Die Beklagte ist ein börsennotierter Betreiber eines Online-Bezahldienstes, der beim Ein- und Verkauf im Online Handel genutzt werden kann. Da Paypal im Onlinehandel ein favorisiertes Zahlungsweg ist, hatte sich das Unternehmen zu einer Kooperation entschlossen und mehrere Konten bei dem Luxemburger Dienstleister einrichten lassen.
Im Gegensatz zu einer normalen Bank reicht bei Paypal grundsätzlich schon die E-Mail-Adresse und Passwort zur Identifizierung eines Accounts aus. Mit Eingabe dieser beiden Daten können Zahlungen ausgelöst werden.
Paypal organisiert für seine Mitglieder den Transfer von Zahlungen und ist keine Bank im herkömmlichen Sinn, da nur „E-Geld“ verwaltet wird.
Im Jahr 2019 wurde das von der Beklagten geführte PayPal Konto des Mandanten der Kanzlei CLLB durch unbefugte Dritte mehrmals „gehackt“.
In der Folge wurden sodann mehrere unberechtigte Abbuchungen vorgenommen – es entstand ein Schaden von insgesamt mehr als € 100.000,00. Im Rahmen des zunächst geführten außergerichtlichen Verfahrens, weigerte sich Paypal, ihrem Kunden diesen Schaden zu erstatten.
Ein deutscher Schüler hatte schon im Jahr 2013 entdeckt, dass mit einer sogenannten Cross-Site-Scripting-Attacke sehr einfach Zugriff zu beliebigen Paypal-Konten hergestellt werden können.
Angreifer können durch Eingabe bestimmter Zeichenketten in das Suchfeld der Seite einen Schutzmechanismus unterwandern und dann beliebige Befehle ausführen und Kundendaten stehlen.
Ist eine dritte Person im Besitz von Konto-Adresse und Passwort, kann er ungehindert Transaktionen durchführen.
Nach Darstellung von weiteren Geschädigten gegenüber der Kanzlei CLLB, ist diese Sicherheitslücke wohl bis heute nicht behoben, so dass weitere Schäden nicht ausgeschlossen scheinen.
„Daher muss Paypal nach unserer Rechtsauffassung für den Schaden unserer Mandantin einstehen“, erklärt Rechtsanwalt Cocron, von der Kanzlei CLLB.
Der Anspruch ergibt sich dabei aus dem Zahlungsdiensteaufsichtsgesetz (ZAG). Nach der Vorschrift des § 55 I ZAG Nr. 1 sind Zahlungsdienstleister verpflichtet, eine starke Kundenauthentifizierung zu verlangen, wenn der Zahler online auf sein Zahlungskonto zugreift. „Eine starke Authentifizierung dürfte durch die bloße Angabe eines Nutzernamens nebst Passwort nicht ausreichend sein,“ erklärt CLLB weiter.
Die Ausführungen von Seiten Paypal im Rahmen des außergerichtlichen Verfahrens, dass alle Logins sauber sind und keine unzulässigen Zugriffe erfolgten, kann nicht greifen. Rechtsanwalt István Cocron erklärt dazu:
„Natürlich nicht, die Hacker haben sich ja mit gültigen Zugangsdaten angemeldet!
Nicht der Kontozugriff war unzulässig, sondern der Weg der Hacker zu den Zugangsdaten – diese hätten besser geschützt werden müssen. Die Klage ist dem Landgericht München zugestellt worden. CLLB steht mit weiteren Geschädigten in Kontakt und wird weiter über den Fortgang des Verfahrens berichten.