Ein Bankkunde, der im Rahmen eines Phishing-Angriffs Transaktionsnummern (TAN) an unbekannte Dritte weitergibt, kann wegen grober Fahrlässigkeit selbst dann schadensersatzpflichtig sein, wenn der Zahlungsvorgang ohne seine tatsächliche Autorisierung ausgelöst wurde. Maßgeblich ist, ob der Kunde in ungewöhnlicher und klar verdächtiger Situation naheliegende Sicherheitsmaßnahmen unterlassen und dadurch gegen die Pflicht zum Schutz seiner personalisierten Sicherheitsmerkmale (§ 675l Abs. 1 BGB) in schwerwiegender Weise verstoßen hat.
Im zugrunde liegenden Fall erhielt die Kundin nach einem fehlgeschlagenen PIN-Änderungsversuch einen Anruf, bei dem sich die Täterin als Bankmitarbeiterin ausgab und die Installation eines neuen Sicherheitsprogramms vortäuschte. Die Kundin gab in zwei aufeinanderfolgenden Telefonaten mehrere TANs weiter, ohne sich bei der Bank rückzuversichern. Dabei musste sie Empfänger-IBAN und hohe Überweisungsbeträge eingeben - Umstände, die ersichtlich nicht zu einer bloßen Identitätsprüfung oder Softwareinstallation passten.
Das Gericht wertete dieses Verhalten als grob fahrlässig: Die Klägerin habe trotz ausreichender Bedenkzeit eindeutige Warnsignale ignoriert, unter anderem den ungewöhnlichen Zeitpunkt der Anrufe, die Forderung nach TAN-Eingabe für fremde Kontoverbindungen sowie den atypischen Ablauf der angeblichen Sicherheitsmaßnahme. Ein „Augenblicksversagen“ lag nicht vor, da zwischen dem ersten und zweiten Telefonat fast ein Tag lag.
Die Bank durfte den Anspruch des Kunden auf Erstattung des unautorisierten Zahlungsvorgangs mit ihrem Schadensersatzanspruch aufrechnen (§ 675v Abs. 3 Nr. 2 BGB i.V.m. § 242 BGB). Der Haftungsausschluss nach § 675v Abs. 4 Satz 1 Nr. 1 BGB griff nicht ein, da für die konkrete Überweisung eine starke Kundenauthentifizierung verlangt worden war. Ein Mitverschulden der Bank wurde verneint, weil das schwerwiegende Fehlverhalten der Kundin den Schaden maßgeblich verursachte.
Bankkunden tragen bei der Nutzung des Online-Bankings eine gesteigerte Eigenverantwortung. Wer in verdächtigen Situationen TANs preisgibt, handelt grob fahrlässig und muss unter Umständen den entstandenen Schaden selbst tragen.
Im zugrunde liegenden Fall erhielt die Kundin nach einem fehlgeschlagenen PIN-Änderungsversuch einen Anruf, bei dem sich die Täterin als Bankmitarbeiterin ausgab und die Installation eines neuen Sicherheitsprogramms vortäuschte. Die Kundin gab in zwei aufeinanderfolgenden Telefonaten mehrere TANs weiter, ohne sich bei der Bank rückzuversichern. Dabei musste sie Empfänger-IBAN und hohe Überweisungsbeträge eingeben - Umstände, die ersichtlich nicht zu einer bloßen Identitätsprüfung oder Softwareinstallation passten.
Das Gericht wertete dieses Verhalten als grob fahrlässig: Die Klägerin habe trotz ausreichender Bedenkzeit eindeutige Warnsignale ignoriert, unter anderem den ungewöhnlichen Zeitpunkt der Anrufe, die Forderung nach TAN-Eingabe für fremde Kontoverbindungen sowie den atypischen Ablauf der angeblichen Sicherheitsmaßnahme. Ein „Augenblicksversagen“ lag nicht vor, da zwischen dem ersten und zweiten Telefonat fast ein Tag lag.
Die Bank durfte den Anspruch des Kunden auf Erstattung des unautorisierten Zahlungsvorgangs mit ihrem Schadensersatzanspruch aufrechnen (§ 675v Abs. 3 Nr. 2 BGB i.V.m. § 242 BGB). Der Haftungsausschluss nach § 675v Abs. 4 Satz 1 Nr. 1 BGB griff nicht ein, da für die konkrete Überweisung eine starke Kundenauthentifizierung verlangt worden war. Ein Mitverschulden der Bank wurde verneint, weil das schwerwiegende Fehlverhalten der Kundin den Schaden maßgeblich verursachte.
Bankkunden tragen bei der Nutzung des Online-Bankings eine gesteigerte Eigenverantwortung. Wer in verdächtigen Situationen TANs preisgibt, handelt grob fahrlässig und muss unter Umständen den entstandenen Schaden selbst tragen.
BGH, 22.07.2025 - Az: XI ZR 107/24
ECLI:DE:BGH:2025:220725UXIZR107.24.0
Hinweis: Diese Informationen ersetzen keine rechtliche Beratung im Einzelfall. Trotz sorgfältiger Bearbeitung bleibt eine Haftung ausgeschlossen.
Redaktionelle Bearbeitung: RA Martin Becker und RAin Alexandra Klimatos | Geprüft von: RAin Patrizia Klein
Anfrage ohne Risiko
Vertraulich
Schnell
Sie erhalten eine echte Erstberatung zum Festpreis von erfahrenen Rechtsanwälten statt unverbindlicher Ersteinschätzung. Bei Bedarf ist i.d.R. auch eine außergerichtliche oder gerichtliche Vertretung möglich.