Fallbeispiel: Post von der Postbank

Der Fall

Frau Anony-Mi Siert schildert folgenden Sachverhalt: Beim Einloggen in ihr Onlinebanking stellte sie fest, dass die sonst übliche Abfrage auf dem Handy via „BestSign“ nicht mehr ansprach und wie gewohnt eine Bestätigung abforderte. Einloggen konnte sie sich aber trotzdem mittels der Eingabe ihres Passworts.

Beim Abschicken einer vorbereiteten Überweisung reagierte die App erst mit mehrminütiger Verzögerung und fragte eine Bestätigung ab. Ausgeführt wurde die Überweisung, wie sich nachträglich zeigte, trotzdem nicht. Weitere Überweisungen scheiterten daran, dass überhaupt keine Freigabeaufforderung mehr einging.

Auf der Suche danach, was wohl los sein könnte, stellte Frau Siert in ihrem Online-Banking fest, dass das BestSign-Verfahren deaktiviert war. Der Klick auf eine Schaltfläche in der Intention, das Verfahren wieder zu reaktivieren, dürfte dazu geführt haben, dass Frau Siert Post von der Postbank bekam – nämlich einen Aktivierungsbrief. Den dort wiedergegebenen Code benutzte Frau Siert in der Absicht, das BestSign-Verfahren wieder zu aktivieren. Endlich überweisen konnte Frau Siert trotzdem nicht: das System loggte sie aus und ein neues Login war nicht mehr möglich.

Ein Anruf bei der Hotline brachte zu Tage, das wohl Unbekannte die Zugangsdaten geändert hätten. Außerdem würde nach einer Reihe von Frau Siert bis dato unbekannten Kontoverfügungen ein fünfstelliger Betrag fehlen. Als später genauer nachgeschaut werden konnte zeigte sich, dass zunächst einige Lastschriften widerrufen wurden und der dadurch vorhandene Saldo dann fast vollständig wegüberwiesen worden ist.

Was ist hier eigentlich passiert?

Wie so oft lässt sich dazu, was wirklich passierte, nur mutmaßen. Der Umstand, dass es mehrere betrügerische Vorgänge – Lastschriftwiderrufe, Überweisungen – gab, deutet stark darauf hin, dass es den Tätern gelungen ist, ein eigenes Mobilfunkgerät mit dem Konto zu verknüpfen und dann dieses für Freigaben zu benutzen. Offenbar besaßen die Täter Zugriff auf das Online-Banking, das heißt, sie konnten sich einloggen.

Der weitere Verlauf lässt verschiedene Vermutungen – mehr aber auch nicht – zu. Vielleicht ist es den Tätern gelungen, abzupassen, wann eine Überweisung von Frau Siert angelegt wird und dann zeitlich passend die Abfrage für die Freigabe des eigene Mobilfunkgeräts auszulösen. Dann wäre möglicherweise eine eingehende Abfrage arglos als Bestätigung der Überweisung missinterpretiert worden, während sie tatsächlich der Freischaltung des Täterhandys diente.

Vielleicht ist es den Tätern aber auch gelungen, den Postversand eines Aktivierungsbriefes anzustoßen und dabei den Namen für den Verwendungszweck in einer Weise zu manipulieren, dass nicht auffällt, dass anstatt des Geräts des Berechtigten dasjenige der Täter freigeschaltet wird. Das wäre gleichermaßen perfide, wenn und weil der Berechtigte gerade mit Posteingang tatsächlich rechnet. Dann würde er umso weniger merken, was tatsächlich passiert. Vielleicht war es aber auch völlig anders.

Die Rechtslage

Ein Anspruch gegen die eigene Bank auf Wiedergutschrift von betrügerisch abverfügten Beträgen hat, wie hier vertiefend erläutert, im Kern zwei Voraussetzungen: Erstens durfte die Bankkundin die Kontoverfügungen nicht selbst autorisiert haben. Zweitens durfte sie nicht grob fahrlässig dabei mitgewirkt haben, dass der Zugriff der Betrüger gelang. Denn sonst hätte die Bank einen Schadensersatzanspruch gegen sie, mit dem sie gegen den Wiedergutschriftsanspruch aufrechnen könnte.

Eine grob fahrlässige Mitwirkung müsste die Bank ebenso beweisen, wie dass die Autorisierung nicht von der Bankkundin stammte. Das bedeutet, dass die Erfolgsaussichten für eine Wiedergutschrift dann besonders gut sind, wenn unklar bleibt, wie genau die Täter zum Erfolg kommen konnten, weil die Bankkundin bei ehrlicher Erinnerung dazu keinen Beitrag geleistet hat. Denn dann wird es auch der Bank kaum gelingen, mehr vorzutragen als bloße Vermutungen ins Blaue hinein. Diese wiederum genügen nicht für einen Beweis.

Autorisiert hatte die Bankkundin die Überweisungen hier mit an Sicherheit grenzender Wahrscheinlichkeit nicht. Haben es die Täter geschafft, ein eigenes Mobilfunkgerät für Freigaben zu verknüpfen, so kommt die Autorisierung von ihnen und nicht von der Bankkundin.

Nach unserem Dafürhalten konnte die Bank dem auch keinen Schadensersatzanspruch entgegenhalten. Denn zum einen war bei Beweislast der Bank offen, was überhaupt passiert war. Zum anderen läge – falls eine der oben geschilderten Varianten vorgelegen haben sollte – darin keine grobe Fahrlässigkeit, da die Bankkundin aus guten Gründen völlig arglos war. Das gilt erst recht, wenn die Täter auf ganz anderem Wege zum Erfolg gekommen wären.

Unsere Bewertung

Wie immer kommt es in solchen Fällen darauf an, belastbar zu bewerten, ob der Betroffene überhaupt einen plausiblen Beitrag zum Gelingen des Angriffs der Täter geleistet hat und falls ja, ob er dabei noch leicht oder schon grob fahrlässig handelte.

Wir meinen hier aus den genannten Gründen: nein.

Offenbar sah auch die Postbank zumindest ein gewisses Risiko, dass diese Meinung zutreffend sein könnte. Denn nicht allzu lang nach Klageerhebung gab es noch einmal mittelbar Post von der Postbank – hier in Form eines Kontoauszuges mit der vollständigen Wiedergutschrift nebst Anwaltsgebühren.