Keine Bankhaftung nach grob fahrlässigem Verhalten im Zusammenhang mit Phishing
OLG Oldenburg, Urteil vom 24.04.2025 – 8 U 103/23 –

Zum Urteil
Das Oberlandesgericht Oldenburg hat mit Urteil vom 24. April 2025 (Az.: 8 U 103/23) entschieden, dass eine Bank nicht zur Rückerstattung von im Zusammenhang mit einem Phishing-Angriff erlangten Beträgen verpflichtet ist, wenn der betroffene Kunde im Zuge des Angriffs in grob fahrlässiger Weise zur Authentifizierung genutzte Zugangsdaten preisgegeben hat.

Sachverhalt

Dem Verfahren lag folgender Sachverhalt zugrunde: Die Kläger, ein Ehepaar, unterhielten ein Gemeinschaftskonto bei der beklagten Bank. Im Jahr 2021 erhielt die Ehefrau eine vermeintliche E-Mail der Bank mit der Aufforderung, binnen zwei Tagen die PushTAN-Registrierung zu aktualisieren. Nach Klick auf einen enthaltenen Link gelangte sie auf eine gefälschte Website, auf der sie persönliche Daten — darunter mindestens das Geburtsdatum und die EC-Kartennummer, nach Überzeugung des Gerichts jedoch auch Anmeldename und PIN — eingab. Im Anschluss erhielt sie per SMS einen Link zur vermeintlichen Neuregistrierung des PushTAN-Verfahrens. Am Folgetag musste sie feststellen, dass knapp 41.000 € mittels zweier Echtzeitüberweisungen auf ein Konto in Estland transferiert worden waren.

Verfahrensgang

Die Klage auf Erstattung des abgebuchten Betrages hatte bereits in erster Instanz keinen Erfolg. Das Landgericht stellte fest, dass die Autorisierung der streitgegenständlichen Zahlungsaufträge zwar ohne Wissen und Wollen der Kontoinhaber erfolgt sei. Ein Anspruch auf Rückerstattung gemäß § 675u Satz 2 BGB bestehe jedoch nicht, da nach Überzeugung des Gerichts ein anspruchsmindernder Schadensersatzanspruch der Bank gegeben sei: Die Klägerin habe ihre Sorgfaltspflichten aus dem Vertragsverhältnis grob fahrlässig verletzt (§ 675v Abs. 3 Nr. 2 BGB), insbesondere durch Preisgabe von Anmeldedaten und PIN. Diese grobe Fahrlässigkeit müsse sich auch der Kläger gemäß § 278 BGB zurechnen lassen.

Die hiergegen gerichtete Berufung blieb erfolglos; die Entscheidung ist rechtskräftig.

Entscheidungsgründe

Das OLG bestätigte, dass den Klägern gegen die Bank kein Anspruch auf Ersatz des entstandenen Schadens zusteht. Im Rahmen der Beweisaufnahme ließ sich nicht ausschließen, dass die Klägerin auf der Phishing-Seite neben dem Geburtsdatum und der EC-Kartennummer auch Anmeldename und PIN preisgegeben hat. Nach den Feststellungen des gerichtlich bestellten Sachverständigen ist es zudem technisch erforderlich, diese Daten zur Durchführung von Überweisungen nutzen zu können. Zusätzlich nahm das OLG an, dass die Klägerin grob fahrlässig gehandelt hat, indem sie — mutmaßlich unwissentlich — den per SMS erhaltenen Registrierungslink bzw. -code an die Täter weitergegeben oder weitergeleitet hat.

Nach Ansicht des Gerichts hätte die Klägerin zudem bereits aufgrund der Gestaltung der E-Mail (keine namentliche Anrede, mehrere orthografische Fehler) Zweifel an deren Authentizität haben müssen. Die Bank treffe im konkreten Fall kein Mitverschulden, insbesondere war sie zur fraglichen Zeit nicht verpflichtet, die Registrierungs-SMS mit einem ausdrücklichen Warnhinweis zu versehen, wonach eine Weitergabe an Dritte zu unterlassen ist.

Fazit

Das Urteil verdeutlicht die hohen Anforderungen an die Sorgfaltspflichten von Bankkunden im Zusammenhang mit dem Umgang mit Authentifizierungsverfahren. Grobe Fahrlässigkeit, etwa durch das unbedachte Preisgeben von Zugangsdaten auf gefälschten Websites, schließt eine Haftung der Bank grundsätzlich aus.