Das Oberlandesgericht (OLG) Oldenburg hat laut einer am 08.08.2025 veröffentlichten Pressemitteilung in einem Urteil vom 24.04.2025 (8 U 103/23) Klarstellungen zum Ersatzanspruch gegen eine Bank nach einem Phishing-Vorfall bei grober Fahrlässigkeit der Bankkunden getroffen. Das Gericht stellte fest, dass kein Anspruch auf Erstattung des entstandenen Schadens besteht, auch wenn die strittigen Überweisungen nicht autorisiert waren. Die Bank könne in solchen Fällen Ersatzansprüche geltend machen, die den Erstattungsanspruch der Bankkunden ausgleichen.
Weiterlesen: Grob fahrlässig! Ersatzanspruch gegen Bank nach Phishing-VorfallGefahren von Phishing
Am gleichen Tag der Veröffentlichung der Pressemitteilung hat der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (LfDI MV) selbst in einer eigenen Mitteilung vor den neuen Bedrohungen durch Phishing-Angriffe gewarnt. Täter würden sich immer raffiniertere Phishing-Methoden ausdenken, um selbst bei besonderer Aufmerksamkeit betrügerische E-Mails oder Nachrichten von echten zu unterscheiden. Mit Hilfe künstlicher Intelligenz sollen täuschend echte E-Mails generiert, Stimmen in Sprachnachrichten perfekt imitiert und Deepfake-Technologien eingesetzt werden. Anschließend findet beispielsweise häufig, wie hier, eine Weiterleitung auf nachgeahmte Bankseiten statt.
Hintergrund des Falls
Im hier zugrundeliegenden Fall wurde ein Ehepaar aus dem Ammerland Opfer eines Phishing-Angriffs, bei dem knapp 41.000 Euro in zwei Echtzeitüberweisungen auf ein Konto in Estland gesendet wurden. Auslöser war eine gefälschte E-Mail, die angeblich von der kontoführenden Bank stammte. Darin wurde die Ehefrau aufgefordert, ihre PushTAN-Registrierung zu aktualisieren, da anderenfalls eine Neuregistrierung notwendig sei. Über einen in der E-Mail enthaltenen Link gelangte sie auf eine gefälschte Website, auf der sie persönliche Daten eingab. Kurz darauf folgte ein SMS-Link für eine vermeintliche Neuregistrierung für das PushTAN-Verfahren, die den Tätern letztlich den Zugriff auf das Konto ermöglichte.
Die Bankkunden verlangten im Anschluss von ihrer Bank den Ersatz des hierdurch entstandenen Schadens nach § 675u S. 2 Bürgerliches Gesetzbuch (BGB). Zur Begründung führten sie an, dass für die Zahlungsvorgänge keine Autorisierung vorgelegen habe.
Entscheidung der ersten Instanz
Das Landgericht Oldenburg soll zunächst laut der Pressemitteilung festgestellt haben, dass die Kläger die Zahlungen nicht autorisiert hatten. Dennoch habe das Gericht einen Erstattungsanspruch gemäß § 675u Satz 2 BGB verneint. Ausschlaggebend gewesen sei, dass die Ehefrau grob fahrlässig gemäß § 675v Abs. 3 Nr. 2 BGB gehandelt habe, indem sie den Tätern Zugang zu ihren personalisierten Authentifizierungsmerkmalen verschafft hatte. Aufgrund der Beweisaufnahme sei das Gericht davon ausgegangen, dass sie neben Geburtsdatum und EC-Kartennummer, auch Anmeldename und PIN auf der gefälschten Seite eingegeben habe. Dieses Verhalten verletze die vertragliche Pflicht, Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Da der Ehemann Mitinhaber des Kontos war, müsse er sich dieses Verhalten gemäß § 278 BGB zurechnen lassen.
Bestätigung durch das OLG Oldenburg
Das OLG Oldenburg stimmte der Vorinstanz nun zu. Die Klägerin habe nicht ausschließen können, dass sie weitere sicherheitsrelevante Informationen auf der betrügerischen Webseite eingetragen hatte. Hinzu komme, dass die Klägerin auch den per SMS zugesandten Registrierungslink oder -code für das PushTAN-Verfahren an die Täter weitergegeben haben muss. Das OLG stellte zudem fest, dass die E-Mail für eine aufmerksame Empfängerin erkennbar unseriös war. Sie enthielt mehrere Rechtschreibfehler und richtete sich nicht persönlich an die Kläger, sondern nutzte eine allgemeine Anrede. Angesichts dieser Auffälligkeiten hätten Zweifel an der Echtheit bestehen müssen. Einen Mitverschuldensanteil der Bank lehnte das Gericht ab. Damals sei es nicht erforderlich gewesen, in die Registrierungs-SMS einen expliziten Warnhinweis aufzunehmen, der vor einer Weitergabe an Dritte warnt.
Fazit
Das OLG Oldenburg schließt somit den Ersatzanspruch gegen die Bank nach dem Phishing-Vorfall bei grober Fahrlässigkeit aus. Das Urteil macht deutlich, dass Banken zwar grundsätzlich bei nicht autorisierten Zahlungsvorgängen erstatten müssen, diese Pflicht jedoch entfällt, wenn Kunden ihre Sorgfaltspflichten grob verletzen. Wer personalisierte Sicherheitsmerkmale wie PIN, Anmeldenamen oder TAN-Codes an Dritte weitergibt, riskiert den vollständigen Verlust seines Erstattungsanspruchs. Auffälligkeiten wie fehlerhafte Sprache, unpersönliche Anreden oder ungewöhnliche Handlungsaufforderungen sollten stets Anlass zu besonderer Vorsicht geben.
