Haftung von Banken bei digitalem Betrug

Digitale Betrugsformen wie Krypto-Fraud, Romance Scamming, Phishing oder der Missbrauch von Online-Banking-Verfahren führen zunehmend zu erheblichen Vermögensschäden. Die Rechtsprechung zeigt jedoch, dass die Haftung nicht allein beim Opfer verbleiben muss. Banken und Zahlungsdienstleister trifft eine weitreichende Pflicht zur Sicherstellung wirksamer Authentifizierungs- und Kontrollmechanismen. Werden diese Pflichten verletzt, kann ein Anspruch auf Erstattung oder Schadensersatz bestehen.

1. Digitale Betrugsfälle und die Verantwortlichkeit der Banken

Angesichts komplexer Betrugsszenarien beurteilen Gerichte die Mitverantwortung von Banken zunehmend differenziert. Werden Sicherheitsdefizite festgestellt, Warnsignale übersehen oder technische Vorgaben nicht erfüllt, kann die Bank vollständig oder teilweise haften. Damit ist ein erheblicher Teil digitaler Betrugsfälle rechtlich überprüfbar und nicht zwingend endgültig.

2. OLG Dresden: Teilhaftung trotz Mitverschuldens des Kunden

(OLG Dresden, Urteil vom 05.06.2025 – 8 U 1482/24)
Das OLG Dresden erkannte zwar ein Fehlverhalten des Kunden, der in einen Phishing-Angriff geraten war, stellte aber zugleich fest, dass die Bank ihrerseits keine zeitgemäßen Sicherheitsverfahren implementiert hatte.
Insbesondere das Fehlen einer wirksamen Zwei-Faktor-Authentifizierung führte zu einer Haftungsteilung und zur Verurteilung der Bank zur Teilerstattung.

3. LG Itzehoe: Pflicht zur Implementierung sicherer App-Aktivierungsprozesse

(LG Itzehoe, Urteil vom 28.01.2025 – 7 O 114/24)
Das Gericht hob hervor, dass die Aktivierung einer Banking-App ein besonders sicherheitsrelevanter Vorgang ist.
Mangels starker Authentifizierung und Echtzeit-Warnhinweisen erkannte das LG eine Pflichtverletzung der Bank und verurteilte sie zur Erstattung des Schadens, obwohl der Kunde den Vorgang aufgrund einer Täuschung selbst ausgelöst hatte.

4. BGH: Banken tragen die Beweislast für Kundenautorisierungen

(BGH, Urteil vom 05.03.2024 – XI ZR 107/22)
Der Bundesgerichtshof stellt klar, dass eine Bank beweispflichtig ist, wenn ein Kunde eine Zahlung bestreitet.
Technische Protokolle oder Logdaten reichen nicht aus, wenn damit keine zweifelsfreie Autorisierung belegt werden kann.
In dem Verfahren wurden mehrere Überweisungen aufgrund einer gefälschten E-Mail ausgeführt, ohne Rückfrage bei der Kundschaft. Der BGH entschied zugunsten der Geschädigten und bestätigte deren Anspruch auf Rückzahlung.

5. OLG München: Bank haftet bei unzureichender Sicherheitsarchitektur

(OLG München, Beschluss vom 04.09.2023 – 19 U 1508/23)
Das OLG München stellte fest, dass ein Fehlverhalten des Kunden – hier durch einen Fake-Support ausgelöst – nicht automatisch die Haftung der Bank ausschließt.
Fehlen technische Schutzmechanismen, wie mehrstufige Authentifizierungen oder Plausibilitätsprüfungen, liegt ein Organisationsverschulden vor.

6. LG Landshut: Veraltete Verfahren begründen volle Bankhaftung

(LG Landshut, Urteil vom 14.07.2011 – 24 O 1129/11)
Das Gericht stellte fest, dass die Verwendung überholter Sicherheitsverfahren – im konkreten Fall das iTAN-System – einen systemischen Verstoß gegen die Verkehrssicherungspflicht darstellt.
Wird Betrug dadurch begünstigt, kann die Bank vollständig haften, selbst wenn dem Kunden leichte Fahrlässigkeit vorgeworfen wird.
Diese Grundsätze lassen sich auch auf moderne Betrugsformen, insbesondere Social-Engineering-Angriffe, übertragen.

7. EuGH: Unzulässigkeit haftungsbefreiender AGB bei unsicheren Verfahren

(EuGH, Urteil vom 11.11.2020 – C-287/19 „DenizBank“)
Der Europäische Gerichtshof entschied, dass Banken die Haftung für kontaktlose Zahlungsabläufe nicht per AGB ausschließen dürfen, wenn die Sicherheitsstandards unzureichend sind.
Das Urteil hat über den konkreten Fall hinaus Bedeutung für alle digitalen Zahlungsformen, insbesondere mobile Payment- und App-Verfahren.