Phishing und Social Engineering gehören zu den größten Sicherheitsrisiken im Onlinebanking. Das Landgericht Heidelberg (Urteil vom 13. Mai 2025, 2 O 233/24) hatte im Mai 2025 zu klären, ob eine Bank ihren Kunden für nicht autorisierte Überweisungen entschädigen muss, wenn dieser leichtfertig einen Freischaltcode an Betrüger weitergibt. Die Entscheidung setzt die bekannten Grundsätze des Zahlungsdiensterechts konsequent um und betont, wie hoch die Sorgfaltsanforderungen für Kontoinhaber im digitalen Zahlungsverkehr sind.
Sachverhalt
Die Klägerin unterhielt bei der beklagten Bank ein Girokonto mit Online-Banking-Zugang über die SecureGo plus-App. Im Juli 2024 erhielt sie einen Anruf eines vermeintlichen Bankmitarbeiters, der sie unter dem Vorwand angeblicher Sicherheitsprobleme dazu brachte, einen Aktivierungscode in der App zu bestätigen. Damit ermöglichte sie einem unbekannten Dritten die Einrichtung eines neuen mobilen Endgeräts, über das später drei Überweisungen über insgesamt 33.800 EUR ausgeführt wurden – ohne ihre Autorisierung. Die Klägerin forderte die Bank auf, den Betrag wieder gutzuschreiben. Die Bank lehnte ab und berief sich auf grobe Fahrlässigkeit der Kundin. Das LG Heidelberg bestätigte die Rechtsauffassung der Bank.
Juristische Analyse
Grundsatz: Erstattungspflicht der Bank bei nicht autorisierten Zahlungen
Gemäß § 675u BGB muss die Bank grundsätzlich nicht autorisierte Zahlungen erstatten. Diese Pflicht gilt jedoch nicht uneingeschränkt: Hat der Kunde grob fahrlässig seine vertraglichen Pflichten verletzt, kann die Bank Ersatz des entstandenen Schadens verlangen (§ 675v Abs. 3 Nr. 2 BGB) und damit aufrechnen.
Grobe Fahrlässigkeit der Klägerin
Das Gericht stufte das Verhalten der Klägerin als grob fahrlässig ein. Sie habe den ihr unbekannten Anrufer nicht überprüft, den angezeigten Freischaltcode ohne Prüfung der Details bestätigt und damit den Zugang zu ihrem Onlinebanking ermöglicht. Die Auftragsdetails in der SecureGo plus-App wiesen klar auf die Freischaltung eines neuen Geräts hin – von einer Kontosperrung, wie behauptet, war keine Rede. Das Gericht stellte fest, dass durchschnittliche Onlinebanking-Nutzer aufgrund breiter Medienberichte über Betrugsmaschen wie falsche Bankanrufe wissen müssen, dass Banken nie telefonisch um Freigaben oder Codes bitten.
Zudem habe die Klägerin zwischen erstem und zweitem Anruf ausreichend Zeit gehabt, sich zu vergewissern oder direkt bei der Bank nachzufragen. Diese naheliegenden Schritte habe sie unterlassen.
Kein Mitverschulden der Bank
Ein Mitverschulden der Bank, das den Schadensersatzanspruch mindern könnte (§ 254 BGB), machte die Klägerin nicht plausibel geltend. Die Bank habe keine Sicherheitslücken verursacht, sondern die Sicherheitsmechanismen (Freigabecode, Zwei-Faktor-Authentifizierung) ordnungsgemäß eingesetzt. Daher: Die Bank war nach § 675u BGB zur Erstattung verpflichtet, konnte aber im gleichen Zuge den Ersatz ihres Schadens nach § 675v Abs. 3 BGB beanspruchen. Die Aufrechnung der Bank führte zur vollständigen Erfüllung, sodass der Anspruch der Kundin erlosch. Die Klage wurde abgewiesen.
Kernaussage
Das LG Heidelberg bekräftigt die Linie der Rechtsprechung: Wer sensible Sicherheitsmerkmale auf telefonische Nachfrage preisgibt, handelt grob fahrlässig und verliert seinen Erstattungsanspruch für nicht autorisierte Zahlungen. Für Bankkunden bedeutet das: Keine Freigabe von Codes ohne sorgfältige Prüfung – selbst bei angeblichen Sicherheitsanrufen der eigenen Bank. Wer grob fahrlässig handelt, trägt den finanziellen Schaden selbst.
- Darlegungslast bei stationärem Vertrieb - 8. Juli 2025
- Begrenzung des Bewährungswiderrufs durch Vertrauensschutz - 8. Juli 2025
- OLG Köln zur Bezeichnung „Dubai Chocolate“ - 7. Juli 2025