Datenklau im Internet – wer haftet?

Verbraucheranwalt · . Anmeldungsdatum: 22.06.2004 Beiträge: 229 Wohnort: Berlin

Datenklau beim Onlinebanking – Haftet die Bank?

Einkäufe und Bankgeschäfte über das Internet zu tätigen, ist nicht mehr die Ausnahme: alle tun es, also muss es doch sicher sein. Muss es das? – Relativ bekannt ist, dass Emails so vertraulich sind wie Postkarten, aber zum Onlinebanking in der einfachsten Variante sind immerhin eine persönliche Zugangsnummer (PIN) sowie jeweils nur einmal zu verwendende Transaktionsnummern (TAN) erforderlich. Das suggeriert Sicherheit. Zudem ist Onlinebanking sehr bequem, sowohl für die Kunden, vor allem aber auch für die Banken. Diese verlagern beim Internetbanking nicht nur ureigene Tätigkeiten auf den Kunden, sondern auch das Risiko von Missbrauch und Fahrlässigkeit. Zunächst ist jeder Kunde verpflichtet, sorgsam mit seinen Daten umzugehen, TAN-Liste und PIN also nicht auf dem Computer zu speichern und vor dem Zugriff Dritter zu schützen. Wir kennen das von EC- und Kreditkarten, die dazugehörigen Geheimnummern sollten auch nicht auf einem beiliegenden Zettelchen im Portemonnaie aufbewahrt werden.

Trickreiche Betrüger versuchen aber nun auf verschiedenen Wegen, an die Onlinebanking-Daten der Kunden zu gelangen. Die wohl bekannteste und einfachste Methode nennt man Phishing: Passwörter fischen. Fast jeder wird schon einmal in einer angeblich von der eigenen Bank stammenden Email aufgefordert worden sein, seine vertraulichen Zugangsdaten an den Absender zurückzusenden oder sich über einen Link in der Email bei seiner Bank einzuloggen – oft mit fadenscheinigen Begründungen, dass diese Vorgänge der Sicherheit dienen sollen. Jüngere Internetnutzer werden darauf vielleicht nicht reagieren, aber Menschen fortgeschrittenen Alters können zu typischen Opfern dieser Machenschaften werden – ebenso auch Leistungsträger in Unternehmen, die nur gelegentlich Onlinebanking betreiben, weil sich sonst andere um die Bankgeschäfte kümmern. Und selbst wer eine solche Phishing-Email nicht öffnet, kann sich schon ein Spionageprogramm, einen Trojaner, eingefangen haben, der heimlich die Daten an den Absender übermittelt.

Aber wer haftet dann für den entstandenen Schaden? – Der Täter ist in der Regel nicht zu greifen. Der Empfänger des Geldes haftet zwar prinzipiell aus dem Bereicherungsrecht des Bürgerlichen Gesetzbuches (BGB). Oft ist dieser aber nur ein ahnungsloser Strohmann, der sich schnell ein paar Euros dazu verdienen wollte. Dennoch hat er ein Guthaben, das ihm nicht zusteht und das er also zurückzahlen muss – theoretisch jedenfalls. In der Praxis ist das insofern schwierig, weil der Empfänger des Geldes entweder auch untergetaucht oder schlicht mittellos ist.

Haftet die Bank?

Diese Frage ist umstritten. Verbraucherschützer führen an, dass die Banken ihren Kunden für das Onlinebanking Abwicklungssysteme zur Verfügung stellen, die in sich manipulationsanfällig sind. Die Verlagerung des Missbrauchs- und Fahrlässigkeitsrisiko auf die Kunden aber geschieht sehenden Auges, denn mit technischem Mehraufwand könnte die Missbrauchsrate fallen. Und irren ist menschlich. Die Verbraucherschützer argumentieren deshalb weiter, es sei die Aufgabe des Stärkeren, also der Bank, ihren Kunden als den Schwächeren zu schützen. Aus gutem Grund haben die Gerichte zum Beispiel entschieden, dass Kaufhäuser haften, wenn Kunden auf Bananenschalen ausrutschen
(http://www.dr-schulte.de/daten_sammeln.htm).

Häufig haben die Kreditinstitute bisher den Kunden die Schäden freiwillig reguliert und damit eine Auseinandersetzung vor Gericht vermieden. Offenbar ist man sich der wackeligen Rechtslage bewusst und möchte eine breite öffentliche Diskussion vermeiden.

Aber wie ist die Rechtslage? Kann sich die Bank von eigener Schuld im Kleingedruckten freizeichnen, das Risiko von Missbrauch und Fahrlässigkeit also auf den Kunden übertragen?

These 1: Eine Bank kann sich nicht für eigenes Verschulden freizeichnen.

Ein Verschulden der Bank liegt zum Beispiel bei Organisationsverschulden in Form ungenügender Sicherung der Computeranlagen vor, oder laut § 278 BGB bei „zurechenbarem Fremdverschulden“ von Mitarbeitern oder Wartungspersonal, also etwa bei Programmierungs-, Bedienungs- oder Wartungsfehlern. Entsprechende Klauseln in den Allgemeinen Geschäftsbedingen (AGB) einer Bank sind demnach als unwirksam anzusehen.

Laut Urteil des Bundesgerichtshofes (BGH) aus dem Jahr 2000 ist ein Haftungsausschluss für höhere Gewalt wie Brand, Unwetter, Streik oder Stromausfall durch das Kleingedruckte jedoch wirksam.

Diese Unterscheidung zwischen eigenem Verschulden und höherer Gewalt entspricht dem geltenden deutschen Recht. Ein von außen kommendes, außergewöhnliches und auch durch äußerste Sorgfalt des Betroffenen nicht zu verhinderndes Ereignis soll nicht zu Schadensersatzansprüchen führen. Schadensersatzpflichtig wird nur jemand, dem auch subjektive Schuld vorzuwerfen ist.

These 2: Das Übermittlungs- und Verlustrisiko trägt bei Daten, die auf dem Übermittlungsweg durch dem System innewohnende Störungen verloren gehen oder verfälscht werden, grundsätzlich der Absender.

Geht eine Sendung auf dem Postweg verloren, so kann der Absender die Post nicht haftbar machen. Anders sieht es aus, wenn er eine versicherte Versandart wählt, also beispielsweise ein Paket verschickt. Dann übernimmt die Post das Versandrisiko.

Bisher ist die Übermittlung von Daten im Internet wohl eher als unversicherter Versand anzusehen. So konnte das Versenden von Phishing-Emails bislang gar nicht bestraft werden, weil hierbei nicht, wie vom Gesetz verlangt, „besondere Sicherungen“ umgangen werden. Die Computerzeitschrift CHIP berichtet in der aktuellen April-Ausgabe von einem Gesetzentwurf, der neben dem Eindringen in fremde Netzwerke auch Phishing und anderen Datenklau stärker ins Visier nimmt. Der neue Paragraph 202b des Strafgesetzbuches (StGB) sieht vor, auch das „Mitschneiden von Datenübertragungen“ zu verbieten. Damit wäre es zumindest möglich, strafrechtlich gegen Datenklau mit Hilfe von Spionageprogrammen wie Trojanern oder Keyloggern sowie der Umleitung auf gefälschte Webseiten vorzugehen. Es bleibt zu hoffen, dass dies auch eine entsprechende Abschreckungswirkung mit sich bringt.

These 3: Für Störungsfälle, die nicht auf menschliches Fehlverhalten zurückzuführen sind, sondern auf Fehlfunktionen der Computeranlage, kann der Bank kein Verschulden unterstellt werden.

Um dennoch eine Haftung der Bank für einen Schaden zu begründen, den sie offensichtlich trotz äußerster Sorgfalt nicht hat verhindern können, müsste hier ausnahmsweise auf das so genannte „Verschuldungserfordernis“ verzichtet werden.

Bei derartigen technischen Störungen wird teilweise die Meinung vertreten, dass auch technische Hilfsmittel als „Erfüllungsgehilfen“ anzusehen sind, Computeranlagen also so etwas wie technische Mitarbeiter sind. Nach dieser Ansicht müsste die Bank hier entsprechend wie für Fehler ihrer Angestellten haften. Für menschliche Erfüllungsgehilfen ist diese „Einstandspflicht“ des Geschäftsherrn im § 278 Satz 1 BGB geregelt. Allerdings hinkt die Analogie zwischen Computeranlage und Bankangestellten insofern, dass ein Arbeitgeber für Fehler seiner Angestellten nur soweit einstehen muss, wie er auch für eigenes Verhalten aufzukommen hätte.

These 4: Die Bank haftet unabhängig von eigenem Verschulden

Möglicherweise kann der Bank der Schaden aufgrund der so genannten „Gefährdungshaftung“ zugerechnet werden. Die Gefährdungshaftung gilt unabhängig von Schuldfragen für den Halter oder Betreiber einer potentiell gefährlichen Einrichtung im Hinblick deren typischen Gefahren. Allerdings gibt es für Bankgeschäfte im Internet bisher keine gesetzlichen Regelungen. Zwar gibt es hohe Sicherheitsvorkehrungen seitens der Banken, die verschuldensunabhängige Störungen relativ unwahrscheinlich machen, doch zeigen unabhängige Tests immer wieder bisher nicht erkannte Sicherheitslücken in den Systemen auf.

So testete CHIP in der Ausgabe 03/2007 zwanzig Onlinebanking-Angebote und fand in siebzehn Portalen überwiegend kritische Sicherheitslücken, die eine Manipulation der Seiteninhalte ermöglichten. In der Mehrheit waren verwaiste Software-Bausteine in den Systemen für die Manipulationsanfälligkeit verantwortlich. Wie CHIP berichtete, haben alle Banken sofort reagiert und die Sicherheitslücken geschlossen.

Umkehr der Beweislast zu Gunsten der Kunden

In letzter Zeit haben die Kreditinstitute auf die dargestellte Problematik reagiert. Bezüglich der Wirksamkeit von Haftungsklauseln in ihren Allgemeinen Geschäftsbedingungen haben sie diese entweder ganz gestrichen oder zumindest so verändert, dass sie mit den AGB-Vorschriften des BGB vereinbar sind. Einige Banken wie beispielsweise die Raiffeisen-Volksbank eG Mainz oder die Netbank AG haben ihre Sonderbedingungen sogar dahingehend geändert, dass sie die Beweislast zu Gunsten der Kunden umgekehrt haben. Das heißt, dass nicht mehr der Kunde beweisen muss, dass eine Sicherheitslücke im System für den Schaden verantwortlich ist und er mit seinen persönlichen Daten nicht fahrlässig umgegangen ist, sondern die Bank gibt ihre Überzeugung von der Sicherheit ihres Systems an den Kunden weiter.

Fazit

Eine Bank kann sich beim Anbieten unsicherer Methoden nicht einfach durch das Kleingedruckte von einer Haftung befreien. Es muss sowohl mit Irrtümern der Kunden als auch mit bisher unerkannten Sicherheitslücken in den Systemen gerechnet werden. Die Grenzen zwischen der Eigenhaftung des Kunden aufgrund von Fahrlässigkeit und der Haftung der Bank sind durch die Rechtssprechung leider noch nicht gezogen worden. In vielen Fällen aber wird eine Bank den entstanden Schaden freiwillig erstatten, um einen Rechtsstreit zu vermeiden.

Immer mehr Kreditinstitute stellen mittlerweile auch Internetbanking über das Homebanking Computer Interface (HBCI) zur Verfügung, das als vergleichsweise sicher gilt. Die sicherste Möglichkeit besteht derzeit in der Verwendung einer HBCI-Chipkarte und eines Chipkartenlesers, unterstützt werden aber auch selbst erstellte Sicherheitsmedien wie Disketten oder USB-Sticks.

Um einen Schaden gegebenenfalls noch abwenden zu können, sollte man seine Kontoumsätze in kurzen Abständen gewissenhaft prüfen, um die Stornierung einer fehlgeleiteten Überweisung zeitnah in die Wege leiten zu können. Beim Onlinebanking gelten hierbei deutlich kürzere Fristen als bei Transaktionen mittels Überweisungsträger.
_________________
RAe Dr. Thomas Schulte & Kollegen
Kurfürstendamm 42

10719 Berlin (Charlottenburg)

E-Mail: Dr.Schulte@dr-schulte.de
Webseite: http://www.dr-schulte.de

CashNetwork · Newbie Anmeldungsdatum: 15.03.2006 Beiträge: 2 Wohnort: Weil am Rhein

Dokumentation einer Urheberrechtsverletzung durch Herrn Roland Rinnau

Am 22.11.2006 ging Herr Roland Rinnau ohne ersichtlichen Grund auf Konfrontationskurs gegen seinen eigenen Partner in der CashNetwork und gegen die

Am Tag nach dieser Aktion, am 23.11.2006 stellte Herr Rinnau seine "Eigenkreation" eines Firmenauftrittes in Netz. Unter der Firmierung xxxx die, wie er selbst versichert nichts mit der xxxxxx zu tun hat, veröffentlicht er seitdem Inhalte die er von der Webpräsenz der xxxxxx und den Lizenzpartnerfirmen der xxxxx unerlaubt kopierte.

Herr Rinnau wurde daraufhin sowohl von der xxxxx als auch von den Partnerfirmen xxxxxx und xxxxxx ordnungsgemäß abgemahnt. Es wurde ihm untersagt, die widerrechtlich kopierten Inhalte auf seiner Firmendarstellung im Internet zu verwenden. Trotz der eindeutigen Beweise leugnet er solange die Urheberrechtsverletzungen bis massiv mit einer Strafanzeige gedroht wurde.

Manche Leute sind halt wirklich unbelehrbar, so musste nun auch bereits das Gericht bemüht werden um eine einstweilige Verfügung wegen Beleidigung und Geschäftsschädigung gegen Herrn Rinnau zu erwirken. Da er nicht einmal vor Verleumdungen und persönlicher Beleidigung auf seiner Homepage zurückschreckte. Urteil vom 24.01.2007

Bis zum heutigen Tage, den 08.04.2007 hat Herr Rinnau immer nur die genau bezeichneten Seiten aus seiner Präsenz im Internet herausgenommen. Anscheinend ist sich dieser Mann nicht bewusst was es heisst "alle" unerlaubt kopierte Seiten sind zu löschen.

Nachfolgend können sie die einzelnen Filme zur Beweissicherung ansehen und selbst erkennen was hier geschieht.

Filme unter www.xxxxxxxx

So ein Handeln ist natürlich strafbar lieber
Herr Roland Rinnau und hat nichts mit Intelligenz zu tun.

Moderator GM&P · . Anmeldungsdatum: 21.01.2006 Beiträge: 6292

SECRET USER - WISSEN MEHR!

CashNetwork · Newbie Anmeldungsdatum: 15.03.2006 Beiträge: 2 Wohnort: Weil am Rhein