Ihr Premium-Abonnement
Wenn Sie bereits über ein Premium Abonnement verfügen, können Sie sich hier direkt mit Ihren Zugangsdaten anmelden.
·
·
·
·
·
Startseite
BGH: Wann die Bank einen Phishing-Schaden (nicht) ersetzen muss
19.8.2025 – Wenn einem Bankkunden nachgewiesen wird, dass er Sorgfaltspflichten grob fahrlässig verletzt hat, muss die Bank eine unautorisierte Überweisung an Betrüger nicht ersetzen. Ein aktuelles Urteil des Bundesgerichtshofs verdeutlicht, dass die Weitergabe von TANs besonders schwer wiegt: Eine Frau hatte über mehrere Tage wiederholt TAN-Nummern an eine Betrügerin weitergegeben – und bleibt auf ihrem Schaden sitzen.
Eine Frau unterhielt gemeinsam mit ihrem Mann ein Gemeinschaftskonto bei der örtlichen Sparkasse. Seit 2014 nutzte sie das Online-Banking, wofür sie sich mit Hilfe eines TAN-Generators authentifizierte.
Am Abend des 2. Juli 2022, einem Samstag, wollte sie ihre PIN zum Einloggen auf die Internetseite der Bank ändern, da sie diese versehentlich mit ihrem Benutzernamen im Browser gespeichert hatte. Trotz mehrerer Versuche gelang ihr das nicht. Mehrfach zeigte das Lesegerät stattdessen „Vorgang abgebrochen“ an.
Als sie es spätabends erneut versuchte, öffnete sich auf ihrem PC plötzlich ein Fenster mit dem Hinweis, der Onlinezugang werde innerhalb eines Tages gesperrt, wenn nicht sofort eine neue Sicherheitssoftware installiert werde. Sie klickte darauf, worauf eine Abfrage persönlicher Daten erschien. Nach eigenen Angaben füllte sie diese nicht aus und schloss das Fenster wieder.
Anruf einer vermeintlichen Sparkassen-Mitarbeiterin
Ungefähr eine halbe Stunde nach dem erfolglosen Versuch erhielt die Frau einen Telefonanruf. Das Display zeigte die Servicenummer ihrer Sparkasse an. Am anderen Ende der Leitung war eine Frau, die sich als Mitarbeiterin der Bank vorstellte und fragte, „was los sei“.
- TAN-Generator (Bild: Pictavio, Pixabay-Inhaltslizenz)
Nachdem die Frau ihr Problem geschildert hatte, bot die Anruferin ihre Hilfe bei der Installation des angeblich nötigen Sicherheitsprogramms an. Sie konnte dabei nicht nur den Namen der zuständigen Sachbearbeiterin nennen, sondern auch die letzten drei Überweisungen der Frau korrekt aufzählen.
Als die Kundin nachfragte, warum ihre Bank sie so spät am Wochenende anrufe, antwortete die Anruferin, man sei „24 Stunden rund um die Uhr für die Kunden da“. Das erschien der Frau plausibel, da sie sich erinnerte, während eines USA-Aufenthalts schon einmal nachts ein Kreditkartenproblem mit ihrer Bank gelöst zu haben.
Die angebliche Bankmitarbeiterin forderte daraufhin die Frau auf, ihre Daten durchzugeben, die zum Einloggen in ihren Onlineaccount notwendig waren. Der Anweisung folgte die Frau.
Die Anruferin erklärte dann, für das neue Sicherheitsprogramm müsse die Kontoinhaberin Zahlen in ihren TAN-Generator eingeben und die erzeugten Codes telefonisch durchgeben. Die Frau folgte den Anweisungen, vertippte sich aber mehrfach – schließlich brach das Gespräch abrupt ab.
Fast 35.600 Euro vom Konto abgebucht
In den folgenden zwei Tagen meldete sich die Betrügerin erneut in den späten Abendstunden und bot an, bei der Installation des Programms zu helfen. Erneut gab sie Zahlenfolgen durch und forderte die Kontoinhaberin auf, TAN-Nummern telefonisch durchzugeben, nachdem sie sich in ihren Bankaccount eingeloggt hatte.
Am ersten Tag wurde auf diese Weise das Überweisungslimit des Kontos mit Hilfe einer gültigen TAN auf über 110.000 Euro hochgesetzt. Mehrere Überweisungsaufträge scheiterten, weil sich die Kontoinhaberin erneut vertippt hatte. Daraufhin sagte die Anruferin, dass der Vorgang am nächsten Tag fortgesetzt werden müsse, da das Zeitlimit überschritten sei. Beide vereinbarten einen Termin am Folgetag.
Am folgenden Abend wiederholte sich das Spiel – diesmal erfolgreich: Während die Frau erneut TANs weitergab, wurde das Überweisungslimit noch einmal erhöht und schließlich eine Sofortüberweisung über 35.555 Euro auf das Konto einer unbekannten Person ausgeführt.
Frau fordert von der Bank das überwiesene Geld zurück
Als die Frau merkte, dass sie Opfer von Onlinebetrug geworden war, forderte sie von der Sparkasse die Rückerstattung des überwiesenen Betrags. Als die Bank sich weigerte, zog die Frau vor Gericht.
Sie berief sich dabei auf § 675u BGB, nach dem der Zahlungsdienstleister für nicht autorisierte Zahlungsvorgänge haftet: Er hat in diesem Fall keinen Anspruch auf Aufwendungsersatz gegenüber dem Zahler, sondern muss den Betrag unverzüglich erstatten und das Konto so stellen, als wäre die Belastung nicht erfolgt.
Der Rechtsstreit zog sich über drei Instanzen bis zum BGH. Alle Gerichte gingen davon aus, dass die Frau Opfer von Onlinebetrug wurde, was grundsätzlich einen Schadensersatzanspruch gegenüber der Bank nach BGB begründet. Sie war auf eine gefälschte Webseite hereingefallen, wodurch Dritte unbefugt Zugriff auf ihre Daten erlangt hatten.
Grob fahrlässige Pflichtverletzung – Erstattungsanspruch entfällt
- Erzherzögliches Palais, Sitz des Bundesgerichtshofs
(Bild: Comquat, CC BY-SA 2.0)
Während die erste Instanz noch zugunsten der Frau entschied, kam jedoch das Oberlandesgericht Naumburg bereits zu dem Ergebnis, dass die Sparkasse das Geld nicht erstatten muss. Auch der BGH entschied mit Urteil vom 22. Juli 2025 (XI ZR 107/24), dass die Geschädigte keinen Anspruch auf Schadensersatz hat, weil sie grob fahrlässig handelte.
So muss die Bank die unrechtmäßige Überweisung nach Treu und Glauben dann nicht erstatten, wenn ihr ein gleichwertiger Schadensersatzanspruch gegen den Kunden zusteht. Gemäß § 675v Absatz 3 Nummer 2 BGB ist das dann der Fall, wenn dem Kunden ein grob fahrlässiger oder vorsätzlicher Verstoß gegen Sorgfaltspflichten nachgewiesen werden kann.
Auch Bankkunden seien demnach verpflichtet, so betonte der BGH, unmittelbar nach Erhalt eines Zahlungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Hierzu gehörten speziell alle Arten von TANs.
Kundin ließ jegliche Vorsicht vermissen
Im vorliegenden Fall habe die Vorinstanz zu Recht betont, dass die Klägerin „jegliche Vorsicht“ habe vermissen lassen, so bestätigte der BGH. Schon das unerwartet sich öffnende Fenster am Abend des 2. Juli 2022, das persönliche Angaben abfragte, hätte sie misstrauisch machen müssen, zumal sie selbst angab, es sofort wieder geschlossen zu haben.
Ebenso ungewöhnlich sei der darauffolgende Anruf einer vermeintlichen Bankmitarbeiterin am Wochenende zur angeblichen Installation eines neuen Sicherheitsprogramms gewesen – erstmals seit Jahren und ohne vorherige Kontaktaufnahme der Bank.
Nach Auffassung des Gerichts hätte die Frau zudem erkennen müssen, dass der sofortige Einsatz des TAN-Generators, der sonst ausschließlich zur Autorisierung von Überweisungen genutzt werde, in diesem Zusammenhang untypisch war.
Bereits während des ersten Anrufs sei sie aufgefordert worden, eine fremde IBAN und einen Überweisungsbetrag in Euro einzugeben, was für die angebliche Installation des Sicherheitsprogramms erkennbar nicht erforderlich sei.
Dass die Frau dieses Geschehen zu keinem Zeitpunkt reflektiert habe und sich dennoch auf neue Anrufe einließ, bezeichnet der BGH als „schlicht unverständlich“.
Kein „Augenblicksversagen“ als Ausweg
Ebenfalls wies das Gericht die Argumentation zurück, das Verhalten der Frau als sogenanntes Augenblicksversagen zu werten. Nach gültiger Rechtsprechung hätte sie Anspruch auf Schadensersatz, wenn sie nachweisen könnte, dass sie überrumpelt, kurzzeitig abgelenkt oder unaufmerksam gewesen sei – und dies erklärt hätte, warum sie die erforderliche Sorgfalt vermissen ließ.
Die entscheidende Sorgfaltspflichtverletzung sei in der Weitergabe der TANs bei den späteren Telefonaten zu sehen, so betonte der BGH. Hier habe die Frau einen ganzen Tag Zeit gehabt, die ungewöhnlichen Umstände des ersten Telefonats zu reflektieren und entsprechende Schlüsse daraus zu ziehen.
Das Gericht hielt darüber hinaus das Vorbringen der Frau, sie habe von den Risiken des Call-ID-Spoofings nichts gewusst, für wenig überzeugend. Nach Auffassung des Gerichts entlastet Nichtwissen allein die Frau nicht, da sie die offensichtlichen Warnsignale hätte erkennen müssen.
Zwar bestätigte der BGH, dass die Betrügerin sich überhaupt erst Zugang zu den Kontodaten verschaffen und überzeugend als Bankmitarbeiterin ausgeben konnte, weil die Sparkasse die Anmeldung zum Online-Banking nicht hinreichend abgesichert hatte. Doch das sei für die konkret getätigten unautorisierten Überweisungen unerheblich gewesen.
Artikel drucken
Kopierfreundliche Version
Leserbrief schreiben
Nutzungsrechte erhalten
Per E-Mail weiterleiten
Mit einer Anzeige im Extrablatt erreichen Sie mehr als 12.500 Menschen im Versicherungsvertrieb, überwiegend ungebundene Vermittler. Über die Konditionen informieren die Mediadaten.
Ihre Leserbriefe können für andere Leser eine wesentliche Ergänzung zu unserer Berichterstattung sein. Bitte schreiben Sie Ihre Kommentare unter den Artikel in das dafür vorgesehene Eingabefeld.
Die Redaktion freut sich auch über Hintergrund- und Insiderinformationen, wenn sie nicht zur Veröffentlichung unter dem Namen des Informanten bestimmt ist. Wir sichern unseren Lesern absolute Vertraulichkeit zu. Schreiben Sie bitte an redaktion@versicherungsjournal.de.
Allgemeine Pressemitteilungen erbitten wir an meldungen@versicherungsjournal.de.
Geraten Sie in Verkaufssituationen immer wieder an Grenzen?
Wie Sie unterschiedliche Persönlichkeitstypen zielgerichtet ansprechen, erfahren Sie im Praktikerhandbuch „Vertriebsgötter“.
Interessiert? Dann können Sie das Buch ab sofort zum vergünstigten Schnäppchenpreis unter diesem Link bestellen.
