Zur Haftung einer Bank nach einem Phishing-Vorfall
OLG Oldenburg v. 24.4.2025 - 8 U 103/23
Der Sachverhalt:
Das klagende Ehepaar unterhält bei der beklagten Bank ein gemeinsames Konto. Im Jahr 2021 erhielt die Klägerin eine E-Mail, die von der Beklagten zu stammen schien. Darin wurde sie aufgefordert, binnen zwei Tagen ihre PushTAN-Registrierung zu aktualisieren, da anderenfalls eine Neuregistrierung erforderlich sein würde. Die Klägerin klickte auf den in der E-Mail angegebenen Link, der sie zu einer - wie sich später herausstellte - gefälschten Website führte. Dort gab sie zumindest ihr Geburtsdatum und die Nummer ihrer EC-Karte ein. Im Anschluss erhielt sie per SMS einen Registrierungslink für die Neuregistrierung zum PushTAN-Verfahren auf ihr Mobiltelefon. Am nächsten Tag bemerkte die Klägerin, dass durch zwei Echtzeit-Überweisungen insgesamt knapp 41.000 € von ihrem Gemeinschaftskonto auf ein Konto in Estland transferiert worden waren. Diesen Betrag verlangen die Kläger von der Beklagten zurück.
Das LG wies die Klage ab. Zwar hätten die Eheleute die Zahlungsvorgänge in der Tat nicht autorisiert; diese seien vielmehr und auch die im Vorfeld erfolgte Erhöhung des Tageslimits durch unbekannte Täter ohne Wissen und Wollen der Kläger ausgelöst worden. Allerdings bestehe im Ergebnis dennoch kein Anspruch der Eheleute auf Erstattung der Zahlungsbeträge gem. § 675u Satz 2 BGB gegen die Beklagte, weil diese den Eheleuten wiederum einen Schadensersatzanspruch entgegenhalten könne. Die Ehefrau habe grob fahrlässig i.S.v. § 675v Abs. 3 Nr. 2 BGB gehandelt, was sich der Ehemann gem. § 278 BGB zurechnen lassen müsse. Es sei davon auszugehen, dass die Klägerin auf der gefälschten Website nicht nur ihr Geburtsdatum und ihre EC-Karten-Nummer, sondern auch ihren Anmeldenamen und ihre PIN eingegeben habe. Es sei weder technisch möglich noch plausibel, dass die unbekannten Täter ohne diese Angaben die Überweisungen hätten vornehmen können. Damit aber habe die Klägerin die Sorgfaltspflichten aus dem Vertrag mit der Beklagten grob verletzt, nach denen sie die zur Authentifizierung bereitgestellten personalisierten Merkmale vor unbefugtem Zugriff zu schützen hatte.
Die Berufung der Kläger hatte vor dem OLG keinen Erfolg. Die Entscheidung ist rechtskräftig.
Die Gründe:
Die Kläger haben keinen Anspruch auf Rückerstattung ihres verlorenen Geldes gegenüber der Beklagten.
Die Klägerin konnte in ihren Anhörungen vor dem OLG nicht zu 100 Prozent ausschließen, dass sie neben ihrem Geburtsdatum und ihrer EC-Karten-Nummer noch weitere Daten auf der gefälschten Website eingegeben hatte. Es ist - auch aufgrund der Ausführungen des angehörten Sachverständigen - in jeder Hinsicht plausibel, dass die Klägerin auf der gefälschten Website auch ihren Anmeldenamen und ihre PIN eingegeben habe.
Darüber hinaus liegt eine weitere Sorgfaltspflichtverletzung der Klägerin darin, dass diese nach dem Ergebnis der ergänzenden Beweisaufnahme auch den ihr per SMS zugeschickten Registrierungs-Link bzw. den entsprechenden Registrierungs-Code für die Neuregistrierung zum PushTAN-Verfahren entweder weitergeleitet oder auf sonstige Weise an die Täter weitergegeben hat. Zumindest dies ist als grob fahrlässig zu bewerten. Darüber hinaus hätten sich der Klägerin aus mehreren Gründen Zweifel an der Seriosität der E-Mail aufdrängen müssen; u.a. wurden die Kläger hierin nicht namentlich adressiert, sondern mit "Sehr geehrter Kunde" angesprochen. Außerdem enthielt die E-Mail mehrere Rechtschreibfehler. Schließlich muss sich die Beklagte auch kein Mitverschulden zurechnen lassen; insbesondere war es zum damaligen Zeitpunkt nicht geboten, in die Registrierungs-SMS einen - inzwischen von der Beklagten verwendeten - Warnhinweis aufzunehmen, wonach die SMS nicht an dritte Personen weitergeleitet werden darf.
Mehr zum Thema:
Rechtsprechung
Zur Anfechtbarkeit einer im pushTAN-Verfahren erteilten Autorisierung einer Zahlung bei Willensmängeln des Zahlers aufgrund der Täuschung durch einen vermeintlichen Bankmitarbeiter (Call-ID Spoofing) und zu Gegenansprüchen des Zahlungsdienstleisters gegen den Zahler auf Schadensersatz
OLG Bremen vom 30.08.2024 - 1 U 32/24
WM 2024, 2235
Aufsatz
Rechtliche Aspekte des Zahlungsinstruments und der starken Kundenauthentifizierung
Stefan Werner, WM 2024, 966
Beratermodul WM / WuB Wirtschafts- und Bankrecht
WM und WuB in einem Modul: Die WM Zeitschrift für Wirtschafts- und Bankrecht informiert wöchentlich aktuell und umfassend im Rechtsprechungsteil über Urteile und Beschlüsse der Gerichte. Die WuB Entscheidungsanmerkungen zum Wirtschafts- und Bankrecht informieren monatlich aktuell und praxisbezogen kommentiert über alle wichtigen wirtschafts- und bankrechtlichen Entscheidungen. 4 Wochen gratis nutzen!
OLG Oldenburg PM Nr. 16 vom 8.8.2025
Das klagende Ehepaar unterhält bei der beklagten Bank ein gemeinsames Konto. Im Jahr 2021 erhielt die Klägerin eine E-Mail, die von der Beklagten zu stammen schien. Darin wurde sie aufgefordert, binnen zwei Tagen ihre PushTAN-Registrierung zu aktualisieren, da anderenfalls eine Neuregistrierung erforderlich sein würde. Die Klägerin klickte auf den in der E-Mail angegebenen Link, der sie zu einer - wie sich später herausstellte - gefälschten Website führte. Dort gab sie zumindest ihr Geburtsdatum und die Nummer ihrer EC-Karte ein. Im Anschluss erhielt sie per SMS einen Registrierungslink für die Neuregistrierung zum PushTAN-Verfahren auf ihr Mobiltelefon. Am nächsten Tag bemerkte die Klägerin, dass durch zwei Echtzeit-Überweisungen insgesamt knapp 41.000 € von ihrem Gemeinschaftskonto auf ein Konto in Estland transferiert worden waren. Diesen Betrag verlangen die Kläger von der Beklagten zurück.
Das LG wies die Klage ab. Zwar hätten die Eheleute die Zahlungsvorgänge in der Tat nicht autorisiert; diese seien vielmehr und auch die im Vorfeld erfolgte Erhöhung des Tageslimits durch unbekannte Täter ohne Wissen und Wollen der Kläger ausgelöst worden. Allerdings bestehe im Ergebnis dennoch kein Anspruch der Eheleute auf Erstattung der Zahlungsbeträge gem. § 675u Satz 2 BGB gegen die Beklagte, weil diese den Eheleuten wiederum einen Schadensersatzanspruch entgegenhalten könne. Die Ehefrau habe grob fahrlässig i.S.v. § 675v Abs. 3 Nr. 2 BGB gehandelt, was sich der Ehemann gem. § 278 BGB zurechnen lassen müsse. Es sei davon auszugehen, dass die Klägerin auf der gefälschten Website nicht nur ihr Geburtsdatum und ihre EC-Karten-Nummer, sondern auch ihren Anmeldenamen und ihre PIN eingegeben habe. Es sei weder technisch möglich noch plausibel, dass die unbekannten Täter ohne diese Angaben die Überweisungen hätten vornehmen können. Damit aber habe die Klägerin die Sorgfaltspflichten aus dem Vertrag mit der Beklagten grob verletzt, nach denen sie die zur Authentifizierung bereitgestellten personalisierten Merkmale vor unbefugtem Zugriff zu schützen hatte.
Die Berufung der Kläger hatte vor dem OLG keinen Erfolg. Die Entscheidung ist rechtskräftig.
Die Gründe:
Die Kläger haben keinen Anspruch auf Rückerstattung ihres verlorenen Geldes gegenüber der Beklagten.
Die Klägerin konnte in ihren Anhörungen vor dem OLG nicht zu 100 Prozent ausschließen, dass sie neben ihrem Geburtsdatum und ihrer EC-Karten-Nummer noch weitere Daten auf der gefälschten Website eingegeben hatte. Es ist - auch aufgrund der Ausführungen des angehörten Sachverständigen - in jeder Hinsicht plausibel, dass die Klägerin auf der gefälschten Website auch ihren Anmeldenamen und ihre PIN eingegeben habe.
Darüber hinaus liegt eine weitere Sorgfaltspflichtverletzung der Klägerin darin, dass diese nach dem Ergebnis der ergänzenden Beweisaufnahme auch den ihr per SMS zugeschickten Registrierungs-Link bzw. den entsprechenden Registrierungs-Code für die Neuregistrierung zum PushTAN-Verfahren entweder weitergeleitet oder auf sonstige Weise an die Täter weitergegeben hat. Zumindest dies ist als grob fahrlässig zu bewerten. Darüber hinaus hätten sich der Klägerin aus mehreren Gründen Zweifel an der Seriosität der E-Mail aufdrängen müssen; u.a. wurden die Kläger hierin nicht namentlich adressiert, sondern mit "Sehr geehrter Kunde" angesprochen. Außerdem enthielt die E-Mail mehrere Rechtschreibfehler. Schließlich muss sich die Beklagte auch kein Mitverschulden zurechnen lassen; insbesondere war es zum damaligen Zeitpunkt nicht geboten, in die Registrierungs-SMS einen - inzwischen von der Beklagten verwendeten - Warnhinweis aufzunehmen, wonach die SMS nicht an dritte Personen weitergeleitet werden darf.
Rechtsprechung
Zur Anfechtbarkeit einer im pushTAN-Verfahren erteilten Autorisierung einer Zahlung bei Willensmängeln des Zahlers aufgrund der Täuschung durch einen vermeintlichen Bankmitarbeiter (Call-ID Spoofing) und zu Gegenansprüchen des Zahlungsdienstleisters gegen den Zahler auf Schadensersatz
OLG Bremen vom 30.08.2024 - 1 U 32/24
WM 2024, 2235
Aufsatz
Rechtliche Aspekte des Zahlungsinstruments und der starken Kundenauthentifizierung
Stefan Werner, WM 2024, 966
Beratermodul WM / WuB Wirtschafts- und Bankrecht
WM und WuB in einem Modul: Die WM Zeitschrift für Wirtschafts- und Bankrecht informiert wöchentlich aktuell und umfassend im Rechtsprechungsteil über Urteile und Beschlüsse der Gerichte. Die WuB Entscheidungsanmerkungen zum Wirtschafts- und Bankrecht informieren monatlich aktuell und praxisbezogen kommentiert über alle wichtigen wirtschafts- und bankrechtlichen Entscheidungen. 4 Wochen gratis nutzen!