Phishing ist ein Milliardengeschäft. Wie hoch der tatsächliche Schaden genau liegt, das lässt sich nur schätzen. Aber eine Zahl ist bekannt: "Jeden Monat werden allein in Belgien eine Million Phishing-Fälle gemeldet." Das erklärt Geert Lenssens gegenüber der VRT. Der Anwalt ist auf Betrugsfälle im Zusammenhang mit Bankgeschäften spezialisiert und damit auch auf Phishing. Nicht in jedem dieser Fälle sind die Kriminellen auch wirklich erfolgreich, aber sehr viele Menschen werden in der Tat Opfer ihrer Machenschaften.
So erging es auch einem über 90-jährigen Ehepaar aus der Region Antwerpen. Nach einem Anruf eines angeblichen Bankmitarbeiters verschwanden fast 50.000 Euro von ihrem Konto auf ein Konto in Portugal und konnten auch nicht mehr zurückgeholt werden. Die Bank warf den Senioren grobe Fahrlässigkeit vor und weigerte sich deshalb, die Summe zu erstatten. Das aber wollten die Betroffenen nicht auf sich sitzen lassen und strengten ein Eilverfahren vor dem Antwerpener Unternehmensgericht an.
Beweislast liegt bei der Bank
Nach Ansicht von Lenssens ist die Gesetzeslage eigentlich sehr einfach. "Die Banken sind gesetzlich verpflichtet, Phishing-Opfer zu entschädigen. Es sei denn, die Bank kann beweisen, dass die Opfer grob fahrlässig gehandelt haben. Die Beweislast liegt also eindeutig bei der Bank."
Soweit zur Theorie. In der Praxis ist es bisher aber fast immer so, dass die Banken sich weigern zu zahlen. Die Opfer also müssen dann erst gegen die Finanzinstitute vor Gericht ziehen, um einzufordern, was ihnen zusteht. Dahinter steckt laut dem Experten eine perfide Logik. "Die Banken wollen die Menschen entmutigen, damit sie aufgeben und die Banken nicht zahlen müssen." Deswegen hielten die Banken Phishing-Opfer hin und würden sie zwingen, Geld für langwierige Prozesse auszugeben.
Antwerpener Richter setzt Zeichen
Damit verstoßen die Banken aber gegen geltende Gesetze – sowohl nationale als auch europäische. Das ist bekannt und wird von Experten und Opfern schon lange angeprangert. Der Antwerpener Eilverfahrensrichter hat das jetzt in seiner Entscheidung auch hochoffiziell festgehalten: Die Banken müssen die Phishing-Opfer erst entschädigen.
Danach können die Banken versuchen, in einem Gerichtsprozess zu beweisen, dass die Phishing-Opfer grob fahrlässig gehandelt haben und dann das Geld zurückfordern. Also eine komplette Umkehrung der Beweislast, so wie sie auch in Steuer-Dossiers gilt. "Das ist das erste Mal, dass ein belgischer Richter das so entscheidet, das ist wirklich bahnbrechend", sagt Geert Lenssens.
Und das werde auch weitreichende Folgen haben – auch wenn das Urteil bisher nur in einem Eilverfahren gefällt worden und damit vorläufig sei. "Diese Gerichtsentscheidung wird in den kommenden Monaten und Jahren vieltausendfach zitiert werden in Prozessen von Phishing-Opfern gegen Banken."
Und der Experte hebt noch etwas hervor: Juristisch betrachtet ist "grobe Fahrlässigkeit" etwas, was im Zusammenhang mit Phishing nur in den seltensten Fällen nachgewiesen werden kann. Sich einfach "nur" die Zugangsdaten fürs Online-Banking stehlen zu lassen, reiche da nicht. "Den Bankkunden muss schon nachgewiesen werden, dass sie wissentlich am Betrug mitgearbeitet haben."
Das sei in vielleicht gerade mal einem Prozent der Phishing-Dossiers der Fall. Deswegen glaubt der Anwalt auch nicht, dass die Banken oft Prozesse gegen Phishing-Opfer nach Entschädigungen anstrengen werden - weil die Erfolgsaussichten für die Banken sehr gering seien.
Boris Schmidt
