Zur Haftung bei Phishing - Urteil des OLG Dresden

Von Rechtsanwalt Olaf Tank
15.7.2025 | Ratgeber - Bankrecht
Mehr zum Thema: Bankrecht, Phishing, Haftung, Fahrlässigkeit, Bank, Kunde
0 von 5 Sterne
 Bewerten mit:
0

Mithaftung einer Sparkasse bei Phishing - Überblick zum Urteil des OLG Dresden (Az. 8 U 1482/24)

Olaf Tank
Partner
seit 2025
Rechtsanwalt
Olaf Tank, Wirtschaftsjurist
120 Bewertungen
Breite Straße 22
40213 Düsseldorf
Tel: +49 211 88284 502
Web: https://www.kanzlei-tank.de
E-Mail:
Inkasso, Nachbarschaftsrecht, Wohnungseigentumsrecht, Vertragsrecht, Baurecht, Verwaltungsrecht, Internetrecht, Wirtschaftsrecht, Datenschutzrecht, Strafrecht, Miet- und Pachtrecht, Verkehrsrecht
Preis: 190 €
Antwortet: ∅ 3 Std. Stunden
Für Beratung wählen

Das Urteil betrifft die (Mit-)Haftung einer Sparkasse bei Phishing-Schäden trotz grober Fahrlässigkeit des Kunden.

Ausgangspunkt

  • Ein Sparkassenkunde wurde Opfer einer Phishing-Attacke (Fake-Mail und Telefontrick).
  • Er verlor ca. 50.000 Euro, weil er Zugangsdaten und TAN-Freigaben leichtfertig erteilte.

Entscheidung des Gerichts

  1. Grobe Fahrlässigkeit des Kunden

    • Der Kunde hat wesentliche Sicherheitsregeln verletzt (z. B. mehrfache Bestätigungen in der TAN-App ohne Prüfung).
    • Das OLG Dresden sieht ein klar fahrlässiges Verhalten, das grundsätzlich eine Haftung des Kunden begründen kann.

  2. Verantwortung der Bank

    • Trotz des fehlerhaften Verhaltens des Kunden haftet die Sparkasse anteilig (ca. 20 % des Schadens).
    • Grund: Die Sparkasse verwendete beim Login kein starkes Authentifizierungsverfahren (keinen zweiten Faktor), obwohl dies nach § 55 ZAG aufsichtsrechtlich vorgeschrieben ist.

  3. Mitursächlichkeit der Sicherheitslücke

    • Durch das fehlende starke Login-Verfahren konnte der Täter sich umfassenden Zugang zum Konto verschaffen.
    • Dieser Verstoß gegen die regulatorischen Vorgaben war mitursächlich für den Schaden.

Rechtliche Würdigung

  • § 675v BGB verpflichtet zur starken Kundenauthentifizierung bei Zahlungsvorgängen. Eine Täuschung über den Transaktionszweck hebt die „Zustimmung" des Kunden auf.
  • Mitverschulden: Auch grob fahrlässig handelnde Kunden sind nicht automatisch für den gesamten Verlust verantwortlich, wenn die Bank selbst die Sicherheitsregeln verletzt.

Praxisfolgen

  • Banken dürfen sich nicht allein darauf berufen, dass der Kunde „selbst schuld" ist.
  • Schon beim Login müssen Sicherheitsmaßnahmen greifen, damit Phishing nicht leicht zum Vollzugriff führt.
  • Das Urteil verdeutlicht, dass Verstöße gegen die Pflichten zur starken Authentifizierung erhebliche Haftungsrisiken für Banken bedeuten.

Fazit

  • Signalwirkung: Kunden dürfen keine Freigaben „auf Zuruf" erteilen, Banken müssen aber beim Login und bei Transaktionen eine sichere Authentifizierung gewährleisten.
  • Bei Phishing-Schäden trägt grobe Fahrlässigkeit des Kunden nicht zwingend die volle Haftung, wenn Banken ihrerseits Sicherheitslücken offenlassen.

Falls sich bei Ihnen weitere Fragen durch diesen Artikel ergeben haben, nehmen Sie gerne Kontakt zu mir auf. Ich freue mich über Ihre Rückfrage.
Wollen Sie mehr wissen? Lassen Sie sich jetzt von diesem Anwalt schriftlich beraten.