Erst der Phishing-Angriff, dann der Druck der Bank: Was Kreditkartenkunden jetzt wissen müssen

Entscheide Bankrecht, Neues aus der Kanzlei

 

Phishing bei Kreditkarte oder Online-Banking: Der eigentliche Ärger beginnt oft erst nach dem Betrug

Ein Phishing-Angriff ist für Bankkunden und Kreditkartenkunden bereits belastend genug. Plötzlich werden Beträge vom Konto abgebucht oder über die Kreditkarte belastet, die der Kunde selbst nie bewusst veranlasst hat. Häufig geht es nicht um Kleinbeträge, sondern um mehrere tausend Euro.

In der anwaltlichen Praxis zeigt sich jedoch immer wieder: Nach dem eigentlichen Betrug beginnt für viele Betroffene ein zweiter Kampf. Die Bank oder das Kreditkartenunternehmen erstattet nicht sofort, sondern behandelt die streitigen Abbuchungen zunächst wie normale Kartenumsätze. Der Kunde soll den dadurch entstandenen Saldo ausgleichen. Teilweise werden Mahnungen verschickt, telefonische Zahlungsaufforderungen ausgesprochen, Ratenzahlungen angeboten oder sogar negative Meldungen an Auskunfteien wie die SCHUFA in Aussicht gestellt.

Für Betroffene entsteht dadurch ein erheblicher Druck. Sie haben den Schaden nicht verursacht, können die Abrechnung häufig nicht nachvollziehen und sollen trotzdem zahlen. Genau hier ist eine klare rechtliche Einordnung wichtig.

Nicht autorisierte Zahlungen sind nicht automatisch Schulden des Kunden

Der wichtigste Grundsatz lautet: Nicht jede Abbuchung auf einer Kreditkartenabrechnung ist automatisch eine berechtigte Forderung gegen den Kunden.

Rechtlich ist entscheidend, ob der Kunde den konkreten Zahlungsvorgang autorisiert hat. Ein Zahlungsvorgang ist gegenüber dem Kunden nur wirksam, wenn der Kunde ihm zugestimmt hat. Fehlt diese Zustimmung, handelt es sich um einen nicht autorisierten Zahlungsvorgang.

Das ist bei Phishing-Fällen häufig der zentrale Streitpunkt. Die Bank verweist dann zum Beispiel darauf, es habe eine technische Freigabe gegeben, eine TAN sei eingegeben, eine Push-Nachricht bestätigt oder eine App-Freigabe ausgelöst worden. Daraus folgt aber nicht automatisch, dass der Kunde die konkrete Zahlung rechtlich wirksam autorisiert hat.

Gerade bei Phishing liegt das Problem darin, dass der Kunde durch Täuschung dazu gebracht wird, Daten einzugeben oder Vorgänge zu bestätigen, deren tatsächliche Tragweite er nicht erkennt. Ob darin eine wirksame Autorisierung liegt oder ob die Bank den Schaden dennoch dem Kunden auferlegen kann, hängt vom Einzelfall ab.

Der Anspruch auf Gutschrift ist ein gesetzlicher Anspruch – keine Kulanz

Viele Banken und Kreditkartenunternehmen lassen es gegenüber Kunden so erscheinen, als gehe es um eine Kulanzentscheidung. Das ist rechtlich verkürzt.

Bei nicht autorisierten Zahlungsvorgängen besteht ein gesetzlicher Anspruch des Kunden gegen seinen Zahlungsdienstleister. Die zentrale Vorschrift ist § 675u BGB.

Danach hat der Zahlungsdienstleister des Zahlers bei einem nicht autorisierten Zahlungsvorgang grundsätzlich keinen Anspruch darauf, dass der Kunde die Belastung ersetzt. Vielmehr ist der Zahlungsdienstleister verpflichtet, dem Kunden den Zahlungsbetrag unverzüglich zu erstatten. Wurde ein Konto oder Kartenkonto belastet, muss dieses Konto wieder auf den Stand gebracht werden, auf dem es sich ohne die nicht autorisierte Belastung befunden hätte.

Bei Kreditkartenzahlungen richtet sich dieser Anspruch regelmäßig gegen den eigenen Vertragspartner des Kunden, also gegen die kartenausgebende Bank oder das Kreditkartenunternehmen, das die Umsätze gegenüber dem Kunden abrechnet. Der Kunde muss sich nicht einfach darauf verweisen lassen, gegen unbekannte Täter, Händler im Ausland oder sonstige Zahlungsbeteiligte vorzugehen.

Für die Praxis bedeutet das: Der Kunde sollte nicht nur „um Prüfung bitten“, sondern ausdrücklich die Gutschrift beziehungsweise Kontoberichtigung nach § 675u BGB verlangen.

Was muss die Bank beweisen?

Bestreitet der Kunde, dass er die Zahlung autorisiert hat, greift § 675w BGB. Danach muss der Zahlungsdienstleister nachweisen, dass der Zahlungsvorgang authentifiziert, ordnungsgemäß aufgezeichnet und verbucht wurde und nicht durch eine technische Störung oder einen anderen Mangel beeinträchtigt war.

Wichtig ist: Die technische Aufzeichnung einer Kartennutzung, einer TAN-Eingabe oder einer App-Freigabe beweist nicht automatisch, dass der Kunde den konkreten Zahlungsvorgang rechtlich wirksam autorisiert hat. Auch beweist sie nicht automatisch, dass der Kunde grob fahrlässig gehandelt hat.

Die Bank muss daher wesentlich konkreter vortragen, wenn sie den Kunden für den Schaden verantwortlich machen will. Relevant können zum Beispiel sein:

Welche konkrete Zahlung wurde ausgelöst?

Welcher Empfänger wurde angezeigt?

Welcher Betrag wurde angezeigt?

Welche Warnhinweise wurden eingeblendet?

Wurde ein neues Gerät registriert?

Wurde eine digitale Karte aktiviert?

Gab es ungewöhnliche Transaktionsmuster?

Wurde starke Kundenauthentifizierung eingesetzt?

Welche Informationen konnte der Kunde im Moment der Freigabe tatsächlich erkennen?

Pauschale Aussagen wie „Sie haben den Vorgang freigegeben“ oder „Sie haben Ihre Sorgfaltspflichten verletzt“ reichen für sich genommen nicht aus.

Der typische Einwand der Bank: Der Kunde habe grob fahrlässig gehandelt

Banken und Kreditkartenunternehmen argumentieren in Phishing-Fällen häufig mit grober Fahrlässigkeit. Der Kunde habe angeblich Sicherheitsmerkmale preisgegeben, eine TAN eingegeben, eine Push-Freigabe bestätigt oder Warnhinweise ignoriert.

Rechtlich ist dieser Einwand möglich, aber nicht automatisch erfolgreich. Maßgeblich ist § 675v BGB. Danach kann der Kunde unter bestimmten Voraussetzungen haften, insbesondere wenn er vorsätzlich oder grob fahrlässig gegen Pflichten zum Schutz personalisierter Sicherheitsmerkmale verstoßen hat.

Grobe Fahrlässigkeit bedeutet mehr als einfache Unachtsamkeit. Es muss sich um eine besonders schwerwiegende Pflichtverletzung handeln. Ob eine solche vorliegt, hängt stark vom Einzelfall ab.

Zu prüfen ist insbesondere:

War die Phishing-Seite täuschend echt gestaltet?

Wurde ein angeblicher Bankmitarbeiter eingeschaltet?

Gab es eine konkrete Warnung vor genau diesem Vorgang?

War für den Kunden erkennbar, dass eine Zahlung ausgelöst wurde?

Oder ging der Kunde davon aus, lediglich eine Sicherheitsprüfung, Kartensperre oder Identitätsbestätigung vorzunehmen?

War der angezeigte Empfänger erkennbar?

War der Betrag erkennbar?

Lag eine ungewöhnliche Stresssituation vor?

Hatte die Bank selbst Sicherheitsmechanismen, die hätten greifen müssen?

Gerade moderne Phishing-Angriffe sind technisch und psychologisch professionell aufgebaut. Deshalb darf nicht vorschnell angenommen werden, der Kunde sei „selbst schuld“.

Besonders problematisch: Aus dem Phishing-Saldo soll ein Darlehen werden

In der Praxis besonders gefährlich sind Fälle, in denen der streitige Kreditkartensaldo nach einem Phishing-Angriff in eine Ratenzahlung oder ein angebliches Darlehen überführt werden soll.

Das Vorgehen kann für den Kunden erhebliche Risiken haben. Zunächst werden die nicht autorisierten Belastungen in der Kartenabrechnung ausgewiesen. Anschließend wird der Kunde aufgefordert, den Saldo auszugleichen. Wenn er dazu wirtschaftlich nicht in der Lage ist, wird ihm eine Ratenzahlung angeboten oder nahegelegt. Teilweise entsteht der Eindruck, als solle der Kunde telefonisch bestätigen, dass er mit einem Kreditvertrag, einer Ratenzahlungsvereinbarung oder einem bestimmten Saldo einverstanden sei.

Davon ist dringend abzuraten, solange die streitigen Phishing-Belastungen nicht geklärt sind.

Wer telefonisch oder schriftlich bestätigt, einen bestimmten Saldo in Raten zahlen zu wollen, riskiert, dass die Bank dies später als Schuldanerkenntnis, Vergleich, Ratenzahlungsvereinbarung oder Zustimmung zu einer Darlehenslösung auslegt. Aus einer bestrittenen, nicht autorisierten Zahlung kann dann faktisch eine neue vertragliche Verpflichtung gemacht werden.

Deshalb gilt: Keine telefonische Bestätigung eines angeblichen Kreditvertrages. Keine Ratenzahlungsvereinbarung über einen streitigen Saldo. Keine Erklärung, die als Anerkenntnis verstanden werden kann.

Warum die Abrechnung getrennt werden muss

Ein häufiger Fehler besteht darin, dass Banken und Kreditkartenunternehmen alle Positionen in einen Gesamtsaldo einstellen. In diesem Saldo vermischen sich dann reguläre Kartenumsätze mit streitigen Phishing-Belastungen, Zinsen, Gebühren, Mahnkosten und sonstigen Nebenforderungen.

Der Kunde kann dann kaum noch erkennen, welcher Teil tatsächlich berechtigt ist und welcher Teil auf den bestrittenen Vorgängen beruht.

Genau deshalb sollte der Kunde eine getrennte Abrechnung verlangen. Die Bank muss offenlegen:

welche Umsätze regulär und autorisiert sind,

welche Umsätze als nicht autorisiert bestritten werden,

welche Gebühren und Zinsen gerade aus den streitigen Vorgängen hergeleitet werden,

welcher Saldo ohne die bestrittenen Belastungen bestehen würde,

und ob überhaupt noch eine berechtigte Restforderung verbleibt.

Erst nach dieser Trennung kann sinnvoll entschieden werden, ob der Kunde einen unstreitigen Betrag zahlen sollte.

Dem Saldo ausdrücklich widersprechen

Betroffene sollten dem von der Bank ausgewiesenen Saldo ausdrücklich widersprechen, soweit dieser auf nicht autorisierten Zahlungsvorgängen beruht.

Der Widerspruch sollte schriftlich erfolgen, idealerweise per Einwurfeinschreiben, Fax mit Sendebericht oder E-Mail mit nachweisbarer Übermittlung. Wichtig ist, dass die Bank später nicht behaupten kann, der Kunde habe den Saldo akzeptiert.

Ein möglicher Formulierungsvorschlag lautet:

„Ich widerspreche dem von Ihnen geltend gemachten Saldo ausdrücklich, soweit dieser auf den streitgegenständlichen, von mir nicht autorisierten Zahlungsvorgängen beruht. Die betreffenden Kreditkartenbelastungen wurden von mir nicht autorisiert. Ein Anerkenntnis des von Ihnen ausgewiesenen Gesamtsaldos erfolgt nicht. Ich fordere Sie auf, die streitigen Belastungen gemäß § 675u BGB unverzüglich gutzuschreiben beziehungsweise das Kartenkonto wieder auf den Stand zu bringen, auf dem es sich ohne diese Belastungen befunden hätte.“

Gutschrift nach § 675u BGB ausdrücklich verlangen

Neben dem Widerspruch gegen den Saldo sollte die Gutschrift der nicht autorisierten Belastungen ausdrücklich verlangt werden.

Ein möglicher Formulierungsvorschlag lautet:

„Die streitgegenständlichen Zahlungen wurden von mir nicht autorisiert. Ich fordere Sie daher unter Berufung auf § 675u BGB auf, die betreffenden Beträge unverzüglich zu erstatten beziehungsweise meinem Kartenkonto gutzuschreiben. Soweit Sie eine Autorisierung behaupten, fordere ich Sie auf, diese gemäß § 675w BGB substantiiert nachzuweisen. Vorsorglich bestreite ich eine vorsätzliche oder grob fahrlässige Pflichtverletzung im Sinne von § 675v BGB.“

Diese Formulierung hat drei Vorteile: Sie macht den Anspruch geltend, sie verschiebt die Diskussion auf die gesetzliche Beweislast und sie verhindert, dass die Bank den Vorgang als bloße Kulanzprüfung behandelt.

Keine SCHUFA-Meldung wegen bestrittenem Phishing-Saldo

Besonders gefährlich sind negative Meldungen an Auskunfteien wie die SCHUFA. Ein negativer Eintrag kann erhebliche Folgen haben: Kreditprobleme, Schwierigkeiten bei Mietverträgen, Mobilfunkverträgen, Ratenkäufen oder Anschlussfinanzierungen.

Bei einem streitigen Phishing-Saldo sollte der Kunde der Bank ausdrücklich untersagen, negative Zahlungsinformationen an Auskunfteien zu übermitteln, soweit diese auf den bestrittenen Belastungen beruhen.

Ein möglicher Formulierungsvorschlag lautet:

„Ich untersage Ihnen vorsorglich, negative Zahlungsinformationen an Auskunfteien, insbesondere an die SCHUFA Holding AG, zu übermitteln, soweit diese auf den von mir bestrittenen, nicht autorisierten Zahlungsvorgängen oder daraus abgeleiteten Nebenforderungen beruhen. Die Forderung wird ausdrücklich bestritten.“

Eine solche Untersagung verhindert eine Meldung nicht automatisch, schafft aber eine klare Dokumentation. Sie ist wichtig, um später gegen eine unberechtigte Meldung vorgehen zu können.

Was tun bei telefonischem Druck der Bank?

Viele Betroffene berichten, dass sie nach einem Phishing-Angriff telefonisch zur Zahlung aufgefordert werden. Manchmal wird dabei erheblicher Druck aufgebaut. Der Kunde soll sofort zahlen, eine Ratenzahlung akzeptieren oder eine Erklärung abgeben.

Telefonate sind in dieser Situation riskant. Der Kunde weiß oft nicht, mit wem er spricht. Er hat keine vollständige Abrechnung vorliegen. Außerdem besteht die Gefahr, dass mündliche Äußerungen später anders dargestellt werden.

Deshalb gilt:

Keine telefonische Anerkennung des Saldos.

Keine telefonische Zusage einer Ratenzahlung.

Keine Bestätigung eines Darlehensvertrages.

Keine Angaben, die als Schuldanerkenntnis verstanden werden können.

Stattdessen sollte der Kunde sagen:

„Bitte übersenden Sie mir Ihre Forderung und die vollständige Abrechnung schriftlich. Ich gebe telefonisch keine Erklärung zum Saldo, zu einer Ratenzahlung oder zu einem Darlehensvertrag ab.“

Zusätzlich sollte der Kunde notieren: Datum, Uhrzeit, Telefonnummer, Name des Gesprächspartners und Inhalt des Gesprächs.

Sollte der Kreditkartenvertrag gekündigt werden?

Wenn die Bank nicht einlenkt, weiter Druck ausübt oder versucht, den streitigen Saldo in eine neue Ratenzahlungsverpflichtung zu überführen, kann auch die Kündigung des Kreditkartenvertrages sinnvoll sein.

Dabei ist aber Vorsicht geboten. Die Kündigung darf nicht den Eindruck erwecken, der Kunde erkenne den Gesamtsaldo an. Sie sollte deshalb ausdrücklich unter Vorbehalt erfolgen.

Empfehlenswert ist eine Formulierung wie:

„Hiermit kündige ich den Kreditkartenvertrag außerordentlich aus wichtigem Grund, hilfsweise ordentlich zum nächstmöglichen Zeitpunkt. Die Kündigung erfolgt ausdrücklich ohne Anerkennung eines von Ihnen behaupteten Saldos. Sämtliche Einwendungen gegen die streitgegenständlichen, von mir nicht autorisierten Zahlungsvorgänge bleiben vorbehalten.“

Ob eine außerordentliche Kündigung im Einzelfall durchgreift, hängt von den Umständen ab. Jedenfalls sollte hilfsweise ordentlich zum nächstmöglichen Zeitpunkt gekündigt werden.

Erst neue Kreditkarte beantragen, dann alten Vertrag kündigen?

Wer im Alltag auf eine Kreditkarte angewiesen ist, sollte praktisch planen. Für Reisen, Hotelbuchungen, Mietwagen, Online-Abonnements oder geschäftliche Zahlungen kann eine Kreditkarte erforderlich sein.

Deshalb kann es sinnvoll sein, zunächst bei einem anderen Anbieter eine neue Kreditkarte zu beantragen und erst danach den bisherigen Kreditkartenvertrag zu kündigen. Dies gilt besonders dann, wenn zu befürchten ist, dass der bisherige Anbieter die Karte kurzfristig sperrt oder kündigt.

Wichtig bleibt aber: Ein Anbieterwechsel erledigt den Streit um den alten Saldo nicht. Die streitigen Belastungen müssen weiterhin bestritten und die Gutschrift muss weiterhin verlangt werden.

Fristen beachten: Nicht autorisierte Zahlung sofort anzeigen

Betroffene sollten nicht abwarten. Nicht autorisierte oder fehlerhaft ausgeführte Zahlungsvorgänge sind dem Zahlungsdienstleister unverzüglich nach Feststellung anzuzeigen. Außerdem enthält § 676b BGB eine Ausschlussfrist von grundsätzlich 13 Monaten ab Belastung, wenn der Kunde über den Zahlungsvorgang ordnungsgemäß unterrichtet wurde.

In der Praxis sollte die Anzeige deshalb sofort erfolgen. Je früher der Kunde reagiert, desto besser lässt sich der Sachverhalt dokumentieren.

Strafanzeige und Dokumentation

Neben der Anzeige gegenüber der Bank sollte regelmäßig auch Strafanzeige erstattet werden. Die Strafanzeige ersetzt zwar nicht den Anspruch gegen die Bank, hilft aber bei der Dokumentation des Betrugs.

Betroffene sollten sichern:

Kreditkartenabrechnungen,

Kontoauszüge,

E-Mails und SMS,

Screenshots von Phishing-Seiten oder Warnhinweisen,

Push-Mitteilungen,

Chatverläufe,

Telefonnotizen,

Schriftverkehr mit der Bank,

Strafanzeige beziehungsweise polizeiliches Aktenzeichen.

Je besser die Dokumentation, desto leichter lässt sich später gegenüber Bank, Rechtsschutzversicherung oder Gericht argumentieren.

Typische Fehler nach Phishing

Nach einem Phishing-Angriff sollten Betroffene insbesondere folgende Fehler vermeiden:

den Gesamtsaldo ungeprüft zahlen,

eine Ratenzahlung über den streitigen Betrag vereinbaren,

telefonisch ein Darlehen oder einen Saldo bestätigen,

nur mündlich widersprechen,

unberechtigte SCHUFA-Androhungen hinnehmen,

Konto- oder Kreditkartenabrechnungen nicht sichern,

Fristen versäumen,

oder die Kündigung erklären, ohne den Saldo ausdrücklich zu bestreiten.

Anwaltliche Hilfe bei Phishing, Kreditkartenbetrug und Bankdruck

Unsere Kanzlei unterstützt Bankkunden und Kreditkartenkunden nach Phishing-Angriffen insbesondere bei folgenden Schritten:

Prüfung der Kreditkartenabrechnung,

Widerspruch gegen den Saldo,

Geltendmachung der Gutschrift nach § 675u BGB,

Aufforderung zur getrennten Abrechnung,

Abwehr unberechtigter Zahlungsforderungen,

Untersagung negativer SCHUFA- oder Auskunfteimeldungen,

Prüfung und Ausspruch der Kündigung des Kreditkartenvertrages,

Korrespondenz mit Bank, Kreditkartenunternehmen, Inkasso und Rechtsschutzversicherung,

gerichtliche Durchsetzung von Erstattungsansprüchen.

Gerade wenn hohe Beträge betroffen sind oder die Bank bereits Mahnungen, Kündigung, Inkasso oder SCHUFA-Meldung androht, sollte frühzeitig reagiert werden.

Muster: Kündigung des Kreditkartenvertrages nach Phishing

Auf unserer Kanzleiwebsite stellen wir für betroffene Kreditkartenkunden ein Muster für die Kündigung des Kreditkartenvertrages nach einem Phishing-Angriff zur Verfügung.

Das Muster enthält insbesondere folgende Punkte:

außerordentliche Kündigung aus wichtigem Grund,

hilfsweise ordentliche Kündigung,

ausdrückliches Bestreiten der Phishing-Belastungen,

kein Anerkenntnis des behaupteten Gesamtsaldos,

Aufforderung zur Gutschrift nach § 675u BGB,

Aufforderung zur getrennten Abrechnung,

Untersagung negativer Auskunfteimeldungen.

Wichtig: Das Muster ersetzt keine Prüfung des Einzelfalles. Es sollte insbesondere dann anwaltlich angepasst werden, wenn die Bank bereits eine Ratenzahlung verlangt, ein Darlehen behauptet, Inkasso androht oder eine SCHUFA-Meldung angekündigt hat.

Fazit: Nicht vorschnell zahlen, nicht telefonisch anerkennen, Rechte schriftlich geltend machen

Nach einem Phishing-Angriff sollten Bank- und Kreditkartenkunden nicht vorschnell zahlen. Entscheidend ist, den Vorgang rechtlich richtig einzuordnen.

Nicht autorisierte Zahlungen sind nicht automatisch Schulden des Kunden. Der Kunde hat grundsätzlich einen gesetzlichen Anspruch auf Erstattung beziehungsweise Kontoberichtigung. Die Bank muss eine streitige Autorisierung nachweisen. Will sie dem Kunden grobe Fahrlässigkeit entgegenhalten, muss auch dies konkret begründet werden.

Der richtige Weg lautet daher:

Karte und Zugang sperren,

Phishing sofort anzeigen,

Saldo schriftlich bestreiten,

Gutschrift nach § 675u BGB verlangen,

getrennte Abrechnung fordern,

SCHUFA-Meldung untersagen,

keine telefonische Ratenzahlungs- oder Darlehensbestätigung abgeben,

Kündigung des Kreditkartenvertrages prüfen,

und bei weiterem Druck anwaltliche Hilfe einholen.

Nicht jede Kreditkartenabrechnung ist eine berechtigte Forderung. Und nicht jede technische Freigabe bedeutet, dass der Kunde den Schaden tragen muss.

KONTAKT
close slider

Jetzt Termin vereinbaren!

Tel.-Nr.: +49 (0)8232 809 250

E-Mail: 

WordPress Cookie Hinweis von Real Cookie Banner