/** Translation for 'read more' button in blog**/

Phishing-Angriff beim Online-Banking: Bank trägt Mitschuld trotz grober Fahrlässigkeit des Kunden

9. Dezember 2025

Phishing-Angriff beim Online-Banking: Bank trägt Mitschuld trotz grober Fahrlässigkeit des Kunden

Artikel vorlesen lassen

Erneut wurde ein Kunde einer Sparkasse im Zusammenhang mit seinem Online-Banking Opfer eines Phishing-Angriffs. Diesmal wurden Überweisungen in der Höhe von fast 50.000 Euro an Betrüger getätigt. Das Oberlandesgericht Dresden überrascht mit seinem Urteil und entschied, dass die zuständige Sparkasse teilweise Mitschuld trägt, weil das Login ins Online-Banking ohne starke Kundenauthentifizierung ausgestaltet wurde und urteilt die Sparkasse zu einem Teil des Schadenersatzes von rund 10.000 Euro. Eine vollständige Haftung lehne das Gericht jedoch ab (OLG Dresden, Urteil vom 5.6.2025 – 8 U 1482/24). Die Gründe für diese Entscheidung erklärt Rechtsanwalt Sascha C. Fürstenow in diesem Artikel.

 

Sachverhalt

Der betroffene Kunde erhielt eine Fake-Mail mit dem angeblichen Absender „Sparkasse Kundenservice“, worin dem Kunden mitgeteilt wurde, dass sein Online-Banking aktualisiert werde und hierfür Anpassungen vorgenommen werden müssten. Die E-Mail leitete den Kunden auf eine Internetseite weiter, die der echten Internetseite der Sparkasse täuschend echt nachempfunden war. Auf dieser Fake-Seite gab der Kunde seine Zugangsdaten an, um sich im Online-Banking einzuloggen. Ihm wurde daraufhin angezeigt, dass ein Mitarbeiter von der technischen Abteilung sich mit ihm telefonisch in Verbindung setzen werde.

Durch die täuschend echten Anrufe von den „Mitarbeitern“ der Sparkasse wurde das Tageslimit von 1.000 Euro auf über 24.000 Euro erhöht und Gelder auf ein Girokonto eines Dritten überwiesen. Der Kunde ging dabei davon aus, dass die mehrfachen Freigaben auf der pushTAN-App erforderlich seien, um die technische Neuinstallation seines Online-Bankings durchzuführen. Bei dem letzten Anruf wurde der Kunde aufgefordert, zwei weitere Aufträge in seiner App zu bestätigen. Dabei wurde nicht nur das Tageslimit erhöht, sondern eine weitere Überweisung von über 24.000 Euro an einen Dritten überwiesen und der Anmeldename für den Zugang ins Online-Banking geändert, sodass eine Anmeldung mit seinen bekannten Daten nicht mehr möglich war. Erst Wochen später bemerkte er, dass er sich auf sein Online-Banking nicht mehr einloggen konnte. Als er den Kundendienst anrief und über die Kontobewegungen informiert wurde, gab er an, diese Transaktionen nicht autorisiert zu haben und verlangte sein Geld zurück. Vor dem LG Chemnitz hatte der Kunde kein Erfolg, doch das OLG Dresden gab dem Kunden teilweise Recht.

 

Oberlandesgericht Dresden: Kunde hat die Zahlungen nicht autorisiert

Das Gericht vertritt die Ansicht, dass dem Kunden nach § 675u S.2 BGB ein Anspruch auf Erstattung der überwiesenen Beträge zustehe, da es zu keiner wirksamen Zustimmung nach § 675j BGB kam. Zwar hat die Sparkasse durch technische Dokumentation die Authentifizierung der Zahlungsvorgänge nachweisen können (§ 675w S.1 BGB), jedoch reichen diese nicht aus, weil ein Nachweis der Autorisierung der Zahlungen fehlt und der folgende Anscheinsbeweis wurde aufgrund des Phishing-Angriffs erschüttert. Die Zahlungsvorgänge wurden durch das missbräuchliche Eingreifen von Dritten verursacht und manipuliert, sodass keine bewusste Autorisierung stattgefunden habe.

 

Keine starke Kundenauthentifizierung im Online-Banking

Das Gericht führte weiter aus, dass die Sparkasse für den Zugriff auf das Online-Banking keine starke Kundenauthentifizierung verlangt habe. Gemäß § 1 Abs. 24 ZAG haftet der Zahler nicht, wenn sein Zahlungsdienstleister eine starke Kundenauthentifizierung nicht verlangt. Es müssten mindestens zwei voneinander unabhängige Elemente zur Authentifizierung abgefragt werden, doch bei der Sparkasse war das Login ins Online-Banking nur durch die Eingabe eines Benutzernamens und einer PIN erforderlich. Weiterhin kritisiert das Gericht, dass das Online-Banking-System der Sparkasse die Erhöhung des Tageslimits von 1.000 Euro pro Tag auf über rund 20.000 Euro so einfach ermöglicht und argumentiert, dass diese Sicherheitslücke im Online-Banking diese Tathandlung, neben der sozialen Manipulation, überhaupt erst ermöglicht hat und daher habe die Sparkasse nach § 254 BGB ein Mitverschulden zu tragen. 

Zudem habe die Sparkasse täuschend den Anschein erweckt, bei der pushTAN-App handele es sich um ein von TÜV geprüftes Verfahren. Allerdings habe die TÜV Rheinland keine Akkreditierung im Sinne der DSGVO im Bereich des Datenschutzes und der Datensicherheit verfügt, sodass die verwendeten Zertifikate auch nicht rechtmäßig ausgestellt wurden.

 

Kunde hat Sorgfaltspflichten grob fahrlässig verletzt

Trotz der vielen Sicherheitslücken im Online-Banking-System der Sparkasse hat das Gericht erkannt, dass der Kunde seine vertraglichen und gesetzlichen Sorgfaltspflichten grob fahrlässig verletzt habe. Durch die Reaktion auf die Phishing-Mail und den Fake-Anrufen seien dem Kunden „Kardinalfehler“ unterlaufen.

Zwar habe der Phishing-Angriff dazu geführt, dass die Angreifer durch die Preisgabe der Login-Daten des Kunden Zugang zu seinem Online-Banking bekamen, jedoch aber nicht auf seine pushTAN-App. Der Kunde habe durch die mehrfache Freigabe aktiv an den Vorfällen mitgewirkt. Die Vorgänge, die einer starken Kundenauthentifizierung bedürfen (Tageslimitänderung, Änderung des Benutzernamens und Echtzeitüberweisung), hat der Kunde während des Telefonats mit der angeblichen Mitarbeiterin, vorgenommen. Dies verdeutlicht, dass der Kunde der Anzeigen des Textes nicht viel Aufmerksamkeit geschenkt hat und der Forderung „blind“ Folge geleistet hat. Insbesondere hatte der Kunde das Online-Banking der Sparkasse seit Jahren benutzt und war mit den Abläufen vertraut. Beim Unterlassen der abschließenden Kontrolle der Daten hat der Kunde somit seine Sorgfaltspflichten grob fahrlässig verletzt. Auch die Annahme, er habe während der Authentifizierung keine Namen der Zahlungsempfänger erkennen können, stellt kein starkes Argument dar, da die Abbildung der IBAN des Empfängers ausreichend sei und die Abbildung des Namens des Empfängers nicht erforderlich seien, so das Gericht.

Das Gericht erkennt, dass der Kunde Opfer eines Phishing-Angriffs und von Social Engineering wurde. Jedoch werden von der Sparkasse ständig aktuelle Sicherheitstipps- und Hinweise den Kunden und Warnhinweise unmittelbar nach dem Login ins Online-Banking zur Verfügung gestellt. Die Sparkasse versende zudem keine E-Mails, die über einen Link oder Button ins Online-Banking führen und auch keine E-Mails mit der Forderung zur Dateneingabe. Auch habe der Kunde gegen die Sicherheitshinweise verstoßen, da er über eine lange Zeit seine pushTAN-App nicht aktualisiert habe. Der Kunde hätte zudem erkennen müssen, dass die E-Mail nicht von der Sparkasse stammen könne, da sie grammatikalische Fehler enthalte und umgangssprachlich formuliert sei. Auch die Forderungen zum Bestätigen der Aufträge am Telefon mit der vermeintlichen Mitarbeiterin der Sparkasse hätte Zweifel veranlassen müssen. Zudem hätte das Thema „Phishing“ für einen durchschnittlichen Online-Banking-Nutzer durch die Medienpräsenz bekannt sein müssen.

Aufgrund der grob fahrlässigen Verletzung der Sorgfaltspflichten stehe dem Kunden „nur ein Fünftel“ des Schadensersatzanspruchs zu, also rund 10.000 EUR.

 

Bedeutung des Urteils für Bankkunden

Die Entscheidung des Oberlandesgerichts Dresdens hat sowohl für Bankkunden als auch für Banken wesentliche Bedeutung. Es gibt Ausschluss darüber, welche technischen Bedingungen erforderlich sind und inwieweit eine starke Kundenauthentifizierung zu erfolgen hat. Dennoch tragen auch die Kunden eine große Verantwortung mit für ihre Datensicherheit. Nutzern von Online-Banking ist es seit Jahren bekannt, dass sogenannte Phishing-Emails im Umlauf sein können und dass bei Telefonaten über die Identität des Anrufers leicht getäuscht werden kann. Es müsste also dem durchschnittlichen Kunden der Online-Banking-Systeme bekannt sein, dass die pushTAN-App, die explizit für die Freigabe von Transaktionen genutzt wird, zu anderen Zwecken nicht dienen sollte. In den letzten Jahren wurden auch in den Medien viele Presseberichte veröffentlicht, die die Verbraucher davor warnen, unbekannten Anrufern am Telefon Informationen herauszugeben und finanzielle Transaktionen zu veranlassen.

 

Wie kann man sich vor Phishing-Angriffen schützen und Risiken vermindern

Rechtsanwalt Fürstenow rät Bankkunden an, mindestens folgende Sicherheitsvorkehrungen zu treffen:

 

Absender genau überprüfen und achten auf:

  • ungewöhnliche Absenderadressen
  • Rechtschreibfehler
  • verwendete nicht ganz identische Logos wie von der Bank
  • umgangssprachliche Formulierung und oder dringende bedrohliche Sprache („Ihr Konto wird gesperrt“).

 

Keine verdächtigen Links anklicken

  • stattdessen die Webseite der Bank manuell eingeben

 

Niemals PIN oder TAN weitergeben

  • sei es per E-Mail oder telefonisch an vermeintliche „Mitarbeiter“.

 

Zwei-Faktor-Authentifizierung aktivieren

  • Sicherheitssoftware verwenden
  • Apps in regelmäßigen Abständen updaten.

 

 

Haben Sie weitere Fragen zu dem Thema und möchten sich gerne beraten lassen? Rechtsanwalt Sascha C. Fürstenow berät Sie hierzu gerne.

Zum Rechtsratgeber