Wenn Betrüger Karten oder Kontodaten rauben, ist das ärgerlich. Umso schlimmer, wenn man es erst bemerkt, wenn das Konto schon geplündert ist. Wann zahlt die Bank, wann bleibt man auf dem Schaden sitzen?

Die Feier war lang, der Alkoholpegel hoch. Am nächsten Tag am Geldautomaten folgt die bittere Erkenntnis: Die EC-Karte ist weg! Offenbar hat sich ein Dieb unbemerkt an der Handtasche zu schaffen gemacht. Schnell sperrt die Kontoinhaberin die Karte. Trotzdem taucht ein paar Tage später eine happige Buchung auf dem Kontoauszug auf. Jemand hat mit der Karte für 3000 Euro in einem Möbelhaus eingekauft. Offenbar mit gefälschter Unterschrift, denn die PIN konnte er nicht kennen. Bleibt die Frau auf den Kosten sitzen?

Ein anderer Fall: Ein Bankkunde stellt Abbuchungen von seinem Girokonto fest, die er sich nicht erklären kann. Dann fällt ihm eine mehrere Wochen alte Mail ein. Paypal hatte ihn gebeten, seine Nutzerdaten zu aktualisieren. Ihm kam das zwar etwas seltsam vor, doch die Mail schien seriös und so füllte er das Onlineformular aus. Ein teurer Fehler, denn natürlich kam die Mail nicht wirklich von Paypal. Es waren Cyber-Kriminelle, die jetzt mit seinen Daten Kasse machten. Wer haftet?

Geldautomatenmanipulationen, Phishing oder schlicht Kartendiebstahl – wenn Bankkunden von Kriminellen um ihr Geld gebracht werden, liegt die Frage auf der Hand: Wer kommt für den Schaden auf? Und wie so oft, lautet die Antwort auch hier: Es kommt drauf an. Vor allem darauf, wie unvorsichtig der Kunde gewesen ist. Und auch darauf, was er getan hat, um den Schaden zu begrenzen.

Onlinebetrug: Kunde ist nicht automatisch Schuld

"Bitte folgen sie diesem Link", "Wir möchten Sie bitten, Ihr Passwort zu ändern": Wer auf Phishing-Mails hereinfällt, darf sich nicht wundern, wenn die Bankdaten in falsche Hände geraten. Oft schleusen die Betrüger einen Trojaner ein, manchmal liefern die Opfer ihre Daten auch selbst, indem sie auf mehr oder weniger raffiniert gefälschte Eingabemasken hereinfallen. Ob sie in solchen Fällen ihr Geld zurückbekommen, darüber gibt es zahlreiche Gerichtsurteile. Knackpunkt ist die Frage, ob der Betroffene die Zahlung in Auftrag gegeben hat oder nicht. Für nicht autorisierte Zahlungsvorgänge haftet die Bank, so steht es im Bürgerlichen Gesetzbuch.

Wenn nicht der Kunde selbst, sondern ein unbekannter Dritter Überweisungen veranlasst hat, muss die Bank das Geld zurückbuchen. Nur muss man der Bank eben erstmal glaubhaft machen, dass man die Daten nicht selbst eingegeben hat. Außerdem scheitern die Ansprüche gegen die Bank oft daran, dass die Geprellten einfach zu unvorsichtig waren. Nutzer von Onlinebanking haben gewisse Sorgfaltspflichten, auch das steht im BGB. Sie müssen demnach "alle zumutbaren Vorkehrungen" treffen, um ihr Konto vor unberechtigten Zugriffen zu schützen.

Leichtsinn wird bestraft

Konkret heißt das: Der Rechner muss mit Virenschutz und Firewall ausgestattet sein, das Betriebssystem und wichtige Programme sollten regelmäßig aktualisiert werden. Außerdem ist darauf zu achten, dass die Daten an die Bank verschlüsselt übertragen werden, man erkennt das am grünen Schlosssymbol im Browser. Zu guter Letzt ist der Kunde natürlich auch verpflichtet, PIN und TAN gegenüber Dritten geheim zu halten. Populär wurde der Fall eines Rentners, der 2012 vor dem BGH gelandet ist (Az.: XI ZR 96/11). Der Mann war von einem Trojaner aufgefordert worden, zehn TANs einzugeben. Damit griffen Betrüger dann 5000 Euro von seinem Konto ab. Der BGH hielt dieses Verhalten für fahrlässig, der Kunde hätte merken müssen, dass etwas nicht stimmt.

Nach aktueller Rechtslage reicht einfache Fahrlässigkeit nicht mehr aus. Im letzten Jahr hat der BGH ein wegweisendes Urteil gesprochen (Az.: XI ZR 91/14). Bislang kamen die Banken oft mit dem Anscheinsbeweis durch. Die allgemeine Lebenserfahrung besage eben, dass der Kunde grob fahrlässig gehandelt habe. Doch so einfach können es sich die Banken jetzt nicht mehr machen. Jetzt können sie sich nur noch auf den Anscheinsbeweis berufen, wenn das Sicherheitssystem der Bank zum Zeitpunkt der Überweisung tatsächlich praktisch unüberwindbar war. Außerdem muss es auch im Einzelfall ordnungsgemäß angewendet worden sein. Ob ein Phishing-Opfer sein Geld zurückbekommt oder nicht, entscheidet also womöglich erst ein Sachverständigengutachten.

Skimming und Diebstahl

Es gibt zwei Arten vor Kartenbetrug: zum einen die konventionelle, bei der eine Zahlkarte physisch gestohlen wird. Dann können die Betrüger beispielsweise mit gefälschter Unterschrift einkaufen gehen. Oder auch Geld ziehen, wenn sie in den Besitz der PIN gekommen sind, etwa durch Ausspähen oder durch Leichtsinn der Opfer. Im vergangenen Jahr ist dadurch ein Bruttoschaden von rund 15,7 Millionen Euro entstanden.

Zum anderen ist da die moderne Version: das Skimming. Hier werden an manipulierten Geldautomaten die Kartendaten kopiert und die PIN abgefasst. Nach einer Hochphase zum Anfang des Jahrzehnts waren die Zahlen in den letzten Jahren wieder rückläufig. 2016 schlugen die Datendiebe wieder etwas häufiger zu, mit 1,9 Millionen Euro war der Schaden allerdings geringer als in den Vorjahren. Dank moderner Sicherheitstechnik können die Betrüger längst nicht mehr so viel wie früher mit den gestohlenen Daten anfangen.

Skimming-Opfer merken meist nicht gleich, dass sie an einem manipulierten Automaten ausgetrickst worden sind. Wenn einem doch schon vor Ort etwas spanisch vorkommt: sofort die Bank oder den Automatenbetreiber kontaktieren oder, wenn dort niemand zu erreichen ist, die Polizei. Außerdem sollte man gleich die Karte sperren. Meistens bemerkt man den Datendiebstahl aber erst, wenn unberechtigte Abbuchungen auf dem Kontoauszug auftauchen. Auch dann muss man die Bank kontaktieren. Womöglich hat diese auch schon vorher die Karte gesperrt. Bei ungewöhnlichen Abbuchungen aus dem Ausland gehen bei den Instituten die Warnleuchten an.

Sofort sperren und zur Polizei

Stellt man fest, dass die Karte weg ist: sofort sperren lassen. Zunächst bei der Bank oder über den zentralen Sperr-Notruf 116 116. Mit Karte und PIN kann der Dieb dann nichts mehr anfangen. Er kann aber versuchen, weiterhin per Unterschrift zu bezahlen. Schritt zwei: Anzeige erstatten, sonst könnte die Bank nachher die Haftung verweigern. Die Polizei leitet eine sogenannte "Kuno"-Sperrung ein. Kuno steht für das etwas sperrige "Kriminalitätsbekämpfung im unbaren Zahlungsverkehr unter Nutzung nichtpolizeilicher Organisationsstrukturen". Konkret bedeutet das, dass die Karte bei der zentralen Meldestelle des Handels gelistet wird. Wenn ein Dieb versucht, mit der EC-Karte und gefälschter Unterschrift zu bezahlen, wird an der Kasse ein Warnhinweis angezeigt. Ganz wasserdicht ist das System aber nicht, denn nicht alle Händler nehmen daran teil, das Land Hessen beteiligt sich daran gar nicht.

Waren die Diebe schon auf Shoppingtour, kann man die unberechtigten Lastschriften 13 Monate lang zurückbuchen lassen. Beim Onlinebanking geht das ganz einfach, die entsprechende Option verbirgt sich meist im Kontoauszug neben der jeweiligen Buchung. Der Händler wird dann womöglich ein Inkassobüro einschalten, um doch noch an sein Geld zu kommen. Beim Hinweis, dass die Karte schon gesperrt war, als sie eingesetzt wurde, sollte aber Ruhe sein. Die Risiken des Unterschriften-Verfahrens trägt der Händler selbst. Er müsste also nachweisen, dass der Kunde tatsächlich selbst eingekauft hat.

Bis zu 150 Euro zahlt der Kunde

Bleibt die Frage: Wer zahlt, wenn die Diebe das Konto schon abgeräumt haben, bevor die Karte gesperrt war? Manchmal dauert es ja eine Weile, bis der Verlust überhaupt bemerkt wird. Grundsätzlich gilt beim Kartenbetrug das Gleiche wie beim Onlinebanking: Wenn eine Zahlung nicht eindeutig durch den Kunden veranlasst wurde, muss die Bank das Geld erstatten. Für Schäden, die schon vor der Sperrung entstanden sind, haftet der Betroffene aber mit bis zu 150 Euro selbst, auch wenn er den Verlust nicht zu verantworten hat.

Wenn der Dieb mit der Originalkarte und korrekter PIN Geld abgehoben oder bezahlt hat, gehen die Banken aber davon aus, dass der Bestohlene unvorsichtig war und Karte und Geheimnummer zusammen aufbewahrt hat. In dem Fall sieht das Betrugsopfer sein Geld wahrscheinlich nicht mehr wieder.