Spoofing –  telefonischer Datenklau als fake-Dienstleister

Die Kassiererin einer Tankstelle hat aufgrund eines per Telefon eingeleiteten Betrugs telefonisch die kompletten Prepaid-Codes von 124 Prepaid-Telefonkarten an Betrüger weitergegeben. Für den Schaden muss die gutgläubige Kassiererin allerdings nicht gerade stehen.

Seit Ende Juni 2015 war die Kassiererin an einer Tankstelle als Teilzeitkraft beschäftigt. Die Einarbeitungszeit betrug zwischen ein und zwei Tagen. Hierbei wurde ihr ausdrücklich die betriebliche Anweisung erteilt, Telefonkarten nicht am Telefon herauszugeben.

Der erste Anrufer bereitete den Betrug vor

Am Abend des 29.9.2015 hatte die Kassiererin Schicht. Um 20:49 Uhr erhielt sie einen Anruf, bei dem eine männliche Stimme sich als Mitarbeiter einer Telefongesellschaft ausgab. Er wies auf eine angeblich erforderliche Systemumstellung hin. Mit dieser würde eine weitere Firma betreut. Diese Firma sei für die Betreuung des gesamten Betriebssystems der Tankstelle zuständig. Mit dem Anruf wolle der Anrufer nur ankündigen, dass diese Firma sich später bei der Kassiererin melden würde, damit sie wisse, um wen es sich handelt.

Der zweite Anrufer erklärte zunächst technische Details

Kurze Zeit darauf meldete sich eine weitere männliche Person per Telefon und gab sich als Mitarbeiter der angeblich beauftragten Firma aus. Er wies die Kassiererin darauf hin, dass sämtliche 30-Euro-Prepaid-Karten durch neue ersetzt werden müssten. Dieser Vorgang solle telefonisch vorbereitet werden.

Dritter Schritt: Klare Anweisung zur schädigenden Verfügung

Der Anrufer erteilte darauf der Kassiererin die Anweisung, sämtliche 30-Euro-Telefonkarten zu scannen und die 14-stelligen Codes mitzuteilen. Die Kassiererin scannte darauf sämtliche 124 Prepaid-Karten ein und gab die 14-stelligen Codes telefonisch durch. Wie sich später herausstellte, waren die Anrufe gefaked. Bei den Anrufern handelte sich um Betrüger.

Die Identität der Anrufer konnten aufgrund der im System angezeigten Telefonnummern nicht festgestellt werden. Wie die polizeilichen Ermittlungen ergaben, waren die angezeigten Rufnummern manipuliert (Spoofing), so dass eine Ermittlung der Anrufer nicht möglich war.

Die Betriebsversicherung ersetzte den Schaden

Der entstandene Schaden belief sich auf 124 × 30 Euro, mithin 3720 Euro. Die Betriebsversicherung des Tankstelleninhabers ersetzte diesem den Schaden. Die Versicherung verlangte allerdings den entstandenen Schaden von der Kassiererin ersetzt wird.

LAG zeigt Verständnis für die gutgläubige Kassiererin

Beim LAG Düsseldorf hatte stieß die Versicherung auf taube Ohren. Da der Schaden gegenüber der Arbeitnehmerin nicht innerhalb der vorgeschriebenen arbeitsvertraglichen Ausschlussfrist  geltend gemacht wurde, kam eine Haftung der Kassiererin nur für den Fall grober Fahrlässigkeit in Betracht. Eine solche verneinte das LAG. Die Kassiererin habe die erforderliche Sorgfalt nicht in ungewöhnlich hohem Maße verletzt. Dies wäre nur dann der Fall, wenn der Kassiererin anlässlich der Anrufe sofort hätte einleuchten müssen, dass es sich um eine Betrugssituation gehandelt habe.

Doppelte strukturelle Unterlegenheit der Kassiererin

Zur Überzeugung der Richter hatte die Kassiererin sich in der doppelten Anrufsituationen einer strukturellen Unterlegenheit gegenüber den Anrufern gefunden. Der Betrug sei professionell vorbereitet gewesen. Dass die Kassiererin den Anrufern geglaubt habe, sei nicht grob fahrlässig gewesen.

Eingabesystem trug zum guten Glauben der Kassiererin bei

Nach Ansicht des LAG hatte das System selbst die Gutgläubigkeit der Kassiererin unterstützt. Bei der Eingabe der 124 Karten in das System habe das System nämlich nicht nachgefragt, ob die Eingabe aufgrund einer telefonischen Anfrage erfolgte. Diese Anfrage gab das System bei sonstigen Eingaben von Codes automatisch aus. Die Kassiererin selbst hatte angegeben, dass nicht zuletzt das Fehlen dieser sonst üblichen Anfrage sie in der Annahme unterstützt habe, der Vorgang sei insgesamt rechtens.

Vorsicht bei der telefonischen Weitergabe von Daten

 

Vor diesem Hintergrund änderte nach Auffassung des LAG auch die betriebliche Anweisung, Prepaid-Codes grundsätzlich telefonisch nicht weiterzugeben, nichts an der Bewertung des Verhaltens der Kassiererin als nicht grob fahrlässig.

Letztlich blieb damit die Versicherung auf dem Schaden sitzen. Die Kassiererin hatte das Glück, verständnisvolle Richter zu finden. Es hätte wohl auch anders ausgehen können. Deshalb dürfte derjenige, der auf telefonische Anfragen keine Daten weitergibt, seien es betriebliche, persönliche oder finanzielle Daten, grundsätzlich besser beraten sein.

(LG Düsseldorf, Urteil v. 29.8.2017, 14 Sa 334/17).

Weitere News zum Thema:

Internetbetrug durch Scheinfirmen: Nur kassieren, nicht liefern

BGH hat Strafbarkeit von sog. „Ping“-Anrufen als Betrug bestätigt

Phishing - Funktionsweise, Folgen, Rechtsprechung

Hintergrund

Spoofing (vom englischen verschleiern, vortäuschen) bezeichnet verschiedene Methoden, sich unter Verschleierung der eigenen Identität , Zugang zu einem PC, Netzwerk oder zu Daten zu erschleichen.

Schlagworte zum Thema:  Betrug, Datenschutz, Rechtsanwalt, Justiz, Juristen, Richter