Prozess:Bank muss Schaden nach Phishing-Angriff nicht voll ersetzen

Lesezeit: 2 min

Mehr als 20 000 Euro hat eine Kundin der VR Bank Dachau verloren, die auf Internet-Betrüger hereinfiel. Im Prozess betritt das Landgericht München juristisches Neuland.

Von Miriam Dahlinger

Für Frau B. geht es um eine Menge Geld. Die Zivilkammer am Landgericht München II ist virtuell zusammengekommen, um in ihrer Klage auf Rückerstattung in Höhe von 20 117 Euro gegen die VR Bank Dachau zu verhandeln. Frau B. hatte nach einer Phishing-Attacke auf ihr Konto sowie die Konten ihres Ehemanns und Sohnes die Bank aufgefordert, ihr den verlorenen Betrag zurückzuzahlen - was die Bank ablehnte. Also klagte Frau B. "Ich bin etwas nervös", hört man ihre Stimme im Gerichtssaal, in dem coronabedingt nur die Richterbank besetzt ist.

Beim sogenannten Phishing versuchen Internet-Betrüger, Zugangsdaten von Bankkunden abzugreifen, indem sie Kunden auf Webseiten locken oder sie zu Test- oder Rücküberweisungen auffordern. Dabei ist es fast unmöglich, die Täter ausfindig zu machen. Bleibt also nur die Möglichkeit, die Bank zu verklagen. Die kann haftbar gemacht werden, wenn sie nicht über Sicherheitsrisiken informiert hat. Keine Schuld trägt sie jedoch, wenn Kunden sich "grob fahrlässig" verhalten. Nach Kenntnis der verhandelnden Kammer gibt es bislang deutschlandweit keine öffentlichen Urteile in vergleichbaren Fällen.

Im Fall der Familie B. hatten Kriminelle vermutlich mithilfe eines Computervirus Zugangsdaten abgefangen. Dann erhielt die Klägerin eine Phishing-Mail, in der es hieß: "Willkommen bei e-Tan Verfahren. Schalten Sie sich frei auf vr-bank.net". Etwas später habe sie dann von der Bank selbst ein Schreiben mit Zugangsdaten erhalten inklusive einer Warnung, den Code nicht telefonisch weiterzugeben. Es fehlte jedoch der Hinweis, sich nicht auf einer gefälschten Seite einzuloggen. B. loggte sich mit dem echten Code auf der falschen Seite ein. So konnten die Täter bequem Beträge abheben. Allein vom 19-jährigen Sohn stahlen sie mehr als 12 000 Euro.

Die Frau hätte schon stutzig werden können, meint der Richter

War Frau B.s Verhalten grob fahrlässig? Bei der Einschätzung befinde sich die Kammer laut Richter Thomas Böx "auf hoher See". Es handle sich um "Kasuistik", also um Einzelfallentscheidungen. Bei Frau B. sei diese aus Sicht des Gerichts durch ein Zusammenspiel verschiedener Unachtsamkeiten gegeben. Die Phishing-Mail verfüge über mehrere Rechtschreibfehler und zudem hätte die Kundin stutzig werden sollen, als sie innerhalb einer kurzen Zeit zwei Schreiben erhalten habe. Zumal die Schreiben - nebeneinander gelegt - deutliche Abweichungen aufgezeigt hätten. Trotzdem sei Frau B. dem beschriebenen Verfahren der Phishing-Mail gefolgt und habe sich auf vr-bank.net eingeloggt statt wie jahrelang zuvor auf vr-bank.de.

Richter Böx fügt jedoch einschränkend hinzu, dass es "alles andere als in sicheren Tüchern" sei, dass höhere Instanzen nicht auch anders entscheiden könnten. Er halte es für möglich, dass Frau B. mit ihrer Klage bis zum Bundesgerichtshof ziehen könne. Böx schlägt eine Vergleichszahlung der Bank in Höhe von 6500 Euro an das Konto des Sohnes vor. So würde er die gerundete Hälfte seines Verlustes zurückbekommen. Denn den jungen Mann träfe, so Richter Böx, "nun wirklich keine Schuld".

Ein moralisches Argument, das die Anwältin der VR Bank nach Rücksprache mit ihrem Mandanten ablehnt. Stattdessen schlägt sie einen in der geringen Höhe eher symbolischen Betrag von 2000 Euro vor. Die Anwältin von Frau B. nimmt das Angebot nach einer weiteren Unterbrechung sichtlich zerknirscht an, bittet jedoch um eine Bedenkfrist von einer Woche. Man wolle zunächst mit dem Sohn der Klägerin Rücksprache halten, der momentan auf der Arbeit sei.

Sollte Frau B. das Angebot widerrufen, entscheidet das Landgericht abschließend am 11. März. Für Frau B. ist es sicherlich keine leichte Entscheidung, bedenkt man, dass sie neben dem Verlust des Phishing-Geldes auch für 90 Prozent der Prozesskosten aufkommt.

Zur SZ-Startseite
Woman in office using cell phone with wind turbine model on table model released Symbolfoto property released PUBLICATI

SZ PlusCyberkriminalität
:Betrogen vom Fake-Präsidenten

"Es geschieht jeden Tag und in jeder Firma": Immer mehr Unternehmen werden Opfer von Cyberkriminellen, die sich als Chefs ausgeben. Nur wer schnell reagiert, kann den Schaden begrenzen.

Lesen Sie mehr zum Thema

Süddeutsche Zeitung
  • Twitter-Seite der SZ
  • Facebook-Seite der SZ
  • Instagram-Seite der SZ
  • Mediadaten
  • Newsletter
  • Eilmeldungen
  • RSS
  • Apps
  • Jobs
  • Datenschutz
  • Abo kündigen
  • Kontakt und Impressum
  • AGB