Haftung des Konto-Inhabers bei Phishing-Mails

Dezember 7, 2025

Haftung des Konto-Inhabers bei Phishing-Mails

AG Frankfurt/Main, 24.03.2016 – 32 C 3377/15 (72)

Zusammenfassung des Urteils: Wer haftet bei Phishing-Mails?

Gericht: Amtsgericht Frankfurt am Main Datum des Urteils: 24. März 2016 Aktenzeichen: 32 C 3377/15 (72)

Worum geht es in diesem Fall?

In diesem Rechtsstreit ging es um eine Bankkundin (die Klägerin) und ihre Bank (die Beklagte). Die Kundin war Opfer eines Betrugs geworden. Dies nennt man „Phishing“. Kriminelle hatten Geld von ihrem Konto gestohlen. Die Kundin wollte, dass die Bank ihr dieses Geld erstattet. Die Bank weigerte sich jedoch. Das Gericht musste entscheiden, wer den Schaden tragen muss.

Was ist genau passiert?

Die Klägerin hatte ein Girokonto bei der beklagten Bank. Sie nutzte dieses Konto für Online-Banking und Telefon-Banking. Am 29. Januar 2014 erhielt die Klägerin eine E-Mail. Diese E-Mail sah auf den ersten Blick so aus, als käme sie von ihrer Bank. Das Logo der Bank war enthalten.

In der E-Mail stand eine Warnung. Es hieß, das System habe festgestellt, dass die PIN für das Telefon-Banking aus Sicherheitsgründen geändert werden müsse. Die Klägerin wurde aufgefordert, ein Formular auszufüllen. Dieses Formular befand sich im Anhang der E-Mail.

Es wurde Druck ausgeübt: Wenn die Klägerin die Änderung nicht sofort vornimmt, würde ihr Konto mit 14,99 Euro belastet werden. Außerdem müsste die Änderung dann umständlich per Post erledigt werden.

Die Klägerin glaubte, die E-Mail sei echt. Sie öffnete den Anhang und trug ihre geheimen Daten ein. Damit gab sie ihre Telefon-Banking-PIN an Kriminelle weiter.

Wenige Tage später, am 3. Februar 2014, nutzen die Betrüger diese Daten. Sie riefen beim Telefon-Banking-Computer der Bank an. Sie nannten die korrekte Kontonummer und die korrekte PIN, die sie von der Klägerin erschlichen hatten. Die Betrüger überwiesen 4.900 Euro vom Konto der Klägerin auf ein fremdes Konto.

Zu diesem Zeitpunkt waren eigentlich nur knapp 1.900 Euro Guthaben auf dem Konto. Die Bank führte die Überweisung trotzdem aus, weil das Konto überzogen werden durfte (Dispokredit). Das Geld war danach weg. Die Bank konnte es nicht mehr zurückholen.

Die Klägerin forderte von der Bank, das Geld wieder gutzuschreiben. Sie war der Meinung, sie habe nicht grob fahrlässig gehandelt. Außerdem hätte die Bank die Überweisung gar nicht ausführen dürfen, weil nicht genug Guthaben auf dem Konto war.

Wie hat das Gericht entschieden?

Das Amtsgericht Frankfurt am Main hat die Klage abgewiesen. Das bedeutet: Die Bank muss der Kundin das gestohlene Geld nicht zurückzahlen. Die Klägerin bleibt auf dem Schaden von 4.900 Euro sitzen. Zusätzlich muss sie die Kosten für das Gerichtsverfahren und die Anwälte bezahlen.

Warum hat das Gericht so entschieden?

Das Gericht hat seine Entscheidung sehr ausführlich begründet. Der wichtigste Punkt war der Vorwurf der „groben Fahrlässigkeit“.

Nach dem Gesetz muss eine Bank normalerweise Geld erstatten, das ohne Erlaubnis des Kunden überwiesen wurde. Es gibt aber eine wichtige Ausnahme: Wenn der Kunde den Schaden durch „grobe Fahrlässigkeit“ erst ermöglicht hat, hat die Bank einen Anspruch auf Schadensersatz gegen den Kunden. Dieser Schadensersatz ist genauso hoch wie das gestohlene Geld. Deshalb heben sich die Ansprüche gegenseitig auf, und die Bank muss nichts zahlen.

Was bedeutet grobe Fahrlässigkeit? Grob fahrlässig handelt jemand, der die einfachsten und naheliegendsten Vorsichtsmaßnahmen missachtet. Es geht um Dinge, die jedem vernünftigen Menschen in dieser Situation hätten klar sein müssen.

Das Gericht sah das Verhalten der Klägerin aus folgenden Gründen als grob fahrlässig an:

  1. Die E-Mail war verdächtig: Obwohl die E-Mail das Logo der Bank trug, gab es viele Warnsignale. Es fehlte eine persönliche Anrede (zum Beispiel „Sehr geehrte Frau Müller“). Der Text enthielt Fehler in der Grammatik und Zeichensetzung. Sätze wie „die Änderung […] zu ändern“ sind kein gutes Deutsch. Von einer echten Bank darf man erwarten, dass sie fehlerfreie Texte schreibt.
  2. Bekannte Betrugsmasche: Schon im Jahr 2014 war das Thema „Phishing“ sehr bekannt. In den Medien (Fernsehen, Zeitungen, Internet) wurde seit Jahren davor gewarnt. Das Gericht sagte, dass ein durchschnittlicher Nutzer von Online-Banking wissen muss, dass Kriminelle versuchen, Passwörter per E-Mail zu stehlen.
  3. Abfrage sensibler Daten: Banken fragen niemals per E-Mail nach einer PIN oder TAN. Banken fordern ihre Kunden auch nicht auf, Anhänge zu öffnen und dort Daten einzugeben. Allein die Aufforderung, die geheime Telefon-Banking-PIN außerhalb des geschützten Bank-Logins einzugeben, hätte die Klägerin stutzig machen müssen. Das war extrem ungewöhnlich und gefährlich.
  4. Fehlende Überprüfung: Die Klägerin hätte sich absichern müssen. Sie hätte bei der Bank anrufen können, um zu fragen, ob die E-Mail echt ist. Oder sie hätte auf die echte Internetseite der Bank gehen können. Dort gab es Warnhinweise.

Haftung des Konto-Inhabers bei Phishing-Mails

Die Warnhinweise der Bank: Die Bank behauptete, sie habe auf ihrer Internetseite vor genau solchen Betrügereien gewarnt. Das Gericht hat dazu Zeugen befragt, nämlich Mitarbeiter der Bank. Diese Zeugen bestätigten glaubhaft, dass es schon seit dem Jahr 2013 deutliche Warnhinweise auf der Webseite gab. Wer sich zum Online-Banking einloggte, konnte diese Warnungen sehen. Die Klägerin hätte diese Hinweise bei ihren früheren Anmeldungen bemerken müssen.

Indem die Klägerin ihre geheime PIN einfach in ein Formular aus einer E-Mail eintrug, hat sie ihre Sorgfaltspflichten „in ungewöhnlich hohem Maße verletzt“. Sie hat die Gefahr ignoriert, die für jeden offensichtlich gewesen wäre. Deshalb haftet sie selbst für den Schaden.

Was ist mit dem überzogenen Konto?

Die Klägerin hatte noch ein weiteres Argument. Sie sagte, die Bank hätte die 4.900 Euro gar nicht überweisen dürfen. Auf dem Konto waren ja nur etwa 1.900 Euro Guthaben.

Auch diesem Argument folgte das Gericht nicht. Zwischen der Bank und der Klägerin gab es eine Vereinbarung über einen sogenannten Dispokredit (Überziehungskredit). Die Bank hatte der Klägerin erlaubt, das Konto bis zu 4.000 Euro zu überziehen.

Die Klägerin hatte diesen Kreditrahmen in der Vergangenheit schon mehrfach genutzt, wenn auch nur für kleinere Beträge. Das Gericht stellte fest: Durch die frühere Nutzung war ein Vertrag über diesen Kredit zustande gekommen. Deshalb durfte die Bank die Überweisung der Betrüger ausführen, auch wenn das Konto dadurch ins Minus rutschte. Die Bank hat hier keinen Fehler gemacht.

Fazit für den Verbraucher

Dieses Urteil ist eine wichtige Warnung für alle Bankkunden. Es zeigt sehr deutlich, welche Pflichten man als Kunde hat.

  • Niemals PINs oder TANs per E-Mail weitergeben. Eine echte Bank fragt niemals auf diesem Weg nach Zugangsdaten.
  • Vorsicht bei E-Mail-Anhängen. Öffnen Sie keine Anhänge von Mails, die Sie zu einer Handlung drängen (z.B. „Sofort ändern, sonst Strafe“).
  • Auf Sprache und Form achten. Fehlerhaftes Deutsch und fehlende persönliche Anrede sind starke Indizien für Betrug.
  • Im Zweifel nachfragen. Rufen Sie Ihre Bank unter der Ihnen bekannten Nummer an, bevor Sie Daten eingeben.

Wer diese Regeln missachtet, handelt nach Ansicht der Gerichte oft grob fahrlässig. Die Folge ist hart: Wenn Kriminelle das Konto leerräumen, bekommt man das Geld von der Bank nicht zurück. Man haftet selbst für den gesamten Verlust.

RA und Notar Krau
Jetzt kontaktieren

Schlagworte

Warnhinweis:

Die auf dieser Homepage wiedergegebenen Gerichtsentscheidungen bilden einen kleinen Ausschnitt der Rechtsentwicklung über mehrere Jahrzehnte ab. Nicht jedes Urteil muss daher zwangsläufig die aktuelle Rechtslage wiedergeben.

Einige Entscheidungen stellen Mindermeinungen dar oder sind später im Instanzenweg abgeändert oder durch neue obergerichtliche Entscheidungen oder Gesetzesänderungen überholt worden.

Das Recht entwickelt sich ständig weiter. Stetige Aktualität kann daher nicht gewährleistet werden.

Die schlichte Wiedergabe dieser Entscheidungen vermag daher eine fundierte juristische Beratung keinesfalls zu ersetzen.

Für den fehlerhaften juristischen Gebrauch, der hier wiedergegebenen Entscheidungen durch Dritte außerhalb der Kanzlei Krau kann daher keine Haftung übernommen werden.

Verstehen Sie bitte die Texte auf dieser Homepage als gedankliche Anregung zur vertieften Recherche, keinesfalls jedoch als rechtlichen Rat.

Es soll auch nicht der falsche Anschein erweckt werden, als seien die veröffentlichten Urteile von der Kanzlei Krau erzielt worden. Das ist in aller Regel nicht der Fall. Vielmehr handelt es sich um einen allgemeinen Auszug aus dem deutschen Rechtsleben zur Information der Rechtssuchenden.

Benötigen Sie eine Beratung oder haben Sie Fragen? 

Rufen Sie uns an oder schreiben Sie uns eine E-Mail, damit wir die grundsätzlichen Fragen klären können.

Durch die schlichte Anfrage kommt noch kein konstenpflichtiges Mandat zustande.
Telefon
E-Mail

Letzte Beiträge

Kein Sch­mer­zens­geld nach Corona-Imp­fung

Januar 22, 2026
Kein Sch­mer­zens­geld nach Corona-Imp­fungLG Trier Urt. v. 22.01.2026, Az. 4 O 363/24Hier finden Sie eine leicht verständliche Zusammenfass…
Zum Beitrag

Bank muss bei Betrug durch Apple Pay haften

Januar 22, 2026
Bank muss bei Betrug durch Apple Pay haftenGericht: OLG Karlsruhe 17. Zivilsenat Entscheidungsdatum: 23.12.2025 Aktenzeichen: 17 U 113/23 ECLI…
Zum Beitrag

Löschungsanspruch bezüglich Bewertungen in einem Arbeitgeber-Bewertungsportal

Januar 22, 2026
Löschungsanspruch bezüglich Bewertungen in einem Arbeitgeber-BewertungsportalGericht: Hanseatisches Oberlandesgericht Hamburg 7. Zivilsenat Ents…
Zum Beitrag