Passiert war Folgendes: Eine Ehefrau hatte eine E-Mail erhalten, die scheinbar von dem Bankinstitut stammte, bei dem die Eheleute ihr gemeinsames Konto hatten. In dieser wurde sie aufgefordert, binnen zwei Tagen ihre PushTAN-Registrierung zu aktualisieren, da anderenfalls eine Neuregistrierung erforderlich sein würde. Die Frau klickte auf den in der E-Mail angegebenen Link, der sie zu einer – wie sich später herausstellte – gefälschten Website führte. Dort gab sie ihr Geburtsdatum, die Nummer ihrer EC-Karte, ihren Anmeldenamen und ihre PIN ein. Im Anschluss erhielt sie per SMS einen Registrierungslink für die Neuregistrierung zum PushTAN-Verfahren auf ihr Mobiltelefon. Am nächsten Tag bemerkte die Frau, dass durch zwei Echtzeit-Überweisungen insgesamt knapp 41.000 Euro von ihrem Gemeinschaftskonto auf ein Konto in Estland transferiert worden waren. Die Eheleute wollten natürlich ihr Geld wieder haben, und zwar von Bank. Sie argumentierten, sie hätten diesen Zahlungsauftrag nicht autorisiert, so dass die Bank hafte. Das Landgericht Oldenburg wies die Zahlungsklage der Eheleute gegen die Bank jedoch ab. Zwar hatten die Eheleute die Zahlungsvorgänge tatsächlich nicht autorisiert, denn diese waren rein tatsächlich durch unbekannte Täter ohne Wissen und Wollen der Eheleute ausgelöst worden. Allerdings konnte die Bank im vorliegenden Fall den Eheleuten wiederum einen Schadensersatzanspruch entgegenhalten. Die Ehefrau habe grob fahrlässig im Sinne von § 675v Abs. 3 Nr. 2 BGB gehandelt, was sich der Ehemann gemäß § 278 BGB zurechnen lassen müsse. Durch die Angabe der Daten habe die Ehefrau die Sorgfaltspflichten aus dem Vertrag mit der Bank grob verletzt, nach denen sie die zur Authentifizierung bereitgestellten personalisierten Merkmale vor unbefugtem Zugriff zu schützen hatte. Diese Entscheidung hat das OLG Oldenburg in der Berufungsinstanz bestätigt (Urteil vom 24.04.2025 – Az.: 8 U 103/23). Das OLG Oldenburg stellte darüber hinaus klar, dass sich der Ehefrau schon aus mehreren Gründen Zweifel an der Seriosität der E-Mail hätten aufdrängen müssen; unter anderem wurden die Kläger hierin nicht namentlich adressiert, sondern mit „Sehr geehrter Kunde“ angesprochen. Außerdem enthielt die E-Mail mehrere Rechtschreibfehler. Es kann daher nur jedem empfohlen werden, sich in diese Richtung hinreichend zu sensibilisieren und im Zweifel lieber vorher bei der Bank anzurufen.
Norman Sgumin
Rechtsanwalt
Fachanwalt für Strafrecht
Hilbert Kampf Sgumin Rechtsanwälte Partnerschaft