Nils Bergert
Elisa Härder
Ines Heck
Manuel Hemm
Ingo Hochheim
Selina Hohe
Peter Huhn
Domenic Ipta
Kathrin Klein
Sophia Laas
Dr. Alexander Lang
Julian Pfeil
Magdalena Püschel
Thomas Rotzal
Susanna Schäfer
Valeria Schmidt
Christian Stadler
Alexander Stegmann
Jörg Steinbock
Bad Kissingen 
Bamberg 
Gerbrunn 
Gotha 
Kürnach 
München 
Randersacker 
Rottendorf 
Würzburg Das Oberlandesgericht (OLG) Dresden hat am 5. Mai 2025 (Az. 8 U 1482/24) ein bedeutendes Urteil zur Haftung von Banken bei Phishing-Angriffen gefällt.
Im Mittelpunkt stand das pushTAN-Verfahren der Sparkassen und die Frage, ob dieses den Anforderungen an eine „starke Kundenauthentifizierung“ gemäß § 55 des Zahlungsdiensteaufsichtsgesetzes (ZAG) und der zweiten Zahlungsdiensterichtlinie (PSD2) entspricht.
Hintergrund der Entscheidung
Ein Kunde der Sparkasse nutzte das Online-Banking über das S-pushTAN-Verfahren. Nach Erhalt einer Phishing-E-Mail und anschließenden Anrufen von Betrügern, die sich als Sparkassenmitarbeiter ausgaben, genehmigte er mehrere Freigaben in der App. Diese umfassten die Erhöhung des Tageslimits und zwei Echtzeitüberweisungen, was zu einem Gesamtschaden von über 49.000 Euro führte. Der Kunde gab an, dass ihm in der S-pushTAN-App keine spezifischen Empfängerdaten oder Beträge angezeigt wurden, sondern lediglich allgemeine Freigabeaufforderungen für „Aufträge“.
Rechtliche Einordnung
Gemäß § 55 ZAG in Verbindung mit Art. 97 PSD2 ist bei Zugriff auf sensible Zahlungsdaten und bei der Auslösung von Zahlungsvorgängen eine starke Kundenauthentifizierung erforderlich. Diese muss mindestens zwei der folgenden Elemente umfassen:
- Wissen (z.B. Passwort, PIN)
- Besitz (z.B. Mobilgerät mit TAN-Apps)
- Inhärenz (z.B. Fingerabdruck, Gesichtserkennung)
Ausnahmen gelten nur eingeschränkt und nicht bei Einsicht in weiterführende Zahlungsinformationen.
Das OLG Dresden stellte fest, dass der Sparkasse ein Mitverschulden anzulasten ist, da das verwendete pushTAN-Verfahren nicht den Anforderungen an eine starke Kundenauthentifizierung entsprach. Der Login zum Online-Banking erfolgte nur mit Anmeldename und PIN – ohne dass eine zweite vorgeschriebene Authentifizierungskomponente verwendet worden ist.
Trotz eines grob fahrlässigen Verhaltens des Kunden wurde der Bank ein anteiliger Schadensersatz von 20 % der Schadenssumme zugesprochen.
Empfehlung für Banken und Verbraucher
| Banken | Verbraucher |
|---|---|
| starken Kundenauthentifizierung (SKA) bereits beim Login statt erst bei Transaktionen | Bewusstsein für Phishing-Risiken – kritische Prüfung verdächtiger Anfragen |
| Transparente TAN-Nachrichten mit detaillierten Zahlungsdaten | Anzeichnung bei Betrug und sofortige Sperrung betroffener Konten |
| Kontinuierliche Sicherheitsupdates für Authentifizierungsmethoden | Sofortsicherung von Beweisen (Screenshots, Meldedokumente) |
Phishing: Wie ein Anwalt Ihnen helfen kann
Wenn Sie Opfer von Phishing oder einem anderen Betrugsfall geworden sind, ist es ratsam, schnellstmöglich rechtliche Hilfe in Anspruch zu nehmen. Hierbei unterstützen wir Sie wie folgt:
- Überprüfung der Rechtmäßigkeit der Abbuchung: Wurde die Abbuchung ohne Ihre Zustimmung durchgeführt, steht Ihnen grundsätzlich eine Rückerstattung zu.
- Durchsetzung Ihre Ansprüche gegenüber der Bank: Insbesondere Banken zögern manchmal, Rückzahlungen vorzunehmen bzw. weisen diese aufgrund eines groben Fahrlässigkeitsverstoßes / Mitverschulden zurück. Ein Anwalt kann in solchen Fällen durch rechtlichen Druck eine schnellere Bearbeitung erreichen.
- Beweismittel sichern: Wir sorgt dafür, dass alle relevanten Beweismittel – wie E-Mail-Kommunikation oder Transaktionsübersichten – gesichert werden, um Ihre Ansprüche zu untermauern.
- Stellung eines Strafantrags: Unter Umständen ist es zudem ratsam eine Strafanzeige gegen die Täter zu stellen, damit der Kreditkartenbetrug von der Polizei und Staatsanwaltschaft verfolgt werden kann.
Sollten auch Sie von einem Kreditkartenbetrug betroffen sein, können Sie sich direkt und unkompliziert über unsere digitale Mandatsannahme – abrufbar unter https://dima.steinbock-partner.de/allgemeine-mandatsannahme – vertrauensvoll an uns wenden.
Alternativ können Sie uns jedoch auch direkt kontaktieren, um einen persönlichen oder auch einen Telefon-Termin zu vereinbaren oder um uns sonstige Fragen zu stellen. Als Full Service-Kanzlei deckt die Beratung von Steinbock & Partner nicht nur die gesamte Bandbreite des IT-Rechts sowie Datenschutzrechts ab, sondern auch die Vertretung von Mandanten in Gerichtsverfahren.
Wir freuen uns auf Ihre Kontaktaufnahme – telefonisch unter der 0931-22222 oder per E-Mail an info@steinbock-partner.de.
