Online-Banking-Phishing
OLG Dresden, Beschluss vom 05.05.2025 – 8 U 1482/24
Das Oberlandesgericht Dresden hat mit Beschluss vom 05.05.2025 entschieden, dass eine Bank auch dann teilweise für Schäden aus einem Phishing-Angriff haftet, wenn der betroffene Kunde grob fahrlässig gehandelt hat.
Phishing ist eine Form des Internetbetrugs, bei der Kriminelle versuchen, über gefälschte E-Mails, Webseiten oder Anrufe sensible Daten wie Passwörter, TANs oder Kontonummern zu erlangen. Ziel ist es, sich unberechtigt Zugang zu Bankkonten oder Online-Diensten zu verschaffen, um finanzielle Schäden zu verursachen.
Im vorliegenden Sachverhalt erhielt ein Sparkassenkunde eine täuschend echt wirkende Phishing E-Mail und wurde am Telefon zur Eingabe seiner Zugangsdaten auf einer gefälschten Website verleitet. In der Folge bestätigte er, in der Annahme, es handle sich um ein System-Update, Überweisungen über die S-pushTAN-App. Dabei wurden ihm keine Empfängerdaten oder Beträge angezeigt. Der Gesamtschaden belief sich auf mehr als 49.000,00 €.
Das Oberlandesgericht Dresden stellte klar, dass der Kunde die Zahlungen nicht bewusst autorisiert hatte, etwa weil er die Funktion der App missverstanden hatte. Dieses Verhalten wertete das Gericht jedoch als grob fahrlässig, da er sensible Daten an Kriminelle übermittelte und App-Aufforderungen unkritisch bestätigte.
Gemäß § 55 Gesetz über die Beaufsichtigung von Zahlungsdiensten (ZAG) ist eine starke Kundenauthentifizierung bereits beim Zugriff auf sensible Kontodaten Pflicht, nicht erst bei Transaktionen. Die Sparkasse verlangte jedoch lediglich Benutzername und PIN beim Online-Zugang. Das Gericht sprach dem Kunden daher einen Anspruch auf 20 % Schadensersatz für den Mitverschuldensanteil der Bank zu und somit immerhin knapp 10.000,00 €.
Dieses Urteil hat weitreichende Auswirkungen für Banken und Verbraucher. So bedeutet das für Finanzdienstleister, dass auch beim Kontozugriff eine starke Kundenauthentifizierung unerlässlich ist und Sicherheitslücken, selbst beim Zugang, ein Mitverschulden begründen. Für Bankkunden bedeutet dies, dass Phishing zwar eine grobe Fahrlässigkeit bleibt, dennoch kann ein Teilersatz möglich sein, wenn die Bank ihre Pflichten verletzt.
Der Beschluss des Oberlandesgerichts Dresden verdeutlicht, dass das Online-Banking eine geteilte Verantwortung verlangt. Der Kunde muss bei sogenannten „Social-Engineering-Angriffen“ vorsichtig handeln. Die Bank hingegen ist zur umfassenden technischen und regulatorischen Absicherung verpflichtet. Der Beschluss legt somit den Maßstab für eine rechtskonforme Ausgestaltung der pushTAN-Systeme und Log-in-Prozesse.
Bankkunden haften bei Phishing nicht automatisch allein. Auch Kreditinstitute müssen hohe Sicherheitsstandards erfüllen. Das Urteil stärkt damit die Rechte geschädigter Bankkunden – auch bei eigenem Fehlverhalten.