![\"Paragraph\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2018\/11\/Para.jpg\" "\\"Recht\\"")
Derzeit l\u00e4uft vor dem Europ\u00e4ischen Gerichtshof (EuGH) ein Verfahren eines Phishing-Opfers aus Polen gegen eine polnische Bank. Der Generalanwalt des EuGH empfiehlt in seiner Stellungnahme eine Entsch\u00e4digungspflicht von Banken bei Phishing, falls nicht autorisierte Transaktionen erfolgt sind – auch bei Fahrl\u00e4ssigkeit des Kunden – allerdings nur unter besonderen Pr\u00e4missen.<\/p>\n
<\/p>\n
F\u00fcr Online-Banking lauert st\u00e4ndig die Gefahr, Opfer von Phishing-Angriffen zu werden. H\u00e4ufiger liest man, dass Nutzer auf einen Phishing-Angriff hereingefallen sind und ihre Zugangsdaten zum Online-Banking herausgegeben haben. Im Anschluss sollen dann Konten leer ger\u00e4umt worden sein.<\/p>\n
Bei solchen F\u00e4llen stelle ich mir beim Lesen der Berichte immer die Frage: \"Wie soll das gehen?\". Auch wenn ein Phisher Zugriff auf meine Online-Banking-Konten bek\u00e4me, k\u00f6nnte er maximal auf die bereits stattgefundenen Transaktionen zugreifen – in einigen F\u00e4llen sogar nur f\u00fcr drei Monate. Alles andere erfordert ein manuelle Freigabe per Transaktion durch mich. Dazu ist aber beispielsweise eine Autorisierung mittels TAN, erzeugt \u00fcber einen TAN-Generator, erforderlich.<\/p>\n
Vor dem Bezirksgericht in Koszalin, Polen, ist der Rechtsstreit eines Kunden gegen die Bank PKO BP S.A. anh\u00e4ngig. Der Kunde hatte einen Artikel auf einer Auktionsplattform zum Verkauf angeboten und wurde dann Phishing-Opfer. Der Kunde bekam einen Phishing-Link von einem Betr\u00fcger zugeschickt. Dieser f\u00fchrt zu einer Phishing-Seite, die der Login-Oberfl\u00e4che der Bank \u00e4hnelte.<\/p>\n
Der Bankkunde fiel darauf herein und gab seine Zugangsdaten f\u00fcr das Online-Banking ein. Im Anschluss konnte der Betr\u00fcger diese Daten zum Ansto\u00dfen einer Transaktion nutzen, und \u00fcberwies einen Betrag vom Konto des Opfers zu einem anderen Zielkonto.<\/p>\n
Das Opfer meldete die Transaktion zwar am n\u00e4chsten Tag der Bank und erstattete auch Anzeige bei polnischen Polizei. Wie in so vielen F\u00e4llen konnte(n) der (oder die) Betr\u00fcger nicht identifiziert werden.<\/p>\n
Die Bank weigerte sich, dem Kunden den ohne Autorisierung abgebuchten Betrag zu erstatten. Die Bank berief sich bei der Verweigerung der Erstattung auf Fahrl\u00e4ssigkeit des Kunden. Daraufhin verklagte der Kunde die Bank vor dem Bezirksgericht in Koszalin.<\/p>\n
Das Bezirksgericht in Koszalin legte den Fall dem Europ\u00e4ischen Gerichtshof zur Entscheidung vor. Das polnische Gericht will vom EuGH wissen, ob die Bank als Zahlungsdienstleister nach EU-Recht verpflichtet ist, eine nicht vom Bankkunden autorisierte Transaktion unverz\u00fcglich zu erstatten, selbst wenn die Bank der Ansicht ist, dass der Kunde grob fahrl\u00e4ssig gehandelt hat, oder ob die Bank diese Erstattung wegen Fahrl\u00e4ssigkeit verweigern kann.<\/p>\n
Laut dieser Pressemitteilung<\/a> (via<\/a>) hat Athanasios Rantos, Generalanwalt des Gerichtshofs der Europ\u00e4ischen Union (EuGH), eine formelle Stellungnahme mit einer Empfehlung an das Gericht abgegeben. Athanasios Rantos empfiehlt eine Entsch\u00e4digungspflicht f\u00fcr Banken gegen\u00fcber Phishing-Opfern auch bei Fahrl\u00e4ssigkeit (durch Weitergabe von Zugangsdaten), sofern nicht autorisierte Transaktionen erfolgt sind.<\/p>\n Der Generalanwalt des Gerichtshofs vertritt die Auffassung, dass das EU-Recht von der Bank verlangt, zun\u00e4chst den Betrag der nicht autorisierten Transaktion unverz\u00fcglich zur\u00fcckzuerstatten. Ausnahme ist, dass die Bank den begr\u00fcndeten Verdacht auf Betrug hat, den sie der zust\u00e4ndigen nationalen Beh\u00f6rde schriftlich mitteilen muss.<\/p>\n Eine andere Ausnahme von diesem Grundsatz der sofortigen R\u00fcckerstattung ist nicht vorgesehen, und der EU-Gesetzgeber hat den Mitgliedstaaten in dieser Hinsicht keinen Ermessensspielraum gelassen.<\/p>\n Diese R\u00fcckerstattung ist jedoch nicht endg\u00fcltig. Stellt die Bank anschlie\u00dfend fest, dass der Kunde vors\u00e4tzlich oder grob fahrl\u00e4ssig eine der Verpflichtungen, insbesondere in Bezug auf personalisierte Sicherheitsdaten, nicht erf\u00fcllt hat, kann sie vom Kunden verlangen, die entsprechenden Verluste zu tragen.\u00a0Weigert sich der Kunde, den Betrag der nicht autorisierten Transaktion zu erstatten, ist es Sache der Bank, rechtliche Schritte gegen diese Person einzuleiten, um die Zahlung zu erwirken.<\/p>\n Nach Ansicht des Generalanwalts \"ist ein solcher Ansatz durch den Wortlaut der einschl\u00e4gigen europ\u00e4ischen Rechtsvorschriften, den vom nationalen Gericht ermittelten Kontext der einschl\u00e4gigen Bestimmungen und die Notwendigkeit gerechtfertigt, ein hohes Schutzniveau f\u00fcr Verbraucher, die Zahlungsdienste nutzen, zu gew\u00e4hrleisten, was eines der mit diesen Rechtsvorschriften verfolgten Ziele ist.\"<\/p>\n Die Empfehlung des Generalanwalts ist noch kein Urteil des EuGH. Dessen Richter halten sich aber in der Regel an die Empfehlung des Generalanwalts.<\/p>\n Wer jetzt hofft, dass jegliches Phishing beim Banking als Kunde folgenlos bleibt, d\u00fcrfte entt\u00e4uscht werden. Denn obige Empfehlung enth\u00e4lt gleich mehrere Einschr\u00e4nkungen: Das greift nur, wenn lediglich die\u00a0 Zugangsdaten eingegeben, aber keine Transaktionen genehmigt wurden.\u00a0Das ist n\u00e4mlich der springende Punkt: Banken m\u00fcssen den Kunden in die Lage versetzen, Transaktionen \u00fcber Autorisierungen korrekt abzusichern.<\/p>\n Und F\u00e4lle von Vorsatz oder grober Fahrl\u00e4ssigkeit (z.B. Eingabe von TANs zur Autorisierung der Transaktion) sind ausgeschlossen. Die Empfehlung und ein Urteil bietet also weiterhin Stoff f\u00fcr weitere Verfahren. Aber die Richtung k\u00f6nnte zu einer verbesserten Absicherung von Transaktionen beim Online-Banking f\u00fchren.<\/p>\n Die Absicherung \u00fcber SMS-TAN ist von Gerichten in Deutschland ja bereits als nicht mehr ausreichend angesehen worden, da solche SMS-TANs durch SIM-Swapping abgefischt werden k\u00f6nnen. Ein eventuelles EuGH-Urteil k\u00f6nnte aber f\u00fcr Banken, die beim Online-Banking \u00fcber Apps sowohl Transaktionen als auch die Autorisierung abwickeln, das Risiko einer Haftung sp\u00fcrbar erh\u00f6hen.<\/p>\n Kapert eine Malware das Ger\u00e4t und kann die Autorisierung durch Eingabe eines abgegriffenen PIN selbst vornehmen, d\u00fcrfte es f\u00fcr die Bank mit dem Nachweis der groben Fahrl\u00e4ssigkeit eng werden. Weist ein Gutachter nach, dass der Kunde diese Autorisierung nicht durch PIN-Eingabe genehmigt hat, w\u00e4re die Bank meiner Schlussfolgerung nach wiederum in der Haftung. Wird zwar etwas verzwickt, solange der Kunde nachweisen muss, dass er eine Transaktion nicht autorisiert hat. Ein Urteil k\u00f6nnte imho aber f\u00fcr ein St\u00fcck mehr Sicherheit sorgen und allzu windige Online-Banking App-L\u00f6sungen vom Markt fegen.<\/p>\n","protected":false},"excerpt":{"rendered":" Derzeit l\u00e4uft vor dem Europ\u00e4ischen Gerichtshof (EuGH) ein Verfahren eines Phishing-Opfers aus Polen gegen eine polnische Bank. Der Generalanwalt des EuGH empfiehlt in seiner Stellungnahme eine Entsch\u00e4digungspflicht von Banken bei Phishing, falls nicht autorisierte Transaktionen erfolgt sind – auch bei … Weiterlesen Die Implikationen eines Urteils<\/h2>\n