OLG Oldenburg: Kein Anspruch gegen Bank aus § 675u Satz 2 BGB nach Phishing-Vorfall wenn sich die betrügerische Absicht einer Phishing-E-Mail aufdrängen musste
OLG Oldenburg,
Urteil vom 24.04.2025
8 U 103/23
Das OLG Oldenburg hat entschieden, dass kein Anspruch gegen die Bank aus § 675u Satz 2 BGB nach einem Phishing-Vorfall besteht, wenn sich dem Kontoinhaber die betrügerische Absicht einer Phishing-E-Mail aufdrängen musste.
Die Pressemitteilungt des Gerichts:
OLG Oldenburg zur Haftung einer Bank nach einem sogenannten Phishing-Vorfall
Vorsicht vor sogenannten Phishing E-Mails! Dies hat wiederum ein Fall gezeigt, den der 8. Zivilsenat des Oberlandesgerichts Oldenburg in zweiter Instanz zu entscheiden hatte.
Geklagt hatte ein Ehepaar aus dem Ammerland, von dessen Konto ein mittlerer fünfstelliger Betrag verschwunden war. Diesen Betrag verlangten die Klägerin und der Kläger von der kontoführenden Bank mit der Begründung zurück, dass die entsprechenden Zahlungsvorgänge von ihnen nicht autorisiert worden seien. Bei nicht autorisierten Zahlungsvorgängen sieht § 675u Satz 2 BGB grundsätzlich eine Erstattungspflicht des Zahlungsdienstleisters – hier also der Bank – vor.
Passiert war nach den gerichtlichen Feststellungen Folgendes: Die Ehefrau, die spätere Klägerin, hatte eines Tages im Jahr 2021 eine E-Mail erhalten, die scheinbar von dem Bankinstitut stammte, bei dem die Eheleute ihr gemeinsames Konto hatten. In dieser E-Mail wurde sie aufgefordert, binnen zwei Tagen ihre PushTAN-Registrierung zu aktualisieren, da anderenfalls eine Neuregistrierung erforderlich sein würde. Die Klägerin klickte auf den in der E-Mail angegebenen Link, der sie zu einer – wie sich später herausstellte – gefälschten Website führte. Dort gab sie zumindest ihr Geburtsdatum und die Nummer ihrer EC-Karte ein. Im Anschluss erhielt sie per SMS einen Registrierungslink für die Neuregistrierung zum PushTAN-Verfahren auf ihr Mobiltelefon. Am nächsten Tag bemerkte die Klägerin, dass durch zwei Echtzeit-Überweisungen insgesamt knapp 41.000 Euro von ihrem Gemeinschaftskonto auf ein Konto in Estland transferiert worden waren.
Das in erster Instanz zuständige Landgericht Oldenburg wies die Zahlungsklage der Eheleute gegen die Bank im Jahr 2023 ab. Zwar war das Landgericht davon überzeugt, dass die Eheleute die Zahlungsvorgänge in der Tat nicht autorisiert hatten; vielmehr seien die Überweisungen und auch die im Vorfeld erfolgte Erhöhung des Tageslimits durch unbekannte Täter ohne Wissen und Wollen der Kläger ausgelöst worden. Allerdings bestehe im Ergebnis dennoch kein Anspruch der Eheleute auf Erstattung der Zahlungsbeträge gemäß § 675u Satz 2 BGB gegen die Bank, weil diese den Eheleuten wiederum einen Schadensersatzanspruch entgegenhalten könne; denn die Ehefrau habe grob fahrlässig im Sinne von § 675v Abs. 3 Nr. 2 BGB gehandelt, was sich der Ehemann gemäß § 278 BGB zurechnen lassen müsse. Nach der durchgeführten Beweisaufnahme sei, so das Landgericht, nämlich davon auszugehen, dass die Klägerin auf der gefälschten Website nicht nur ihr Geburtsdatum und ihre EC-Karten-Nummer, sondern auch ihren Anmeldenamen und ihre PIN eingegeben habe. Laut dem gerichtlich bestellten Sachverständigen sei es weder technisch möglich noch plausibel, dass die unbekannten Täter ohne diese Angaben die Überweisungen hätten vornehmen können. Damit aber habe die Klägerin die Sorgfaltspflichten aus dem Vertrag mit der Bank grob verletzt, nach denen sie die zur Authentifizierung bereitgestellten personalisierten Merkmale vor unbefugtem Zugriff zu schützen hatte.
Auf die Berufung der Eheleute hat der 8. Zivilsenat des Oberlandesgerichts die Entscheidung des Landgerichts bestätigt. Die Klägerin hatte in ihren Anhörungen vor dem Oberlandesgericht wiederum nicht zu 100 Prozent ausschließen können, dass sie neben ihrem Geburtsdatum und ihrer EC-Karten-Nummer noch weitere Daten auf der gefälschten Website eingegeben hatte. Auch aufgrund der Ausführungen des in zweiter Instanz erneut angehörten Sachverständigen erachtete das Oberlandesgericht die Folgerung des Landgerichts, die Klägerin habe auf der gefälschten Website auch ihren Anmeldenamen und ihre PIN eingegeben, als in jeder Hinsicht plausibel. Der Senat stellte darüber hinaus eine weitere Sorgfaltspflichtverletzung der Ehefrau fest, weil diese nach dem Ergebnis der ergänzenden Beweisaufnahme auch den ihr per SMS zugeschickten Registrierungs-Link beziehungsweise den entsprechenden Registrierungs-Code für die Neuregistrierung zum PushTAN-Verfahren entweder weitergeleitet oder auf sonstige Weise an die Täter weitergegeben hatte. Zumindest dies sei als grob fahrlässig zu bewerten. Darüber hinaus hätten sich der Klägerin aus mehreren Gründen Zweifel an der Seriosität der E-Mail aufdrängen müssen; unter anderem wurden die Kläger hierin nicht namentlich adressiert, sondern mit „Sehr geehrter Kunde“ angesprochen. Außerdem enthielt die E-Mail mehrere Rechtschreibfehler. Schließlich müsse sich die Bank auch kein Mitverschulden zurechnen lassen; insbesondere sei es zum damaligen Zeitpunkt nicht geboten gewesen, in die Registrierungs-SMS einen – inzwischen von der Beklagten verwendeten – Warnhinweis aufzunehmen, wonach die SMS nicht an dritte Personen weitergeleitet werden darf.
Mithin erhalten die Kläger ihre verlorenen Gelder nicht von ihrer Bank zurück.
Die Entscheidung des Oberlandesgerichts ist rechtskräftig.
Oberlandesgericht Oldenburg, 24.04.2025 – 8 U 103/23
Urteil vom 24.04.2025
8 U 103/23
Das OLG Oldenburg hat entschieden, dass kein Anspruch gegen die Bank aus § 675u Satz 2 BGB nach einem Phishing-Vorfall besteht, wenn sich dem Kontoinhaber die betrügerische Absicht einer Phishing-E-Mail aufdrängen musste.
Die Pressemitteilungt des Gerichts:
OLG Oldenburg zur Haftung einer Bank nach einem sogenannten Phishing-Vorfall
Vorsicht vor sogenannten Phishing E-Mails! Dies hat wiederum ein Fall gezeigt, den der 8. Zivilsenat des Oberlandesgerichts Oldenburg in zweiter Instanz zu entscheiden hatte.
Geklagt hatte ein Ehepaar aus dem Ammerland, von dessen Konto ein mittlerer fünfstelliger Betrag verschwunden war. Diesen Betrag verlangten die Klägerin und der Kläger von der kontoführenden Bank mit der Begründung zurück, dass die entsprechenden Zahlungsvorgänge von ihnen nicht autorisiert worden seien. Bei nicht autorisierten Zahlungsvorgängen sieht § 675u Satz 2 BGB grundsätzlich eine Erstattungspflicht des Zahlungsdienstleisters – hier also der Bank – vor.
Passiert war nach den gerichtlichen Feststellungen Folgendes: Die Ehefrau, die spätere Klägerin, hatte eines Tages im Jahr 2021 eine E-Mail erhalten, die scheinbar von dem Bankinstitut stammte, bei dem die Eheleute ihr gemeinsames Konto hatten. In dieser E-Mail wurde sie aufgefordert, binnen zwei Tagen ihre PushTAN-Registrierung zu aktualisieren, da anderenfalls eine Neuregistrierung erforderlich sein würde. Die Klägerin klickte auf den in der E-Mail angegebenen Link, der sie zu einer – wie sich später herausstellte – gefälschten Website führte. Dort gab sie zumindest ihr Geburtsdatum und die Nummer ihrer EC-Karte ein. Im Anschluss erhielt sie per SMS einen Registrierungslink für die Neuregistrierung zum PushTAN-Verfahren auf ihr Mobiltelefon. Am nächsten Tag bemerkte die Klägerin, dass durch zwei Echtzeit-Überweisungen insgesamt knapp 41.000 Euro von ihrem Gemeinschaftskonto auf ein Konto in Estland transferiert worden waren.
Das in erster Instanz zuständige Landgericht Oldenburg wies die Zahlungsklage der Eheleute gegen die Bank im Jahr 2023 ab. Zwar war das Landgericht davon überzeugt, dass die Eheleute die Zahlungsvorgänge in der Tat nicht autorisiert hatten; vielmehr seien die Überweisungen und auch die im Vorfeld erfolgte Erhöhung des Tageslimits durch unbekannte Täter ohne Wissen und Wollen der Kläger ausgelöst worden. Allerdings bestehe im Ergebnis dennoch kein Anspruch der Eheleute auf Erstattung der Zahlungsbeträge gemäß § 675u Satz 2 BGB gegen die Bank, weil diese den Eheleuten wiederum einen Schadensersatzanspruch entgegenhalten könne; denn die Ehefrau habe grob fahrlässig im Sinne von § 675v Abs. 3 Nr. 2 BGB gehandelt, was sich der Ehemann gemäß § 278 BGB zurechnen lassen müsse. Nach der durchgeführten Beweisaufnahme sei, so das Landgericht, nämlich davon auszugehen, dass die Klägerin auf der gefälschten Website nicht nur ihr Geburtsdatum und ihre EC-Karten-Nummer, sondern auch ihren Anmeldenamen und ihre PIN eingegeben habe. Laut dem gerichtlich bestellten Sachverständigen sei es weder technisch möglich noch plausibel, dass die unbekannten Täter ohne diese Angaben die Überweisungen hätten vornehmen können. Damit aber habe die Klägerin die Sorgfaltspflichten aus dem Vertrag mit der Bank grob verletzt, nach denen sie die zur Authentifizierung bereitgestellten personalisierten Merkmale vor unbefugtem Zugriff zu schützen hatte.
Auf die Berufung der Eheleute hat der 8. Zivilsenat des Oberlandesgerichts die Entscheidung des Landgerichts bestätigt. Die Klägerin hatte in ihren Anhörungen vor dem Oberlandesgericht wiederum nicht zu 100 Prozent ausschließen können, dass sie neben ihrem Geburtsdatum und ihrer EC-Karten-Nummer noch weitere Daten auf der gefälschten Website eingegeben hatte. Auch aufgrund der Ausführungen des in zweiter Instanz erneut angehörten Sachverständigen erachtete das Oberlandesgericht die Folgerung des Landgerichts, die Klägerin habe auf der gefälschten Website auch ihren Anmeldenamen und ihre PIN eingegeben, als in jeder Hinsicht plausibel. Der Senat stellte darüber hinaus eine weitere Sorgfaltspflichtverletzung der Ehefrau fest, weil diese nach dem Ergebnis der ergänzenden Beweisaufnahme auch den ihr per SMS zugeschickten Registrierungs-Link beziehungsweise den entsprechenden Registrierungs-Code für die Neuregistrierung zum PushTAN-Verfahren entweder weitergeleitet oder auf sonstige Weise an die Täter weitergegeben hatte. Zumindest dies sei als grob fahrlässig zu bewerten. Darüber hinaus hätten sich der Klägerin aus mehreren Gründen Zweifel an der Seriosität der E-Mail aufdrängen müssen; unter anderem wurden die Kläger hierin nicht namentlich adressiert, sondern mit „Sehr geehrter Kunde“ angesprochen. Außerdem enthielt die E-Mail mehrere Rechtschreibfehler. Schließlich müsse sich die Bank auch kein Mitverschulden zurechnen lassen; insbesondere sei es zum damaligen Zeitpunkt nicht geboten gewesen, in die Registrierungs-SMS einen – inzwischen von der Beklagten verwendeten – Warnhinweis aufzunehmen, wonach die SMS nicht an dritte Personen weitergeleitet werden darf.
Mithin erhalten die Kläger ihre verlorenen Gelder nicht von ihrer Bank zurück.
Die Entscheidung des Oberlandesgerichts ist rechtskräftig.
Oberlandesgericht Oldenburg, 24.04.2025 – 8 U 103/23