Hausratversicherung mit Cyberschutz: Kein Versicherungsschutz bei SMS-Link-Betrug

LG Hamburg zur Auslegung von „Phishing“ und „Pharming“ in Hausrat-AVB: Die zunehmende Zahl von Betrugsfällen im digitalen Zahlungsverkehr hat auch das Verbraucher-Versicherungsrecht erreicht. Mit Urteil vom 12. Dezember 2024 (Az. 332 O 187/23) hatte das Landgericht Hamburg zu entscheiden, ob ein Hausratversicherer für einen Vermögensschaden einzustehen hat, der durch eine perfide Betrugsmasche unter Einbindung eines SMS-Links verursacht wurde. Dabei stellte sich die zentrale Frage, ob ein solcher Vorgang vom vertraglich vereinbarten Versicherungsschutz, hier im Rahmen einer Hausratversicherung mit Cyberschutz, gegen „Phishing“ oder „Pharming“ erfasst ist.

Hintergrund und Tatsachenkomplex

Die Klägerin unterhielt bei der beklagten Versicherungsgesellschaft eine Hausratversicherung, deren Bedingungen unter der Ziffer 2.3.2 einen sogenannten „Internetschutz“ vorsahen. Danach sind ungewollte Zahlungen vom Konto der Versicherungsnehmerin versichert, sofern sie durch „Phishing“ oder „Pharming“ verursacht wurden. Die AVB definieren „Phishing“ ausdrücklich als das Erlangen von Zugangsdaten durch eine gefälschte E-Mail; „Pharming“ soll vorliegen, wenn Dritte den Internetauftritt eines Geldinstituts imitieren und dadurch Anfragen auf betrügerische Seiten umleiten, auf denen sodann Zahlungsvorgänge im Glauben an deren Echtheit durchgeführt werden.

Die Klägerin war auf eBay Kleinanzeigen mit einer vermeintlichen Käuferin in Kontakt getreten, die zur Abwicklung über ein angeblich neues Bezahlsystem eine Handynummer verlangte. Nachdem die Klägerin ihre Nummer mitgeteilt hatte, erhielt sie eine SMS mit einem Link, der zur Eingabe ihrer Bankdaten aufforderte. In der irrigen Annahme, ein Verifizierungsverfahren zu durchlaufen, gab sie ihre Debitkarteninformationen sowie einen per SMS erhaltenen Sicherheitscode ein. In der Folge kam es zu einer missbräuchlichen Belastung ihres Kontos um 5.600 Euro. Die D-Bank erstattete hiervon 2.800 Euro. Die Klägerin verlangte nun von der Beklagten den Ersatz des Differenzbetrags im Rahmen des Internetschutzes.

Juristische Würdigung und dogmatische Einordnung

Das Landgericht Hamburg wies die Klage mit ausführlicher Begründung ab. Zentrales Argument war, dass sich der geltend gemachte Versicherungsfall nicht unter die ausdrücklich und abschließend definierten versicherten Gefahren „Phishing“ oder „Pharming“ subsumieren lasse.

Keine Ausweitung des Begriffs „Phishing“ über die AVB hinaus

Die Kammer hielt zunächst fest, dass für die Auslegung des Begriffs „Phishing“ allein die im Vertragstext gewählte Legaldefinition maßgeblich sei. Diese beschränke sich eindeutig auf Konstellationen, in denen Dritte über eine gefälschte E-Mail Zugangsdaten erlangen. Der hier in Rede stehende Betrug erfolgte jedoch über eine SMS mit einem eingebetteten Link. Die Klägerin selbst machte nicht geltend, dass eine E-Mail verwendet worden sei. Ein Rückgriff auf weiter gefasste Definitionen – etwa solche in der Fachliteratur, bei Wikipedia oder dem BSI – sei unzulässig, da der Versicherer den Leistungsumfang frei definieren könne, solange die Klausel hinreichend klar und verständlich sei. Eine unangemessene Benachteiligung i.S.d. § 307 Abs. 1 BGB liege nicht vor.

Diese enge AVB-orientierte Auslegung deckt sich mit der herrschenden Meinung zur Inhaltskontrolle in der Versicherungspraxis: Sofern die AVB eine klare Legaldefinition enthalten, sind externe Begriffsverständnisse regelmäßig unbeachtlich. Ein durchschnittlicher Versicherungsnehmer könne – so das LG – bei der gegebenen Klauselstruktur nicht davon ausgehen, dass auch SMS-basierte Angriffe vom Schutz umfasst seien.

Auch kein „Pharming“ im Sinne der Vertragsbedingungen

Ein Anspruch ließ sich auch nicht unter dem Begriff des „Pharming“ begründen. Zwar wurde die Klägerin auf eine gefälschte Website umgeleitet, doch genügte dies nicht den in den AVB aufgestellten Anforderungen. Diese verlangen kumulativ: (1) die Nachahmung des Internetauftritts eines Geldinstituts und (2) die Ausführung eines Zahlungsvorgangs im Vertrauen auf die Echtheit der Seite.

Das Gericht stellte klar, dass bereits zweifelhaft sei, ob überhaupt eine Nachahmung des Internetauftritts der D-Bank im Sinne der AVB vorlag. Maßgeblich war jedoch, dass die Klägerin – wie sie selbst im Prozess einräumte – keine Zahlung im Vertrauen auf die Echtheit der Seite veranlasst hatte. Vielmehr glaubte sie, sich bei einem Bezahlsystem verifizieren zu müssen, um eine Zahlung empfangen zu können. Die Eingabe des Sicherheitscodes diente also nicht der aktiven Auslösung einer Zahlung, sondern lediglich der Freischaltung eines vermeintlichen Dienstes.

Auch insoweit bleibt die Kammer konsequent im Wortlaut der AVB: Allein das Eingeben von Zugangsdaten auf einer gefälschten Seite stellt noch keinen versicherten Vorgang dar, sofern die erforderliche Zielrichtung – ein aktiver Zahlungsvorgang – fehlt. Die Entscheidung betont damit das Erfordernis einer engen Kausalität zwischen Täuschungshandlung, Irrtum und Vermögensverfügung – ein Grundsatz, der nicht nur im Strafrecht (§ 263 StGB), sondern auch im Versicherungsrecht im Rahmen der Risikodeckung bedeutsam ist.

Die harte Kernaussage: Nicht jeder digitale Betrug ist automatisch vom Versicherungsschutz umfasst – entscheidend ist die vertragliche Definition. Die versicherungsrechtliche Relevanz technischer Begriffe wie „Phishing“ oder „Pharming“ bemisst sich allein nach den AVB und nicht nach allgemeinem Sprachgebrauch.

Schlussbetrachtung

Das Urteil des LG Hamburg verdeutlicht, wie sehr der konkrete Wortlaut von Versicherungsbedingungen über den Leistungsumfang entscheidet – insbesondere bei Zusatzdeckungen im Bereich der Cyberkriminalität. Auch wenn sich der technische Begriff des „Phishing“ in der digitalen Praxis weiterentwickelt hat und unterschiedliche Angriffsformen umfasst, bleibt es dem Versicherer unbenommen, engere Definitionen zu wählen, solange diese transparent und verständlich sind. Für Versicherungsnehmer bedeutet dies, dass sie die vertraglichen AVB besonders sorgfältig prüfen müssen, um Fehleinschätzungen hinsichtlich des Schutzumfangs zu vermeiden.

• Über
• Letzte Artikel

Rechtsanwalt Jens Ferner

Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf

Rechtsanwalt Jens Ferner ist Spezialist für Strafverteidigung (insbesondere bei Wirtschaftskriminalität wie Geldwäsche, Betrug bis zu Cybercrime) sowie für IT-Recht (Softwarerecht und KI, IT-Vertragsrecht und Compliance) mit zahlreichen Publikationen. Als Fachanwalt für Strafrecht und IT-Recht vertrete ich Mandanten in komplexen Zivil- und Strafverfahren, insbesondere bei streitigen Fragen im Softwarerecht, bei der Abwehr von strafrechtlichen Vorwürfen oder Ansprüchen in der Managerhaftung sowie bei der Einziehung von Vermögenswerten. Mein Fokus liegt auf der Schnittstelle zwischen technischem Verständnis und juristischer Strategie, um Sie in digitalen Fällen und wirtschaftlichen Strafsachen effektiv zu verteidigen und zu beraten.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Anwaltskanzlei ist spezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht sowie IT-Recht und Managerhaftung. Von Verbrauchern werden allein Strafverteidigungen übernommen - wir sind im Raum Aachen zu finden und bundesweit tätig.

Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)

• Grenzen des Vermögensschadens beim Betrug - 19. November 2025
• Zweifelssatz: in dubio pro reo - 19. November 2025
• Untreue oder Unterschlagung bei missbräuchlicher Nutzung überlassener Bankkarten - 19. November 2025