{"id":3772,"date":"2025-08-15T16:53:47","date_gmt":"2025-08-15T14:53:47","guid":{"rendered":"https:\/\/blog.otto-schmidt.de\/mdr\/?p=3772"},"modified":"2025-08-15T16:53:47","modified_gmt":"2025-08-15T14:53:47","slug":"montagsblog-385","status":"publish","type":"post","link":"https:\/\/blog.otto-schmidt.de\/mdr\/2025\/08\/15\/montagsblog-385\/","title":{"rendered":"Montagsblog: Neues vom BGH"},"content":{"rendered":"<p><em>Diese Woche geht es um die Sorgfaltspflichten eines Bankkunden bei Phishing-Angriffen.<\/em><\/p>\n<p><strong>Grob fahrl\u00e4ssige Weitergabe einer TAN<br \/>\n<\/strong>BGH, Urteil vom 22.\u00a0Juli 2025 \u2013 XI\u00a0ZR\u00a0107\/24<\/p>\n<p><em>Der XI.\u00a0Zivilsenat stellt strenge Anforderungen an die Sorgfaltspflichten bei Online-\u00dcberweisungen. <\/em><\/p>\n<p>Die Kl\u00e4ger f\u00fchren bei der beklagten Sparkasse ein gemeinsames Girokonto. Seit 2014 nutzen sie das Online-Banking mit pers\u00f6nlichem Anmeldenamen, PIN und chipTAN-Generator.<\/p>\n<p>An einem Samstag im Juli 2022 versuchte die Kl\u00e4gerin mehrfach, ihre PIN zu \u00e4ndern. Der TAN-Generator zeigte jeweils die Meldung \u201eVorgang abgebrochen\u201c. Bei einem weiteren Versuch gegen 22:30 Uhr \u00f6ffnete sich ein Fenster mit dem Hinweis, der Online-Banking-Zugang werde binnen eines Tages ablaufen, wenn nicht eine neue Sicherheitssoftware installiert werde. Die Kl\u00e4gerin klickte auf diese Meldung und gab in einen sich darauf \u00f6ffnenden Fenster pers\u00f6nliche Daten ein. Wenige Augenblicke sp\u00e4ter erhielt sie einen Telefonanruf. Auf dem Display wurde die Telefonnummer der Beklagten angezeigt. Die Anruferin stellte sich als Mitarbeiterin der Beklagten vor und erkundigte sich, was los sei. Auf Nachfrage erkl\u00e4rte sie, die Mitarbeiter im Online-Banking seien rund um die Uhr f\u00fcr die Kunden da. Im weiteren Verlauf erfragte sie mehrere Zahlenfolgen, darunter auch mehrere TANs, die die Kl\u00e4gerin gem\u00e4\u00df den Anweisungen der Anruferin auf der Grundlage von manuellen Eingaben von Empf\u00e4nger-IBANs und \u00dcberweisungsbetr\u00e4gen generierte. Bei einer verabredeten Fortsetzung des Gespr\u00e4chs am Folgetag gab die Kl\u00e4gerin weitere TANs weiter. Mit diesen wurde das \u00dcberweisungslimit auf 55.555 Euro erh\u00f6ht und ein Betrag von 35.555 Euro auf das Konto einer unbekannten Person bei einer anderen Bank \u00fcberwiesen.<\/p>\n<p>Das LG hat die Beklagte antragsgem\u00e4\u00df zur R\u00fcckbuchung des \u00fcberwiesenen Betrags verurteilt. Das OLG hat die Klage abgewiesen.<\/p>\n<p>Die (vom BGH zugelassene) Revision der Kl\u00e4ger bleibt ohne Erfolg.<\/p>\n<p>Rechtsfehlerfrei hat das OLG angenommen, dass die Belastung des Kontos auf einem nicht autorisierten Zahlungsvorgang beruht und den Kl\u00e4gern deshalb gem\u00e4\u00df \u00a7\u00a0675u Satz\u00a02 BGB ein Anspruch auf Erstattung des \u00dcberweisungsbetrags zusteht.<\/p>\n<p>Ebenfalls rechtsfehlerfrei hat das OLG entschieden, dass die Beklagte diesem Anspruch einen Schadensersatzanspruch aus \u00a7\u00a0675v Abs.\u00a03 Nr.\u00a02 BGB entgegenhalten kann.<\/p>\n<p>Nach \u00a7\u00a0675v Abs.\u00a03 Nr.\u00a02 BGB ist der Zahler dem Zahlungsdienstleister zum Ersatz des Schadens aus einem nicht autorisierten Zahlungsvorgang verpflichtet, wenn er den Schaden durch vors\u00e4tzliche oder grob fahrl\u00e4ssige Verletzung von Pflichten zum Schutz vor unbefugtem Zugriff (\u00a7\u00a0675l Abs.\u00a01 BGB) oder von Bedingungen f\u00fcr die Ausgabe und Nutzung des Zahlungsinstruments herbeigef\u00fchrt hat.<\/p>\n<p>Die Annahme des OLG, die Kl\u00e4gerin habe im Streitfall grob fahrl\u00e4ssig gehandelt, ist aus Rechtsgr\u00fcnden nicht zu beanstanden.<\/p>\n<p>Das OLG hat seine Entscheidung entscheidend darauf gest\u00fctzt, der Kl\u00e4gerin h\u00e4tte es sich jedenfalls bei dem zweiten Telefonat aufdr\u00e4ngen m\u00fcssen, dass die mehrfache Eingabe von \u00dcberweisungsdaten und die Weitergabe von TANs zur Installation einer neuen Software nicht erforderlich sein kann.<\/p>\n<p>Dem kann nicht entgegengehalten werden, dass es sich nur um ein Augenblicksversagen gehandelt h\u00e4tte. Die entscheidende Sorgfaltspflichtverletzung fand erst beim zweiten Telefonat statt, also fast einen Tag nach der ersten Kontaktaufnahme.<\/p>\n<p>Grobe Fahrl\u00e4ssigkeit ist auch nicht deshalb zu verneinen, weil die Kl\u00e4gerin mit der Erzeugung von TANs auf der Grundlage manueller Eingaben nicht vertraut war. Das OLG hat rechtsfehlerfrei angenommen, dass sich der Kl\u00e4gerin auch ohne diesbez\u00fcgliche Erfahrungen aufdr\u00e4ngen musste, dass sie durch Bedienung des TAN-Generators eine TAN zur Best\u00e4tigung eines konkreten Zahlungsvorgangs erzeugt.<\/p>\n<p>Vor diesem Hintergrund vermag der Umstand, dass auf dem Display die Telefonnummer der Beklagten angezeigt wurde, den Vorwurf der groben Fahrl\u00e4ssigkeit nicht zu entkr\u00e4ften.<\/p>\n<p>Der Gegenanspruch der Beklagten ist auch nicht deshalb ausgeschlossen, weil die Beklagte zur Anmeldung im Online-Banking keine Zweifaktor-Authentifizierung (starke Authentifizierung im Sinne von \u00a7\u00a01 Abs.\u00a024 des Zahlungsdiensteaufsichtsgesetzes) verlangt, sondern die Eingabe von Benutzername und PIN gen\u00fcgen l\u00e4sst. Ein Schadensersatzanspruch ist nach \u00a7\u00a0675v Abs.\u00a04 Satz\u00a01 Nr.\u00a01 BGB nur dann ausgeschlossen, wenn f\u00fcr den jeweiligen Zahlungsvorgang keine starke Authentifizierung verlangt wird. Das f\u00fcr \u00dcberweisungen geltende zus\u00e4tzliche Erfordernis einer mittels TAN-Generator erzeugten TAN gen\u00fcgt den Anforderungen an eine starke Authentifizierung.<\/p>\n<p>Ebenfalls rechtsfehlerfrei hat das OLG angesichts der aufgezeigten Umst\u00e4nde des Streitfalls eine Anspruchsminderung nach \u00a7\u00a0254 BGB abgelehnt.<\/p>\n<p><span style=\"color: #ff0000\"><em>Praxistipp:<\/em><\/span> Die Entscheidung zeigt eindr\u00fccklich: Eine TAN darf niemals an Dritte weitergegeben werden \u2013 auch wenn es sich (vermeintlich) um einen Mitarbeiter der Bank handelt und (vermeintlich) gr\u00f6\u00dfter Zeitdruck besteht.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Diese Woche geht es um die Sorgfaltspflichten eines Bankkunden bei Phishing-Angriffen. Grob fahrl\u00e4ssige Weitergabe einer TAN BGH, Urteil vom 22.\u00a0Juli 2025 \u2013 XI\u00a0ZR\u00a0107\/24 Der XI.\u00a0Zivilsenat stellt strenge Anforderungen an die Sorgfaltspflichten bei Online-\u00dcberweisungen. Die Kl\u00e4ger f\u00fchren bei der beklagten Sparkasse ein gemeinsames Girokonto. Seit 2014 nutzen sie das Online-Banking mit pers\u00f6nlichem Anmeldenamen, PIN und chipTAN-Generator. [&hellip;]<\/p>\n","protected":false},"author":27,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[963],"tags":[3500,3490,79,3489,2574,3498,3492,3491,472,3497,3499,3496,3495,3493,3494],"_links":{"self":[{"href":"https:\/\/blog.otto-schmidt.de\/mdr\/wp-json\/wp\/v2\/posts\/3772"}],"collection":[{"href":"https:\/\/blog.otto-schmidt.de\/mdr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.otto-schmidt.de\/mdr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.otto-schmidt.de\/mdr\/wp-json\/wp\/v2\/users\/27"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.otto-schmidt.de\/mdr\/wp-json\/wp\/v2\/comments?post=3772"}],"version-history":[{"count":1,"href":"https:\/\/blog.otto-schmidt.de\/mdr\/wp-json\/wp\/v2\/posts\/3772\/revisions"}],"predecessor-version":[{"id":3773,"href":"https:\/\/blog.otto-schmidt.de\/mdr\/wp-json\/wp\/v2\/posts\/3772\/revisions\/3773"}],"wp:attachment":[{"href":"https:\/\/blog.otto-schmidt.de\/mdr\/wp-json\/wp\/v2\/media?parent=3772"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.otto-schmidt.de\/mdr\/wp-json\/wp\/v2\/categories?post=3772"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.otto-schmidt.de\/mdr\/wp-json\/wp\/v2\/tags?post=3772"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}