(Kiel) Vorsicht vor sogenannten Phishing E-Mails! Dies hat wiederum ein Fall gezeigt, den das Oberlandesgericht (OLG) Oldenburg soeben in zweiter Instanz zu entscheiden hatte.
Geklagt hatte ein Ehepaar aus dem Ammerland, von dessen Konto ein mittlerer fünfstelliger Betrag verschwunden war. Diesen Betrag verlangten die Klägerin und der Kläger von der kontoführenden Bank mit der Begründung zurück, dass die entsprechenden Zahlungsvorgänge von ihnen nicht autorisiert worden seien. Bei nicht autorisierten Zahlungsvorgängen sieht § 675u Satz 2 BGB grundsätzlich eine Erstattungspflicht des Zahlungsdienstleisters – hier also der Bank – vor.
Passiert war nach den gerichtlichen Feststellungen Folgendes: Die Ehefrau, die spätere Klägerin, hatte eines Tages im Jahr 2021 eine E-Mail erhalten, die scheinbar von dem Bankinstitut stammte, bei dem die Eheleute ihr gemeinsames Konto hatten. In dieser E-Mail wurde sie aufgefordert, binnen zwei Tagen ihre PushTAN-Registrierung zu aktualisieren, da anderenfalls eine Neuregistrierung erforderlich sein würde. Die Klägerin klickte auf den in der E-Mail angegebenen Link, der sie zu einer – wie sich später herausstellte – gefälschten Website führte. Dort gab sie zumindest ihr Geburtsdatum und die Nummer ihrer EC-Karte ein. Im Anschluss erhielt sie per SMS einen Registrierungslink für die Neuregistrierung zum PushTAN-Verfahren auf ihr Mobiltelefon. Am nächsten Tag bemerkte die Klägerin, dass durch zwei Echtzeit-Überweisungen insgesamt knapp 41.000 Euro von ihrem Gemeinschaftskonto auf ein Konto in Estland transferiert worden waren.
Das in erster Instanz zuständige Landgericht Oldenburg wies die Zahlungsklage der Eheleute gegen die Bank im Jahr 2023 ab. Zwar war das Landgericht davon überzeugt, dass die Eheleute die Zahlungsvorgänge in der Tat nicht autorisiert hatten; vielmehr seien die Überweisungen und auch die im Vorfeld erfolgte Erhöhung des Tageslimits durch unbekannte Täter ohne Wissen und Wollen der Kläger ausgelöst worden. Allerdings bestehe im Ergebnis dennoch kein Anspruch der Eheleute auf Erstattung der Zahlungsbeträge gemäß § 675u Satz 2 BGB gegen die Bank, weil diese den Eheleuten wiederum einen Schadensersatzanspruch entgegenhalten könne; denn die Ehefrau habe grob fahrlässig im Sinne von § 675v Abs. 3 Nr. 2 BGB gehandelt, was sich der Ehemann gemäß § 278 BGB zurechnen lassen müsse. Nach der durchgeführten Beweisaufnahme sei, so das Landgericht, nämlich davon auszugehen, dass die Klägerin auf der gefälschten Website nicht nur ihr Geburtsdatum und ihre EC-Karten-Nummer, sondern auch ihren Anmeldenamen und ihre PIN eingegeben habe. Laut dem gerichtlich bestellten Sachverständigen sei es weder technisch möglich noch plausibel, dass die unbekannten Täter ohne diese Angaben die Überweisungen hätten vornehmen können. Damit aber habe die Klägerin die Sorgfaltspflichten aus dem Vertrag mit der Bank grob verletzt, nach denen sie die zur Authentifizierung bereitgestellten personalisierten Merkmale vor unbefugtem Zugriff zu schützen hatte.
Auf die Berufung der Eheleute hat das OLG Oldenburg die Entscheidung des Landgerichts bestätigt, so der Kieler Rechtsanwalt und Fachanwalt für Arbeitsrecht Jens Klarmann von der DASV Deutsche Anwalts- und Steuerberatervereinigung für die mittelständische Wirtschaft e. V. in Kiel unter Hinweis auf die Mitteilung des Gerichts vom 8.08.2025 zu seinem Urteil vom 24.04.2025 – 8 U 103/23.
Die Klägerin hatte in ihren Anhörungen vor dem Oberlandesgericht wiederum nicht zu 100 Prozent ausschließen können, dass sie neben ihrem Geburtsdatum und ihrer EC-Karten-Nummer noch weitere Daten auf der gefälschten Website eingegeben hatte. Auch aufgrund der Ausführungen des in zweiter Instanz erneut angehörten Sachverständigen erachtete das Oberlandesgericht die Folgerung des Landgerichts, die Klägerin habe auf der gefälschten Website auch ihren Anmeldenamen und ihre PIN eingegeben, als in jeder Hinsicht plausibel. Der Senat stellte darüber hinaus eine weitere Sorgfaltspflichtverletzung der Ehefrau fest, weil diese nach dem Ergebnis der ergänzenden Beweisaufnahme auch den ihr per SMS zugeschickten Registrierungs-Link beziehungsweise den entsprechenden Registrierungs-Code für die Neuregistrierung zum PushTAN-Verfahren entweder weitergeleitet oder auf sonstige Weise an die Täter weitergegeben hatte. Zumindest dies sei als grob fahrlässig zu bewerten. Darüber hinaus hätten sich der Klägerin aus mehreren Gründen Zweifel an der Seriosität der E-Mail aufdrängen müssen; unter anderem wurden die Kläger hierin nicht namentlich adressiert, sondern mit „Sehr geehrter Kunde“ angesprochen. Außerdem enthielt die E-Mail mehrere Rechtschreibfehler. Schließlich müsse sich die Bank auch kein Mitverschulden zurechnen lassen; insbesondere sei es zum damaligen Zeitpunkt nicht geboten gewesen, in die Registrierungs-SMS einen – inzwischen von der Beklagten verwendeten – Warnhinweis aufzunehmen, wonach die SMS nicht an dritte Personen weitergeleitet werden darf.
Mithin erhalten die Kläger ihre verlorenen Gelder nicht von ihrer Bank zurück.
Die Entscheidung des Oberlandesgerichts ist rechtskräftig.
Klarmann empfahl, dies zu beachten und bei Fragen auf jeden Fall Rechtsrat einzuholen, wobei er in diesem Zusammenhang u. a. auch auf die DASV Deutsche Anwalts- und Steuerberatervereinigung für die mittelständische Wirtschaft e. V. – www.mittelstands-anwaelte.de – verwies.
Für Rückfragen steht Ihnen zur Verfügung:
Jens Klarmann
Rechtsanwalt
Fachanwalt für Arbeitsrecht
c/o KPG Klarmann & Passau GmbH
Rechtsberatung und Steuerberatung
Eckernförder Str. 315
24119 Kronshagen/Kiel
Telefon: 0431-97991613
Telefax: 0431-97991617
Email: info@mittelstands-anwaelte.de