Online-Banking-Betrug: Bank haftet zur Hälfte für
Phishing-Schaden
Ein Bankkunde wurde durch eine Phishing-Mail und einen anschließenden Telefonbetrug zur Freigabe von 41 Überweisungen verleitet. Der Gesamtschaden betrug rund EUR 200.000. Das OLG Linz sah das Verschulden auf beiden Seiten: Zwar handelte der Kläger grob fahrlässig, jedoch verletzte auch die Bank ihre Schutz- und Sorgfaltspflichten. Die Entscheidung ist rechtskräftig.
Der Kläger war Kunde der beklagten Bank und nutzte deren Online-Banking samt Freigabe-App. Anfang Jänner 2023 erhielt er ein gefälschtes E-Mail, das scheinbar von seiner Bank stammte. Darin wurde ein Update der Sicherheits-App angekündigt. Der Kläger klickte auf den Link und gab private Zugangsdaten bekannt. Noch am selben Tag rief ihn ein vermeintlicher Bankmitarbeiter an. Er behauptete, verdächtige Zahlungen stoppen zu müssen, und veranlasste den Kläger, ihm Zugang zu seinen Bankkonten zu gewähren und die von diesem Betrüger erstellten Überweisungen freizugeben. Tatsächlich gab der Kläger so 41 Abbuchungen vom seinem Privat- und einem Vereinskonto, dessen Obmann er war, auf Konten ins Ausland binnen 1 ½ Stunden frei. Insgesamt wurden rund EUR 200.000 abgebucht, davon EUR 17.000 vom Privatkonto.
Die Positionen der Parteien
Der Kläger brachte im Kern vor, er sei Opfer eines professionell inszenierten Betrugs geworden. Die Zahlungen seien nicht wirksam autorisiert gewesen, weil er über ihren Zweck getäuscht worden sei. Unter anderem habe die Bank ihre gesetzlichen und vertraglichen Schutzpflichten verletzt, weil auffällige Überweisungen durch das sogenannte „Fraud-Transaction-Monitoring“-System (FTM) nicht gestoppt oder überprüft worden seien.
Die beklagte Bank beantragte eine Klagsabweisung. Sie verwies darauf, alle Online-Banking-Kunden kurz zuvor ausdrücklich vor genau dieser Betrugsmasche gewarnt zu haben. Sämtliche Zahlungen seien vom Kläger selbst mit dem Zwei-Faktoren-System freigegeben worden. Zudem habe das FTM dem üblichen Sicherheitsstandard entsprochen.
Erstgericht: Klage abgewiesen
Das Landesgericht wies die Klage ab. Es stellte fest, dass der Kläger sämtliche Überweisungen selbst freigegeben hatte. Vor jeder Transaktion wurden ihm Empfängerkonto, Betrag und der Hinweis angezeigt, nur selbst veranlasste Zahlungen zu bestätigen. Zudem war er wenige Tage zuvor – wie alle betroffenen Bankkunden – ausdrücklich vor vergleichbaren Betrugsanrufen gewarnt worden.
Das Erstgericht sah darin ein grob fahrlässiges Verhalten des Klägers. Selbst bei Mängeln des Kontrollsystems würde sein Fehlverhalten so deutlich überwiegen, dass eine Schadensteilung nicht in Betracht komme.
OLG Linz: Haftung der Bank bejaht – Schadensteilung gerechtfertigt
Nach Ansicht des Berufungsgerichts verletzte die beklagte Bank ihre vertraglichen Schutz- und Sorgfaltspflichten, weil das eingesetzte FTM nicht ausreichend ausgestaltet war. Die Häufung der Transaktionen (41 Überweisungen von insgesamt EUR 200.000,00 in nur 1 ½ Stunden), die ungewöhnlichen Zahlungsabläufe (abweichend vom bisherigen Zahlungsverhalten) und die Gesamtsituation hätten dazu führen müssen, dass das FTM anschlägt und die ungewöhnlichen Zahlungen stoppt.
Das Oberlandesgericht Linz beurteilte das Verhalten des Klägers ebenfalls als grob fahrlässig, sodass ihn ein Mitverschulden trifft. Trotz Warnung klickte er auf den Link in einer auffälligen E-Mail, obwohl ihm weder die falsche Absenderadresse noch die wechselnde Anrede mit „Sie“ und „euch“ auffiel. Er gab Daten bekannt und vertraute einem unbekannten Anrufer.
Danach bestätigte er zahlreiche vom Täter angelegte Überweisungen vom Vereins- und Privatkonto sowie Überträge vom Sparkonto auf das Girokonto, obwohl ihm jeweils Empfänger, Betrag und der Hinweis angezeigt wurden, nur selbst veranlasste Zahlungen freizugeben.
Bei der Verschuldensabwägung hielt das Oberlandesgericht eine Schadensteilung im Verhältnis 1:1 für angemessen.
Die Entscheidung ist rechtskräftig und ausführlich im RIS abrufbar.