Phishing-Angriff: Kunde handelt grob fahrlässig – dennoch haftet Sparkasse teilweise
In einem aktuellen Urteil hat das Oberlandesgericht (OLG) Dresden entschieden, dass ein Bankkunde trotz grob fahrlässigen Verhaltens im Rahmen eines Phishing-Angriffs nicht den gesamten Schaden allein tragen muss. Die Sparkasse wurde zur teilweisen Erstattung verpflichtet – wegen eigener Sicherheitsversäumnisse beim Online-Banking.
Was war passiert?
Ein Sparkassenkunde erhielt eine vermeintliche E-Mail seiner Bank mit der Aufforderung, wegen angeblicher Systemumstellungen seine Online-Banking-Daten zu bestätigen. Über einen Link in der Nachricht gelangte er auf eine täuschend echt aussehende Phishing-Seite, auf der er Passwort und PIN eingab. Kurz darauf wurde ihm ein Rückruf eines Sparkassenmitarbeiters angekündigt – eine gängige Masche bei sogenannten „Social Engineering“-Angriffen.
In den folgenden Tagen erhielt der Mann mehrere Anrufe. Dabei wurde er durch gezielte Täuschung dazu gebracht, Transaktionen über die S-pushTAN-App freizugeben. In Wahrheit wurden damit das Überweisungslimit angehoben, große Geldbeträge auf fremde Konten überwiesen und schließlich auch der Login-Zugang verändert. Erst rund zwei Wochen später bemerkte der Kunde den Betrug und wandte sich an seine Sparkasse.
Teilerfolg vor dem OLG Dresden
Nachdem das Landgericht Chemnitz die Klage des Kunden zunächst abgewiesen hatte, kam das OLG Dresden in der Berufung zu einem differenzierteren Ergebnis (Urteil vom 05.06.2025 – 8 U 1482/24).
Zwar sah das Gericht in dem Verhalten des Kunden eine grobe Fahrlässigkeit: Er habe ohne jede Überprüfung der Inhalte mehrfach Transaktionen über die S-pushTAN-App freigegeben – und das, obwohl sprachliche Fehler in der gefälschten Mail und der Ablauf insgesamt verdächtig hätten erscheinen müssen. Auch sei allgemein bekannt, dass Banken keine sensiblen Daten per Mail anfordern.
Gleichwohl sei die Sparkasse nicht vollständig aus der Verantwortung entlassen: Für das Login ins Online-Banking genügten Passwort und PIN – eine starke Kundenauthentifizierung wurde nicht verlangt. Nach Ansicht des Gerichts stellt dies einen Verstoß gegen aufsichtsrechtliche Vorgaben (§ 55 ZAG) dar, was dem Institut ein Mitverschulden von 20 % eintrug.
Kein Einverständnis mit den Zahlungen
Kern des Urteils war die Feststellung, dass der Kunde die Transaktionen nicht im rechtlichen Sinne „autorisiert“ habe (§ 675u BGB). Auch wenn die Sparkasse die Auslösung der Zahlungen technisch dokumentieren konnte (§ 675w BGB), sah das Gericht den Anscheinsbeweis durch die detaillierte Darstellung des Phishing-Angriffs als erschüttert an.
Der Kunde habe zwar objektiv die Transaktionen freigegeben, sei jedoch arglistig über den wahren Zweck getäuscht worden. Ein pauschales Zurechnen solcher Irrtümer durch Dritte lehnt das OLG konsequent ab. Entscheidend sei, ob nach den konkreten Umständen eine bewusste Zustimmung zu den Zahlungen vorlag – was hier nicht der Fall war.
Haftungsabwägung: 80 % beim Kunden, 20 % bei der Bank
Letztlich haftet der Kunde zu 80 % für den Gesamtschaden – über 49.000 Euro –, weil er grundlegende Sorgfaltspflichten verletzt hat. Er hatte dem Angreifer faktisch ein personalisiertes Sicherheitsmerkmal preisgegeben, indem er die Transaktionen über die App autorisierte, ohne den Zweck zu hinterfragen.
Die Sparkasse muss hingegen rund 10.000 Euro erstatten – aufgrund der fehlenden starken Authentifizierung beim Zugang zum Online-Banking. Nach Auffassung des OLG war diese Nachlässigkeit mitursächlich für den erfolgreichen Angriff, da sensible Daten dadurch zugänglich wurden.
Eine Revision ließ das Gericht nicht zu.
Fazit: Geteiltes Risiko im digitalen Zahlungsverkehr
Das Urteil des OLG Dresden zeigt: Auch bei grober Fahrlässigkeit des Kunden kann eine Bank nicht jede Verantwortung von sich weisen – insbesondere dann nicht, wenn sie ihrerseits gesetzliche Sicherheitsvorgaben missachtet. Für Verbraucher bedeutet das: Wachsamkeit bleibt das A und O beim Online-Banking. Für Zahlungsdienstleister wiederum unterstreicht das Urteil, wie wichtig die konsequente Umsetzung technischer Schutzmaßnahmen ist.
OLG Dresden, Urteil vom 05.06.2025 – 8 U 1482/24