Mitarbeiter der Sparkasse ruft an
Meine Mandantin erhielt im Urlaub unter der Rufnummer der Sparkasse Leipzig einen Anruf. Der Anrufer gab sich als Mitarbeiter der Sparkasse Leipzig aus und behauptete, Unbekannte hätten versucht, Abbuchungen von ihrem Konto vorzunehmen. Da das Handy angezeigt hatte, dass die Sparkasse anruft und der Anrufer Einzelheiten zu Kontoumsätzen kannte, schöpfte die Mandantin keinen Verdacht. Der Anrufer empfahl der Mandantin, sicherheitshalber das Konto zu sperren und neue Zugangsdaten zum Online-Banking anzufordern. Er werde ihr hierzu gleich eine Nachricht senden, mit der sie ihr Konto sperren könne. Kurz darauf erhielt die Mandantin von der pushTAN App ihres Handys die Aufforderung, einen Auftrag freizugeben, was sie dann auch tat.
Täter kaufen mit der Debitkarte im Internet ein
Nach Auskunft der Sparkasse Leipzig wurde beim Auftrag aber gar nicht das Konto gesperrt, sondern die Debitkarte der Mandantin für Apple Pay auf einem fremden Handy freigeschaltet, mit der die Täter für 4.900 EUR im Internet einkauften. Anschließend gaben die Täter drei falsche PIN ein, wodurch das Konto der Mandantin tatsächlich gesperrt wurde, damit die Mandantin keinen Verdacht schöpfen konnte.
Die Rechtslage
Rechtlich verhält es sich in diesem Fall so, dass die Sparkasse Leipzig gegen die Mandantin keinen Anspruch auf Belastung der Kaufpreise hat, weil nicht die Mandantin die Kaufpreise überwiesen hat, sondern die Täter. Allerdings stünde der Sparkasse Leipzig gegen die Mandantin ein Schadensersatzanspruch zu, wenn sich die Mandantin grob fahrlässig verhalten hat. Grob fahrlässig verhält sich jemand, wenn er die Sorgfalt besonders schwer verletzt hat, einfachste und naheliegende Überlegungen nicht angestellt hat oder das nicht beachtet, was sich in der jeweiligen Situation jedem hätte aufdrängen müssen. Die Hürden für eine grobe Fahrlässigkeit liegen daher ziemlich hoch. Ob grobe Fahrlässigkeit vorliegt, ist in jedem Einzelfall zu beurteilen. Je cleverer die Täter vorgehen, desto eher liegt daher keine grobe Fahrlässigkeit vor und vorliegend sind die Täter ziemlich clever vorgegangen.
Ansicht des Ombudsmannes der Sparkassen
Der Ombudsmann der Sparkassen hat in diesem Fall die Ansicht vertreten, die Mandantin habe sich grob fahrlässig verhalten, weil sie die Warnhinweise zu Phishing-Nachrichten auf der Internetseite der Sparkasse Leipzig nicht beachtet habe. Hiermit kann aber schon deshalb keine grobe Fahrlässigkeit begründet werden, weil die Mandantin gar keine Phishing-Nachricht erhalten hat.
Keine grobe Fahrlässigkeit
Entgegen der Ansicht des Ombudsmannes ist das Verhalten der Mandantin auch nicht bloß deswegen als grob fahrlässig zu bewerten, weil sie den Auftrag freigegeben hat, da Sie aufgrund des Umstandes, dass die Täter mit der Rufnummer der Sparkasse Leipzig angerufen haben und Details zu Kontoumsätzen erwähnten, die außer sie selber eigentlich nur der Sparkasse Leipzig bekannt sein konnten, keinen Verdacht schöpfen musste.
Eventuell wäre der Fall aber anders zu beurteilen, wenn in der Nachricht „Auftrag freigeben“ angegeben worden wurde, dass hiermit die Debitkarte der Mandantin für Apple Pay oder ein fremdes Handy freigegeben wird. Ob diese der Fall gewesen ist, wäre aber von der Sparkasse Leipzig zu beweisen.
Woher hatten die Täter die Login-Daten für das Online-Banking?
Die Täter hatten sich offensichtlich bereits vor dem Anruf Zugang zum Online-Banking der Mandantin verschafft, da ihnen die Kontoumsätze bekannt waren und sie von dort aus von der PushTAN App auf dem Handy der Mandantin die Nachricht „Auftrag freigeben“ auslösen konnten. Wie sie sich die Login-Daten für das Online-Banking beschafft haben, ist der Mandantin völlig schleierhaft, weil sie ihre IT-Geräte durch Antivirenschutz und Firewall gesichert und Phishing-Mails immer sofort gelöscht hat.