Contact for English speaking clients
Übersicht:
- Das Wichtigste in Kürze
- Online-Banking-Betrug: Wer haftet, wenn die pushTAN-App zur Falle wird?
- Der Weg in die Katastrophe: Ein Betrugsfall in drei Akten
- Das juristische Rüstzeug: Die Spielregeln der Haftung im Online-Banking
- Im Kreuzverhör der Argumente: Die Entscheidung des Gerichts seziert
- Lehren aus dem Urteil: So schützen Sie sich und Ihr Geld
- Einordnung aus der Praxis
- Häufig gestellte Fragen (FAQ)
- Was bedeutet „grobe Fahrlässigkeit“ für Bankkunden im Zusammenhang mit Online-Banking-Betrug?
- Welche Rolle spielt die „Starke Kundenauthentifizierung (SCA)“ im Online-Banking, und welche Folgen hat deren Nichtbeachtung für Banken?
- Wann können Banken trotz grober Fahrlässigkeit des Kunden für Online-Banking-Betrug mithaften?
- Welche Schutzstrategien sind für Bankkunden im Online-Banking besonders wichtig, um Betrug zu vermeiden?
- Was sind die ersten Schritte, wenn man einen Online-Banking-Betrug vermutet oder Opfer geworden ist?
Das Wichtigste in Kürze
- Ein Kläger wurde durch Phishing-E-Mails und Vishing-Anrufe dazu gebracht, unautorisierte Zahlungen über sein Online-Banking und S-pushTAN-Verfahren auszulösen.
- Der Streit konzentrierte sich auf die Haftungsverteilung für 49.421,44 Euro unautorisierter Echtzeitüberweisungen.
- Das Gericht verurteilte die Beklagte zur Wiedergutschrift von 9.884,29 Euro an den Kläger.
- Die Klage wurde im Übrigen abgewiesen, und die Prozesskosten wurden im Verhältnis Kläger 4/5 zu Beklagte 1/5 aufgeteilt.
- Der Kläger machte geltend, dass die Beklagte für den Login ins Online-Banking keine starke Kundenauthentifizierung gemäß § 55 Abs. 1 Satz 1 Nr. 1 ZAG verlangte.
Quelle: OLG Dresden, Beschluss vom 05.05.2025, Az.: 8 U 1482/24
Online-Banking-Betrug: Wer haftet, wenn die pushTAN-App zur Falle wird?
Ein Klick auf den falschen Link, ein manipulatives Telefonat, fünf Bestätigungen in der Banking-App – und plötzlich sind 49.421,44 Euro vom Konto verschwunden. Dieser Albtraum wurde für einen Sparkassen-Kunden zur Realität und mündete in einem Rechtsstreit, der tief in die juristischen Abgründe des modernen Online-Bankings blickt. Der Fall, der es bis vor ein Oberlandesgericht schaffte, verhandelt eine der drängendsten Fragen für Millionen von Bankkunden: Wer trägt den Schaden, wenn Betrüger es mit einer raffinierten Masche schaffen, einen Kunden zur Freigabe von Überweisungen zu verleiten?
Ist der Kunde allein schuld, weil er auf den Trick hereingefallen ist? Oder trifft auch die Bank eine Mitschuld, weil ihr Sicherheitssystem vielleicht doch nicht so lückenlos war, wie sie es bewirbt? Das Urteil liefert eine bemerkenswert differenzierte Antwort und verteilt die Haftung zwischen Bank und Kunde – ein Weckruf für beide Seiten, die Sicherheitsverantwortung im digitalen Zahlungsverkehr ernster denn je zu nehmen.
Der Weg in die Katastrophe: Ein Betrugsfall in drei Akten
Um die komplexe juristische Entscheidung des Gerichts nachzuvollziehen, ist es unerlässlich, den genauen Tathergang zu verstehen. Der Betrug vollzog sich nicht durch einen simplen Hack, sondern durch eine psychologisch ausgeklügelte, mehrstufige Attacke, die den Kunden schrittweise in eine Falle lockte.
Akt 1: Die Phishing-Mail und der fatale Login
Am 20. Februar 2022 beginnt das Unheil mit einer alltäglich wirkenden E-Mail im Postfach des späteren Klägers. Der Absender scheint der „Sparkasse Kundenservice“ zu sein. Die Nachricht kündigt eine angebliche, notwendige Aktualisierung des Online-Bankings an und fordert den Kunden auf, über eine Schaltfläche den Prozess zu starten. Der Kläger folgt der Anweisung und landet auf einer Internetseite, die der echten Login-Seite seiner Sparkasse zum Verwechseln ähnlich sieht. Hier begeht er den ersten entscheidenden Fehler: Er gibt seinen Anmeldenamen und seine PIN ein. Statt einer Bestätigung erscheint auf der gefälschten Seite jedoch nur ein Hinweis, dass sich in Kürze ein Servicemitarbeiter telefonisch bei ihm melden werde.
In diesem Moment haben die Betrüger bereits, was sie für den ersten Schritt benötigen: die Zugangsdaten zum Online-Banking-Konto. In den folgenden Tagen, am 20., 22. und 23. Februar, loggen sich die Täter unbemerkt in das Konto ein. Ihr Ziel ist reine Informationsbeschaffung. Sie benötigen weitere persönliche Daten des Klägers (Geburtsdatum und Kartennummer), um das verfügbare Überweisungslimit einzusehen – eine kritische Information für die Planung ihres eigentlichen Coups.
Akt 2: Das manipulative Telefonat (Vishing)
Der Höhepunkt des Angriffs ereignet sich am Nachmittag des 23. Februar. Zeitgleich zu einem erneuten Login der Betrüger klingelt beim Kläger das Telefon. Die Nummer im Display scheint tatsächlich von seiner Sparkasse zu stammen – eine Technik, die als „Call ID Spoofing“ bekannt ist und Vertrauen schaffen soll. Eine Anruferin, die sich als „Frau S.“ vorstellt, erklärt dem Kunden freundlich, aber bestimmt, dass sie ihn nun durch die technische Neuinstallation des Online-Bankings führen müsse. Als Vorwand für die nächste Aktion gibt sie an, einen Test starten zu müssen. Dafür solle der Kläger lediglich einen „Bestätigungs-Icon“ in seiner S-pushTAN-App auf dem Smartphone betätigen. Der Kläger, im Glauben, mit einer echten Bankmitarbeiterin zu sprechen und einen legitimen Prozess zu durchlaufen, tut, wie ihm geheißen.
Akt 3: Die fatalen Klicks und der finanzielle Ruin
Was der Kläger in diesem Moment nicht ahnt: Mit seiner Bestätigung in der S-pushTAN-App autorisiert er keine Testroutine, sondern eine Reihe von scharf geschalteten Transaktionen, die die Betrüger im Hintergrund in seinem Online-Banking vorbereitet haben. Die Ereignisse überstürzen sich innerhalb von nur zwei Minuten:
- 16:42:05 Uhr: Das Tageslimit für Überweisungen wird von 1.000 Euro auf 24.444 Euro erhöht.
- 16:42:27 Uhr: 33.333 Euro werden vom Tagesgeldkonto auf das Girokonto umgebucht (ein bankinterner Vorgang, der oft keine TAN-Freigabe erfordert).
- 16:43:00 Uhr: Eine Echtzeitüberweisung über 24.422,44 Euro geht an ein fremdes Konto bei der Postbank.
- 16:43:19 Uhr: Der Anmeldename für das Online-Banking wird geändert. Dies sperrt den Kläger effektiv aus seinem eigenen Konto aus und verschafft den Tätern Zeit.
Doch der Betrug ist noch nicht vorbei. Am nächsten Morgen, dem 24. Februar, ruft die angebliche „Frau S.“ erneut an. Unter einem ähnlichen Vorwand bringt sie den Kläger dazu, zwei weitere Aufträge in seiner S-pushTAN-App zu bestätigen. Wieder laufen im Hintergrund von den Betrügern gesteuerte Aktionen ab, die mit einer weiteren Echtzeitüberweisung von 24.999 Euro enden.
Der Gesamtschaden beläuft sich auf 49.421,44 Euro. Erst am 9. März bemerkt der Kläger, dass er sich nicht mehr einloggen kann. Nach Kontakt mit der echten Sparkasse fliegt der Schwindel auf. Er veranlasst sofort die Sperrung, erstattet Strafanzeige und verlangt von seiner Bank die vollständige Wiedergutschrift des verlorenen Geldes. Die Bank weigert sich. Der Fall landet vor Gericht.
Das juristische Rüstzeug: Die Spielregeln der Haftung im Online-Banking
Um zu verstehen, wie das Gericht zu seiner Entscheidung kommt, muss man die zentralen rechtlichen Regelungen kennen, die im Falle eines unautorisierten Zahlungsvorgangs greifen. Sie bilden ein fein austariertes System aus Pflichten und Haftungsregeln für Bank und Kunde.
Der Grundsatz: Die Bank muss den Schaden erstatten
Die Ausgangslage ist für den Bankkunden zunächst vorteilhaft. Der § 675u Satz 2 des Bürgerlichen Gesetzbuches (BGB) legt unmissverständlich fest: Im Falle eines nicht vom Kunden autorisierten Zahlungsvorgangs ist der Zahlungsdienstleister (also die Bank) verpflichtet, dem Kunden den abgebuchten Betrag unverzüglich wieder gutzuschreiben. Ein Zahlungsvorgang gilt als autorisiert, wenn der Kunde ihm zugestimmt hat (§ 675j BGB). Die Beweislast dafür, dass eine Transaktion ordnungsgemäß authentifiziert und vom Kunden genehmigt wurde, liegt laut § 675w BGB vollständig bei der Bank.
Die große Ausnahme: Grobe Fahrlässigkeit des Kunden
Dieser Schutz des Kunden wird jedoch durch eine wichtige Ausnahme durchbrochen: die grobe Fahrlässigkeit. Gemäß § 675v Abs. 3 Nr. 2 BGB muss der Kunde den gesamten Schaden selbst tragen, wenn er ihn durch eine grob fahrlässige Verletzung seiner Sorgfaltspflichten herbeigeführt hat. Grobe Fahrlässigkeit liegt vor, wenn jemand die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt und das missachtet, was jedem hätte einleuchten müssen.
Im Kontext des Online-Bankings zählt dazu typischerweise die Preisgabe von Zugangsdaten (PIN) und die Freigabe von Transaktionen (TANs) an Dritte, insbesondere als Reaktion auf Phishing-Mails oder betrügerische Anrufe. Dies ist der stärkste Trumpf der Banken in solchen Prozessen.
Der „Game Changer“: Die Starke Kundenauthentifizierung (SCA)
Seit der Umsetzung der zweiten EU-Zahlungsdienste-Richtlinie (PSD2) gibt es eine weitere entscheidende Regel, die das Spiel komplett verändern kann: die Pflicht zur Starken Kundenauthentifizierung (SCA). Geregelt im Zahlungsdiensteaufsichtsgesetz (ZAG), verlangt die SCA, dass eine Bank bei elektronischen Zahlungsvorgängen oder beim Zugriff auf das Zahlungskonto die Identität des Kunden durch mindestens zwei voneinander unabhängige Merkmale überprüfen muss.
Diese Merkmale stammen aus drei Kategorien:
- Wissen: Etwas, das nur der Nutzer weiß (z. B. eine PIN, ein Passwort).
- Besitz: Etwas, das nur der Nutzer besitzt (z. B. sein Smartphone, auf dem die pushTAN-App installiert ist).
- Inhärenz: Etwas, das der Nutzer ist (z. B. ein Fingerabdruck, ein Gesichtsscan).
Moderne Verfahren wie S-pushTAN sind genau darauf ausgelegt. Die Eingabe der PIN (Wissen) in Kombination mit der Freigabe über die App auf dem persönlichen Smartphone (Besitz) erfüllt die Kriterien der SCA.
Die Achillesferse der Bank: Der Haftungsausschluss bei SCA-Verstößen
Hier wird es juristisch hochspannend. Der Gesetzgeber hat eine Art „Strafklausel“ für Banken eingebaut, die ihre SCA-Hausaufgaben nicht machen. § 675v Abs. 4 Nr. 1 BGB besagt, dass der Kunde – selbst wenn er grob fahrlässig gehandelt hat – nicht haftet, wenn die Bank ihrerseits keine Starke Kundenauthentifizierung zur Verfügung gestellt hat, wo sie gesetzlich vorgeschrieben war.
Diese Regelung dient als scharfes Schwert für Verbraucher. Sie soll sicherstellen, dass Banken die gesetzlichen Sicherheitsstandards penibel einhalten, und entlastet den Kunden, wenn die Bank durch eigene Versäumnisse ein unsicheres Umfeld schafft.
Im Kreuzverhör der Argumente: Die Entscheidung des Gerichts seziert
Vor diesem rechtlichen Hintergrund prallten die Argumente des Klägers und der beklagten Sparkasse aufeinander. Das Gericht musste eine Kette von Fragen beantworten, um zu einer gerechten Haftungsverteilung zu gelangen.
Die Autorisierung: Wer hat den Knopf gedrückt?
Zunächst stand die Frage im Raum, ob der Kläger die Zahlungen überhaupt autorisiert hatte. Er argumentierte, er habe nie eine konkrete Überweisung freigegeben, sondern nur einem „Test“ zugestimmt. In der S-pushTAN-App seien ihm keine Details wie Empfänger oder Betrag angezeigt worden.
Das Gericht folgte dieser Darstellung nicht. Die Sparkasse konnte durch ihre Transaktionsprotokolle (das „Online-Banking Revisions-Logging“) lückenlos nachweisen, dass die Freigaben vom registrierten Smartphone des Klägers aus erfolgt waren. Die Bank argumentierte überzeugend, dass es technisch ausgeschlossen sei, die Anzeige in der S-pushTAN-App zu manipulieren oder zu überblenden, solange das Smartphone nicht durch einen „Jailbreak“ oder „Root“ kompromittiert wurde, was hier nicht der Fall war. Das Gericht ging daher davon aus, dass dem Kläger die Details der Aufträge (z.B. „Limitänderung“, „Echtzeit-Überweisung“ mit Betrag und IBAN) in der App angezeigt wurden. Die Freigabe durch den Kläger galt somit als erfolgt.
Die Gretchenfrage: War das Verhalten des Kunden grob fahrlässig?
Hier kam das Gericht zu einem klaren Ergebnis: Ja, der Kläger handelte grob fahrlässig. Er beging gleich mehrere „Kardinalfehler“, die in ihrer Summe eine massive Verletzung der grundlegendsten Sorgfaltspflichten darstellen:
- Reaktion auf die Phishing-Mail: Das Klicken auf einen Link in einer unaufgefordert zugesandten E-Mail und die anschließende Eingabe sensibler Login-Daten auf einer unbekannten Webseite ist ein klassischer und schwerwiegender Fehler.
- Blinde Befolgung telefonischer Anweisungen: Sich von einer unbekannten Anruferin, auch wenn sie sich als Bankmitarbeiterin ausgibt, zur Vornahme von Handlungen in einer Sicherheits-App drängen zu lassen, ist extrem leichtsinnig.
- Freigabe unbekannter Aufträge: Der Zweck einer pushTAN-App ist die bewusste und kontrollierte Freigabe eines konkreten, selbst initiierten Auftrags. Die App als „Bestätigungs-Icon“ für einen vagen „Test“ zu missbrauchen, hebelt ihre gesamte Schutzfunktion aus.
Das Gericht befand, dass dem Kläger hätte einleuchten müssen, dass eine Bank niemals auf diese Weise sensible Prozesse durchführen würde. Sein Verhalten wurde als fundamental sorgfaltswidrig eingestuft, was grundsätzlich seine volle Haftung nach § 675v Abs. 3 BGB begründen würde.
Der Konter des Kunden: Hat die Bank bei der Starken Kundenauthentifizierung (SCA) versagt?
An diesem Punkt wendete sich das Blatt teilweise. Der Kläger brachte das schlagkräftige Argument vor, dass die Haftung nach § 675v Abs. 4 BGB ausgeschlossen sei, weil die Sparkasse selbst gegen geltendes Recht verstoßen habe. Konkret bemängelte er, dass der Login ins Online-Banking nur mit Anmeldenamen und einer statischen PIN erfolgte – also nur mit einem Faktor der Kategorie „Wissen“. Dies stelle keine Starke Kundenauthentifizierung dar und verstoße gegen § 55 ZAG.
Dieser Vorwurf traf ins Schwarze. Zwar gibt es Ausnahmen von der SCA-Pflicht, etwa wenn nur Kontostände der letzten 90 Tage abgerufen werden. Sobald aber „sensible Zahlungsdaten“ einsehbar sind – und dazu gehört nach Ansicht des Gerichts auch die Information über das eingerichtete Überweisungslimit –, ist eine SCA zwingend erforderlich. Der Verstoß der Bank lag also nicht im S-pushTAN-Verfahren selbst (das ist SCA-konform), sondern im vorgelagerten Login-Prozess. Dieser Mangel, so das Gericht, eröffnete den Betrügern erst die Möglichkeit, das Konto auszuspähen und den Angriff vorzubereiten.
Die Haftungsverteilung: Warum die Bank zu 20 % mithaftet (§ 254 BGB)
Das Gericht stand nun vor einer komplexen Abwägung. Auf der einen Seite stand die grobe Fahrlässigkeit des Kunden, auf der anderen Seite der Gesetzesverstoß der Bank. Der Haftungsausschluss nach § 675v Abs. 4 BGB greift jedoch nur, wenn der SCA-Verstoß der Bank sich auf den konkreten Zahlungsvorgang bezieht. Hier bezog er sich aber „nur“ auf den Login.
Daher griff das Gericht auf die allgemeine Regel des Mitverschuldens nach § 254 BGB zurück. Es wog die Verursachungsbeiträge beider Seiten gegeneinander ab:
- Der Beitrag des Kunden (überwiegend): Das Gericht sah die Hauptursache für den Schaden im aktiven Handeln des Klägers. Seine Freigaben in der S-pushTAN-App waren der direkte und auslösende Moment für die Überweisungen. Ohne diese Klicks wäre kein Geld geflossen. Sein grob fahrlässiges Verhalten wog daher am schwersten.
- Der Beitrag der Bank (mitursächlich): Das Gericht sah jedoch auch ein klares Verschulden aufseiten der Sparkasse. Der Verstoß gegen die SCA-Pflicht beim Login war nicht nur ein formaler Fehler, sondern hatte den Betrug kausal begünstigt. Hätte der Login eine SCA erfordert, wäre den Tätern der Zugang und damit die entscheidende Informationsbeschaffung erheblich erschwert, wenn nicht gar unmöglich gemacht worden. Das Gericht sah darin einen relevanten Beitrag zum Entstehen des Schadens.
In der Gesamtabwägung kam das Gericht zu dem Schluss, dass der Verschuldensanteil des Klägers deutlich überwiegt, der der Bank aber nicht zu vernachlässigen ist. Es legte eine Haftungsquote von 80 % zu Lasten des Kunden und 20 % zu Lasten der Bank fest. Folgerichtig wurde die Sparkasse verurteilt, dem Kläger ein Fünftel seines Schadens, also 9.884,29 Euro, zu erstatten. Diese Quotelung spiegelt sich auch exakt in der Verteilung der Prozesskosten wider.
Lehren aus dem Urteil: So schützen Sie sich und Ihr Geld
Dieses Urteil ist mehr als nur die Entscheidung eines Einzelfalls. Es zeichnet ein klares Bild der geteilten Verantwortung im digitalen Zeitalter und liefert wertvolle, direkt ableitbare Verhaltensregeln für Bankkunden und klare Botschaften an die Finanzinstitute.
Für Bankkunden: Ihre „Do’s and Don’ts“ im Online-Banking
- DO: Geben Sie die Internetadresse Ihrer Bank immer von Hand in die Adresszeile des Browsers ein.
- DON’T: Klicken Sie niemals auf Links in E-Mails, SMS oder Messenger-Nachrichten, die Sie angeblich zum Login Ihrer Bank führen – egal wie echt sie aussehen.
- DO: Seien Sie bei unaufgeforderten Anrufen von angeblichen Bankmitarbeitern extrem misstrauisch.
- DON’T: Geben Sie am Telefon niemals persönliche Daten, Passwörter, PINs oder TANs preis und führen Sie keine Aktionen in Ihrer Banking-App auf Anweisung aus. Legen Sie im Zweifel auf und rufen Sie Ihre Bank über die Ihnen bekannte, offizielle Telefonnummer selbst an.
- DO: Prüfen Sie vor jeder Freigabe in Ihrer S-pushTAN-App sorgfältig alle angezeigten Details: Empfänger, IBAN und vor allem den genauen Betrag.
- DON’T: Geben Sie niemals einen Auftrag frei, den Sie nicht selbst initiiert haben oder dessen Inhalt Sie nicht zu 100 % verstehen. Die pushTAN-Freigabe ist Ihre rechtsverbindliche digitale Unterschrift.
- DO: Kontaktieren Sie bei dem kleinsten Verdacht auf Unregelmäßigkeiten sofort Ihre Bank über die Notfall-Hotline, lassen Sie Ihren Zugang sperren und erstatten Sie umgehend Anzeige bei der Polizei.
Für Banken und Sparkassen: Die Konsequenzen aus der Entscheidung
- PFLICHT zur lückenlosen Sicherheit: Eine Starke Kundenauthentifizierung (SCA) ist nicht verhandelbar. Das Urteil macht deutlich, dass auch der reine Login-Vorgang, sobald sensible Daten einsehbar sind, mit zwei Faktoren abgesichert sein muss. Ein Verstoß kann, wie hier gezeigt, zu einer empfindlichen Mithaftung führen.
- PRÜFUNG der Systemlogik: Banken sollten ihre Prozesse kritisch hinterfragen. Ein System, das es Betrügern ermöglicht, mit einer einzigen TAN-Bestätigung das Überweisungslimit um mehr als das 20-fache zu erhöhen, schafft ein erhebliches Risiko und kann im Schadensfall als mitursächlich gewertet werden.
- KOMMUNIKATION und Aufklärung: Allgemeine Warnhinweise auf der Webseite reichen nicht aus. Banken stehen in der Pflicht, ihre Kunden proaktiv, verständlich und regelmäßig über aktuelle Betrugsmaschen wie Phishing und Vishing aufzuklären. Nur ein informierter Kunde ist ein sicherer Kunde.
Einordnung aus der Praxis
Diese Entscheidung markiert einen Wendepunkt im Bankrecht und zeigt erstmals konkret auf, wie Gerichte die Haftung zwischen Kunde und Bank bei modernen Phishing-Attacken verteilen. Während das Gericht die grobe Fahrlässigkeit des Kunden bei der Preisgabe von Zugangsdaten und der ungeprüften TAN-Freigabe klar benennt, macht es gleichzeitig deutlich, dass Banken nicht mehr mit dem Verweis auf Kundenfehler aus ihrer eigenen Verantwortung entlassen werden.
Der entscheidende Knackpunkt lag hier im mangelhaften Login-Verfahren: Wo die Starke Kundenauthentifizierung gesetzlich vorgeschrieben ist, aber nur einfache PIN-Verfahren verwendet werden, entsteht eine Mithaftung der Bank. Experten bewerten diese 20-prozentige Mithaftung als Signal an die Finanzbranche, ihre Sicherheitssysteme lückenlos an die PSD2-Anforderungen anzupassen und nicht nur bei TAN-Verfahren, sondern bereits beim Login höchste Sicherheitsstandards zu implementieren.
Wurden auch Sie durch Phishing zu unautorisierten Überweisungen verleitet, deren Haftungsverteilung nun unklar ist? Lassen Sie Ihren Fall unverbindlich prüfen)
Häufig gestellte Fragen (FAQ)
Was bedeutet „grobe Fahrlässigkeit“ für Bankkunden im Zusammenhang mit Online-Banking-Betrug?
Was bedeutet „grobe Fahrlässigkeit“ für Bankkunden im Zusammenhang mit Online-Banking-Betrug?
Grobe Fahrlässigkeit im Online-Banking bedeutet, dass Sie Ihre Sorgfaltspflichten in besonders schwerwiegender Weise verletzen, was Ihnen bei genauerer Überlegung hätte klar sein müssen. Ein solches Verhalten führt im Betrugsfall in der Regel dazu, dass Sie den entstandenen Schaden vollständig selbst tragen müssen.
Diese besonders hohe Form der Unachtsamkeit liegt vor, wenn Sie grundlegende Sicherheitsregeln im Online-Banking bewusst oder unbewusst missachten. Dazu zählt beispielsweise das Klicken auf Links in gefälschten E-Mails oder Nachrichten, die angeblich von Ihrer Bank stammen, und die anschließende Eingabe Ihrer sensiblen Zugangsdaten wie Anmeldename und PIN auf einer gefälschten Webseite. Dies öffnet Betrügern Tür und Tor zu Ihrem Konto.
Ein weiteres grob fahrlässiges Verhalten ist das blinde Befolgen von Anweisungen am Telefon. Wenn angebliche Bankmitarbeiter Sie dazu drängen, persönliche Daten, PINs oder TANs preiszugeben oder Handlungen in Ihrer Banking-App vorzunehmen, ohne deren Inhalt genau zu prüfen, handeln Sie extrem leichtsinnig. Besonders schwerwiegend ist die Freigabe von Transaktionen in Ihrer App, deren Details Sie nicht selbst initiiert oder vollständig verstanden haben. Die pushTAN-Freigabe ist Ihre bewusste, digitale Unterschrift für einen konkreten Auftrag – nicht als bloßer „Test“-Button.
Gerichte bewerten ein derartiges Missachten grundlegender Vorsichtsmaßnahmen als so gravierend, dass der Kunde für den gesamten durch den Betrug entstandenen finanziellen Verlust selbst haften muss.
Welche Rolle spielt die „Starke Kundenauthentifizierung (SCA)“ im Online-Banking, und welche Folgen hat deren Nichtbeachtung für Banken?
Die Starke Kundenauthentifizierung (SCA) ist ein gesetzlich vorgeschriebener Sicherheitsstandard im Online-Banking, der elektronische Zahlungen und den Zugriff auf Kontodaten schützt. Wenn Banken diese Pflicht missachten, können sie selbst bei grober Fahrlässigkeit des Kunden haftbar gemacht werden.
Die SCA ist eine zweistufige Verifizierung, die vorschreibt, dass die Identität eines Kunden durch mindestens zwei voneinander unabhängige Merkmale überprüft werden muss. Diese Merkmale stammen aus den Kategorien „Wissen“ (z.B. PIN), „Besitz“ (z.B. Smartphone mit App) oder „Inhärenz“ (z.B. Fingerabdruck). Moderne Verfahren wie die pushTAN-App, die eine PIN-Eingabe (Wissen) mit einer Freigabe über das persönliche Smartphone (Besitz) kombiniert, erfüllen diese Anforderung.
Diese Sicherheitsmaßnahme ist in der EU-Zahlungsdienste-Richtlinie (PSD2) verankert und dient dazu, Betrug zu erschweren. Eine Bank, die die SCA-Pflicht nicht erfüllt – beispielsweise schon beim Login ins Online-Banking –, kann selbst dann den vollen Schaden tragen müssen, wenn der Kunde grob fahrlässig gehandelt hat. Dies wirkt als „Strafklausel“, die Banken dazu verpflichtet, ihre Sicherheitsstandards penibel einzuhalten und ein möglichst sicheres Umfeld für digitale Transaktionen zu gewährleisten.
Wann können Banken trotz grober Fahrlässigkeit des Kunden für Online-Banking-Betrug mithaften?
Banken können trotz grober Fahrlässigkeit des Kunden für Online-Banking-Betrug mithaften, wenn sie selbst gegen gesetzliche Sicherheitsvorschriften, insbesondere bei der Starken Kundenauthentifizierung (SCA), verstoßen haben. Obwohl Kunden den Schaden bei grober Fahrlässigkeit grundsätzlich vollständig selbst tragen müssen, kann diese Regel durchbrochen werden.
Eine Mithaftung der Bank kommt in Betracht, wenn sie ihrerseits gesetzliche Vorgaben zur Sicherheit, wie die Pflicht zur Starken Kundenauthentifizierung, nicht eingehalten hat. Diese verlangt, dass Banken beim elektronischen Zugriff auf Konten oder bei Zahlungsvorgängen die Identität des Kunden mit mindestens zwei unabhängigen Merkmalen überprüfen. Ein typischer Fall ist ein Login ins Online-Banking, der nicht ausreichend gesichert war, obwohl dabei sensible Kontodaten wie das Überweisungslimit sichtbar wurden.
Der Verstoß der Bank muss dabei ursächlich oder mitursächlich für den Schaden gewesen sein, indem er den Betrügern beispielsweise den ersten Zugriff auf Kontoinformationen oder die Vorbereitung des Betruges ermöglichte. In solchen Fällen wird nach dem Prinzip des Mitverschuldens (§ 254 BGB) abgewogen, inwieweit das Fehlverhalten beider Seiten zur Entstehung des Schadens beigetragen hat, was zu einer anteiligen Haftung der Bank führen kann.
Welche Schutzstrategien sind für Bankkunden im Online-Banking besonders wichtig, um Betrug zu vermeiden?
Um Online-Banking-Betrug zu vermeiden, sollten Bankkunden stets höchste Wachsamkeit zeigen und grundlegende Sicherheitsregeln konsequent beachten. Dazu gehört die kritische Prüfung von Links und Anrufen sowie die sorgfältige Kontrolle jeder Transaktion in der Banking-App.
Geben Sie die Internetadresse Ihrer Bank immer manuell in die Adresszeile des Browsers ein. Klicken Sie niemals auf Links in ungebetenen E-Mails, SMS oder Messenger-Nachrichten, die Sie angeblich zum Online-Banking führen – egal wie echt sie aussehen.
Seien Sie bei Anrufen von angeblichen Bankmitarbeitern extrem misstrauisch. Geben Sie am Telefon niemals persönliche Daten, Passwörter oder TANs preis. Führen Sie auch keine Aktionen in Ihrer Banking-App auf Anweisung aus. Legen Sie im Zweifel auf und rufen Sie Ihre Bank über die offizielle, Ihnen bekannte Nummer selbst an.
Prüfen Sie vor jeder Freigabe in Ihrer Banking-App sorgfältig alle angezeigten Details wie Empfänger, IBAN und den genauen Betrag. Bestätigen Sie niemals einen Auftrag, den Sie nicht selbst initiiert haben oder dessen Inhalt Sie nicht vollständig verstehen. Diese Freigabe ist Ihre digitale Unterschrift.
Bei dem geringsten Verdacht auf Unregelmäßigkeiten sollten Sie umgehend Ihre Bank über die Notfall-Hotline kontaktieren, den Zugang sperren lassen und sofort Anzeige bei der Polizei erstatten.
Was sind die ersten Schritte, wenn man einen Online-Banking-Betrug vermutet oder Opfer geworden ist?
Der absolut erste und wichtigste Schritt bei Verdacht auf Online-Banking-Betrug ist die sofortige Kontaktaufnahme mit Ihrer Bank über deren offizielle Notfall-Hotline. Lassen Sie dort unverzüglich Ihren Online-Banking-Zugang und, falls nötig, betroffene Bankkarten sperren. Dieses schnelle Handeln ist entscheidend, um weiteren Schaden zu verhindern und kann eine wichtige Rolle für die spätere Haftungsfrage spielen.
Direkt im Anschluss sollten Sie umgehend eine Strafanzeige bei der örtlichen Polizei erstatten. Dies ist notwendig, um den Vorfall offiziell aufzunehmen und die Ermittlungen einzuleiten.
Parallel dazu sollten Sie alle verfügbaren Informationen zum mutmaßlichen Betrug sammeln und sorgfältig sichern. Dazu gehören beispielsweise verdächtige E-Mails, SMS-Nachrichten, Telefonnummern der Anrufer oder genaue Notizen zum Zeitpunkt des Vorfalls. Überprüfen Sie zudem akribisch alle Kontobewegungen und melden Sie jede nicht von Ihnen autorisierte Transaktion sofort Ihrer Bank.
Dieses entschlossene und dokumentierte Vorgehen ist essenziell, um den Betrug effektiv aufzuklären, mögliche Verluste zu begrenzen und Ihre Rechte zu wahren.
Hinweis: Bitte beachten Sie, dass die Beantwortung der FAQ Fragen keine individuelle Rechtsberatung darstellt und ersetzen kann. Alle Angaben im gesamten Artikel sind ohne Gewähr. Haben Sie einen ähnlichen Fall und konkrete Fragen oder Anliegen? Zögern Sie nicht, uns zu kontaktieren. Wir klären Ihre individuelle Situation und die aktuelle Rechtslage.
Ich bin seit meiner Zulassung als Rechtsanwalt im Jahr 2003 Teil der Kanzlei der Rechtsanwälte Kotz in Kreuztal bei Siegen. Als Fachanwalt für Verkehrsrecht und Fachanwalt für Versicherungsrecht, sowie als Notar setze ich mich erfolgreich für meine Mandanten ein. Weitere Tätigkeitsschwerpunkte sind Mietrecht, Strafrecht, Verbraucherrecht, Reiserecht, Medizinrecht, Internetrecht, Verwaltungsrecht und Erbrecht. Ferner bin ich Mitglied im Deutschen Anwaltverein und in verschiedenen Arbeitsgemeinschaften. Als Rechtsanwalt bin ich bundesweit in allen Rechtsgebieten tätig und engagiere mich unter anderem als Vertragsanwalt für […] mehr über Dr. Christian Gerd Kotz
