Betrugsopfer zahlen für Phishing-Opfer

Das Höchstgericht bestätigt den Rückforderungsanspruch von Banken gegenüber Kunden, die sich auf dubiose Geldgeschäfte einließen. Das Geld geht zurück an ebenfalls betrogene Onlinebankingnutzer.

(c) Bilderbox.com

WIEN. Erstmals haben Phishing-Attacken und andere Onlinebetrügereien im Bankenbereich ihren Weg zum Obersten Gerichtshof gefunden. Allerdings nicht, indem Zugangsdaten des Gerichtshofs zu Konten ausspioniert worden wären (Phishing setzt sich aus „Password“ und „Fishing“ zusammen), sondern als Rechtsfrage, und zwar zivilrechtlicher Natur: In zwei voneinander getrennten Fällen hat der Gerichtshof entschieden, dass Kontobewegungen, die durch Phishing in Gang gesetzt worden waren, von der Bank storniert werden können; die Empfänger der vermeintlichen Überweisungen, die einem wohlorganisierten Betrug aufgesessen sind und mit der Weiterleitung der Zahlungen Provisionen verdienen wollten, müssen der Bank das verschwundene Geld ersetzen.

 

Provisionen für Überweisungen

Die beiden Sachverhalte glichen einander aufs Haar. Beide Male wurden per Phishing fremde Onlinebankingzugänge geknackt. Die Überweisungen gingen nicht – oder nicht direkt – an die Täter, sondern an eine Art Geldkuriere. Diese waren per E-Mails dazu überredet worden, für Provisionen die Weiterleitung an „Kunden“ zu übernehmen, die anders angeblich nicht zu ihrem Geld hätten kommen können.

Tatsächlich hoben die Kuriere – in einem Fall „Distanzmitarbeiterin“ genannt – die auf ihren Konten eingegangenen Gutschriften in Höhe von mehreren tausend Euro ab, erfreuten sich ihrer Provisionen und schickten das Geld auftragsgemäß weiter. Die Banken bemerkten unterdessen, dass die Ausgangstransaktionen auf betrügerische Weise ausgelöst worden waren: Die Inhaber der belasteten Konten konnten glaubhaft machen, keine Überweisungsaufträge erteilt zu haben (und – warum auch immer – nicht sorgfaltswidrig gehandelt zu haben). Die Banken stornierten daraufhin die Überweisungen an die Kuriere, was sie nach den Geschäftsbedingungen dann können, wenn ihnen die Unwirksamkeit eines Überweisungsauftrags nachgewiesen wurde. Aber durften sie auch?

Sie durften. Mit der Folge, dass sie bereicherungsrechtlich gegen die Kuriere – jeweils Kunden derselben Bank wie die Phishing-Opfer – vorgehen können. Der OGH sah keinen Grund, den Gedanken der Anscheinsvollmacht auf die bloß vorgeblichen Aufträge der Phishing-Opfer anzuwenden. Denn dazu müssten drei Voraussetzungen erfüllt sein: Es bedürfte eines Sachverhalts, aus dem der Erklärungsempfänger (hier: die Bank) objektiv die Erteilung einer Vollmacht erschließen könnte; dieser Sachverhalt müsste dem scheinbaren Vollmachtgeber (dem ausspionierten Kunden) zurechenbar sein; und der Erklärungsempfänger dürfte nicht um die wahren Umstände Bescheid wissen (dass nämlich gar keine Vollmacht vorliegt) und diese auch nicht fahrlässig verkennen.

 

„Anscheinsvollmacht“ verneint

Für den OGH ist schon die erste Voraussetzung nicht erfüllt: Die Bank verbiete ihren Kunden die Weitergabe der Zugangsdaten und gehe daher bei deren Einsatz davon aus, dass die Kunden selbst und keine Bevollmächtigten aktiv geworden sind. Und wie steht es um den Schutz der Kuriere? Schlecht: „Auch der gutgläubige Überweisungsempfänger“, so heißt es wortgleich in beiden Entscheidungen (2 Ob 107/08m und 9Ob 3/08v), „der auf die Gültigkeit der Überweisung berechtigt vertraute, wird vor der Kondiktion (Rückforderung Anm.) der vermeintlich angewiesenen Bank grundsätzlich nicht geschützt, weil dem die schutzwürdigen Interessen des scheinbar Überweisenden entgegenstehen.“

Letztlich geht es also darum, die Interessen zweier Opfer von Straftaten gegeneinander abzuwägen. Die vom Phishing Betroffenen sind, wie Christian Bergauer, Rechtsinformatik-Experte an der Universität Graz, der „Presse“ erläutert, Opfer eines qualifizierten Datenverarbeitungsmissbrauchs (148a Abs. 2 StGB); die Geldkuriere sind Opfer eines schweren Betrugs (147 Abs. 2); durchwegs wurde die strafverschärfende Wertgrenze von 3000 Euro Schaden überschritten.

Die Distanzmitarbeiterin im ersten Fall muss deshalb das Minus auf ihrem Konto in Höhe von 8756,63 Euro ausgleichen; im zweiten Fall summierte sich der Schaden gar auf 15.887,69 Euro, die der glücklose Kurier seiner Bank ersetzen muss.

("Die Presse", Print-Ausgabe, 15.06.2009)

Kommentar zu Artikel:

Betrugsopfer zahlen für Phishing-Opfer

Sie sind zur Zeit nicht angemeldet.
Um auf DiePresse.com kommentieren zu können, müssen Sie sich anmelden ›.

Meistgelesen