Grob fahrlässiges Verhalten des Bankkunden beim Online-Banking
Gerne fasse ich das Urteil des Bundesgerichtshofs (BGH) vom 22. Juli 2025 (Az. XI ZR 107/24) zum Thema Grob fahrlässiges Verhalten des Bankkunden beim Online-Banking verständlich zusammen.
Das Urteil befasst sich mit der Frage, wer den Schaden trägt, wenn ein Bankkunde durch eine Betrugsmasche – das sogenannte Phishing oder Social Engineering – dazu verleitet wird, selbst Transaktionsnummern (TANs) preiszugeben und dadurch Geld verloren geht.
Der BGH hat entschieden, dass die Bank ihren Kunden nicht auf den Schaden sitzen lassen muss, wenn der Kunde durch grob fahrlässiges Verhalten zur Entstehung des Schadens beigetragen hat. In diesem konkreten Fall hat der BGH das Verhalten der Kundin als grob fahrlässig eingestuft.
Der Fall: Die Masche der Betrüger
Ein Ehepaar führte ein Gemeinschaftskonto bei einer Sparkasse. Die Ehefrau versuchte, am späten Samstagabend, den 2. Juli 2022, ihre PIN zu ändern. Daraufhin öffnete sich ein Warnfenster auf ihrem PC, das sie zur Installation einer „neuen Sicherheitssoftware“ aufforderte. Kurze Zeit später erhielt sie einen Anruf, der scheinbar von der Sparkasse stammte (Call-ID-Spoofing, die korrekte Banknummer wurde angezeigt).
Die Anruferin gab sich als Bankmitarbeiterin aus, nannte korrekte Kontodaten und forderte die Kundin auf, zur „Installation des Sicherheitsprogramms“ im chipTAN-Verfahren mehrere TANs zu generieren und ihr am Telefon mitzuteilen. Dabei wurde die Kundin in ein ihr unbekanntes manuelles TAN-Verfahren gelockt. Das Gespräch wurde für den nächsten Tag (Sonntagabend) neu vereinbart, da es spät war. Am Sonntag wiederholte die Betrügerin die Prozedur, woraufhin die Kundin erneut eine TAN generierte und weitergab. Mit dieser TAN wurde eine Echtzeit-Überweisung über 35.555 Euro von ihrem Konto ausgelöst.
Die Kunden verlangten von der Sparkasse die Erstattung des Betrags.
Die Entscheidung des BGH: Grobe Fahrlässigkeit der Kundin
Grundsätzlich gilt:
Bei einer nicht autorisierten Überweisung muss die Bank dem Kunden den Betrag erstatten (§ 675u BGB). ABER: Die Bank kann vom Kunden Schadensersatz verlangen, wenn dieser den Schaden durch grobe Fahrlässigkeit herbeigeführt hat (§ 675v Abs. 3 Nr. 2 BGB).
Grobe Fahrlässigkeit liegt vor
Grobe Fahrlässigkeit bedeutet, dass jemand die im Verkehr erforderliche Sorgfalt in einem ungewöhnlich hohem Maße verletzt und dabei dasjenige unbeachtet lässt, was jedem hätte einleuchten müssen.
Der BGH bejahte die grobe Fahrlässigkeit der Kundin, weil sie ihre Pflicht zum Schutz der personalisierten Sicherheitsmerkmale (der TANs) verletzte.
Kein Augenblicksversagen:
Die entscheidende Pflichtverletzung (die Weitergabe der TAN am Sonntag) fand erst am Tag nach dem ersten Anruf statt. Die Kundin hatte fast einen ganzen Tag Zeit, die ungewöhnlichen Umstände zu reflektieren (Anruf spätabends, angeblich erforderliche Installation einer „Sicherheitssoftware“, mehrfache TAN-Anforderung für einen unbekannten Vorgang). Sie war nicht überrumpelt.
Unerfahrenheit schützt nicht:
Dass die Kundin nur das optische chipTAN-Verfahren kannte und das manuelle nicht, entschuldigt die grobe Fahrlässigkeit nicht. Ihr hätte auch ohne genaue Kenntnis der Technik klar sein müssen, dass eine TAN immer nur einen konkreten Zahlungsvorgang bestätigen darf und niemals am Telefon an einen angeblichen Bankmitarbeiter weitergegeben werden darf.
Anzeige der Banknummer irrelevant:
Dass auf dem Telefon die echte Banknummer angezeigt wurde (Call-ID-Spoofing), entlastet die Kundin nicht, da Banken und Medien seit Jahren massiv vor dieser Betrugsform warnen und die Umstände des Anrufs (späte Uhrzeit, TAN-Abfrage) hochgradig verdächtig waren.
Grob fahrlässiges Verhalten des Bankkunden beim Online-Banking
Die Haftung der Bank ist nicht ausgeschlossen
Die Kunden argumentierten, die Bank hätte schon bei der ersten Anmeldung der Betrüger im Online-Banking eine starke Kundenauthentifizierung (z.B. eine zweite TAN) verlangen müssen, was sie möglicherweise unterlassen hatte (§ 675v Abs. 4 Nr. 1 BGB).
Der BGH stellte klar: Für den Ausschluss der Kundenhaftung ist nur entscheidend, ob die starke Kundenauthentifizierung für den streitgegenständlichen Zahlungsvorgang (die Überweisung) verlangt wurde. Dies war hier der Fall, da für die Überweisung die TAN der Kundin erforderlich war. Ein möglicher Fehler der Bank bei der ersten Anmeldung ist für diese Regelung nicht relevant.
Kein Mitverschulden der Bank
Der BGH prüfte, ob der Bank ein Mitverschulden (§ 254 BGB) anzurechnen sei (z.B. wegen der möglicherweise fehlenden starken Authentifizierung bei der ersten Anmeldung oder fehlender konkreter Warnungen vor der Betrugsserie).
Der BGH räumte ein, dass die Bank möglicherweise ein Mitverschulden treffe. Allerdings trat der Verursachungsbeitrag der Bank angesichts der ganz massiven groben Fahrlässigkeit der Kundin (Weitergabe der TANs trotz vieler Verdachtsmomente und Bedenkzeit) vollständig dahinter zurück.
Fazit
Das Urteil stärkt die Position der Banken bei sogenannten „Social Engineering“-Betrügereien:
Keine TAN am Telefon:
Die wichtigste Regel bleibt: Niemals eine TAN am Telefon, per E-Mail oder SMS weitergeben. Bankmitarbeiter werden nie eine TAN für vermeintliche „Sicherheitsupdates“ oder „Stornierungen“ erfragen.
Zeit zur Reflektion:
Wer in einer Betrugsmasche Zeit hat, das Geschehen zu hinterfragen (z.B. über Nacht), kann sich nicht auf ein „Augenblicksversagen“ berufen.
Kundenverantwortung:
Trotz moderner Betrugsmethoden (wie Call-ID-Spoofing) bleibt der Kunde in der Pflicht, sich an die grundlegendsten Sicherheitsregeln zu halten. Bei einem offensichtlichen Verstoß gegen diese Regeln, der als grob fahrlässig eingestuft wird, haftet der Kunde für den entstandenen Schaden.
