritt unter Rückgriff auf Art. 11 der technischen Regulierungsstandards zu § 55 ZAG auf den Einsatz einer starken Kundenauthentifizierung beim Einloggen in das Kontos verzichtet hat. Es wird die These begründet, dass § 675v Abs. 4 Satz 1 BGB aufsichtsakzessorisch auszulegen ist.

Inhaltsübersicht

  • I. Fallgruppen des qualifizierten Phishings mit weiteren Elementen des Social Engineering
    • 1. Erster Schritt: Phishing der Zugangsdaten zum Online-Banking
    • 2. Zweiter Schritt: Telefonische Kontaktaufnahme und Auslösen von Zahlungen an die Betrüger
  • II. Die Struktur der zahlungsverkehrsrechtlichen Haftung nach § 675u und § 675v BGB – „Anspruch mit Gegenanspruch“
  • III. Keine Autorisierung durch den Zahler?
    • 1. Überblick
    • 2. Regelfall: keine Autorisierung
      • 2.1 Zahlungsauftrag durch den Betrüger – Stellvertretung und Rechtsscheingrundsätze im Online-Banking?
        • 2.1.1 Ist eine Stellvertretung im Online-Banking überhaupt denkbar?
        • 2.1.2 Die Problematik der Rechtsscheintatbestände
      • 2.2 Der „Enkeltrick“ und vergleichbare Betrugssituationen im Online-Banking
        • 2.2.1 Autorisierung in Kenntnis der Rechtsfolge
        • 2.2.2 Autorisierung in Unkenntnis der Rechtsfolge
    • 3. Besonderheiten bei der Autorisierung bei Freigabe der angezeigten Überweisung in der Freigabe-App
  • IV. Gegenanspruch des Zahlungsdienstleisters wegen grobfahrlässiger Pflichtverletzung des Kunden nach § 675v Abs. 3 Nr. 2 BGB
    • 1. Verortung des qualifizierten Phishings im Kontext des § 675v Abs. 3 BGB
    • ZBB 2023, 134
    • 2. Bestimmung des Fahrlässigkeitsmaßstabs
      • 2.1 Maßstäbe der Rechtsprechung
      • 2.2 Rechtsprechungsüberblick – Auswirkung von BGH, Urt. v. 24. 4. 2012 – XI ZR 96/11 auf Phishing-Fälle
      • 2.3 Verallgemeinernde Folgen aus dem Rechtsprechungsüberblick
    • 3. Grobe Fahrlässigkeit beim Zugang Online-Banking
      • 3.1 Einloggen aufgrund einer Phishingmail
      • 3.2 Einloggen aufgrund einer Mail eines branchenfremden Anbieters
      • 3.3 Einloggen aufgrund eines gefälschten, bei Google angezeigten Links
      • 3.4 Phishing der Zugangsdaten zur Freigabe-App
    • 4. Grobe Fahrlässigkeit infolge der Weitergabe einer TAN
      • 4.1 Grundsatz
      • 4.2 Geringerer Sorgfaltsmaßstab bei der Nutzung von Ausnahmen nach Art. 11 – 20 RTS?
    • 5. Grobe Fahrlässigkeit bei Freigabe einer angezeigten Überweisung in der Freigabe-App
    • 6. Pflichtverletzung beim Einloggen und Kausalität für eine spätere Pflichtverletzung
  • V. Ausschluss des Gegenanspruchs nach § 675v Abs. 4 Nr. 1 BGB?
    • 1. Verlangen und Akzeptieren einer starken Kundenauthentifizierung im Zusammenhang mit dem Online-Banking
      • 1.1 Zur Terminologie des Verlangens und Akzeptierens
      • 1.2 Aufsichtsrechtliche Pflicht zur Anwendung der starken Kundenauthentifizierung nach § 55 ZAG
      • 1.3 Verzicht auf eine starke Kundenauthentifizierung beim Einloggen nach Art. 10 RTS
      • 1.4 Auslösen des Überweisungsvorgangs
    • 2. Konflikt zwischen Aufsichts- und Zivilrecht?
    • 3. Stellungnahme
      • 3.1 Einheit der Rechtsordnung; Verhältnis von Aufsichts- und Zivilrecht
      • 3.2 Richtlinienkonforme Auslegung des § 675v Abs. 4 BGB; Wortlaut
      • 3.3 Systematik
      • 3.4 Historische Auslegung
      • 3.5 Telos
  • VI. Haftung des Kunden nach § 675v Abs. 1 BGB
    • 1. Voraussetzungen der Haftung
    • 2. Ausschluss nach § 675v Abs. 2 Nr. 1 BGB
    • 3. Ausschluss nach § 675v Abs. 2 Nr. 2 BGB – warum ein Betrüger niemals Angestellter sein kann
  • VII. Zusammenfassung der wesentlichen Ergebnisse
*
*)
Prof. Dr. iur., Dipl.-Oec., Direktor des Instituts für Unternehmens- und Kapitalmarktrecht der Universität Münster
**
**)
Wissenschaftlicher Mitarbeiter am Institut für Unternehmens- und Kapitalmarktrecht der Universität Münster
Der Beitrag geht auf eine Anfrage aus der Praxis zurück.

Der Inhalt dieses Beitrags ist nicht frei verfügbar.

Für Abonnenten ist der Zugang zu Aufsätzen und Rechtsprechung frei.


Sollten Sie über kein Abonnement verfügen, können Sie den gewünschten Beitrag trotzdem kostenpflichtig erwerben:

Erwerben Sie den gewünschten Beitrag kostenpflichtig per Rechnung.


PayPal Logo

Erwerben Sie den gewünschten Beitrag kostenpflichtig mit PayPal.

Verlagsadresse

RWS Verlag Kommunikationsforum GmbH & Co. KG

Aachener Straße 222

50931 Köln

Postanschrift

RWS Verlag Kommunikationsforum GmbH & Co. KG

Postfach 27 01 25

50508 Köln

Kontakt

T (0221) 400 88-99

F (0221) 400 88-77

info@rws-verlag.de

© 2024 RWS Verlag Kommunikationsforum GmbH & Co. KG

Erweiterte Suche

Seminare

Rubriken

Veranstaltungsarten

Zeitraum

Bücher

Rechtsgebiete

Reihen



Zeitschriften

Aktuell