Ein Ehepaar verliert 41.000 Euro durch einen Phishing-Betrug – und die kontoführende Bank zuckt mit den Schultern. Das Oberlandesgericht Oldenburg segnet dies in einem aktuellen Urteil ab.

Eine Frau wollte ihre PushTAN-Registrierung erneuern. Dazu hatte sie ein Anrufer gebracht, angeblich von der Bank. Das Telefon zeigte eine täuschend echte Nummer an, dank Call-ID-Spoofing. Der Anruf brachte die Frau dazu, einen angeblichen „Sicherheitsvorgang“ in der Banking-App freizugeben. Ergebnis: Das Geld war weg, überwiesen an Betrüger. Das Ehepaar forderte Rückerstattung gemäß § 675u BGB, der Zahlungsdienstleister an sich zur Erstattung unbefugter Abbuchungen verpflichtet.

Das Landgericht Osnabrück gab den Kunden recht, doch das Oberlandesgericht Oldenburg machte die Entscheidung rückgängig. Wer einem angeblichen Bankmitarbeiter blind vertraut und eine TAN freigibt, ohne misstrauisch zu werden, handele grob fahrlässig. Die Haftung der Bank ist nämlich gesetzlich ausgeschlossen, wenn der Kunde den Schaden durch grob fahrlässig mitverursacht. Aber gegen Fahrlässigkeit sprachen eigentlich folgende Umstände: Die Anrufer hatten die Telefonnummer der Bank vorgetäuscht, der Freigabeauftrag in der App war vage formuliert. Das spielt laut dem Gericht keine Rolle. In Zeiten allgegenwärtiger Phishing-Warnungen hätte die Kundin stutzig werden müssen. Die allgemeine Bekanntheit von Phishing-Angriffen erfordere besonders große Vorsicht.

Aktenzeichen 8 U 103/23