Phishing: Bank haftet nicht bei grober Fahrlässigkeit
Urteil OLG Oldenburg, Az. 8 U 103/23
Stimmt es, dass die Banken für den entstandenen Schaden bei Phishing-Fällen aufkommen müssen? Klassische Antwort: Kommt darauf an. Haben die Kontoinhaber sich grob fahrlässig verhalten, stehen sie auch selbst in der Haftung. Ein Urteil des OLG Oldenburg vom 24. April 2025 – Az. 8 U 103/23 – bestätigt, dass die Bank in solchen Fällen nicht automatisch haftet.
Wird ein Phishing-Fall bemerkt, sollte umgehend die Bank informiert und das Konto gesperrt werden. Oft ist es dann schon zu spät und die Betrüger haben das Konto bereits leergeräumt. So war es auch im angeführten Fall vor dem OLG Oldenburg.
Hier hatte ein Ehepaar eine vermeintlich von ihrer Hausbank stammende Phishing-Mail erhalten. Hierin wurde das Paar aufgefordert, binnen zwei Tagen ihre PushTAN-Registrierung zu aktualisieren. In der fälschlichen Annahme, dass die Mail von ihrer Hausbank stammte, gab die Ehefrau mindestens ihr Geburtsdatum und die Nummer ihrer EC-Karte auf einer Webseite ein, die über den in der Mail einfügten Link aufgerufen werden konnte.
Im Anschluss erhielt sie per SMS einen Registrierungslink für die Neuregistrierung zum PushTAN-Verfahren auf ihr Mobiltelefon. Nach die Registrierung überwiesen die Betrüger mit zwei Echtzeit-Überweisungen von dem Konto des Ehepaars rund 41.000 Euro auf ein Konto nach Estland.
Da die Eheleute die Überweisungen nicht autorisiert hatten, forderten sie das Geld von ihrer Bank zurück. Das OLG Oldenburg wies die Zahlungsklage des Ehepaars jedoch zurück und bestätigte damit die erstinstanzliche Entscheidung des Landgerichts Oldenburg.
Verletzung der Sorgfaltspflicht
Zur Begründung führte das OLG aus, dass es nach den Ausführungen eines hinzugezogenen Sachverständigen wahrscheinlich sei, dass die Ehefrau nicht nur das Geburtsdatum und Kartennummer, sondern zusätzlich noch weitere Daten wie ihren Anmeldenamen und ihre PIN auf der gefälschten Webseite angegeben habe. Weiterhin habe sie – so das Ergebnis der Beweisaufnahme – ihre Sorgfaltspflicht ein weiteres Mal verletzt, indem sie den ihr per SMS zugeschickten Registrierungs-Link bzw. den entsprechenden Registrierungs-Code für die Neuregistrierung zum PushTAN-Verfahren entweder weitergeleitet oder auf sonstige Weise an die Täter weitergegeben hatte. Zumindest dieses Verhalten sei als grob fahrlässig zu bewerten, stellte das OLG Oldenburg fest. Darüber hinaus hätte das Ehepaar u.a. auch wegen der unpersönlichen Anrede oder den Rechtschreibfehlern an der Seriosität der Mail zweifeln müssen.
Bank trifft keinerlei Mitschuld
Die Bank treffe keinerlei Mitschuld. Zum damaligen Zeitpunkt sei es nicht geboten gewesen, in die Registrierungs-SMS einen – inzwischen von der beklagten Bank verwendeten – Warnhinweis aufzunehmen, wonach die SMS nicht an dritte Personen weitergeleitet werden darf. Im Ergebnis habe das Ehepaar keinen Anspruch auf die Erstattung ihres Schadens durch die Bank, entschied das OLG Oldenburg. Das Urteil ist rechtskräftig.
Fazit: Banken und Sparkassen sind zwar verpflichtet, für hinreichende Sicherheitsmaßnahmen beim Online-Banking zu sorgen. Sie sind aber nicht verantwortlich, wenn die Kontoinhaber grob fahrlässig verhalten und unbekannten Dritten ihre sensiblen Bankdaten freiwillig weitergeben. Haben sich die Kunden grob fahrlässig verhalten, hat die Bank einen gleich hohen Anspruch gegen die Kunden.
Mehr Informationen zum Bankrecht: https://www.wixforth-kollegen.de/
Sie haben Fragen?
Sprechen Sie uns an!