Das Phishing-Opfer hatte eine Fake-Mail vermeintlich vom "Kundenservice" seiner Sparkasse erhalten, in der es hieß, dass das Online-Banking aktualisiert werde und dafür Anpassungen notwendig seien. Über eine Schaltfläche wurde der Mann auf eine täuschend echte Fake-Seite geleitet, auf der er seine Zugangsdaten für das Online-Banking, Passwort und PIN, eingab. Daraufhin bekam er angezeigt, dass ihn ein Sparkassenmitarbeiter anrufen werde.

Drei Tage später kam ein erster Anruf, auf Aufforderung bestätigte der Mann auf seinem Smartphone mehrfach "Aufträge" über seine S-pushTAN-App, die der Angreifer generiert hatte, nachdem er sich mit dem erbeuteten Passwort und der PIN im Online-Banking eingeloggt hatte. Der Mann glaubte bei den "Aufträgen" gehe es um die Aktualisierung des Online-Bankings. Tatsächlich wurden das Tageslimit für Überweisungen erhöht, anschließend 24.422 Euro auf ein unbekanntes Konto überwiesen und der Anmeldename für das Online-Banking geändert.

Ein angekündigter weiterer Anruf folgte einen Tag später. Erneut wurde der Mann aufgefordert, zwei "Aufträge" zu bestätigen, was er tat. Wieder wurde das Tageslimit erhöht und Geld überwiesen: Weitere 24.999 Euro waren weg. Etwa zwei Wochen später bemerkte der Mann, dass er sich nicht mehr einloggen konnte, und kontaktierte seine Sparkasse, die ihn über die Kontobewegungen informierte. Er wollte sein Geld von der Sparkasse zurück und argumentierte, er habe die Zahlungen nicht autorisiert. Er habe auch nicht grob fahrlässig gehandelt, jedenfalls hafte er der Sparkasse nicht, weil sie beim Einloggen in das Online-Banking keine starke Kundenauthentifizierung verlange.

Während das LG Chemnitz die Klage abwies, erzielte der Mann mit seiner Berufung beim OLG Dresden einen Teilerfolg: Knapp 10.000 Euro muss die Sparkasse ihm wieder gutschreiben (Urteil vom 05.06.2025 - 8 U 1482/24).

Keine Autorisierung der Zahlungen

Dabei nimmt das OLG an, dass der Mann die Zahlungen nicht autorisiert hat, sodass er zunächst gemäß § 675u S. 2 BGB einen Anspruch auf Erstattung des vollen, von seinem Konto überwiesenen Betrags habe. Zwar habe die Sparkasse die Authentifizierung des Mannes durch technische Protokolle nachgewiesen (§ 675w Abs. 1 S. 1 BGB), einen etwaigen daraus folgenden Anscheinsbeweis für die Autorisierung habe der Mann aber jedenfalls mit der Schilderung des Phishing-Angriffs erschüttert. Sicherheitsmängel im Online-Banking der Bank müssten dafür nicht dargelegt werden.

Die Sparkasse hatte hingegen gemeint, der Kunde autorisiere eine Zahlung auch stets dann, wenn er den Auftrag freigebe, weil er über dessen Zweck getäuscht wurde. Diese Auffassung teilt der Senat nicht, weil dann das Missbrauchsrisiko entgegen §§ 675u, 675v BGB pauschal dem Kunden zugewiesen würde. Auch die Annahme einer Anscheinsvollmacht bei missbräuchlichen Eingriffen eines Dritten im Online-Banking lehnt er ab. Maßgeblich sei vielmehr, ob nach den Einzelfallumständen eine Zustimmung zu bejahen sei. Hier sei das wegen des verdeckt abgelaufenen missbräuchlichen Eingriffs, bei dem der Mann unbewusst die Zahlung auslöste, nicht der Fall.

Grob fahrlässig Sorgfaltspflichten verletzt

Das OLG attestiert dem Mann allerdings, grob fahrlässig seine Sorgfaltspflichten aus § 675l Abs. 1 Satz 1 BGB und den Sparkassen-AGB verletzt zu haben. Er habe dem Angreifer Zugriff auf ein personalisiertes Sicherheitsmerkmal gegeben, indem er die S-pushTAN-App "auf Zuruf der Anruferin" betätigte und die Aufträge ohne Überprüfung der angezeigten Daten bestätigte.

Die sprachlichen Fehler in der angeblich von seiner Sparkasse stammenden E-Mail und der weitere Ablauf (Verifizierung, Anrufe, mehrfache Freigaben in der S-pushTAN-App) hätten ihn argwöhnisch machen müssen. Phishing sei bekannt und in den Medien ein präsentes Thema, zudem habe die Sparkasse in ihren Sicherheitshinweisen vor solchen Phishing-Angriffen gewarnt. Außerdem müsse es im Allgemeinen jedem einleuchten, dass eine App zur Freigabe von Zahlungen nicht für eine angebliche Aktualisierung genutzt werden dürfe.

Ohne starke Kundenauthentifizierung: Mitverschulden der Sparkasse möglich

Der Mann müsse sich daher einen Schadensersatzanspruch der Sparkasse aus § 675v Abs. 3 Nr. 2 BGB entgegenhalten lassen. Der Anspruch der Sparkasse ist laut OLG nicht deshalb nach § 675v Abs. 4 S. 1 Nr. 1 BGB ausgeschlossen, weil für das Login Passwort und PIN genügten. Nach der Regelung haftet der Zahler nicht, wenn sein "Zahlungsdienstleister […] eine starke Kundenauthentifizierung im Sinne des § 1 Absatz 24 des Zahlungsdiensteaufsichtsgesetzes nicht verlangt". Der Senat hält an seiner Rechtsprechung fest, dass sie nur greife, wenn eine starke Kundenauthentifizierung bei der Autorisierung des Zahlungsvorgangs fehle.

Denn § 675v Abs. 4 BGB, der eine auf konkrete Zahlungsvorgänge abstellende Regelung der Zweiten Zahlungsdiensterichtlinie umsetze, verweise nur auf die Definition der starken Kundenauthentifizierung in § 1 Abs. 24 ZAG, nicht aber auf die aufsichtsrechtliche Anforderung einer solchen Authentifizierung auch beim Zugriff auf das Zahlungskonto (§ 55 Abs. 1 S. 1 Nr. 1 ZAG). Einem Gleichlauf zwischen der haftungsrechtlichen und aufsichtsrechtlichen Regelung bzw. einer Akzessorietät erteilt der Senat eine Absage. Eine EuGH-Vorlage erachtete er mangels Klärungsbedürfnisses nicht für erforderlich.

Der Mann bleibt aber nicht auf dem kompletten Verlust sitzen, weil das OLG der Sparkasse wegen des Fehlens der aufsichtsrechtlich vorgeschriebenen starken Kundenauthentifizierung auch beim Online-Zugriff ein Mitverschulden von 20% anlastet. Der Angreifer habe nach dem Login mit den abgegriffenen Daten sensible Zahlungsdaten einsehen können, die er für seinen Angriff benötigt habe, sodass der Verstoß gegen § 55 ZAG mitursächlich für das Gelingen des Angriffs gewesen sei. Die Revision hat das OLG nicht zugelassen.