"Hilfe" bei "Sicherheitsupdate" angenommen: Bankkundin bekommt kein Geld zurück

Nachdem sie Opfer eines Telefonbetruges geworden war, bleibt eine Sparkassenkundin auf dem Schaden in Höhe von über 36.000 Euro sitzen. Sie hatte am Telefon an eine vermeintliche Sparkassenmitarbeiterin TAN-Nummern weitergegeben. Das war grob fahrlässig, fand nun auch der BGH.

Der Anspruch eines Bankkunden auf Wiederherstellung des Kontos nach einer unautorisierten Zahlung kann nach Treu und Glauben durch einen Schadensersatzanspruch der Bank wegfallen. Voraussetzung für diesen Schadensersatzanspruch ist eine grob fahrlässige Pflichtverletzung seitens der Kundin bzw. des Kunden, wie der BGH nun bestätigt hat. Eine Sparkassenkundin, die zu Unzeiten und über zwei Tage hinweg Sicherheitsnummern an eine vermeintliche Sparkassenmitarbeiterin weitergegeben hatte, habe daher keinen Anspruch auf Ersatz der unbefugt überwiesenen 36.666 Euro (Urteil vom 22.06.2025 – XI ZR 107/24).

Seit 2014 war eine Kundin mit dem Online-Banking ihrer Sparkasse eigentlich vertraut gewesen. Mit einem kleinen Gerät, das für Überweisungen on-demand-Transaktionsnummern generiert (TAN-Generator), war sie bis zum Juli 2022 gut gefahren, bis sie ihre Zugangsdaten ändern wollte. Das gelang ihr trotz mehrfacher Versuche nicht. Der TAN-Generator brach den Prozess mehrmals ab, bis sich schließlich von selbst ein Fenster geöffnet haben soll, bei dem sie ihre Zugangsdaten erneut eingeben sollte.

Nach eigenen Angaben habe sie dieses Fenster zwar wieder geschlossen, dennoch klingelte wenig später (gegen 23.00 Uhr) ihr Telefon. Auf dem Display: Die Telefonnummer der Sparkasse. Die Gesprächspartnerin stellte sich als Mitarbeiterin vor und führte die Kundin über zwei Tage hinweg durch den vermeintlichen Installationsprozess eines neuen "Sicherheitsprogramms". Dabei gab sie mehrmals Auftragsdaten durch, die die Kundin in den Generator eingeben sollte. Mit der generierten TAN autorisierte die Betrügerin schließlich am zweiten Tag eine Transaktion in Höhe von 36.666 Euro und beendete das Gespräch.

Gemeinsam mit dem Mitinhaber des Kontos verklagte die Kundin die Sparkasse auf Erstattung der Überweisungssumme, gestützt auf § 675u BGB (Haftung des Zahlungsdienstleisters für nicht autorisierte Zahlungsvorgänge). Das LG Halle hatte dem weitestgehend stattgegeben, auf Berufung der Sparkasse wies das OLG Naumburg die Klage jedoch ab. Nun hatte der BGH über die Revision der Kontoinhaber zu entscheiden und verneinte den Erstattungsanspruch ebenso.

Nicht misstrauisch genug

Der BGH sah den Erstattungsanspruch des § 675u BGB dem Grunde nach als gegeben an: In der Tat sei es zu einem Zahlungsvorgang gekommen, den die Kundin nicht autorisiert hatte. Laut der Vorschrift hätte die Sparkasse damit den Überweisungsbetrag "unverzüglich" erstatten müssen. Das erübrige sich allerdings nach Treu und Glauben, wenn die Sparkasse der Kundin ihrerseits einen Schadensersatzanspruch in gleicher Höhe entgegenhalten könne. Ein solcher Schadensersatzanspruch folge hier aus § 675v Abs. 3 BGB, der wiederum die Zahler zu einem vollen Schadensersatz verpflichtet, wenn sie im Rahmen der unautorisierten Zahlung grob fahrlässig ihre Pflichten verletzt haben.

Eben jenen Vorwurf grober Fahrlässigkeit könne man der Kundin hier machen. Das vorinstanzliche OLG hatte entschieden, dass die Kundin ganz naheliegende Überlegungen nicht angestellt habe, und "jegliche Vorsicht" habe vermissen lassen. So sei es gerade vor dem Hintergrund ihrer bisherigen Erfahrungen im Online-Banking höchst ungewöhnlich gewesen, dass sich eine Mitarbeiterin der Sparkasse wochenends und außerhalb der Öffnungszeiten zu solch später Stunde telefonisch melde, um sofort ein vermeintliches Sicherheitsprogramm zu installieren.

Spätestens habe sie aber stutzig werden müssen, als die Betrügerin viermal TAN-Nummern angefordert habe, die sonst eigentlich nur bei konkreten Überweisungen zum Einsatz kamen. Bisher hatte die Kundin die Auftragsnummern zwar immer per Barcode vom Bildschirm eingescannt. Bei der nun nötigen manuellen Eingabe in den TAN-Generator habe ihr aber auffallen müssen, dass sich die Auftragsnummern aus IBAN-Nummern und Überweisungsnummern zusammensetzten. "Schlichtweg unverständlich" sei gewesen, dass sie das Geschehen nicht einmal nach der Unterbrechung am ersten Tag reflektiert habe.

BGH bestätigt grobe Fahrlässigkeit

Das OLG Naumburg hatte daraus auf eine grobe Fahrlässigkeit seitens der Kundin geschlossen. Der BGH schloss sich dem nun an.

Ihr Verhalten lasse sich – so der XI. Zivilsenat - nicht etwa durch ein "Augenblickversagen" erklären, bei dem ihr nur für eine kurze Zeit die nötige Sorgfalt entglitten war. Da sie am ersten Tag die Auftragsnummern mehrmals falsch eingegeben hatte, unterbrach die Betrügerin das Gespräch und meldete sich erst am nächsten Tag wieder. Die Kundin habe daher einen ganzen Tag Zeit gehabt, das Geschehen zu reflektieren. Auch dass sie bisher nur das optische Scan-Verfahren genutzt hatte und mit der manuellen Eingabe von Auftragsnummern nicht vertraut war, entlaste sie hier nicht. Unerfahrenheit schließe grobe Fahrlässigkeit nicht zwingend aus – hier hätten sich ihr trotz aller Zweifel daran aufdrängen müssen, dass die Nummer nicht wie gewohnt für eine Überweisung, sondern für eine "Installation eines Sicherheitsprogramms" angefragt wurde.

Ebenso wenig helfe ihr die Unwissenheit über das Call-ID-Spoofing, mit dem die Betrügerin die Telefonnummer der Sparkasse vorgetäuscht hatte. Gerade vor betrügerischen Telefonanrufen werde auf der Website und im Online-Banking allgemein gewarnt, zumal in den letzten Jahren auch in den Medien über vielfache und mannigfaltige (Phishing-)Angriffe im Online-Banking berichtet worden sei.

Im Ergebnis überwiege das Verschulden der Kundin, wenngleich die Bank – wie von der Vorinstanz unterstellt – die Anmeldung zum Online-Banking an sich nicht hinreichend stark gesichert hatte. Nur so sei es der Betrügerin überhaupt gelungen, an die Daten der Kundin zu gelangen, um sich überzeugend als Mitarbeiterin auszugeben. Das OLG habe das für mitursächlich, aber unerheblich gehalten, da es hinter dem deutlich stärkeren Sorgfaltsverstoß der Kundin zurücktrete. Der BGH kam zum gleichen Ergebnis, sah den Verstoß seitens der Sparkasse allerdings schon nicht mehr als mitursächlich für die unautorisierte Zahlung an: Der maßgebliche § 675v Abs. 4 BGB – der den Ersatzanspruch der Bank in Fällen unzureichender Sicherung ausschließt – stelle schon gar nicht auf die Sicherheit des Logins, sondern nur auf konkrete Überweisungen ab.

BGH, Urteil vom 22.07.2025 - XI ZR 107/24

Redaktion beck-aktuell, tbh, 14. August 2025.

Mehr zum Thema

Aus der Datenbank beck-online

OLG Naumburg, Grobe Fahrlässigkeit des Bankkunden bei Phishing-Angriff, NJW-RR 2025, 561

LG Itzehoe, Phishing und Freischaltung weiterer Geräte in Authentifizierungs-App, BKR 2025, 713

OLG Brandenburg, Unbegründeter Anspruch auf Wiedergutschrift von Belastungsbuchungen wegen grob fahrlässiger Pflichtverletzung, BeckRS 2025, 1194

Internet Explorer: Unsere Empfehlung

×
Sie nutzen noch den Interenet Explorer 11 (IE11) und wir empfehlen Ihnen, bis zum 15. Juni 2022 auf den neuen Browser „Microsoft Edge“ oder eine aktuelle Version eines anderen gängigen Internet-Browsers (Firefox, Chrome, usw.) umzusteigen. Wir folgen damit den Empfehlungen des Unternehmens Microsoft, das ebenfalls schrittweise begonnen hat, die Unterstützung dieser Browserversion einzustellen. Bei Fragen wenden Sie sich bitte an unsere Hotline unter der Telefonnummer 089-38189-421.