2009/07/28 Wer haftet bei "Phishing-Attacken"?
Mag. jur. Michael Krenn
Hauptgeschädigte von "Phishing-Attacken" (betrügerische Angriffe mittels Entwendung von Zugangs-/Transaktiondaten) sind meist die gutgläubigen Zwischenüberweiser. Ausnahme: Es besteht begründete Annahme, der scheinbar Überweisende (das "Phishing-Opfer") wisse über die Überweisung bescheid und bestätigt diese als rechtmäßig.
Unter dem Kunstwort „Phishing", welches sich aus den Wörtern „Password" und „Fishing" zusammensetzt, sind betrügerische Angriffe Dritter - bei denen Benutzern Zugangs- bzw. Transaktionsdaten, insbesondere PIN- und TAN-Codes für Banktransaktionen, herausgelockt werden - zu verstehen. Derartige Attacken können durch fingierte Websites, E-Mails oder direkte Einschaltung in den Bank-Kunden-Verkehr mittels Trojanern erfolgen. Bei mangelnder Sorgfalt kann es zu umfangreichen Finanztransaktionen auf den Bankkonten Betroffener kommen. Aber auch auf Seite der "Täter" finden sich oft recht naive Internet-Nutzer, welche ohne Argwohn zum Teil solcher betrügerischen Konstrukte werden.
Eine neue Entscheidung des OGH (2Ob107/08m, 19.2.2009) beschäftigt sich mit der Frage, wer den Schaden zu tragen hat, wenn Betrugsopfer und Überweisungsempfänger gutgläubig handelten und die wahren Täter nicht gefunden werden können.
Fallbeispiel: Verlockendes Jobangebot aus England
Die Betroffene hatte sich über eine Jobbörse im Internet um eine Teilzeitbeschäftigung bei einem angeblichen britischen Unternehmen beworben und dazu zunächst ihre persönlichen Daten bekannt gegeben. Im Zuge der Kontaktanbahnung wurde sie informiert, dass ein in England gegründetes Unternehmen im Ausland kein Konto eröffnen dürfe und deshalb Mitarbeiter in Österreich notwendig wären, um Zahlungen von österreichischen Kunden des Unternehmens annehmen zu können. Per Telefon wurde ihr dann mitgeteilt, dass ihr Konto zur Erfüllung von Kundenaufträgen benötigt würde.
Ein Kunde des englischen Unternehmens habe einen Betrag von 8.400 EUR auf ihr Konto überwiesen. Nun solle sie diese Summe in zwei Teilbeträgen via „Western-Union" an zwei Endkunden in Lettland weitertransferieren und dafür als „Lohn" 420 EUR erhalten.
Die Betroffene begab sich noch am selben Tag zu ihrer Bankfiliale, wo sie die Bestätigung erhielt, dass ein Betrag von 8.400 EUR auf ihrem Konto gutgebucht worden sei. Daraufhin behob sie die Barbeträge von 8.380 EUR und 1.000 EUR und veranlasste die angeordneten Barüberweisungen „unter Berücksichtigung der dafür aufgelaufenen Spesen". Außerdem behielt sie sich die versprochene Provision von 420 EUR ein.
Überweisung ohne Wissen des Kontoinhabers
Auch der angebliche Kunde hatte ein Konto bei derselben Bank besessen, von welchem die Überweisung auf das Konto der Betroffenen vorgenommen worden war. Diese Überweisung geschah jedoch ohne Wissen und Mitwirken des Kontoinhabers, sondern über Veranlassung eines unbekannten Dritten, der sich die Zugangsdaten zu diesem Konto im Wege des sogenannten „Phishing" illegal beschafft hatte. Nach ausführlicher Erörterung, wie es zu der von ihm nicht beauftragten Überweisung kommen konnte, erstattete der Betroffene noch am selben Tag Anzeige gegen unbekannte Täter wegen Verdachts des schweren Betrugs. Ebenfalls noch am selben Tag stornierte die Bank die Gutschrift von 8.400 EUR auf dem Konto der Betroffenen, sodass dieses mit dem entsprechenden Betrag im Debet war.
Infolge klagte die Bank die Zahlung des betreffenden Betrages durch die Betroffene ein, da das Konto nicht abgedeckt war. Dabei berief sich die Bank auf eine Bestimmung ihrer Allgemeinen Geschäftsbedingungen, welche ihr die Stornierung unwirksamer Überweisungsaufträge erlaube.
Verantwortung bei „Phishing-Opfer“ oder bei Überweisender?
Nachdem die Bank sowohl in Erst- als auch in Berufungsinstanz Recht bekam, gelangte die Sache an den OGH. Die Beklagte stellte sich im Verfahren auf den Standpunkt, die entsprechende Bestimmung der Geschäftsbedingungen regle nur die Stornoberechtigung gegenüber dem Auftraggeber eines Überweisungsauftrags. Daher sei diese Stornierung unzulässig und außerdem nur dann möglich, wenn auf dem Konto noch ein entsprechendes Guthaben vorhanden gewesen wäre.
Das "Phishing-Opfer" habe durch Herausgabe des TAN-Codes im Zuge der "Phishing"-Attacke bei der Bank und der Betroffenen "Zwischenüberweiserin" den Anschein erweckt, die Überweisung selbst veranlasst zu haben. Daher sei ihm die missbräuchliche Verwendung seiner Zugangsdaten durch dritte Personen zuzurechnen.
Die Betroffene sei zum Zeitpunkt des Empfangs der Geldleistung gutgläubig und bei der Stornierung nicht mehr bereichert gewesen.
Kein grundsätzlicher Schutz für gutgläubigen Überweisungsempfänger
Grundsätzlich sieht der OGH einen an eine Bank erteilten Überweisungsauftrag als "bürgerlich-rechtliche Anweisung". Der Empfänger erwirbt durch einen Überweisungsauftrag noch keinen unmittelbaren Rechtsanspruch gegen die Bank. Dieser entsteht erst mit der Gutschrift auf dem Konto des Empfängers, die ein abstraktes Schuldversprechen der Bank begründet. Die Gutschrift ist jedoch nur dann wirksam, wenn ein rechtsgültiger Überweisungsauftrag besteht. Fehlt ein solcher, so geht auch die Gutschrift ins Leere und es besteht ein Rückforderungsanspruch der Bank gegenüber dem unberechtigten Leistungsempfänger.
Auch der gutgläubige Überweisungsempfänger, der berechtigt auf die Gültigkeit der Überweisung vertraute, wird grundsätzlich nicht geschützt, da dem die schutzwürdigen Interessen des scheinbar Überweisenden entgegenstehen.
Eine Ausnahme besteht, wenn der scheinbar Überweisende dem Empfänger in zurechenbarer Weise den Anschein einer Anweisung erweckt hat und diese im Augenblick der Zahlung noch gültig war. Dadurch konnte der redliche Überweisungsempfänger die Zahlung "kraft Rechtsscheins" dem scheinbar Überweisenden als dessen Leistung zurechnen.
Im vorliegenden Fall beruhte das Vertrauen der Beklagten auf der Rechtsgültigkeit der Überweisung und den Versprechen, die sie von dritter Seite erhielt. Jedoch nicht auf einem Verhalten des scheinbar Überweisenden.
Sonderfall „Phishing“?
Neben der Frage, ob die Betroffene gesetzlichen Schutz genieße, wurde durch den OGH auch geprüft, ob dem Auftrag an die Bank zur Überweisung Gültigkeit zukommen konnte. Nach der Rechtsprechung des Obersten Gerichtshofs wird der naive "Zwischenüberweiser", in seinem Vertrauen auf den Rechtsschein, grundsätzlich nur dann geschützt, wenn für ihn die Herstellung des Rechtsscheins ursächlich für den Überweisungsauftrags war. Dazu gehört auch, dass ihm zu diesem Zeitpunkt das den Rechtsschein auslösende Verhalten des Machtgebers überhaupt bekannt war.
Im vorliegenden Fall sei der Bank bei Zugang des Überweisungsauftrags das nur scheinbar rechtmäßige Verhalten - fahrlässige Behandlung der PIN-Daten - des scheinbar überweisenden Kontoinhabers nicht bekannt gewesen. Außerdem wurde auch kein unrechtmäßiges Verhalten des Kontoinhabers (wie etwa unzureichende Geheimhaltung von PIN und TAN) - das zum Anschein, er habe selbst gehandelt, beigetragen haben könnte - festgestellt.
Daher hat der OGH Erwägungen zu einer möglichen Rechtsscheinzurechnung zu Lasten des „Phishing"-Opfers unterlassen. Auch die Frage allfälliger Schadenersatzansprüche der Bank gegen einen sorglosen Kontoinhaber wurden im vorliegenden Fall nicht geprüft.
Zusammenfassung
Ein gutgläubiger Überweisungsempfänger ist hinsichtlich einer Überweisung, welche durch eine Phishing-Attacke auf den Überweisenden zustande gekommen ist, grundsätzlich nicht geschützt. Er hat daher derartige Gutschriften rückzuerstatten, sofern er – wie im Beispielfall – über diese bereits verfügt hat. Dies wird bei professionell agierenden Kriminellen in der Regel jedoch ein faktisches Problem sein. Eine Ausnahme besteht nur dann, wenn der Überweisende selbst gegenüber dem Empfänger Anzeichen gesetzt hat, dass die Überweisung von ihm stammt.
Aber auch der Überweisungsauftrag an die Bank selbst ist in der Regel nicht gültig, es sei denn, dass dem Überweisenden irgendeine Fahrlässigkeit (zB. Verlust der Codes, etc.) angelastet werden kann.
Geschädigter der "Phishing-Attacke" bleibt demnach in der Regel der Überweisungsempfänger. Dies scheint im vorliegenden Falle, in welchem die Überweisungsempfängerin offenbar mit unfassbarer Naivität und Sorglosigkeit agierte, nicht unbillig. Problematisch ist die Sache allerdings dann, wenn weder dem Überweisungsempfänger noch dem Überweisenden eine Sorglosigkeit anzulasten ist, sondern die "Phishing-Attacke" – etwa mangels entsprechender Sicherheitsmaßnahmen - auf das Konto der Bank geht.
Ob in derartigen Fällen der Betroffene einen Rückgriffsanspruch gegenüber dem Kreditinstitut hat, wird der OGH möglicherweise noch in späteren Fällen klären müssen.
|
