Online-Banking & Phishing: Wann die Bank nicht haftet

Das Oberlandesgericht Oldenburg (Urteil vom 24.04.2025, Az. 8 U 103/23) hat entschieden: Wer beim Online-Banking auf eine gefälschte E-Mail hereinfällt und vertrauliche Daten preisgibt, handelt unter Umständen grob fahrlässig – und kann dann kein Geld von seiner Bank zurückverlangen.

Der Fall

Ein Ehepaar verlor rund 41.000 €, nachdem Betrüger über eine gefälschte E-Mail („Phishing“) an Zugangsdaten gelangten. Die Ehefrau erhielt eine Nachricht, die angeblich von der Bank stammte, mit der Aufforderung, die pushTAN-Registrierung zu aktualisieren.
- Sie klickte auf den Link in der E-Mail.
- Gab persönliche Daten wie EC-Karten-Nummer, Geburtsdatum und vermutlich auch Anmeldename und PIN ein.
- Leitet anschließend den per SMS erhaltenen pushTAN-Registrierungslink an die Täter weiter.

Kurz darauf führten die Betrüger zwei Echtzeit-Überweisungen auf ein Konto in Estland aus.

Gerichtliche Entscheidung

Sowohl das Landgericht als auch das OLG Oldenburg wiesen die Klage gegen die Bank ab:
- Grobe Fahrlässigkeit durch Eingabe sensibler Daten auf einer gefälschten Website.
- Weitergabe des SMS-Registrierungslinks an Unbefugte.
- Offensichtliche Warnsignale in der E-Mail (keine persönliche Anrede, Rechtschreibfehler, ungewöhnliche Aufforderungen).

Die Bank musste den Schaden nicht ersetzen (§ 675v BGB). Ein Mitverschulden der Bank verneinten die Richter.

Praxistipps für sicheres Online-Banking

- Keine sensiblen Daten über Links in E-Mails eingeben.
- pushTAN- oder SMS-Codes niemals weitergeben.
- Auf Warnsignale wie unpersönliche Anrede oder Rechtschreibfehler achten.
- Im Zweifel direkt bei der Bank nachfragen.

Hinweis: Dieses Urteil ist rechtskräftig.