Mit Hinweisbeschluss vom 23. Februar 2026 (14 U 37/25) hat der 14. Zivilsenat des Oberlandesgerichts Düsseldorf die beabsichtigte Zurückweisung der Berufung einer Bankkundin angekündigt, die von ihrer Sparkasse die Erstattung einer durch Telefonbetrug erlangten Überweisung in Höhe von 14.000 Euro begehrt hatte. Die Entscheidung verzahnt zwei zentrale Linien der Onlinebanking-Rechtsprechung: die Bestimmung der Reichweite einer „Autorisierung“ nach § 675j BGB bei täuschungsbedingten pushTAN-Freigaben und die Konturierung grober Fahrlässigkeit bei Opfern moderner Social-Engineering-Angriffe.

Sachverhalt

Die 64-jährige Klägerin nutzte das Onlinebanking der beklagten Sparkasse seit rund zehn Jahren; die Autorisierung von Zahlungsaufträgen erfolgte nach Ziffer 4.1 der AGB durch Freigabe per pushTAN in einer Mobiltelefon-App. Am Tag vor dem streitgegenständlichen Vorfall hatte sie eine Phishing-SMS erhalten und dort persönliche Daten auf einer verlinkten Webseite eingegeben, was sie im Prozess einräumte. Bereits am Vormittag des 16. Februar 2024 rief sie bei der Beklagten an und berichtete vom Erhalt der SMS; am Nachmittag desselben Tages gab sie nach einem Anruf eines vermeintlichen Bankmitarbeiters, bei dem auf ihrem Display die Rufnummer der Beklagten angezeigt worden sein soll, eine 14.000-Euro-Überweisung per pushTAN frei – in der Annahme, dadurch eine fälschlich ausgelöste Transaktion „zurückrufen“ zu können.

Die Beklagte hatte ihre Kunden bereits durch einen seit Februar/März 2023 im Onlinebanking eingeblendeten Sicherheitshinweis sowie durch ein Warnschreiben vom 7. Februar 2023 im elektronischen Postfach vor genau dieser Betrugsmasche gewarnt; der Sicherheitshinweis adressierte ausdrücklich das Phänomen täuschender Anrufe mit „richtiger“ Rufnummer und das Ziel der Freigabe von Transaktionen via pushTAN. Das Landgericht Düsseldorf (13 O 191/24) wies die Klage ab, der Senat kündigt die einstimmige Zurückweisung der Berufung nach § 522 Abs. 2 ZPO an und eröffnet der Klägerin zugleich die Gelegenheit zur Rücknahme zur Vermeidung weiterer Kosten.

Autorisierung trotz Täuschung: § 675j BGB als Erklärungstatbestand

Den dogmatischen Schwerpunkt setzt der Senat bei der Frage, ob der streitgegenständliche Zahlungsvorgang im Sinne des § 675u Satz 2 BGB „nicht autorisiert“ war. Die Autorisierung ist nach § 675j Abs. 1 Satz 1 BGB die Zustimmung zum Zahlungsvorgang – rechtlich zu qualifizieren als einseitige, empfangsbedürftige Willenserklärung nach herrschender Meinung. Die Zustimmung kann mittels des vereinbarten Zahlungsinstruments erteilt werden und erfolgt in der zwischen Zahler und Zahlungsdienstleister vereinbarten Art und Weise, hier durch Freigabe einer pushTAN in der Mobile-App der Klägerin.

Entscheidend ist die Abgrenzung zwischen einem kompromittierten Authentifizierungsverfahren und einer rein motivational veranlassten Fehlvorstellung des Zahlers. Der Senat stellt fest, dass die Klägerin den Zahlungsauftrag sowohl im Onlinebanking, in das sie eingeloggt war, als auch in der pushTAN-App inhaltlich korrekt angezeigt erhielt und ihn mittels 2FA-Authentifizierung freigegeben hat; eine Kompromittierung einzelner Elemente des vereinbarten Authentifizierungsverfahrens lag damit nicht vor. Dass der Zahlungsauftrag – unterstellt – nicht von der Klägerin selbst initiiert worden war, ist nach Ansicht des Senats für die wirksame Zustimmung unerheblich; der Auftrag wurde der Klägerin unverändert zur Genehmigung vorgelegt und von ihr durch die pushTAN-Freigabe „zu eigen gemacht“.

Methodisch knüpft der Senat an § 1 Abs. 23 ZAG und die Dogmatik der Urheberschaftsprüfung an: Das Authentifizierungsverfahren dient der Prüfung der berechtigten Verwendung des Zahlungsinstruments, also der Echtheit der im Zahlungsauftrag enthaltenen Willenserklärung. Diese Prüfung war der Klägerin möglich; sie irrte nicht über die Echtheit des Auftrags, sondern über dessen Folgen – eine zahlungsdiensterechtlich unbeachtliche Fehlvorstellung außerhalb des Authentifizierungsverfahrens.

Damit ordnet sich der Senat ausdrücklich in die Linie des Hanseatischen OLG Bremen (1 U 32/24) ein und grenzt sich von der Entscheidung des OLG Dresden (8 U 578/22) ab, die trotz bejahter Authentifizierung zu einer Verneinung der Autorisierung gelangt war. Der Unterschied liegt nach dem Senat im Erklärungsbewusstsein: Während der Kläger im Dresdner Fall nicht in dem Bewusstsein handelte, einen konkreten Betrag an einen konkreten Empfänger zu überweisen, sondern nur „Onlinekontofunktionen freizuschalten“ meinte, wurde der Klägerin im Düsseldorfer Fall die richtige Transaktion mit zutreffendem Empfänger und Betrag angezeigt und bewusst freigegeben. Die Differenzierung ist dogmatisch fein, aber praktisch bedeutsam: Nicht jede Täuschung im Umfeld einer pushTAN-Freigabe führt zum Verlust der Autorisierung, sondern nur eine Täuschung, die dem Zahler das Bewusstsein des konkreten Zahlungsinhalts nimmt.

§ 675v Abs. 3 Nr. 2 BGB: Grobe Fahrlässigkeit als tragendes Hilfsargument

Der Senat stützt die Zurückweisung zusätzlich auf einen Gegenanspruch der Beklagten aus § 675v Abs. 1, Abs. 3 Nr. 2 a) und b) BGB in Verbindung mit den „Bedingungen für das Online-Banking“, dem die Bank der Klägerin nach § 242 BGB entgegenhalten darf. Diese dogmatische Doppellinie – wirksame Autorisierung einerseits, Schadensersatzanspruch bei unterstellter Nichtautorisierung andererseits – hat sich in der Rechtsprechung des BGH (XI ZR 107/22; XI ZR 294/19) etabliert und wird vom 14. Zivilsenat konsequent angewandt.

Inhaltlich formuliert der Senat den klassischen Maßstab grober Fahrlässigkeit: objektiv schwerer und subjektiv nicht entschuldbarer Verstoß gegen die Anforderungen der im Verkehr erforderlichen Sorgfalt, der das Maß einfacher Fahrlässigkeit erheblich überschreitet. Der Senat rekurriert auf aktuelle BGH-Rechtsprechung (XI ZR 107/24) und mahnt zugleich die BGH-Linie an, wonach selbst ein objektiv grober Pflichtenverstoß nicht zwingend auf gesteigertes personales Verschulden schließen lässt (XI ZR 91/14). Diese Reminiszenz an das subjektive Element grober Fahrlässigkeit wird in Zeiten von Social-Engineering-Attacken zunehmend relevant, weil professionelle Täter gezielt psychologischen Druck aufbauen.

Für die Subsumtion nimmt der Senat drei Pflichten aus den AGB in den Blick: die Pflicht zum Schutz der Authentifizierungselemente vor unbefugtem Zugriff (Ziffer 7.1), die Pflicht zur Beachtung der Sicherheitshinweise (Ziffer 7.2) und die Pflicht, vor Bestätigung die Übereinstimmung der angezeigten Daten mit den für den Auftrag vorgesehenen Daten zu prüfen (Ziffer 7.3). Die Klägerin habe sämtliche drei Pflichten grob verletzt: Die pushTAN-Freigabe ermögliche unbefugten Zugriff, die Warnhinweise seien entweder nicht gelesen oder bewusst ignoriert worden, und die gewissenhafte Prüfung des Auftrags hätte ergeben müssen, dass der Auftrag nicht von der Klägerin selbst initiiert wurde; und dass Banken niemals die Mithilfe des Kunden in Form einer TAN-Eingabe benötigen, um Überweisungen zu stoppen.

Bemerkenswert ist die Betonung des Kontextes: Die Klägerin hatte bereits am Vortag eine Phishing-SMS erhalten und darauf Daten eingegeben, sie hatte sich am Vormittag des Tattages bei der Beklagten telefonisch gemeldet und damit selbst erkannt, einer Bedrohung ausgesetzt zu sein. Angesichts dieser Vorgeschichte sei es „völlig unverständlich“, sich im Nachmittag desselben Tages zu einer pushTAN-Freigabe überreden zu lassen, die unter dem Vorwand eines „Rückrufs“ stand.

Die Rufnummernanzeige der Beklagten auf dem Display der Klägerin wird vom Senat mit einem praxisrelevanten Satz entkräftet: Jedenfalls im Jahr 2024 sei als allgemein bekannt anzunehmen, dass Anrufernummern auf dem Display leicht gefälscht werden können; zudem hatte die Beklagte in ihrem Sicherheitshinweis gerade darauf hingewiesen. Damit setzt sich der Senat der Linie zahlreicher Oberlandesgerichte an (OLG Sachsen-Anhalt 5 U 35/24; OLG Frankfurt 3 U 3/23 und 3 U 84/23; OLG München 19 U 2204/22), die das Phänomen des „Call-ID-Spoofings“ als gerichtsbekanntes Allgemeinwissen behandeln.

Abgrenzung zum Telefonbanking und Bedeutung der AGB

Eine interessante Nebenlinie zieht der Senat zur Argumentation der Berufung, wonach im „Telefonbanking“ aufgrund fehlenden physischen Kontakts regelmäßig eine Mitwirkung des Kunden erforderlich sei. Der Senat stellt richtig, dass die Klägerin kein Telefonbanking, sondern klassisches Onlinebanking betrieb; die AGB der Beklagten ermöglichen gerade ein Verfahren ohne betrugsanfälligen persönlichen Telefonkontakt. Wer also im Rahmen eines Onlinebanking-Vertrages einer telefonischen Aufforderung zur TAN-Freigabe Folge leistet, verlässt den vertraglich vereinbarten Kommunikationskanal und handelt außerhalb des vertrauensbildenden Rahmens der Geschäftsbeziehung.

Diese Unterscheidung zwischen Onlinebanking und Telefonbanking wird für die anwaltliche Beratung zum stillen Leitsatz: Argumente, die auf die Eigentümlichkeiten telefonischer Legitimationsverfahren zielen, greifen nicht, wenn die Bank vertraglich einen technisch-automatisierten Freigabekanal bereitstellt und der Kunde bewusst einen Nebenkanal nutzt.

Keine Missbrauchsanzeige, keine allgemeine Warnpflicht

Die Klägerin konnte sich nicht auf den Haftungsausschluss des § 675v Abs. 5 BGB berufen, weil sie keine Missbrauchsanzeige nach § 675l Abs. 1 Satz 2 BGB erstattet hatte. Die Darlegungs- und Beweislast hierfür liegt beim Zahler; die bloße Mitteilung des Erhalts einer Phishing-SMS ist keine Anzeige einer missbräuchlichen Verwendung oder nicht autorisierten Nutzung eines Zahlungsinstruments, weil die SMS selbst nur dem Versuch dient, in der Folge Zugriff zu erhalten. Hätte die Klägerin die SMS ignoriert oder gelöscht, wäre keinerlei Gefahr eines Missbrauchs eingetreten. Der Senat erinnert damit an die anspruchssichernde Funktion einer frühzeitigen, konkreten Missbrauchsanzeige – ein Hinweis, den die Beratungspraxis in Krisensituationen seltener im Blick hat, als es ihr Gewicht für den Haftungsausschluss nahelegt.

Auch ein Mitverschulden der Beklagten nach § 254 BGB lehnt der Senat ab. Eine Bank trifft keine allgemeine Prüfungs- oder Warnpflicht; eine Warnpflicht besteht erst dann, wenn die Bank im Rahmen der normalen Bearbeitung eines Zahlungsverkehrsvorgangs aufgrund massiver Verdachtsmomente den Verdacht einer Veruntreuung schöpft (BGH XI ZR 96/11). Bei einer Inlandsüberweisung an eine Privatperson bei einer deutschen Großbank fehlen solche Verdachtsmomente typischerweise. Ebenso löst die bloße Mitteilung einer Phishing-SMS keine Pflicht zur Kontosperrung aus; eine unzulässige Sperre würde die Bank ihrerseits schadensersatzpflichtig machen. Die Haftungsverteilung zugunsten der Bank ist damit asymmetrisch zuungunsten des getäuschten Kunden – eine Asymmetrie, die nur dann aufbricht, wenn der Kunde konkret auf den erfolgten Zugriffsversuch und eigene Dateneingaben hinweist.

Sperrwirkung des § 675z Satz 1 BGB

Abschließend verweist der Senat auf die Sperrwirkung des § 675z Satz 1 BGB gegenüber weiteren Anspruchsgrundlagen mit denselben Rechtsfolgen. Diese Sperrwirkung schließt insbesondere deliktsrechtliche oder bereicherungsrechtliche Parallelansprüche aus, die im selben Schadensbereich zum gleichen Ergebnis führen würden, und verhindert damit eine Umgehung der differenzierten Haftungsarchitektur der §§ 675u ff. BGB über allgemeine zivilrechtliche Ansprüche.

Fazit

Der Hinweisbeschluss konsolidiert die inzwischen gefestigte obergerichtliche Linie zum pushTAN-Phishing: Eine wirksame Autorisierung liegt vor, wenn der Zahler den inhaltlich korrekten Zahlungsauftrag per pushTAN freigibt und sein Irrtum lediglich die Folgen, nicht aber den Inhalt der Zustimmung betrifft; und selbst bei unterstellter Nichtautorisierung schiebt der Schadensersatzanspruch der Bank aus § 675v Abs. 3 Nr. 2 BGB den Rückforderungsanspruch des Zahlers regelmäßig beiseite, wenn dieser Warnhinweise ignoriert und einer offenkundig verdächtigen telefonischen Aufforderung nachkommt. Für die Praxis heißt das: Die Reichweite des § 675u Satz 2 BGB wird nicht durch die Täuschungshandlung des Angreifers definiert, sondern durch den Grad, in dem das Authentifizierungsverfahren selbst kompromittiert wurde.

Für die Beratung von Bankkunden ergibt sich ein klares Bild. Erstens sollten Kunden, die sich Opfer eines Phishing-Angriffs geworden glauben, unverzüglich und inhaltlich konkret eine Missbrauchsanzeige nach § 675l Abs. 1 Satz 2 BGB erstatten, die ausdrücklich die Eingabe von Daten auf Phishing-Seiten und die Gefahr einer missbräuchlichen Verwendung des Zahlungsinstruments benennt. Zweitens bleibt die erfolgversprechendste Verteidigungslinie vor Gericht regelmäßig die Beweisebene – insbesondere die Frage, ob dem Kunden die konkrete Transaktion in Umfang und Empfänger zutreffend angezeigt wurde, was nach der Linie des OLG Dresden (8 U 578/22) zum Entfallen der Autorisierung führen kann. Drittens gewinnt die Darlegung der subjektiven Komponente grober Fahrlässigkeit an Bedeutung: Alter, kognitive Verfassung, situative Drucksituation und glaubhaft gemachter Irrtum über Warnkanäle können – jedenfalls im Rahmen der BGH-Rechtsprechung (XI ZR 91/14) – den Schluss vom objektiv groben Pflichtenverstoß auf gesteigertes personales Verschulden erschweren.

Für Banken und Sparkassen wiederum unterstreicht der Beschluss die Bedeutung einer lückenlosen, inhaltlich konkreten Warnkommunikation. Sicherheitshinweise in Onlinebanking und elektronischem Postfach, die vor exakt der einschlägigen Betrugsmasche warnen, werden zum zentralen Bestandteil der Haftungsverteidigung; sie definieren den Erwartungshorizont des „gewissenhaften Bankkunden“ und prägen damit den Sorgfaltsmaßstab. Der Beschluss des OLG Düsseldorf fügt sich so in eine Rechtsprechungslinie ein, die das zahlungsdiensterechtliche Haftungsregime auf die Realität professioneller Social-Engineering-Angriffe einstellt, ohne das Grundanliegen des § 675u BGB – den Schutz des Zahlers vor nicht autorisierten Vorgängen – aus den Augen zu verlieren.

• Über
• Letzte Artikel

Rechtsanwalt Jens Ferner

Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf

Aufgewachsen zwischen Strafakten und Quellcode ist Rechtsanwalt Jens Ferner Fachanwalt für Strafrecht und IT-Recht. Er verteidigt Mandanten in komplexen und sensiblen Strafverfahren, insbesondere an der Schnittstelle von Digitalisierung und Strafrecht mit klaren Spezialisierungen im Cybercrime, Wirtschaftsstrafrecht, Jugendstrafrecht und Sexualstrafrecht.
Im IT-Recht berät er mit Spezialisierung auf Softwarerecht samt KI, IT-Vertragsrecht, IT-Arbeitsrecht und Cybersicherheit, regelmäßig unter Einbeziehung urheberrechtlicher Fragestellungen. Seine besondere Stärke liegt in der Verbindung juristischer und technischer Expertise als praktizierender Softwareentwickler.

Rechtsanwalt Jens Ferner ist Lehrbeauftragter sowohl für Wirtschaftsstrafrecht als auch IT-Compliance und doziet speziell zu KI-Kompetenz und strategischem Denken an der FH Aachen; er ist fortgebildet in Kommunikationspsychologie und publiziert regelmäßig in Fachaufsätzen zu straf- und IT-rechtlichen Themen sowie im Rahmen strafprozessualer Kommentierung in Ferner/BeckOK StPO (zum IT-Strafprozessrecht und digitalen Beweismitteln).

Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.

Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)

• Deutschland bekommt ein KI-Gesetz: Bündelung der nationalen KI-Aufsicht bei der Bundesnetzagentur – 13. Juni 2026
• Recherche ohne Beweislast: Warum Presse auch unbegründete Werturteile fällen darf – 12. Juni 2026
• Wenn der eigene Mitarbeiter eine Sicherheitslücke findet: Rechtliche Risiken für Unternehmen – 12. Juni 2026