Beitrag teilen
Link in die Zwischenablage kopieren
Link kopierenKunden verlieren zigtausend Euro wegen Phishing-Mail. Muss die Bank haften?
| Silke Haars
OLG-Urteil: 41.000 € durch Phishing verloren – muss die Bank trotzdem zahlen, wenn grobe Fahrlässigkeit im Spiel ist?
Eine unscheinbare E-Mail, ein Klick – und binnen Stunden ist ein fünfstelliger Betrag vom Konto verschwunden. Vor dem OLG Oldenburg ging es nun um die Frage: Muss die Bank in so einem Fall zahlen?
von Silke Haars für Markt und Mittelstand
Der Fall
Geklagt hatte ein Ehepaar mit einem Gemeinschaftskonto bei einer Bank im Ammerland. In der Mailbox der Ehefrau kam eine E-Mail an, die für sie nach einer Nachricht von ihrer Bank aussah. Innerhalb von zwei Tagen, so stand es in der Mail, müsse die Frau ihre PushTAN-Registrierung aktualisieren. Anderenfalls müsse sie sich neu registrieren.
Diese Arbeit wollte sich die Frau sparen und klickte auf den in der E-Mail angegebenen Link. Auf der dahinter angezeigten Website gab sie nachweislich zumindest ihr Geburtsdatum und die Nummer ihrer EC-Karte ein. Anschließend erhielt sie eine SMS mit einem Link für die Neuregistrierung zum PushTAN-Verfahren.
Das böse Erwachen folgte am nächsten Tag. Da fiel der Frau auf, dass zwei Echtzeit-Überweisungen ausgelöst und damit insgesamt knapp 41.000 Euro auf ein Konto in Estland transferiert worden waren.
Die Frau verlangte das Geld von ihrer Bank zurück. Doch das Landgericht wies die Klage ab. Die Eheleute hätten die Überweisungen zwar nicht autorisiert. Vielmehr seien diese – nachdem unbekannte Täter vorher das Tageslimit erhöht hatten – ohne ihr Wissen und Wollen ausgelöst worden. Einen Erstattungsanspruch gegenüber der Bank hätten die Eheleute trotzdem nicht. Die Ehefrau habe grob fahrlässig gehandelt, und dies müsse sich der Ehemann zurechnen lassen.
Die Entscheidung
Die Berufung der Eheleute vor dem Oberlandesgericht blieb ohne Erfolg. Das OLG hielt fest, dass die Ehefrau im Prozess doch nicht mehr ganz ausschließen konnte, neben ihrem Geburtsdatum und ihrer EC-Karten-Nummer noch weitere Daten wie Anmeldenamen und PIN auf der gefälschten Website eingegeben zu haben. Dieses sei sogar in jeder Hinsicht plausibel.
Eine Sorgfaltspflichtverletzung sahen die Richter auch darin, dass die Frau den Registrierungs-Link und den entsprechenden Code für die Neuregistrierung zum PushTAN-Verfahren entweder weitergeleitet oder sonst wie an die Täter weitergegeben hatte. Grob fahrlässig sei das gewesen.
Nicht zuletzt hätten sich der Frau Zweifel an der Seriosität der E-Mail deshalb aufdrängen müssen, weil sie nicht namentlich, sondern mit „Sehr geehrter Kunde“ angesprochen wurde, und die E-Mail zudem mehrere Rechtschreibfehler enthielt.
Der Bank, so das Gericht, sei kein Mitverschulden vorzuwerfen. Einen Warnhinweis, wonach eine SMS mit einem Registrierungslink nicht an Dritte weitergeleitet werden darf, habe die Bank jedenfalls damals nicht geben müssen.
Im Ergebnis sind die 41.000 Euro für das Ehepaar verloren. Das Urteil des OLG ist rechtskräftig.
Oberlandesgericht Oldenburg, Urteil vom 24.4.2025, Az. 8 U 103/23
Bleiben Sie auf dem Laufenden, abonnieren Sie unseren kostenlosen Newsletter und erhalten Sie immer die neuesten Nachrichten und Analysen direkt in Ihren Posteingang.
