Rund 42.000 Euro hatte ein Sparkassen-Kunde bei einer Phishing-Attacke verloren. Das OLG Karlsruhe hat nun mit Urteil vom 23. Dezember 2025 (Az. 17 U 113/23) entschieden, dass die Sparkasse für den Schaden aufkommen muss. Damit hat das Oberlandesgericht die erstinstanzliche Entscheidung des Landgerichts Karlsruhe bestätigt (Az.: 2 O 312/22).
In dem zugrunde liegenden Fall ging es um eine besonders heftige Phishing-Attacke: Über das Apple-Pay-Bezahlverfahren hatten Kriminelle innerhalb von 10 Tagen mehr als 120 Transaktionen im Wert von rund 42.000 Euro von dem Konto ihres Opfers getätigt, ehe dieser den Schaden bemerkte.
Berufung der Sparkasse erfolglos
Da er die Zahlungen nicht autorisiert hatte, verlangte der Kontoinhaber von der Sparkasse den Ersatz des Schadens. Das LG Karlsruhe gab der Klage statt. Es könne nicht festgestellt werden, dass sich der Kontoinhaber grob fahrlässig verhalten habe. Er habe daher Anspruch auf Ersatz des Schadens, entschied das LG Karlsruhe.
Die Sparkasse legte gegen das Urteil zwar Berufung ein, hatte damit aber keinen Erfolg. Vielmehr bestätigte das OLG Karlsruhe den Schadenersatzanspruch des Kontoinhabers. „Insbesondere bemängelte das OLG, dass die Sparkasse bei den unberechtigten Zahlungen von dem Konto keine starke Kundenauthentifizierung vorgenommen habe“, sagt Rechtsanwalt Hansjörg Looser, BRÜLLMANN Rechtsanwälte.
Verpflichtung zur starken Kundenauthentifizierung
Bank- und Kapitalanlagerecht
Hier mehr zu diesem Rechtsgebiet erfahren oder anrufen +49 711 - 520 888 0.Gerne können Sie uns eine Mail senden an info@bruellmann.de
Die Sparkasse sei bei den Zahlungsvorgängen verpflichtet gewesen, eine starke Kundenauthentifizierung vorzunehmen. Diese sei bei elektronisch ausgelöste Karten- und mobilen Zahlungen am sog. „Point of Sale“ vorgesehen, führte das OLG aus.
Für eine starke Kundenauthentifizierung sind mindestens zwei voneinander unabhängige Elemente notwendig. Nach den Bedingungen für die digitale S-Card war neben dem Besitzelement noch ein biometrisches Element des Karteninhabers, z.B. Fingerabdruck, Gesichtserkennung bzw. sonstige Entsperrmechanismen des mobilen Endgeräts bspw. der Entsperrcode als zweiter Fakor erforderlich.
Keine ausreichende Zuordnung der Debitkarte
Die Sparkasse habe das Besitzelement hier nicht ausreichend geprüft, stellte das OLG Karlsruhe fest. Sie habe in dem Registrierungsverfahren für die digitale Debitkarte nicht ausreichend sichergestellt, dass nur der Kläger den Besitz an der digitalen Debitkarte erlangt. Dieses Versäumnis habe sich bei den einzelnen Zahlungsvorgängen unmittelbar fortgesetzt, so das OLG.
Das Gericht machte weiter deutlich, dass durch den Hinweis „Karte registrieren“ in der PushTAN-App keine ausreichende Zuordnung der Debitkarte zu dem Karteninhaber sichergestellt sei. Daher sei nicht sichergestellt, dass der Kontoinhaber in dem Besitz des Mobiltelefons ist, auf dem die digitale Debitkarte eingerichtet ist. Somit sei auch eine starke Kundenauthentifizierung durch biometrische Merkmale wie Fingerabdrücke nicht möglich. Ob der Kontoinhaber sich grob fahrlässig verhalten habe, sei daher nicht entscheidend. Die Sparkasse stehe in der Haftung, so das OLG Karlsruhe, das die Revision zum BGH zugelassen hat.
Fazit: Position der Kontoinhaber gestärkt
„Das Urteil stärkt die Position der Kontoinhaber, die Opfer von Phishing-Attacken wurden. Sie haben gute Chancen, dass die Bank oder Sparkasse für den Schaden aufkommen muss“, so Rechtsanwalt Looser.
BRÜLLMANN Rechtsanwälte bietet geschädigten Kontoinhabern zum Pauschalpreis von 119 Euro inklusive MwSt. eine Ersteinschätzung ihrer rechtlichen Situation an. Sprechen Sie uns an!
Mehr Informationen: https://bruellmann.de/bank-und-kapitalmarktrecht
