Gibt ein Bankkunde seine Daten grob fahrlässig an Betrüger weiter („Phishing“), kann er den dadurch entstandenen Schaden nicht von seiner Hausbank zurückfordern. Dies geht aus einer nun veröffentlichten Entscheidung des Oberlandesgerichts Oldenburg in einem Rechtsstreit zu betrügerischen Phishingnachrichten hervor.
Ein Ehepaar hatte wegen unautorisierter Zahlungsvorgänge vergeblich Schadenersatz in Höhe von 41.000 Euro von seiner Bank gefordert. Die Richter in Oldenburg entschieden, dass die Ehefrau ihre vertraglichen Sorgfaltspflichten verletzte, indem sie den Tätern neben einem Push-Tan-Link zur Neuregistrierung auch persönliche Daten wie das Geburtsdatum, die EC-Karten-Nummer und die PIN mitteilte. Die Klage blieb auch in zweiter Instanz ohne Erfolg.
Daten weitergegeben
Im Ausgangsfall hatte ein Ehepaar aus dem niedersächsischen Landkreis Ammerland eine Mail erhalten, in der es aufgefordert wurde, seine Push-Tan-Registrierung bei seiner Bank zu aktualisieren. Die Klägerin klickte auf den Link und landete so auf einer von Betrügern gefälschten Internetseite. Dort gab sie ihre Daten ein und erhielt via SMS tatsächlich einen Link zugeschickt. Am Folgetag bemerkte die Bankkundin, dass rund 41.000 Euro durch zwei Echtzeitüberweisungen an ein Konto in Estland transferiert worden waren. Mit ihrer Klage forderten die Eheleute diesen Betrag von ihrer Bank zurück.
Wie das OLG mitteilte, hat ein Bankkunde im Fall nicht autorisierter Zahlungsvorgänge grundsätzlich einen Anspruch auf Erstattung des vollen Betrags durch den kontoführenden Zahlungsdienstleister. Jedoch habe die Klägerin in ihren Anhörungen vor dem Zivilsenat selbst nicht zu 100 Prozent ausschließen können, dass sie den Betrügern neben den schon bekannten persönlichen Daten nicht noch weitere Informationen preisgegeben habe. Die Feststellungen des Landgerichts, das die Klage erstinstanzlich abgewiesen hatte und sich dabei auf einen Sachverständigen stützte, hielt das OLG in jeder Hinsicht für plausibel.
Zudem müsse sich die Kundin ihrerseits eine schwere Sorgfaltspflichtverletzung vorwerfen lassen. Laut Ergebnis der abermaligen Beweisaufnahme hatte sie den erhaltenen Registrierungscode an die Täter weitergeleitet. Dabei hätten sich ihr aus mehreren Gründen „Zweifel an der Seriosität“ der E-Mail aufdrängen müssen. So richtete der Zivilsenat sein Augenmerk auf die nicht namentliche Ansprache der Kundin und die auffallend vielen Rechtschreibfehler.
Die Bank treffe jedenfalls kein Mitverschulden. Die schon im April verkündete Entscheidung ist rechtskräftig (Az. 8 U 103/23).