Ihm wurde angezeigt, dass sich ein Service-Mitarbeiter von der technischen Abteilung der Sparkasse mit ihm telefonisch in Verbindung setzen werde.
Aus der rückschauenden Perspektive konnte dann am 20.02.2022 ein erster Login der Täter in das Online-Banking des Sparkassen-Kunde festgestellt werden. Der Zugriff war nicht durch eine starke Kundenauthentifizierung abgesichert. Dabei wurde nach der Legitimation mittels Kartennummer und dem Geburtsdatum des Sparkassen-Kunden das verfügbare Online-Banking-Limit abgefragt. Dieser Vorgang wiederholte sich einmal. Auch am 23.02.2022 wurde auf diese Weise das Online-Banking-Limit des Sparkassen-Kunden erneut gesichtet.
Etwa zeitgleich um 16:40 Uhr erhielt der Sparkassen-Kunde einen Anruf, der scheinbar von der dem Kunden bekannten Service-Rufnummer der Sparkasse ausging. Die Anruferin stellte sich als Frau Strauch von der Sparkasse Chemnitz vor. Um die bereits vorangekündigte technische Neuinstallation des Online-Bankings zu veranlassen, bat sie den Kunden darum, über die S-pushTAN zum Neuinstallationsabschluss den Bestätigungs-Icon zu betätigen, den sie gerade ausgelöst habe, um einen Test zu starten. Dem kam der Kunde nach. Tatsächlich wurde aber zunächst das Tageslimit für Überweisungen von 1.000 Euro auf 24.444 Euro erhöht. Am 23.02.2022 kam es sodann zu einer Zahlungsanweisung vom Tagesgeldkonto des Sparkassen-Kunden auf sein Girokonto in Höhe von 33.333 Euro, welche taggleich wertgestellt wurde. Für diese Transaktion wurde keine TAN-Bestätigung von der Sparkasse abverlangt. Zudem wurde eine Zahlungsanweisung in Höhe von 24.422,44 Euro als sogenannte Echtzeitüberweisung an ein dem Sparkassen-Kunden unbekanntes Postbankkonto ausgelöst.
Danach erfolgte die Änderung des Anmeldenamens des Sparkassen-Kunden für den Zugang ins Online-Banking, wozu es einer Freigabe in der S-pushTAN-App bedurfte, sodass in der Folge ein Login mit den bekannten Daten für den Kunden nicht mehr möglich war.
Am 24.02.2024 erhielt der Kunde – wie zuvor angekündigt – einen weiteren Anruf der vermeintlichen Frau Strauch, die ihn zur zweimaligen Bestätigung von Aufträgen in der S-pushTAN-App aufforderte, was der Sparkassen-Kunde tat. Am 24.02.2022 wurde täterseits erneut das verfügbare Tageslimit angesehen und wiederum eine temporäre Erhöhung des Überweisungslimits auf 24.999 Euro veranlasst. Danach erfolgte eine Umbuchung von 21.111 Euro vom Tagesgeld- auf das Girokonto des Kunden. Danach wurde eine Echtzeitüberweisung an das unbekannte Postbankkonto in Höhe von 24.999 Euro ausgelöst.
Was hat das OLG Dresden entschieden?
Das Oberlandesgerichts Dresden hat in der Berufungsinstanz entschieden, dass der Sparkassen-Kunde die beiden externe Zahlungen nicht autorisiert hat, so dass ihm im Ausgangspunkt gegen die Sparkasse ein Anspruch auf vollständige Wiedergutschrift der Beträge auf seinem Girokonto zusteht. Die Sparkasse könne diesem Anspruch jedoch mit Erfolg einen gegenläufigen Schadenersatzanspruch gegen den Kläger entgegenhalten. Das Oberlandesgericht Dresden wertet das Verhalten des Sparkassenkunden als grob fahrlässige Verletzung seiner Pflichten aus dem Onlinebanking-Vertrag. Allerdings sei dieser gegenläufige Anspruch der Sparkasse gegen den Kunden wiederrum aufgrund eines Mitverschuldens der Sparkasse um ein Fünftel geschmälerten, so dass dem Kunden nach Ansicht des Oberlandesgerichtes Dresden 20 % des abverfügten Geldes nebst Verzugszinsen erstattet werden muss.
Welche Bedeutung hat das Urteil über den Einzelfall hinaus?
Nach Ansicht einiger Kommentare im Internet hat das Urteil des Oberlandesgerichtes Dresden angeblich „Signalwirkung für tausende von Betroffenen“. Das ist nach Einschätzung von ilex Rechtsanwälte teilweise zwar richtig, aber nur bedingt.
Zunächst betrifft das Mitverschulden einen individuellen Einzelfall, bei dem die Sparkasse Chemnitz, wie flächendeckend andere Sparkassen jedenfalls zu dieser Zeit, im Jahre 2022, noch keine starke Kundenauthentifizierung für den Zugriff auf das Online-Banking vorgesehen hatte, obwohl dies schon seit dem 14.09.2019 gesetzlich vorgeschrieben war. Auch viele andere Sparkassen haben im Jahre 2022 und danach die gesetzlichen Vorgaben der starken Kundenauthentifizierung für den Zugriff auf das Zahlungskonto nicht richtig umgesetzt. Diesen IT-technischen Fehler hat bereits seit 2019 kaum ein anderer derart intensiv beanstandet, wie ilex Rechtsanwälte. In einer Fachveröffentlichung in der Fachzeitschrift Multimedia und Recht haben wir die Bedeutung der starke Kundenauthentifizierung für die IT-Sicherheit anhand von 539 Fällen nachgewiesen (Schulte am Hülse/ Bremm/ Steinsdörfer/ Rößler/ Kunz, Angriffe auf Online-Banking-Systeme, MMR 5/2025, S. 336-342).
Inzwischen haben viele Sparkassen nachgesteuert. Bei den Sparkassen ist die Situation allerdings unterschiedlich. Die starke Kundenauthentifizierung wurde, je nach Sparkasse, zu unterschiedlichen Zeiten eingeführt. Einige Sparkassen hielten allerdings noch in 2023 keine starke Kundenauthentifizierung für den Zugriff auf das Online-Banking vor. Wenige andere Banken tun dies bis heute nicht, was ilex Rechtsanwälte kritisiert.
In dem Urteil des Oberlandesgerichtes Dresden hat der dortige 8. Senat diesen Fehler nun als erstes Oberlandesgericht anerkannt, den wir in nahezu jedem Schriftsatz seit 2019 schon kritisiert haben.
