Online-Banking: Bankkunde agierte grob fahrlässig bei Phishing-Angriff – Bank haftet teilweise mit

Das Oberlandesgericht Dresden entschied, dass eine Bank auch dann teilweise für Schäden aus einem Phishing-Angriff haftet, wenn der Bankkunde grob fahrlässig gehandelt hat (Az. 8 U 1482/24).

Im Streitfall hatte der Kläger eine gefakte, täuschend echt aussehende E-Mail (sog. Phishing-E-Mail) vermeintlich vom „Kundenservice“ seiner Sparkasse erhalten, in der es hieß, dass das Online-Banking aktualisiert werde und dafür Anpassungen notwendig seien. Mittels eines Klicks auf eine Schaltfläche ploppte sodann eine ebenfalls täuschend echt aussehende Sparkassen-Portal-Seite auf, auf der er seine Zugangsdaten für das Online-Banking, Passwort und PIN eingab. Im Anschluss wurde ein telefonischer Anruf eines Bankmitarbeiters angekündigt. Einige Tage später kam ein erster Anruf, auf Aufforderung bestätigte der Kläger auf seinem Smartphone mehrfach „Aufträge“ über seine S-pushTAN-App, die der Angreifer generiert hatte. Dabei nahm der Kläger an, es handele sich um ein System-Update. Tatsächlich wurden das Tageslimit für Überweisungen erhöht, 24.422 Euro auf ein unbekanntes Konto überwiesen und der Anmeldename für das Online-Banking geändert. Ein angekündigter weiterer Telefonanruf folgte einen Tag später. Erneut bestätigte der Kläger zwei „Aufträge“. Wieder wurde das Tageslimit erhöht und weitere 24.999 Euro überwiesen. Zwei Wochen später bemerkte der Kläger, dass er sich nicht mehr einloggen konnte. Nachdem er seine Sparkasse kontaktiert hatte, informierte diese ihn über die Kontobewegungen. Er forderte von der Sparkasse sein Geld zurück, da er die Zahlungen nicht autorisiert habe.

Die Klage blieb vor dem Landgericht Chemnitz ohne Erfolg. Mit seiner Berufung erzielte er beim Oberlandesgericht Dresden einen Teilerfolg: Knapp 10.000 Euro müsse die Sparkasse ihm wieder gutschreiben. Dabei nahm das Oberlandesgericht an, dass der Kläger die Zahlungen nicht autorisiert hat, sodass er zunächst einen Anspruch auf Erstattung des vollen, von seinem Konto überwiesenen Betrags habe (§ 675u S. 2 BGB). Allerdings sei die telefonische Freigabe der PushTAN grob fahrlässig erfolgt. Spätestens bei der Aufforderung, seine persönlichen Sicherheitsmerkmale bekannt zu geben, habe der Kläger mit einer Betrugssituation rechnen müssen. Im Rahmen des Mitverschuldens gemäß § 254 BGB bewertete das Oberlandesgericht die wechselseitige Verschuldensquote mit 4/5 zu 1/5 zulasten des Klägers.