Eigentlich scheint der Fall klar: Wenn Kund:innen im Rahmen einer Phishing-Attacke bestohlen werden, haftet die Bank für nicht autorisierte Zahlungen, die vom Konto abgehen. Geregelt ist das durch das BGB und die EU-Zahlungsdiensterichtlinie PSD2 (umgesetzt in § 675u ff. BGB). Doch ein aktuelles Urteil zeigt, dass der Sachverhalt doch nicht immer so klar ausgelegt wird. Werden sich die Banken also in Zukunft in solchen Fällen leichter aus der Affäre ziehen können als bisher?
Bisher musste die Bank, wenn eine Zahlung nicht durch den Kunden oder die Kundin explizit und absichtlich freigegeben wurde, umgehend erstatten. Die Argumentation dahinter: Die Täter:innen agierten mit gestohlenen oder durch Täuschung erhaltenen Zugangsdaten. Die Bank hatte dabei lediglich einen Ausweg, wenn sie ihrerseits nachweisen konnte, dass Kund:innen vorsätzlich oder grob fahrlässig gehandelt hatten. Kund:innen hatten nur bei leichter Fahrlässigkeit einen Selbstbehalt von 50 Euro zu tragen (etwa wenn sie die PIN im Geldbeutel hatten). Erfolgt das Vergehen ohne ihr Verschulden, zahlt die Bank den Schaden in der Regel komplett, der Kunde hat dann lediglich die Aufregung und die juristischen Hindernisse zu bestehen.
Aktualisierung der Push-TAN als Fake-Mail
Um 41.000 Euro ging es zuletzt bei einem Fall, bei dem eine Frau ihre Push-TAN-Registrierung aktualisieren wollte – und dabei besagten Beitrag verlor. Sie hatte eine Mail, die vermeintlich von ihrer Bank stammte, beherzigt – doch die habe, so heißt es im Urteil des OLG Oldenburg, zahlreiche Rechtschreibfehler aufgewiesen, sodass ihr Handeln als grob fahrlässig angesehen wurde (Urt. v. 24.04.2025, Az. 8 U 103/23).
Empfehlungen der Redaktion
Die Frau dachte, sie sei von ihrer Bank zur Aktualisierung des Push-TAN-Verfahrens aufgefordert worden und landete auf einer gefälschtn Website, wo sie mindestens die Nummer der EC-Karte sowie das Geburtsdatum angab. Sie erhielt daraufhin via SMS einen Link für die Neuregistrierung. Einen Tag später war durch zwei Überweisungen der besagte Betrag vom Konto abgebucht und auf ein estnisches Konto transferiert worden.
Betrug ansonsten technisch unmöglich?
Sowohl das Landgericht Oldenburg als nun das OLG Oldenburg waren davon überzeugt, dass die Frau grob fahrlässig mit ihren Daten umgegangen war. Man gehe davon aus, dass die Frau nicht nur die EC-Kartennummer und das Geburtsdatum, sondern auch ihren Anmeldenamen und die PIN angegeben habe. Und diese beiden Dinge reichten aus, um das bestehende Tageslimit zu erhöhen und die Überweisungen auszulösen.
Bemerkenswert ist, dass ein Sachverständiger vor Gericht erklärte, dass es anders nicht technisch möglich oder plausibel sei, die Überweisungen zu erklären. Auffällig an der Phishing-Mal war in der Tat neben der fehlerhaften Orthographie die nicht namentliche Anrede („Sehr geehrter Kunde“). Die Entscheidung des OLG Oldenburg ist rechtskräftig.
Beweis für Kund:innen schwer zu leisten
Im Umkehrschluss öffnet das Urteil aber mehr Möglichkeiten für Banken, in Zukunft entsprechende Risiken auf die Kund:innen abzuwälzen – etwa in Fällen, in denen es über andere Zahlungsdienste zu Abbuchungen kommt, an denen sowohl weitere Zahlungsanbieter als auch Handelsketten beteiligt sind. Hier hatten es Kund:innen schon in der Vergangenheit schwer, überhaupt entsprechende Anwält:innen zu finden, die ihre Fälle (bei zu geringem Streitwert) durchzufechten bereit waren. Der deutsche Verbraucherschutz hatte entsprechende Verhaltensweisen seitens der Banken bereits in der Vergangenheit kritisiert.
Die Beweislast auf Seiten der Banken hat hier durchaus ihre Berechtigung. Denn es ist schon aufgrund teilweise fehlender Einblicke für Kund:innen schwierig, eventuelle Sicherheitslücken der Banken oder ihrer Dienstleister nachzuvollziehen oder aufzuzeigen. In der Vergangenheit war es daher lediglich Aufgabe des Kunden oder der Kundin, zu bestreiten, die Zahlung autorisiert zu haben.
Dabei urteilten Gerichte zu ähnlichen Vorfällen recht einheitlich. So entschied der Bundesgerichtshof (BGH, XI ZR 91/14), dass keine grobe Fahrlässigkeit vorliege, wenn eine Phishing-Mail extrem täuschend war und kein offensichtlicher Warnhinweis seitens der Bank vorlag. Das ist auch der Grund, warum Banken immer häufiger vor solchen Vorfällen warnen. Das Landesgericht Köln urteilte auch (21 O 189/23), dass eine Bank hier den Schaden erstatten müsse, weil die Phishing-Webseite täuschend echt gewesen sei und kein klarer Sicherheitsverstoß vorgelegen habe.
