000 Euro an ein Betrugsopfer. Die Richter wiesen die Argumentation der Bank zurück, der Kunde habe durch die Preisgabe von Sicherheitsmerkmalen grob fahrlässig gehandelt.
Social Engineering: Der Fall im Detail
Betrüger gaben sich telefonisch als Mitarbeiter der technischen Abteilung der Sparkasse aus. Unter dem Vorwand einer Systemumstellung vom chip-TAN auf das S-pushTAN-Verfahren bauten sie eine glaubwürdige Drucksituation auf. Der Kunde gab Transaktionsnummern (TAN) frei – im Glauben, damit eine technische Installation abzuschließen.
Da Kriminelle immer raffiniertere Methoden wie das im Artikel beschriebene Social Engineering nutzen, ist ein lückenloser Schutz des Smartphones unerlässlich. In diesem kostenlosen Ratgeber erfahren Sie, wie Sie Ihr Android-Gerät mit einfachen Schritten gegen Hacker und Datenmissbrauch absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Die Angreifer nutzten die Daten für unautorisierte Überweisungen in Höhe von 56.099,91 Euro. Das Landgericht sah darin zunächst grobe Fahrlässigkeit. Das OLG Koblenz bewertete den Fall nun anders: Nicht jede Mitwirkungshandlung bei professionell gestalteten Betrugsmaschen führe automatisch zum Verlust des Erstattungsanspruchs.
Rechtsexperten betonen: Die Grenze zwischen entschuldbarem Augenblicksversagen und grober Fahrlässigkeit wird immer feiner gezogen. Die Bank muss gemäß § 675u BGB grundsätzlich unverzüglich erstatten – es sei denn, sie kann grobe Fahrlässigkeit nachweisen.
Systemische Sicherheitsmängel im Visier der Gerichte
Das Urteil reiht sich in eine Serie verbraucherfreundlicher Entscheidungen ein. Das OLG Dresden (Az. 8 U 1482/24) stellte fest: Eine Bank trägt Mitschuld, wenn sie die starke Kundenauthentifizierung (SCA) bereits beim Login vernachlässigt.
Reicht es aus, nur beim Bezahlvorgang zwei Faktoren abzufragen? Nein, so die Richter. Wenn der Zugang zum Online-Banking-Portal nur durch Benutzername und PIN geschützt ist, erleichtert das Kriminellen das Ausspähen von Daten oder das Ändern von Tageslimits. In jenem Fall wurde der Sparkasse ein Mitverschulden nach § 254 BGB angelastet.
Analysten sehen die Banken in der Pflicht: Die Argumentation, der Kunde sei der „Schwachpunkt“, greift vor Gericht immer seltener. Fehlen systemische Hürden gegen ungewöhnliche Aktivitäten – etwa die Kombination von Limiterhöhung und Auslandsüberweisungen – haften die Institute.
Beweislast als Gamechanger
Ein Urteil des Bundesgerichtshofs vom Frühjahr 2024 (Az. XI ZR 107/22) legt den Grundstein: Die Beweislast für eine wirksame Autorisierung liegt vollständig bei der Bank. Lückenlose Logfiles reichen nicht. Die Bank muss nachweisen, dass die Zahlung willentlich vom Kunden autorisiert wurde – nicht durch betrügerische Manipulationen zustande kam.
Juristen bezeichnen dies als „Gamechanger“. Da Banken in Phishing-Fällen den subjektiven Tatbestand grober Fahrlässigkeit selten zweifelsfrei belegen können, enden immer mehr Verfahren mit Rückzahlungsverpflichtungen. Besonders bei „Vishing“ (Voice-Phishing) oder „Call-ID-Spoofing“ – wo auf dem Display die echte Rufnummer der Bank erscheint – wird die natürliche Skepsis der Opfer gezielt ausgehebelt.
Europäische Verschärfung in Sicht
Auch der Europäische Gerichtshof (EuGH) könnte die Regeln verschärfen. Generalanwalt Athanasios Rantos fordert in seinen Schlussanträgen (Rechtssache C-70/25): Bankkunden müssen bei gemeldetem Betrug zunächst unverzüglich entschädigt werden. Erst im zweiten Schritt darf die Bank klären, ob grobe Fahrlässigkeit vorliegt.
Um beim Online-Banking oder Apps wie PayPal kein Sicherheitsrisiko einzugehen, sollten Nutzer proaktiv handeln und bekannte Schwachstellen schließen. Dieser gratis PDF-Ratgeber zeigt Ihnen 5 einfache Maßnahmen, mit denen Sie Ihr Android-Smartphone in wenigen Minuten effektiv gegen Hacker und Viren schützen. Kostenlosen Sicherheits-Ratgeber jetzt herunterladen
Bisher verfahren viele deutsche Institute umgekehrt: Sie verweigern die Erstattung mit Verweis auf vermeintliches Fehlverhalten des Kunden. Der Betroffene muss den langwierigen Klageweg bestreiten. Folgt der EuGH der Empfehlung, verlagert sich das wirtschaftliche Risiko primär auf die Zahlungsdienstleister.
Was bedeutet das für Verbraucher und Banken?
Die Justiz priorisiert den Verbraucherschutz im digitalen Raum. Die professionelle Qualität heutiger Phishing-Angriffe wird als Umstand anerkannt, der auch sorgfältige Nutzer überfordern kann. Für Betroffene steigen die Chancen auf Erstattung – selbst wenn sie in der Stresssituation aktiv mitgewirkt haben.
Für die Kreditwirtschaft wächst der Druck, über die gesetzlichen Mindestanforderungen der Zahlungsdiensterichtlinie PSD2 hinauszugehen. Automatisierte Sperrmechanismen bei untypischen Transaktionsmustern und eine verpflichtende starke Authentifizierung bei jedem Login dürften zum neuen Standard werden. Die Branche muss ihr Haftungsrisiko begrenzen.
