Über eine Schaltfläche in der Mail wurde der Sparkassen-Kunde auf eine täuschend echte Betrugs-Website geleitet, wo er seine Zugangsdaten für das Online-Banking, Passwort und PIN eingab. (Foto: © scyther5 /123RF.com)
Vorlesen:
Eine Sparkasse muss einem Kunden, der sich bei einem Phishing-Angriff grob fahrlässig verhielt, einen Teil seines Schadens erstatten. Das OLG Dresden sah ein Mitverschulden der Bank.
Bei einem Phishing-Angriff gab ein Sparkassen-Kunde auf einer Fake-Seite seine Zugangsdaten, Passwort und PIN ein. Die Bank haftet dafür mit einem Teilbetrag. Das Oberlandesgericht Dresden lastete ihr ein Mitverschulden an, weil Passwort und PIN reichten, um sich ins Online-Banking einzuloggen. Aber der Kunde muss den Großteil des Schadens tragen.
Das Phishing-Opfer hatte eine Fake-Mail vermeintlich vom "Kundenservice" seiner Sparkasse erhalten. Darin stand, dass das Online-Banking aktualisiert werde und dafür Anpassungen notwendig seien. Über eine Schaltfläche in der Mail wurde der Sparkassen-Kunde auf eine täuschend echte Betrugs-Website geleitet, wo er seine Zugangsdaten für das Online-Banking, Passwort und PIN eingab.
Wenige Tage später rief ihn ein vermeintlicher Sparkassen-Mitarbeiter an, der ihn aufforderte, auf seinem Smartphone mehrfach "Aufträge" über seine S-pushTAN-App zu bestätigen. Der Angreifer hatte diese erstellt, nachdem er sich mit dem erbeuteten Passwort und der PIN im Online-Banking des Sparkassen-Kunden eingeloggt hatte. Der Mann glaubte, bei den "Aufträgen" gehe es um die Aktualisierung des Online-Bankings. Das Ganze wiederholte sich einen Tag später erneut. Tatsächlich wurde beide Male damit das Tageslimit für Überweisungen erhöht, anschließend wurden rund 50.000 Euro auf ein unbekanntes Konto überwiesen und der Anmeldename für das Online-Banking geändert.
Etwa zwei Wochen später bemerkte der Kunde, dass er sich nicht mehr bei seinem Sparkassen-Account einloggen konnte. Er kontaktierte seinen Bankberater, der ihn über die Kontobewegungen informierte. Nachdem klar war, dass es sich um einen Online-Betrug handelte, verlangte der Kunde sein Geld von der Sparkasse zurück. Sein Argument: Er habe die Zahlungen nicht autorisiert. Jedenfalls hafte er nicht, weil die Bank beim Einloggen in das Online-Banking keine starke Kunden-Authentifizierung verlange. Die Bank hingegen meinte, der Kunde autorisiere eine Zahlung auch dann, wenn er über den Zweck des freigegebenen Auftrags getäuscht wurde.
Betriebsführung
Betriebsführung
Betriebsführung
Anders als die Vorinstanz gab das Oberlandesgericht (OLG) Dresden dem Kunden zum Teil Recht: Knapp 10.000 Euro muss die Sparkasse ihm zurückerstatten. Denn der Mann habe die Zahlungen nicht autorisiert. Nach § 675 u S. 2 BGB habe er einen Anspruch auf Erstattung des Betrags. Zwar habe die Sparkasse die Authentifizierung des Mannes durch technische Protokolle nachgewiesen (§ 675 w Abs. 1 S. 1 BGB), den Anscheinsbeweis für die Autorisierung habe der Mann aber jedenfalls mit der Schilderung des Phishing-Angriffs erschüttert.
Die Sparkasse hatte argumentiert, der Kunde autorisiere eine Zahlung auch, wenn er einen Auftrag freigebe, über dessen Zweck er getäuscht wurde. Die Richterinnen und Richter waren anderer Meinung: Dann würde das Missbrauchsrisiko entgegen dem Gesetz pauschal dem Kunden zugewiesen.
Auch gebe es keine Anscheinsvollmacht bei missbräuchlichen Eingriffen eines Dritten im Online-Banking, so das Urteil. Maßgeblich sei vielmehr, ob nach den Umständen des Einzelfalls eine Zustimmung gegeben sei. Hier sei das wegen des Hackerangriffs, bei dem der Mann unbewusst die Zahlung auslöste, nicht der Fall.
Das OLG entschied allerdings, dass der Kunde grob fahrlässig seine Sorgfaltspflichten aus § 675 l Abs. 1 Satz 1 BGB und den Sparkassen-AGB verletzt hat. Er habe dem Angreifer Zugriff auf ein personalisiertes Sicherheitsmerkmal gegeben, indem er die S-pushTAN-App "auf Zuruf der Anrufer" betätigte und die Aufträge ohne Überprüfung der angezeigten Daten freigab.
Die sprachlichen Fehler in der angeblich von seiner Sparkasse stammenden E-Mail und der weitere Ablauf hätten ihn misstrauisch machen müssen, betonte das Gericht. Phishing sei bekannt und in den Medien ein präsentes Thema, die Sparkasse habe in ihren Sicherheitshinweisen vor solchen Phishing-Angriffen gewarnt. Außerdem müsse es jedem einleuchten, dass eine App zur Freigabe von Zahlungen nicht für eine angebliche Aktualisierung genutzt werden dürfe. Die Sparkasse habe daher einen Schadensersatzanspruch § 675 v Abs. 3 Nr. 2 BGB gegen ihn, mit dem sie aufrechnen könne.
Das OLG hat der Sparkasse aber wegen der fehlenden starken Kunden-Authentifizierung beim Online-Zugriff ein Mitverschulden von 20 Prozent angelastet. Der Hacker habe nach dem Login sensible Zahlungsdaten einsehen können, sodass der Verstoß gegen § 55 ZAG mitursächlich für das Gelingen des Betrugs gewesen sei.
Oberlandesgericht Dresden, Urteil vom 5. Juni 2025, Az. 8 U 1482/24
Die Berater in den Handwerkskammern helfen Ihnen bei Rechtsfragen gerne weiter!
DHB jetzt auch digital!Einfach hier klicken und für das digitale Deutsche Handwerksblatt (DHB) registrieren!
Newsletter
Kommentar schreiben