Dernière minute
RUВенгерский парламент пригрозил импичментом президенту из-за отказа подписать поправку к конституцииITSam Neill, attore di Jurassic Park, è morto a 78 anniINTLUkraine War: EU discusses sanctions, 'Coalition of the Willing' meets in ParisRUВ России подготовят около 600 экспертов для наблюдения за выборамиTRSüleyman Soylu anlattı: 15 Temmuz gecesi neler yaşandı?CN广东探索“产教评”技能生态链:三小时速成一线技工,助力稳就业RUБывшего гендиректора "Торпедо" Скородумова осудили за подкуп арбитровTRİzmir'de Deprem Hazırlıkları: Karşıyaka'da Saha Çalışmaları TamamlandıRUУполномоченный по правам ребенка: 11-летний умерший в больнице Севастополя ребенок имел паллиативный диагноз с рожденияRUЖители Омской области привлечены к ответственности за съемку атаки дронов на НПЗRUВенгерский парламент пригрозил импичментом президенту из-за отказа подписать поправку к конституцииITSam Neill, attore di Jurassic Park, è morto a 78 anniINTLUkraine War: EU discusses sanctions, 'Coalition of the Willing' meets in ParisRUВ России подготовят около 600 экспертов для наблюдения за выборамиTRSüleyman Soylu anlattı: 15 Temmuz gecesi neler yaşandı?CN广东探索“产教评”技能生态链:三小时速成一线技工,助力稳就业RUБывшего гендиректора "Торпедо" Скородумова осудили за подкуп арбитровTRİzmir'de Deprem Hazırlıkları: Karşıyaka'da Saha Çalışmaları TamamlandıRUУполномоченный по правам ребенка: 11-летний умерший в больнице Севастополя ребенок имел паллиативный диагноз с рожденияRUЖители Омской области привлечены к ответственности за съемку атаки дронов на НПЗ
Newsgather
BackOLG Koblenz stärkt Rechte von Online-Banking-Kunden bei Phishing-Betrug
OLG Koblenz stärkt Rechte von Online-Banking-Kunden bei Phishing-Betrug
ACTU
Heise Online24.04.2026Law2 dk okumaGermany

OLG Koblenz stärkt Rechte von Online-Banking-Kunden bei Phishing-Betrug

Gericht entscheidet, dass Bankkunden bei professionellen Betrugsmaschen nicht automatisch grob fahrlässig handeln – Beweislast liegt bei Banken

L'essentiel

  • Das OLG Koblenz hat in einem Grundsatzurteil die Rechte von Online-Banking-Kunden gegen Phishing-Betrug gestärkt.
  • Die Richter entschieden, dass selbst das Anklicken von Links in SMS und die Eingabe von TANs nicht automatisch grobe Fahrlässigkeit begründen.
  • In dem Fall hatte ein Betrüger mittels Call-ID-Spoofing und gefälschten persönlichen Daten einen Kunden der Sparkasse Westerwald-Sieg um über 56.000 Euro betrogen.

Résumé généré par IA

Pourquoi c'est important

Phishing-Betrügereien im Online-Banking sind ein wachsendes Problem. Professionelle Täter nutzen immer raffiniertere Methoden wie Call-ID-Spoofing, bei dem sie echte Banknummern auf dem Telefondisplay fälschen. Bisher trugen oft Kunden die Beweislast für fehlende Grobfahrlässigkeit.

Taille de police

Das Oberlandesgericht (OLG) Koblenz hat die Rechte von Bankkunden im Kampf gegen professionelles Phishing im Internet gestärkt. Es hatte zu klären, wann Nutzer von Online-Banking bei einem Betrugsszenario so unvorsichtig handeln, dass sie ihren Anspruch auf Erstattung des Schadens gegen die Bank verlieren. Die Richter stellten in einem heise online vorliegenden Urteil vom 17. April klar, dass selbst das Anklicken von Links in SMS und die Eingabe von Transaktionsnummern (TAN) in ein Browser-Formular der Home-Banking-Anwendung nicht automatisch den Vorwurf der groben Fahrlässigkeit rechtfertigen (Az.: 8 U 682/24).

Die drei gebündelten Fälle, über die das OLG nun in zweiter Instanz entschied, verdeutlichen die Professionalität moderner Betrüger. Dem hauptsächlich betroffenen Kunden der Sparkasse Westerwald-Sieg war am Telefon von einem angeblichen Mitarbeiter der Technik-Abteilung vorgespiegelt worden, er müsste sein Sicherheitsverfahren von Chip-TAN auf Push-TAN umstellen. Der Anrufer nutzte dabei „Call-ID Spoofing", wodurch auf dem Telefondisplay des Betroffenen die echte Rufnummer ihrer Sparkasse erschien. Da dem Anrufer zudem diverse persönliche Daten des Kunden bekannt waren, schöpfte dieser keinen Verdacht und folgte den Anweisungen.

Im Zuge des Telefonats generierte der Kunde, dessen beiden Konten im Rahmen eines sogenannten Multibanking online zusammengeschlossen waren, zwar eine Transaktionsnummer mit seinem Chip-TAN-Generator und gab diese im Online-Banking-Portal ein. Er teilte die TAN aber nach eigenen Angaben dem Anrufer nicht mündlich mit. Kurz darauf erfolgten mehrere Echtzeit-Überweisungen ins Ausland, durch die insgesamt über 56.000 Euro von den zwei Konten der Kläger verschwanden.

Während das Landgericht Koblenz in erster Instanz noch eine grobe Fahrlässigkeit des Kunden bejaht hatte, korrigierte das OLG diese Sichtweise jetzt grundlegend. Entscheidend für den Ausgang des Berufungsverfahrens war ein IT-Sachverständigengutachten. Die Bank hatte behauptet, der Kunde müsse den Tätern einen speziellen Freischaltcode aktiv übermittelt haben, da dieser technisch zwingend für die Verknüpfung der Push-TAN-App auf dem Täter-Handy notwendig gewesen sei. Der Gutachter widerlegte dies aber: Bei dem genutzten Verfahren werde der Freischaltcode unmittelbar in der App auf dem Endgerät angezeigt, das verknüpft werden soll – in diesem Fall also direkt auf dem Handy der Betrüger. Der Kunde habe diesen Code somit gar nicht sehen und folglich auch nicht grob fahrlässig weitergeben können.

Der 8. Zivilsenat betont, dass grobe Fahrlässigkeit nur dann vorliegt, wenn die erforderliche Sorgfalt in besonders schwerem Maße verletzt wird und dabei einfachste Überlegungen nicht angestellt werden. In einer Überrumpelungssituation durch professionelle Täter, die echte Bankdaten nutzen und Rufnummern fälschen, könne dem Kunden ein solch schwerer Vorwurf nicht gemacht werden. Auch das Anklicken eines Links in einer SMS der Bank, die im Rahmen des regulären Umstellungsprozesses automatisiert versandt wurde, sei nicht pflichtwidrig. Dies entspreche vielmehr der bestimmungsgemäßen Nutzung.

Die zweite Instanz unterstreicht in dem von der Kanzlei Ilex Rechtsanwälte für die Kläger erwirkten Urteil auch die Pflicht von Banken, unautorisierte Zahlungen gemäß Paragraf 675u Bürgerliches Gesetzbuch (BGB) zu erstatten. Dies gilt zumindest, wenn den Finanzinstituten kein Nachweis eines grob fahrlässigen Verhaltens gelingt. Die Beweislast liegt hier demnach vollumfänglich beim Zahlungsdienstleister. Für Nutzer von Online-Banking bringt das Urteil mehr Rechtssicherheit: Solange Sicherheitsmerkmale nicht aktiv und leichtfertig an Dritte offenbart werden, bleibt der Schutz vor den finanziellen Folgen von Cyber-Kriminalität bestehen. Die Sparkasse verdonnerte das OLG zur vollständigen Rückbuchung der Beträge nebst Zinsen. Eine Revision zum Bundesgerichtshof ließ es nicht zu. Die Beklagte könnte dagegen höchstens noch Beschwerde einreichen.

Das Urteil zeigt so, dass die Justiz teils die technische Komplexität von Betrugsmaschen berücksichtigt und die Verantwortung nicht nur bei den Kunden ablädt, die mit immer raffinierteren Phishing-Methoden konfrontiert werden. Voriges Jahr hatte das Landgericht Rostock andererseits entschieden: Nutzer, die aufgrund einer manipulierten E-Mail bei einem Phishing-Angriff Geld auf ein falsches Konto überweisen, müssen Ansprüchen des Rechnungsstellers trotzdem nachkommen.

À surveiller

Perspective IA — des possibilités, pas des certitudes

  • Weitere ähnliche Urteile zugunsten von Bankkunden in Phishing-Fällen

    Probable · En quelques mois

  • Banken werden ihre Sicherheitsverfahren und Kundenaufklärung verstärken

    Très probable · En quelques mois

Questions ouvertes

  • Welche konkreten Sicherheitsmaßnahmen müssen Banken künftig implementieren?
  • Wie wird die Beweislast in ähnlichen Fällen praktisch umgesetzt?
  • Wird die Sparkasse Westerwald-Sieg Beschwerde einlegen?

Sujets liés

This article was originally published by Heise Online.

Articles liés

Plus sur ce sujetonline-banking