Montagsblog: Neues vom BGH

| 15. August 2025

Diese Woche geht es um die Sorgfaltspflichten eines Bankkunden bei Phishing-Angriffen.

Grob fahrlässige Weitergabe einer TAN
BGH, Urteil vom 22. Juli 2025 – XI ZR 107/24

Der XI. Zivilsenat stellt strenge Anforderungen an die Sorgfaltspflichten bei Online-Überweisungen.

Die Kläger führen bei der beklagten Sparkasse ein gemeinsames Girokonto. Seit 2014 nutzen sie das Online-Banking mit persönlichem Anmeldenamen, PIN und chipTAN-Generator.

An einem Samstag im Juli 2022 versuchte die Klägerin mehrfach, ihre PIN zu ändern. Der TAN-Generator zeigte jeweils die Meldung „Vorgang abgebrochen“. Bei einem weiteren Versuch gegen 22:30 Uhr öffnete sich ein Fenster mit dem Hinweis, der Online-Banking-Zugang werde binnen eines Tages ablaufen, wenn nicht eine neue Sicherheitssoftware installiert werde. Die Klägerin klickte auf diese Meldung und gab in einen sich darauf öffnenden Fenster persönliche Daten ein. Wenige Augenblicke später erhielt sie einen Telefonanruf. Auf dem Display wurde die Telefonnummer der Beklagten angezeigt. Die Anruferin stellte sich als Mitarbeiterin der Beklagten vor und erkundigte sich, was los sei. Auf Nachfrage erklärte sie, die Mitarbeiter im Online-Banking seien rund um die Uhr für die Kunden da. Im weiteren Verlauf erfragte sie mehrere Zahlenfolgen, darunter auch mehrere TANs, die die Klägerin gemäß den Anweisungen der Anruferin auf der Grundlage von manuellen Eingaben von Empfänger-IBANs und Überweisungsbeträgen generierte. Bei einer verabredeten Fortsetzung des Gesprächs am Folgetag gab die Klägerin weitere TANs weiter. Mit diesen wurde das Überweisungslimit auf 55.555 Euro erhöht und ein Betrag von 35.555 Euro auf das Konto einer unbekannten Person bei einer anderen Bank überwiesen.

Das LG hat die Beklagte antragsgemäß zur Rückbuchung des überwiesenen Betrags verurteilt. Das OLG hat die Klage abgewiesen.

Die (vom BGH zugelassene) Revision der Kläger bleibt ohne Erfolg.

Rechtsfehlerfrei hat das OLG angenommen, dass die Belastung des Kontos auf einem nicht autorisierten Zahlungsvorgang beruht und den Klägern deshalb gemäß § 675u Satz 2 BGB ein Anspruch auf Erstattung des Überweisungsbetrags zusteht.

Ebenfalls rechtsfehlerfrei hat das OLG entschieden, dass die Beklagte diesem Anspruch einen Schadensersatzanspruch aus § 675v Abs. 3 Nr. 2 BGB entgegenhalten kann.

Nach § 675v Abs. 3 Nr. 2 BGB ist der Zahler dem Zahlungsdienstleister zum Ersatz des Schadens aus einem nicht autorisierten Zahlungsvorgang verpflichtet, wenn er den Schaden durch vorsätzliche oder grob fahrlässige Verletzung von Pflichten zum Schutz vor unbefugtem Zugriff (§ 675l Abs. 1 BGB) oder von Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments herbeigeführt hat.

Die Annahme des OLG, die Klägerin habe im Streitfall grob fahrlässig gehandelt, ist aus Rechtsgründen nicht zu beanstanden.

Das OLG hat seine Entscheidung entscheidend darauf gestützt, der Klägerin hätte es sich jedenfalls bei dem zweiten Telefonat aufdrängen müssen, dass die mehrfache Eingabe von Überweisungsdaten und die Weitergabe von TANs zur Installation einer neuen Software nicht erforderlich sein kann.

Dem kann nicht entgegengehalten werden, dass es sich nur um ein Augenblicksversagen gehandelt hätte. Die entscheidende Sorgfaltspflichtverletzung fand erst beim zweiten Telefonat statt, also fast einen Tag nach der ersten Kontaktaufnahme.

Grobe Fahrlässigkeit ist auch nicht deshalb zu verneinen, weil die Klägerin mit der Erzeugung von TANs auf der Grundlage manueller Eingaben nicht vertraut war. Das OLG hat rechtsfehlerfrei angenommen, dass sich der Klägerin auch ohne diesbezügliche Erfahrungen aufdrängen musste, dass sie durch Bedienung des TAN-Generators eine TAN zur Bestätigung eines konkreten Zahlungsvorgangs erzeugt.

Vor diesem Hintergrund vermag der Umstand, dass auf dem Display die Telefonnummer der Beklagten angezeigt wurde, den Vorwurf der groben Fahrlässigkeit nicht zu entkräften.

Der Gegenanspruch der Beklagten ist auch nicht deshalb ausgeschlossen, weil die Beklagte zur Anmeldung im Online-Banking keine Zweifaktor-Authentifizierung (starke Authentifizierung im Sinne von § 1 Abs. 24 des Zahlungsdiensteaufsichtsgesetzes) verlangt, sondern die Eingabe von Benutzername und PIN genügen lässt. Ein Schadensersatzanspruch ist nach § 675v Abs. 4 Satz 1 Nr. 1 BGB nur dann ausgeschlossen, wenn für den jeweiligen Zahlungsvorgang keine starke Authentifizierung verlangt wird. Das für Überweisungen geltende zusätzliche Erfordernis einer mittels TAN-Generator erzeugten TAN genügt den Anforderungen an eine starke Authentifizierung.

Ebenfalls rechtsfehlerfrei hat das OLG angesichts der aufgezeigten Umstände des Streitfalls eine Anspruchsminderung nach § 254 BGB abgelehnt.

Praxistipp: Die Entscheidung zeigt eindrücklich: Eine TAN darf niemals an Dritte weitergegeben werden – auch wenn es sich (vermeintlich) um einen Mitarbeiter der Bank handelt und (vermeintlich) größter Zeitdruck besteht.