Was ist Phishing und wie schützen Sie sich davor?

1. Niemals Zugangsdaten zu seinem Bankkonto verraten – auch nicht an Bankmitarbeiter
2. Einen E-Mail-Anbieter mit einer zwei-Faktor-Authentifizierung nutzen. Dieser sollte auch einen Malware-, Spam und Phishing-Filter verwenden.
3. Vorsicht bei Drittanbieter Bank-Apps oder Bank-Programmen. Hier sollte genau geschaut werden, wer hinter dieser Software steht.
4. Bevor man auf URLs in einer Mail klickt, sollte diese in den Browser per Copy&Paste kopiert werden um zu schauen, wohin diese führt. Oft versucht eine solche URL Daten zu entlocken oder versucht einen Trojaner herunterzuladen.
5. Stets darauf achten, dass bei einem Login auf einem Online-Formular https und kein http verwendet wird.
6. Seinen Virenschutz stets aktuell halten und darauf achten, dass ein Malware-Scanner integriert ist.

In diesem Fall hilft der § 675u BGB. Er schützt Bankkunden vor unautorisierten Zahlungsvorgängen.

675u Haftung des Zahlungsdienstleisters für nicht autorisierte Zahlungsvorgänge

Im Fall eines nicht autorisierten Zahlungsvorgangs hat der Zahlungsdienstleister des Zahlers gegen diesen keinen Anspruch auf Erstattung seiner Aufwendungen. Er ist verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte. Diese Verpflichtung ist unverzüglich, spätestens jedoch bis zum Ende des Geschäftstags zu erfüllen, der auf den Tag folgt, an welchem dem Zahlungsdienstleister angezeigt wurde, dass der Zahlungsvorgang nicht autorisiert ist, oder er auf andere Weise davon Kenntnis erhalten hat. Hat der Zahlungsdienstleister einer zuständigen Behörde berechtigte Gründe für den Verdacht, dass ein betrügerisches Verhalten des Zahlers vorliegt, schriftlich mitgeteilt, hat der Zahlungsdienstleister seine Verpflichtung aus Satz 2 unverzüglich zu prüfen und zu erfüllen, wenn sich der Betrugsverdacht nicht bestätigt. Wurde der Zahlungsvorgang über einen Zahlungsauslösedienstleister ausgelöst, so treffen die Pflichten aus den Sätzen 2 bis 4 den kontoführenden Zahlungsdienstleister.

Nach § 675u BGB hat der Bankkunde, dessen Konto mit einem Zahlungsbetrag belastet wurde, den er nicht autorisiert hat einen Erstattungsanspruch gegen seine Bank. Neben dem § 675u kommen hierbei auch die § 675x Abs. 1 u. Abs. 2 sowie § 675y Abs. 1 u. Abs. 2 BGB zum Zuge. Nach § 675u Satz 2 BGB ist Ihre Bank verpflichtet Ihnen den Betrag zu erstatten, der nicht-autorisiert von Ihrem Konto abgebucht wurde. Dies hat auch der BGH in seinem Urteil BGH ZIP 2017, 2292 bestätigt. Dabei führt der Erstattungsanspruch aus § 675u zur Kontoberichtigung. Diese ist sodann valutagerecht durchzuführen.

§ 675u Satz 3 BGB, der durch die Umsetzung der Zahlungsdiensterichtlinie 2015 neu eingeführt wurde, bestimmt, dass die Gutschrift auf Ihrem Bankkonto grundsätzlich an dem darauffolgenden Geschäftstag, nachdem Sie diese Kontobewegungen angezeigt haben erstattet wird. In der Theorie verläuft damit dieser Zahlungserstattungsanspruch sehr schnell. In der Praxis haben wir jedoch leider erfahren müssen, das Schreiben der betrogenen Kunden zumeist sehr schleppend, manchmal aber auch überhaupt nicht bearbeitet werden.

Zunächst sollten Sie entscheiden, ob Sie einen Rechtsanwalt beauftragen wollen oder ob Sie dies auf eigene Faust versuchen. Insbesondere wenn Sie eine Rechtschutzversicherung haben oder es sich um einen großen Geldbetrag handelt, sollten Sie auf jeden Fall einen Rechtsanwalt konsultieren.

Vorgehen ohne Rechtsanwalt:

Sollten Sie keinen Rechtsanwalt beauftragen wollen, so können Sie das folgende Schema nutzen:

1. Strafanzeige (zumeist gegen Unbekannt) bei der Polizei oder Staatsanwaltschaft erstatten. Gehen Sie hierzu einfach auf eine Polizeistation oder zur Staatsanwaltschaft und tragen Sie Ihren Sachverhalt vor. Wichtig:lassen Sie sich eine Kopie Ihrer Strafanzeige geben!

1. Schreiben Sie unverzüglich Ihre Bank an und teilen Sie den Sachverhalt mit. Das Anschreiben sollte unbedingt per Einschreiben oder per Fax erfolgen um einen Zugang bei der Bank nachweisen zu können. Ein solches Anschreiben könnte etwa wie folgt aussehen:

Sollten Sie einen Rechtsanwalt beauftragen wollen, so erhöhen Sie den Druck auf die Bank erheblich. Viele Banken reagieren (leider) erst auf einem anwaltlichen Briefkopf.

Unser Vorgehen ist, dass wir schnellstmöglich eine Strafanzeige gegen unbekannt erstatten und sofort im Anschluss Ihre Bank kontaktieren und diese darauf hinweisen, dass Ihr Bankkonto Opfer eines Phishings geworden ist und unter Beilegung der erstatteten Strafanzeige die Bank auffordern Ihr Konto zu berichtigen. Eine Gutschrift erfolgt dann in der Regel innerhalb der nächsten 2-4 Wochen.

Ich war bereits bei der Polizei

Sofern Sie bereits das Phishing bei der Polizei angezeigt haben, sollten Sie dennoch unverzüglich Ihren Rechtsanwalt kontaktieren. Dieser überprüft die gestellte Strafanzeige. Leider kommt es auch manchmal vor, dass die Polizei Ihnen mitteilt, dass Sie nichts weitermachen müssen und nur noch hoffen können, dass Ihr Geld vielleicht irgendwann einmal wiederkommt. Dies ist definitiv falsch! Sie haben sehr gute Chancen Ihr Geld zurück zu bekommen. Verlassen Sie sich bitte in gar keinem Fall darauf, dass über die Ermittlungen der Polizei auch die Bank Kenntnis hiervon erlangt und Ihnen selbstständig das Geld zurücküberweisen wird.

Generell muss man einen räumlichen und Sachlichen Anwendungsbereich erfüllen. Maßgeblich für die Frage nach der Anwendbarkeit deutschen Zahlungsdiensterechts bleiben die §§ 675 d, 675 e BGB.

675 d VI BGB enthält dazu einen komplizierten Regel-Ausnahme-Katalog. Er lässt eine Unterteilung in drei Gruppen zu:

1. Sind die Zahlungsdienstleister von Zahler und Zahlungsempfänger im EWR belegen und erfolgt die Zahlung in EWR-Währung, so gelangen die zahlungsdiensterechtlichen Vorschriften (wie bisher) stets zur Anwendung.
2. Umgekehrt sind sie niemals anwendbar, wenn keiner der beteiligten Zahlungsdienstleister im EWR sitzt.
3. Neu ist die dritte Fallgruppe, bei der mindestens ein beteiligter Zahlungsdienstleister außerhalb des EWR ansässig ist oder die Zahlung in Drittstaatenwährung erfolgt. Hier gilt das Zahlungsdiensterecht, soweit die Transaktion innerhalb des EWR abgewickelt wird.

Allerdings sind eine ganze Reihe von Einschränkungen und Rückausnahmen über den gesamten Untertitel des BGB verteilt.

Wichtig: Es ist vollkommen unerheblich, ob das Bankkonto des betroffenen über ein Online-Banking Angriff, mit einer gestohlenen Kreditkarte/EC-Karte, mit einem manipulierten Bankautomat etc. „abgeräumt“ wird. Entscheidend ist (ganz grob gesagt) nur, dass diese Zahlung nicht autorisiert war.