Beim Phishing nutzen Täter die „Schwachstelle Mensch“ aus, um personalisierte Sicherheitsmerkmale auszuspähen und in der Folge Zahlungen auszulösen. Phishing-Angriffe sind daher nicht ohne erhebliche Mitwirkung des Zahlungsdienstnutzers möglich (OLG München, 19 U 2204/22).
Die von Zahlungsdienstnutzern zu erwartende Sorgfalt besteht in diesem Zusammenhang darin, dass sie ihre Zugangsdaten niemandem anvertrauen, der sie dazu auffordert, sei es am Telefon, per E-Mail oder im Internet. Zulässig und wegen der Warnwirkung sogar geboten ist es, wenn die Zahlungsdienstleister ihre Kunden darauf hinweisen, dass sie die Zugangsdaten ausschließlich über die Eingabemasken auf den institutseigenen Internetseiten abfragen und daher jede andere Weitergabe der personalisierten Sicherheitsmerkmale sorgfaltswidrig ist. Bei einer anderweitigen Weitergabe liegt dann stets ein Sorgfaltspflichtverstoß und – abhängig von den Besonderheiten des Einzelfalls, insbesondere subjektiven Gesichtspunkten – der Vorwurf grob fahrlässigen Verhaltens vor.
Wenn sich jedem Zahlungsdienstnutzer in der jeweiligen Situation und dem betroffenen Zahlungsdienstnutzer individuell geradezu aufdrängen musste, dass es sich nicht um einen gewöhnlichen Vorgang handeln kann, ist von grober Fahrlässigkeit auszugehen. Ob der Zahlungsdienstnutzer erkennen muss, dass es sich konkret um einen Phishing-Angriff handelt, ist stets eine Frage des Einzelfalls.
Ein grob fahrlässiger Verstoß gegen die Pflicht, personalisierte Sicherheitsmerkmale nicht an Dritte weiterzugeben, liegt jedenfalls dann vor, wenn sich der Zahlungsdienstnutzer beharrlich allen Hinweisen darauf verschließt, dass er nicht mit dem Zahlungsdienstleister, sondern mit einem Dritten kommuniziert.
- Russische Militärische Cyber-Akteure nehmen US- und globale kritische Infrastrukturen ins Visier - 11. September 2024
- Ransomware Risk Report 2024 von Semperis - 11. September 2024
- Künstliche Intelligenz in Deutschland – Status, Herausforderungen und internationale Perspektiven - 10. September 2024