Mithaftung der Bank bei Phishing-Angriff trotz grober Fahrlässigkeit

Das Urteil des OLG Dresden ist insofern bemerkenswert als das Gericht trotz grob fahrlässigen Verhaltens des Kunden der Bank ein Mitverschulden an einem infolge eines Phishing-Angriffs entstandenen Schaden zuweist. Bisher galt in der Rechtsprechung der Grundsatz, dass derjenige, der beim Online-Banking Opfer eines Phishing Angriffs wird, auf dem Schaden sitzen bleibt, wenn er grob fahrlässig gegen seine Sorgfaltspflichten als Bankkunde verstoßen hat (OLG Frankfurt, Urteil v. 6.12.2023, 3 U 3/23). Grobe Fahrlässigkeit des Bankkunden wird insbesondere dann angenommen, wenn das Phishing-Opfer die Täuschung hätte erkennen können oder müssen. Das OLG Dresden hat nun für solche Fälle die Möglichkeit einer Mithaftung der Bank eröffnet.

Mit gefakter Mail Anpassung des Online-Bankings angekündigt

In dem vom OLG entschiedenen Fall hatte der Kunde einer Sparkasse eine gefakte, täuschend echt aussehende E-Mail erhalten, die angeblich vom Kundenservice seiner Sparkasse stammte. In der Mail wurde eine Aktualisierung zum Online-Banking angekündigt, was diverse Anpassungen nötig mache. Mittels eines Klicks auf eine Schaltfläche ploppte sodann eine ebenfalls täuschend echt aussehende Sparkassen-Portalseite auf. Dort sollte der Kunde zum Zwecke der Anpassung seine Zugangsdaten zum Online Banking, sein Passwort und seine PIN eingeben. Im Anschluss wurde ein telefonischer Anruf eines Bankmitarbeiters angekündigt.

Ungewollt knapp 50.000 Euro überwiesen

Tatsächlich erhielt der Kunde 3 Tage später einen Anruf einer vorgeblichen Angestellten der Sparkasse mit der Aufforderung über seine S-pushTAN per Smartphone diverse Aufträge zur Anpassung des Kundenkontos zu bestätigen. In Wirklichkeit hatte der Kunde durch die von ihm abgegebene Bestätigung sein Tageslimit für Überweisungen erhöht und anschließend - von ihm nicht erkannt - einen Betrag von 24.422 Euro auf ein unbekanntes Konto überwiesen. Auf ähnliche Weise kam es zu einer weiteren Überweisung in Höhe von 24.999 Euro am Folgetag.

Bank verweigerte eine Wiedergutschrift

Als der Bankkunde den Betrug bemerkte, forderte er von der Sparkasse die Wiedergutschrift der knapp 50.000 Euro, was diese wegen grob fahrlässigen Verhaltens des Kunden ablehnte. Der Kunde vertrat die Auffassung, der Vorwurf grober Fahrlässigkeit sei unberechtigt, vielmehr sei das Verfahren der Bank fehlerhaft, die das Einloggen in das Kundenkonto nicht von einer sog. „starken Kunden-Authentifizierung“ (Angabe von 2 Faktoren - TAN und PIN) abhängig mache. Außerdem habe er die beiden Überweisungen nicht autorisiert.

Klage zweitinstanzlich teilweise erfolgreich

Das erstinstanzlich zuständige LG bewertete das Verhalten des Klägers als grob fahrlässig und wies dessen Klage auf Wiedergutschrift der abgebuchten Beträge auf seinem Konto in vollem Umfang ab. Die hiergegen eingelegte Berufung des Klägers hatte beim OLG teilweise Erfolg. Das OLG verurteilte die Bank zu einer Kontogutschrift in Höhe von knapp 10.000 Euro, also in Höhe von einem Fünftel des abgebuchten Betrages.

Grundsatz der Bankenhaftung für nicht autorisierte Zahlungsvorgänge

Das OLG stellte in seiner Entscheidung zunächst auf die Vorschrift des § 675u BGB ab. Hiernach haftet der Zahlungsdienstleister dem Zahler für die Durchführung nicht autorisierter Zahlungsvorgänge. Gemäß § 675u Satz 2 BGB habe der Kläger grundsätzlich gegenüber der Beklagten einen Anspruch auf Wiedergutschrift der abgebuchten Beträge. Allerdings treffe den Beklagten gemäß § 254 BGB ein erhebliches Mitverschulden, sodass die Beklagte dem Kläger gemäß § 675v Abs. 3 Nr. 2 BGB einen eigenen Schadensersatzanspruch entgegenhalten könne. Der Kläger habe den Schaden auf seinem Konto durch eine grob fahrlässige Verletzung seiner gemäß § 675l BGB statuierten Sorgfaltspflichten als Zahlungsdienste-Nutzer maßgeblich mitverursacht.

PushTAN auf telefonischen Zuruf aus der Hand gegeben

Der Senat warf dem Kläger vor, das Authentifizierungsinstrument PushTAN in die Hände einer ihm unbekannten Anruferin gelegt zu haben. Zwar trage der Zahlungsdienstleister gemäß § 675w BGB die Beweislast für die Autorisierung eines Zahlungsvorgangs durch den Zahler (BGH, Urteil v. 5.3.2024, XI ZR 107/22), jedoch sprächen die von der Beklagten vorgelegten Unterlagen dafür, dass eine technische und formalisierte Überprüfung der Nutzung des Zahlungsdienstes einschließlich der personalisierten Sicherungsinstrumente und damit eine Authentifizierung durch die Beklagte erfolgt ist. Dabei sei zu berücksichtigen, dass die Ausgestaltung des Authentifizierungsverfahrens im Organisationsermessen des Zahlungsdienstleisters liegt (OLG Dresden, Urteil v. 13.10.2022, 8 U 760/22).

Finanzielle Transaktionen waren dem Kläger nicht bewusst

Im konkreten Fall sei allerdings zu berücksichtigen, dass der Kläger nachvollziehbar dargelegt habe, dass die streitgegenständlichen Zahlungsvorgänge von ihm selbst nicht autorisiert wurden, sondern die Autorisierung durch das missbräuchliche Eingreifen einer - inzwischen strafrechtlich verfolgten - Finanzagentin erfolgt sei. Außerdem habe der Kläger substantiiert dargelegt, dass er zum Zeitpunkt der Freigaben der Transaktionen aufgrund der ihm vorliegenden Informationen davon ausging, dass er lediglich den Auftrag zur Anpassung seines Online-Bankings nicht aber Überweisungsaufträge bestätigte.

S-pushTan-Verfahren ist nicht zu beanstanden

Der Senat schloss sich der Kritik des Klägers nicht an, dass ein Verschulden der Bank auch darin zu sehen sei, dass sie keine starke Authentifizierung für Zahlungsvorgänge verlange. § 55 Abs. 5 ZAG (Zahlungsdiensteaufsichtsgesetz), der für bestimmte Fälle eine starke Kunden-Authentifizierung durch 2 Faktoren vorsieht, beinhalte eine aufsichtsrechtliche Regelung, aus der keine Haftung abgeleitet werden könne. Außerdem vertrete der Senat die Auffassung, dass das von der Beklagten - wie von den meisten Sparkassen -  verwendete S-pushTAN-Verfahren die Voraussetzungen einer starken Kunden-Authentifizierung erfüllt.

Wechselseitige Schadensersatzansprüche

Als Folge der fehlenden Autorisierung der beiden Überweisungen durch den Kläger selbst bejahte das Gericht einen Aufwendungsersatzanspruch des Klägers gemäß § 675u Satz 2 BGB. Damit stehe dem Kläger im Ergebnis ein Anspruch auf Wiedergutschrift der Überweisungsbeträge, geschmälert um den gegenläufigen Schadensersatzanspruch der Beklagten gemäß § 675v Abs. 3 Nr. 2 BGB zu.

Überwiegendes Verschulden des Bankkunden

Im Rahmen des Mitverschuldens gemäß § 254 BGB bewertete der Senat die wechselseitige Verschuldensquote mit 4/5 zu 1/5 zulasten des Klägers. Die telefonische Freigabe der PushTAN sei grob fahrlässig erfolgt. Seit Jahren warnten die Banken vor Phishing-Angriffen. Medial werde hierüber häufig und umfassend berichtet. Spätestens bei der Aufforderung, seine persönlichen Sicherheitsmerkmale bekannt zu geben, habe der Kläger mit einer Betrugssituation rechnen müssen.

Bank muss 20 % des Schadens ersetzen

Nach der Entscheidung des OLG hatte der Kläger damit im Ergebnis einen Anspruch auf Wiedergutschrift in Höhe von knapp 10.000 Euro, während die übrigen knapp 40.000 Euro für ihn verloren sind.

(OLG Dresden, Urteil v. 5.6.2025, 8 U 1482/24)