Haftungsfragen der Bank beim Phishing: Entscheidungsgründe und Auswirkungen des OLG Frankfurt am Main
Das Oberlandesgericht (OLG) Frankfurt am Main hatte jüngst einen Fall zu bewerten, der angesichts zunehmender digitaler Angriffe auf Bankkunden weitreichende Bedeutung für die Praxis des Zahlungsdiensterechts entfalten dürfte (Urteil vom 19.02.2024, Az. 3 U 323/22). Es ging um die Frage, ob ein Kreditinstitut verpflichtet ist, einem Kunden einen Geldbetrag zu erstatten, der infolge eines sogenannten Phishing-Angriffs von dessen Konto überwiesen wurde – und der Kunde dabei auf Schadsoftware hereingefallen war. Nach eingehender rechtlicher Prüfung entschied das OLG, dass eine Haftung der Bank hier nicht besteht, wenn dem Bankkunden grobe Fahrlässigkeit anzulasten ist.
Ausgangslage und Sachverhalt
Im Zentrum des Verfahrens stand eine Überweisung, die ein Bankkunde nach dem Erhalt einer täuschend echt wirkenden E-Mail autorisiert hatte. Diese führte ihn auf eine gefälschte Website, über welche er sensible Authentifizierungsdaten preisgab. In der Folge wurde ein hoher Geldbetrag ohne tatsächliche Berechtigung auf ein ausländisches Konto transferiert.
Der Kontoinhaber machte im Nachgang geltend, die Bank habe das Entgelt unrechtmäßig von seinem Konto abgebucht, ohne dass eine wirksame Zahlungsfreigabe vorgelegen habe. Im Sinne der §§ 675u, 675y BGB forderte er die Rückerstattung des vollständigen Überweisungsbetrags.
Maßstab der groben Fahrlässigkeit
Das OLG Frankfurt am Main überprüfte zunächst, ob vertragliche oder gesetzliche Anspruchsgrundlagen bestehen. Im Mittelpunkt stand die Frage der Autorisierung nach § 675j BGB. Bei eindeutig durch den Kontoinhaber ausgelösten Zahlungen ist für eine Rückerstattung entscheidend, ob eine grobe Fahrlässigkeit bei der Geheimhaltung der Authentifizierungsmerkmale vorliegt (§ 675v Abs. 3 Nr. 2 BGB).
Fehlender Ersatzanspruch bei grob fahrlässigem Verhalten
Das Gericht stellte in seinem Urteil klar, dass der Bankkunde für die erlittenen Verluste einzustehen habe, wenn sein Verhalten als grob fahrlässig anzusehen ist. Dafür genügt bereits ein Verstoß gegen grundlegende Sorgfaltspflichten im Umgang mit den Authentifizierungsinstrumenten. Dazu zählt unter anderem, dem Zahlenden nicht vorwerfbar sensible Sicherheitsdaten weiterzugeben.
Im verhandelten Fall hätte der Kläger die an ihn persönlich adressierten Warnhinweise der Bank gegen Phishing-Angriffe beachten und verdächtige Links oder Webseiten kritisch prüfen müssen. Das Ignorieren solcher Warnungen und die unreflektierte Preisgabe von TAN-Nummern und Passwörtern trotz eindringlicher Hinweise der Bank sei nicht mehr als bloße Fahrlässigkeit, sondern als grob fahrlässig zu bewerten.
Keine Einstandspflicht der Bank
Nach Auffassung des Senats besteht keine Einstandspflicht des Zahlungsdienstleisters, wenn der Schaden aus der Verletzung von Schutz- und Sorgfaltspflichten resultiert. Die Pflicht der Bank, Fehlüberweisungen zu erstatten, endet, wenn der Kunde seine Authentifizierungsmerkmale unzureichend geschützt oder gar an Dritte weitergegeben hat.
Bedeutung für Bankkunden und Kreditinstitute
Praktische Auswirkungen für Zahlungsdienstnutzer
Werden Sicherheitshinweise der Bank missachtet und führt dies zum erfolgreichen Phishing, trägt nach der Entscheidung des OLG Frankfurt am Main grundsätzlich der Kunde das Risiko. Der rechtliche Rahmen des § 675v BGB schützt zwar die Verbraucherrechte, versagt aber im Falle grob fahrlässigen Handelns.
Anforderungen an Sicherheitsbewusstsein
Die Entscheidung zeigt eindeutig, dass Banken ihren Informationspflichten nachkommen und in regelmäßigem Abstand vor Täuschungsmanövern und Risiken warnen müssen. Überdies wird von Bankkunden erwartet, Sicherheitshinweise sowie technische Anforderungen gewissenhaft zu erfüllen. Wer trotz wiederholter Warnungen Authentifizierungsdaten preisgibt, setzt seinen Anspruch auf Erstattung aufs Spiel.
Rechtspolitische und strategische Einordnung
Bedeutung für die Präventionsarbeit der Banken
Für Kreditinstitute ergibt sich eine Stärkung der eigenen Rechtsposition – sofern umfassende und transparente Warnmechanismen etabliert sind und den Nachweis grob fahrlässigen Verhaltens führen können. Das Urteil unterstreicht den Grundsatz, dass eine adäquate Kundenaufklärung zur Abwehr von Zahlungsbetrug unerlässlich ist.
Entwicklung der Rechtsprechung
Das Urteil fügt sich in eine zunehmende Anzahl von Entscheidungen, bei denen die Gerichte Kriterien für die grobe Fahrlässigkeit nach § 675v BGB weiter konkretisieren. Die Einzelfallprüfung bleibt jedoch maßgeblich, da jedes Phishing-Szenario eigene Merkmale aufweist, die bei der rechtlichen Bewertung zu berücksichtigen sind.
Beweispflichten und Darlegungslast
Das Oberlandesgericht betonte, dass die Bank im Streitfall die darlegungspflichtige Partei ist, uneingeschränkte Kenntnisse über sicherheitsrelevante Hinweise zu gewähren und die Maßnahmen zur Prävention nachzuweisen. Im Gegenzug muss der Kunde im Prozess erläutern, inwieweit die Empfehlungen der Bank tatsächlich befolgt wurden.
Fazit
Im Ergebnis hat das OLG Frankfurt am Main mit seiner Entscheidung neue Akzente für die Haftungsverteilung bei Phishing-Angriffen gesetzt. Kunden von Banken sind gehalten, den Schutz ihrer Authentifizierungsdaten ernst zu nehmen und die von Kreditinstituten ausgesprochenen Warnhinweise zu befolgen. Nur so kann im Ernstfall eine Haftung der Bank in Betracht gezogen werden. Die Entscheidung stärkt die Position der Zahlungsdienstleister, sofern grob fahrlässiges Verhalten des Bankkunden nachgewiesen werden kann.
Bankkunden, Unternehmen sowie Zahlungsdienstleister stehen nach wie vor vor komplexen rechtlichen Herausforderungen im Zusammenhang mit digitalen Finanztransaktionen. Gerade im Spannungsfeld zwischen technischen Sicherheitsanforderungen und den Pflichten zur Schadensprävention lassen sich zahlreiche Detailfragen nur im Einzelfall beantworten. Bei finanz- und bankrechtlichen Fragestellungen zu Haftungsrisiken und Zahlungsdienstleistungen stehen die Rechtsanwälte bei MTR Legal als Ansprechpartner zur Verfügung.
