Eine Kundin hat die VR Bank Dachau nach einer erfolgreichen Phishing-Attacke auf ihr Konto verklagt.
(Foto: N.P.JØRGENSEN)Für Frau B. geht es um eine Menge Geld - und gerade jetzt streikt ihre Technik. Die neunte Zivilkammer des Landgerichts München II ist virtuell zusammengekommen, um in ihrer Klage auf Rückerstattung in Höhe von 20 117 Euro gegen die VR Bank Dachau zu verhandeln. Frau B. hatte nach einer erfolgreichen Phishing-Attacke auf ihr Konto sowie die Konten ihres Ehemanns und Sohnes die VR Bank Dachau aufgefordert, ihr den ergaunerten Betrag zurückzuzahlen. Eine Forderung, die die Bank ablehnte. Also klagte Frau B. Nun ist Prozesstag, in etwa einer halben Stunde wird sie wissen, ob sie ihr Geld zurückbekommt. Vorausgesetzt natürlich, sie bekommt die Laptop-Kamera zum Laufen. "Ich bin etwas nervös" hört man ihre Stimme im Gerichtssaal, in dem coronabedingt nur die Richterbank besetzt ist. Der Vorsitzende Richter Thomas Böx versucht zu beruhigen. "Vielleicht versuchen Sie, sich mit dem Handy einzuloggen?" Das klappt.
Deutschlandweit gibt es noch keine veröffentlichten Urteile in vergleichbaren Phishing-FällenBeim sogenannten Phishing versuchen Internet-Betrüger, Zugangsdaten von Bankkunden abzugreifen, indem sie Kunden auf Webseiten locken oder sie zu Test- oder Rücküberweisungen auffordern. Dabei ist es fast unmöglich, die Täter ausfindig zu machen. Bleibt also nur die Möglichkeit, die kontoführende Bank auf Schadensersatz zu verklagen. Diese können theoretisch haftbar gemacht werden, wenn sie beispielsweise nicht über gewisse Sicherheitsrisiken informieren. Keine Mitschuld trägt die Bank jedoch, wenn Kunden sich "grob fahrlässig" verhalten. Nach Kenntnis der verhandelnden Kammer gibt es bislang deutschlandweit keine veröffentlichten Urteile anderer Gerichte in vergleichbaren Phishing-Fällen. Das macht den Prozess besonders interessant, verhandelt er doch eine Frage, die viele Bankkunden betreffen könnte: Müssen Banken zahlen, wenn Phishing-Kriminelle unerlaubt Geld abheben?
Im konkreten Fall der Familie B. hatten die Phishing-Kriminellen vermutlich bereits vorab mithilfe eines Trojaners oder ähnlichen Virus die Zugangscodes der Kundin abgefangen und konnten so in ihrem Namen einen Freischalt-Code für die Secure-Go App der VR Bank beantragen. Die Klägerin erhielt daraufhin im April 2021 eine Phishing-Mail, in der es hieß: "Willkommen bei e-Tan Verfahren. Schalten Sie sich frei auf vr-bank.net". Etwas später habe die Kundin dann von der VR Bank selbst ein Schreiben mit Zugangscode für die App erhalten, inklusive einer Anleitung zum Freischalten auf der Seite vr-bank.de und einer Warnung, den Zugangscode nicht telefonisch weiterzugeben. Es fehlte jedoch der explizite Hinweis, sich nicht auf einer Fake-Seite einzuloggen. Nach einem dringlichen Phishing-Anruf, dass Frau B. nur noch wenige Tage Zeit habe, um die Secure-Go-App freizuschalten, loggte sie sich mit dem echten Freischaltcode auf der falschen Seite ein. So konnten die Täter bequem per App die Beträge von den Konten der Klägerin, ihres Ehemannes und des Sohnes abgreifen. Allein vom Konto des 19-jährigen Sohnes ergaunerten sie mehr als 12 000 Euro.
Künftige Urteile werden immer Einzelfallentscheidungen seinWar Frau B.s Verhalten also "grob fahrlässig"? Bei der Einschätzung befinde sich die Kammer laut Richter Böx "auf hoher See", es handele sich um "Kasuistik", also Einzelfallentscheidungen. Bei Frau B. sei diese aber aus Sicht des Gerichts durch ein Zusammenspiel verschiedener Unachtsamkeiten gegeben. Demnach unterscheide sich die Optik der beiden Schreiben beim genauen Hinsehen, außerdem verfüge die Phishing-Mail über mehrere Rechtschreibfehler und zudem hätte die Kundin stutzig werden müssen, als sie innerhalb einer kurzen Zeit zwei Schreiben erhalten habe. Zumal die Schreiben nebeneinander gelegt, deutliche Abweichungen aufgezeigt hätten. Trotzdem sei Frau B. dem beschriebenen Verfahren der Phishing-Mail gefolgt und habe sich auf vr-bank.net eingeloggt statt wie jahrelang zuvor auf vr-bank.de.
Richter Böx fügt jedoch einschränkend hinzu, dass es "alles andere als in sicheren Tüchern" sei, dass höhere Instanzen nicht auch anders entschieden könnten. Er halte es für möglich, dass sich Frau B. mit ihrer Klage bis zum Bundesgerichtshof ziehen könne. Böx schlägt eine Vergleichszahlung der Bank in Höhe von 6500 Euro an das Konto des Sohnes vor. So würde er die gerundete Hälfte seines Verlusts zurückbekommen. Denn den jungen Mann träfe, so Richter Böx, "nun wirklich keine Schuld". Ein moralisches Argument, das die Anwältin der VR Bank nach Rücksprache mit ihrem Mandanten ablehnt. Stattdessen schlägt sie einen in der geringen Höhe eher symbolischen Betrag von 2000 Euro vor. Die Anwältin von Frau B. nimmt das Angebot nach einer weiteren Unterbrechung sichtlich zerknirscht an, bittet jedoch um eine Bedenkfrist von einer Woche. Man wolle zunächst mit dem Sohn der Klägerin Rücksprache halten, der momentan in der Arbeit sei.
Sollte Frau B. das Angebot widerrufen, entscheidet das Landgericht abschließend am 11. März. Für Frau B. ist es sicherlich keine leichte Entscheidung, bedenkt man, dass sie neben dem Verlust des Phishing-Geldes auch für 90 Prozent der Prozesskosten aufkommt.
