Der Bundesgerichtshof hat zu der Frage Stellung genommen, ob ein Bankkunde für einen durch einen Phishing-Angriff verursachten Schaden haften muss und ob das Bankinstitut trotz fehlender starker Authentifizierung bei der Anmeldung im Online-Banking vom Bankkunden Schadensersatz verlangen kann (Az. XI ZR 107/24).
Die Klägerin war seit 2014 Kundin bei der beklagten Sparkasse. Das Bankkonto war per chipTAN-Verfahren gesichert. Bis Juli 2022 nutzte sie einen TAN-Generator, dann wollte sie ihre Zugangsdaten ändern und wurde Opfer eines raffinierten Phishing-Angriffs. Nachdem die Klägerin online mehrfach versucht hatte, ihre PIN zu ändern, wurde sie von einer vermeintlichen Bankmitarbeiterin gegen 23.00 Uhr angerufen. Auf dem Display war die Telefonnummer der Sparkasse zu sehen. Dabei nutzte die Anruferin jedoch eine gefälschte Telefonnummer der Sparkasse und kannte Details zu früheren Buchungen sowie die zuständige Sachbearbeiterin. Die Betrügerin führte die Klägerin über zwei Tage an einem Wochenende hinweg durch den vermeintlichen Installationsprozess eines neuen „Sicherheitsprogramms“. Dabei gab die Klägerin mehrere TANs weiter, die sie manuell mit ihrem TAN-Generator erzeugte. Somit konnte die Betrügerin eine Echtzeitüberweisung in Höhe von 36.666 Euro veranlassen. Die Bankkundin verklagte die Sparkasse auf Erstattung der Überweisungssumme, gestützt auf § 675u BGB (Haftung des Zahlungsdienstleisters für nicht autorisierte Zahlungsvorgänge). Das Landgericht Halle hatte dem weitestgehend stattgegeben, auf Berufung der Sparkasse wies das Oberlandesgericht Naumburg die Klage jedoch ab.
Nun hatte der Bundesgerichtshof über die Revision zu entscheiden und verneinte den Erstattungsanspruch ebenso. Zwar habe ein nicht autorisierter Zahlungsvorgang vorgelegen. Jedoch könne sich die Sparkasse auf einen Schadensersatzanspruch gemäß § 675v Abs. 3 Nr. 2 BGB (Bürgerliches Gesetzbuch) berufen, denn die Klägerin habe grob fahrlässig gehandelt, indem sie trotz zahlreicher Warnzeichen sensible Daten und TANs weitergab. Die Klägerin habe naheliegende Überlegungen nicht angestellt und „jegliche Vorsicht“ vermissen lassen. Sie hätte stutzig werden müssen angesichts der ungewöhnlichen Uhrzeit, der Aufforderung zur Installation eines „neuen Sicherheitsprogramms“ und der Tatsache, dass sie eine Empfänger-IBAN und viermal hohe Überweisungsbeträge in den Generator eingeben musste. Auch am zweiten Tag, mit langer Bedenkzeit, hinterfragte sie das Geschehen nicht – ein klarer Verstoß gegen ihre Sorgfaltspflichten. Unerfahrenheit mit dem manuellen chipTAN-Verfahren schütze nach Auffassung der Richter nicht vor grober Fahrlässigkeit. Der Haftungsausschluss des § 675v Abs. 4 Satz 1 Nr. 1 BGB greife nur dann, wenn für den konkreten Zahlungsvorgang keine starke Kundenauthentifizierung verlangt wurde. Dass die Anmeldung im Online-Banking keine solche Authentifizierung erforderte, sei unerheblich (für die Überweisung selbst sei sie vorliegend verlangt worden). Die Richter verneinten ein Mitverschulden der Sparkasse. Falls durch die fehlende Authentifizierung bei der Online-Banking-Anmeldung sensible Daten kompromittiert worden seien, wiege die grobe Fahrlässigkeit der Klägerin schwerer.
Zurück zur ÜbersichtDie Fachnachrichten in der Infothek werden Ihnen von der Redaktion Steuern & Recht der DATEV eG zur Verfügung gestellt.
10713 Berlin
Die an dieser Stelle vorgesehenen Inhalte können aufgrund Ihrer aktuellen Cookie-Einstellungen nicht angezeigt werden.
Diese Webseite bietet möglicherweise Inhalte oder Funktionalitäten an, die von Drittanbietern eigenverantwortlich zur Verfügung gestellt werden. Diese Drittanbieter können eigene Cookies setzen, z.B. um die Nutzeraktivität zu verfolgen oder ihre Angebote zu personalisieren und zu optimieren.
Diese Webseite verwendet Cookies, um Besuchern ein optimales Nutzererlebnis zu bieten. Bestimmte Inhalte von Drittanbietern werden nur angezeigt, wenn die entsprechende Option aktiviert ist. Die Datenverarbeitung kann dann auch in einem Drittland erfolgen. Weitere Informationen hierzu in der Datenschutzerklärung.