Nach einem Phishing-Angriff verlor ein Bankkunde 41.069 Euro, da ihm das Geldinstitut grobe Fahrlässigkeit im Online-Banking vorwarf. Trotz der klaren Verletzung der Sorgfaltspflicht beim PushTAN-Verfahren bestand der Geschädigte weiterhin auf die volle Erstattung der unautorisierten Zahlungen. Zum vorliegenden Urteil Az.: 8 U 103/23 | | Kontakt
Das Wichtigste in Kürze
- Gericht: Oberlandesgericht Oldenburg
- Datum: 24.04.2025
- Aktenzeichen: 8 U 103/23
- Verfahren: Berufung
- Rechtsbereiche: Zahlungsdienste; Haftung; Grobe Fahrlässigkeit
- Das Problem: Die Kontoinhaber forderten 41.069 € von ihrer Bank zurück. Dieses Geld wurde nach einer Phishing-E-Mail durch nicht autorisierte Echtzeitüberweisungen abgebucht.
- Die Rechtsfrage: Muss die Bank für betrügerische Abbuchungen haften, wenn die Kundin Zugangsdaten und Registrierungscodes aufgrund grober Fahrlässigkeit preisgegeben hat?
- Die Antwort: Nein. Die Bank muss das Geld nicht erstatten. Das Gericht sah es als erwiesen an, dass die Kontoinhaberin ihre Sorgfaltspflichten grob fahrlässig verletzt und die betrügerische Zahlung dadurch ermöglichte.
- Die Bedeutung: Bankkunden, die erkennbare Phishing-Warnungen ignorieren und sensible Daten sowie Registrierungscodes weitergeben, verlieren ihren Anspruch auf Erstattung nicht autorisierter Zahlungen vollständig.
Wer haftet bei Phishing im Online-Banking?
Es ist der Albtraum eines jeden Bankkunden: Ein Klick auf einen falschen Link, die Eingabe weniger Daten und kurz darauf leert sich das Konto. Genau dieses Szenario spielte sich im März 2021 bei einem Ehepaar ab, das nun vor dem Oberlandesgericht Oldenburg (Az. 8 U 103/23) eine bittere Niederlage einstecken musste. Der Fall, der am 24.04.2025 entschieden wurde, dreht sich um eine Schadenssumme von stolzen 41.069 Euro und liefert eine lehrreiche Analyse darüber, wie schnell die Sorgfaltspflicht im digitalen Zahlungsverkehr verletzt werden kann. Die Ausgangslage ist klassisch und doch dramatisch. Die Klägerin, selbst Mitarbeiterin der beklagten Bank, erhielt eine E-Mail mit dem Betreff einer vermeintlichen Sicherheitsüberprüfung. Sie folgte dem Link, landete auf einer gefälschten Webseite und gab Daten ein. Was sie zu diesem Zeitpunkt nicht ahnte: Im Hintergrund registrierten Kriminelle mit diesen Daten ein neues Gerät für das PushTAN-Verfahren. Innerhalb kürzester Zeit erhöhten die Täter das Überweisungslimit und transferierten in zwei Echtzeit-Überweisungen über 30.000 Euro und knapp 10.000 Euro auf ein Konto in Estland. Als das Ehepaar den Betrug am nächsten Tag bemerkte, war das Geld unwiederbringlich fort. Die zentrale Streitfrage vor Gericht war nun nicht, ob die Kläger das Geld selbst überwiesen hatten, sondern ob sie den Tätern durch grobe Fahrlässigkeit Tür und Tor geöffnet hatten.
Wann muss die Bank Geld zurückerstatten?
Um das Urteil zu verstehen, muss man die rechtliche Mechanik hinter Banküberweisungen betrachten. Das Gesetz schützt Bankkunden grundsätzlich sehr stark. Gemäß § 675u Satz 2 BGB gilt die eiserne Regel: Wenn eine Zahlung nicht vom Kunden autorisiert wurde – also beispielsweise durch Hacker ausgelöst wurde –, muss die Bank das Geld unverzüglich erstatten. Das Risiko des direkten Geldverlusts liegt also primär bei der Bank. Doch dieses Schutzschild hat eine empfindliche Schwachstelle, die im vorliegenden Fall zum Verhängnis wurde. Die Bank kann sich nämlich schadlos halten, wenn der Kunde seine Sorgfaltspflichten verletzt hat. Hier kommt § 675v Abs. 3 Nr….