Die Digitalisierung des Alltags bietet enorme Vorteile, insbesondere im Finanzsektor. Online-Banking ist für viele von uns zur Selbstverständlichkeit geworden – es ist schnell, praktisch und scheinbar sicher. Doch was geschieht, wenn diese Sicherheit durchbrochen wird und Kriminelle durch geschickte Täuschung erheblichen finanziellen Schaden anrichten? Ein aktuelles Urteil des Oberlandesgerichts Dresden vom 05. Mai 2025 (Az. 8 U 1482/24) beleuchtet diese hochrelevante Frage und zeigt, dass die Verantwortung im Schadensfall nicht immer eindeutig einer Seite zugewiesen wird. Die Entscheidung liefert wichtige Erkenntnisse für jeden, der Online-Dienste nutzt, und unterstreicht die Komplexität der Haftungsfragen im digitalen Zeitalter.
Der Fall: Eine professionell inszenierte Phishing-Attacke
Der Sachverhalt, der dem Urteil zugrunde liegt, liest sich wie ein Lehrbuchbeispiel für modernen Online-Betrug. Ein Sparkassen-Kunde erhielt eine E-Mail, die scheinbar vom Kundenservice seiner Bank stammte. Darin wurde eine bevorstehende Aktualisierung des Online-Banking-Systems angekündigt, die eine Bestätigung seiner Daten erfordere. Der Kunde folgte einem Link in der E-Mail, gelangte auf eine täuschend echt wirkende Phishing-Webseite und gab dort seine Zugangsdaten ein.
Kurz darauf wurde er von einer vermeintlichen Bankmitarbeiterin angerufen. Die Telefonnummer, die auf seinem Display erschien, war ihm als offizielle Service-Nummer seiner Sparkasse bekannt – ein Vorgehen, das als „Call-ID-Spoofing“ bekannt ist und Vertrauen schaffen soll. Unter dem Vorwand, die technische Umstellung abzuschließen, wies die Anruferin den Kunden an, mehrere „Aufträge“ in seiner S-pushTAN-App freizugeben. Im Glauben, einen notwendigen technischen Prozess zu unterstützen, kam der Kunde den Aufforderungen nach. Das Ergebnis war verheerend: Die Täter hatten im Hintergrund das Tageslimit seines Kontos drastisch erhöht und zwei Echtzeit-Überweisungen in einer Gesamthöhe von fast 50.000 Euro an ein ihnen bekanntes Konto veranlasst.
Die Kernfrage der gerichtlichen Auseinandersetzung: Wer trägt den Schaden?
Nachdem der Betrug aufgeflogen war, forderte der Kunde von seiner Bank die vollständige Wiedergutschrift des verlorenen Betrages. Er argumentierte, die Zahlungen niemals autorisiert zu haben. Die Bank weigerte sich und hielt dem Kunden grobe Fahrlässigkeit vor. Das OLG Dresden musste nun eine differenzierte Bewertung vornehmen, die tief in die technischen und rechtlichen Details des modernen Zahlungsverkehrs eintaucht.
Das Gericht stellte zunächst fest, dass der Kunde die Überweisungen tatsächlich nicht wirksam autorisiert hatte. Obwohl er die Freigaben in der App selbst vornahm, tat er dies im Glauben, eine technische Aktualisierung zu bestätigen. Ihm fehlte das Bewusstsein und der Wille, eine Zahlung in dieser Höhe an einen unbekannten Empfänger zu leisten. Grundsätzlich wäre die Bank somit verpflichtet, den Schaden zu erstatten.
Gleichzeitig sah das Gericht jedoch auch ein grob fahrlässiges Verhalten aufseiten des Kunden. Indem er auf eine Phishing-Mail reagierte, seine sensiblen Daten auf einer unbekannten Webseite eingab und am Telefon Anweisungen zur Freigabe von Finanztransaktionen befolgte, ohne die angezeigten Details sorgfältig zu prüfen, verletzte er grundlegende Sorgfaltspflichten in erheblichem Maße.
Ein entscheidendes Detail: Die Sicherheit des Logins bei der Bank
Der Fall nahm eine entscheidende Wendung, als die Sicherheitspraktiken der Bank selbst in den Fokus rückten. Der Kläger argumentierte, dass die Bank eine Mitschuld treffe, da sie für den reinen Login in das Online-Banking keine starke Kundenauthentifizierung (SCA) verlangte. Ein einfacher Benutzername und eine statische PIN genügten für den Zugang.
Hier traf das Gericht eine wichtige Unterscheidung:
- Für den Zahlungsvorgang selbst wurde das S-pushTAN-Verfahren als ausreichend sicher und als eine Form der starken Kundenauthentifizierung eingestuft. Es kombiniert Wissen (Passwort) oder Inhärenz (Fingerabdruck) mit Besitz (das registrierte Smartphone).
- Für den Zugang zum Online-Banking-Portal lag jedoch tatsächlich ein Versäumnis der Bank vor. Die aufsichtsrechtlichen Vorschriften (insbesondere § 55 ZAG) sehen auch für den reinen Kontozugriff eine starke Kundenauthentifizierung vor, wenn sensible Daten einsehbar sind. Dies war hier der Fall.
Dieser Verstoß der Bank führte zwar nicht, wie vom Kläger erhofft, zu einem vollständigen Haftungsausschluss zu seinen Gunsten. Er begründete jedoch ein erhebliches Mitverschulden der Bank.
Das Urteil: Geteilte Verantwortung und die Lehren daraus
In seiner abschließenden Abwägung kam das OLG Dresden zu dem Ergebnis, dass beide Seiten Fehler begangen hatten. Der Kunde handelte grob fahrlässig und ermöglichte den Betrug erst durch sein unachtsames Verhalten. Die Bank wiederum hatte ihre eigenen Sicherheitsstandards vernachlässigt, indem sie den Kontozugang nicht ausreichend schützte. Dieses Versäumnis war mitursächlich für den Schaden, da die Täter sich erst nach dem einfachen Login die für die Transaktionen notwendigen Informationen beschaffen konnten.
Das Gericht entschied daher auf eine Haftungsteilung. Es legte eine Quote von 80 % zu Lasten des Kunden und 20 % zu Lasten der Bank fest. Die Sparkasse musste dem Kunden somit rund 9.900 Euro des Schadens erstatten.
Was bedeutet dieses Urteil für Sie?
Diese Entscheidung ist weit mehr als nur ein Einzelfall. Sie sendet ein klares Signal an Verbraucher und Unternehmen gleichermaßen:
- Wachsamkeit ist unerlässlich: Selbst als sicher beworbene Verfahren wie pushTAN bieten keinen absoluten Schutz, wenn Nutzer durch Social-Engineering-Methoden getäuscht werden. Prüfen Sie E-Mails, Anrufe und Nachrichten von vermeintlichen Dienstleistern stets mit höchster Skepsis. Geben Sie niemals auf Zuruf Transaktionen frei.
- Die Verantwortung der Dienstleister: Das Urteil stärkt die Position der Kunden, indem es klarstellt, dass auch Banken und andere Zahlungsdienstleister ihre Systeme nach den gesetzlichen Vorgaben absichern müssen. Ein Versäumnis, wie die fehlende starke Authentifizierung beim Login, kann zu einer Mithaftung führen, selbst wenn der Kunde sich fehlerhaft verhalten hat.
- Haftung ist keine Alles-oder-Nichts-Frage: Bei Betrugsfällen im digitalen Raum ist eine genaue Analyse der Umstände entscheidend. Die Frage der Haftung wird oft durch eine Abwägung der jeweiligen Verschuldensbeiträge geklärt.
Sollten Sie selbst Opfer eines Online-Betrugs geworden sein oder rechtliche Unterstützung benötigen, um Ihre digitale Reputation und Ihre Vermögenswerte zu schützen, ist eine strategische und kompetente Rechtsberatung unerlässlich. Als spezialisierter Anwalt für IT-Recht unterstütze ich Sie effektiv dabei, Ihre rechtlichen Interessen zu analysieren und konsequent durchzusetzen.
