Im Trüben phishen - Verantwortung unklar:
Schiedsspruch schiebt Schaden Kunden zu

In Deutschland hat es erstmals eine eindeutige Entscheidung zum Thema Phishing gegeben. Ein Ombudsmann der Volksbanken erklärte in einem Schiedsspruch, dass Opfer von Phishing-Attacken selbst für den Schaden haften müssen. Wie die FTD berichtet, handelte es sich im konkreten Fall um einen Trojaner auf dem Rechner des Kunden, der eine Überweisung veranlasst hatte.

Obwohl nachgewiesen wurde, dass die Transaktion gefälscht und ein illegales Softwareprogramm auf dem Computer installiert war, blieb das Opfer auf dem entstandenen Schaden sitzen. Der verantwortliche Ombudsmann Alfons van Gelder, argumentierte seine Entscheidung auf Basis der Vorgangsweisen bei Bankomatkarten-Missbrauch. Der so genannte Anscheinsbeweis spreche demnach dafür, dass der Kunde die Überweisung entweder selbst vorgenommen oder unverantwortlich mit den Zugangscodes hantiert habe.

Verantwortung bei Schaden noch unklar
"Grundsätzlich ist der Kunde zu allererst dazu aufgefordert, die Phishing-Attacke zur Anzeige zu bringen. In einem zweiten Schritt sei dann eine Einigung zwischen Bank und geschädigtem Kunden anzustreben", erklärt Walter Mösenbacher von der Raiffeisenbanken Gruppe Österreich. Eine generelle Aussage über die Verantwortung könne nicht getroffen werden, da die Vorgänge von Fall zu Fall unterschiedlich sind und genau unter die Lupe genommen werden müssen. Der Schiedsspruch des Volksbanken-Ombudsmannes ruft bei Rechtsexperten jedenfalls Kritik hervor. Laut Juraprofessor Georg Borges von der Ruhr-Universität Bochum sei die Erklärung zu pauschal und gehe nicht darauf ein, dass es sich um einen Trojaner handelte.

Schiedsspruch nicht bindend
Zwar resultiert aus dem Spruch juristisch keine bindende Wirkung, ebenso kann dieser sehr wohl in einem Verfahren angefochten werden. Allerdings wird von Richtern häufig auf Basis des Schiedsspruchs entschieden. Nach dem konkreten Fall würde die Verantwortung eindeutig auf das Opfer abgewälzt und die Banken vollkommen aus der Verantwortung genommen. Damit der Anscheinsbeweis widerlegt werden kann und der Kunde der Haftung entgeht, müsste dieser zweifelsfrei nachweisen, dass tatsächlich der Trojaner die Überweisung ausgelöst hat. (pte/red)