BAWAG-Sammelklage wegen Phishing: „Bin ich deppert g'wesen?“

Rechnungen zahlen und der ganze Geld-Kram ist den allermeisten lästig. Modernes Onlinebanking soll Banken helfen Filialen und Personalkosten einzusparen. Kund:innen erledigen ihre Geldgeschäfte selbst. Wo aber Geld fließt, sind die Betrüger nicht weit. Geldinstitute warnen vor dieser Gefahr. Aber wer liest das schon? Unverständliche Wörter, kleiner Bildschirm … Die meisten Nutzer:innen klicken diese Informationen weg. Ist diese Information seriös? Ist sie wichtig, gefährlich? Oder ist es die übliche Bitte-gib-mir-Dein-Geld-und-schenk-mir-Deine-Aufmerksamkeit-Belästigung?

Frau C. erhält am 8.9.2024 eine SMS. Ihre Bank-App müsse erneuert werden, liest sie da. Und dann die Drohung: … sonst wäre am nächsten Tag kein Zugriff mehr möglich. Sie folgt dem Link, gelangt auf eine Website und gibt die geforderten Daten ein. Am nächsten Tag erhält Frau C. einen Anruf von einem Herrn, der sich als Bawag-Mitarbeiter vorstellt: „Frau … “ – er nennt ihren Namen – „die Erneuerung ihrer Banking-App hat nicht funktioniert. Können wir das telefonisch machen?“ Sie stimmt zu, erhält einen Code per SMS und den gibt sie ihrem BAWAG-Betreuer telefonisch durch. 

Der Herr ruft noch einmal an: „Sorry, der Code war falsch“. Also neuer Code und noch einmal. Auf diese Weise erhalten die Betrüger Zugriff auf Frau B.s Konto und gehen einkaufen. Gesamtschaden: 12.400 Euro. Die Buchungen nennen die Nobelmarke Moncler, Billa, Hofer und einmal Mediamarkt-Online. Sie wendet sich rasch an die Bank. Die Bawag verweigert die Rückerstattung.

„Wenn man Opfer einer Betrugsattacke wurde, dann ist ein gewisses Schamgefühl da“, berichtet Mag. Stefan Schreiner. Er koordiniert bei uns die Sammelklage. „Da denken sich die Leute: Bin ich deppert g'wesen? Hab' ich wo draufgeklickt, wo ich nicht hätte draufklicken sollen? War das meine Schuld oder hätte ich was bemerken können?“ Manche der betrügerischen Nachrichten erscheinen direkt im Verlauf der Bawag. Auch die Betrugs-Website ist jener der Bank perfekt nachgebaut. Wer zweifelt da an der Echtheit?
___

Nächster Fall, Herr B. Er erhält kurz vor Weihnachten ein Mail, es geht um seine Kreditkarte. Er wird aufgefordert, sich für das neue Sicherheitsverfahren von Mastercard zu registrieren. Das Mail wirkt authentisch und er folgt den Anweisungen. Die Betrüger hinterlegen die Kreditkartendaten von Herrn B. in einer MyPayLife-App auf ihrem eigenen Telefon und shoppen dann mit fremdem Geld. 1000 Euro gehen an die Settle Group, ein norwegischer Finanzdienstleister, dann 2000 Euro an Klarna und 400 Euro an ein französisches Transportunternehmen. Die Bawag verweigert die Rückzahlung.

"Die Bank muss Kunden so stellen, wie sie vor der Phishing-Attacke gestanden sind." (§ 67 ZaDiG)

Unsere Abgeordneten im Nationalrat haben das Gesetz für diese Fälle konsumentenfreundlich gestaltet. In einfacher Sprache: In solchen Phishing-Fällen muss fast immer die Bank den Schaden beheben - und zwar flott. Für Juristen: Das Zahlungsdienstegesetz sieht vor, dass der Zahlungsdienstleister des Zahlers bei nicht autorisierter Zahlung das Zahlungskonto unverzüglich wieder auf jenen Stand zu bringen hat, auf dem es sich ohne diesen missbräuchlichen Vorgang befinden würde. Dies hat gemäß § 67 ZaDiG 2018 unverzüglich bis zum Ende des folgenden Geschäftstages zu geschehen. 

Damit die Bank das Konto wieder auf den vorigen Stand stellt, müssen – so das Gesetz - drei Bedingungen erfüllt sein: 

• Opfer müssen den Betrug der Bank melden. 
• Es müssen nicht autorisierte Zahlungen sein und:
• Die Opfer dürfen nicht mit den Betrügern gepackelt haben. 

Nächster Fall, Annika G.: Die Tochter von Frau G. bietet Waren auf Vinted an (siehe auch KONSUMENT 7/2025). Eine vermeintliche Käuferin schickt Frau G. über WhatsApp einen Link, sie möge ihren Vinted-Account verifizieren und den Verkauf abschließen. Der Link führt sie auf eine Website, auf der die Rechnung für die Hose und die Versandkosten abgebildet sind. Auf der Folgeseite muss sie ihre Kreditkartendaten eingeben, um die Zahlung zu erhalten. Mit diesen Daten versorgt, gehen die Betrüger:innen einkaufen: acht Käufe bei Refurbed machen in Summe 8700 Euro. Die Bawag verweigert die Rückerstattung.

Alle Betrugsopfer hatten sich in einem ersten Schritt an die Ombudsstelle für Zahlungsprobleme gewandt. Die Stelle ist im Sozialministerium angesiedelt und bittet die Bawag um eine Lösung. Die Bank ist, so steht es in unserer Klagsschrift, bei den 24 Fällen zu keiner Berichtigung des Kontos bereit. Und auch zu keiner anderen einvernehmlichen Lösung.

Nun verfügen Banken generell und hier die Bawag im speziellen über sogenannte Transaktionsprotokolle. Wer macht was wann mit welcher Karte wie, wie oft und wo geht das Geld hin? Die Protokolle zeigen: Alle beanstandeten Zahlungen werden mit einem Mobilgerät durchgeführt. Dieses Smartphone (es kann auch ein Tablet sein), wird bei dem Phishing-Angriff auf das Konto der Opfer neu registriert. Mit dem Eingeben seiner Daten stimmt das Opfer unwissentlich und ungewollt der Registrierung eines zweiten Mobiltelefons zu, jenem der Betrüger:innen.

Nächster Fall, Herr Günther F. erhält ein E-Mail. Es fordert ihn auf, eine Zwei-Faktor-Authentifizierung vorzunehmen. Es vermittelt, dass sein Konto gesperrt ist und erst durch die Bestätigung der Zugangsdaten wieder freigeschaltet werden kann. Also Eingabe. Auf diese Weise gelangen die Betrüger an die Kreditkartendaten, um sie auf ihrem Handy zu hinterlegen. 

Sie kaufen um 5000 Euro bei Easycosmetic (London), Moontopup (internationale Prepaid-Services) ein. Die Bawag verweigert die Rückerzahlung. 

Es sind nicht immer echte Einkäufe. Es gibt Fälle, in denen die Betrüger am Konto bei den Buchungen die Namen der Empfänger falsch eintragen. Diese Konten gehören dann nicht den Geschäften, sondern sind ausländische Konten der Betrüger.

Am Anfang des Betrugs stehen Betrugs-SMS, -Mails, Link und/oder Fake-Website. Dann übergibt Kunde oder Kundin die Schlüssel zum Allerheiligsten an die Betrüger. Mit denen betreten sie über den Hintereingang des zweiten Handys (oder Tablets) den Safe und können sich bedienen. 

Nächster Fall, Herr und Frau T. Die beiden können den Ablauf nicht mehr rekonstruieren, aber so viel steht fest: Ende Oktober 2023 wird auf ihrem Konto ein neues Gerät registriert. Es folgen nicht autorisierte Zahlungen auf Konten in Amerika, Asien, Australien und in Europa. Das Paar reklamiert in ihrer Bawag-Filiale. Sie erhalten die Auskunft, dass sie zuerst eine polizeiliche Anzeige machen müssten, dann erst könne man das Konto sperren. Das tun sie und mit entsprechender Verspätung sperrt die Bawag das Konto. 

Die betrügerischen Buchungen nennen unter anderem z2u.com, eine Plattform für digitale Gutscheine für Spiele und Geschenkkarten oder die irische skrill.com, eine Plattform für anonyme Zahlungen und Kauf und Verkauf von Kryptowährungen. Gesamtschaden: 4000 Euro. Die Bawag verweigert die Rückerstattung.

Die Bank ist der Meinung, dass die Betroffenen ihre Sicherheitswarnungen nicht beachtet haben. Daher berichtigt sie nicht den Kontostand (Fachausdruck: Saldenberichtigung). 

Könnte es sein, dass die Bankkund:innen grob fahrlässig gehandelt haben und deswegen selbst schuld sind?

Wenn sie - vereinfacht dargestellt - den Betrugsversuch erkennen und die Codes trotzdem weitergeben: ja,; sonst: nein. Das sagt ein juristischer Fachartikel ("Haftung für nicht-autorisierte Zahlungsvorgänge"). Die Bawag sieht das anders. Das Gericht wird unsere Argumente und die der Bank im Herbst 2025 prüfen.

Der Knackpunkt liegt in der Kontrolle. Banken müssen digitale Geldgeschäfte überwachen, um Betrug zu verhindern. Zum kleinen Einmaleins gehört es, neue Zahlungen mit früheren zu vergleichen und bekannte Betrugsformen zu berücksichtigen. Laufen Zahlungen plötzlich anders, ganz anders, dann - so unser Standpunkt – muss die Bank die Zahlung blockieren und beim Kunden nachfragen. Genauso wichtig ist die Anmeldung eines zweiten Gerätes, von dem Kund:innen oder Betrüger:innen Geldgeschäfte machen. 

Bei der Bawag ist die Anmeldung eines Zweitgerätes eher einfach. Erste, Raiffeisen und Bank Austria sind strenger. Da müssen bei der Registrierung altes und neues Gerät nebeneinander vorhanden sein. Ist das alte verloren oder gestohlen, muss der Verbraucher in die Filiale gehen und seinen Ausweis herzeigen. Ist mühsam, aber sicherer.

Hälfte der Beschwerden betreffen BAWAG

Entsprechend verteilen sich die Phishing-Fälle. Die Ombudsstelle für Zahlungsprobleme berichtet, dass zwischen 1.1.2023 und 30.9.2024 die Hälfte der Beschwerden die Bawag (inklusive Easybank und PayLife) betreffen. 

Was ist eine „Saldenberichtigung“?
Die Bank muss Kunden so stellen, wie sie vor der Phishing-Attacke gestanden sind. Da muss nicht direkt Geld fließen. Es gibt Zahlungen, die werden von der Kreditkarte angestoßen, aber erst später vom Girokonto abgebucht – etwa die Kreditkartenabrechnung am Ende des Monats. Daher Saldenberichtigung, also den Kontostand – Saldo - berichtigen. 

Was macht dann die Bank?
Die Bank hat nach einer Anzeige zwei Tage Zeit zu prüfen: Hat der Kunde in Betrugsabsicht mit den Phishing-Tätern zusammengearbeitet? Wenn das so wäre, müsste die Bawag eine Anzeige bei der Finanzmarktaufsicht FMA vornehmen. Dann müssen sie keine Saldoberichtigung machen. In allen anderen Fällen, sobald die Anzeige des Kunden gegenüber der Bank vorliegt, muss die Bank also quasi den Schaden ersetzen. 

Das Gesetz unterstützt die Konsument:innen?
Ja. Der Gesetzgeber wollte verhindern, dass der Kunde immer der Bank nachlaufen muss, darlegen muss, beweisen muss, dass das alles nicht von ihm autorisiert wurde. Dass die Zahlung wirklich betrügerisch erfolgte, dass ihm da ein Schaden entstanden ist.

Die Bank trägt Risiko und Kosten?
Ja. Die Bank muss beweisen, dass die Zahlung vom Kunden autorisiert wurde oder der Kunde selbst eine Betrugsabsicht hatte. Eine solche müsste die Bank unverzüglich bei der FMA anzeigen. Nur dann kann die Bank eine Saldenberichtigung verweigern. 

Fallen diese betrügerischen SMS oder Mails nicht auf?
Nein. Sowohl SMS oder E-Mails als auch Fake-Websites sind mit Hilfe künstlicher Intelligenz sehr gut gemacht. Phishing-Attacken sind viel professioneller als früher.

Wie viele sind betroffen?
Die Zahl der Betroffenen ist groß. Derzeit haben wir in der Sammelklage nur 24 Teilnehmer. Das Sozialministerium hat die Ombudsstelle für Zahlungsprobleme eingerichtet. Dort haben sich viele Phishing-Opfer gemeldet. Für die hat das Sozialministerium außergerichtlich interveniert. Für viele Fälle gab es eine Lösung. Unsere 24, das sind jene Fälle, wo die Bawag sich bis dato weigert eine außergerichtliche Lösung anzubieten oder den Saldo zu berichtigen.

Um wie viel Geld geht es?
Wir haben bei den 24 einen durchschnittlichen Schaden von über 5000 Euro pro Kopf. Der Gesamtstreitwert beträgt knapp 130.000 Euro.