kryptoschaden.de

Der Bundesgerichtshof hat am 3. März 2026 mit Urteil zum Aktenzeichen XI ZR 20/24 entschieden, dass das manuelle chipTAN-Verfahren die Anforderungen der starken Kundenauthentifizierung im Sinne von § 1 Abs. 24 ZAG erfüllt, selbst wenn der Name des Zahlungsempfängers nicht im Display des TAN-Generators erscheint. Wer TANs auf telefonische Anweisung weitergibt, handelt grob fahrlässig — mit der Folge, dass ein Erstattungsanspruch gegen die Bank wirtschaftlich leerläuft.

BGH XI ZR 20/24: Was ist passiert?

Im Oktober 2020 erhielt die vollverfügungsberechtigte Ehefrau eines selbstständigen Handwerkers aus Sachsen-Anhalt eine E-Mail, die — trotz erkennbarer Rechtschreibfehler — vorgab, die Sparkasse verlange eine Neukonfiguration des TAN-Generators für ein angebliches „Covid Intelligence Spa Connect“-System. Die Ehefrau registrierte sich auf einer gefälschten Website; kurz darauf rief ein angeblicher Sparkassenmitarbeiter an einem Samstag an.

Der Anrufer veranlasste die Ehefrau, manuell Ziffernfolgen in den TAN-Generator einzugeben und die daraus entstehenden TANs telefonisch zu nennen. Die Täter nutzten diese TANs, um zunächst das Überweisungslimit von 10.000 Euro auf bis zu 94.999 Euro anzuheben und danach vier Sofortüberweisungen in Höhe von insgesamt knapp 39.454 Euro auszuführen. Als der Ehemann das Online-Banking am Sonntag über den Sperrnotruf blockieren ließ, war es zu spät. Das Geld war abgeflossen.

Das Landgericht Halle hatte dem Erstattungsbegehren zunächst stattgegeben; das OLG Naumburg wies die Berufung zurück. Der BGH bestätigte das klageabweisende Ergebnis in der Revision.

Welche Normen greifen?

Das Verfahren berührt mehrere aufeinander aufbauende Vorschriften des Zahlungsdiensterechts.

§ 675u Satz 2 BGB begründet dem Grundsatz nach einen Erstattungsanspruch des Zahlungsdienstnutzers, wenn ein Zahlungsvorgang nicht autorisiert war: Das Konto ist unverzüglich zu entlasten. Dieser Anspruch stand der Klägerin dem Grunde nach zu, da die Überweisungen ohne ihren rechtsgeschäftlichen Willen ausgeführt wurden.

§ 675v Abs. 3 Nr. 2 lit. b BGB erlaubt der Bank, dem Erstattungsanspruch einen Schadensersatzanspruch in gleicher Höhe entgegenzuhalten, wenn der Zahlungsdienstnutzer seine Sorgfaltspflichten aus § 675l Abs. 1 BGB grob fahrlässig verletzt hat — vorausgesetzt, die Bank hat beim streitgegenständlichen Zahlungsvorgang eine starke Kundenauthentifizierung eingesetzt. Die Pflicht nach § 675l Abs. 1 BGB umfasst insbesondere den Schutz personalisierter Sicherheitsmerkmale; hierzu zählt das ausdrückliche Verbot, eine TAN telefonisch oder in Textform weiterzugeben.

§ 675v Abs. 4 Nr. 1 BGB schließt diesen Gegenanspruch der Bank aus, wenn die Bank keine starke Kundenauthentifizierung im Sinne von § 1 Abs. 24 ZAG eingesetzt hat. Die Klägerin berief sich auf diesen Ausschluss: Das chipTAN-Verfahren sei nicht SCA-konform, weil der Name des Zahlungsempfängers nicht im Display des TAN-Generators erschienen sei. Der BGH folgte dieser Argumentation nicht.

§ 1 Abs. 24 ZAG definiert starke Kundenauthentifizierung als eine Authentifizierung, die mindestens zwei voneinander unabhängige Faktoren aus den Kategorien Wissen, Besitz und Inhärenz nutzt, sowie — bei Online-Zahlungen — eine dynamische Verknüpfung mit dem konkreten Betrag und dem konkreten Zahlungsempfänger. Im manuellen chipTAN-Verfahren werden Betrag und IBAN des Empfängers manuell in den Generator eingegeben und rechnerisch in die TAN eingebunden; damit ist das „dynamic linking“ gewährleistet. Dass der bürgerliche Name des Empfängers nicht zusätzlich auf dem kleinen Generator-Display erscheint, ändert nach Auffassung des BGH daran nichts: Die Anzeige des Empfängernamens im Online-Banking-Fenster — wo der Nutzer die Überweisung anlegt — reicht aus. TAN-Erzeugung findet nie isoliert statt, sondern stets im Kontext einer laufenden, dem Nutzer sichtbaren Transaktion.

Da § 675v Abs. 4 Nr. 1 BGB damit nicht eingreift, bleibt der Schadensersatzanspruch der Sparkasse nach § 675v Abs. 3 Nr. 2 lit. b BGB bestehen. Er entspricht betragsmäßig dem Erstattungsanspruch aus § 675u Satz 2 BGB, sodass die Bank ihm die dolo-agit-Einrede aus § 242 BGB entgegenhalten kann: Wer selbst sogleich zurückgeben müsste, was er fordert, handelt treuwidrig. Die Klage scheiterte vollständig.

Was bedeutet das für Geschädigte?

  • TAN-Weitergabe am Telefon bleibt das Hauptrisiko. Der BGH bestätigt seine Linie aus dem Urteil BGH XI ZR 107/22 vom 05.03.2024: Wer TANs telefonisch nennt, verletzt § 675l Abs. 1 BGB grob fahrlässig — unabhängig davon, wie überzeugend der Anruf wirkte.
  • Unwissenheit über das manuelle Verfahren schützt nicht. Das Argument, man habe das manuelle chipTAN-Verfahren nicht gekannt, entlastet nicht: Das Display des TAN-Generators zeigte IBAN und Betrag an — das allein hätte Anlass zur kritischen Prüfung geboten.
  • Warnsignale auf Bankwebsites sind rechtlich relevant. Sparkassen weisen öffentlich darauf hin, dass TANs niemals telefonisch weiterzugeben sind. Diese Hinweise fließen in die Bewertung der Sorgfaltspflichtverletzung ein.
  • § 675v Abs. 4 BGB hat enge Voraussetzungen. Die Ausschlussregel greift nur, wenn die Bank tatsächlich keine SCA eingesetzt hat — nicht schon dann, wenn das Sicherheitsverfahren aus Sicht des Kunden unvollständig erscheint. Für das chipTAN-Verfahren bleibt dieser Ausschlussgrund nach dem BGH-Urteil praktisch verschlossen.

Für Betroffene bedeutet dies: Sobald im Verlauf eines Betrugs TANs telefonisch weitergegeben wurden und das eingesetzte Verfahren SCA-konform war, ist ein Erstattungsanspruch gegen die kontoführende Bank nach aktuellem Rechtsstand kaum durchzusetzen. Anders liegt die Situation, wenn die Bank die SCA beim konkreten Zahlungsvorgang selbst nicht eingesetzt hat oder wenn Täter ohne aktive Mitwirkung des Kontoinhabers Zugriff erlangten — etwa durch technisches Spoofing ohne TAN-Offenbarung.

Welche Schritte sind jetzt sinnvoll?

  1. Sachverhalt dokumentieren. Sichern Sie alle verfügbaren Nachweise: E-Mails, Anrufprotokolle, Screenshots der gefälschten Websites und Kontoauszüge mit den streitigen Buchungen. Je vollständiger die Dokumentation, desto präziser lässt sich der Sachverhalt rechtlich einordnen.
  2. Strafanzeige erstatten. Eine Anzeige wegen § 263 StGB (Betrug) oder § 263a StGB (Computerbetrug) beim zuständigen Polizeipräsidium legt die strafprozessuale Grundlage für spätere Maßnahmen, einschließlich möglicher Vermögensabschöpfung nach §§ 73, 73a, 73c StGB.
  3. Sachverhalt anwaltlich auf SCA-Konformität prüfen lassen. Entscheidend ist, ob die Bank beim streitgegenständlichen Zahlungsvorgang tatsächlich ein SCA-konformes Verfahren eingesetzt hat. Die Abgrenzung zu technischen Spoofing-Szenarien ohne Kundenmitwirkung kann erhebliche rechtliche Auswirkungen haben.
  4. Fristen beachten. Ansprüche aus § 675u BGB unterliegen der regelmäßigen Verjährungsfrist; bei Betrug beginnt die Frist nicht vor Kenntnis des Schadens. Eine frühzeitige anwaltliche Prüfung verhindert, dass Ansprüche noch vor ihrer inhaltlichen Bewertung verjähren.
  5. Verfahrensunterschiede berücksichtigen. Das Urteil betrifft nur Konstellationen mit aktiver TAN-Weitergabe. Liegt ein anderes Betrugsschema vor — etwa das Anklicken eines Links ohne Weitergabe von TANs — ist die Rechtslage nach der Entscheidung des OLG Koblenz vom 17.04.2026 (8 U 682/24) möglicherweise anders zu beurteilen.

Häufige Fragen

Ist das chipTAN-Verfahren SCA-konform, wenn der Empfängername nicht im Generator-Display erscheint?

Ja. Der BGH hat in XI ZR 20/24 klargestellt, dass das manuelle chipTAN-Verfahren die Anforderungen an starke Kundenauthentifizierung nach § 1 Abs. 24 ZAG erfüllt, auch wenn der bürgerliche Name des Zahlungsempfängers nicht auf dem Display des TAN-Generators erscheint. Die Anzeige des Namens im Online-Banking-Fenster während der Transaktionsvorbereitung reicht aus. Die dynamische Verknüpfung mit Betrag und Empfänger-IBAN im Generator selbst genügt den gesetzlichen Anforderungen.

Was bedeutet grobe Fahrlässigkeit bei der telefonischen TAN-Weitergabe?

Grobe Fahrlässigkeit im Sinne von § 675v Abs. 3 Nr. 2 lit. b BGB liegt vor, wenn der Nutzer die im Verkehr erforderliche Sorgfalt in besonders schwerem Maß verletzt. Wer TANs telefonisch nennt, obwohl die Online-Banking-Bedingungen dies ausdrücklich untersagen und Banken öffentlich vor genau solchen Anrufen warnen, erfüllt diesen Maßstab. Auch Anrufe außerhalb der Geschäftszeiten und erkennbare Rechtschreibfehler in vorausgegangenen E-Mails sind Warnsignale, deren Nichtbeachtung diesen Befund stützt.

Besteht trotz grober Fahrlässigkeit irgendein Erstattungsanspruch?

Der Erstattungsanspruch nach § 675u Satz 2 BGB entsteht dem Grunde nach, weil die Zahlungsvorgänge nicht autorisiert waren. Allerdings hält die Bank dem Anspruch ihren Schadensersatzanspruch aus § 675v Abs. 3 Nr. 2 lit. b BGB entgegen. Da beide Ansprüche betragsmäßig identisch sind, ergibt sich nach dem dolo-agit-Grundsatz aus § 242 BGB, dass das Geltendmachen des Erstattungsanspruchs treuwidrig wäre. Im wirtschaftlichen Ergebnis erhält der Geschädigte keine Erstattung.

Wie unterscheidet sich die Rechtslage bei Phishing ohne aktive TAN-Weitergabe?

Das OLG Koblenz hat am 17.04.2026 (8 U 682/24) entschieden, dass das bloße Anklicken eines SMS-Links und ein mögliches Einloggen auf einer täuschend echt gestalteten Phishing-Seite — ohne erkennbare Red Flags und ohne aktive TAN-Weitergabe — nicht den Maßstab grober Fahrlässigkeit erfüllt. In solchen Konstellationen ist ein Erstattungsanspruch nach § 675u BGB realistisch durchsetzbar, weil der Ausschlussgrund nach § 675v Abs. 3 BGB nicht greift. Der entscheidende Trennstrich liegt darin, ob der Kunde durch aktives Handeln — insbesondere die Weitergabe einer TAN — die Täter in die Lage versetzt hat, die Zahlung auszuführen.

Einordnung

Das Urteil BGH XI ZR 20/24 fügt sich in eine konsistente Linie des XI. Zivilsenats ein, die seit dem Urteil vom 05.03.2024 (XI ZR 107/22) die Risikoverteilung bei nicht autorisierten Zahlungen schärfer konturiert. Die SCA-Anforderungen des § 1 Abs. 24 ZAG werden dabei technologieneutral und systemisch ausgelegt: Entscheidend ist das Zusammenspiel aus Generator und Online-Banking-Oberfläche, nicht das Display-Format allein. Parallel dazu differenziert die Instanzrechtsprechung — etwa das OLG Koblenz 2026 — zunehmend nach dem Grad der Eigenverantwortung des Kunden. Für Betroffene, bei denen kein aktives Mitwirken festzustellen ist, bleibt der Weg über § 675u BGB damit weiterhin relevant.