Das Oberlandesgericht (OLG) Dresden hat mit einem jetzt veröffentlichten Urteil vom 5. Mai Klarstellungen zur Sicherheit des pushTAN-Verfahren und zu Ersatzansprüchen bei einer betrügerischen Cyberattacke vorgenommen (Az. 8 U 1482/24). Laut dem Beschluss des 8. Zivilsenats muss eine Sparkasse einem Kunden, der Opfer eines Phishing-Angriffs wurde und dabei grob fahrlässig handelte, einen Teil des entstandenen Schadens erstatten. Die Richter begründen das vor allem durch ein Mitverschulden des Zahlungsdienstleisters rund um die Ausgestaltung des Logins in das Online-Banking mit der S-push-TAN-App, die keine „starke Kundenauthentifizierung“ biete.

Mit dem Beschluss hat das OLG ein früheres Urteil des Landgerichts Chemnitz vom 24. Oktober 2024 aufgehoben und neu gefasst. Dem Kläger, dessen Girokonto durch zwei unautorisierte Überweisungen von insgesamt 49.421,44 Euro belastet wurde, sprachen sie Anspruch auf Wiedergutschrift zu. Die Sparkasse muss ihm 9884,29 Euro zuzüglich Zinsen erstatten sowie vorgerichtliche Rechtsanwaltskosten in Höhe von 1119,79 Euro nebst Zinsen zahlen.

Hintergrund des Streits

Der Kläger nutzte das Online-Banking der Sparkasse mit dem S-pushTAN-Verfahren. Er erhielt eine Phishing-E-Mail, die eine Aktualisierung des Online-Bankings ankündigte und ihn auf eine gefälschte Sparkassen-Website leitete. Dort gab er seine Zugangsdaten ein. Anschließend erhielt er Telefonanrufe von einer angeblichen Sparkassenmitarbeiterin, die ihn unter dem Vorwand einer technischen Neuinstallation dazu brachte, „Aufträge“ in der S-pushTAN-App zu bestätigen. Diese Bewilligungen führten zur Erhöhung des Tageslimits und zu zwei Echtzeitüberweisungen auf ein ihm unbekanntes Konto.

In der pushTAN-App seien ihm keine konkreten Angaben zu Empfängern oder Beträgen angezeigt worden, führte der Kläger dazu aus. Ihm seien lediglich unbestimmte „Aufträge“ zur Freigabe vorgelegt worden. Nach Bekanntwerden der Unregelmäßigkeiten informierte er die Sparkasse und erstattete Strafanzeige.

Eigentlich verlangte der Übertölpelte die Wiedergutschrift des gesamten Betrages, da die Zahlungen nicht von ihm autorisiert worden seien und die Sparkasse ihren Pflichten zur „starken Kundenauthentifizierung“ nicht nachgekommen sei. Er stellte dabei vor allem auf das Einloggen ins Online-Banking und die Anzeige von Zahlungsempfängern in der pushTAN-App ab. Der Kläger argumentierte, dass das Login lediglich mit Anmeldename und statischer PIN erfolgte und sensible Zahlungsdaten ohne weitere Authentifizierung einsehbar waren. Dies stelle einen Verstoß gegen Paragraf 55 Zahlungsdiensteaufsichtsgesetz (ZAG) dar. Zudem bemängelt er, dass in der Sparkassen-App unstreitig nie der Name des Zahlungsempfängers, sondern nur dessen IBAN angezeigt werde, was gegen EU-Recht verstoße.

Die Beklagte hielt dem entgegen, der Kläger habe seine Sorgfaltspflichten grob fahrlässig verletzt, indem er auf die Phishing-Mail und die „Fake-Anrufe“ reagierte und die Aufträge in der pushTAN-App freigab. Sie behauptete, das S-pushTAN-Verfahren sei sicher und TÜV-geprüft und eine Manipulation der Anzeige sei technisch ausgeschlossen. Der Kläger hätte die Sicherheitshinweise der Sparkasse beachten müssen.

Die EU machte fürs Online-Banking mit der Zahlungsdienste-Richtlinie PSD2 eine Zwei-Faktor-Authentifizierung obligatorisch. Beim pushTAN-Verfahren wird eine Transaktionsnummer als Push-Nachricht an eine spezielle Mobilanwendung auf dem Smartphone gesendet, was teils Angriffe ermöglicht.

Richterspruch

Das OLG bestätigte zunächst, dass die Zahlungen vom Kläger nicht autorisiert wurden: Ihm sei zum Zeitpunkt der Freigaben nicht bewusst gewesen, dass er Echtzeit-Überweisungen bestätigte. Zugleich sah das Gericht bei ihm auch ein „grob fahrlässiges“ Verhalten. Er habe seine gesetzliche Sorgfaltspflicht aus Paragraf 675l BGB verletzt, indem er „unbekannten Tätern durch die Freigabe von Aufträgen in der S-pushTAN-App ‚auf Zuruf‘ mittelbar Zugang gewährt“ und sensible Daten nach einem Phishing-Angriff preisgegeben habe. Die Kammer unterstrich, der Kläger habe die angezeigten Daten in der S-pushTAN-App nicht überprüft, was eine vehemente Pflichtverletzung darstelle.

Trotzdem sprach das OLG der Sparkasse ein Mitverschulden von 20 Prozent zu. Dies begründete es mit einem Verstoß gegen aufsichtsrechtliche Vorschriften: Die Sparkasse habe es versäumt, eine „starke Kundenauthentifizierung“ im ZAG-Sinne beim Login in das Online-Banking zu verlangen, obwohl dort „sensible Zahlungsdaten“ einsehbar waren. Das Gericht stellte fest: „Vor diesem Hintergrund war der Verstoß der Beklagten gegen aufsichtsrechtliche Vorschriften für das Gelingen des betrügerischen Angriffs jedenfalls mitursächlich, weil so ohne Zutun des Klägers die aus dem Online-Banking heraus zu veranlassenden Vorbereitungsmaßnahmen und Auftragserstellungen vorgenommen werden konnten.“

Die Ausnahmevorschriften, die eine einfache Authentifizierung für den reinen Abruf des Kontostandes erlauben, griffen hier nicht, heben die Richter hervor. Es seien nämlich weitere sensible Daten zugänglich gewesen. Die Argumente des Klägers, dass die Transaktionsüberwachung unzureichend gewesen sei oder das S-pushTAN-Verfahrens nicht dem Stand der Technik entspreche, berücksichtigte das OLG nicht. Diese Behauptungen hielt es für nicht belegt.

(olb)