Mit Online-Banking sparen Kunden viel Zeit. Doch was, wenn das Konto durch Angriffe aus dem Internet leergeräumt wird? Wer haftet dann für den Schaden?

"Es gilt der Grundsatz: Wenn der Kunde keine Autorisierung für die Transaktion gegeben hat, dann haftet die Bank für den Schaden", erklärt Markus Feck, Fachanwalt für Bankrecht und Referent bei der Verbraucherzentrale Nordrhein-Westfalen (NRW). Doch nicht immer kommt der Betrogene mit einem blauen Auge davon. Wird ihm grobe Fahrlässigkeit beim Umgang mit seinen Daten nachgewiesen, wird er sein Geld nicht wiedersehen. Es stellt sich also immer die Frage, wie es zu dem Missbrauch kommen konnte.

Online-Kriminelle sind kreativ. Auf vielerlei Wegen verschaffen sie sich Zugang zu PCs und privaten Daten. Der wohl bekannteste Trick ist die sogenannte Phishing-Mail, eine betrügerische E-Mail, die nach Passwörtern "fischt". "Lange nichts von dir gehört!" oder "Ein Video wird ihr Leben zum Positiven verändern" sind typische Betreffzeilen aus Phishing-Mails, die garantiert nichts zum Positiven verändern. Hier rät Ralf Scherfling von der Verbraucherzentrale Nordrhein-Westfalen, verdächtige E-Mails ungeöffnet zu löschen. Denn oft verbirgt sich dahinter ein Schadprogramm, das der Nutzer beim Öffnen unbewusst auf seinem Gerät installiert. Aber auch beim Surfen im Internet kann sich der Nutzer einen Virus einfangen. Deshalb muss eine aktuelle Antiviren-Sofware auf jedem Computer installiert sein. Auch die Hinweise des eigenen Kreditinstituts für sicheres Online-Banking sollten stets beachtet werden. "Wer diese Regeln außer Acht lässt, dem könnte die Bank grobe Fahrlässigkeit unterstellen", sagt Scherfling. So geschehen bei einem Urteil des BGH von 2012 (AZ XIZR96/11) bei dem ein Kunde keinen Schadensersatz von der Bank erhielt, weil er die Warnhinweise seines Kreditinstituts ignorierte, indem er mehrere Transaktionsnummern in den Computer eingab. "Bei dem Thema ,grobe Fahrlässigkeit' scheiden sich die Geister. Letzten Endes entscheidet der Richter, wer im Einzelfall für den Schaden aufkommen muss" so Feck. Er selbst hätte das Verhalten des Geschädigten nur als fahrlässig eingestuft. Dann haften Betrugsopfer mit maximal 150 Euro, erklärt der Experte. "Dass uns nur sehr wenige Fälle bekannt sind, sehen wir als Zeichen dafür, dass die Banken wohl meist anstandslos regulieren", meint Feck.

"Die Sparkassen entscheiden selbst, wie im Schadensfall verfahren wird", erklärt Alexander von Schmettow vom Deutschen Sparkassenverband. Er verweist aber explizit auf die Sorgfaltspflicht des Kunden. Die Zahl der Schadensfälle hat sich laut von Schmettow in den letzten Jahren aber kaum geändert.

Dem widerpricht die Statistik des Bundeskriminalamtes (BKA). Ihr zufolge wurden 6984 Phishing-Attacken für das Jahr 2014 gemeldet - 70,5 Prozent mehr als noch im Vorjahr. Die Dunkelziffer liege laut BKA sogar weit höher.

Wird man selbst zum Betrugsopfer, rät Verbraucherschützer Scherfling, zunächst die Bank davon in Kenntnis zu setzen, um den Schaden zu begrenzen. Anschließend solle man Strafanzeige erstatten.

Zum Thema:

Auf einen Blick:Hilfreiche Tipps zum Schutz vor Online-Betrügern gibt es unter www.vz-nrw.de/phishing . Die Verbraucherzentrale NRW bietet außerdem ein Phishing-Radar. Benutzer können verdächtige E-Mails an phishing@vz-nrw.de weiterleiten. Seit 2010 wurden so mehr als 800 Betrugsseiten gesperrt. bel