Ein Sparkassenkunde verliert fast 50.000 Euro durch eine täuschend echte E-Mail und einen angeblichen Bankanruf. Das Oberlandesgericht Dresden entschied: Auch wenn der Kunde grob fahrlässig handelte, muss die Bank mithaften – weil ihre eigenen Sicherheitsmaßnahmen nicht ausreichten.
Das Oberlandesgericht (OLG) Dresden hat am 05.05.2025 (Az. 8 U 1482/24) in einem aufsehenerregenden Urteil entschieden, dass eine Sparkasse ihrem Kunden nach einem Phishing-Angriff einen Teil des entstandenen Schadens ersetzen muss – obwohl dem Kunden grobe Fahrlässigkeit zur Last gelegt wurde.
Der Fall: Betrug durch Phishing-Mail und Fake-Anruf
Der Kläger führte ein Girokonto bei der beklagten Sparkasse und nutzte das S-pushTAN-Verfahren für sein Online-Banking. Im Februar 2022 erhielt er eine täuschend echt gestaltete E-Mail, angeblich vom „Sparkasse Kundenservice“. Darin wurde er aufgefordert, sein Online-Banking zu aktualisieren. Über einen Link gelangte er auf eine gefälschte Website, gab dort seine Zugangsdaten ein und erhielt anschließend Anrufe von einer vermeintlichen Sparkassenmitarbeiterin. Eine typische Masche beim Konto-Phishing.
Während dieser Telefongespräche wurde er gebeten, mehrere „Aufträge“ in seiner pushTAN-App freizugeben – angeblich für technische Updates. Tatsächlich handelte es sich um Erhöhungen des Überweisungslimits und um zwei Echtzeitüberweisungen an eine unbekannte Dritte in Höhe von insgesamt 49.421,44 €.
Schaffen Sie sich Klarheit über Ihre rechtliche Situation – kostenlos und unverbindlich
In einer kostenfreien Ersteinschätzung analysieren wir gemeinsam Ihre rechtliche Lage und klären transparent weitere Schritte. Wir besprechen eventuelle Kosten frühzeitig mit Ihnen und warten auf Ihre Zustimmung, bevor wir für Sie tätig werden. Mit CDR Legal können Sie sicher sein, persönlich und kompetent vertreten zu werden.
Ihre Vorteile bei CDR Legal
Individuelle, kostenlose Ersteinschätzung innerhalb von zwei Werktagen
Volle Kostentransparenz vor jeder Leistung
Ausschließliche Annahme von Fällen mit realistischen Erfolgschancen
Anwälte mit langjähriger Erfahrung und juristischer Präzision
Der Kunde bestritt, die Zahlungen autorisiert zu haben. Die Sparkasse argumentierte, er habe grob fahrlässig gehandelt, indem er den Link in der Phishing-Mail anklickte, seine Daten eingab und Freigaben erteilte, ohne die Inhalte zu prüfen. Zudem habe sie vor solchen Betrugsmaschen gewarnt. Somit hätte der Kunde den Schaden zu tragen.
Der Kunde warf der Bank dagegen vor, keine starke Kundenauthentifizierung beim Login verlangt zu haben und so den Angriff erst ermöglicht zu haben. Außerdem sei das S-pushTAN-Verfahren nicht ausreichend sicher. Auch wir berichteten bereits über die Gefahren der pushTAN als Sicherheitsprotokoll.
Entscheidung des OLG Dresden
Das OLG stellte schließlich fest:
Keine Autorisierung: Der Kläger hatte den Zahlungen nicht bewusst zugestimmt. Daher besteht grundsätzlich ein Erstattungsanspruch (§ 675u BGB). Allein dies ist eine Abweichung zu vielen anderen Gerichten. Diese gehen von einer Autorisierung aus, wenn dem Kunden die Überweisung angezeigt wird, er dies aber irrtümlich nicht erkennt.
Mitverschulden des Kunden: Der Kläger verstieß grob fahrlässig gegen seine Sorgfaltspflichten (§ 675l BGB), indem er sensible Daten auf einer Phishing-Seite eingab und Aufträge „auf Zuruf“ bestätigte.
Mitverschulden der Bank: Auch die Sparkasse traf eine Mitschuld (§ 254 BGB), insbesondere wegen der Ausgestaltung des Online-Banking-Logins ohne verpflichtende starke Kundenauthentifizierung. Dadurch wird es den Betrügern besonders leicht gemacht, Information aus dem Konto zu nutzen, um beim Bankkunden Vertrauen zu schaffen.
Das Ergebnis: Die Bank musste 20 % des Schadens selbst tragen. Der Kunde erhielt deshalb 9.884,29 € sowie anteilige Anwaltskosten erstattet.
Warum dieses Urteil wichtig ist: Bedeutung für Bankkunden
Dieses Urteil verdeutlicht:
Sorgfaltspflichten ernst nehmen: Kunden sollten bei verdächtigen E-Mails, Anrufen oder Freigabeaufforderungen äußerst wachsam sein.
Technische Schutzmaßnahmen der Bank: Kreditinstitute müssen gesetzliche Sicherheitsstandards wie die starke Kundenauthentifizierung umsetzen – auch beim Login. Bei vielen Banken ist dies bereits Standard, aber eben noch nicht bei allen.
Teilhaftung möglich: Selbst bei grober Fahrlässigkeit des Kunden kann die Bank mithaften, wenn eigene Sicherheitsmängel vorliegen.
Ob sich andere Gerichte diesem Urteil des OLG Dresden anschließen, wird die Zukunft zeigen. Für Sie als Bankkunde ist es dennoch äußerst wichtig, keine Links in unerwarteten E-Mails anzuklicken. Rufen Sie das Online-Banking stets und ausschließlich über die offizielle Website oder App auf. Erteilen Sie niemals Freigaben, ohne den Inhalt sorgfältig zu prüfen. Beachten Sie die Sicherheitshinweise der Bank und halten Sie Ihre Geräte auf dem aktuellen Stand.
Sind Sie bereits Opfer eines Online Banking Betrugs geworden, wenden Sie sich an einen erfahrenen Anwalt, um Ihre Schadensersatzansprüche überprüfen zu lassen. Die Anwaltskanzlei CDR Legal steht Ihnen dabei bereits in einem kostenlosen Erstgespräch zur Seite.
RA Corinna D. Ruppel (LL.M.) berät und begleitet Sie im Bankrecht, im Erbrecht und im Kapitalmarktrecht. Rechtsanwältin Ruppel ist Spezialistin im Prüfen, Durchsetzen und Abwehren von Forderungen. Seit 2013 ist Frau Ruppel Inhaberin der Kanzlei CDR Legal und hat bereits über 9.000 Erstberatungen erteilt und mehr als 2.000 Mandanten vertreten.
Erstkontakt zu CDR Legal
Füllen Sie ganz einfach das folgende Kontaktformular aus und wir melden uns zeitnah bei Ihnen für ein kostenloses Erstgespräch.
