Anwaltskanzlei Ferner Alsdorf - Kanzlei für moderne Strafverteidigung & IT-Recht

Anwaltskanzlei Ferner Alsdorf (Rechtsanwalt für Strafrecht & IT-Recht)

Schlagwort: 675v

  • Phishing per pushTAN: OLG Düsseldorf zu Autorisierung und grober Fahrlässigkeit im Onlinebanking

    Phishing per pushTAN: OLG Düsseldorf zu Autorisierung und grober Fahrlässigkeit im Onlinebanking

    Mit Hinweisbeschluss vom 23. Februar 2026 (14 U 37/25) hat der 14. Zivilsenat des Oberlandesgerichts Düsseldorf die beabsichtigte Zurückweisung der Berufung einer Bankkundin angekündigt, die von ihrer Sparkasse die Erstattung einer durch Telefonbetrug erlangten Überweisung in Höhe von 14.000 Euro begehrt hatte. Die Entscheidung verzahnt zwei zentrale Linien der Onlinebanking-Rechtsprechung: die Bestimmung der Reichweite einer „Autorisierung“ nach § 675j BGB bei täuschungsbedingten pushTAN-Freigaben und die Konturierung grober Fahrlässigkeit bei Opfern moderner Social-Engineering-Angriffe.

    (mehr …)
  • Phishing-Angriff auf Apple Pay: Bank muss mangels starker Kundenauthentifizierung erstatten

    Phishing-Angriff auf Apple Pay: Bank muss mangels starker Kundenauthentifizierung erstatten

    Mit einem aktuellen Urteil des Oberlandesgerichts Karlsruhe vom 23. Dezember 2025 (Aktenzeichen 17 U 113/23) werden grundsätzliche Fragen zur Haftung bei Phishing-Angriffen auf mobile Bezahlsysteme aufgeworfen: Dabei geht es konkret um die starke Kundenauthentifizierung nach § 1 Abs. 24 ZAG und ihre praktische Umsetzung bei der Nutzung von Apple Pay.

    Das Gericht entschied, dass eine Bank ihren Kunden für nicht autorisierte Transaktionen entschädigen muss, wenn sie die Anforderungen an die Authentifizierung nicht hinreichend erfüllt. Nach langer Zeit negativer Entscheidungen für Kunden sieht man hier noch einmal hohe Hürden für Banken, wenn diese sich auf grobe Fahrlässigkeit des Kunden berufen – und wie entscheidend die technische Ausgestaltung der Sicherheitsverfahren ist.

    (mehr …)
  • Phishing-Betrug und grobe Fahrlässigkeit: Haftung des Kunden bei der Weitergabe von Kreditkartendaten

    Phishing-Betrug und grobe Fahrlässigkeit: Haftung des Kunden bei der Weitergabe von Kreditkartendaten

    In einem Urteil des Amtsgerichts München (222 C 15098/24) aus dem Januar 2025 werden grundsätzliche Fragen zur Verantwortung von Bankkunden im digitalen Zahlungsverkehr aufgeworfen: Es ging um einen Fall, in dem ein Kunde auf einer Phishing-Seite seine Kreditkartendaten und eine SMS-TAN eingab, woraufhin ein Betrüger zwei Transaktionen in Höhe von insgesamt 2.407,25 Euro durchführte. Der Kläger forderte die Rückerstattung des Betrags von seiner Bank, doch das Gericht wies die Klage ab und stellte fest, dass der Kunde grob fahrlässig gehandelt habe. Die Entscheidung zeigt, wie hoch die Anforderungen an die Sorgfaltspflichten von Verbrauchern im Umgang mit sensiblen Zahlungsdaten sind – und wo die Grenzen der Haftung von Banken liegen.

    (mehr …)
  • Grobe Fahrlässigkeit bei Telefon-Phishing

    Grobe Fahrlässigkeit bei Telefon-Phishing

    In einer aktuellen Entscheidung zum Phishing (XI ZR 107/24) thematisiert der BGH zwei neuralgische Punkte des Zahlungsverkehrs: Einerseits konkretisiert sie die Schwelle zur groben Fahrlässigkeit des Zahlers bei der Weitergabe von TANs im Kontext eines professionell orchestrierten Telefon-Phishings. Andererseits zieht sie eine klare Trennlinie für den Anwendungsbereich des § 675v Abs. 4 S. 1 Nr. 1 BGB. Maßgeblicher Bezugspunkt der „starken Kundenauthentifizierung“ (SCA) ist ausschließlich der konkrete Zahlungsvorgang. Ob bei der bloßen Anmeldung im Online-Banking eine SCA verlangt wurde, ist dafür unerheblich.

    (mehr …)
  • Keine Haftung der Bank bei grober Fahrlässigkeit des Kunden

    Keine Haftung der Bank bei grober Fahrlässigkeit des Kunden

    Phishing und Social Engineering gehören zu den größten Sicherheitsrisiken im Onlinebanking. Das Landgericht Heidelberg (Urteil vom 13. Mai 2025, 2 O 233/24) hatte im Mai 2025 zu klären, ob eine Bank ihren Kunden für nicht autorisierte Überweisungen entschädigen muss, wenn dieser leichtfertig einen Freischaltcode an Betrüger weitergibt. Die Entscheidung setzt die bekannten Grundsätze des Zahlungsdiensterechts konsequent um und betont, wie hoch die Sorgfaltsanforderungen für Kontoinhaber im digitalen Zahlungsverkehr sind.

    (mehr …)
  • Haftung von Unternehmen bei Phishing und CEO-Fraud

    Haftung von Unternehmen bei Phishing und CEO-Fraud

    Aktuelle Rechtsprechung und juristische Maßstäbe beim CEO-Fraud: Phishing und CEO-Fraud gehören inzwischen zum traurigen Repertoire professionell organisierter Cyberkriminalität. Unternehmen werden nicht nur zur Zielscheibe, sondern zunehmend auch zum Einfallstor für Zahlungsströme, die auf Basis manipulierter Kommunikation initiiert wurden.

    Dabei stellt sich für das geschädigte Unternehmen regelmäßig die Frage: Wer trägt die Verantwortung für den Abfluss der Gelder? Ist das Unternehmen als Opfer verpflichtet, die Verluste zu tragen – oder haften Banken, Dienstleister oder gegebenenfalls sogar handelnde Mitarbeiter persönlich?

    Dieser Beitrag widmet sich der Haftungslage des Phishing- bzw. CEO-Fraud-Opfers. Dabei wird auch die verknüpfte Frage der Sicherheitsanforderungen betrachtet, insbesondere im digitalen Zahlungsverkehr und der elektronischen Kommunikation. Grundlage sind zahlreiche aktuelle Entscheidungen aus der Instanzrechtsprechung, ergänzt durch dogmatische Überlegungen und den Blick auf europarechtliche Vorgaben aus der PSD2 (Zahlungsdiensterichtlinie).

    (mehr …)
  • Phishing, PushTAN und grobe Fahrlässigkeit: LG Wuppertal zur Eigenverantwortung beim digitalen Zahlungsverkehr

    Phishing, PushTAN und grobe Fahrlässigkeit: LG Wuppertal zur Eigenverantwortung beim digitalen Zahlungsverkehr

    Die Digitalisierung des Zahlungsverkehrs hat unbestreitbare Vorteile in Komfort und Schnelligkeit gebracht – doch sie geht eben auch mit erheblichen Risiken einher. Wir erleben, wie Phishing-Versuche immer raffinierter und schwerer zu erkennen sind, womit die Sorgfaltspflichten der Nutzer in den Fokus gerichtlicher Auseinandersetzungen geraten. Das Urteil des Landgerichts Wuppertal vom 19. Februar 2025 (Az. 8 S 59/24) zeigt exemplarisch, wo die Grenze zwischen nachvollziehbarer Täuschung und grober Fahrlässigkeit verläuft – und wann ein Verbraucher für den Schaden durch eine betrügerische Überweisung selbst einstehen muss.

    (mehr …)
  • OLG Celle zur Haftung der Bank bei CEO-Fraud

    OLG Celle zur Haftung der Bank bei CEO-Fraud

    Das Urteil des Oberlandesgerichts Celle vom 17. November 2020 (Az. 3 U 122/20) beleuchtet die komplexen rechtlichen Aspekte im Zusammenhang mit CEO-Fraud, einer Betrugsmasche, bei der Kriminelle durch Täuschung Unternehmen und Banken zu unautorisierten Zahlungen bewegen. Das Urteil greift grundlegende Fragen zur Haftung von Zahlungsdienstleistern, zur Verantwortung von Kunden und zur gesetzlichen Risikoverteilung nach den §§ 675j, 675u und 676c BGB auf.

    (mehr …)
  • Haftung der Bank bei Täuschung durch Call-ID-Spoofing-Betrüger

    Haftung der Bank bei Täuschung durch Call-ID-Spoofing-Betrüger

    Das Oberlandesgericht Bremen (1 U 32/24) hat in einem bemerkenswerten Hinweisbeschluss grundlegende Fragen zur Autorisierung von Zahlungsvorgängen und zur Haftung bei Täuschung durch sogenannte Call-ID-Spoofing-Betrüger behandelt. Der Fall betraf die Freigabe einer pushTAN durch einen Bankkunden, der aufgrund einer Täuschung glaubte, eine Rückbuchung zu veranlassen, tatsächlich aber eine Echtzeitüberweisung autorisierte. Das Gericht klärte zentrale rechtliche Probleme zur Anfechtbarkeit von Autorisierungen, zur groben Fahrlässigkeit und zu Gegenansprüchen von Zahlungsdienstleistern.

    (mehr …)
  • LG Köln zu Call-ID-Spoofing und grober Fahrlässigkeit

    LG Köln zu Call-ID-Spoofing und grober Fahrlässigkeit

    In seinem Urteil vom 8. Januar 2024 (22 O 43/23) hatte sich das Landgericht Köln mit den rechtlichen Implikationen eines Online-Banking-Betrugsfalls zu befassen, der durch Call-ID-Spoofing ausgelöst wurde. Kernfragen betrafen die Autorisierung von Zahlungsvorgängen, die Haftung des Bankkunden und die Sorgfaltspflichten der Bank. Die Entscheidung stellt wesentliche Maßstäbe für die Beurteilung grober Fahrlässigkeit und Verbraucherschutz im digitalen Zahlungsverkehr auf.

    (mehr …)
  • LG Heilbronn: Angebot von Banken-App und Zugangs-App auf gleichem Smartphone ist unsicher

    LG Heilbronn: Angebot von Banken-App und Zugangs-App auf gleichem Smartphone ist unsicher

    Das Landgericht Heilbronn (Bm 6 O 10/23) hat entschieden, dass das sog. pushTAN-Verfahren, bei dem die TAN auf dem Mobiltelefon in einem anderen Programm (App) angezeigt wird, als demjenigen, das auch den Zugang zur Bank über die auf demselben Smartphone installierte Bank-App (SecureGo-App) vermittelt, ein erhöhtes Gefährdungspotential aufweist, da statt der Nutzung getrennter Kommunikationswege nur noch zwei Apps auf einem Gerät verwendet werden.

    Konsequenz: Nach Auffassung des Landgerichts liegt damit keine Authentifizierung aus mindestens zwei voneinander unabhängigen Elementen im Sinne des § 1 Abs. 24 ZAG vor, weshalb die für die Annahme eines Anscheinsbeweises für die Autorisierung eines Zahlungsauftrags im Sinne des § 675w BGB erforderliche sehr hohe Sicherheit nicht bejaht werden kann.

    (mehr …)

  • Rechtsschein für Autorisierung des Zahlungsvorgangs durch Zahlungsdienstnutzer

    Wenn aufgrund starker Indizien (hier: Mehrfache Aufforderung zur Eingabe einer fünfstelligen Ziffernfolge 1, 2, 3, 4, 5; Überweisung eines höheren Geldbetrags an einen dem Bankkunden unbekannten Zahlungsempfänger, der den Geldbetrag sofort weiterleitet oder abhebt; Versuch einer Echtzeitüberweisung; staatliche Ermittlungen gegen den Zahlungsempfänger wegen des Verdachts der Geldwäsche und des Computerbetrugs) zur Überzeugung des Gerichts feststeht, dass der Zahlungsdienstnutzer bei der unbeabsichtigten Auslösung eines Zahlungsvorgangs Opfer eines missbräuchlichen Eingriffs in das Online-Banking geworden ist, kann auch dann nicht nach Rechtsscheingrundsätzen von einer Autorisierung des Zahlungsvorgangs durch den Zahlungsdienstnutzer ausgegangen werden, wenn dieser Missbrauch für das Geldinstitut bei Entgegennahme und Ausführung des Zahlungsauftrages aufgrund der Verwendung der richtigen Zugangsdaten und der Verwendung eines mit der Bankkarte des Zahlungsdienstnutzers im ChipTAN-Verfahren generierten Authentifizierungsinstruments nicht erkennbar war – so OLG Dresden, 8 U 578/22.

    Weiter: Ein Zahlungsdienstnutzer, der entgegen den Online-Banking-Bedingungen des Geldinstituts bei Anwendung des vereinbarten ChipTAN-Verfahrens die ihm am Kartenlesegerät angezeigten Daten (IBAN des Zahlungsempfängers, Bankinstitut, Überweisungsbetrag) ohne vorherige Prüfung auf Übereinstimmung mit den Daten des tatsächlich gewollten Vorgangs mit „OK“ bestätigt und anschließend die generierte TAN verwendet, handelt regelmäßig grob fahrlässig, sofern auch in subjektiver Hinsicht ein individuell unentschuldbares Fehlverhalten feststellbar ist.

  • Mitschuld des Nutzers bei Phishing-Angriffen

    Mitschuld des Nutzers bei Phishing-Angriffen

    Beim Phishing nutzen Täter die „Schwachstelle Mensch“ aus, um personalisierte Sicherheitsmerkmale auszuspähen und in der Folge Zahlungen auszulösen. Phishing-Angriffe sind daher nicht ohne erhebliche Mitwirkung des Zahlungsdienstnutzers möglich (OLG München, 19 U 2204/22).

    (mehr …)

  • Beweislast bei grober Fahrlässigkeit des Karteninhabers

    Nach § 675v Abs. 3 Nr. 2 BGB ist der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler den Schaden durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehrerer Pflichten nach § 675l Abs. 1 oder einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments herbeigeführt hat.

    (mehr …)