Doch was geschieht, wenn Kriminelle sich des Accounts bemächtigen. Wer haftet für einen eingetretenen Schaden? Wie sind die Chancen, gegen PayPal vorzugehen? Haftet bei einem verknüpften Bankkonto ggf. sogar die Hausbank? Wir geben Antworten.
Wie funktioniert PayPal?
PayPal wird gewissermaßen als „Zwischenhändler“ zwischen Ihnen und Ihrer Bank tätig und führt in Ihrem Namen Zahlungen unter Verwendung des angegebenen Bankkontos aus. PayPal wirbt auf seiner Website damit, dass man nur noch seine E-Mail-Adresse und sein Passwort benötigt, sobald man ein PayPal-Konto besitzt.
Eine 2-Faktor-Authentifizierung – wie beim Onlinebanking regelmäßig verlangt – bietet PayPal zwar an. Die zweite Sicherheitsstufe neben den Zugangsdaten muss aber (freiwillig) aktiviert werden. Wenn Sie also keine 2-Faktor-Authentifizierung eingerichtet haben, kann es Betrügern bereits genügen, Ihre E-Mail und das Passwort zu kennen, um Zahlungsvorgänge auszulösen.
Das Log-in ist zum Teil ohne zweiten Faktor möglich (wie auch bei einigen Banken, z. B. Postbank). Das Auslösen wichtiger Aktionen wie das Überweisen von Beträgen erfordert auch bei PayPal grundsätzlich einen zweiten Faktor. So verlangt es auch die PSD2-Richtlinie. Zwar verlangt PayPal auch bei kleineren Beträgen nicht immer eine 2FA, aber das ist bei klassischen Banken nicht anders.
Diese Daten zum Log-in können beispielsweise über ein Datenleck abhandenkommen. Wenn Sie also bei einem Onlinehändler dieselbe Kombination von Zugangsdaten verwenden, machen Sie es den Tätern unnötig leicht.
2-Faktor-Authentifizierung einschalten
Vor allem, wenn Sie als Unternehmen größere Umsätze mit PayPal erwirtschaften, sollten Sie die 2-Faktor-Authentifizierung unbedingt einrichten. Andernfalls könnten Kriminelle, wenn sie einen Zugang zum Konto erhalten, vorhandene Guthaben ggf. umleiten und damit einen größeren Schaden verursachen. Zudem kann es zu Kontosperrungen kommen, wenn PayPal von einem Betrugsfall ausgeht. Dann müssen Sie möglicherweise über längere Zeit ohne die Zahlungsmethode auskommen und das Guthaben ist ebenfalls „eingefroren“.
Wie gehen die Betrüger vor?
Neben dem klassischen Onlinebanking-Betrug, in dem sich Kriminelle etwa durch Phishing-E-Mails, Spoofing-Anrufe oder einer Kombination aus beidem Zugang zum Onlinebanking verschaffen, um so Abbuchungen zu ihren Gunsten durchzuführen, ist auch der Zugriff auf PayPal-Konten eine beliebte Spielart der Betrüger, um an Ihr Geld zu gelangen. Die Zugangsdaten zu PayPal können auch hier über Phishing-E-Mails oder -SMS erlangt werden.
Eine solche E-Mail, die aussieht, als käme sie von PayPal selbst, fordert Sie unter einem Vorwand auf, auf einer täuschend echt aussehenden Webseite ihre Zugangsdaten einzugeben. Hierbei wird meist Zeitdruck aufgebaut. Auf die Website gelangt man mittels eines Links, der in der E-Mail genannt ist.
Phishing-SMS funktionieren nach dem gleichen Muster.
Eine andere Spielart ist der sog. Spoofing-Anruf, in dem sich ein angeblicher Mitarbeiter von PayPal bei Ihnen meldet und unter einem Vorwand Zugangsdaten von Ihnen verlangt oder Sie auffordert, in ihrem Account bestimmte Aktionen durchzuführen, angeblich um ihr Geld zu sichern.
Schließlich ist auch der klassische „Hack“ des PayPal-Kontos möglich. Gerade wenn ein PayPal-Konto nicht durch eine Zwei-Faktor-Identifizierung gesichert ist, reichen den Betrügern Zugangsname und Passwort aus. Ist das Konto einmal erfolgreich gehackt, gelangen die Betrüger leicht an diese Daten.
Ein erfolgreicher „Hack“ kann über die Installation sog. Schadsoftware auf Ihrem Rechner geschehen. Solche kann man sich schon über Videos bei „YouTube“ einfangen. Das Bundesamt vor Sicherheit in der Informationstechnologie (BSI) warnt in einem Beitrag vom 26.04.2024:
Cyberkriminelle nutzen vermehrt YouTube-Kanäle, um Schadsoftware zu verbreiten […] Sie infizieren Rechner über die Links in den Videobeschreibungen, um so persönliche Daten von Nutzenden zu stehlen. Die Videos, mit denen Userinnen und User angelockt werden, zeigen zum Beispiel, wie man Software herunterlädt oder Videospiele kostenlos aktualisiert. Viele der mit infizierten Links bestückten Inhalte scheinen dabei insbesondere auf Kinder und Jugendliche abzuzielen.
Bundesamt für Sicherheit in der Informationstechnologie
Wie können Sie sich vor Missbrauch Ihres PayPal-Kontos schützen?
Grundsätzlich gilt, dass Sie auf Ihren Geräten eine aktuelle Antivirus-Software installiert haben sollten. Zudem ist die Verwendung eines starken PayPal-Passworts notwendig, um es Hackern schwer zu machen, dieses zu knacken. Schließlich sollte unbedingt die Zwei-Faktor-Authentifizierung aktiviert werden. Hiermit erhöhen Sie die Sicherheit Ihres Accounts noch einmal deutlich. Denn damit kann sich niemand in ihrem Account einwählen, ohne dass Sie es bestätigen.
Phishing-E-Mails sind heute nur noch schwer als solche zu entlarven, da sie hochprofessionell erstellt sind und auf den ersten Blick nicht erkennbar ist, dass es sich um eine Fake-Seite handelt, auf die man mittels eines Links geleitet wird. Häufig hilft ein Blick auf den Absender. Wenn Ihnen die E-Mail-Adresse seltsam vorkommt, sollten Sie auf die E-Mail nicht reagieren und diese sofort löschen. Im Zweifel öffnen Sie die E-Mail gar nicht erst. Niemals sollten Sie auf einen Link in solch einer E-Mail klicken.
Absolute Vorsicht gilt auch bei Anrufern, die vermeintlich für PayPal arbeiten. Hier empfehlen wir grundsätzlich, keinen Anweisungen des Anrufers in Bezug auf das PayPal-Konto zu folgen, sondern aufzulegen und PayPal über die offizielle Hotline selbst zu kontaktieren. Hier sollte man sich insbesondere nicht von Zeitdruck verrückt machen lassen, den der Anrufer aufbaut.
Die Betrüger waren erfolgreich – Was ist jetzt zu tun?
- Als Erstes sollten Sie Ihr PayPal-Konto sperren, um den Betrügern die Möglichkeit zu nehmen, weitere Abbuchungen durchzuführen. Dies kann man ähnlich wie beim Onlinebanking selbst durch mehrfaches falsches Eingeben des Passworts erledigen. Alternativ sollten Sie zumindest sofort ihr Passwort ändern. Verwenden Sie hierbei unbedingt ein starkes Passwort, also möglichst lang und mit verschiedensten Zeichen versehen.
- Unmittelbar danach sollten Sie sowohl PayPal als auch Ihre Hausbank von dem Betrug unterrichten und die sofortige Sperrung der Konten verlangen. Sie sollten die Hausbank zudem auffordern, die betrügerisch abgebuchten Beträge zu erstatten. Häufig wartet man lange in der telefonischen Warteschlange, sodass man parallel auch per E-Mail den Betrug melden kann. Je schneller die Meldung erfolgt, desto besser. Denn ab Kenntnis des Betrugs ist die Bank verpflichtet, umgehend alles Zumutbare zu unternehmen, um ihr Geld zu retten.
- Sichern Sie Beweise: Wenn Sie etwa Opfer einer Phishing-Attacke geworden sind, fertigen Sie unbedingt Screenshots von der E-Mail oder SMS an. Gleiches gilt, wenn Sie einen Spoofing-Anruf erhalten haben. Hier sollten Sie einen Screenshot anfertigen, der den Anruf mit Datum, Uhrzeit und Dauer dokumentiert. Zusätzlich sollten Sie bereits jetzt ein Erinnerungsprotokoll erstellen, in dem Sie den Betrug sowie alles, was danach passiert ist (insbesondere der Kontakt zu PayPal und zu Ihrer Bank), detailliert aufgeführt wird. Denn zu diesem Zeitpunkt ist die Erinnerung noch frisch.
- Schließlich sollten Sie Strafanzeige bei der Polizei erstatten.
Wie kann eine auf IT-Recht spezialisierte Kanzlei helfen?
Gerade wenn höhere Geldbeträge abhandengekommen sind, sollten Sie sich anwaltlich beraten lassen. Grundsätzlich ist es so, dass Sie gegen Ihre Bank nach § 675 u BGB einen Erstattungsanspruch haben, wenn die Abbuchungen nicht von Ihnen autorisiert waren. Das ist bei betrügerischen Abbuchungen, gerade unter Verwendung von PayPal regelmäßig der Fall. Die Banken versuchen sich regelmäßig damit herauszureden, dass Sie als Bankkunde grob fahrlässig gehandelt haben.
Wann liegt grobe Fahrlässigkeit vor?
Grobe Fahrlässigkeit bedeutet, dass die beim Onlinebanking erforderliche Sorgfalt in besonders schwerem Maße verletzt wurde. Die Gerichte gehen davon aus, wenn sich den Betroffenen hätte aufdrängen müssen, dass ein Betrug vorliegt. Die Weitergabe von TANs am Telefon kann etwa grob fahrlässig sein, aber nicht in jedem Fall. Es kommt hier immer auf die Details des Einzelfalls an.
Ob in Ihrem Einzelfall grobe Fahrlässigkeit vorgelegen hat, ist immer eine Prüfung des Einzelfalls. Gerade wenn als Zahlungsmittler PayPal verwendet wurde, sie die oben beschriebenen Vorkehrungen bereits umgesetzt hatten (starkes Passwort, aktuelle Antivirensoftware auf allen Geräten, Aktivierung der Zwei-Faktor-Autorisierung) und auch keiner Phishing-Attacke zum Opfer gefallen sind, dürfte der Nachweis grober Fahrlässigkeit für die Bank schwer werden. Dass die Betrüger trotz aller Sicherheitsvorkehrungen dennoch Zugang zu Ihrem PayPal-Account bekommen konnten, kann denkbar auch durch Sicherheitslücken aufseiten von PayPal ermöglicht worden sein.
Aber auch für den Fall, dass Ihnen der Vorwurf des grob fahrlässigen Handelns zu Recht gemacht werden kann, sind Sie nicht chancenlos. Gibt es etwa Anhaltspunkte für ein Mitverschulden der Bank, kann diese trotz grober Fahrlässigkeit auf Ihrer Seite noch auf Erstattung zumindest eines Teils der abgebuchten Beträge in Anspruch genommen werden. Dies ist denkbar, wenn verschiedene Auffälligkeiten in den Kontobewegungen in der Gesamtschau von der Bank bemerkt hätten und die Abbuchungen gestoppt werden müssen.
Zusätzlich zu dieser Konstellation kann sich die Bank schadensersatzpflichtig machen, wenn sie trotz Kenntnis von dem Betrug nicht sofort Maßnahmen ergreift, um das Geld ggf. noch bei der Empfängerbank zu sichern (sog. „Recall“). Die Bank ist zu allen zumutbaren Maßnahmen verpflichtet, um ihr Geld zu retten, sobald sie über den Betrug informiert worden ist.
Wenn die Bank tatsächlich einen Recall versucht hat, haftet sie nur dann nicht auf Schadensersatz, wenn das Geld trotz rechtzeitigen Tätigwerdens nicht mehr gerettet werden konnte, weil es auch bei der Empfängerbank zu diesem Zeitpunkt nicht mehr vorhanden war. Wertvolle Anhaltspunkte können hier eine Einsicht in die Ermittlungsakte der Strafverfolgungsbehörden liefern.
Akteneinsicht bei den Ermittlungsbehörden erforderlich
Ob die Bank rechtzeitig gehandelt hat und ob der Schaden bei einer schnellen Reaktion hätte vermieden werden können, lässt sich zumeist anhand einer Akteneinsicht bei den Ermittlungsbehörden feststellen. Voraussetzung ist, dass Sie frühzeitig auf die Ermittlungen einwirken, denn die Behörden müssen auch die richtigen Informationen von den Empfängerbanken anfordern. Eine umfassende Akteneinsicht kann durch eine Anwaltskanzlei erfolgen.
Eine auf IT-Recht spezialisierte Kanzlei kann neben der rechtlichen Einschätzung Ihres Falles auch ihre Erfahrung mit technischen Sachverhalten einbringen. Wir prüfen für Sie Ihren Einzelfall und teilen Ihnen in einem Beratungsgespräch mit, ob wir für ein Vorgehen gegen die Bank und / oder PayPal gute Erfolgsaussichten sehen. Wenn Sie sich im Nachgang entscheiden, uns mit der weiteren Bearbeitung Ihres Falles zu mandatieren, schreiben wir die Bank zunächst an und fordern diese zur Erstattung auf. Ggf. ist auch eine Pflichtverletzung von PayPal gegeben, sodass auch hier Ansprüche geltend gemacht werden können. Wenn eine Erstattung außergerichtlich nicht erfolgt, erstellen wir in Absprache mit Ihnen die Klageschrift und reichen diese beim zuständigen Gericht für Sie ein.
In jedem Stadium des Verfahrens besteht zudem die Möglichkeit, sich mit der Bank und / oder PayPal auf einen Vergleich zu einigen. Regelmäßig erhalten Sie dann schnell und einfach zumindest einen Teil des Geldes zurück. Dieses Vorgehen ergibt Sinn, wenn tatsächlich beide Seiten gemeinsam den Schadenseintritt verursacht haben. Auch hierzu beraten wir Sie selbstverständlich gerne.
Schreiben Sie einen Kommentar