02732 791079
Ersteinschätzung
Menu

Die grobe Fahrlässigkeit beim PushTAN: Wer trägt den Schaden?

Ein Bankkunde forderte nach einer Betrugsüberweisung 15.000 Euro zurück, obwohl ihm die grobe Fahrlässigkeit beim PushTAN-Verfahren vorgeworfen wurde. Entscheidend war, wie das Gericht die Verletzung der Sorgfaltspflichten des Kunden technisch bewerten ließ, um den Erstattungsanspruch entfallen zu lassen.

Zum vorliegenden Urteil Az.: 8 U 103/23 | Schlüsselerkenntnis | FAQ  | Glossar  | Kontakt

Das Wichtigste in Kürze

  • Gericht: Oberlandesgericht Oldenburg
  • Datum: 24.04.2025
  • Aktenzeichen: 8 U 103/23
  • Verfahren: Berufungsverfahren
  • Rechtsbereiche: Zahlungsverkehrsrecht, Haftungsrecht, Online-Banking
  • Das Problem: Ein Ehepaar verlor nach einem Phishing-Angriff 41.069 Euro von seinem Online-Konto. Die Eheleute forderten die Bank zur Rückerstattung auf, da die Überweisungen nicht autorisiert waren. Die Bank lehnte dies ab und warf dem Paar Grobe Fahrlässigkeit vor.
  • Die Rechtsfrage: Muss die Bank den Schaden aus den Betrugsüberweisungen ersetzen, obwohl der Kunde seine Anmelde- und TAN-Daten durch grobe Fahrlässigkeit an die Täter weitergegeben hat?
  • Die Antwort: Nein. Das Gericht wies die Klage ab, weil die Klägerin die betrügerischen Überweisungen durch grob fahrlässiges Verhalten selbst verursacht hatte. Der Erstattungsanspruch entfiel vollständig.
  • Die Bedeutung: Bankkunden müssen bei der Nutzung von Online-Banking und TAN-Verfahren größte Sorgfalt walten lassen. Bei grober Fahrlässigkeit im Umgang mit Zugangs- und Registrierungsdaten tragen sie den durch Betrug entstandenen Schaden allein.

Phishing-Angriff: Wann haftet die Bank nicht mehr?

Wenn durch einen Phishing-Angriff Tausende von Euro vom Konto verschwinden, stellt sich eine quälende Frage: Wer trägt den Schaden? Normalerweise muss die Bank das Geld erstatten. Doch das Oberlandesgericht Oldenburg hat in einem Urteil vom 24. April 2025 (Az. 8 U 103/23) eine klare Grenze gezogen. Es entschied, dass ein Ehepaar den Verlust von 41.069 Euro selbst tragen muss, weil die Ehefrau auf einen Betrug hereinfiel und dabei die grundlegendsten Sorgfaltspflichten des Online-Bankings in mehrfacher Hinsicht verletzte. Die Entscheidung zeigt detailliert, wann aus einem unglücklichen Vorfall eine rechtlich vorwerfbare, grobe Fahrlässigkeit wird, die den Schutz des Bankkunden aufhebt.

Wie führten eine E-Mail und eine SMS zu 41.000 € Verlust?

Nahaufnahme einer unvorsichtigen Hand, die auf einem Smartphone einen Link antippt; unscharf im Hintergrund ist ein Laptop mit einer gefälschten Banking-Seite.
OLG Oldenburg: Grobe Fahrlässigkeit hebt Bankhaftung bei Phishing-Schäden auf. | Symbolbild: KI

Die Kläger, ein Ehepaar, führten bei der beklagten Bank ein gemeinsames Girokonto. Die Ehefrau, selbst Mitarbeiterin der Bank, nutzte seit 2013 das Online-Banking und war im Dezember 2020 vom älteren smsTAN-Verfahren auf das modernere PushTAN-Verfahren umgestiegen. Am 4. März 2021 erhielt sie eine E-Mail, die auf den ersten Blick von ihrer Bank zu stammen schien, jedoch von einer verdächtigen Absenderadresse kam. In der E-Mail wurde sie aufgefordert, über einen Link ihre Daten zu bestätigen.

Sie klickte auf den Link und landete auf einer professionell gefälschten Webseite, einer sogenannten Phishing-Seite. Dort gab sie, wie sie später zugab, ihr Geburtsdatum und die Nummer ihrer Girocard ein. Unmittelbar danach erhielt sie eine SMS, die einen Link zur Registrierung eines neuen Geräts für die PushTAN-App enthielt. Was dann geschah, führte zum Desaster: Unbekannte Täter nutzten die erbeuteten Daten, um ein neues Gerät für das PushTAN-Verfahren der Klägerin zu registrieren. Sie erhöhten das Tageslimit des Kontos und führten zwei Echtzeit-Überweisungen über insgesamt 41.069 Euro auf ein estnisches Konto aus. Erst am nächsten Tag, dem 5. März 2021, bemerkte die Ehefrau den Betrug und meldete den Vorfall der Bank. Das Ehepaar forderte die volle Erstattung des Geldes.

Wer zahlt bei Online-Banking-Betrug laut Gesetz?

Das Gesetz schafft hier auf den ersten Blick eine kundenfreundliche Regelung. Nach § 675u Satz 2 des Bürgerlichen Gesetzbuches (BGB) muss die Bank im Falle einer nicht vom Kunden genehmigten, also nicht autorisierten Überweisung den Betrag unverzüglich erstatten. Der Kunde soll grundsätzlich nicht das Risiko tragen, wenn sich Dritte unbefugt Zugang zu seinem Konto verschaffen. Das Konto muss so wiederhergestellt werden, als hätte die betrügerische Zahlung nie stattgefunden.

Doch dieser Schutz ist nicht grenzenlos. Das Gesetz sieht eine entscheidende Ausnahme vor, die das Haftungsrisiko wieder auf den Kunden zurückverlagert. Gemäß § 675v Abs. 3 Nr. 2 BGB muss der Kunde den gesamten Schaden selbst tragen, wenn er den Betrug durch eine grob fahrlässige Verletzung seiner Sorgfaltspflichten ermöglicht hat. Zu diesen Pflichten, die in § 675l BGB geregelt sind, gehört vor allem, die personalisierten Sicherheitsmerkmale – also Anmeldename, PIN und die zur Freigabe einer Transaktion nötige TAN – geheim zu halten und vor dem Zugriff Dritter zu schützen. Die zentrale Frage für jedes Gericht ist daher: War das Verhalten des Kunden nur ein unglücklicher Fehler oder ein derart schwerwiegender Verstoß gegen die übliche Vorsicht, dass man von grober Fahrlässigkeit sprechen muss?

Warum das Gericht grobe Fahrlässigkeit feststellte

Das Oberlandesgericht Oldenburg bestätigte die Entscheidung der Vorinstanz, des Landgerichts Oldenburg, und wies die Klage des Ehepaars ab. Zwar handelte es sich unstrittig um nicht autorisierte Überweisungen, was grundsätzlich den Erstattungsanspruch aus § 675u BGB auslöst. Doch das Gericht sah diesen Anspruch durch den Schadensersatzanspruch der Bank aus § 675v BGB als vollständig verdrängt an. Die Richter waren nach einer umfassenden Beweisaufnahme überzeugt, dass die Ehefrau grob fahrlässig gehandelt hatte.

Musste die Kundin ihre Zugangsdaten preisgegeben haben?

Die entscheidende Frage für das Gericht war, wie die Täter an alle notwendigen Informationen gelangen konnten, um die Überweisungen auszuführen. Die Ehefrau behauptete, sie habe auf der Phishing-Seite lediglich ihr Geburtsdatum und ihre Kartennummer eingegeben. Doch um das Tageslimit zu erhöhen und zwei Echtzeit-Überweisungen freizugeben, brauchten die Täter zwingend mehr: den Anmeldenamen und die persönliche PIN für das Online-Banking sowie die Kontrolle über die PushTAN-Registrierung. Die Kläger konnten keine plausible Erklärung liefern, wie die Täter an diese Daten gekommen sein sollten, wenn nicht durch ihre Preisgabe.

Wie das Gericht den Tathergang rekonstruierte

An diesem Punkt wurde das Gutachten eines IT-Sachverständigen zum Dreh- und Angelpunkt der richterlichen Überzeugungsbildung. Der Experte Dr.-Ing. DD analysierte den gesamten technischen Ablauf und prüfte alternative Szenarien. Hätten die Täter das iPhone der Klägerin mit einer Schadsoftware (einem Banking-Trojaner) infizieren können? Für iPhones, so der Experte, sei dies extrem unwahrscheinlich. Kam ein sogenannter SIM-Swap infrage, bei dem Täter die SIM-Karte des Opfers auf sich umleiten? Das schloss das Gericht aus, da die Registrierungs-SMS nachweislich auf dem Handy der Klägerin angekommen war. Auch ein komplexer Angriff auf das Mobilfunknetz (ein SS7-Angriff) wurde als unplausibel bewertet.

Nachdem alle denkbaren technischen Angriffswege ausgeschlossen waren, blieb für den Sachverständigen und das Gericht nur eine logische Schlussfolgerung: Die Täter mussten die Daten durch sogenanntes Social Engineering direkt vom Opfer erhalten haben. Das bedeutet, die Ehefrau musste auf der gefälschten Webseite nicht nur Geburtsdatum und Kartennummer, sondern auch ihren Anmeldenamen und ihre PIN eingegeben haben. Anders, so das Gericht in seiner freien Beweiswürdigung nach § 286 der Zivilprozessordnung (ZPO), war der erfolgreiche Angriff technisch nicht erklärbar.

Die SMS als entscheidendes K.O.-Kriterium

Der zweite, ebenso schwerwiegende Fehler war der Umgang mit der Registrierungs-SMS. Um die Kontrolle über das PushTAN-Verfahren zu erlangen, mussten die Täter den Inhalt dieser SMS kennen – also den darin enthaltenen Link oder einen Code. Die Ehefrau verstrickte sich hier in widersprüchliche Aussagen. Zunächst gab sie an, die SMS gar nicht bemerkt zu haben. Später hieß es, sie habe sie erst im Gespräch mit ihrem ersten Anwalt entdeckt. Ihr Anwalt, als Zeuge vernommen, konnte dies jedoch nicht bestätigen. Seine Notizen deuteten eher darauf hin, dass sie die SMS schon vorher kannte.

Diese Ungereimtheiten schwächten die Glaubwürdigkeit der Klägerin erheblich. Da sie keine schlüssige Erklärung liefern konnte, wie die Täter sonst an die Registrierungsdaten gelangt sein sollten, griff das Gericht zu einem prozessualen Mittel. Es wertete den Vortrag der Bank – die Klägerin müsse den Link oder Code an die Täter weitergegeben haben – als zugestanden, weil die Klägerin ihn nicht substantiiert widerlegen konnte. Dieser doppelte Sicherheitsverstoß – die Preisgabe der Zugangsdaten und die Weitergabe der Registrierungsdaten – war für das Gericht der Beweis für ein Versagen, das weit über leichte Unachtsamkeit hinausging.

Warum die Argumente der Kläger nicht überzeugten

Das Ehepaar versuchte, die Schuld oder zumindest eine Mitschuld bei der Bank zu verorten. Sie argumentierten, das PushTAN-Verfahren an sich sei unsicher, und die Bank hätte in der Registrierungs-SMS explizit vor Betrug warnen müssen. Beide Argumente verwarf das Gericht. Das PushTAN-Verfahren ist ein etablierter und verbreiteter Standard im deutschen Bankwesen. Zum Zeitpunkt des Vorfalls im März 2021 gab es für die Bank keine Veranlassung, von einer besonderen Unsicherheit auszugehen.

Dass die Bank später ihre Warnhinweise verbesserte, wertete das Gericht nicht als Eingeständnis einer früheren Pflichtverletzung. Im Gegenteil: Es zeige, dass die Bank ihre Sicherheitsmaßnahmen fortlaufend an neue Angriffsmuster anpasst. Ein Mitverschulden der Bank nach § 254 BGB lag daher nicht vor. Der objektive Pflichtverstoß lag allein bei der Kundin, die auf eine E-Mail mit zahlreichen verdächtigen Merkmalen – eine untypische Absenderadresse, eine unpersönliche Anrede und Rechtschreibfehler – hereingefallen war. In Anbetracht ihrer langjährigen Erfahrung mit dem Online-Banking wertete das Gericht dieses Verhalten als subjektiv unentschuldbar und damit als grob fahrlässig.

Das Urteil: Kein Geld zurück und alle Kosten tragen

Die Konsequenz dieser richterlichen Würdigung ist für das Ehepaar hart. Ihr Anspruch auf Erstattung der 41.069 Euro wurde vollständig durch den Gegenanspruch der Bank auf Schadensersatz zunichtegemacht. Das OLG Oldenburg wies die Berufung zurück und bestätigte das klageabweisende Urteil des Landgerichts. Das Ehepaar muss nicht nur den finanziellen Verlust der betrügerischen Überweisungen tragen, sondern auch die gesamten Kosten des Rechtsstreits durch zwei Instanzen.

Was bedeutet dieses Urteil für Bankkunden?

Der Beschluss des Oberlandesgerichts Oldenburg verdeutlicht eine zentrale Weichenstellung im Haftungsrecht des Online-Bankings. Er bestätigt, dass der gesetzliche Schutz des Bankkunden endet, wo grobe Fahrlässigkeit beginnt. Grob fahrlässig handelt demnach nicht nur, wer auf eine offensichtliche Phishing-Mail klickt und seine Zugangsdaten auf einer gefälschten Seite eingibt. Die Schwelle wird insbesondere dann überschritten, wenn ein zweiter, separater Sicherungsschritt – wie die Weitergabe eines per SMS erhaltenen Registrierungs-Links oder Codes – ebenfalls missachtet wird.

Wenn Gerichte durch Sachverständigengutachten zu dem Schluss kommen, dass ein Betrug technisch nur durch die Preisgabe dieser Daten durch den Kunden selbst möglich war, wiegt dies schwerer als dessen bloße Behauptung, dies nicht getan zu haben. Das Urteil stellt klar, dass Kunden die volle Verantwortung für den Schaden tragen, wenn ihr Verhalten eine Kette von Sicherheitsverletzungen ermöglicht, die den Tätern Tür und Tor zum Konto öffnen.

Die Urteilslogik

Der umfassende gesetzliche Schutz des Kunden bei nicht autorisierten Zahlungen endet abrupt, sobald grobe Fahrlässigkeit die Ursache für den finanziellen Verlust ist.

  • Verletzung mehrerer Sicherheitsebenen: Grobe Fahrlässigkeit liegt dann vor, wenn der Kunde nicht nur die Zugangsdaten auf einer gefälschten Website eingibt, sondern zusätzlich einen zweiten, separaten Sicherheitsmechanismus, wie die Bestätigung einer TAN-Verfahrens-Registrierung per SMS, ignoriert oder an die Täter weitergibt.
  • Die technische Beweislast: Schließen technische Sachverständigengutachten alle komplexen Angriffswege (wie Trojaner oder SIM-Swaps) aus, müssen Gerichte die Preisgabe der sicherheitsrelevanten Daten durch den Kunden als einzig logisch mögliche Ursache für den Schaden annehmen.
  • Die Pflicht zur Substanziierung: Kunden schwächen ihren Erstattungsanspruch erheblich, wenn ihre Darstellung des Tathergangs widersprüchlich ist und sie dem Gericht keine plausible Erklärung liefern, wie Kriminelle sonst an sämtliche notwendigen Sicherheitsmerkmale gelangen konnten.

Kunden tragen die volle Verantwortung, wenn ihr Verhalten eine Kette von Sorgfaltspflichtverletzungen ermöglicht, die den Tätern den ungehinderten Zugriff auf das Konto eröffnen.

Benötigen Sie Hilfe?

Wurde Ihnen nach einem Phishing-Angriff grobe Fahrlässigkeit vorgeworfen? Lassen Sie Ihre individuelle Situation prüfen und fordern Sie eine unverbindliche Ersteinschätzung an.

Experten Kommentar

Wer nach einem Phishing-Angriff vor Gericht nur behauptet, die geheimen Zugangsdaten nicht preisgegeben zu haben, steht auf verlorenem Posten. Dieses Urteil ist strategisch wichtig, weil es zeigt, dass Banken mithilfe von IT-Gutachten alle anderen technischen Angriffswege systematisch ausschließen können. Wenn der Schaden technisch nur durch die Preisgabe von PIN, TAN und den PushTAN-Registrierungscode erklärbar ist, zieht das Gericht die einzig logische Schlussfolgerung: grobe Fahrlässigkeit. Die Botschaft ist unmissverständlich: Sobald Kunden mehrere Sicherheitsschranken nacheinander selbst öffnen, endet die gesetzliche Haftung der Bank konsequent.

Häufig gestellte Fragen (FAQ)

Muss meine Bank gestohlenes Geld nach einem Phishing-Angriff erstatten?

Nach einem Phishing-Angriff muss Ihre Bank nicht autorisierte Zahlungen unverzüglich erstatten. Der Gesetzgeber schützt Sie durch § 675u BGB: Das Konto muss so wiederhergestellt werden, als hätte die betrügerische Zahlung nie stattgefunden. Dieser gesetzliche Schutz ist jedoch nicht grenzenlos, wenn Sie den Schaden durch eigenes Fehlverhalten selbst ermöglichten.

Dieser Anspruch auf Erstattung entfällt vollständig, falls die Bank Ihnen nachweisen kann, dass Sie Ihre Sorgfaltspflichten grob fahrlässiges Verhalten verletzt haben. Die Bank muss beweisen, dass Ihr Verhalten eine derart schwerwiegende Missachtung der üblichen Vorsicht darstellte. Gemäß § 675v Abs. 3 Nr. 2 BGB tragen Sie in diesem Fall den gesamten Verlust von 100 Prozent.

Grobe Fahrlässigkeit liegt typischerweise bei einem sogenannten doppelten Sicherheitsverstoß vor. Dies geschieht, wenn Kunden nicht nur Zugangsdaten preisgeben, sondern zusätzlich den kritischen Registrierungscode für das Zwei-Faktor-Verfahren weiterleiten. Im Fall des OLG Oldenburg trugen Kläger den Verlust von über 41.000 Euro selbst. Neben dem monetären Schaden mussten sie auch alle Verfahrens- und Gerichtskosten beider Instanzen tragen.

Melden Sie den Phishing-Angriff sofort telefonisch und reichen Sie parallel unverzüglich eine schriftliche Forderung auf Erstattung nach § 675u Satz 2 BGB ein, um Ihren Rechtsanspruch formal zu sichern.

zurück

Wann gilt mein Verhalten beim Phishing als grob fahrlässig und die Bank haftet nicht?

Die Schwelle zur groben Fahrlässigkeit ist erreicht, wenn Sie grundlegendste Sicherheitsregeln in schwerem Maße missachten und den Tätern damit ermöglichen, mehrere Sicherheitsschranken zu überwinden. Gerichte sprechen in solchen Fällen oft von einem „Doppelfehler“. Grobe Fahrlässigkeit liegt vor, wenn ein Fehler passiert, der jedem hätte auffallen müssen. Nur dann entfällt der gesetzliche Erstattungsanspruch Ihnen gegenüber.

Der Verstoß beginnt bereits, wenn Sie offensichtliche Warnsignale in der Phishing-E-Mail ignorieren. Dazu zählen untypische Absenderadressen, unpersönliche Anreden oder sichtbare Rechtschreibfehler. Grob fahrlässig handeln Sie, wenn Sie diesen Warnsignalen zum Trotz Ihre sensiblen Online-Banking-Zugangsdaten, wie Anmeldename und PIN, auf der gefälschten Webseite eingeben. Dies stellt die erste schwere Pflichtverletzung dar.

Das entscheidende K.O.-Kriterium ist häufig der doppelte Sicherheitsverstoß, wie im Urteil des OLG Oldenburg deutlich wurde. Im dortigen Fall machte die Kundin den Fehler perfekt, indem sie zusätzlich den Inhalt der PushTAN-Registrierungs-SMS an die Betrüger weitergab. Die Weitergabe dieses zweiten, separaten Sicherheitsschritts ermöglicht es den Tätern, das gesamte Zwei-Faktor-Verfahren auszuhebeln und die Kontrolle über künftige Autorisierungen zu erlangen.

Sichern Sie sofort Screenshots und Rohdaten der Phishing-E-Mail, um im Streitfall belegen zu können, welche verdächtigen Merkmale objektiv nicht erkennbar waren.

zurück

Wie kann die Bank beweisen, dass ich meine Zugangsdaten an die Betrüger weitergegeben habe?

Die Bank kann die Preisgabe Ihrer Daten nicht direkt beweisen, da dieser Vorgang im privaten Raum des Nutzers stattfand. Die juristische Beweisführung erfolgt deshalb indirekt über eine technische Plausibilitätsprüfung des Tathergangs. Das Gericht beauftragt einen IT-Sachverständigen, der den Betrug detailliert rekonstruiert. Er schließt systematisch alle komplexen, nicht-fahrlässigen Angriffsvektoren aus.

Der Sachverständige analysiert zunächst, welche Daten die Täter zwingend benötigten, etwa Anmeldename, PIN und den Registrierungscode für die PushTAN-App. Anschließend prüft er, ob alternative Angriffswege den Kontozugriff ermöglichten. Technisch unwahrscheinliche Szenarien wie Schadsoftware auf iPhones oder komplexe SIM-Swap Manipulationen, bei denen die Täter Ihre Mobilfunknummer übernehmen, werden dabei ausgeschlossen.

Bleibt die Preisgabe der Daten durch den Kunden als einzige technisch erklärbare Ursache übrig, stützt das Gericht darauf die Annahme der groben Fahrlässigkeit. Dies gilt als hinreichender Beweis dafür, dass die Täter die Informationen durch Social Engineering direkt vom Opfer erhalten haben. Kann der Kunde keine plausible Gegenerklärung für den Datenverlust liefern, folgt die freie Beweiswürdigung des Gerichts meist dem Gutachten des Sachverständigen.

Wenn Sie in ein Verfahren verwickelt werden, fordern Sie die explizite Prüfung aller denkbaren, nicht-fahrlässigen Angriffsvektoren an, um die Beweiskette der Bank zu durchbrechen.

zurück

Reicht die Weitergabe der PushTAN Registrierungs-SMS bereits für grobe Fahrlässigkeit aus?

Ja, die aktive Weitergabe oder das fahrlässige Ignorieren des Codes aus der PushTAN-Registrierungs-SMS stellt einen besonders schwerwiegenden Verstoß dar. Gerichte bewerten dies oft als grobe Fahrlässigkeit, da es den zweiten, unabhängigen Sicherheitsfaktor betrifft. Dieser Fehler ermöglicht den Tätern erst die vollständige Kontrolle über Ihr Konto und die Freigabe von Überweisungen, was den Haftungsausschluss der Bank begründet.

Der PushTAN-Code dient der Geräteregistrierung und ist der kritischste Punkt im Zwei-Faktor-Verfahren. Die Täter benötigen diesen Code zwingend, um sich als legitimer Nutzer auszugeben und zukünftige Transaktionen auf ihrem eigenen Gerät zu autorisieren. Im Fall des OLG Oldenburg wurde diese Verletzung als schwerwiegend eingestuft, weil bereits zuvor die Anmeldedaten und die PIN auf einer gefälschten Phishing-Seite preisgegeben wurden.

Das Gericht wertete die Kette dieser Fehler als doppelten Sicherheitsverstoß und somit als unentschuldbar. Kann ein Kunde keine plausible technische Erklärung liefern, wie die Täter an diesen separaten Registrierungscode gelangt sind, wird sein Bestreiten unglaubwürdig. Das Gericht folgt dann in seiner Beweiswürdigung dem IT-Gutachten, das die Preisgabe der Daten durch das Opfer als einzigen möglichen Tathergang feststellt.

Fordert eine SMS zur Registrierung oder Bestätigung auf, brechen Sie den Vorgang sofort ab und prüfen Sie die Echtheit immer über die offizielle Hotline Ihrer Bank.

zurück

Welche Sorgfaltspflichten muss ich beim Online-Banking zwingend beachten, um nicht zu haften?

Die wichtigste Regel im Online-Banking ist die absolute Geheimhaltung aller personalisierten Sicherheitsmerkmale. Dazu gehören PIN, Anmeldename und sämtliche TANs oder Registrierungscodes. Die Bank muss gestohlenes Geld grundsätzlich erstatten, aber dieser Schutz entfällt sofort, wenn Sie den Schaden durch grobe Fahrlässigkeit ermöglichten. Vermeiden Sie strikt sogenannte Doppelfehler, welche die gesamte Sicherheitskette aushebeln.

Die Hauptpflicht zur Geheimhaltung ist in § 675l BGB geregelt. Sie dürfen Ihre Zugangsdaten nur dann eingeben, wenn Sie selbst eine Transaktion im offiziellen Banking-Portal gestartet haben. Geben Sie diese Daten niemals auf externen Webseiten ein, selbst wenn diese professionell gefälscht sind. Bereits das unkritische Klicken auf Links in verdächtigen E-Mails, die untypische Absenderadressen oder unpersönliche Anreden aufweisen, wird oft als grob fahrlässig bewertet.

Besonderen Schutz verlangt der zweite Sicherheitsfaktor, der die Autorisierung ermöglicht, wie etwa der PushTAN-Registrierungscode. Konkret gilt: Geben Sie diesen Code, der zur Geräteregistrierung dient, unter keinen Umständen auf einer fremden Webseite ein oder leiten ihn weiter. Gerichte sehen die Kombination aus der Preisgabe der Zugangsdaten und der Missachtung dieses zweiten Sicherheitsschritts als eine Kette von Verstößen, die den Haftungsausschluss der Bank begründet.

Führen Sie die Drei-Punkte-Regel ein: Prüfen Sie bei unerwarteten Nachrichten immer Absender, persönliche Anrede und ob die verlangte Handlung von Ihnen initiiert wurde.

zurück

Hinweis: Bitte beachten Sie, dass die Beantwortung der FAQ Fragen keine individuelle Rechtsberatung darstellt und ersetzen kann. Alle Angaben im gesamten Artikel sind ohne Gewähr. Haben Sie einen ähnlichen Fall und konkrete Fragen oder Anliegen? Zögern Sie nicht, uns zu kontaktieren. Wir klären Ihre individuelle Situation und die aktuelle Rechtslage.

Glossar – Fachbegriffe kurz erklärt

Doppelter Sicherheitsverstoß

Ein Doppelter Sicherheitsverstoß liegt vor, wenn ein Bankkunde nacheinander zwei separate Sicherheitshürden bricht, indem er Zugangsdaten und zusätzlich einen kritischen Registrierungscode an Betrüger preisgibt. Juristen sehen darin einen besonders schweren Pflichtenverstoß, der die Schwelle zur groben Fahrlässigkeit in der Regel überschreitet. Dieses Verhalten hebelt das essenzielle Zwei-Faktor-Verfahren vollständig aus und entbindet die Bank von ihrer gesetzlichen Erstattungspflicht.

Beispiel: Das Gericht sah den Doppelten Sicherheitsverstoß bei der Klägerin als erwiesen an, da sie sowohl die Anmeldedaten auf der Phishing-Seite als auch den PushTAN-Registrierungscode weitergegeben haben musste, um den Betrügern die Kontrolle zu ermöglichen.

Zurück

Freie Beweiswürdigung

Die Freie Beweiswürdigung nach § 286 ZPO beschreibt das zentrale richterliche Prinzip, wonach das Gericht Beweise, Zeugenaussagen und Gutachten nach seiner eigenen Überzeugung beurteilt und bewertet. Dieses Verfahren gewährleistet, dass Richter nicht starren Beweisregeln folgen müssen, sondern sich basierend auf der Gesamtbetrachtung des Verfahrens ein umfassendes und schlüssiges Bild vom tatsächlichen Sachverhalt machen können.

Beispiel: Bei der Feststellung des Tathergangs stützte das OLG Oldenburg seine Freie Beweiswürdigung maßgeblich auf die technischen Schlussfolgerungen des IT-Sachverständigen, die andere Angriffswege ausschlossen.

Zurück

Grobe Fahrlässigkeit

Grobe Fahrlässigkeit bezeichnet einen besonders schwerwiegenden Verstoß gegen die im Verkehr erforderliche Sorgfalt, weil der Täter nicht beachtet, was im gegebenen Fall jedem hätte einleuchten müssen. Nach dem BGB ist dies die zentrale Ausnahme, die den gesetzlichen Schutz des Kunden aufhebt und das Haftungsrisiko vollständig auf ihn zurückverlagert. Wer elementarste Sicherheitsregeln ignoriert, soll den dadurch entstandenen Schaden selbst tragen.

Beispiel: Weil die Ehefrau auf die offensichtlich gefälschte E-Mail mit verdächtiger Absenderadresse reagierte und dabei mehrfach sensible Daten preisgab, wertete das Gericht ihr Verhalten als grobe Fahrlässigkeit.

Zurück

Nicht autorisierte Überweisung

Eine Nicht autorisierte Überweisung ist eine Zahlung, die ohne die ausdrückliche Zustimmung des Kontoinhabers erfolgt ist, beispielsweise durch den Missbrauch von Zugangsdaten durch Dritte. § 675u BGB verpflichtet die Bank, den Betrag einer solchen Nicht autorisierten Überweisung unverzüglich zu erstatten, da der Kunde grundsätzlich nicht das Risiko des illegalen Zugriffs tragen soll.

Beispiel: Die Bank musste im vorliegenden Fall zunächst davon ausgehen, dass die 41.069 Euro erstattet werden müssen, da es sich zunächst um Nicht autorisierte Überweisungen handelte.

Zurück

Social Engineering

Social Engineering beschreibt die betrügerische Technik, bei der Täter ihr Opfer manipulieren und psychologisch unter Druck setzen, um vertrauliche Informationen oder Zugangsdaten direkt von ihm zu erhalten. Im Gegensatz zu komplexen technischen Hacks umgeht diese Methode Sicherheitssysteme, indem sie den menschlichen Faktor ausnutzt. Juristisch dient der Nachweis von Social Engineering häufig als starkes Indiz für die Preisgabe der Daten durch das Opfer selbst.

Beispiel: Da der Sachverständige komplizierte Angriffsvektoren für unwahrscheinlich hielt, schloss das Gericht, die Täter hätten die Informationen zwingend durch Social Engineering von der Ehefrau erbeutet.

Zurück

Sorgfaltspflichten

Unter den Sorgfaltspflichten des Bankkunden, die im Gesetz in § 675l BGB geregelt sind, versteht man die gesetzlich vorgeschriebene Pflicht, alle personalisierten Sicherheitsmerkmale geheim zu halten und vor dem unbefugten Zugriff Dritter zu schützen. Diese Pflichten definieren den Mindeststandard an Vorsicht, den jeder Kunde beim Online-Banking einhalten muss. Ihre grob fahrlässige Verletzung führt dazu, dass der Bankkunde für finanzielle Schäden haftet.

Beispiel: Die Ehefrau verletzte ihre Sorgfaltspflichten in schwerem Maße, indem sie Anmeldedaten, Kartennummer und einen PushTAN-Registrierungslink auf einer professionell gefälschten Phishing-Seite eingab.

Zurück

Das vorliegende Urteil

Oberlandesgericht Oldenburg – Az.: 8 U 103/23 – Urteil vom 24.04.2025

* Der vollständige Urteilstext wurde ausgeblendet, um die Lesbarkeit dieses Artikels zu verbessern. Klicken Sie auf den folgenden Link, um den vollständigen Text einzublenden.

Hinweis: Informationen in unserem Internetangebot dienen lediglich Informationszwecken. Sie stellen keine Rechtsberatung dar und können eine individuelle rechtliche Beratung auch nicht ersetzen, welche die Besonderheiten des jeweiligen Einzelfalles berücksichtigt. Ebenso kann sich die aktuelle Rechtslage durch aktuelle Urteile und Gesetze zwischenzeitlich geändert haben. Benötigen Sie eine rechtssichere Auskunft oder eine persönliche Rechtsberatung, kontaktieren Sie uns bitte.

Wie können wir Ihnen helfen?

Wir sind Ihr Ansprechpartner in allen rechtlichen Angelegenheiten. Rufen Sie uns an um einen Beratungstermin zu vereinbaren oder nutzen Sie unser Kontaktformular für eine unverbindliche Ersteinschätzung.

02732 - 791079
jetzt anfragen
Rechtsanwälte Kotz - Kreuztal

Urteile und Rechtstipps

Unsere Kontaktinformationen

Rechtsanwälte Kotz GbR

Siegener Str. 104 – 106
D-57223 Kreuztal – Buschhütten
(Kreis Siegen – Wittgenstein)

Telefon: 02732 791079
(Tel. Auskünfte sind unverbindlich!)
Telefax: 02732 791078

E-Mail Anfragen:
info@ra-kotz.de
ra-kotz@web.de

Rechtsanwalt Hans Jürgen Kotz
Fachanwalt für Arbeitsrecht

Rechtsanwalt und Notar Dr. Christian Kotz
Fachanwalt für Verkehrsrecht
Fachanwalt für Versicherungsrecht
Notar mit Amtssitz in Kreuztal

Bürozeiten:

Montags bis Donnerstags von 8-18 Uhr
Freitags von 8-16 Uhr

Individuelle Terminvereinbarung:
Mo-Do nach 18 Uhr und Samstags möglich.
Wir richten uns flexibel an die Bedürfnisse unserer Mandanten.