OLG Dresden spricht Kunde Teilerstattung zu – Sparkasse haftet wegen Sicherheitslücke
Ein Urteil des Oberlandesgerichts Dresden vom 5. Juni 2025 (Az.: 8 U 1482/24) stellt eine deutliche Wende in der Rechtsprechung zu Phishing-Fällen dar. Obwohl der betroffene Kunde grob fahrlässig handelte, verurteilte das Gericht eine Sparkasse zur teilweisen Rückzahlung eines durch Betrug verursachten Schadens. Der Grund ist brisant: Die Bank hatte beim Online-Banking eklatante Sicherheitsmängel zugelassen – und damit den Betrug überhaupt erst möglich gemacht.
________________________________________
Der Fall: Zwei Klicks – 50.000 Euro verschwinden spurlos
Ein Sparkassenkunde erhielt eine vermeintliche E-Mail der Bank mit dem Betreff „Aktualisierung Ihres Online-Bankings“. Über einen Link landete er auf einer täuschend echten, aber gefälschten Website. Dort gab er seine Zugangsdaten – PIN und Passwort – ein.
Wenige Tage später folgte der nächste Schlag: Ein angeblicher Mitarbeiter der Sparkasse rief an und überredete den Kunden, mehrere PushTAN zu bestätigen – angeblich zur Systemumstellung. In Wahrheit autorisierte er damit zwei Überweisungen von 24.422 Euro und 24.999 Euro. Fast 50.000 Euro waren mit zwei Klicks verloren – unwiederbringlich an ein Fremdkonto transferiert.
________________________________________
Gericht erkennt grobe Fahrlässigkeit – doch die Sparkasse trägt Mitschuld
Zwar stellte das Gericht klar, dass der Kunde mit seinem Verhalten grob fahrlässig handelte. Wer Transaktionen blind bestätigt, ohne Empfänger oder Zweck zu prüfen, verletzt grundlegende Sorgfaltspflichten im Online-Banking.
Doch damit war der Fall nicht abgeschlossen. Das OLG Dresden stellte ebenso fest: Auch die Sparkasse hat entscheidend zum Schaden beigetragen. Denn beim Login ins Online-Banking verzichtete sie auf eine vorgeschriebene Zwei-Faktor-Authentifizierung. Stattdessen reichten einfache Zugangsdaten – ein massives Sicherheitsversäumnis, das laut Gericht nicht dem heutigen Stand der Technik entspricht.
________________________________________
Bank lässt Tür offen – und Betrüger treten ein
Durch die fehlende starke Kundenauthentifizierung hatten Kriminelle leichtes Spiel: Mit den ergaunerten Zugangsdaten konnten sie sich problemlos ins Konto einloggen, Überweisungslimits anpassen und Transaktionen vorbereiten – unbemerkt und ohne weitere Hürde.
Diese fahrlässige Sicherheitslücke bewertete das Gericht als „mitursächlich“ für den erfolgreichen Angriff. Die Sparkasse wurde deshalb verurteilt, 20 % des Gesamtschadens – rund 9.880 Euro – zu erstatten. Ein seltener Fall, in dem ein Gericht die Verantwortung nicht ausschließlich beim Kunden sieht.
________________________________________
Sparkassen-Verhalten unter der Lupe – Sicherheitsstandards unzureichend
Phishing-Angriffe sind längst kein Randphänomen mehr. Immer häufiger verlieren Bankkunden durch raffinierte Betrugsmaschen innerhalb weniger Minuten ihre gesamten Ersparnisse. Die Reaktion vieler Banken? Ablehnung jeder Haftung – mit Verweis auf Kundenfehler. Doch dieses Urteil durchbricht diese Linie.
Gerade das von Sparkassen weit verbreitete PushTAN-Verfahren steht nun erneut am Pranger: Es gilt als besonders anfällig für Betrugsversuche, wenn Zugangsdaten kompromittiert wurden. Dass ausgerechnet ein großes deutsches Kreditinstitut hier elementare Schutzmechanismen vernachlässigt, wirft Fragen auf – und könnte Signalwirkung für weitere Verfahren haben.
________________________________________
Fazit
Das OLG Dresden setzt mit seinem Urteil ein klares Zeichen: Banken, die auf veraltete oder unzureichend gesicherte Verfahren setzen, tragen Verantwortung, wenn dadurch Betrug erleichtert wird. Auch grobe Fahrlässigkeit des Kunden entbindet sie nicht automatisch von jeder Haftung.
Wer selbst Opfer eines ähnlichen Phishing-Angriffs wurde, sollte prüfen lassen, ob auch bei der eigenen Bank technische Mängel vorlagen – die Einschaltung eines Fachanwalts für Bankrecht kann hier sinnvoll sein.
Werner Dillerup
Rechtsanwalt
