OLG-Urteil zum S-pushTAN: Wenn die Bank trotz grober Fahrlässigkeit des Kunden mithaftet

von

In unserer digitalisierten Welt ist das Vertrauen in die Sicherheit des Online-Bankings von fundamentaler Bedeutung. Wir verlassen uns auf moderne Authentifizierungsverfahren wie die pushTAN-App und wiegen uns in dem Glauben, dass unsere Finanzen bestmöglich geschützt sind. Ein aktuelles Urteil des Oberlandesgerichts Dresden rüttelt nun an dieser Gewissheit und sendet ein klares Signal an Banken und Verbraucher gleichermaßen: Die Verantwortung für die Sicherheit von Online-Transaktionen ist keine Einbahnstraße. Selbst wenn ein Kunde durch grobe Fahrlässigkeit Opfer eines Phishing-Angriffs wird, kann die Bank zu einer Teilerstattung des Schadens verpflichtet sein, wenn ihre eigenen Sicherheitsmaßnahmen Lücken aufweisen.

Der Fall: Ein teurer Klick und ein folgenschwerer Anruf

Stellen Sie sich vor, Sie erhalten eine E-Mail, die täuschend echt von Ihrer Sparkasse zu stammen scheint. Sie kündigt eine notwendige Aktualisierung Ihres Online-Bankings an. Ein Klick auf den Link führt Sie auf eine professionell gestaltete Webseite, auf der Sie Ihre Zugangsdaten eingeben. Kurz darauf meldet sich eine vermeintliche Bankmitarbeiterin telefonisch, um Ihnen bei der technischen Umstellung zu helfen. Sie wirkt kompetent und vertrauenswürdig. Unter ihrer Anleitung bestätigen Sie in Ihrer S-pushTAN-App mehrere „Aufträge“, ohne zu ahnen, dass Sie in diesem Moment Betrügern Tür und Tor öffnen.

Genau dieses Szenario erlebte ein Sparkassen-Kunde und verlor dabei fast 50.000 Euro. Die Betrüger nutzten die freigegebenen „Aufträge“, um das Tageslimit seines Kontos zu erhöhen und zwei Echtzeitüberweisungen auf ein fremdes Konto durchzuführen. Der Kunde gab an, in seiner App seien ihm weder konkrete Empfängerdaten noch Beträge angezeigt worden – nur unbestimmte Vorgänge, die er bestätigen sollte. Nachdem der Betrug aufflog, forderte er von seiner Sparkasse die vollständige Rückerstattung des Geldes.

Die juristische Auseinandersetzung: Fahrlässigkeit gegen Systemschwäche

Die Positionen vor Gericht hätten klarer nicht sein können. Die Sparkasse argumentierte, der Kunde habe seine Sorgfaltspflichten grob fahrlässig verletzt. Er sei auf eine bekannte Phishing-Masche hereingefallen und habe am Telefon Anweisungen von Unbekannten befolgt. Das S-pushTAN-Verfahren sei sicher und TÜV-geprüft; eine Manipulation der Anzeige in der App technisch unmöglich.

Der Kläger hielt dagegen und argumentierte, die Sparkasse habe ihre Pflicht zu einer „starken Kundenauthentifizierung“ nach dem Zahlungsdiensteaufsichtsgesetz (ZAG) verletzt. Bereits der Login ins Online-Banking nur mit Anmeldename und statischer PIN sei unzureichend gewesen, da hierdurch sensible Zahlungsdaten ohne einen zweiten Sicherheitsfaktor einsehbar wurden. Zudem kritisierte er, dass die pushTAN-App den Namen des Zahlungsempfängers nicht anzeigte, was einen Verstoß gegen EU-Recht darstelle.

Die Entscheidung des OLG Dresden: Eine geteilte Verantwortung

Das Oberlandesgericht Dresden fällte mit seinem Beschluss vom 5. Mai (Az. 8 U 1482/24) ein bemerkenswertes Urteil, das die vorherige Entscheidung des Landgerichts Chemnitz aufhob. Die Richter bestätigten zwar, dass der Kunde grob fahrlässig gehandelt habe. Wer auf eine Phishing-Mail reagiert, seine Daten auf einer gefälschten Seite eingibt und anschließend telefonisch „auf Zuruf“ Aufträge freigibt, verletzt seine Sorgfaltspflichten in erheblichem Maße.

Dennoch sprachen die Richter der Sparkasse ein Mitverschulden von 20 Prozent zu. Die Begründung ist der entscheidende Kern dieses Urteils: Die Sparkasse selbst hat gegen aufsichtsrechtliche Vorschriften verstoßen. Sie hätte bereits für den reinen Login in das Online-Banking eine „starke Kundenauthentifizierung“ sicherstellen müssen, da dort nicht nur der Kontostand, sondern auch weitere sensible Zahlungsdaten einsehbar waren. Die einfache Kombination aus Benutzername und PIN reichte hierfür nicht aus.

Dieser Verstoß, so das Gericht, war für das Gelingen des Betrugs mitursächlich. Die Betrüger konnten sich ohne weiteres Zutun des Kunden im Online-Banking einloggen, die Kontodaten ausspähen und die verhängnisvollen Überweisungen vorbereiten. Erst für die finale Ausführung benötigten sie die Freigabe durch den getäuschten Kunden. Die Bank hatte es den Angreifern durch eine unzureichende Absicherung des Logins schlicht zu einfach gemacht.

Was dieses Urteil für Sie als Bankkunde bedeutet

Diese Entscheidung hat weitreichende strategische Implikationen. Sie verdeutlicht, dass die von der EU geforderte Zwei-Faktor-Authentifizierung (2FA) nicht nur ein Thema für die finale Transaktionsfreigabe (die TAN) ist. Auch der Zugang zum Online-Banking-Portal selbst muss stark geschützt sein, sobald dort mehr als nur grundlegende Kontoinformationen zugänglich sind.

  1. Getilte Haftung ist möglich: Das Urteil ist ein Weckruf für Finanzinstitute. Sie können sich nicht mehr pauschal hinter der Fahrlässigkeit ihrer Kunden verstecken, wenn ihre eigenen Systeme die gesetzlichen Anforderungen nicht erfüllen. Für geschädigte Kunden bedeutet dies eine gestärkte Rechtsposition.
  2. Prüfen Sie Ihr Login-Verfahren: Als Unternehmer, Arzt oder Selbstständiger sollten Sie das Login-Verfahren Ihrer eigenen Bank kritisch betrachten. Ist für den Zugang zu Ihrem Konto, wo Sie Zahlungshistorien und andere sensible Daten einsehen können, mehr als nur ein statisches Passwort erforderlich? Wenn nicht, entspricht dies möglicherweise nicht mehr dem rechtlich geforderten Sicherheitsstandard.
  3. Wachsamkeit bleibt oberstes Gebot: Trotz des Mitverschuldens der Bank trägt der Kunde den Hauptanteil des Schadens selbst. Phishing-Angriffe werden immer professioneller. Überprüfen Sie daher jede E-Mail, jeden Anruf und vor allem jede Freigabe in Ihrer Banking-App mit größter Sorgfalt. Kein seriöses Bankinstitut wird Sie jemals am Telefon zur Freigabe von Aufträgen drängen.

Fazit: Sicherheit ist eine gemeinsame Aufgabe

Das Urteil des OLG Dresden schärft das Bewusstsein dafür, dass die Sicherheit im Online-Banking eine gemeinsame Aufgabe von Bank und Kunde ist. Es stärkt die Rechte von Verbrauchern, indem es die Banken in die Pflicht nimmt, durchgängig für eine starke und gesetzeskonforme Authentifizierung zu sorgen. Gleichzeitig unterstreicht es die unbedingte Notwendigkeit, als Nutzer wachsam und kritisch zu bleiben.

Wurden Sie Opfer eines ähnlichen Betrugsfalls im Online-Banking? Oder haben Sie Bedenken hinsichtlich der Sicherheit Ihrer digitalen Systeme und befürchten rechtliche Konsequenzen oder einen Reputationsschaden? Als Fachanwalt für IT-Recht unterstütze ich Sie kompetent und lösungsorientiert dabei, Ihre rechtlichen Interessen effektiv durchzusetzen und strategische Lösungen für Ihre digitale Sicherheit zu entwickeln. Kontaktieren Sie mich für eine professionelle Einschätzung Ihres Falles und lassen Sie uns gemeinsam für Ihr Recht eintreten.



Sie benötigen rechtliche Hilfe bei einem Phishing-Fall?

Schritt 1/2:

Vielen Dank für Ihre Anfrage!

Allerdings ist der Betrag nicht hoch genug, sodass sich eine rechtliche Vertretung für Sie in diesem Fall wirtschaftlich höchstwahrscheinlich nicht lohnen wird. 

Das können Sie dennoch tun:

 



Mussten Sie bereits negative Erfahrungen durch Phishing sammeln? Dann würden Sie auch anderen Betroffenen sehr helfen, wenn Sie das Vorgehen in einem Kommentar beschreiben. Vielen Dank!

Schreiben Sie einen Kommentar

Navigation

Home

Über

Leistungen

Blog

Glossar Bewertungen

FAQ

Kontakt

Leistungen

Fachanwalt für IT-Recht

Bewertungen löschen

- Google Bewertungen löschen

- kununu Bewertung löschen

Anwalt für Internetbetrug

Anwalt bei Phishing

Kontakt

Rechtsanwalt Thomas Feil

Telefon: 0511 / 47 39 06-0

anwalt@thomas-feil.de

Freundallee 23, 30173 Hannover

Copyright © 2024 Thomas Feil | Impressum | Datenschutz
WordPress Cookie Plugin von Real Cookie Banner