Identitätsmissbrauch im Online Banking. 12. Tag des Bank- und Kapitalmarktrechts November 2015, Erfurt

Ähnliche Dokumente
Identitätsmissbrauch im Online Banking. U n i v e r s i t ä t B o n n 1 6. J u l i

Online Banking Risiken Probleme - Lösungen

Identitätsmissbrauch im Internet Haftung und Beweis. T o k i o, 1 2. N o v e m b e r

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking

Inhaltsverzeichnis. Abkürzungsverzeichnis 13. A. Einleitung 17

Rechtsfragen autonomer Fahrzeuge. IT-T h e m e n a b e n d, 1 5. M ä r z 2018

Beweissicherheit durch Vertrauensdienste und eidas-verordnung. S a a r b r ü c k e n, 2 4. S e p t e m b e r

VO Bankvertragsrecht X

IV. Überweisungsverkehr

Beweisfragen im Zusammenhang mit Vertrauensdiensten. B e r l i n, 2 2. J u n i

Beweissicherheit durch Vertrauensdienste. B e r l i n, 3 0. J u n i

Vertragsrecht III. (12) Zahlungsverkehr

Rechtliche Rahmenbedingungen für IT-Sicherheit

Beweisfragen der elektronischen Personalakte

SONDERBEDINGUNGEN FÜR DAS ONLINE-BANKING

Bedingungen für das Online Banking. Stand: 13. Januar 2018

Sonderbedingungen für das Online-Banking

4.5 Bedingungen für das Online-Banking

Nach Gewährung des Zugangs zum Telefon-Banking kann der Teilnehmer Informationen abrufen oder Aufträge erteilen.

UniversitätsSchriften

Nach Gewährung des Zugangs zum Telefon-Banking kann der Teilnehmer Informationen abrufen oder Aufträge erteilen.

Sparda-Bank West eg. - die persönliche Identifikationsnummer (PIN), oder der Nutzungscode für die elektronische Signatur,

Sonderbedingungen für das Online-Banking

(Kunden-)Identifizierung und -authentifizierung Schwachpunkte des Rechtsrahmens unter der PSD2

zu Beschwerdeverfahren bei mutmaßlichen Verstößen gegen die Richtlinie (EU) 2015/2366 (PSD 2)

Sonderbedingungen PSD OnlineBanking

Herausforderungen der IT-Sicherheit aus rechtlicher Sicht

Bedingungen für das Online-Banking

Bedingungen für das Online-Banking

Sparda-Bank Hamburg eg

Ü b u n g s f a l l 3

--- Die Beweislastregeln im Haftungsprozess ( 630h BGB)

Gesetz zur Umsetzung des zivilrechtlichen Teils der Zweiten Zahlungsdiensterichtlinie

S Sparkasse Mittelthüringen. Erläuterungen zu den Änderungen unserer Geschäftsbedingungen zum 13. Januar 2018

LEITLINIEN ZUR BERUFSHAFTPFLICHTVERSICHERUNG IM SINNE DER ZAHLUNGSDIENSTERICHTLINIE 2 EBA/GL/2017/08 12/09/2017. Leitlinien

Raiffeisenbank Fuchstal-Denklingen eg

Sehr geehrte Kundin, sehr geehrter Kunde,

BEDINGUNGEN FUER DIE SPARBUCH-SELBSTBEDIENUNG

GESCHÄFTSBEDINGUNGEN FÜR DEN GEBRAUCH EINER S KREDITKARTE

Kundeninformation mit Erläuterungen zu den Änderungen unserer Geschäftsbedingungen

Stand: Januar Sehr geehrte Kundin, sehr geehrter Kunde,

GLIEDERUNG: DER FERNSEHER

Bürgerliches Gesetzbuch BGB. Stand: Untertitel 3 Zahlungsdienste. Kapitel 1 Allgemeine Vorschriften

Abkürzungsverzeichnis Einleitung 31. Kapitell Technische und juristische Grundlagen Technische Grundlagen Rechtsscheinhaftung 127

Algorithmengesetz: Ansätze zur rechtlichen Regelungen fehlerhafter automatisierter Entscheidungen

Aktualisierungsdienst Bundesrecht

Examensklausurenkurs Klausur im Zivilrecht Lösungsübersicht. Prof. Dr. Christine Windbichler, LL.M.

2 Rügepflicht des Auftraggebers, Kostentragung bei unberechtigter Mängelrüge

Bedingungen für das Online-Banking unter Nutzung der App oder der browserbasierten Nutzeroberfläche des Partners der solarisbank

ÄNDERUNGSANTRÄGE 28-38

Nutzungsbedingungen für das Miele Lieferantenportal

Schlagworte: Phishing-Mail, PIN, TAN, grobe Fahrlässigkeit, Online-Banking, SMS, Internet-Banking, Login

Publikationsverzeichnis

Sparda-Bank Hamburg eg

Aktuelle Entwicklungen zum Schutz von Geschäftsgeheimnissen auf EU-Ebene

Bedingungen für das Online Banking der NATIONAL-BANK Aktiengesellschaft*

RKPN.de-Rechtsanwaltskanzlei Patrick R. Nessler Kastanienweg St. Ingbert. Telefon: Telefax:

ÜBERSICHT FALL 14 à Strafbarkeit des Doc Schneider

1. KAPITEL: TECHNIK DER GIROÜBERWEISUNG I. Inner- und außerbetriebliche Überweisung II. Dauerauftrag und Sammelüberweisung...

Eisenbahn-Verkehrsordnung (EVO)

S Kreissparkasse Göppingen. Sehr geehrte Kundin, sehr geehrter Kunde,

Übungsfall 1 - Sachverhalt

EBA Leitlinien. zu Zahlungsrückständen und Zwangsvollstreckung EBA/GL/2015/

1. Änderungen Allgemeine Geschäftsbedingungen der Ikano Bank

VERORDNUNGEN. (Text von Bedeutung für den EWR)

Der Makler zwischen allen Stühlen. IVD Profitreffen, Karlsruhe 14. März 2016

IDAG und VIDAG Was ist neu? Informationsrechte

Arbeitsrechtlicher Rückgriffsanspruch bei grobem Behandlungsfehler

Direktkondiktion bei Zahlungsempfänger bei falscher Kontoangabe

Auftragsdatenverarbeitung und Zertifizierung nach der DSGVO M ä r z , K ö l n

Der Online Service Meine AllSecur (im Folgenden Meine AllSecur genannt) ist ein Angebot der AllSecur Deutschland AG (im Folgenden AllSecur genannt).

Haftung im Ehrenamt

BUNDESGERICHTSHOF IM NAMEN DES VOLKES URTEIL. in dem Rechtsstreit

Lastschriftverfahren per Einzugsermächtigung, Abbuchungsauftrag, SEPA-Basislastschrift oder SEPA-Firmenlastschrift

Bedingungen für das Online-Banking unter Nutzung der App oder der browserbasierten. Partners der solarisbank

KOMMISSION DER EUROPÄISCHEN GEMEINSCHAFTEN. Vorschlag für eine VERORDNUNG DES RATES

Onlinebanking- Bedingungen

(Text von Bedeutung für den EWR)

Pflichtverletzungen: (Einfacher) Schadensersatz

Bedingungen für das Online-Banking unter Nutzung der [ ] App

Herzlich Willkommen!

Auswirkungen der Datenschutz- Revisionen auf Treuhänder. David Vasella 23. Oktober 2018

BUNDESGERICHTSHOF IM NAMEN DES VOLKES URTEIL. 10. Februar 2011 Seelinger-Schardt, Justizangestellte als Urkundsbeamtin der Geschäftsstelle

Kolloquium Zahlungsverkehr und Insolvenz

des Bundesministeriums der Justiz und für Verbraucherschutz

Hinweise für mehr Sicherheit im Internet

Bereicherungsrecht Fall 1

Bundesverband der BUNTE KREIS. Mögliche Rechtsformen einer Nachsorgeeinrichtung

Sonderbedingungen für die VR-ServiceCard


Rechtsformen und Haftungsfolgen anwaltlicher Zusammenarbeit. Anwaltshaftung. Checkliste für die mündliche Prüfung: A) Anwaltshaftung


Sonderbedingungen für den Zugang zur Fidor Bank AG über elektronische Medien

Datenschutzhinweise für Bewerberinnen und Bewerber

WELT IM FRIEDEN ENGEL-GERMANIUM EUROPA

Österreichische Gefahrgutkonferenz Oktober 2017, WIFI Salzburg

Transkript:

Identitätsmissbrauch im Online Banking 12. Tag des Bank- und Kapitalmarktrechts 2015 19. November 2015, Erfurt

Prof. Dr. Georg Borges Inhaber des Lehrstuhls für Bürgerliches Recht, Rechtstheorie und Rechtsinformatik, Universität des Saarlandes Geschäftsführender Direktor, Institut für Rechtsinformatik, Universität des Saarlandes Richter am Oberlandesgericht Hamm a.d. Sprecher des Vorstands, Arbeitsgruppe Identitätsschutz im Internet (a-i3) Mitglied des Vorstands, EDV-Gerichtstag e.v. Mitglied des Verwaltungsrats, Stiftung Datenschutz Mitglied des Center for IT-Security, Privacy and Accountability (CISPA) Mitglied des Hörst-Görtz-Instituts für IT-Sicherheit (HGI) 2

Das Institut für Rechtsinformatik Struktur 3 juristische Lehrstühle der Rechts- und Wirtschaftswissenschaftlichen Fakultät juris-stiftungsprofessur für Rechtsinformatik Kooperation mit Uni Luxemburg (Prof. Cole) Themenfelder IT-Recht ejustice, egovernment Datenschutz IT-Sicherheit Rechtsinformatik Informationen: www.rechtsinformatik.saarland 3

Gliederung I. Aktuelle Missbräuche im Zahlungsverkehr II. Risikotragung und Haftung bei gefälschten Überweisungen III. Pflichten der Kunden zur Missbrauchsvermeidung IV. Beweisfragen V. Pflichten der Banken zur Missbrauchsprävention VI. Die Reform der Zahlungsdiensterichtlinie 4

I. Aktuelle Missbräuche im Zahlungsverkehr 5

I. Aktuelle Missbräuche im Zahlungsverkehr Quelle: SPIEGEL v. 19.05.2014, S. 70 6

I. Aktuelle Missbräuche im Zahlungsverkehr 7

I. Aktuelle Missbräuche im Zahlungsverkehr 8

I. Aktuelle Missbräuche im Zahlungsverkehr 9

I. Aktuelle Missbräuche im Zahlungsverkehr Betroffener Kreditinstitut Website des Betroffenen Angreifer Mobilfunkanbieter 10

I. Aktuelle Missbräuche im Zahlungsverkehr Betroffener Kreditinstitut User / PIN Angreifer Mobilfunkanbieter 11

I. Aktuelle Missbräuche im Zahlungsverkehr Betroffener Kreditinstitut Authentifizierung als Betroffener Angreifer neue SIM-Karte / Rufnummernportierung Mobilfunkanbieter 12

I. Aktuelle Missbräuche im Zahlungsverkehr Betroffener Kreditinstitut Angreifer mtan Mobilfunkanbieter 13

I. Aktuelle Missbräuche im Zahlungsverkehr Betroffener Kreditinstitut Angreifer Mobilfunkanbieter 14

I. Aktuelle Missbräuche im Zahlungsverkehr Service: Beratungstelefon der a-i3 Die Arbeitsgruppe Identitätsschutz im Internet e.v. (a-i3) Gründung 2005 an der Ruhr-Universität Bochum Interdisziplinäre Gruppe aus Technikern und Juristen Gemeinnützige Organisation Themen: Zunächst vor allem Phishing Dazu Erforschung und Dokumentation von Angriffsszenarien; Suche nach Lösungen Nun zunehmend datenschutzrechtliche Themen Webseite der a-i3: www.a-i3.org 15

Gliederung I. Aktuelle Missbräuche im Zahlungsverkehr II. Risikotragung und Haftung bei gefälschten Überweisungen 1. Verantwortlichkeit des Täters 2. Risikotragung 3. Rechtsscheinhaftung des Kunden 4. Haftung des Kunden auf Schadensersatz III. Pflichten der Kunden zur Missbrauchsvermeidung IV. Beweisfragen V. Pflichten der Banken zur Missbrauchsprävention VI. Die Reform der Zahlungsdiensterichtlinie 16

II. Risikotragung und Haftung bei Missbräuchen 1. Verantwortlichkeit des Täters umfassende Strafbarkeit bei Identitätsmissbrauch Phishing Betrug, Computerbetrug, Ausspähen von Daten Handeln unter fremder Identität Betrug, Fälschung beweiserheblicher Daten, Ausspähen von Daten zivilrechtliche Haftung des Täters für Identitätsmissbrauch Problem: Täter ist unbekannt und kann nicht haftbar gemacht werden 17

II. Risikotragung und Haftung bei Missbräuchen 2. Risikotragung Gesetzliche Grundlage Zahlungsdiensterichtlinie (Richtlinie 2007/64/EG des Europäischen Parlaments und des Rates vom 13. November 2007 über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 97/7/EG, 2002/65/EG, 2005/60/EG und 2006/48/EG sowie zur Aufhebung der Richtlinie 97/5/EG) Artt. 54, 60 Zahlungsdiensterichtlinie Umsetzung in 675j, 675u BGB 18

II. Risikotragung und Haftung bei Missbräuchen 2. Risikotragung Gesetzliche Grundlage Risikoverteilung nach Zahlungsdiensterichtlinie Art. 54 ZD-RL»Zustimmung und Widerruf der Zustimmung«(1) Die Mitgliedstaaten stellen sicher, dass ein Zahlungsvorgang nur dann als autorisiert gilt, wenn der Zahler dem Zahlungsvorgang zugestimmt hat. [ ] (2) [ ] Fehlt diese Zustimmung, gilt der Zahlungsvorgang als nicht autorisiert. 19

II. Risikotragung und Haftung bei Missbräuchen 2. Risikotragung Gesetzliche Grundlage Risikoverteilung nach Zahlungsdiensterichtlinie Art. 60 Abs. 1 ZD-RL»Haftung des Zahlungsdienstleisters für nicht autorisierte Zahlungsvorgänge«Die Mitgliedstaaten stellen unbeschadet des Artikel 58 sicher, dass im Falle eines nicht autorisierten Zahlungsvorgangs der Zahlungsdienstleister des Zahlers diesem den Betrag des nicht autorisierten Zahlungsvorgangs unverzüglich erstattet und gegebenenfalls das belastete Konto wieder auf den Stand bringt, auf dem es sich ohne den nicht autorisierten Zahlungsvorgang befunden hätte [ ] 20

II. Risikotragung und Haftung bei Missbräuchen 2. Risikotragung Gesetzliche Grundlage 675j Abs. 1 BGB»Zustimmung und Widerruf der Zustimmung«Ein Zahlungsvorgang ist gegenüber dem Zahler nur wirksam, wenn er diesem zugestimmt hat (Autorisierung). [ ] 675u BGB»Haftung des Zahlungsdienstleisters für nicht autorisierte Zahlungsvorgänge«Im Fall eines nicht autorisierten Zahlungsvorgangs hat der Zahlungsdienstleister des Zahlers gegen diesen keinen Anspruch auf Erstattung seiner Aufwendungen. Er ist verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte. 21

II. Risikotragung und Haftung bei Missbräuchen 2. Risikotragung Risikotragung der Bank Grundsatz: Bank trägt Risiko gefälschter Zahlungsvorgänge, 675j, 675u BGB Pflicht zur Gutschrift / Erstattung des Zahlungsbetrags Wichtige Abgrenzung: echte / gefälschte Überweisung Echte Überweisung = vom Kunden autorisierte Überweisung (der Kunde weiß, wieviel er an wen zahlt) kein Erstattungsanspruch des Kunden Falsche Überweisung = nicht vom Kunden autorisierte Überweisung (der Kunde weiß nicht, wieviel oder an wen er zahlt) 22

II. Risikotragung und Haftung bei Missbräuchen 2. Risikotragung Rücküberweisungstrojaner LG Karlsruhe, 23.5.2014, 20 O 24/13, BKR 2015, 86 LG Bonn, 31.3.2015, 3 O 387/14 Pflicht zur Gutschrift / Erstattung des Zahlungsbetrags Frage: Autorisierung, 675j BGB? LG Bonn: Autorisierung (+) Anfechtbarkeit der Autorisierung? Keine Anfechtung (Motivirrtum) LG Karlsruhe BKR 2015, 86, 87 Offengelassen LG Bonn, 31.3.2015, 3 O 387/14 (Entscheidungsgründe I.1.a.) 23

II. Risikotragung und Haftung bei Missbräuchen 3. Rechtsscheinhaftung des Kunden Voraussetzungen der Rechtsscheinhaftung Rechtsscheintatbestand Zurechenbarkeit des Rechtsscheins Rechtsfolge: Zurechnung der Zahlung zu Kunden unbegrenzte Verantwortlichkeit 24

II. Risikotragung und Haftung bei Missbräuchen 3. Rechtsscheinhaftung des Kunden Zurechenbarkeit des Rechtsscheins angenommen bei bewusster Weitergabe der Authentisierungsmedien OLG Schleswig-Holstein, 19.7.2010, 3 W 47/10, CR 2011, 52 verneint bei täuschungsbedingter Weitergabe LG Landshut, 14.7.2011, 24 O 1129/11, BeckRS 2011, 20294 angenommen bei unzureichender Kontrolle der mtan LG Darmstadt, 28.8. 2014, 28 O 36/14, BKR 2014, 480, 482 AG Bonn, 11.2.2015, 109 C 244/14, BeckRS 2015, 04513 25

II. Risikotragung und Haftung bei Missbräuchen 4. Haftung des Kunden auf Schadensersatz Haftung des Bankkunden geregelt in 675v BGB 675v Abs. 1 BGB»Haftung des Zahlers bei missbräuchlicher Nutzung eines Zahlungsauthentifizierungsinstruments«Beruhen nicht autorisierte Zahlungsvorgänge auf der Nutzung eines verlorengegangenen, gestohlenen oder sonst abhanden gekommenen Zahlungsauthentifizierungsinstruments, so kann der Zahlungsdienstleister des Zahlers von diesem den Ersatz des hierdurch entstandenen Schadens bis zu einem Betrag von 150 Euro verlangen. Dies gilt auch, wenn der Schaden infolge einer sonstigen missbräuchlichen Verwendung eines Zahlungsauthentifizierungsinstruments entstanden ist und der Zahler die personalisierten Sicherheitsmerkmale nicht sicher aufbewahrt hat. [ ] 26

II. Risikotragung und Haftung bei Missbräuchen 4. Haftung des Kunden auf Schadensersatz Grundlage: Art. 61 Zahlungsdiensterichtlinie Haftungskonzept: dreistufige Regelung volle Haftung bei Vorsatz und grober Fahrlässigkeit, 675v II BGB Haftungsbeschränkung auf 150 bei schuldhafter Pflichtverletzung, 675v I 2 BGB verschuldensunabhängige Haftung auf 150 ohne Pflichtverletzung bei Verlust eines Tokens, 675v I 1 BGB 27

Gliederung I. Aktuelle Missbräuche im Zahlungsverkehr II. Risikotragung und Haftung bei gefälschten Überweisungen III. Pflichten der Kunden zur Missbrauchsvermeidung 1. Überblick 2. Pflicht zur Sicherung der technischen Geräte 3. Pflicht zur sicheren Aufbewahrung der Authentisierungsmedien 4. Grobe Fahrlässigkeit IV. Beweisfragen V. Pflichten der Banken zur Missbrauchsprävention VI. Die Reform der Zahlungsdiensterichtlinie 28

III. Pflichten der Kunden zur Missbrauchsvermeidung 1. Überblick Regelung in 675l BGB, Art. 56 ZD-RL 675l BGB»Pflichten des Zahlers in Bezug auf Zahlungsauthentifizierungsinstrumente«Der Zahler ist verpflichtet, unmittelbar nach Erhalt eines Zahlungsauthentifizierungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Er hat dem Zahlungsdienstleister oder einer von diesem benannten Stelle den Verlust, den Diebstahl, die missbräuchliche Verwendung oder die sonstige nicht autorisierte Nutzung eines Zahlungsauthentifizierungsinstruments unverzüglich anzuzeigen, nachdem er hiervon Kenntnis erlangt hat. 29

III. Pflichten der Kunden zur Missbrauchsvermeidung 1. Überblick Sicherung der IT-Infrastruktur Sicherung der Authentisieungsmedien Erkennen von Täuschungen 30

III. Pflichten der Kunden zur Missbrauchsvermeidung 2. Pflicht zur Sicherung der technischen Geräte Inhalt der Pflicht Einsatz aktueller Virenschutzprogramme Einsatz einer personal firewall Aktualisierung der Schutzsoftware Aktualisierung des Betriebssystems Problem: Kausalität für Schaden nicht nachweisbar Keine praktische Bedeutung für Haftung 31

III. Pflichten der Kunden zur Missbrauchsvermeidung 3. Pflicht zur sicheren Aufbewahrung der Authentisierungsmedien Inhalt der Pflicht Geheimhaltung von Passwörtern sorgfältige Aufbewahrung von ec-karte, Personalausweis etc. Meldung bei Verlust 32

III. Pflichten der Kunden zur Missbrauchsvermeidung 3. Pflicht zur sicheren Aufbewahrung der Authentisierungsmedien Inhalt der Pflicht Abwehr von Täuschungsversuchen 33

III. Pflichten der Kunden zur Missbrauchsvermeidung 3. Pflicht zur sicheren Aufbewahrung der Authentisierungsmedien Pflichtverletzung durch Kunden? Ignorieren von Verdachtsmomenten z.b. Beantworten einer plumpen Phishing-Mail 34

III. Pflichten der Kunden zur Missbrauchsvermeidung 3. Pflicht zur sicheren Aufbewahrung der Authentisierungsmedien Pflichtverletzung durch Kunden? z.b. Eingabe von PIN und TAN auf Website Grundsatz: Geheimhaltungspflicht schließt angemessene Reaktion auf Täuschungsversuche ein Vorliegen einer Pflichtverletzung nur im Einzelfall zu klären Bei offensichtlichen Verdachtsmomenten wohl zu bejahen z.b. Eingabe von 10 TAN auf der Homepage Ombudsmann BVR, 27.10.2006, D-29/06 Verschulden bei Eingabe 35

III. Pflichten der Kunden zur Missbrauchsvermeidung 4. Grobe Fahrlässigkeit Bedeutung Eingreifen der Haftungsbeschränkung auf 150 Euro, 675v BGB Beispiel: Eingabe von 100 itan (OLG München, 23.1.2012, 17 U 3527/11, BKR 2012, 475; Landgericht Landshut, 14.7.2011, 24 O 1129/11, BeckRS 2011, 20294) OLG München: grobe Fahrlässigkeit (a.a. LG Landshut: keine grobe Fahrlässigkeit) 36

III. Pflichten der Kunden zur Missbrauchsvermeidung 4. Grobe Fahrlässigkeit Bedeutung Eingreifen der Haftungsbeschränkung auf 150 Euro, 675v BGB Beispiel: Eingabe von PIN und vier TAN grob fahrlässig? grobe Fahrlässigkeit verneint: implizit KG, 29.11.2010, 26 U 159/09 LG Berlin, 11.08.2009, 37 O 4/09 = MMR 2010, 137 leichtfertiges Handeln bejaht: Ombudsmann BVR, 27.10.2006, D-29/06 37

III. Pflichten der Kunden zur Missbrauchsvermeidung 4. Grobe Fahrlässigkeit BGH, 24.4.2012, XI ZR 96/11, NJW 2012, 2422 keine grobe Fahrlässigkeit bei Eingabe von 10 TAN trotz Warnhinweises der Bank grobe Fahrlässigkeit bei Eingabe von mehreren TAN AG Krefeld, 6.7.2012, 7 C 605/11, MMR 2013, 164 AG Bonn, 15.4.2014, 109 C 223/13, BKR 2014, 304, 305 AG Köln, 20.1.2014, 142 C 406/13, BKR 2014, 307, 308 Grobe Fahrlässigkeit bei Unterlassen der Kontrolle der mtan LG Köln, 26.8.2014, 3 O 390/13, NJW 2014, 3735, 3736 AG Bonn, 15.4.2014, 109 C 223/13, BKR 2014, 304, 305 38

Gliederung I. Aktuelle Missbräuche im Zahlungsverkehr II. Risikotragung und Haftung bei gefälschten Überweisungen III. Pflichten der Kunden zur Missbrauchsvermeidung IV. Beweisfragen 1. Beweislast 2. Der Anscheinsbeweis im Zivilprozess 3. Der Anscheinsbeweis für die Echtheit einer Anweisung 4. Der Anscheinsbeweis für eine Pflichtverletzung des Kunden V. Pflichten der Banken zur Missbrauchsprävention VI. Die Reform der Zahlungsdiensterichtlinie 39

IV. Beweisfragen 1. Beweislast Beweislastverteilung Echtheit der Überweisung Bank trägt Beweislast Pflichtverletzung des Kunden Bank trägt Beweislast Anscheinsbeweis zugunsten der Bank? 40

IV. Beweisfragen 2. Der Anscheinsbeweis im Zivilprozess Grundsatz Beweis für eine Tatsache ist geführt, wenn ein Anschein für diese Tatsache besteht und nicht erschüttert wird. 41

IV. Beweisfragen 2. Der Anscheinsbeweis im Zivilprozess Voraussetzung des Anscheinsbeweises: Erfahrungssatz typischer Geschehensablauf nach allgemeiner Lebenserfahrung Folge: besteht dem Anschein nach ein typischer Geschehensablauf, gilt dieser als bewiesen Ausnahme: Erschütterung des Anscheins 42

IV. Beweisfragen 2. Der Anscheinsbeweis im Zivilprozess Erschütterung des Anscheins Wenn der Beweisgegner die ernsthafte Möglichkeit eines anderen Geschehensablaufs (atypischer Geschehensablauf) im konkreten Fall behauptet und beweist. Im Beispiel: Der auffahrende Autofahrer weist nach, dass sich auf der Straße an der betreffenden Stelle eine Ölspur befand. Damit: Fahrfehler des auffahrenden Autofahrers ist nicht bewiesen. Voraussetzung für Anschein und Erschütterung: Die tatsächlichen Grundlagen müssen unstreitig oder bewiesen sein. 43

IV. Beweisfragen 3. Der Anscheinsbeweis für die Echtheit einer Anweisung Voraussetzung: Erfahrungssatz für Echtheit abhängig von Sicherheit des Authentisierungsverfahrens kein Beweis bei PIN/TAN-Verfahren kein Beweis bei itan-verfahren unklar: Beweis bei mtan-verfahren? Bejaht: LG Köln, 26.8.2014, 3 O 390/13, NJW 2014, 3735 Beweis bei chiptan-verfahren? Erschütterung: bei Möglichkeit anderen Geschehensablaufs 44

IV. Beweisfragen 4. Der Anscheinsbeweis für eine Pflichtverletzung des Kunden sehr str.; keine aktuellen Entscheidungen wie bei Anscheinsbeweis für Echtheit Dissertation Bochum (Mühlenbrock): i.d.r. kein Anscheinsbeweis für Pflichtverletzung wohl zu differenzieren nach Sicherheit des Verfahrens bei sicheren Verfahren (chiptan) Anscheinsbeweis für Weitergabe u.u. Anscheinsbeweis für Pflichtverletzung 45

Gliederung I. Aktuelle Missbräuche im Zahlungsverkehr II. Risikotragung und Haftung bei gefälschten Überweisungen III. Pflichten der Kunden zur Missbrauchsvermeidung IV. Beweisfragen V. Pflichten der Banken zur Missbrauchsprävention 1. Informationspflicht 2. Warnpflicht 3. Missbrauchsprävention und Datensicherheit VI. Die Reform der Zahlungsdiensterichtlinie 46

V. Pflichten der Banken zur Missbrauchsprävention Relevanz: Verminderung des Anspruchs auf Schadensersatz gegen Kunden bei Pflichtverletzung, 254 BGB Pflichten im Einzelnen Information der Kunden über Missbrauchsrisiken Verwendung sicherer Authentisierungsverfahren 47

V. Pflichten der Banken zur Missbrauchsprävention 1. Informationspflicht Information der Kunden über Missbrauchsrisiken 48

V. Pflichten der Banken zur Missbrauchsprävention 1. Informationspflicht Information der Kunden über Missbrauchsrisiken 49

V. Pflichten der Banken zur Missbrauchsprävention 1. Informationspflicht Pflicht zur Information über Missbrauchsrisiken im Online Banking LG Karlsruhe, 23.5.2014, 20 O 24/13, BKR 2015, 86, 88 h.m. der Literatur Wohl auch: BGH, 24.04.2012, XI ZR 96/11, Rn. 32, NJW 2012, 2422; BGH, 6.5.2008, XI ZR 56/07, Rn. 14, BGHZ 176, 281 Offengelassen: LG Bonn, 31.3.2015, 3 O 387/14 Keine Pflicht zur Information über allg. Risiken des Internets LG Nürnberg-Fürth, 28.4.2008, 10 O 11391/07 50

V. Pflichten der Banken zur Missbrauchsprävention 2. Warnpflicht Warn- und Hinweispflichten im Zahlungsverkehr nur im Ausnahmefall BGH, 24.04.2012, XI ZR 96/11, Rn. 32, NJW 2012, 2422; BGH, 6.5.2008, XI ZR 56/07, Rn. 14, BGHZ 176, 281 Warnplicht zugunsten Kunden bei massiven Verdachtsmomenten BGH, 24.04.2012, XI ZR 96/11, Rn. 32, NJW 2012, 2422; BGH, 6.5.2008, XI ZR 56/07, Rn. 14, BGHZ 176, 281 keine generelle Pflicht zur Überwachung von Kontobewegungen BGH, 24.04.2012, XI ZR 96/11, Rn. 32, NJW 2012, 2422; BGH, 6.5.2008, XI ZR 56/07, Rn. 14, BGHZ 176, 281 51

V. Pflichten der Banken zur Missbrauchsprävention 2. Warnpflicht Beispiel: BGH, 24.04.2012, XI ZR 96/11, Rn. 32 = NJW 2012, 2422, 2425: Situation: (gefälschte) erstmalige Überweisung eines glatten Betrags (5.000 ) oberhalb der Verfügungsgrenze (4.500 ) auf griechisches Konto, die zu erheblichem Soll des Girokontos (4.300 ) führt; gleichzeitig ähnliche Überweisung von anderem Kunden auf dasselbe griechische Konto BGH: keine massiven Verdachtsmomente, die Warnpflicht auslösen m.e.: Warnpflicht bei Erkenntnissen aufgrund von Missbrauchsbekämpfung Borges, NJW 2012, 2385, 2388 52

V. Pflichten der Banken zur Missbrauchsprävention 3. Missbrauchsprävention und Datensicherheit Pflicht zur Einführung neuer Verfahren mit höherem Sicherheitsstandard? allgemeine Pflicht des Diensteanbieters, Daten des Kunden vor Zugriffen Dritter zu schützen. Maßstab: Erforderlichkeit, Zumutbarkeit Beispiel (Online Banking): Konventionelles PIN/TAN Verfahren entspricht nicht mehr dem Stand der Technik: KG, 29.11.2010, 26 U 159/09 (BGH lässt für itan dahinstehen; BGH, 24.4.2012, XI ZR 96/11, NJW 2012, 2422) Pflicht der Bank zur Anpassung an verbesserten Standard 53

Gliederung I. Aktuelle Missbräuche im Zahlungsverkehr II. Risikotragung und Haftung bei gefälschten Überweisungen III. Pflichten der Kunden zur Missbrauchsvermeidung IV. Beweisfragen V. Pflichten der Banken zur Missbrauchsprävention VI. Die Reform der Zahlungsdiensterichtlinie 1. Verfahrensstand 2. Konzept: Regulierung der Anforderungen an Authentisierung 3. Risikoverteilung 4. Pflichten und Haftung des Zahlers 54

VI. Die Reform der Zahlungsdiensterichtlinie 2013/0264 (COD) Vorschlag für eine RICHTLINIE DES EUROPÄISCHEN PARLAMENTS UND DES RATES über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 2002/65/EG, 2013/36/EU und 2009/110/EG sowie zur Aufhebung der Richtlinie 2007/64/EG 55

VI. Die Reform der Zahlungsdiensterichtlinie 1. Verfahrensstand Kommissionsentwurf, 24.07.2013, COM(2013) 547 final, 2013/0264 (COD) 1. Lesung EU-Parlament, 03.04.2014 201 Änderungen Erörterung im Rat, 09.12.2014 Standpunkt EU-Parlament, 8.10.2015 Erlass Richtlinie u.u. Anfang 2016 Umsetzungsfrist: 2 Jahre, Art. 102 ZD-RL-Entwurf 56

VI. Die Reform der Zahlungsdiensterichtlinie 2. Konzept: Regulierung der Anforderungen an Authentisierung Art. 87 Abs. 1 S. 1 ZD-RL-Entwurf Die Mitgliedstaaten stellen sicher, dass ein Zahlungsdienstleister eine verstärkte Kundenauthentifizierung verlangt, wenn der Zahler einen elektronischen Zahlungsvorgang auslöst, es sei denn, die EBA-Leitlinien erlauben auf der Grundlage des Risikos des erbrachten Zahlungsdienstes bestimmte Ausnahmen. Art. 97 Abs. 1 S. 1 ZD-RL-Parlament Die Mitgliedstaaten stellen sicher, dass ein Zahlungsdienstleister eine verstärkte Kundenauthentifizierung verlangt, wenn der Zahler a) online auf sein Zahlungskonto zugreift; b) einen elektronischen Zahlungsvorgang auslöst, [ ] 57

VI. Die Reform der Zahlungsdiensterichtlinie 2. Konzept: Regulierung der Anforderungen an Authentisierung Pflicht zur Verwendung starker Kundenauthentifizierung starke Kundenauthentifizierung, Art. 4 Nr. 22 ZD-RL-Entwurf / Art. 4 Nr. 30 ZD-RL - Parlament 2-Faktor-Authentisierung 58

VI. Die Reform der Zahlungsdiensterichtlinie 2. Konzept: Regulierung der Anforderungen an Authentisierung Konkretisierung der Anforderungen durch EBA Art. 98 Abs. 1 ZD-RL-Parlament Die EBA arbeitet im Einklang mit Artikel 10 der Verordnung (EU) Nr. 1093/2010 in enger Zusammenarbeit mit der EZB und nach Anhörung aller maßgeblichen Akteure, einschließlich des Zahlungsverkehrsmarktes, unter Berücksichtigung der Interessen aller Beteiligten für Zahlungsdienstleister im Sinne des Artikels 1 Absatz 1 dieser Richtlinie technische Regulierungsstandards aus, in denen Folgendes präzisiert wird: a) die Erfordernisse des Verfahrens zur starken Kundenauthentifizierung gemäß Artikel 97 Absätze 1 und 2, [ ] 59

VI. Die Reform der Zahlungsdiensterichtlinie 3. Risikoverteilung Autorisierung erforderlich, Art. 57 ZD-RL-Entwurf /Art. 64 ZD-RL P wie bisher Art. 54 ZD-RL Erstattung des Zahlbetrags bei fehlender Autorisierung, Art. 65 ZD-RL-Entwurf / Art. 73 ZD-RL-Parlament wie bisher Art. 60 ZD-RL In erster Lesung: unverzügliche Anzeigepflicht geändert in innerhalb von 24 Stunden, nachdem er den Vorgang festgestellt hat oder darüber informiert wurde (Änderung 137) 60

VI. Die Reform der Zahlungsdiensterichtlinie 4. Pflichten und Haftung des Zahlers Pflichten des Zahlers, Art. 61 ZD-RL-E, Art. 69 ZD-RL-P wie bisher Art. 56 ZD-RL Haftung des Zahlers, Art. 66 ZD-RL-E, Art. 74 ZD-RL-P ähnlich Art. 61 ZD-RL Begrenzung der Haftung auf 50 oder den entsprechenden Betrag in einer anderen nationalen Währung [ ]. Das gilt nicht, wenn der Verlust, der Diebstahl oder die missbräuchliche Verwendung des Zahlungsinstruments für den Zahler vor der Zahlung nicht erkennbar war. (Art. 66 Abs. 1 ZD-RL-Entwurf) (Bisher: 150 ) 61

VI. Die Reform der Zahlungsdiensterichtlinie 4. Pflichten und Haftung des Zahlers unbegrenzte Haftung bei grober Fahrlässigkeit, Art. 66 Abs. 2 S. 1 ZD-RL-E, Art. 74 ZD-RL-P aber: keine Haftung (außer betr. Absicht), wenn keine starke Kundenauthentifizierung, Art. 66 Abs. 2 S. 4 ZD-RL-E, Art. 74 Abs. 2 ZD-RL-P 62

VI. Die Reform der Zahlungsdiensterichtlinie 4. Pflichten und Haftung des Zahlers wichtigste Frage: Was genau ist starke Kundenauthentifizierung? Art. 4 Nr. 30 ZD-RL Parlament starke Kundenauthentifizierung ist eine Authentifizierung unter Heranziehung von mindestens zwei Elementen der Kategorien Wissen (etwas, das nur der Nutzer weiß), Besitz (etwas, das nur der Nutzer besitzt) oder Inhärenz (etwas, das der Nutzer ist), die insofern voneinander unabhängig sind, als die Nichterfüllung eines Kriteriums die Zuverlässigkeit der anderen nicht in Frage stellt, und die so konzipiert ist, dass die Vertraulichkeit der Authentifizierungsdaten geschützt ist; Präzisierung durch Europäische Bankenaufsicht (EBA) aber: Kompetenz sollte ausdrücklich geregelt werden 63

Vielen Dank für Ihre Aufmerksamkeit! Prof. Dr. Georg Borges it-recht.uni-saarland.de www.rechtsinformatik.saarland georg.borges@uni-saarland.de 64

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback