OLG Koblenz April 2026: 56.000 Euro Erstattung trotz Spoofing

Das OLG Koblenz hat im April 2026 mit seiner Entscheidung zur Spoofing Bankhaftung ein weitreichendes Signal gesetzt: Eine Bank ist verpflichtet, ihrem Kunden 56.000 Euro zu erstatten, obwohl dieser einer Phishing-Attacke zum Opfer fiel und eine TAN preisgab. Grundlage ist § 675u BGB, der Kreditinstitute zur Erstattung nicht autorisierter Zahlungen innerhalb eines Geschäftstages verpflichtet. Das Urteil zeigt, dass professionell durchgeführte Spoofing-Angriffe den Erstattungsanspruch der Betroffenen nicht zwingend ausschließen — und wie entscheidend ein IT-Gutachten zu SCA-Mängeln im Prozess sein kann.

Der Fall folgte einem inzwischen in Ermittlungskreisen gut dokumentierten Muster: Die Täter nutzten Call-ID-Spoofing und ließen die offizielle Rufnummer der Bank auf dem Display des Opfers erscheinen. Anschließend gaben sie sich als Bankmitarbeiter aus und erzeugten durch Zeitdruck und glaubwürdig klingende Sicherheitsszenarien eine Situation, in der der Kunde zur Herausgabe einer TAN verleitet wurde. Innerhalb kürzester Zeit wurden 56.000 Euro vom Konto abgebucht. Die Bank verweigerte danach die Erstattung und berief sich auf grobe Fahrlässigkeit des Kunden. Das OLG Koblenz ließ diese Argumentation nicht gelten.

Was hat das OLG Koblenz im April 2026 entschieden?

Das OLG Koblenz verurteilte die beklagte Bank zur vollständigen Rückerstattung von 56.000 Euro. Die Richter kamen zu dem Ergebnis, dass ein Bankkunde, der von professionell agierenden Tätern mit Call-ID-Spoofing und psychologischem Druck überrumpelt wird, nicht grob fahrlässig handelt. Die Beweislast für das Gegenteil trug die Bank — und konnte sie nicht erfüllen.

Zusätzlich ließ das Gericht ein IT-Gutachten zu, das Mängel in der starken Kundenauthentifizierung (SCA) auf Seiten der Bank nachwies. Dieses Gutachten belastete die Bank in doppelter Hinsicht: Zum einen schwächte es den Einwand der ordnungsgemäßen Absicherung, zum anderen deutete es darauf hin, dass die Bank ihren Pflichten aus der Delegierten Verordnung (EU) 2018/389 zur PSD2 nicht vollständig nachgekommen war. Wer als Institut nachweislich hinter den regulatorischen SCA-Anforderungen zurückbleibt, kann sich im Erstattungsstreit nur schwerlich auf die formale Autorisierungshandlung des Kunden zurückziehen. Das Koblenzer Urteil steht damit exemplarisch für eine wachsende Tendenz in der Rechtsprechung, die Verantwortung für technische Schutzlücken stärker den Instituten zuzuweisen.

Phishing-Beschwerden haben laut aktuellen Marktberichten im Vergleich zum Vorjahr um mehr als die Hälfte zugenommen; Verluste durch betrügerische Transaktionen im Europäischen Wirtschaftsraum beliefen sich im Jahr 2025 auf rund 10,6 Milliarden Euro — ein Anstieg von 17 Prozent. Vor diesem Hintergrund gewinnen Urteile wie das des OLG Koblenz erheblich an praktischer Bedeutung für Geschädigte.

Rechtsgrundlage § 675u BGB: Was bedeutet das für Betroffene?

Nach § 675u Satz 2 BGB ist das Zahlungsdienstleistungsinstitut verpflichtet, einen nicht autorisierten Zahlungsvorgang innerhalb eines Geschäftstages zu erstatten und das Zahlungskonto auf den Stand zu bringen, der ohne die fehlerhafte Belastung bestünde. Die Norm bildet das zivilrechtliche Fundament des Verbraucherschutzes bei Phishing und Spoofing und ist gegenüber abweichenden Vereinbarungen zum Nachteil des Zahlungsdienstnutzers unabdingbar.

Der Anspruch aus § 675u BGB setzt voraus, dass die streitige Transaktion nicht autorisiert war. Die Autorisierung regelt § 675j BGB: Sie ist die Zustimmung des Zahlungsdienstnutzers zur Ausführung des Zahlungsvorgangs in der vertraglich vereinbarten Form — etwa durch Eingabe einer TAN, Freigabe einer PushTAN oder Bestätigung per chipTAN. Entscheidend ist, ob der Nutzer diese Zustimmungshandlung frei und informiert vorgenommen hat oder ob Täuschung so tief in den Willensbildungsprozess eingegriffen hat, dass von einer wirksamen Autorisierung nicht mehr gesprochen werden kann.

An dieser Grenzlinie arbeiten die Oberlandesgerichte seit 2023 intensiv. Das OLG Bremen hat in der Entscheidung 1 U 32/24 ausgeführt, dass eine Autorisierung nach § 675j BGB unter den allgemeinen Irrtumsregeln der §§ 119 ff. BGB anfechtbar sein kann. Wer durch einen als Bankmitarbeiter getarnten Betrüger glaubt, durch die PushTAN-Freigabe eine bereits veranlasste Rückbuchung auszulösen, und in Wirklichkeit eine Auszahlung an Dritte genehmigt, befindet sich in einem Inhaltsirrtum nach § 119 Abs. 1 BGB. Die Anfechtung kann die Wirksamkeit der Autorisierung nachträglich beseitigen und den Erstattungsanspruch reaktivieren — allerdings unter dem Vorbehalt eines möglichen Schadensersatzanspruchs der Bank nach § 122 BGB. Dieser wiederum kann mit dem Erstattungsanspruch aufgerechnet werden, wie der BGH in XI ZR 107/22 klargestellt hat.

Zentral für die Praxis ist die Beweislastverteilung: Das Kreditinstitut trägt die Beweislast dafür, dass der Zahlungsdienstnutzer vorsätzlich oder grob fahrlässig gehandelt hat. Kann die Bank diesen Beweis nicht führen — was beim professionellen Einsatz von Spoofing-Technologien regelmäßig schwierig ist —, bleibt der Erstattungsanspruch des Kunden bestehen.

Wann liegt grobe Fahrlässigkeit beim Spoofing vor — und wann nicht?

Grobe Fahrlässigkeit setzt nach der ständigen Rechtsprechung des BGH einen objektiv schwerwiegenden und subjektiv schlechthin unentschuldbaren Verstoß gegen die im Verkehr erforderliche Sorgfalt voraus. Der Maßstab ist hoch, und nicht jede Preisgabe von Sicherheitsdaten erfüllt ihn. Das OLG Koblenz hat im April 2026 verdeutlicht, dass professionell eingesetztes Call-ID-Spoofing in Verbindung mit konkretem Kontowissen der Täter die subjektive Vorwerfbarkeit erheblich mindern kann.

„Wer von professionell agierenden Tätern überrumpelt wird, die sich glaubhaft als Bankmitarbeiter ausgeben und dabei die echte Rufnummer der Bank auf dem Display erscheinen lassen, handelt nicht grob fahrlässig.“ — OLG Koblenz, April 2026

Dieses Ergebnis steht in einem bewussten Spannungsverhältnis zu anderen OLG-Entscheidungen, in denen grobe Fahrlässigkeit bejaht wurde. Das OLG Frankfurt entschied 2023, dass ein Kunde, der nach einer Phishing-SMS eine temporäre Limiterhöhung sowie eine Überweisung per PushTAN und Gesichtserkennung freigab, grob fahrlässig handelte. Der 14. Zivilsenat des OLG Düsseldorf kündigte mit Hinweisbeschluss vom 23. Februar 2026 (Az. 14 U 37/25) die einstimmige Zurückweisung der Berufung einer Kundin an, die trotz vorangegangenem Phishing-Kontakt und eigenem Anruf bei der Bank am selben Tag einer weiteren telefonischen Aufforderung gefolgt war und eine 14.000-Euro-Überweisung per PushTAN freigegeben hatte. Der Senat bewertete dies als „völlig unverständlich“ und bejahte grobe Fahrlässigkeit.

Der entscheidende Differenzierungsmaßstab lautet: Konnte der Kunde bei objektiver Betrachtung erkennen, dass er einem Betrug zum Opfer fiel? Hatte die Bank ihn zuvor konkret und individuell vor genau dieser Betrugsmasche gewarnt? Waren die Täuschungsmittel für einen durchschnittlichen Nutzer ohne technische Vorbildung erkennbar als gefälscht? Wenn die Antworten auf all diese Fragen verneinend ausfallen, scheidet grobe Fahrlässigkeit im Regelfall aus.

Nach BGH XI ZR 91/14 bleibt zudem die subjektive Komponente der groben Fahrlässigkeit stets ein eigenständiger Prüfungsschritt. Selbst ein objektiv schwerwiegender Sorgfaltsverstoß begründet noch keine grobe Fahrlässigkeit, wenn der Handelnde aufgrund besonderer Umstände — etwa Alter, situativer Überforderung oder glaubwürdiger Täuschung — subjektiv nicht in der Lage war, die Gefährlichkeit seines Verhaltens zu erkennen. Diese Differenzierung öffnet im Einzelfall Spielraum für Geschädigte, die unter hohem Druck und professioneller Manipulation handelten.

Wie unterscheiden sich die OLG-Entscheidungen 2024–2026?

Die Oberlandesgerichte haben zwischen 2024 und 2026 eine differenzierte, fallbezogene Linie entwickelt. Zentrales Bewertungskriterium ist das Zusammenspiel aus Täuschungsqualität, vorheriger Warnlage und SCA-Integrität auf Bankseite. Die nachfolgende Übersicht zeigt die wichtigsten Entscheidungen im Vergleich.

Gericht / Aktenzeichen	Sachverhalt	Rechtliches Ergebnis	Haftungsquote Bank
OLG Koblenz, April 2026	Call-ID-Spoofing; Anrufer als Bankmitarbeiter; TAN-Preisgabe; IT-Gutachten belegt SCA-Mängel	Keine grobe Fahrlässigkeit; § 675u BGB greift vollständig	100 % (56.000 €)
LG Köln, 22 O 43/23	Call-ID-Spoofing; Opfer erhält Anruf unter echter Banknummer; TAN-Herausgabe ohne vorige Warnung	Keine grobe Fahrlässigkeit; volle Erstattung	100 %
OLG Dresden, 8 U 1482/24	Phishing mit teilweisem Mitverschulden; Kunde hätte bei Sorgfalt Unregelmäßigkeit erkennen können	Mitverschulden nach § 254 BGB; Erstattung gekürzt	80 % (20 % Mitverschulden)
OLG Frankfurt, 2023	Phishing-SMS; PushTAN-Freigabe auf Telefonanruf; Limiterhöhung und Überweisung per Gesichtserkennung	Grobe Fahrlässigkeit; Anspruch entfällt	0 %
OLG Düsseldorf, 14 U 37/25 (23.2.2026)	Phishing-SMS am Vortag; Kundin rief selbst bei Bank an; am selben Tag PushTAN-Freigabe auf fingierten Rückruf	Zahlung autorisiert; grobe Fahrlässigkeit; Berufung zurückgewiesen	0 %
OLG Bremen, 1 U 32/24	Call-ID-Spoofing; Kunde glaubte, Rückbuchung zu veranlassen; PushTAN-Freigabe	Autorisierung nach § 675j BGB anfechtbar nach § 119 BGB; PushTAN-Freigabe auf Anruf grob fahrlässig	Fallabhängig
BGH XI ZR 20/24 (3.3.2026)	chipTAN-Verfahren; Frage der SCA-Konformität	chipTAN erfüllt Anforderungen der starken Kundenauthentifizierung	Grundsatzentscheidung
BGH XI ZR 107/22	Aufrechnung von Schadensersatzansprüchen der Bank gegen Erstattungsanspruch des Kunden	Aufrechnung zulässig; Ansprüche können sich gegenseitig neutralisieren	Grundsatzentscheidung

Das Gesamtbild zeigt: Entscheidend ist nicht allein, ob eine TAN oder PushTAN herausgegeben wurde, sondern unter welchen Umständen dies geschah, ob die Bank zuvor konkrete Warnungen erteilt hatte und ob ihre SCA-Infrastruktur den gesetzlichen Anforderungen entsprach. Je professioneller und technisch raffinierter der Angriff, desto geringer ist regelmäßig der Fahrlässigkeitsvorwurf gegenüber dem Opfer. Zugleich zeigt die Gegenüberstellung, dass die bloße Berufung auf Call-ID-Spoofing allein nicht ausreicht: Wer trotz vorangehender Warnung der Bank, trotz eigenem Telefonkontakt mit dem Institut und trotz erkennbar ungewöhnlichem Ablauf eine PushTAN freigibt, handelt nach der überwiegenden OLG-Linie grob fahrlässig — unabhängig davon, ob auf dem Display die echte Bankrufnummer erschien.

Welche Rolle spielt das IT-Gutachten zu SCA-Mängeln?

Das IT-Gutachten im Koblenzer Verfahren erwies sich als prozessentscheidend. Es belegte, dass die Bank bei der Implementierung der starken Kundenauthentifizierung (SCA) hinter den Anforderungen der Delegierten Verordnung (EU) 2018/389 zur zweiten Zahlungsdiensterichtlinie (PSD2) zurückblieb. Damit war das Argument der Bank, die Transaktion sei ordnungsgemäß abgesichert gewesen, erheblich geschwächt.

SCA-Mängel haben im Haftungsrecht eine doppelte Wirkung. Erstens können sie die Annahme einer wirksamen Autorisierung erschüttern: Wenn das Authentifizierungssystem selbst Schwachstellen aufweist, ist fraglich, ob der formale Bestätigungsvorgang die Anforderungen des § 675j BGB erfüllt. Zweitens können SCA-Lücken eine eigenständige Pflichtverletzung der Bank begründen, die Schadensersatzansprüche nach allgemeinen Grundsätzen auslöst. Rechtlich relevant ist in diesem Zusammenhang auch BGH XI ZR 20/24 vom 3. März 2026: Der BGH bestätigte, dass das chipTAN-Verfahren die SCA-Anforderungen erfüllt. Im Umkehrschluss bedeutet dies, dass Verfahren mit nachgewiesenen Sicherheitslücken diesen Anforderungen gerade nicht genügen und damit zu Lasten des Instituts zu werten sind.

Für Geschädigte ergibt sich daraus eine wichtige Prozessstrategie: Frühzeitig einen IT-Sachverständigen einschalten, der die eingesetzte Authentifizierungstechnologie der Bank auf Konformität mit der DelVO (EU) 2018/389 überprüft. Belegt das Gutachten Mängel, stärkt dies die Position des Klägers erheblich — sowohl in der Frage der Autorisierung als auch beim Fahrlässigkeitsvorwurf. Banken investieren nach dem Koblenzer Urteil wahrscheinlich mehr in SCA-Systeme, um dieses Argument künftig zu entkräften. Geschädigte sollten daher die Sicherheitsarchitektur des Instituts zum Zeitpunkt des Schadensereignisses dokumentieren lassen.

Wie funktioniert Call-ID-Spoofing, und warum schützt es Täter rechtlich?

Beim Call-ID-Spoofing manipulieren Täter die Anrufer-ID, die auf dem Display des Opfers erscheint, sodass die Nummer der eigenen Bank angezeigt wird. Technisch ist dies mit frei verfügbaren VoIP-Diensten möglich. Für das Opfer ist der gefälschte Anruf von einem echten Bankgespräch optisch nicht zu unterscheiden.

Für die rechtliche Bewertung ist entscheidend, ob das Gericht dieses Täuschungsmittel als so ausgefeilt bewertet, dass es einen durchschnittlichen Bankkunden ohne technisches Vorwissen überrumpeln kann. Das OLG Koblenz hat dies im April 2026 bejaht. Demgegenüber haben mehrere andere Oberlandesgerichte — darunter OLG Sachsen-Anhalt (5 U 35/24), OLG Frankfurt (3 U 3/23 und 3 U 84/23) sowie OLG München (19 U 2204/22) — betont, dass in der Öffentlichkeit seit Jahren bekannt ist, dass Anrufnummern auf dem Display gefälscht werden können. Diese Einschätzung hat das OLG Düsseldorf im Hinweisbeschluss vom 23. Februar 2026 übernommen und festgestellt, seit 2024 sei dies allgemein bekannt.

Die Rechtsprechung ist damit gespalten: Wo die Täuschungsqualität besonders hoch ist — etwa durch Kombination aus echter Bankrufnummer, spezifischem Kontowissen und psychologischem Druck — tendieren Gerichte zur Verneinung grober Fahrlässigkeit. Wo hingegen die Bank zuvor ausdrücklich gewarnt hatte und der Ablauf für einen aufmerksamen Kunden erkennbar ungewöhnlich war, wird grobe Fahrlässigkeit bejaht. Diese Fallabgrenzung macht eine sorgfältige anwaltliche Einzelfallanalyse unerlässlich.

Relevant ist in diesem Zusammenhang auch, ob Kunden die Täuschung durch Rückruf bei der Bank über die auf der Bankkarte gedruckte Nummer hätten aufklären können. Das OLG Düsseldorf wertete diesen Gesichtspunkt im Rahmen der Mitverschuldensprüfung. Das OLG Koblenz hingegen ließ die professionelle Täuschungsqualität als ausreichend gelten, um den Rückruf-Unterlassungsvorwurf zu entkräften.

Autorisierung nach § 675j BGB: Kann ein Irrtum die Zahlung rückgängig machen?

Das OLG Bremen hat in der Entscheidung 1 U 32/24 klargestellt, dass eine nach § 675j BGB erteilte Autorisierung unter den allgemeinen Anfechtungsregeln der §§ 119 ff. BGB angreifbar ist — und diese Möglichkeit nicht auf die arglistige Täuschung nach § 123 BGB beschränkt bleibt. Wer irrig glaubte, mit der PushTAN-Freigabe eine Rückbuchung zu veranlassen, statt eine Auszahlung zu genehmigen, handelte in einem Irrtum über den Inhalt der Erklärung nach § 119 Abs. 1 BGB.

Diese Rechtsprechungslinie eröffnet eine zusätzliche Handlungsoption für Betroffene, birgt aber Risiken. Die Anfechtung vernichtet die Autorisierung rückwirkend und reaktiviert den Erstattungsanspruch nach § 675u BGB. Zugleich kann die Bank nach § 122 BGB Ersatz des Vertrauensschadens verlangen. Dieser Anspruch kann nach BGH XI ZR 107/22 mit dem Erstattungsanspruch des Kunden aufgerechnet werden, was das Ergebnis wirtschaftlich schmälern kann. Die Anfechtungsstrategie empfiehlt sich deshalb nur in Verbindung mit einer vollständigen rechtlichen Analyse, die insbesondere den Inhalt der TAN-App-Anzeige, die Kommunikationsabläufe und die genaue Kenntnis des Kunden vom Transaktionsinhalt berücksichtigt.

Aus der Perspektive der OLG-Linie 2024–2026 lässt sich festhalten: Das OLG Dresden (8 U 578/22) hat in einem Fall, in dem der Kläger behauptete, nicht gewusst zu haben, dass er eine konkrete Summe an einen konkreten Empfänger überwies, eine ernstzunehmende Autorisierungsfrage gesehen. Das OLG Düsseldorf hat diesen Fall von seiner Konstellation abgegrenzt, weil der dortige Kläger die korrekte Transaktion im PushTAN-App-Display sehen konnte und bewusst bestätigte. Das bedeutet: Je klarer die Transaktion im Authentifizierungsmedium angezeigt wurde und je mehr der Kunde diese Anzeige tatsächlich gesehen hat, desto schwerer ist eine Anfechtung wegen Inhaltsirrtums zu begründen.

Praktische Schritte für Spoofing-Geschädigte

1. Sofortige Sperrung des Onlinebankings: Wenden Sie sich umgehend an die Hotline Ihrer Bank oder nutzen Sie den SCHUFA-Sperr-Notruf 116 116, um das Onlinebanking zu sperren. Sichern Sie gleichzeitig Bildschirmfotos des Anruf-Displays — diese können im Verfahren als Beweis dienen, dass die Rufnummer der Bank erschienen ist.
2. Förmliche Missbrauchsanzeige nach § 675l Abs. 1 Satz 2 BGB: Erstatten Sie gegenüber der Bank schriftlich eine Missbrauchsanzeige und dokumentieren Sie Datum sowie Uhrzeit der Abgabe. Halten Sie darin ausdrücklich fest, welche Daten Sie preisgegeben haben und dass ein unbefugter Zugriff auf Ihr Zahlungskonto stattgefunden hat. Diese Anzeige ist prozessual relevant.
3. Strafanzeige: Erstatten Sie bei der zuständigen Polizeidienststelle oder Staatsanwaltschaft Strafanzeige wegen Betrugs (§ 263 StGB) und Computerbetrugs (§ 263a StGB). Ermittlungsergebnisse — etwa zu Täterstrukturen oder eingesetzter Technik — können für das Zivilverfahren wertvolles Beweismaterial liefern.
4. Vollständige Beweissicherung: Sichern Sie alle relevanten Unterlagen: SMS-Nachrichten, E-Mails, den Anrufverlauf auf dem Mobiltelefon, TAN-Quittungen, Kontoauszüge, Bankkorrespondenz und Sicherheitshinweise der Bank. Löschen Sie nichts — auch scheinbar unwichtige Details können entscheidend sein.
5. Schriftliche Erstattungsaufforderung: Fordern Sie die Bank schriftlich unter Fristsetzung — regelmäßig zwei Wochen — zur Erstattung nach § 675u BGB auf. Verweisen Sie explizit auf die Beweislast des Instituts nach der geltenden Rechtsprechung und auf das Koblenzer Urteil vom April 2026.
6. Anwaltliche Prüfung der Prozessstrategie: Lassen Sie durch eine auf Bank- und Kapitalmarktrecht spezialisierte Kanzlei prüfen, ob ein IT-Sachverständigengutachten zu SCA-Mängeln, eine Anfechtung nach § 119 BGB oder die direkte Geltendmachung nach § 675u BGB im Einzelfall am erfolgversprechendsten ist. Die Wahl der richtigen Anspruchsgrundlage beeinflusst Beweislast, Verjährung und wirtschaftliches Ergebnis erheblich.
7. Verjährungsfristen beachten: Der Erstattungsanspruch nach § 675u BGB unterliegt der dreijährigen regelmäßigen Verjährungsfrist des § 195 BGB. Untätigkeit kann Ansprüche dauerhaft gefährden. Handeln Sie zügig, insbesondere wenn zwischen dem Schadensereignis und der Ablehnung durch die Bank bereits längere Zeit vergangen ist.

Was bedeutet BGH XI ZR 20/24 für die Spoofing-Rechtsprechung?

Der BGH hat am 3. März 2026 in der Rechtssache XI ZR 20/24 entschieden, dass das chipTAN-Verfahren die Anforderungen der starken Kundenauthentifizierung im Sinne der Delegierten Verordnung (EU) 2018/389 erfüllt. Diese Grundsatzentscheidung ist für die Spoofing-Rechtsprechung aus zwei Gründen bedeutsam: Sie definiert erstens einen konkreten Mindeststandard, an dem andere Authentifizierungsverfahren gemessen werden können. Zweitens stärkt sie mittelbar die Position von Klägern, deren Bank ein weniger sicheres oder schlecht implementiertes Verfahren einsetzte.

Wenn das chipTAN-Verfahren SCA-konform ist, folgt daraus im Umkehrschluss, dass Verfahren ohne entsprechende Sicherheitsmerkmale — oder chipTAN-ähnliche Verfahren mit nachgewiesenen Implementierungsmängeln — den gesetzlichen Anforderungen nicht genügen. Genau diese Argumentation hat das IT-Gutachten im Koblenzer Verfahren genutzt. Die Kombination aus BGH XI ZR 20/24 und dem Koblenzer Urteil schafft damit eine solide Grundlage für Geschädigte, die SCA-Mängel ihrer Bank nachweisen wollen.

Darüber hinaus bleibt die Frage der Aufrechnung nach BGH XI ZR 107/22 in der praktischen Bearbeitung jedes Falls zu berücksichtigen. Selbst wenn der Erstattungsanspruch dem Grunde nach besteht, kann die Bank einen Schadensersatzanspruch — etwa wegen grob fahrlässiger Verletzung von Sorgfaltspflichten durch den Kunden oder wegen des Vertrauensschadens nach § 122 BGB im Falle einer Anfechtung — in Höhe des Erstattungsbetrags aufrechnen. Das Ergebnis wäre wirtschaftlich eine Nulllösung. Anwaltliche Beratung ist daher nicht nur im Hinblick auf die Anspruchsgrundlage, sondern auch zur Prüfung möglicher Aufrechnungslagen der Gegenseite unverzichtbar.

Quellen und weiterführende Informationen

• Borncity: Phishing-Welle trifft Sparkassen-Kunden — OLG Koblenz stärkt Verbraucherrechte (2026)
• Ferner Alsdorf: Phishing per PushTAN — OLG Düsseldorf zu Autorisierung und grober Fahrlässigkeit im Onlinebanking (Az. 14 U 37/25, Hinweisbeschluss 23.2.2026)
• Hortmann Law: Autorisierte Zahlung bei Betrug — PushTAN, Phishing und Kundenhaftung nach §§ 675j, 675u, 675v BGB
• §§ 675j, 675l, 675u, 675v, 675z BGB; § 119 BGB; § 122 BGB; § 254 BGB; § 263 StGB; § 263a StGB
• Delegierte Verordnung (EU) 2018/389 der Kommission — Anforderungen an die starke Kundenauthentifizierung (SCA) nach PSD2
• BGH XI ZR 20/24 (3.3.2026) — chipTAN und SCA; BGH XI ZR 107/22 — Aufrechnung; BGH XI ZR 91/14 — subjektive Komponente grober Fahrlässigkeit

Verfasst von Rechtsanwältin Anna O. Orlowa, LL.M. · REXUS Rechtsanwaltsgesellschaft mbH, Stuttgart · Fachgebiete Bank- und Kapitalmarktrecht, Cybercrime, Asset Recovery, eWpG, MiCAR.