Phishing und ähnliche Angriffe (Pharming, a) werfen Rechtsfragen in allen Rechtsgebieten auf. Derzeit wird vor allem die Strafbarkeit des Phishing und ähnlicher Angriffe diskutiert, die nach geltender Rechtslage nicht gegeben ist. Vor allem aber stellen sich im Bereich des Zivilrechts schwierige Fragen.
1. Anscheinsbeweis
Ein wesentlicher Aspekt betrifft den sog. Anscheinsbeweis bei Verwendung von Passwörtern. Das im Online-Banking gebräuchliche PIN/TAN -Verfahren vertraut auf den Anscheinsbeweis für die Echtheit einer Weisung (z.B. Überweisungsauftrag), die unter Verwendung von PIN und TAN bei der Bank eingeht. Dieser Anscheinsbeweis wird durch Phishing massiv in Frage gestellt. Dies gilt jedenfalls dann, wenn der Kunde Anzeichen für einen Phishing-Angriff oder Pharming nachweist. Sollten sich Anzeichen für massive Verwendung von Pharming ergeben, wird man den Anscheinsbeweis möglicherweise sogar generell verneinen müssen.
Eine ähnliche Fragestellung ergibt sich für sonstige Anbieter, etwa Versandhändler, sowie für Handelsplattformen, z.B. eBay. Auch hier identifiziert sich der Nutzer durch ein Passwort, anhand dessen die Erklärung, etwa eine Bestellung, das Angebot in einer Auktion oder ein Gebot dem Nutzer zugeordnet wird. Auch hier dient das Passwort zum Nachweis der Urheberschaft dieser Erklärung. Schon bisher gab es jedoch Gerichtsentscheidungen, die im Passwortschutz von eBay keine geeignete Grundlage für einen Anscheinsbeweis gesehen haben (OLG Naumburg , OLG Köln , LG Konstanz ). Diese Skepsis der Gerichte dürfte sich unter dem Eindruck von Phishing und Pharming eher verstärken.
2. Verantwortlichkeit des Passwortinhabers
Im materiellen Recht steht zunächst die Verantwortlichkeit der Person im Vordergrund, deren Passwort verwendet wurde, also etwa des Bankkunden oder eBay-Kunden, unter dessen Namen betrügerische Angebote eingestellt werden. Hier kann eine Rechtsscheinhaftung des Kunden gegenüber einem gutgläubigen Dritten (z.B. Käufer bei einer Internet-Auktion) in Betracht kommen, wenn dieser leichtfertig mit seinem Passwort umgeht und trotz Kenntnis einer Identitätstäuschung nichts unternimmt.
Wichtiger ist eine etwaige Haftung des Kunden wegen Pflichtverletzung, etwa gegenüber einer Online-Bank oder einem Versandhändler. Es ist bisher noch weitgehend unklar, welche Pflichten der Inhaber eines Passwortes in bezug auf dessen Geheimhaltung hat. Zwar regeln z.B. die AGB der Banken für das Onlinge-Banking eine Geheimhaltungspflicht. Es ist jedoch noch nicht geklärt, unter welchen Voraussetzungen eine grob fahrlässige Pflichtverletzung – nur dann kommt eine Haftung des Kunden in Betracht – vorliegt, wenn der Kunde z.B. auf eine Phishing-Mail antwortet und auf einer Website des Betrügers PIN und TAN eingibt. Hier wird man zu einer differenzierenden Betrachtung gelangen müssen, denn es darf vom Kunden erwartet werden, dass er nicht jedwede, noch so plumpe Aufforderung zur Preisgabe von PIN und TAN befolgt. Andererseits dürfen die Anforderungen an das Misstrauen des Kunden auch nicht zu hoch angesetzt werden. So wird man vom Kunden sicher nicht erwarten können, die Adresszeile seines Browsers zu kontrollieren und verdächtige Adressen zu identifizieren.
3. Pflichten der Anbieter
Nicht minder wichtig ist, welche Pflichten Plattformbetreiber und alle sonstigen Anbieter treffen, die Passwörter zur Identifizierung ihrer Kunden verwenden. Es ist im Grundsatz unstreitig, dass die Anbieter die Pflicht haben, hinreichend sichere Systeme zu verwenden. Darüber hinaus besteht die Pflicht, die Kunden über die Risiken des Phishing zu informieren. Diesen Pflichten kommen zahlreiche Anbieter bisher nicht ausreichend nach. Teils fehlt es an Informationen, häufig sind sie unzureichend oder nicht hinreichend deutlich.
Auch im Umgang mit entdeckten Fälschungen treffen den Anbieter Sorgfaltspflichten. Das AG Potsdam hatte vor einigen Monaten über die Pflichten des Anbieters in Missbrauchsfällen zu entscheiden. Hier hatte ein Nutzer eBay mehrfach darüber informiert, dass unbekannte Dritte unter seinem Namen eine erhebliche Zahl von Auktionen durchführten, eBay hatte dies aber nicht unterbunden (Urt. v. 3.12.2004 – 22 C 225/04). Das AG Potsdam entschied, dass eBay die Pflicht hat, bei Kenntnis von einem Identitätsmissbrauch weitere Täuschungen zu verhindern. Bei Verletzung derartiger Sorgfaltspflichten kommen auch Schadensersatzansprüche in Betracht, soweit nicht die Haftungsprivilegierung nach dem Teledienstegesetz eingreift.
4. Klärungsbedarf
Die hier aufgeworfenen Fragen sind sämtlich ungeklärt; die rechtswissenschaftliche Diskussion ist hier noch weitgehend am Anfang. Angesichts des hohen wirtschaftlichen Schadenspotentials des Identitätsmißbrauchs in seinen verschiedenen Erscheinungsformen ist die Untersuchung diese Rechtsfragen von großer Bedeutung. Nicht zuletzt ist zu klären, wie die Risiken zwischen den verschiedenen Beteiligten (Nutzer, Anbieter) zu verteilen sind und welche Pflichten den Internet-Nutzer und den Anbieter in bezug auf Phishing und ähnliche Missbrauchsrisiken treffen.