Haftung des Zahlers bei grob fahrlässiger Weitergabe von Zugangsdaten

Haftung des Zahlers bei grob fahrlässiger Weitergabe von Zugangsdaten

LG Paderborn (3. Zivilkammer), Urteil vom 22.10.2025 – 3 O 179/25

Betrug beim Online-Banking: Wenn das Handy zur Falle wird

Immer wieder versuchen Kriminelle, mit geschickten Tricks an das Geld von Bankkunden zu gelangen. Ein aktueller Fall zeigt deutlich, wie wichtig es ist, Sicherheitswarnungen der Bank ernst zu nehmen. In diesem Fall verlor ein Ehepaar insgesamt 6.000 Euro, weil es auf eine Betrugsmasche herein fiel. Das zuständige Gericht entschied nun, dass die Bank das Geld nicht zurückzahlen muss, da die Kunden ihre Sorgfaltspflichten massiv verletzt haben.

Der vermeintliche Anruf der Bank

Alles begann mit einem Telefonat. Ein Mann gab sich als Mitarbeiter der Sparkasse aus und behauptete, es gäbe unbefugte Zugriffe auf das Konto der Kunden. Um das Konto angeblich zu schützen und zu sperren, müsse ein Sicherheitslink aktiviert werden. Kurz darauf erhielt der Kunde eine Nachricht über den Messenger-Dienst WhatsApp. Darin wurde er aufgefordert, einen Link, den er gleich per SMS erhalten würde, in den Chat zu kopieren und zurückzusenden.

Die entscheidende Fehlentscheidung

Tatsächlich schickte die Bank wenig später eine echte SMS. In dieser Nachricht war ein Link zur Einrichtung einer sogenannten pushTAN-App enthalten. Besonders wichtig: In der SMS stand ein ausdrücklicher Warnhinweis. Dort hieß es, dass man diesen Link niemals an dritte Personen weiterleiten darf. Zudem wurde betont, dass kein echter Mitarbeiter der Bank jemals nach diesen Daten fragen würde.

Trotz dieser klaren Warnung leitete der Kunde den Link über WhatsApp an die Betrüger weiter. Damit gab er den Tätern den digitalen Schlüssel zu seinem Konto in die Hand.

Wie die Täter vorgingen

Durch den weitergeleiteten Link konnten die Kriminellen die pushTAN-App auf ihrem eigenen Smartphone installieren. Das System der Bank dachte nun, das Handy der Betrüger sei das rechtmäßige Gerät des Kunden.

Die Rolle der Geheimzahl (PIN)

Um Geld abzuheben, benötigen Täter jedoch mehr als nur den Zugang zur App. Sie brauchen auch die persönliche Geheimzahl (PIN) des Kunden. Im Prozess kam heraus, dass die Täter an mehreren Tagen hintereinander jeweils 1.000 Euro an Geldautomaten abhoben. Dies geschah mithilfe einer „digitalen Karte“, die sie sich über den erschlichenen Zugang erstellt hatten.

Das Gericht war überzeugt, dass die Täter die PIN nur deshalb kennen konnten, weil die Kunden sie ihnen – vermutlich während des Telefonats oder auf einer gefälschten Internetseite – selbst mitgeteilt hatten. Ein technischer Fehler im Sicherheitssystem der Bank konnte ausgeschlossen werden.

Haftung des Zahlers bei grob fahrlässiger Weitergabe von Zugangsdaten

Warum die Kunden leer ausgehen

Die Kunden verlangten von ihrer Bank die Erstattung der 6.000 Euro. Sie argumentierten, sie hätten keine Daten herausgegeben und es müsse eine Sicherheitslücke bei der Bank gegeben haben. Das Gericht sah dies jedoch anders.

1. Grobe Fahrlässigkeit: Wer eine Warnung in einer SMS ignoriert und sensible Zugangsdaten über WhatsApp an Fremde schickt, handelt grob fahrlässig.
2. Missachtung von Warnhinweisen: Die Bank hatte schwarz auf weiß geschrieben, dass der Link geheim bleiben muss.
3. Ungewöhnliche Kontaktwege: Ein seriöses Bankinstitut nutzt für Sicherheitsfreigaben niemals WhatsApp.

Das Urteil und seine Folgen

Das Gericht wies die Klage der Kunden ab. Zwar muss eine Bank bei unbefugten Abbuchungen normalerweise den Schaden ersetzen. Dieser Anspruch erlischt jedoch, wenn der Kunde den Schaden durch schwerwiegende Fehler selbst ermöglicht hat. In diesem Fall hat die Bank einen Gegenanspruch auf Schadensersatz gegen die Kunden, weil diese ihre Pflichten zum Schutz des Kontos verletzt haben.

Was man aus diesem Fall lernen kann

Dieser Fall ist eine eindringliche Warnung an alle Nutzer von Online-Banking. Sicherheitssysteme wie die pushTAN-App sind sehr sicher, solange der Nutzer die Kontrolle über seine Zugangsdaten behält. Sobald Informationen wie Aktivierungslinks oder Passwörter an Dritte weitergegeben werden, schützt auch die modernste Technik nicht mehr vor Verlusten.

Wichtige Verhaltensregeln für Bankkunden

• Misstrauen bei Anrufen: Bankmitarbeiter fragen niemals am Telefon nach PINs, Passwörtern oder Einmal-Links.
• Warnungen lesen: Sicherheitshinweise in SMS oder Apps sind keine bloße Dekoration, sondern verbindliche Handlungsanweisungen.
• Offizielle Kanäle nutzen: Bei Zweifeln sollte man das Telefonat beenden und selbst die offizielle Nummer der Bank wählen, die auf der Rückseite der Bankkarte steht.
• Keine Dritt-Apps: Kommunizieren Sie niemals über WhatsApp oder andere Messenger mit Ihrer Bank über vertrauliche Kontodaten.

Haben Sie ähnliche Probleme mit unberechtigten Abbuchungen oder Fragen zu Ihren Rechten im Online-Banking? In solchen Fällen ist eine fachkundige Beratung entscheidend. Für eine detaillierte Prüfung Ihres Falles sollten Sie mit der Anwalts- und Notarkanzlei Krau Kontakt aufnehmen.