Rechtsanwältin und Expertin für E-Commerce, Wettbewerbsrecht und Vertriebsrecht
T (+49) 040 / 7344 086-0
Rechtsanwältin & Expertin für IT-Recht und Datenschutz
T (+49) 040 / 7344 086-0
Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
Blog News
Das Online-Banking gehört längst zum Alltag, doch mit der Digitalisierung steigen auch die Risiken. Immer wieder gelingt es Betrügern, Kundinnen und Kunden zu täuschen und zu ungewollten Transaktionen zu verleiten. Besonders häufig geschieht das im Zusammenhang mit dem sogenannten eTAN-Verfahren, bei dem Zahlungen durch die Eingabe einer Transaktionsnummer autorisiert werden.
Ein aktuelles Urteil des Oberlandesgerichts Dresden zeigt, wie komplex die rechtliche Bewertung solcher Fälle ist. Das Gericht musste entscheiden, ob eine Bank für den entstandenen Schaden haftet, wenn ein Kunde eine Zahlung unter betrügerischem Einfluss selbst bestätigt hat. Damit rückt die Frage in den Fokus, wann eine Zahlung im rechtlichen Sinne als autorisiert gilt und welche Pflichten Banken und Nutzer im digitalen Zahlungsverkehr treffen.
Das Urteil des Oberlandesgerichts (OLG) Dresden befasst sich mit einem immer häufigen auftretenden Problem moderner Zahlungssysteme. Der missbräuchlichen Autorisierung von Zahlungen im Online-Banking oder über digitale Zahlungsdienste. Konkret ging es um die Frage, inwieweit eine Bank (als Zahlungsdienstleister) verpflichtet ist, einem Kunden den Schaden zu erstatten, wenn dieser durch eine betrügerische Manipulation dazu gebracht wurde, eine Zahlung selbst zu autorisieren, beispielsweise durch Eingabe einer TAN auf einer gefälschten Website („Phishing“) oder Bestätigung einer fingierten Transaktion per App oder SMS.
Im Kern drehte sich der Rechtsstreit also darum, ob ein solcher Zahlungsvorgang als autorisiert gilt, obwohl er durch Täuschung zustande kam und ob der Zahlungsdienstleister trotzdem für den entstandenen Schaden haftet. Damit berührt der Fall die Schnittstelle zwischen Zahlungsdiensterecht (§§ 675c ff. BGB), Deliktsrecht und dem allgemeinen Haftungsrecht nach § 254 BGB (Mitverschulden).
Das eTAN-Verfahren ist ein Sicherheitsverfahren, das im Online-Banking zur Bestätigung von Transaktionen eingesetzt wird. „eTAN“ steht für „electronic Transaction Authentication Number“, eine elektronische Transaktionsnummer, mit der Kundinnen und Kunden ihre Zahlungsvorgänge autorisieren. Das Ziel des Systems ist es, sicherzustellen, dass eine Überweisung tatsächlich vom Kontoinhaber freigegeben wurde.
In der Praxis läuft das Verfahren so ab:
Nachdem eine Überweisung im Online-Banking eingegeben wurde, erhält der Nutzer eine TAN – also einen individuellen, nur einmal gültigen Zahlencode – über ein separates Gerät, eine App oder per SMS. Erst mit der Eingabe dieser Nummer wird die Transaktion endgültig bestätigt und ausgeführt.
Ein Kunde nutzte das Online-Banking seiner Bank. Betrüger kontaktierten ihn über eine täuschend echt wirkende E-Mail oder SMS, die angeblich von seiner Bank stammte, und forderten ihn auf, seine Zugangs- oder Sicherheitsdaten zu bestätigen. In der Annahme, eine legitime Sicherheitsprüfung vorzunehmen, gab der Kunde die geforderten Informationen ein und bestätigte anschließend einen Zahlungsvorgang über das Authentifizierungssystem der Bank (z. B. per TAN oder App-Bestätigung). Das Geld wurde daraufhin auf ein Konto Dritter überwiesen, das von den Betrügern kontrolliert wurde.
Der Kunde bemerkte den Betrug erst später und verlangte von seiner Bank die vollständige Rückerstattung des Betrags. Er argumentierte, dass der Zahlungsvorgang in Wahrheit nicht autorisiert gewesen sei, da er die Freigabe unter einem Irrtum über den Zweck der Transaktion erteilt habe. Die Bank verweigerte die Erstattung und berief sich darauf, dass der Kunde grob fahrlässig gehandelt habe, indem er Sicherheitsvorkehrungen missachtet und sensible Daten an Unbefugte weitergegeben habe.
Das Gericht musste nun klären, ob die Zahlung im rechtlichen Sinne tatsächlich „autorisiert“ war. Trifft die Bank ein Mitverschulden, weil sie auffällige oder untypische Transaktionen nicht überprüft hat? Und wie ist die Haftung zu verteilen, wenn sowohl der Kunde als auch die Bank Fehler begangen haben?
Zentraler Streitpunkt war die Abgrenzung zwischen autorisierten und nicht autorisierten Zahlungen nach dem Zahlungsdienstrecht (§§ 675j ff. BGB). Eine Zahlung gilt als nicht autorisiert, wenn sie ohne Zustimmung des Kunden ausgelöst wurde, etwa bei gestohlenen Zugangsdaten oder unbefugtem Zugriff. In diesem Fall muss der Zahlungsdienstleister nach § 675u BGB den Betrag grundsätzlich sofort erstatten, unabhängig von eigenem Verschulden.
Komplex wird es jedoch, wenn der Kunde selbst die Zahlung bestätigt, jedoch durch Täuschung dazu verleitet wurde. In diesen Fällen spricht die Rechtsprechung von einer „missbräuchlichen Autorisierung“. Formal liegt eine Autorisierung vor, da der Kunde den Zahlungsvorgang selbst freigegeben hat, inhaltlich jedoch unter einem Irrtum oder infolge von Manipulation. Hier gilt die strenge Erstattungspflicht des § 675u BGB nicht automatisch. Stattdessen kann nach allgemeinen Haftungsgrundsätzen eine Haftungsverteilung nach § 254 BGB (Mitverschulden) erfolgen.
Das OLG Dresden musste daher prüfen, ob die Bank ihrer eigenen Sorgfaltspflichten als Zahlungsdienstleister nachgekommen war. Dazu gehören insbesondere technische und organisatorische Sicherheitsvorkehrungen, die Überwachung ungewöhnlicher Transaktionen und gegebenenfalls eine manuelle Rückfrage beim Kunden bei verdächtigen Vorgängen. Ebenso prüfte das Gericht, ob der Kunde die ihm obliegenden Pflichten nach § 675l BGB (sichere Verwahrung von Zugangsdaten, umgehende Mitteilung bei Verdacht auf Missbrauch etc.) verletzt hatte.
Das Gericht kam zu dem Ergebnis, dass die Bank nicht vollständig von ihrer Haftung befreit ist. Auch wenn der Kunde den Zahlungsvorgang selbst autorisiert hatte, konnte der Bank ein Mitverschulden angelastet werden, weil sie ihre Sorgfaltspflichten im Zahlungsverkehr verletzt hatte.
Das OLG stellte fest, dass Banken verpflichtet sind, sicherheitsrelevante Auffälligkeiten zu erkennen und im Rahmen des Zumutbaren zu prüfen. Dazu zählen insbesondere:
In dem konkreten Fall hatte die Bank diese Signale ignoriert und die Zahlung automatisiert abgewickelt, ohne Rückfrage beim Kunden zu halten. Das Gericht sah darin ein Versäumnis, das ein Mitverschulden begründet.
Auf der anderen Seite betonte das OLG aber auch, dass der Kunde nicht völlig schuldlos sei. Wer trotz klarer Sicherheitswarnungen oder wiederholter Hinweise seiner Bank persönliche Daten preisgibt oder TANs auf fremden Webseiten eingibt, handelt fahrlässig oder gar grob fahrlässig. Dieses Verhalten kann den Anspruch auf Erstattung mindern.
Folglich teilte das Gericht die Haftung quotenmäßig auf: Der Kunde trug einen Teil des Schadens selbst, die Bank musste jedoch ebenfalls einen erheblichen Anteil ersetzen, da sie die betrügerische Transaktion durch unzureichende Sicherheitskontrollen mitverursacht hatte.
Das Urteil des OLG Dresden ist ein wichtiger Schritt hin zu einer gerechteren Risikoverteilung im digitalen Zahlungsverkehr. Es macht deutlich, dass die Verantwortung bei Betrugsfällen nicht einseitig auf den Kunden abgewälzt werden kann. Banken und andere Zahlungsdienstleister haben eine aktive Pflicht, den Zahlungsverkehr zu überwachen und bei erkennbaren Risiken einzuschreiten. Die bloße Bereitstellung technischer Systeme genügt nicht – vielmehr sind präventive Schutzmechanismen erforderlich, die auch atypische Transaktionen erkennen und gegebenenfalls stoppen.
Für Verbraucher ist das Urteil eine erhebliche Stärkung ihrer Rechtsposition. Es bestätigt, dass auch bei selbst autorisierten, aber betrügerisch herbeigeführten Zahlungen eine Haftung der Bank in Betracht kommt, wenn diese die ihr obliegenden Pflichten vernachlässigt. Selbst wer einem Betrug erliegt, verliert nicht automatisch jeden Anspruch auf Rückerstattung. Entscheidend ist, ob die Bank ihrerseits sorgfältig gehandelt hat.
Für Banken und Zahlungsdienstleister bedeutet das Urteil zugleich eine Mahnung. Die Anforderungen an ihre internen Kontroll- und Sicherheitssysteme steigen. Wer bei verdächtigen Vorgängen nicht reagiert oder Warnsignale ignoriert, riskiert eine teilweise Haftung. Das Urteil hat somit auch präventiven Charakter. Es zwingt Finanzinstitute, Sicherheitsmechanismen wie Transaktionsüberwachung, Betrugserkennung und Kundenkommunikation weiter auszubauen.
Das OLG Dresden betont mit seinem Urteil die gegenseitige Verantwortung im elektronischen Zahlungsverkehr. Weder Kunden noch Banken dürfen sich vollständig von ihren Pflichten entbinden. Während Kunden verpflichtet sind, grundlegende Sicherheitsregeln einzuhalten und auf Warnsignale zu achten, müssen Banken aktiv auf auffällige Transaktionen reagieren und ihre Systeme an neue Betrugsmethoden anpassen.
Die Entscheidung schafft damit ein ausgewogeneres Haftungsmodell:
Damit zeigt das Urteil, wer sorgfältig handelt, auf beiden Seiten, kann seine Rechte wahren und Risiken minimieren.
Wurden über Ihr Online-Banking unberechtigt Zahlungen ausgeführt? Haben Sie eine TAN auf einer gefälschten Webseite eingegeben oder wurden Sie über eine betrügerische App zur Bestätigung einer Transaktion verleitet? Oder möchten Sie wissen, wie Sie sich rechtlich und technisch besser vor Online-Betrug schützen können?
Unsere spezialisierten Anwältinnen und Anwälte unterstützen Sie bei allen rechtlichen Fragen rund um Online-Betrug, Cyberkriminalität und IT-Sicherheit. Wir entwickeln gemeinsam mit Ihnen präventive Strategien, um digitale Infrastrukturen zu schützen, und beraten Sie bei der Umsetzung wirksamer Sicherheitsmaßnahmen. Im Ernstfall begleiten wir Sie bei der schnellen und gezielten Reaktion auf Cyberangriffe, arbeiten mit den Strafverfolgungsbehörden zusammen und sichern die Beweise für mögliche Ansprüche. Darüber hinaus unterstützen wir Sie bei der rechtssicheren Dokumentation von Vorfällen, der Einhaltung gesetzlicher Meldepflichten und der Durchsetzung von Schadensersatzforderungen. Mit unserer Erfahrung helfen wir Ihnen, wirtschaftliche Schäden zu minimieren und das Vertrauen in Ihre digitale Sicherheit zu stärken. Unsere Rechtsanwälte beraten Sie fachkundig zu allen Fragen zum Thema Internetrecht.
Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung. Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Fachanwälten und Spezialisten von SBS LEGAL?