Entscheidung des Amtsgerichts München zum Ersatz von Phishing-Schäden
Phishing-Angriffe führen regelmäßig zu Streit darüber, wer für unautorisierte Kontobelastungen einzustehen hat: das kontoführende Institut oder der Kontoinhaber. In einem vor dem Amtsgericht München geführten Verfahren ging es um die Frage, ob nach einem Phishing-Vorfall ein Anspruch auf Ersatz des entstandenen Schadens besteht oder ob ein anspruchsausschließendes Eigenverschulden vorliegt. Grundlage dieser Darstellung ist der bei JuraForum veröffentlichte Bericht („AG München: Kein Schadensersatz bei Phishing durch Eigenverschulden“, abrufbar unter: https://www.juraforum.de/news/ag-muenchenkein-schadensersatz-bei-phishing-durch-eigenverschulden_263238).
Sachverhalt: Autorisierung von Zahlungsvorgängen im Kontext eines Phishing-Angriffs
Ausgangslage und streitige Kontobelastungen
Nach der Schilderung im Ausgangsbericht kam es im Zusammenhang mit einem Phishing-Geschehen zu Kontobewegungen, die der Kontoinhaber nicht als von ihm gewollt ansah. Der Anspruchsteller begehrte in der Folge die Rückabwicklung bzw. den Ersatz des finanziellen Nachteils und stützte sich darauf, dass die Zahlungen nicht von ihm veranlasst worden seien.
Verhalten des Kontoinhabers als maßgeblicher Prüfungsmaßstab
Im Mittelpunkt der gerichtlichen Würdigung stand das Verhalten des Kontoinhabers im zeitlichen und sachlichen Zusammenhang mit dem Angriff. Entscheidend war, ob die Umstände darauf hindeuteten, dass Sicherheitsvorgaben missachtet wurden und dadurch das Geschehen in zurechenbarer Weise begünstigt wurde.
Rechtliche Einordnung: Haftungsverteilung bei nicht autorisierten Zahlungen
Grundsätzliche Risikozuordnung bei Zahlungsdiensten
Bei Streitigkeiten über nicht autorisierte Zahlungsvorgänge stellt sich regelmäßig die Frage, ob und in welchem Umfang dem Zahlungsdienstleister Erstattungs- oder Ausgleichspflichten treffen oder ob dem Kontoinhaber eine Pflichtverletzung angelastet werden kann, die Ersatzansprüche entfallen lässt oder mindert. Maßgeblich ist dabei insbesondere, ob der Zahlungsvorgang als autorisiert zu behandeln ist bzw. ob eine Haftungsverschiebung aufgrund zurechenbaren Verhaltens des Kontoinhabers eingreift.
Abgrenzung zwischen Betrugsopfer und eigenverantwortlicher Mitverursachung
Das Amtsgericht München hat nach der im Ausgangstext wiedergegebenen Darstellung den Schwerpunkt auf die Mitverantwortung des Kontoinhabers gelegt. Danach können Schadensersatz- oder Erstattungsansprüche ausscheiden, wenn das Verhalten des Betroffenen als erheblich sorgfaltswidrig bewertet wird und gerade dadurch die Durchführung der streitigen Transaktionen ermöglicht wurde.
Kernaussagen der Entscheidung nach der veröffentlichten Berichterstattung
Kein Ersatz bei maßgeblichem Eigenverschulden
Nach dem Bericht kam das Amtsgericht München zu dem Ergebnis, dass im konkreten Fall kein Schadensersatz zuzusprechen sei. Ausschlaggebend war, dass das Gericht von einem Eigenverschulden des Kontoinhabers ausging, das den geltend gemachten Anspruch ausschließt.
Maßstab: Einhaltung von Sicherheitsanforderungen im Online-Banking
Im Rahmen der Entscheidungsbegründung, wie sie im Ausgangsbericht zusammengefasst wird, spielte die Frage eine wesentliche Rolle, ob der Kontoinhaber grundlegende Sicherheitsanforderungen beachtet hat. Das Gericht stellte demnach darauf ab, dass die Missachtung solcher Vorgaben nicht folgenlos bleibt, wenn sie den Missbrauch erst ermöglicht oder erleichtert.
Bedeutung für die rechtliche Bewertung vergleichbarer Konstellationen
Einzelfallbezogene Würdigung statt schematischer Lösungen
Die Entscheidung verdeutlicht nach der veröffentlichten Darstellung, dass Phishing-Sachverhalte rechtlich nicht allein unter dem Gesichtspunkt „unautorisierte Zahlung“ beurteilt werden, sondern regelmäßig eine detaillierte Einzelfallprüfung erfordern. Dabei können insbesondere Ablauf, Kommunikationsinhalte, Authentifizierungsprozesse sowie das konkrete Verhalten des Kontoinhabers für die Haftungsverteilung entscheidend sein.
Streitpunkte in Verfahren zu Phishing: Tatsachenfeststellung und Zurechnung
Typisch ist, dass die gerichtliche Beurteilung stark von der Feststellung abhängt, welche Handlungen vorgenommen wurden und ob diese als pflichtwidrig zu bewerten sind. In diesem Rahmen kann die Zurechnung des Geschehens über den Vorwurf eines Eigenverschuldens dazu führen, dass Ersatzansprüche nicht durchgreifen.
Einordnung aus Sicht von MTR Legal Rechtsanwälte
Phishing-Vorfälle berühren häufig Fragen der Haftung im Zahlungsverkehr und der vertraglichen Pflichten im Verhältnis zwischen Zahlungsdienstleister und Kunde. Wer zu einem vergleichbaren Sachverhalt Klärungsbedarf hat, etwa zur rechtlichen Bewertung von Kontobelastungen, zur Reichweite von Sorgfaltsanforderungen oder zur Anspruchsdurchsetzung bzw. -abwehr, kann hierzu eine auf den Einzelfall bezogene Beratung in Anspruch nehmen. Informationen hierzu finden sich bei MTR Legal unter: Rechtsberatung im Bankrecht.
