Betrug im Zusammenhang mit der Freigabe von Überweisungsaufträgen

Auf verschiedenste Weise versuchen Betrüger, im Zusammenhang mit Online-Banking auf Konten zuzugreifen und Überweisungen zu ihren Gunsten zu veranlassen. Im Wesentlichen sind zwei Fallgruppen zu beobachten:

Fallgruppe 1: Der Betrüger, der sich gegenüber der Bank als Kunde, zulasten dessen Konto die Überweisung letztlich erfolgt, ausgibt, verschafft sich mit den dem Kunden herausgelockten personalisierten Sicherheitsmerkmalen Zugang zum Online-Banking des Kunden (über die Webseite oder die Online-Banking-App). In weiterer Folge aktiviert der Betrüger – ebenso wieder unter Mithilfe des Kunden – das Identifikationsverfahren der Bank auf seinem Smartphone oder auf der Webseite und kann damit autonom Überweisungen beauftragen und mittels starker Kundenidentifikation autorisieren. Die Autorisierung des Überweisungsauftrags stammt somit nicht vom Kunden, zulasten dessen Konto die Überweisung erfolgen soll.

Fallgruppe 2: Der Kunde wird, oftmals telefonisch, aber sehr häufig auch im Wege gefälschter Internetseiten oder Ähnlichem, unter Vorspiegelung falscher Tatsachen vom Betrüger, der sich als Bankmitarbeiter (Amazon/Microsoft/Paypal/…-Mitarbeiter) ausgibt, dazu angeleitet, eine Überweisung zu autorisieren. Die Überweisung wird vom Betrüger mit den personalisierten Sicherheitsmerkmalen des Kunden, die der Kunde dem Betrüger bekannt gegeben hat, auf dem Computer/Smartphone des Betrügers initialisiert bzw vorbereitet und vom Kunden sodann freigegeben/autorisiert. Der Betrüger arbeitet zwar technisch im Internetbrowser seines eigenen Geräts, da er aber die Sicherheitsmerkmale des Kunden kennt, befindet er sich dabei im Online-Banking des Kunden. Der Kunde glaubt aufgrund von Informationen des Betrügers, der sich als Bank-(Amazon/Microsoft/Paypal…..) Mitarbeiter ausgibt, dass sein Konto gesperrt ist oder dass die verlangten Maßnahmen aus anderen Gründen zwingend und umgehend notwendig sind, und er folgt daher der Anweisung des Betrügers, die ihm angezeigten pushTAN-Signaturanforderungen zu bestätigen. Dass er damit in Wirklichkeit eine Überweisung an den Betrüger mittels starker Kundenauthentifizierung autorisiert, nimmt der Kunde nicht zur Kenntnis, obwohl er auf der branchenüblichen Freigabemaske eindeutig darauf hingewiesen wird, dass er einen Zahlungsauftrag freigibt; so zB durch folgende Texte auf in der Praxis üblichen Freigabemasken:

Unter der Überschrift „Möchten Sie diese Inlandsüberweisung freigeben?“: „Geben Sie nur Überweisungen frei, die sie selbst angelegt haben und tatsächlich auch durchführen wollen. Wir werden Sie niemals telefonisch zur Freigabe oder Stornierung eines Auftrags auffordern. Solche Aufforderungen sind ein Betrugsversuch!“ „Sie haben diesen Auftrag nicht selbst erstellt oder einen Fehler entdeckt? Dann tippen Sie bitte auf Abbrechen.“

Unter der Überschrift „Signaturanfrage“: „Bitte prüfen Sie diese Anfrage, bevor Sie sie bestätigen.“ „Stammt diese Anfrage nicht von Ihnen, kontaktieren Sie bitte umgehend Ihren Bankberater oder die Hotline des Electronic Banking.“

Die beiden vorstehend grob beschriebenen Fallgruppen unterscheiden sich im Wesentlichen dadurch, dass in der Fallgruppe 2 der Kunde selbst, angeleitet vom Betrüger, die Überweisungsaufträge autorisiert, während er es in der Fallgruppe 1 dem Betrüger durch sein Verhalten ermöglicht, die Überweisungsaufträge selbst freizugeben, also nicht selbst die Autorisierung durchführt.

Im Folgenden wird geprüft, welche rechtlichen Folgen sich in den unterschiedlichen Sachverhalten im Verhältnis des Kunden zu seinem Zahlungsdienstleister ergeben.