Betrüger lauern im Netz. Sie versuchen, Zugriff auf fremde Konten zu bekommen. Verbraucherschützer haben beobachtet, dass Cyber-Kriminelle Bankkunden regelrecht überschwemmen, mit E-Mails, SMS und Anrufen. EU-weit tragen rund zwei Drittel der Kunden den Schaden.
Sparkassenkundin kämpft um ihr Geld
Ein Beispiel - wie Claudia P. aus München Opfer von Kriminellen wurde: Von ihrem Online-Konto überwiesen sich Betrüger über 4.600 Euro. Die Sparkassenkundin berichtet BR24 von einem Anruf am 27. Juni 2023, bei dem sich ein Mann meldete und vorgab, von ihrer Sparkasse zu sein. Er forderte sie auf, ihr Push-TAN-Verfahren zu aktualisieren.
Tatsächlich hatte Claudia P. im gleichen Zeitraum dazu Aufforderungen ihrer Sparkasse in ihrem E-Mail-Postfach. Der Anrufer kennt ihre Daten. "Dann habe ich gedacht, das kann nur ein echter Mitarbeiter sein - weil, wer soll sonst meine Kontonummer haben?", so Claudia P. Tatsächlich geht eine SMS der Sparkasse während des Telefonats ein. Was Claudia P. nicht ahnt: Mit ihrem Klick auf diese Nachricht und der Eingabe weiterer Daten eröffnet sie den Kriminellen Zugang zu ihrem Online-Konto. Im Nu buchen diese mehrere teure Reisen, bezahlen über das Online Konto von Claudia P.
Grobe Fahrlässigkeit: ja oder nein? Knackpunkt bei Erstattung
Knackpunkt bei Fragen der Fahrlässigkeit ist, ob der Kunde die Zahlung autorisiert hat - etwa die Freigabe per Mausklick. Der Nachweis ist kompliziert. Die Banken prüfen laut Bundesfinanzministerium, ob eine Überweisung auch tatsächlich mit Pin und TAN, den sogenannten Authentifizierungs-Komponenten, erfolgte.
Dorothea Mohn vom Verbraucherzentrale-Bundesverband in Berlin kritisiert das scharf, denn die Banken würden sagen, bei ihnen sei alles in Ordnung - anscheinend habe sich der Verbraucher grob fahrlässig verhalten. Die Bank erhebe dann diesen Vorwurf. Die Beweislast wandere plötzlich zum Verbraucher, der beweisen müsse, dass er nicht grob fahrlässig gehandelt habe, so Mohn. In der Regel fällt es dem Verbraucher ihren Worten nach sehr schwer, diesen Beweis zu führen - mit der Konsequenz, auf seinem Schaden sitzen zu bleiben.
Autorisierung der Zahlung: ja oder nein? Schwierige Beweislage
So ergeht es auch Claudia P. Zwar kann ihre Sparkasse die Kosten von zwei Reisen zurückbuchen. Doch auf über 2.000 Euro Schaden bleibt sie sitzen. Sie erstattet Anzeige wegen Betrugs gegen Unbekannt und beauftragt den Münchner Rechtsanwalt Marc Maisch mit ihrem Fall. Er hält es für falsch, dass die Sparkasse seiner Mandantin gesagt habe, sie bekomme ihr Geld nicht zurück. Er geht davon aus, dass hier der Mandantin kein Fahrlässigkeitsvorwurf zu machen ist. Dieser Fall sei so kompliziert - und grobe Fahrlässigkeit seien Fälle, wo man sich mit der flachen Hand an die Stirn schlage, weil sie so dumm seien. Aber das sehe er hier gar nicht so.
Grundsätzlich - so Maisch - sei eine unautorisierte Zahlung von der Bank zurückzuerstatten. Die Bank prüfe, ob der Bankkunde grob fahrlässig oder vorsätzlich gehandelt habe, etwa ob Zugangsdaten verraten wurden. Nach seiner Erfahrung mit vielen Online-Banking-Betrugsfällen würden die Banken ihre Kunden oft unter Generalverdacht stellen. Man müsse dann beweisen, dass das nicht der Fall gewesen sei.
EU plant neue Richtlinie, um Bankkunden besser zu schützen
Die EU-Kommission hat erkannt, dass die aktuelle Zahlungsdienste-Richtlinie (PSD2) Bankkunden nicht ausreichend schützt. Sie arbeitet an einer neuen Richtlinie (PSD3). Die Europäische Bankenaufsichtsbehörde (EBA) gab bereits Empfehlungen ab: Dirk Haubrich von der EBA erläutert, man habe der Kommission zahlreiche Empfehlungen gegeben, wie die Richtlinie verbessert werden sollte, wegen "mangelnder Klarheit und abweichender Auslegungen in den Mitgliedstaaten" - auch wegen der unterschiedlichen Auslegungen bei den Banken. Die Definition von grober Fahrlässigkeit sei eine dieser 200 Empfehlungen gewesen, die sie der Kommission vorgeschlagen hätten, so Haubrich.
Kulanz ist keine Lösung
Zurück zum Fall von Claudia P.: Auf Anfrage des Bayerischen Rundfunks erklärte die Sparkasse vor ein paar Tagen: "Wir prüfen gerade intensiv, welche Möglichkeiten es zur Kulanzregelung in diesem Fall gibt."
Claudia P. wäre zwar froh, wenn sie das Geld schnell zurück hätte. Aber: Sie habe auf eine echte SMS der Sparkasse geklickt, die Täter kannten ihre Daten und die Notwendigkeit zur Aktualisierung ihres Push-TAN-Verfahrens. Wie hätte sie erkennen sollen, dass es sich um Betrug handelt?
Die Sparkasse stellt auf Anfrage des BR den Fall anders dar: Claudia P. habe die SMS an die Täter geschickt, nicht umgekehrt.
Fazit: Wie Hacker vorgehen, lässt sich oft nicht aufklären. Dass Kunden auf Kulanz angewiesen sind, um ihr Geld zurückzubekommen, muss sich daher dringend ändern.
Das ist die Europäische Perspektive bei BR24.
"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!