Online-Banking-Betrug: Sparkasse muss trotz Fehler des Kunden zahlen

Der Fall: Betrug durch gefälschte E-Mail und Telefontrick

Ein Sparkassenkunde fiel auf eine betrügerische E-Mail herein, die ihn aufforderte, sein Online-Banking zu aktualisieren. Über einen Link gelangte er auf eine täuschend echte Fake-Webseite, auf der er seine Zugangsdaten eingab. Wenige Tage später erhielt er einen Anruf von einer angeblichen Sparkassenmitarbeiterin, die ihn aufforderte, mehrere Transaktionen in seiner TAN-App zu bestätigen. In Wahrheit handelte es sich um eine ausgeklügelte Phishing-Masche. Insgesamt wurden so fast 50.000 Euro vom Konto des Kunden abgebucht – ohne sein Wissen über den wahren Zweck der Bestätigungen.

Gerichtsurteil: Bank trägt Mitschuld wegen Sicherheitslücke

Obwohl der Kunde unvorsichtig handelte, entschied das Oberlandesgericht Dresden: Die Sparkasse muss rund 10.000 Euro des Schadens ersetzen. Der Grund: Die Bank hatte es ermöglicht, sich mit nur Passwort und PIN ins Online-Banking einzuloggen – ohne eine sogenannte „starke Kundenauthentifizierung“. Das widerspricht geltenden Sicherheitsvorgaben.

Warum die Bank mithaftet

Die Richter erkannten an, dass der Kunde durch sein Verhalten grob fahrlässig handelte. Doch auch die Bank habe gegen ihre Pflichten verstoßen, indem sie veraltete Sicherheitsmaßnahmen nutzte. Der fehlende zweite Sicherungsfaktor beim Login machte es den Betrügern leicht, das Konto zu übernehmen und persönliche Informationen auszulesen.

Urteil mit Wirkung für alle Banken

Die Entscheidung ist rechtskräftig und dürfte für die gesamte Bankenbranche von Bedeutung sein. Sie macht deutlich: Banken dürfen sich bei Betrugsfällen nicht einfach auf Fehler ihrer Kunden berufen. Wenn sie selbst Sicherheitsregeln missachten, müssen sie auch dafür geradestehen.