Oberlandesgericht verneint Haftung der Bank nach Phishing-Angriff auf Bankkunden

Die Internet Kriminalität durch so genannte Phishing-Angriffe ist allgegenwärtig. Bei Phishing bauen kriminelle Webseite seriöser Unternehmen nach, um damit Daten des gutgläubigen Opfers abzugreifen. Weit verbreitet ist insbesondere das Phishing bei Online-Banking. Hierbei bauen kriminelle die Webseiten von Banken nach oder verschicken E-Mails in denen der Kunde aufgefordert wird, Daten des eigenen Online-Bankings freizugeben, wobei es sich hierbei tatsächlich um die Sammlung von Daten durch Kriminelle handelt, mit dem Ziel, sich in Bankkonten einzuloggen und unautorisierten Überweisungen vorzunehmen.

Das Oberlandesgericht Frankfurt hat nun mit Urteil vom 06.12.2023, Az. 3 U 3/23 entschieden, dass die Preisgabe der Zugangsdaten für das Online-Banking an Dritte ein grob fahrlässiges Verhalten des Kunden darstellen kann und damit dann kein Schadensersatzanspruch des Kunden gegen die Bank besteht, wenn kriminelle unautorisierten Überweisungen durchführen.

Im vorliegenden Fall wurde der Bankkunde durch eine SMS kontaktiert, nachdem der Zugang zu seinem Online-Banking angeblich eingeschränkt werden sollte. Der Bankkunde wurde aufgefordert, einen Link zur Freischaltung aufzurufen, dem kam er nach. Der Kunde gab auch seine Telefonnummer an, hiernach wurde er von anderen vermeintlichen Bankmitarbeiter zurückgerufen. Bei der SMS und dem angeblichen Bankmitarbeiter handelte es sich jedoch um Kriminelle. Als der Bankkunde gutgläubig dem vermeintlichen Mitarbeiter der Bank eine TAN-Nummer mitteilte, veranlasste dieser eine hohe Überweisung von dem Bankkonto des Kunden und Tatopfers. Der Kunde erhob dann Klage gegen die Bank, da er die Bank in der Pflicht sah, den abgeflossenen Betrag zu ersetzen.

Jene Klage wurde jedoch abgewiesen, das Gericht urteilte, dass der Kunde grob fahrlässig gehandelt hat und damit keinen Ersatzanspruch gegen seine Bank geltend machen könne.

Das Gericht führte hierbei insbesondere aus, dass die Freigabe bzw. Übermittlung der TAN-Nummer per Telefon eine grobe Pflichtverletzung des Kunden darstellte und dass der Kunde spätestens an diesem Punkt hätte misstrauisch werden müssen. Die Bank haftet daher nicht für den Phishing-Angriff.

Der vorliegende Fall zeigt, dass die Gefahr von Angriffen Kriminelle über das Internet allgegenwärtig ist. Daher sollten keine sensiblen Daten wie Zugangsdaten, Passwörter oder TAN-Nummern über unbekannte Kanäle weitergegeben werden, sollte es sich hierbei um Kriminelle handeln, so kann ein erheblicher Schaden entstehen.

Sollten Dritte versucht haben, Zugriff auf die eigenen Daten zu erhalten oder ein solcher Schaden bereits entstanden sein, empfiehlt sich eine anwaltliche Beratung um die verschiedenen zivil- und strafrechtlichen Möglichkeiten zu prüfen.

Autor: Markus Reichel, Rechtsanwalt, Fachanwalt für Miet- und Wohnungseigentumsrecht, Kanzlei77 – Kanzlei Dr. Braun GmbH, Spitalstr. 2a, 77652 Offenburg