EuGH: Werden Banken für Phishing-Opfer haftbar gemacht? | Borns IT und Windows BlogBorns IT
Derzeit läuft vor dem Europäischen Gerichtshof ein Verfahren eines polnischen Phishing-Opfers gegen eine polnische Bank. Seiner Meinung nach empfiehlt der Chefbefürworter der EZB, dass Banken bei Phishing-Angriffen bei unerlaubten Vorgängen – auch bei Fahrlässigkeit des Kunden – zu Schadensersatz verpflichtet werden sollten, allerdings nur in besonderen Fällen.
Die versteckte Gefahr von Phishing in Banken
Beim Online-Banking besteht ständig die Gefahr, Opfer von Phishing-Angriffen zu werden. Häufiger ist zu lesen, dass Nutzer auf einen Phishing-Angriff hereingefallen seien und ihre Online-Banking-Zugangsdaten preisgegeben hätten. Die Konten scheinen später geleert worden zu sein.
Wenn ich solche Berichte lese, frage ich mich immer: „Wie soll das funktionieren?“ Selbst wenn ein Phisher Zugriff auf meine Online-Bankkonten erhalten würde, hätte er nur Zugriff auf bereits getätigte Transaktionen, teilweise nur für drei Monate. Alles andere erfordert eine manuelle Genehmigung der Transaktion. Hierzu ist jedoch eine Autorisierung mittels einer TAN erforderlich, die beispielsweise über einen TAN-Generator generiert wird.
Ein Phishing-Fall aus Polen
Der Rechtsstreit eines Kunden gegen die Bank PKO BP SA ist beim Bezirksgericht in Koszalin, Polen, anhängig. Der Kunde stellte einen Artikel auf einer Auktionsplattform zum Verkauf und wurde anschließend Opfer eines Phishing-Angriffs. Der Kunde hat einen Phishing-Link von einem Betrüger erhalten. Dies führte zu einer Phishing-Seite, die einer Bank-Login-Schnittstelle ähnelte.
Bankkunde stürzte ab und gab Online-Banking-Zugangsdaten ein. Mithilfe dieser Daten konnte der Betrüger eine Transaktion auslösen und diese vom Konto des Opfers auf ein anderes Zielkonto übertragen.
Das Opfer meldete die Transaktion am nächsten Tag der Bank und erstattete außerdem Anzeige bei der polnischen Polizei. Wie in vielen Fällen konnten die Betrüger nicht identifiziert werden.
Der Fall endet vor Gericht und vor der EZB
Die Bank weigerte sich, dem Kunden den nicht autorisierten Abhebungsbetrag zurückzuerstatten. Die Bank führte die Verweigerung der Rückerstattung durch den Kunden als fahrlässig an. Der Kunde verklagte daraufhin die Bank beim Bezirksgericht Koszalin.
Das Gericht in Koszalin verwies den Fall zur Entscheidung an den Europäischen Gerichtshof. Das polnische Gericht möchte über den EuGH wissen, ob die Bank als Zahlungsdienstleister nach EU-Recht verpflichtet ist, eine nicht autorisierte Transaktion unverzüglich an den Kunden der Bank zurückzuerstatten, auch wenn die Bank der Ansicht ist, dass der Kunde grob fahrlässig gehandelt hat, oder ob die Bank eine solche Rückerstattung aufgrund von Fahrlässigkeit verweigern kann.
Laut dieser Pressemitteilung (via) hat Athanasios Rantos, Chefanwalt des Gerichtshofs der Europäischen Union (EuGH), eine formelle Stellungnahme mit einer Empfehlung an den Richter abgegeben. Athanasios Rantos empfiehlt, dass Banken verpflichtet werden sollen, Phishing-Opfer im Falle von Fahrlässigkeit (Übermittlung von Zugangsdaten) bei unerlaubten Transaktionen zu entschädigen.
Der Hauptanwalt des Gerichts ist der Ansicht, dass das EU-Recht von der Bank verlangt, den Betrag der nicht autorisierten Transaktion so schnell wie möglich zurückzuerstatten. Eine Ausnahme besteht, wenn die Bank einen begründeten Betrugsverdacht hat und dies der zuständigen nationalen Behörde schriftlich mitteilen muss.
Weitere Ausnahmen von diesem Grundsatz der sofortigen Rückerstattung bestehen nicht und der EU-Gesetzgeber hat den Mitgliedstaaten diesbezüglich keinen Ermessensspielraum gelassen.
Diese Rückerstattung ist jedoch nicht endgültig. Stellt die Bank nachträglich fest, dass der Kunde vorsätzlich oder fahrlässig gegen seine Pflichten, insbesondere hinsichtlich der personenbezogenen Sicherheitsdaten, verstoßen hat, kann sie vom Kunden die Übernahme des entsprechenden Schadens verlangen. Verweigert der Kunde die Rückerstattung des Betrags der nicht autorisierten Transaktion, ist es Sache der Bank, rechtliche Schritte gegen diese Person einzuleiten, um die Zahlung zu erwirken.
Laut dem General Counsel „wird dieser Ansatz durch den Wortlaut der einschlägigen europäischen Rechtsvorschriften, den Kontext der vom nationalen Gericht ermittelten einschlägigen Bestimmungen und die Notwendigkeit gestützt, den Verbrauchern, die Zahlungsdienste nutzen, ein hohes Schutzniveau zu gewährleisten, was eines der Ziele dieser Rechtsvorschriften darstellt.“
Die Empfehlung des Generalanwalts ist noch kein Urteil des EuGH. Allerdings folgen seine Richter in der Regel der Empfehlung des Generalanwalts.
Folgen eines Urteils
Wer hofft, dass Phishing beim Banking als Kunde keine Konsequenzen hat, wird enttäuscht. Die obige Empfehlung weist mehrere Einschränkungen auf: Sie gilt nur, wenn Zugangsdaten eingegeben, aber keine Transaktion akzeptiert wurde. Darum geht es: Banken müssen ihren Kunden ermöglichen, ihre Transaktionen durch Autorisierungen angemessen zu schützen.
Auch Fälle von Vorsatz oder grober Fahrlässigkeit (z. B. Eingabe von TANs zur Autorisierung einer Transaktion) sind ausgeschlossen. Empfehlungen und Urteile liefern daher weiterhin Stoff für weitere Prozesse. Doch die Richtung könnte zu einer verbesserten Sicherheit bei Online-Banking-Transaktionen führen.
Deutsche Gerichte haben festgestellt, dass der SMS-TAN-Schutz nicht mehr ausreicht, da diese SMS-TANs durch einen SIM-Tausch herausgefischt werden können. Allerdings könnte eine mögliche Entscheidung der EZB das Haftungsrisiko für Banken, die Online-Banking-Anwendungen zur Abwicklung von Transaktionen und Autorisierungen nutzen, deutlich erhöhen.
Wenn die Schadsoftware das Gerät kapert und durch die Eingabe einer gestohlenen PIN die gleiche Autorisierung durchführen kann, wird es für die Bank wahrscheinlich schwierig sein, grobe Fahrlässigkeit nachzuweisen. Sollte ein Gutachter nachweisen, dass der Kunde dieser Autorisierung durch Eingabe der PIN nicht zugestimmt hat, käme ich zu dem Schluss, dass die Bank erneut haftbar wäre. Etwas schwierig kann es sein, wenn der Kunde nachweisen muss, dass er die Transaktion nicht autorisiert hat. Meiner Meinung nach könnte ein Urteil für etwas mehr Sicherheit sorgen und dem Markt für Online-Banking-Anwendungslösungen den Wind nehmen.
PakarPBN
A Private Blog Network (PBN) is a collection of websites that are controlled by a single individual or organization and used primarily to build backlinks to a “money site” in order to influence its ranking in search engines such as Google. The core idea behind a PBN is based on the importance of backlinks in Google’s ranking algorithm. Since Google views backlinks as signals of authority and trust, some website owners attempt to artificially create these signals through a controlled network of sites.
In a typical PBN setup, the owner acquires expired or aged domains that already have existing authority, backlinks, and history. These domains are rebuilt with new content and hosted separately, often using different IP addresses, hosting providers, themes, and ownership details to make them appear unrelated. Within the content published on these sites, links are strategically placed that point to the main website the owner wants to rank higher. By doing this, the owner attempts to pass link equity (also known as “link juice”) from the PBN sites to the target website.
The purpose of a PBN is to give the impression that the target website is naturally earning links from multiple independent sources. If done effectively, this can temporarily improve keyword rankings, increase organic visibility, and drive more traffic from search results.
Related Posts
Fenster härten: Neue Phasen für den 14. April 2026 | Borns IT und Windows BlogBorns IT
Das Open-Source-Projekt ReClip zielt darauf ab, Video-Downloads von Plattformen zu ermöglichen | Borns IT und Windows BlogBorns IT
