Telefonbetrug bei Bank Austria: EUR 75.500 Schaden trotz „Just-In-Case“-Versicherung?

Bankkunden werden immer häufiger Opfer professionell organisierter Telefonbetrugs- und Social-Engineering-Angriffe. Die Täter treten dabei nicht mehr plump oder leicht erkennbar auf, sondern agieren oftmals äußerst professionell. Sie geben sich als Bankmitarbeiter, Sicherheitsabteilung, Betrugsprävention oder technischer Support aus. Häufig kennen sie persönliche Daten, Kontodetails oder zumindest einzelne Informationen, die beim Opfer Vertrauen schaffen sollen.

Ein aktueller Fall aus unserer Kanzlei zeigt, wie gravierend solche Angriffe sein können.

Unser Mandant wurde im Zusammenhang mit seinem Konto bei der Bank Austria telefonisch kontaktiert. Die Täter gaben sich als Mitarbeiter beziehungsweise Sicherheitsmitarbeiter der Bank Austria aus. Unter dem Vorwand, es gebe ungewöhnliche oder gefährliche Vorgänge auf seinem Konto, wurde massiver psychischer Druck aufgebaut. Der Mandant wurde dadurch dazu gebracht, mehrere TAN-Freigaben vorzunehmen beziehungsweise Transaktionen zu ermöglichen.

Insgesamt wurden mehrere Auslandsüberweisungen zulasten des Kontos durchgeführt. Der Gesamtschaden beträgt EUR 75.500,00. Der Vorfall wurde bereits polizeilich angezeigt.

Warum dieser Fall rechtlich besonders relevant ist

Aus rechtlicher Sicht ist bei solchen Fällen nicht nur entscheidend, dass Betrüger gehandelt haben. Entscheidend ist auch, ob die Bank ihre eigenen Schutz-, Kontroll-, Warn- und Überwachungspflichten ausreichend eingehalten hat.

Im konkreten Fall sprechen mehrere Umstände für eine besonders auffällige Risikolage:

• Es wurden insgesamt sieben Auslandsüberweisungen durchgeführt.
• Die Transaktionen erfolgten innerhalb kurzer Zeit.
• Die Zahlungen betrafen erhebliche Beträge.
• Die Zahlungen gingen an internationale Empfänger.
• Das Transaktionsmuster wich massiv vom üblichen Zahlungsverhalten ab.
• Die Gesamtsituation entsprach einem typischen Social-Engineering-Angriff.

Gerade bei einer Häufung derartiger Risikofaktoren stellt sich die Frage, ob eine Bank solche Vorgänge einfach durchführen darf oder ob zusätzliche Kontrollmaßnahmen, Sperren, Warnhinweise oder Rückfragen erforderlich gewesen wären.

Rückforderung nach dem Zahlungsdienstegesetz 2018

Bei Online-Banking-Betrug, Phishing und Social Engineering sind Ansprüche nach dem Zahlungsdienstegesetz 2018 besonders sorgfältig zu prüfen. Häufig berufen sich Banken darauf, dass eine Transaktion durch TAN, App-Freigabe oder sonstige Authentifizierung technisch autorisiert worden sei.

Damit ist der Fall rechtlich aber nicht automatisch erledigt.

Zu prüfen ist insbesondere:

• Lag tatsächlich eine wirksame Autorisierung vor?
• War die Freigabe durch Täuschung, Irrtum oder psychischen Druck beeinflusst?
• War das Verhalten des Kunden grob fahrlässig oder wurde er durch professionelle Täter manipuliert?
• Hat die Bank ausreichend vor ungewöhnlichen Transaktionen gewarnt?
• Waren die Betrugserkennungssysteme angemessen?
• Gab es interne Warnhinweise, die nicht ausreichend beachtet wurden?
• Warum wurden mehrere Auslandsüberweisungen in erheblicher Höhe nicht gestoppt?
• Wurden unverzüglich Recall- und Recovery-Maßnahmen gesetzt?

Gerade bei professionellen Social-Engineering-Angriffen darf nicht vorschnell angenommen werden, dass der geschädigte Kunde den Schaden selbst tragen muss. Banken und Zahlungsdienstleister verfügen über technische Systeme, Erfahrungswerte, Transaktionshistorien und Risikomodelle. Wenn ein Zahlungsvorgang massiv vom bisherigen Kundenverhalten abweicht, kann daraus eine erhöhte Prüf- und Schutzpflicht entstehen.

Bank Austria und die Frage der Schutzpflichten

Im aktuellen Fall stellt sich daher insbesondere die Frage, welche Sicherheitsmechanismen bei der Bank Austria tatsächlich gegriffen haben. Bei sieben Auslandsüberweisungen mit einem Gesamtschaden von EUR 75.500,00 liegt aus unserer Sicht eine Konstellation vor, bei der die Bank nicht einfach auf eine technische Freigabe verweisen kann.

Entscheidend wird sein, ob die Bank Austria nachvollziehbar darlegen kann,

• welche Warnsysteme aktiviert wurden,
• ob die Transaktionen als auffällig erkannt wurden,
• warum keine Sperre erfolgt ist,
• ob eine zusätzliche telefonische oder persönliche Rückfrage beim Kunden stattgefunden hat,
• welche internen Prüfvermerke bestehen,
• welche IP-Adressen, Geräteinformationen und Sessiondaten dokumentiert wurden,
• welche TAN-Freigaben konkret erfolgten,
• und ob nach Bekanntwerden des Betrugs unverzüglich Rückholmaßnahmen eingeleitet wurden.

In der Praxis zeigt sich häufig, dass Banken nach einem Betrugsfall zunächst auf die technische Autorisierung verweisen. Aus unserer Sicht greift diese Argumentation oft zu kurz. Gerade bei professionellen Betrugsangriffen muss geprüft werden, ob die Bank die konkrete Risikolage hätte erkennen und den Schaden verhindern oder zumindest reduzieren können.

„Just-In-Case“-Versicherung der Bank Austria

Besonders beachtlich ist in diesem Zusammenhang auch die von der Bank Austria beworbene „Just-In-Case“-Versicherung. Nach den uns vorliegenden Unterlagen wird diese Versicherung als Schutz im Internet beworben, insbesondere für Schäden durch Phishing, Trojaner oder Malware. In der Produktdarstellung wird auch auf Online-Transaktionsbetrug und Betrugsschäden Bezug genommen.

Für geschädigte Bankkunden klingt dies zunächst beruhigend. In der rechtlichen Praxis ist aber entscheidend, ob der konkrete Schaden tatsächlich vom Versicherungsschutz umfasst ist.

Zu prüfen sind insbesondere folgende Punkte:

• Welche Variante des Versicherungspakets wurde abgeschlossen?
• Welche Höchstbeträge gelten?
• Sind Online-Transaktionsschäden gedeckt?
• Gibt es Ausschlüsse für bestimmte Arten von Freigaben?
• Wird Social Engineering als versicherter Schaden anerkannt?
• Gilt der Versicherungsschutz auch bei Auslandstransaktionen?
• Welche Obliegenheiten treffen den Kunden?
• Wurde der Schaden rechtzeitig gemeldet?
• Bestehen Ausschlüsse wegen behaupteter grober Fahrlässigkeit?

Gerade Versicherungen in diesem Bereich werben häufig mit einem sehr weitreichenden Schutzgefühl. Im Schadenfall wird dann aber oft genau geprüft, ob der konkrete Sachverhalt unter die Bedingungen fällt. Deshalb ist auch bei der „Just-In-Case“-Versicherung eine genaue rechtliche Prüfung erforderlich.

Warum die Schadenmeldung an die Rechtsschutzversicherung durch den Anwalt erfolgen sollte

Viele Geschädigte verfügen über eine Rechtsschutzversicherung. Gerade bei Bankbetrug, Online-Banking-Betrug, Telefonbetrug oder Social Engineering sollte die Schadenmeldung aber nicht unüberlegt oder nur allgemein erfolgen.

Unsere Kanzlei arbeitet regelmäßig mit allen großen Rechtsschutzversicherungen zusammen. Wir übernehmen für Mandanten die Deckungsanfrage und die rechtliche Aufbereitung des Versicherungsfalls.

Wichtig ist: Versicherungsnehmer haben grundsätzlich freie Anwaltswahl. Das bedeutet, dass Geschädigte nicht verpflichtet sind, einen von der Rechtsschutzversicherung vorgeschlagenen Rechtsanwalt zu beauftragen. Gerade bei komplexen Bank- und Zahlungsdienstleisterfällen ist es sinnvoll, einen spezialisierten Rechtsanwalt beizuziehen.

Aus unserer Sicht sollte die Schadenmeldung an die Rechtsschutzversicherung in solchen Fällen durch den Anwalt erfolgen. Der Grund ist einfach: Der Fall muss von Anfang an richtig eingeordnet werden.

Es geht nicht nur um eine Strafanzeige gegen unbekannte Täter. Es geht vor allem um zivilrechtliche Ansprüche gegen Banken, Zahlungsdienstleister, Versicherungen oder sonstige beteiligte Unternehmen. Wird der Fall gegenüber der Rechtsschutzversicherung zu eng dargestellt, kann dies zu Problemen bei der Deckung führen.

Eine fachgerechte Deckungsanfrage sollte daher insbesondere darstellen:

• den konkreten Betrugsablauf,
• die betroffenen Transaktionen,
• die Höhe des Schadens,
• die möglichen Ansprüche nach dem Zahlungsdienstegesetz,
• mögliche Schadenersatzansprüche gegen die Bank,
• die Notwendigkeit außergerichtlicher Schritte,
• die Möglichkeit eines späteren Gerichtsverfahrens,
• die Dringlichkeit von Recall- und Recovery-Maßnahmen,
• sowie die Notwendigkeit der Sicherung technischer Daten.

Gerade in der ersten Phase werden wichtige Weichen gestellt. Eine unpräzise Schadenmeldung kann später dazu führen, dass die Rechtsschutzversicherung nur eingeschränkt Deckung gewährt oder den Fall rechtlich falsch einordnet.

Unsere Erfahrung mit Bankbetrug, Phishing und Social Engineering

Unsere Kanzlei verfügt über umfangreiche Erfahrung mit Fällen von Online-Banking-Betrug, Phishing, Telefonbetrug, Social Engineering, Kryptobetrug sowie Haftungsfragen gegenüber Banken und Zahlungsdienstleistern.

Wir vertreten bereits mehrere Geschädigte in vergleichbaren Fällen. Aus unserer Erfahrung zeigt sich, dass Banken und Plattformen häufig versuchen, die Verantwortung auf den Kunden abzuwälzen. Dabei wird regelmäßig argumentiert, der Kunde habe die Transaktion selbst freigegeben oder TANs selbst eingegeben.

Diese Sichtweise ist rechtlich nicht immer ausreichend.

Gerade bei professionellem Betrug muss geprüft werden, ob

• die Transaktion tatsächlich wirksam autorisiert war,
• die Bank ungewöhnliche Vorgänge erkennen musste,
• die Bank technische Schutzmaßnahmen ausreichend eingesetzt hat,
• der Kunde ausreichend gewarnt wurde,
• die Bank nach Schadensmeldung schnell genug reagiert hat,
• und ob die Bank zur Rückerstattung verpflichtet ist.

In vielen Fällen lohnt sich eine genaue Prüfung. Gerade bei hohen Schäden, mehreren Transaktionen, Auslandsüberweisungen oder atypischem Zahlungsverhalten bestehen oft Ansatzpunkte für Ansprüche gegen die Bank.

Was Geschädigte sofort tun sollten

Wer Opfer eines solchen Betrugs wird, sollte rasch handeln.

Wichtig sind insbesondere folgende Schritte:

• sofortige Verständigung der Bank,
• sofortige Sperre von Online-Banking, Karten und Zugangsdaten,
• sofortige Strafanzeige bei der Polizei,
• keine vorschnellen Schuldeingeständnisse gegenüber Bank oder Versicherung,
• anwaltliche Geltendmachung der Ansprüche.

Besonders wichtig ist, dass die Bank unverzüglich zur Einleitung von Recall- und Recovery-Maßnahmen aufgefordert wird. Bei internationalen Überweisungen kann Zeit entscheidend sein.

Fazit

Der Fall zeigt deutlich, dass Telefonbetrug und Social Engineering nicht nur ein strafrechtliches Problem sind. Für Geschädigte stellt sich regelmäßig auch die Frage, ob Banken, Zahlungsdienstleister oder Versicherungen für den entstandenen Schaden einzustehen haben.

Auch die von der Bank Austria beworbene „Just-In-Case“-Versicherung muss im Einzelfall genau geprüft werden. Werbung und tatsächliche Deckung im Schadenfall sind nicht immer deckungsgleich.

Geschädigte sollten daher nicht vorschnell akzeptieren, dass der Schaden endgültig bei ihnen verbleibt. Gerade bei hohen Beträgen, auffälligen Transaktionen und professionellen Betrugsmethoden ist eine rechtliche Prüfung dringend zu empfehlen.

Unsere Kanzlei unterstützt Geschädigte bei der Prüfung und Durchsetzung von Ansprüchen gegen Banken, Zahlungsdienstleister und Versicherungen. Wir übernehmen auch die Schadenmeldung und Deckungsanfrage bei der Rechtsschutzversicherung. Dabei besteht freie Anwaltswahl; wir arbeiten regelmäßig mit allen Rechtsschutzversicherungen zusammen.