Wer haftet nach Betrugsfällen beim Online-Banking? Das OLG Oldenburg hat die Haftung einer Bank nach einem „Phishing“-Vorfall abgelehnt. Im Streitfall war ein Ehepaar in einer E-Mail, die scheinbar von der kontoführenden Bank stammte, aufgefordert worden, die pushTAN-Registrierung zu aktualisieren. Nach dem Gericht hätte das Ehepaar Zweifel an der Seriosität der E-Mail haben müssen.
Darum geht es
Geklagt hatte ein Ehepaar aus dem Ammerland, von dessen Konto ein mittlerer fünfstelliger Betrag verschwunden war. Diesen Betrag verlangten die Klägerin und der Kläger von der kontoführenden Bank mit der Begründung zurück, dass die entsprechenden Zahlungsvorgänge von ihnen nicht autorisiert worden seien.
Bei nicht autorisierten Zahlungsvorgängen sieht § 675u Satz 2 BGB grundsätzlich eine Erstattungspflicht des Zahlungsdienstleisters - hier also der Bank - vor.
Passiert war nach den gerichtlichen Feststellungen Folgendes: Die Ehefrau, die spätere Klägerin, hatte eines Tages im Jahr 2021 eine E-Mail erhalten, die scheinbar von dem Bankinstitut stammte, bei dem die Eheleute ihr gemeinsames Konto hatten.
In dieser E-Mail wurde sie aufgefordert, binnen zwei Tagen ihre pushTAN-Registrierung zu aktualisieren, da anderenfalls eine Neuregistrierung erforderlich sein würde. Die Klägerin klickte auf den in der E-Mail angegebenen Link, der sie zu einer - wie sich später herausstellte - gefälschten Website führte.
Dort gab sie zumindest ihr Geburtsdatum und die Nummer ihrer EC-Karte ein. Im Anschluss erhielt sie per SMS einen Registrierungslink für die Neuregistrierung zum pushTAN-Verfahren auf ihr Mobiltelefon.
Am nächsten Tag bemerkte die Klägerin, dass durch zwei Echtzeit-Überweisungen insgesamt knapp 41.000 € von ihrem Gemeinschaftskonto auf ein Konto in Estland transferiert worden waren.
Das in erster Instanz zuständige Landgericht Oldenburg hat die Zahlungsklage der Eheleute gegen die Bank im Jahr 2023 abgewiesen.
Zwar war das Landgericht davon überzeugt, dass die Eheleute die Zahlungsvorgänge in der Tat nicht autorisiert hatten; vielmehr seien die Überweisungen und auch die im Vorfeld erfolgte Erhöhung des Tageslimits durch unbekannte Täter ohne Wissen und Wollen der Kläger ausgelöst worden.
Allerdings bestehe im Ergebnis dennoch kein Anspruch der Eheleute auf Erstattung der Zahlungsbeträge gemäß § 675u Satz 2 BGB gegen die Bank, weil diese den Eheleuten wiederum einen Schadensersatzanspruch entgegenhalten könne. Denn die Ehefrau habe grob fahrlässig im Sinne von § 675v Abs. 3 Nr. 2 BGB gehandelt, was sich der Ehemann gemäß § 278 BGB zurechnen lassen müsse.
Nach der durchgeführten Beweisaufnahme sei, so das Landgericht, nämlich davon auszugehen, dass die Klägerin auf der gefälschten Website nicht nur ihr Geburtsdatum und ihre EC-Karten-Nummer, sondern auch ihren Anmeldenamen und ihre PIN eingegeben habe.
Laut dem gerichtlich bestellten Sachverständigen sei es weder technisch möglich noch plausibel, dass die unbekannten Täter ohne diese Angaben die Überweisungen hätten vornehmen können. Damit aber habe die Klägerin die Sorgfaltspflichten aus dem Vertrag mit der Bank grob verletzt, nach denen sie die zur Authentifizierung bereitgestellten personalisierten Merkmale vor unbefugtem Zugriff zu schützen hatte.
Wesentliche Entscheidungsgründe
Auf die Berufung der Eheleute hat das OLG Oldenburg die Entscheidung des Landgerichts bestätigt.
Die Klägerin hatte in ihren Anhörungen vor dem OLG wiederum nicht zu 100 % ausschließen können, dass sie neben ihrem Geburtsdatum und ihrer EC-Karten-Nummer noch weitere Daten auf der gefälschten Website eingegeben hatte.
Auch aufgrund der Ausführungen des in zweiter Instanz erneut angehörten Sachverständigen erachtete das OLG die Folgerung des Landgerichts, die Klägerin habe auf der gefälschten Website auch ihren Anmeldenamen und ihre PIN eingegeben, als in jeder Hinsicht plausibel.
Der Senat stellte darüber hinaus eine weitere Sorgfaltspflichtverletzung der Ehefrau fest, weil diese nach dem Ergebnis der ergänzenden Beweisaufnahme auch den ihr per SMS zugeschickten Registrierungs-Link beziehungsweise den entsprechenden Registrierungs-Code für die Neuregistrierung zum pushTAN-Verfahren entweder weitergeleitet oder auf sonstige Weise an die Täter weitergegeben hatte.
Zumindest dies sei als grob fahrlässig zu bewerten. Darüber hinaus hätten sich der Klägerin aus mehreren Gründen Zweifel an der Seriosität der E-Mail aufdrängen müssen - u.a. wurden die Kläger hierin nicht namentlich adressiert, sondern mit „Sehr geehrter Kunde“ angesprochen. Außerdem enthielt die E-Mail mehrere Rechtschreibfehler.
Schließlich müsse sich die Bank auch kein Mitverschulden zurechnen lassen; insbesondere sei es zum damaligen Zeitpunkt nicht geboten gewesen, in die Registrierungs-SMS einen - inzwischen von der Beklagten verwendeten - Warnhinweis aufzunehmen, wonach die SMS nicht an dritte Personen weitergeleitet werden darf.
Mithin erhalten die Kläger ihre verlorenen Gelder nicht von ihrer Bank zurück.
Die Entscheidung ist rechtskräftig.
OLG Oldenburg, Urt. v. 24.04.2025 - 8 U 103/23
Quelle: OLG Oldenburg, Pressemitteilung v. 08.08.2025
