Eine einzige vermeintliche Service-E-Mail, ein Klick auf einen Link, ein scheinbar harmloser Registrierungsablauf – und am nächsten Morgen fehlen 41.000 Euro auf dem Gemeinschaftskonto. Das Oberlandesgericht Oldenburg hat in seinem Urteil vom 24. April 2025 (Az. 8 U 103/23) entschieden, dass die Bank nicht zur Rückerstattung verpflichtet ist, weil die Kontoinhaberin grob fahrlässig gehandelt habe. Dieser Fall ist kein Einzelfall: raffinierte Phishing-Angriffe nehmen zu, und die Rechtsprechung setzt klare Grenzen für die Haftung von Zahlungsdienstleistern. In diesem Beitrag erläutern wir den zugrundeliegenden Sachverhalt, die rechtlichen Maßstäbe (§§ 675u, 675v, 278 BGB), die Begründung des Gerichts sowie die praktischen Konsequenzen für Verbraucher, Selbstständige und Unternehmen. Am Ende stehen konkrete Handlungsempfehlungen, mit denen Sie das Risiko ähnlicher Schadensfälle deutlich reduzieren können.

Der Sachverhalt: Was genau passierte?

Im hier entschiedenen Fall erhielt die spätere Klägerin – gemeinsam mit ihrem Ehemann Kontoinhaberin eines Gemeinschaftskontos – eine E-Mail, die den Anschein erweckte, von ihrer Bank zu stammen. Diese E-Mail forderte sie auf, innerhalb von zwei Tagen ihre PushTAN-Registrierung zu aktualisieren. Die Kontoinhaberin klickte auf den in der Nachricht enthaltenen Link und gelangte zu einer gefälschten Webseite. Dort gab sie nach den Feststellungen des Gerichts zumindest ihr Geburtsdatum und die Nummer ihrer EC-Karte ein. Kurz darauf erhielt sie per SMS einen Link sowie einen Registrierungs-Code für das PushTAN-Verfahren. Am folgenden Tag wurden über zwei Echtzeit-Überweisungen insgesamt knapp 41.000 Euro von dem Gemeinschaftskonto auf ein Konto in Estland überwiesen.

Die Eheleute wandten sich an ihre Bank und verlangten die Rückerstattung der unautorisierten Zahlungen nach § 675u Satz 2 BGB. In erster Instanz wies das Landgericht Oldenburg die Klage ab mit der Feststellung, dass die Ehefrau grob fahrlässig im Sinne des § 675v Abs. 3 Nr. 2 BGB gehandelt habe, so dass die Erstattungspflicht der Bank entfalle. Auf die Berufung bestätigte der 8. Zivilsenat des Oberlandesgerichts Oldenburg diese Entscheidung (OLG Oldenburg, Urt. v. 24.04.2025 – 8 U 103/23).

Rechtlicher Rahmen: Welche Normen sind relevant?

Zentral für die Prüfung war das Zahlungsdienstrecht in Verbindung mit allgemeinen zivilrechtlichen Vorschriften. § 675u Satz 2 BGB normiert die grundsätzliche Erstattungspflicht des Zahlungsdienstleisters für nicht autorisierte Zahlungen: Der Zahlungsdienstleister hat in der Regel das Guthaben wiederherzustellen. Dem gegenüber steht § 675v Abs. 3 Nr. 2 BGB, der die Erstattungspflicht ausschließt, wenn die nicht autorisierte Zahlung dem Kontoinhaber aufgrund grober Fahrlässigkeit möglich gemacht wurde. Hinzu tritt § 278 BGB, wonach Verschulden eines Erfüllungsgehilfen (oder hier: die Sorgfaltspflichtverletzung einer Vertragspartnerin) dem anderen Vertragspartner zuzurechnen ist, weshalb das Verhalten der Ehefrau der Gemeinschaftsperson zugerechnet wurde.

Die zentrale Rechtsfrage war somit, ob die Umstände des Angriffes und das Verhalten der Kontoinhaberin ein solches Maß an Fahrlässigkeit begründen, dass die Bank die Rückerstattung verweigern kann. Die Gerichte haben diese Frage anhand der Umstände beantwortet, insbesondere im Hinblick auf die eingegebenen Daten, die Hinweise in der E-Mail und den Ablauf der Registrierungs-SMS.

Wie das Gericht entschieden hat

Das Oberlandesgericht Oldenburg bestätigte das erstinstanzliche Ergebnis: Die Kontoinhaber haben keinen Erstattungsanspruch gegen die Bank. Das OLG ging davon aus, dass die Ehefrau auf der gefälschten Webseite neben dem Geburtsdatum und der EC-Kartennummer auch ihren Anmeldenamen und ihre PIN eingegeben habe. Diese Annahme stützte sich auf die Beweisaufnahme und die Ausführungen eines gerichtlich bestellten Sachverständigen. Der Sachverständige erklärte, dass es technisch weder möglich noch plausibel sei, die Überweisungen durchzuführen, ohne dass die Täter über Anmeldename und PIN verfügten. Damit lag nach Auffassung des Gerichts eine grobe Sorgfaltspflichtverletzung vor, weil die Kundin ihre personalisierten Authentifizierungsmerkmale nicht vor unbefugtem Zugriff geschützt habe.

Neben der Eingangshandlung (Eingabe der Daten auf der gefälschten Seite) stellte das OLG weitere Sorgfaltspflichtverletzungen fest: Nachdem die Frau per SMS einen Registrierungslink und -code erhalten hatte, habe sie diesen Link beziehungsweise den Code entweder weitergeleitet oder auf sonstige Weise den Tätern zugänglich gemacht. Auch dieses Verhalten bewertete der Senat als zumindest grob fahrlässig. Ferner führte das Gericht Umstände an, die bei verständiger Betrachtung Zweifel an der Seriosität der E-Mail hätten wecken müssen. Dazu zählten die unpersönliche Anrede („Sehr geehrter Kunde“) und mehrere Rechtschreibfehler in der Nachricht. In der Gesamtschau war somit für das OLG Oldenburg klar, dass die Überweisungen nur durch das grob fahrlässige Verhalten der Kontoinhaberin möglich geworden waren; die Bank musste nicht haften (OLG Oldenburg, Urt. v. 24.04.2025 – 8 U 103/23).

Die Begründung des Gerichts im Detail

Die Rechtfertigung der Entscheidung beruht auf einer mehrschichtigen Würdigung: technisch-fernständliche, verhaltensbezogene und abwägende Erwägungen. Technisch begründete Erwägungen des Sachverständigen bildeten einen wesentlichen Baustein. Das Gericht folgte seiner Auffassung, wonach die von den Tätern vorgenommenen Überweisungen und die Vornahme einer Erhöhung des Tageslimits nur mit vollem Zugang zum Online-Bankingkonto erklärbar sind, was die Kenntnis von Anmeldename und PIN voraussetze. Wenn eine Kontoinhaberin diese Daten selbst auf einer gefälschten Seite eingegeben hat, liegt ein besonders gravierender Verstoß gegen die vertraglich geschuldete Sorgfaltspflicht vor.

Hinzu kommt die Sicht des verständigen Marktteilnehmers: Angesichts der inzwischen weiten Verbreitung von Warnungen vor Phishing-Angriffen hätte die Empfängerin misstrauisch werden müssen. Die unpersönliche Anrede sowie die Rechtschreibfehler der E-Mail waren nach Ansicht des Gerichts Indizien, die zusammen betrachtet ein Misstrauen hätten begründen können. Schließlich legen die Umstände nahe, dass die SMS mit dem Registrierungslink oder -code bewusst weitergegeben wurde, was das Gericht als zusätzliche grobe Fahrlässigkeit einordnete.

Aus rechtlicher Perspektive führte dies dazu, dass die Erstattungspflicht nach § 675u Satz 2 BGB durch den Ausschlusstatbestand des § 675v Abs. 3 Nr. 2 BGB entfallen ist. Die Bank konnte sich auf die Sorgfaltspflichtverletzung berufen; ein eigenes Mitverschulden der Bank verneinte das OLG. Insbesondere hätte die Bank zu dem fraglichen Zeitpunkt keine Pflicht gehabt, in die Registrierungs-SMS einen Warnhinweis aufzunehmen, wie er später von der Beklagten verwendet wurde.

Welche Lehren zieht die Praxis aus dieser Entscheidung?

Das Urteil des OLG Oldenburg ist praxisrelevant auf mehreren Ebenen. Für Verbraucher und Unternehmen zeigt es, dass die Rechtsprechung hohe Anforderungen an das Verhalten von Kontoinhabern stellt. In Fällen, in denen personalisierte Authentifizierungsmerkmale (Anmeldename, PIN, TAN, Registrierungscodes) offensichtlich an fremde Dritte gelangen, wird regelmäßig geprüft, ob die Herausgabe durch den Kontoinhaber durch grobe Fahrlässigkeit verursacht wurde. Dabei kommt es auf das Gesamtkonzept an: Fehler in der E-Mail, unpersönliche Anrede, der konkrete Ablauf der Registrierung und das Weiterleiten von SMS-Inhalten sind relevante Umstände.

Für Unternehmen, die Zahlungssysteme anbieten oder betreiben, bedeutet das Urteil, dass Präventionsmaßnahmen auf Kundenseite unverzichtbar sind. Banken und Zahlungsdienstleister bleiben zwar grundsätzlich zur Erstattung verpflichtet, dennoch schützt die Rechtsprechung die Institute, wenn nachgewiesen wird, dass der Kunde durch grobe Nachlässigkeit die Voraussetzungen für den Betrug geschafften hat. Für Zahlungsdienstleister ergibt sich daraus ein Spannungsfeld: Sie müssen einerseits sichere Verfahren anbieten und ihre Kunden informieren; andererseits können sie nicht für jeden Fehler der Kundschaft haften, wenn dieser als grobe Fahrlässigkeit einzustufen ist.

Konsequenzen für Verbraucher: Was sollten Sie jetzt tun?

Das OLG-Urteil macht deutlich, dass aktive Vorsorge der wichtigste Schutz ist. Verbraucher sollten sich bewusst machen, welche Informationen niemals per E-Mail oder auf unbekannten Webseiten eingegeben werden dürfen. Personalisierte Zugangsdaten, PINs und TAN-Codes müssen als besonders schützenswert behandelt werden. Zweifel an der Authentizität einer Nachricht sollten sofort Anlass zu Nachfragen bei der Bank unter Verwendung der bekannten, offiziellen Kontaktwege sein – niemals über die in der verdächtigen Nachricht angegebenen Links oder Telefonnummern. Weitreichend wichtig ist auch: SMS-Codes, Registrierungs-Links und PushTAN-Nachrichten dürfen nicht an Dritte weitergeleitet oder öffentlich zugänglich gemacht werden. Wer solche Daten weitergibt, riskiert nach der vorliegenden Rechtsprechung, auf dem Schaden sitzen zu bleiben.

Weiterhin empfiehlt es sich, regelmäßig die Sicherheitsinformationen der Bank zu lesen, starke und individuelle Zugangscodes zu verwenden, Zwei-Faktor-Authentifizierung zu aktivieren und Mobilgeräte mit aktueller Software zu betreiben. Verbraucher sollten außerdem sofort nach ungewöhnlichen Kontoaktivitäten reagieren und den Vorfall dokumentieren (Screenshots, Kopien der E-Mail, Zeitpunkt des Eingebens von Daten), um die eigene Verteidigungsposition zu stärken, falls es zu einem Rechtsstreit kommt.

Konsequenzen für kleine und mittlere Unternehmen sowie Selbständige

Für KMU und Solo-Selbständige, die regelmäßig Online-Banking nutzen, gelten dieselben Grundsätze, ergänzt um betriebliche Sicherheitsmaßnahmen. Unternehmen sollten interne Richtlinien zur Nutzung von Bankzugängen definieren: Wer hat Zugang, wie werden Authentifizierungsdaten verwaltet, und welche Kommunikationswege sind für Bankkontakte vorgesehen? Es empfiehlt sich, Rollen und Verantwortlichkeiten klar zu regeln, regelmäßige Schulungen zum Thema Phishing durchzuführen und technische Schutzmaßnahmen wie Mobile Device Management, Passworthalter mit hohem Schutzstandard und Überwachungsmechanismen für Kontoaktivitäten einzusetzen. Zugleich sollten Unternehmen eine Lösung für den Fall eines Betrugsfalls parat halten, inklusive Meldewegen zu Bank und Strafverfolgungsbehörden sowie Prozessen zur internen Dokumentation.

Besonders bedeutsam ist die Kultur des Misstrauens gegenüber unaufgeforderten Kontaktaufnahmen, die Zahlungsfreigaben oder Registrierungen verlangen. In der Praxis bedeutet das: interne Rückversicherungsmechanismen einbauen (z. B. Rückfrage über verifizierte Nummern), keine Freigaben über unklare Texte in Apps und ein Protokoll, das die Herkunft und den Kontext von Freigabeaufforderungen dokumentiert.

Präventive Gestaltungsmöglichkeiten und praktische Tipps

Die Entscheidung des OLG Oldenburg zeigt, dass technische Fragen häufig mit Verhaltensregeln verknüpft sind. Eine wirksame Prävention kombiniert beides. Juristisch relevant ist, dass das grobe Versäumnis der Kundin in der Regel nicht ausreicht, um die Haftung der Bank dann vollständig zu entziehen, wenn die Bank selbst erhebliche Sicherheitsmängel aufweist oder falsche Sicherheitsinformationen verbreitet. In Fällen wie dem hier entschiedenen jedoch können Banken zur Verweigerung der Rückerstattung berechtigt sein.

Zu den konkreten Maßnahmen zählen unter anderem: immer die offizielle Website der Bank separat aufrufen statt Links anzuklicken; E-Mails auf personalisierte Ansprache prüfen; kritische Inhalte nicht über unsichere Kanäle teilen; die App-Berechtigungen auf dem eigenen Gerät kritisch prüfen; Benachrichtigungen der Bank nicht an Dritte weitergeben; im Zweifel telefonisch über die offizielle Rufnummer der Bank Rückfragen stellen; ungewöhnliche Kontoaktivitäten sofort melden; und gegebenenfalls technische Sicherungsoptionen wie Kartenlimits, Push-TAN-Sperren oder feste Zahlungsfreigaben mit dem Bankberater einrichten (sofern möglich und sinnvoll).

Was Unternehmen als Zahlungsdienstleister beachten sollten

Banken und Zahlungsdienstleister sollten nach diesem Urteil sensibel abwägen, wie sie ihre Kunden informieren und welche Warnhinweise sie in SMS oder Push-Nachrichten platzieren. Während das OLG der Bank kein Mitverschulden zuschrieb, betonte es zugleich, dass der Einbau klarer Warnhinweise in SMS inzwischen gängige Praxis geworden ist. Zahlungsdienstleister sollten sicherstellen, dass Hinweise zur Nichtweitergabe von Codes und Links konsequent verwendet werden, und ihre Kunden proaktiv über typische Manipulationsmuster informieren. Darüber hinaus sind nutzerfreundliche, aber sichere Verfahren zur Wiederherstellung oder Änderung von Registrierungen zu implementieren. Dokumentation und Nachvollziehbarkeit von Kommunikationsschritten sind im Zweifel entscheidend, um die eigene Position im Haftungsfall zu stärken.

Rechtspolitische und versicherungstechnische Aspekte

Das Urteil wirft auch grundsätzliche Fragen zur Ausgestaltung von Verbraucherrechten und der Verteilung von Risiko und Versicherungsschutz auf. Einerseits schützt § 675u BGB den Kunden vorrangig; andererseits lässt § 675v BGB Ausnahmen zu, um missbräuchliches Verhalten zu sanktionieren. In der Praxis bedeutet das, dass Versicherungen und Bankprodukte, die Schutz vor Online-Betrug bieten, an Bedeutung gewinnen. Unternehmen sollten prüfen, ob sie entsprechende Policen abschließen können, um finanzielle Risiken zu streuen. Auf politischer Ebene bleibt die Herausforderung, einen rechtlich ausgewogenen Rahmen zu erhalten, der Verbraucher schützt, ohne die Instituten durch unbegrenzte Haftungsrisiken zu überfrachten, die wiederum die Kosten für Zahlungsdienste treiben könnten.

Praxisbeispiele und häufige Fehler

Der hier dargestellte Fall ist repräsentativ für eine Reihe von Betrugsfällen: Die Täter arbeiten mit täuschend echten Nachrichten, gefälschten Webseiten, SMS-Registrierungsaufforderungen und manchmal sogar mit Call-ID-Spoofing, um legitime Telefonnummern vorzutäuschen. Häufige Fehler der Opfer sind die Eingabe personalisierter Zugangsdaten auf unbekannten Seiten, das Weiterleiten von SMS-Codes, die Nutzung unsicherer Geräte oder öffentlicher WLAN-Verbindungen beim Zugriff auf Banking-Apps und das blinde Vertrauen auf erscheinende Telefonnummern. Unternehmen und Verbraucher, die diese typischen Fehler kennen, sind in der Lage, gezielte Gegenmaßnahmen zu ergreifen.

Fazit: Die wichtigsten Erkenntnisse

Das Urteil des OLG Oldenburg (Urt. v. 24.04.2025 – 8 U 103/23) macht deutlich, dass in Fällen von Phishing die Grenze zwischen schützenswerter Unachtsamkeit und grober Fahrlässigkeit von der konkreten Umstandssituation abhängt. Wenn personalisierte Authentifizierungsdaten (wie Anmeldename, PIN oder Registrierungs-Codes) bewusst oder unbedacht an Dritte gelangen, kann dies die Erstattungspflicht der Bank nach § 675u BGB ausschließen. Verbraucher und Unternehmen müssen deshalb besonders sorgfältig mit Zugangsdaten umgehen, Warnsignale in E-Mails beachten und im Zweifel unmittelbaren Kontakt über offizielle Kanäle aufnehmen. Für Zahlungsdienstleister gilt: transparente Kommunikation, geeignete Warnhinweise und technisch robuste Prozesse sind unerlässlich. Die Entscheidung warnt eindrücklich davor, Phishing-Gefährdungen zu unterschätzen und macht deutlich, dass Prävention oft der einzige realistische Schutz ist.

Handlungsempfehlung und Call-to-Action

Wenn Sie als Verbraucher, Selbständiger oder kleines Unternehmen Ihre Online-Banking-Sicherheit verbessern möchten, beginnt der Schutz bei der richtigen Verhaltensweise und endet bei pragmatischen technischen Maßnahmen. LEGAL SMART bietet maßgeschneiderte Services für die rechtliche Absicherung und Prävention: Wir analysieren Ihre Prozesse im Umgang mit Zahlungsdaten, prüfen AGB- und Vertragsklauseln zu Zahlungsdienstleistungen und erarbeiten praktikable Sicherheits- und Kommunikationsleitlinien, die im Streitfall Dokumentations- und Verteidigungswert besitzen. Schützen Sie Ihre Finanzen proaktiv: Kontaktieren Sie LEGAL SMART für eine Erstprüfung Ihrer Zahlungsprozesse und eine gezielte Risikoanalyse. Gemeinsam reduzieren wir Ihr Haftungsrisiko und stärken Ihre Position gegenüber Dienstleistern.

Schlussfolgerung

Der Fall um die verlorenen 41.000 Euro zeigt eindrücklich, dass Phishing nicht nur technische, sondern auch rechtliche Konsequenzen nach sich zieht. Die Rechtsprechung bewertet das Verhalten der Kontoinhaberinnen und Kontoinhaber zunehmend streng und verlangt ein vernünftiges Maß an Vorsicht. Technische Sicherheitsmaßnahmen allein reichen nicht aus, wenn Nutzer personalisierte Zugangsdaten leichtfertig preisgeben oder Registrierungs-SMS weiterleiten. Prävention, klare Verhaltensregeln und dokumentierte Prozesse sind die beste Verteidigung. LEGAL SMART unterstützt Sie dabei, diese Maßnahmen rechtssicher und praxistauglich zu implementieren.