In einer aktuellen Entscheidung zum Phishing (XI ZR 107/24) thematisiert der BGH zwei neuralgische Punkte des Zahlungsverkehrs: Einerseits konkretisiert sie die Schwelle zur groben Fahrlässigkeit des Zahlers bei der Weitergabe von TANs im Kontext eines professionell orchestrierten Telefon-Phishings. Andererseits zieht sie eine klare Trennlinie für den Anwendungsbereich des § 675v Abs. 4 S. 1 Nr. 1 BGB. Maßgeblicher Bezugspunkt der „starken Kundenauthentifizierung“ (SCA) ist ausschließlich der konkrete Zahlungsvorgang. Ob bei der bloßen Anmeldung im Online-Banking eine SCA verlangt wurde, ist dafür unerheblich.
Sachverhalt in Kürze
Die Kläger, Inhaber eines Gemeinschaftskontos, nutzten seit 2014 Online-Banking mit chipTAN. Nach einem am späten Samstagabend eingeblendeten „Sicherheitsfenster“ erhielten sie Anrufe unter angezeigter Sparkassen-Nummer. Die vermeintliche Mitarbeiterin verlangte Identifizierungsschritte und ließ TANs im manuellen chipTAN-Verfahren generieren. Am Folgetag wurde das Überweisungslimit erhöht und eine Echtzeitüberweisung über 35.555 € an einen unbekannten Dritten ausgelöst; die fragliche TAN stammte aus dem Telefonat. Die Kläger verlangten Rückgängigmachung der Belastung. Landgericht gab statt, OLG wies ab; der BGH bestätigte die Abweisung.
Rechtliche Analyse
Ausgangspunkt ist der unautorisierte Zahlungsvorgang: Der Bank trifft nach § 675u S. 2 BGB grundsätzlich die Pflicht, das Konto auf den vorherigen Stand zu bringen. Daran lässt der Senat keinen Zweifel und bejaht die Nichtautorisation. Zugleich hält er aber – in Fortführung seiner Linie – daran fest, dass dem Anspruch des Zahlers ein Schadensersatzanspruch des Zahlungsdienstleisters aus § 675v Abs. 3 Nr. 2 BGB entgegengehalten werden kann, wenn der Zahler den Schaden grob fahrlässig herbeigeführt hat; diese Einwendung wird über § 242 BGB wirksam:
Nach § 675v Abs. 3 Nr. 2 BGB ist der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler den Schaden durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehrerer Pflichten gemäß § 675l Abs. 1 BGB oder einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments herbeigeführt hat. Gemäß § 675l Abs. 1 Satz 1 BGB ist der Zahlungsdienstnutzer verpflichtet, unmittelbar nach Erhalt eines Zahlungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Solche Sicherheitsmerkmale sind auch TANs
Entscheidend ist die Anknüpfung der Sorgfaltspflichtverletzung an § 675l Abs. 1 S. 1 BGB: TANs sind „personalisierte Sicherheitsmerkmale“ und gegen unbefugten Zugriff zu schützen. Grobe Fahrlässigkeit verlangt einen objektiv schweren, subjektiv schlechterdings nicht entschuldbaren Verstoß. Der Senat bejaht die grobe Fahrlässigkeit mit Blick auf die Weitergabe mehrerer TANs im zweiten, für den nächsten Tag verabredeten Telefonat. Das war keine momentane Überrumpelung; vielmehr blieb nahezu ein ganzer Tag zur Reflexion ungewöhnlicher Umstände (Pop-up „neue Sicherheitssoftware“, Wochenende, späte Uhrzeit, aktives Anrufen einer angeblichen Bankmitarbeiterin, Aufforderung zur Eingabe von IBAN und Betrag im manuellen chipTAN). Auch Unerfahrenheit mit dem manuellen chipTAN-Verfahren entlastet nicht: Spätestens bei der Eingabe einer Empfänger-IBAN und eines Betrags musste der Verwendungszweck der TAN – Autorisierung eines konkreten Zahlungsvorgangs – erkennbar sein. Das Argument eines „Augenblicksversagens“ greift daher nicht durch:
Der Ausdruck des Augenblicksversagens beschreibt den Umstand, dass ein Handelnder für eine kurze Zeit die im Verkehr erforderliche Sorgfalt außer Acht lässt. Ein solches Augenblicksversagen kann es zwar nicht für sich allein, wohl aber zusammen mit weiteren Umständen im konkreten Einzelfall als gerechtfertigt erscheinen lassen, unter Abwägung aller Umstände den Schuldvorwurf geringer als grob fahrlässig zu bewerten (…) Entgegen der Auffassung der Revision fehlt es hier schon an einem Augenblicksversagen der Klägerin, weil keine durch eine Überrumpelung, momentane Ablenkung bzw. Unaufmerksamkeit oder Ähnliches bedingte kurzfristige Fehleinschätzung (…) vorliegt.
Denn die entscheidende Sorgfaltspflichtverletzung ist in der Weitergabe der TANs im Rahmen des zweiten Telefonats am Abend des 3. Juli 2022 zu sehen. Dieses fand nach Terminvereinbarung zwischen der Klägerin und der angeblichen Mitarbeiterin der Beklagten am Abend des auf das erste Telefonat folgenden Tages statt, so dass – wie das Berufungsgericht zutreffend ausgeführt hat – die Klägerin fast einen ganzen Tag Zeit hatte, die ungewöhnlichen Umstände des ersten Telefonats zu reflektieren und entsprechende Schlüsse daraus zu ziehen.
Zweiter Schwerpunkt ist die Auslegung des § 675v Abs. 4 S. 1 Nr. 1 BGB. Danach haftet der Zahler nicht, wenn der Zahlungsdienstleister „eine starke Kundenauthentifizierung nicht verlangt“. Der XI. Zivilsenat stellt klar: Bezugspunkt ist ausschließlich der im Streit stehende Zahlungsvorgang. Wurde für dessen Auslösung SCA verlangt – hier: TAN-basiert im chipTAN-Verfahren –, scheidet der Haftungsausschluss aus, selbst wenn beim Login zuvor keine SCA abgefragt worden sein sollte. Die gegenteilige Sicht, wonach bereits ein SCA-Defizit beim Login den § 675v Abs. 4 S. 1 Nr. 1 BGB auslöst, weist der Senat zurück und verortet etwaige Defizite des Zahlungsdienstleisters auf dieser vorgelagerten Stufe in die Mitverschuldensabwägung nach § 254 BGB. In der konkreten Fallkonstellation tritt ein mögliches Mitverschulden der Bank aber hinter den gravierenden Sorgfaltsverstoß der Kundin vollständig zurück.
Systematisch überzeugt diese Lesart: „Zahlungsvorgang“ (§ 675f Abs. 4 S. 1 BGB) meint den tatsächlichen Transfer; § 675v Abs. 4 S. 1 Nr. 2 BGB (Nichtakzeptanz der SCA durch den Empfänger) stützt den transaktionsbezogenen Fokus. Damit bleibt das Haftungsregime kohärent: Autorisationsnahe Schutzdefizite der Bank können über § 254 BGB die Haftungsquote beeinflussen; für den strikten Ausschluss nach § 675v Abs. 4 S. 1 Nr. 1 BGB bedarf es aber eines SCA-Defizits beim streitigen Zahlungsvorgang. Der Senat grenzt sich damit ausdrücklich von Stimmen in Rechtsprechung und Literatur ab, die auf die SCA-Pflicht beim Login abstellen (aa OLG Brandenburg, LG Berlin II; zustimmend zur Transaktionsbezogenheit u. a. OLG Frankfurt a. M., OLG Bremen, zahlreiche Kommentare).
Bemerkenswert ist schließlich der praktische Umgang mit „Call-ID-Spoofing“: Dass auf dem Display die Banknummer erschien und die Täter mit kontobezogenen Informationen agierten, ändert nichts an der groben Fahrlässigkeit. Der Senat verweist auf allgemeine Warnlagen und die Pflicht zu naheliegender Plausibilitätskontrolle in atypischen Situationen. Wer ohne Anlass am Wochenende telefonisch zu TAN-Generierungen für vermeintliche „Sicherheitsprogramme“ aufgefordert wird, muss abbrechen und verifizieren.
Fazit
Der XI. Zivilsenat zieht eine klare Grenze: Wer auf telefonische Aufforderung TANs generiert und weitergibt, handelt – jedenfalls nach Bedenkzeit und erkennbaren Unstimmigkeiten – grob fahrlässig. Der Haftungsausschluss wegen fehlender SCA greift nur, wenn für den konkreten Transfer keine starke Kundenauthentifizierung verlangt wurde; SCA-Fragen beim Login betreffen allenfalls die Mitverschuldensquote. Das stärkt die Transaktionszentrierung des PSD2-Haftungsregimes und schärft die Pflichtenlage der Nutzer im digitalen Zahlungsverkehr.
Bedeutung für die Praxis
Für Zahlungsdienstleister schafft das Urteil wieder einmal Klarheit: Die SCA-Ausnahme des § 675v Abs. 4 S. 1 Nr. 1 BGB ist eng transaktionsbezogen. Compliance-seitig bleibt freilich geboten, SCA-Anforderungen – auch beim Login – rechtssicher umzusetzen; etwaige Lücken gefährden nicht per se den Haftungsübergang, können aber in der Quotenbildung nach § 254 BGB durchschlagen.
Für Zahler verschärft die Entscheidung die Sorgfaltsanforderungen in Phishing-Szenarien: Die Weitergabe von TANs außerhalb eines selbst veranlassten, erkennbar kontobezogenen Vorgangs ist regelmäßig grob fahrlässig, insbesondere wenn die TAN-Erzeugung Eingaben zu IBAN und Betrag erfordert. Die Linie des XI. Zivilsenats zur Einwendungskonstruktion (§ 675u S. 2 i. V. m. § 242 BGB) wird fortgeführt und konsolidiert; das Risiko grober Pflichtverletzungen verbleibt damit beim Zahler.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
- Transitorischer Besitz und faktische Verfügungsgewalt beim Finanzagenten - 8. März 2026
- Cyberfähigkeiten von Israel und Iran - 7. März 2026
- Irans Cyberfähigkeiten und Hacker - 7. März 2026
