Das Oberlandesgericht Dresden hat in einem aktuellen Urteil vom 5. Juni 2025 (Aktenzeichen: 8 U 1482/24) grundlegende Fragen zur Haftung von Banken und Bankkunden bei Phishing-Angriffen geklärt. Der Fall betrifft einen Bankkunden, der Opfer eines Phishing-Angriffs wurde und dabei erhebliche finanzielle Verluste erlitt. Das Gericht hatte zu entscheiden, inwieweit der Kunde für die entstandenen Schäden haftet und ob die Bank aufgrund von Sicherheitsmängeln in ihrem Online-Banking-System ebenfalls eine Mitschuld trifft.
Sachverhalt
Der Kläger, ein Kunde der beklagten Sparkasse, erhielt am 20. Februar 2022 eine gefälschte E-Mail, die vorgab, von der Sparkasse zu stammen. Die E-Mail forderte ihn auf, sein Online-Banking zu aktualisieren, und leitete ihn auf eine gefälschte Webseite weiter, die der offiziellen Webseite der Bank täuschend ähnlich sah. Dort gab er seine Zugangsdaten ein und wurde später von einer angeblichen Mitarbeiterin der Bank angerufen, die ihn aufforderte, mehrere Transaktionen in der S-pushTAN-App zu bestätigen. Der Kläger folgte diesen Anweisungen und bestätigte die Transaktionen, ohne die angezeigten Details genau zu prüfen. Infolgedessen wurden zwei nicht autorisierte Echtzeit-Überweisungen in Höhe von insgesamt 49.421,44 Euro von seinem Konto getätigt.
Juristische Analyse
Autorisierung von Zahlungsvorgängen
Das Gericht stellte zunächst fest, dass der Kläger die streitgegenständlichen Überweisungen nicht autorisiert hatte. Gemäß § 675j Abs. 1 Satz 1 BGB ist ein Zahlungsvorgang nur wirksam, wenn der Zahler diesem zugestimmt hat. Da der Kläger die Überweisungen nicht bewusst veranlasst hatte, stand ihm grundsätzlich ein Anspruch auf Wiedergutschrift der Beträge gemäß § 675u Satz 2 BGB zu.
Grobe Fahrlässigkeit des Klägers
Das Gericht kam jedoch zu dem Schluss, dass der Kläger grob fahrlässig gehandelt hatte. Grobe Fahrlässigkeit liegt vor, wenn die im Verkehr erforderliche Sorgfalt in ungewöhnlich grobem Maße verletzt worden ist und auch ganz nahe liegende Überlegungen nicht angestellt worden sind. Der Kläger hatte gegen mehrere Sorgfaltspflichten verstoßen:
- Verstoß gegen § 675l Abs. 1 BGB: Der Kläger hatte einem unbekannten Dritten mittelbar Zugriff auf ein personalisiertes Sicherheitsmerkmal gewährt, indem er die S-pushTAN-App auf Zuruf der Anruferin bediente.
- Verstoß gegen vertragliche Bedingungen: Der Kläger hatte die vertraglich vereinbarten Sicherheitshinweise der Bank nicht beachtet und die angezeigten Daten vor der Bestätigung der Transaktionen nicht überprüft.
Das Gericht betonte, dass der Kläger aufgrund seiner individuellen Kenntnisse und Fähigkeiten sowie seiner Erfahrungen im Bereich Online-Banking in der Lage gewesen wäre, die Betrugsversuche zu erkennen und entsprechend zu handeln. Die zahlreichen deutlichen Indizien für einen betrügerischen Angriff hätten ihm auffallen müssen.
Mitverschulden der Bank
Das Gericht erkannte jedoch auch ein Mitverschulden der Bank an. Die Bank hatte gegen aufsichtsrechtliche Vorgaben verstoßen, indem sie keine starke Kundenauthentifizierung für den Zugriff auf das Online-Banking verlangte. Dies ermöglichte es den Angreifern, nach dem Erlangen der Zugangsdaten des Klägers sensible Zahlungsdaten einzusehen und die betrügerischen Transaktionen vorzubereiten. Das Gericht reduzierte daher den Schadensersatzanspruch der Bank um 20%, um diesem Mitverschulden Rechnung zu tragen.
Das Urteil bietet weitere Orientierung für zukünftige Fälle und betont die Notwendigkeit, sowohl die technischen Sicherheitsstandards der Banken als auch die Sorgfaltspflichten der Kunden kontinuierlich zu überprüfen und zu verbessern. Für Bankkunden bleibt die bittere Pille: Auch wenn die Bank mithaftet, ist ein ganz erheblicher Schaden eingetreten, auf dem man häufig sitzenbleibt.
Fazit
Das Urteil des Oberlandesgerichts Dresden verdeutlicht die komplexe Haftungsverteilung bei Phishing-Angriffen im Online-Banking. Während Bankkunden eine hohe Sorgfaltspflicht trifft und grob fahrlässiges Verhalten zu einer Haftung führen kann, haben auch Banken eine Verantwortung, ihre Systeme entsprechend den aufsichtsrechtlichen Vorgaben abzusichern. Ein Mitverschulden der Bank kann zu einer Reduzierung des Schadensersatzanspruchs führen. Dieses Urteil unterstreicht die Bedeutung von Sicherheitsmaßnahmen sowohl auf Seiten der Banken als auch der Kunden und zeigt, dass beide Parteien im Schadensfall zur Verantwortung gezogen werden können.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
- Subventionsbetrug: BGH zur Reichweite des Vermögensschadens nach § 264 StGB - 16. Februar 2026
- Reichweite eines Verjährungseinredeverzichts bei Haftung von Geschäftsführern nach § 64 GmbHG a.F. - 16. Februar 2026
- Sexueller Missbrauch an Schulen: Ideen für ein Schutzkonzept aus der Praxis - 15. Februar 2026
