41.000 Euro weg – und kein Anspruch auf Erstattung
Phishing-Mails gehören zu den größten Bedrohungen für Bankkunden – und können selbst erfahrene Nutzer täuschen. Das zeigt ein aktuelles Urteil des 8. Zivilsenats des Oberlandesgerichts Oldenburg (Az. 8 U 103/23) vom 24. April 2025. Ein Ehepaar aus dem Ammerland verlor knapp 41.000 Euro durch zwei Echtzeit-Überweisungen ins Ausland, nachdem die Ehefrau auf eine täuschend echte Phishing-E-Mail hereingefallen war. Die Bank muss das Geld nicht erstatten – wegen grober Fahrlässigkeit.
Vorinstanz: Landgericht Oldenburg
In erster Instanz wies das Landgericht Oldenburg bereits im Jahr 2023 die Klage des Ehepaars ab. Zwar war das Gericht überzeugt, dass die streitigen Überweisungen ohne Wissen und Wollen der Kläger erfolgt waren. Dennoch verneinte es einen Erstattungsanspruch nach § 675u Satz 2 BGB, weil der Bank ein Schadensersatzanspruch wegen grober Fahrlässigkeit der Klägerin zustand. Nach den Feststellungen des gerichtlich bestellten Sachverständigen musste die Ehefrau neben Geburtsdatum und EC-Karten-Nummer auch ihren Anmeldenamen sowie ihre PIN auf der gefälschten Website eingegeben haben, da die Täter andernfalls die Transaktionen technisch nicht hätten durchführen können. Damit habe sie ihre vertragliche Pflicht verletzt, personalisierte Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Dieses Fehlverhalten müsse sich auch der Ehemann gemäß § 278 BGB zurechnen lassen.
Der Fall: Vom Klick zur Katastrophe
Die Ehefrau erhielt 2021 eine E-Mail, die angeblich von ihrer Bank stammte. Inhalt: eine dringende Aufforderung, ihre PushTAN-Registrierung innerhalb von zwei Tagen zu aktualisieren. Andernfalls, so die Warnung, müsse sie sich komplett neu registrieren. Die Mail enthielt einen Link – der jedoch zu einer gefälschten Website führte.
Dort gab sie ihr Geburtsdatum und die EC-Karten-Nummer ein. Später erhielt sie per SMS einen Registrierungslink für das PushTAN-Verfahren. Kurz darauf transferierten unbekannte Täter das Tageslimit nach oben – und buchten in zwei Echtzeit-Überweisungen fast 41.000 Euro auf ein Konto in Estland.
Warum die Bank nicht zahlen muss
Sowohl das Landgericht Oldenburg (2023) als auch das Oberlandesgericht (2025) wiesen die Klage ab.
Begründung:
- Nicht autorisierte Zahlungsvorgänge verpflichten die Bank laut § 675u BGB zwar grundsätzlich zur Erstattung.
- Aber: Die Klägerin habe grob fahrlässig gehandelt (§ 675v Abs. 3 Nr. 2 BGB), indem sie höchstwahrscheinlich auch ihren Anmeldenamen und ihre PIN auf der gefälschten Website eingab. Ohne diese Daten wären die Überweisungen laut Gutachten technisch nicht möglich gewesen.
- Zusätzlich habe sie den SMS-Registrierungslink oder -Code an die Täter weitergegeben – ebenfalls grob fahrlässig.
- Auffällige Warnsignale wie die allgemeine Anrede „Sehr geehrter Kunde“ oder Rechtschreibfehler in der E-Mail wurden ignoriert.
Gericht: Mehrfacher Verstoß gegen Sorgfaltspflichten
Das OLG stellte klar: „Bankkunden müssen personalisierte Sicherheitsmerkmale vor unbefugtem Zugriff schützen – dazu gehören auch Anmeldename, PIN und TAN-Codes.“
Die Bank treffe in diesem Fall kein Mitverschulden. Zum damaligen Zeitpunkt sei es nicht zwingend gewesen, Warnhinweise in SMS-Nachrichten zu platzieren.
Das Urteil ist rechtskräftig – das Ehepaar bleibt auf dem Schaden sitzen.
Was Sie aus diesem Fall lernen sollten
- Niemals auf Links in Bank-Mails klicken. Echte Banken fordern keine PIN- oder TAN-Eingaben über E-Mail-Links.
- Sicherheitsmerkmale strikt geheim halten. Anmeldenamen, PINs, TANs und SMS-Codes dürfen nicht weitergegeben oder auf fremden Websites eingegeben werden.
- Auf Warnsignale achten. Allgemeine Anreden, Rechtschreibfehler, Zeitdruck und untypische Aufforderungen sind klare Phishing-Indizien.
- Im Zweifel: Direkt bei der Bank anrufen. Nutzen Sie nur offizielle Telefonnummern und Websites.
Hinterlasse jetzt einen Kommentar