Cyber-Kriminelle versuchen immer wieder, durch Phishing und andere Betrugsversuche an sensible Bankdaten ihrer Opfer zu kommen und dann das Konto leerzuräumen. Das OLG Dresden hat nun mit bemerkenswertem Urteil vom 5. Juni 2025 entschieden, dass die Bank bzw. Sparkasse selbst dann zumindest für einen Teil des Schadens aufkommen muss, wenn der Kläger sich grob fahrlässig verhalten hat.Betrüger erweisen sich als äußerst einfallsreich, wenn es darum geht, an die sensiblen Bankdaten ihrer Opfer zu kommen und deren Konto zu plündern. Oft setzen sie dabei auf täuschend echt aussehende Mails, die vermeintlich von der Bank stammen und in denen die Empfänger unter einem Vorwand aufgefordert werden, einen Link oder einen Button anzuklicken, der sie auf eine gefälschte Webseite der Bank führt. Dort sollen sie ihre persönlichen Bankdaten eingeben und die Falle schnappt zu.„Für die betroffenen Kontoinhaber ist das natürlich ein Schock. Die gute Nachricht ist aber, dass in vielen Fällen die Bank für den Schaden aufkommen muss. Der Kontoinhaber haftet nur, wenn er sich grob fahrlässig verhalten hat und die Bank ihm das auch nachweisen kann", sagt Rechtsanwalt Matthias Ruigrok van de Werve, CLLB Rechtsanwälte. Das OLG Dresden hat die Rechte der Bankkunden nun mit bemerkenswertem Urteil weiter gestärkt und entschieden, dass die betroffene Sparkasse eine Teilschuld trägt, obwohl sich der Kontoinhaber grob fahrlässig verhalten hatte. Sie muss ihrem Kunden 20 Prozent des Schadens erstatten – rund 10.000 Euro.In dem zugrunde liegenden Fall folgten die Betrüger einem bekannten Schema. Sie verschickten Phishing-Mails und forderten die Empfänger unter einem Vorwand auf, sich über einen Link in ihr Online-Banking einzuloggen. Der spätere Kläger, der seit Jahren das Online-Banking der Sparkasse und das sog. S-push-TAN-Verfahren nutzt, folgte der Aufforderung und erhielt wenig später einen Telefonanruf. Durch technische Manipulation wurde dabei der Eindruck vermittelt, dass der Anruf von der Sparkasse kam. In dem Telefonat brachte ein vermeintlicher Sparkassen-Mitarbeiter den Kunden dazu, mehre TANs über seine S-push-TAN-App zu bestätigen. Auf diese Weise erhöhten die Mitarbeiter das Tageslimit für Überweisungen und überwiesen insgesamt knapp 50.000 Euro auf ein betrügerisches Konto.Als der Kunde einige Zeit später den Betrug bemerkte, informierte er die Sparkasse und forderte die Erstattung des Schadens. Dies wies die Sparkasse mit der Begründung zurück, dass der Kunde seine Sorgfaltspflichten grob fahrlässig verletzt habe.Das OLG Dresden stellte zunächst fest, dass der Kläger die Überweisungen nicht wirksam autorisiert habe. Allerdings habe er seine Sorgfaltspflichten grob fahrlässig verletzt. Er habe nicht nur seine Zugangsdaten auf einer Drittseite eingegeben, sondern auch die TANs zur Bestätigung sensibler Vorgänge auf Zuruf und ohne jede Kontrolle verwendet, so das Gericht. Angesichts der typischen Merkmale eines Phishing-Versuchs, wie z.B. sprachliche Fehler in der Phishing-Mail, hätte er erhebliche Zweifel hegen und die Vorgänge hinterfragen müssen.Die Sparkasse trage aber dennoch ein Mitverschulden, stellte das OLG weiter fest. Denn sie habe den Zugang zum Online-Banking ausschließlich über Passwort und PIN ermöglicht, ohne eine zusätzliche starke Kundenauthentifizierung einzusetzen. Dadurch war es den Tätern möglich, die betrügerischen Überweisungen zu tätigen. Der Verzicht auf eine zweistufige Authentifizierung bereits beim Login stelle einen klaren Verstoß gegen die aufsichtsrechtlich vorgeschriebenen Sicherheitsstandards dar, so das OLG Dresden. Dieses Versäumnis sei auch mitursächlich für den eingetretenen Schaden. Daher müsse die Sparkasse 20 Prozent des Schadens tragen.„Das Urteil macht deutlich, dass Opfer von Phishing-Versuchen auf dem Schaden nicht sitzen bleiben müssen. Selbst wenn sie sich grob fahrlässig verhalten haben sollten, kann die Bank eine Mitschuld treffen, da diese für ausreichende Sicherheitsstandards sorgen muss", so Rechtsanwalt Ruigrok van de Werve.