Phishing, PushTAN und grobe Fahrlässigkeit: LG Wuppertal zur Eigenverantwortung beim digitalen Zahlungsverkehr

Die Digitalisierung des Zahlungsverkehrs hat unbestreitbare Vorteile in Komfort und Schnelligkeit gebracht – doch sie geht eben auch mit erheblichen Risiken einher. Wir erleben, wie -Versuche immer raffinierter und schwerer zu erkennen sind, womit die Sorgfaltspflichten der Nutzer in den Fokus gerichtlicher Auseinandersetzungen geraten. Das Urteil des Landgerichts Wuppertal vom 19. Februar 2025 (Az. 8 S 59/24) zeigt exemplarisch, wo die Grenze zwischen nachvollziehbarer Täuschung und grober Fahrlässigkeit verläuft – und wann ein Verbraucher für den Schaden durch eine betrügerische Überweisung selbst einstehen muss.

Der Fall: Zwei Freigaben und die Folgen

Im zugrunde liegenden Fall wurde das Konto des Klägers ohne dessen Wissen mit insgesamt 2.409,43 Euro belastet. Die Bank erkannte die Überweisungen nicht als autorisiert an, verweigerte jedoch die Rückerstattung mit Verweis auf eine grob fahrlässige Handlung des Kontoinhabers. Der Kläger erhob auf Erstattung – zunächst mit Erfolg. Das Amtsgericht Remscheid verurteilte die Bank zur Zahlung. Im Berufungsverfahren kippte das Landgericht Wuppertal dieses Urteil jedoch vollständig: Die Kläger blieben auf dem Schaden sitzen.

Der zentrale Vorwurf des Gerichts lautete, der Kläger habe im Rahmen eines Phishing-Vorfalls gleich zweimal eine sogenannte digitale Bezahlkarte auf einem fremden Gerät freigegeben – jeweils unter Verwendung der eigenen PushTAN-App und persönlichen Zugangsdaten. Damit habe er, so die Kammer, den Betrügern faktisch das elektronische Einfallstor geöffnet.

OLG Celle zur Haftung der Bank bei CEO-Fraud

Grobe Fahrlässigkeit im digitalen Kontext

Die rechtliche Bewertung stützt sich auf §  Abs. 3 Nr. 2 BGB in Verbindung mit den Bedingungen für das Online-Banking. Das Gericht stellt fest, dass ein Zahlungsdienstnutzer verpflichtet ist, personalisierte Sicherheitsmerkmale zu schützen und bei der Autorisierung von Zahlungsvorgängen höchste Sorgfalt walten zu lassen. Entscheidend ist dabei nicht allein das Vorhandensein technischer Sicherungen wie Zwei-Faktor-Authentifizierung, sondern auch deren bewusste Nutzung.

Das Gericht kam zu dem Ergebnis, dass der Kläger durch seine Freigaben der digitalen Karte auf einem fremden Mobiltelefon in schwerwiegender Weise gegen diese Pflichten verstoßen habe. Insbesondere bemängelte die Kammer, dass der Kläger auf die Anzeige in der App – etwa „Auftrag zur Freigabe einer digitalen Karte“ – nicht angemessen reagiert, sondern offenbar reflexartig auf „Bestätigen“ geklickt habe, ohne Kontext oder Inhalt zu prüfen. Der Vorfall sei auch nicht auf ein „Versehen“ zurückzuführen, etwa ein unbeabsichtigter Klick. Vielmehr sei ein solches Verhalten objektiv sorgfaltswidrig und subjektiv unentschuldbar – das klassische Kriterium grober Fahrlässigkeit.

Das Urteil macht deutlich, dass grobe Fahrlässigkeit nicht erst dann vorliegt, wenn Zugangsdaten aktiv weitergegeben werden. Auch das Unterlassen einfachster Kontrollmaßnahmen – wie etwa das Lesen einer Push-Benachrichtigung vor deren Bestätigung – kann als schwerwiegende Pflichtverletzung gewertet werden. Dass es sich um einen komplexen digitalen Vorgang handelt, entlastet den Nutzer nicht, sondern erhöht im Gegenteil die Anforderungen an dessen Aufmerksamkeit.

LG Köln zu Call-ID-Spoofing und grober Fahrlässigkeit

Keine Sorgfaltspflichtverletzung der Bank

Bemerkenswert ist auch, dass das Gericht ausdrücklich ein Mitverschulden der Bank nach § 254 BGB ablehnt. Zwar wäre denkbar gewesen, dass das Kreditinstitut die ungewöhnlichen Transaktionen durch Algorithmen oder Transaktionsmonitoring hätte erkennen und stoppen können. Doch nach Auffassung der Kammer existiert keine bankaufsichtsrechtliche Pflicht zur Echtzeitkontrolle einzelner Vorgänge. Die europarechtlich vorgeschriebenen Transaktionsüberwachungsmechanismen dienen lediglich der allgemeinen Risikoerkennung – nicht dem sofortigen Schutz einzelner Kunden.

Entsprechend sei der Zahlungsdienstleister nicht verpflichtet gewesen, die fraglichen Zahlungen präventiv zu blockieren. Die Verantwortung für den eingetretenen Schaden liege daher allein beim Nutzer.

Die Beweislastverteilung: Täuschung versus Technik

Der Fall illustriert zudem die verfahrensrechtliche Komplexität solcher Auseinandersetzungen. Zwar ist es grundsätzlich Sache des Zahlungsdienstleisters, die Autorisierung eines Vorgangs zu beweisen. Doch das Gericht stützt sich hier auf technische Protokolle und die Unwiderlegbarkeit der digitalen Abläufe: Die Freigaben in der App ließen sich auf Zeitpunkt, Inhalt und Authentifizierungsweg exakt zurückverfolgen. Der Vortrag des Klägers, sich „nicht erinnern zu können“ oder das Smartphone an diesem Tag gar nicht genutzt zu haben, blieb letztlich unsubstantiiert und wurde – zu Recht – nicht berücksichtigt.

Das Urteil verweist dabei auf die Eigenverantwortung jedes Nutzers im Umgang mit sensiblen Authentifizierungsmechanismen. Wer ohne Anlass und ohne Prüfung elektronische Freigaben erteilt, kann sich im Nachhinein nicht darauf berufen, getäuscht worden zu sein, wenn die Täuschung an der bloßen Aufmerksamkeitsschwelle scheiterte.

Phishing Angriff führt unbemerkt zu Apple Pay: Bank muss zahlen

Ergebnis

In der Kernaussage verdeutlicht das Urteil des Landgerichts Wuppertal, dass auch im digitalen Zahlungsverkehr traditionelle Maßstäbe zur Sorgfalt und Eigenverantwortung weiterhin gelten. Der technische Fortschritt – ob PushTAN, biometrische Verfahren oder digitale Karten – schützt nur so weit, wie der Nutzer diese Werkzeuge reflektiert und aufmerksam einsetzt. Wer Warnhinweise ignoriert oder automatisiert handelt, setzt sich der Gefahr aus, im Ernstfall keinen Erstattungsanspruch zu haben.

Gleichzeitig gibt das Urteil Orientierung für die Zukunft der Rechtsprechung im Online-Banking: Die Schwelle zur groben Fahrlässigkeit ist erreicht, wenn ein Nutzer in kritischen Momenten nicht inne hält – unabhängig davon, ob der Angriff von außen technisch raffiniert oder psychologisch perfide war. Der Maßstab bleibt ein einfacher: Was sich aufdrängt, muss beachtet werden. Wer das missachtet, riskiert den Schutz seines Kontos – und seiner Ansprüche.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf
Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity) (Alle anzeigen)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.