kryptoschaden.de

Das Oberlandesgericht Koblenz hat mit Urteil vom 17. April 2026 (Az. 8 U 682/24) die Sparkasse Westerwald-Sieg zur vollständigen Erstattung eines Phishing-Schadens sowie zur Übernahme vorgerichtlicher Anwaltskosten verurteilt. Der 8. Zivilsenat stellt klar: Die Beweislast für grobe Fahrlässigkeit des Kunden liegt ausnahmslos bei der Bank — Spekulationen über mögliche Geschehensabläufe genügen nicht. Kunden, die einer täuschend echten Phishing-Attacke mit Call-ID-Spoofing und Insiderkenntnissen zum Konto zum Opfer fallen, handeln nicht automatisch grob fahrlässig.

OLG Koblenz 8 U 682/24: Was ist passiert?

Im Juli 2022 wurden mehrere Kunden der Sparkasse Westerwald-Sieg durch einen hochprofessionellen Betrugsangriff geschädigt. Ein angeblicher Mitarbeiter der technischen Abteilung der Bank rief die Kunden an; die angezeigte Telefonnummer entsprach exakt der echten Rufnummer der Sparkasse — sogenanntes Call-ID-Spoofing. Der Anrufer kannte sensible Kontodaten und teilte mit, das bislang genutzte chipTAN-Verfahren werde auf das pushTAN-Verfahren umgestellt. Den Kunden wurde per SMS ein Link zur Aktivierung des neuen Sicherheitsverfahrens zugeschickt.

In den Folgetagen wurden sieben Echtzeit-Überweisungen ins Ausland über insgesamt rund 56.100 Euro ausgeführt. Die Kunden hatten diese Überweisungen weder veranlasst noch autorisiert. Das Landgericht Koblenz wies die Klage im Ergebnis ab, weil es dem Hauptkontoinhaber grobe Fahrlässigkeit vorhielt und der Bank einen gleichwertigen Schadensersatzanspruch zusprach. Das OLG Koblenz hob dieses Urteil auf und verurteilte die Sparkasse zur vollständigen Schadenserstattung sowie zur Übernahme der vorgerichtlichen Anwaltskosten, wie Anwaltskanzlei Aslanidis, Kress & Häcker-Hollmann berichtet.

Welche Normen greifen?

Die dogmatische Grundlage des Urteils bildet das Zahlungsdiensterecht des BGB. § 675u S. 2 BGB verpflichtet den Zahlungsdienstleister, den Betrag eines nicht autorisierten Zahlungsvorgangs unverzüglich zu erstatten und das Konto auf den Stand vor der Belastung zurückzuführen. Der Erstattungsanspruch entsteht verschuldensunabhängig bereits mit dem Nachweis der fehlenden Autorisierung.

Die Bank kann diesem Anspruch nach § 675v Abs. 3 BGB nur dann einen gegenläufigen Schadensersatzanspruch entgegenhalten, wenn der Zahler in betrügerischer Absicht handelte oder seine Pflichten grob fahrlässig verletzte und dabei eine starke Kundenauthentifizierung im Sinne von § 1 Abs. 24 ZAG verwendet wurde. Grobe Fahrlässigkeit ist dabei von der Bank vollständig darzulegen und zu beweisen.

Diese Beweislastverteilung folgt unmittelbar aus § 675w BGB: Der Zahlungsdienstleister trägt die volle Beweislast sowohl für die Autorisierung des Zahlungsvorgangs als auch für etwaige Schadensersatzansprüche wegen Pflichtverletzungen des Zahlers. Der bloße Nachweis technisch ordnungsgemäßer Authentifizierung reicht nicht; die Bank hat die konkrete, vorwerfbare Handlung des Kunden zu benennen und zu beweisen. Diese Grundsätze hat der BGH mit Urteil vom 05.03.2024 (XI ZR 107/22) bestätigt — und sie galten im vorliegenden Fall uneingeschränkt.

Ergänzend spielen § 241 Abs. 2 BGB (Schutz- und Rücksichtnahmepflichten im Schuldverhältnis) sowie § 280 Abs. 1 BGB (Schadensersatz wegen Pflichtverletzung) eine Rolle, soweit es um Sorgfaltspflichtverletzungen der Bank im Rahmen ihres Sicherheitssystems geht. § 254 BGB (Mitverschulden) kann die Haftungsquote verschieben, kommt aber erst in Betracht, wenn die Bank ein eigenes Organisationsverschulden darlegt.

Was bedeutet das für Geschädigte?

  • Pauschale Fahrlässigkeitsvorwürfe sind nicht ausreichend. Die Bank hat konkret zu benennen, welche Handlung der Kunde wann und in welcher Weise vorgenommen hat. Allgemeine Behauptungen, der Kunde habe einen Code weitergegeben oder einen Link verschickt, genügen nicht — schon gar nicht, wenn ein Sachverständigengutachten diese Behauptungen technisch widerlegt.
  • SMS-Links von der vermeintlichen Bank anzuklicken ist kein Vorwurf. Das OLG Koblenz stellt ausdrücklich fest, dass das Befolgen einer SMS mit Link zur Aktivierung eines neuen Sicherheitsverfahrens genau dem entspricht, was Kunden von ihrer Bank erwarten und was sie bei einer echten Umstellung tun würden. Daraus lässt sich kein Fahrlässigkeitsvorwurf ableiten.
  • Täuschend echte Phishing-Seiten schützen den Kunden. Sofern eine gefälschte Website so gestaltet ist, dass sie von der echten Bankseite nicht zu unterscheiden ist, und es keinerlei konkrete Anhaltspunkte gibt, warum dem Nutzer die Fälschung hätte auffallen können, begründet ein Einloggen auf dieser Seite keine grobe Fahrlässigkeit.
  • Call-ID-Spoofing und Insiderwissen gehen zu Lasten der Bank. Täuscht ein Anrufer die echte Bankrufnummer vor und verfügt er über konkretes Kontowissen, liegt das Sicherheitsversagen in der Infrastruktur der Bank, nicht im Verhalten des Kunden. Die Geheimhaltungspflicht für Sicherheitsmerkmale dient gerade dazu, Kunden in solchen Überrumpelungssituationen zu schützen — nicht dazu, ihnen bei perfekter Täuschung einen Vorwurf zu machen.

Das Urteil reiht sich in eine zunehmend verbraucherfreundliche Entwicklung der Instanzrechtsprechung ein. Banken und Sparkassen können sich bei professionell durchgeführten Phishing-Angriffen nicht mehr mit pauschalen Fahrlässigkeitsvorwürfen aus der Haftung lösen.

Welche Schritte sind jetzt sinnvoll?

  1. Sofortiger Sicherheitsstopp. Sperren Sie Online-Banking-Zugang und betroffene Karten unverzüglich über den Sperrnotruf 116 116 oder direkt bei Ihrer Bank. Jede Stunde Verzögerung kann weitere Transaktionen ermöglichen.
  2. Beweissicherung dokumentieren. Sichern Sie alle Belege: SMS-Nachrichten, Anrufprotokolle, E-Mails, Screenshots des Online-Bankings und Kontoauszüge mit den unautorisierten Abbuchungen. Die staatsanwaltschaftliche Ermittlungsakte kann — wie im OLG-Koblenz-Fall geschehen — ein entscheidendes Beweismittel zugunsten des Geschädigten sein.
  3. Strafanzeige erstatten. Erstatten Sie Anzeige bei der zuständigen Polizeidienststelle oder über die Online-Wache des jeweiligen Bundeslandes. Die Anzeige dokumentiert die Opferrolle und das professionelle Vorgehen der Täter — beides war im vorliegenden Verfahren maßgeblich.
  4. Keine voreiligen Erklärungen gegenüber der Bank. Geben Sie gegenüber der Bank keine Stellungnahme ab und nehmen Sie kein Kulanzangebot an, bevor ein auf Bank- und Zahlungsverkehrsrecht spezialisierter Anwalt die Sach- und Rechtslage geprüft hat. Frühzeitige Einlassungen können die Beweissituation nachteilig beeinflussen.
  5. Rechtliche Prüfung des Einzelfalls. Die konkrete Sachverhaltsgestaltung — insbesondere die technischen Details der Authentifizierung und das Ausmaß der Täuschung — entscheidet über die Erfolgsaussichten. Eine sorgfältige Analyse der Authentifizierungskette und der Sicherheitsarchitektur der Bank ist unerlässlich.

Häufige Fragen

Was hat das OLG Koblenz im Urteil 8 U 682/24 konkret entschieden?

Der 8. Zivilsenat des OLG Koblenz hat mit Urteil vom 17.04.2026 das erstinstanzliche Urteil des Landgerichts aufgehoben und die Sparkasse zur vollständigen Erstattung des Phishing-Schadens von rund 56.100 Euro sowie zur Übernahme der vorgerichtlichen Anwaltskosten verurteilt. Das Gericht stellte fest, dass die Bank die Beweislast für die grobe Fahrlässigkeit des Kunden nicht erfüllen konnte: Ihre Behauptungen über mögliche Handlungen des Kunden erwiesen sich teils als technisch unmöglich, teils blieben sie reine Spekulation.

Wer trägt bei Online-Banking-Phishing die Beweislast für grobe Fahrlässigkeit?

Die Beweislast liegt vollständig bei der Bank. Nach § 675w BGB trägt der Zahlungsdienstleister die volle Beweislast sowohl für die Autorisierung des Zahlungsvorgangs als auch für einen Schadensersatzanspruch aus § 675v Abs. 3 BGB. Die Bank hat konkret darzulegen und zu beweisen, welche pflichtwidrige Handlung der Kunde wann und in welcher Weise begangen hat. Allgemeine Vermutungen oder nachgeschobene Behauptungen, die sich technisch nicht belegen lassen, reichen nicht aus.

Ist das Anklicken eines SMS-Links grob fahrlässig?

Nein, jedenfalls nicht ohne Weiteres. Das OLG Koblenz stellt ausdrücklich klar, dass das Anklicken eines SMS-Links zur Aktivierung eines neuen Sicherheitsverfahrens genau das ist, was Kunden bei einer echten Umstellung von ihrer Bank erwarten und tun sollen. Aus diesem Verhalten allein lässt sich kein Vorwurf grober Fahrlässigkeit ableiten. Erhält ein Kunde von einer Nummer, die als echte Bankrufnummer erscheint, eine solche SMS und folgt dem Link, verhält er sich nicht außerhalb des Rahmens des Üblichen.

Wie unterscheidet sich OLG Koblenz 8 U 682/24 vom BGH-Urteil XI ZR 20/24 (chipTAN)?

Der Unterschied ist qualitativ entscheidend. Im BGH-Fall XI ZR 20/24 vom 03.03.2026 hatte die Geschädigte nach einer Täuschung transaktionsbezogene TANs aktiv telefonisch an die Betrüger weitergegeben — der BGH bejahte grobe Fahrlässigkeit. Im OLG-Koblenz-Fall hat der Kunde hingegen lediglich einen SMS-Link befolgt und sich möglicherweise auf einer täuschend echt gestalteten Phishing-Seite eingeloggt; eine bewusste Preisgabe von TANs oder Codes an Dritte stand technisch nicht fest. Dieser qualitative Unterschied im Verhalten des Kunden ist das zentrale Abgrenzungskriterium zwischen beiden Entscheidungen. Einen ausführlichen Vergleich bietet die Analyse zum BGH XI ZR 20/24 chipTAN-Urteil auf kryptoschaden.de.

Einordnung

Das Urteil des OLG Koblenz vom 17.04.2026 festigt eine Rechtsprechungslinie, die bei professionellen Phishing-Angriffen die Beweislast klar bei der Bank verortet. Es ergänzt die Entwicklung, die das OLG Dresden (8 U 1482/24) mit der SCA-Mithaftung eingeleitet hat, und liest sich komplementär zum BGH-Urteil XI ZR 20/24: Während der BGH die aktive TAN-Weitergabe als grob fahrlässig einordnet, schützt Koblenz den Kunden, dem kein aktives Fehlverhalten nachweisbar ist. Angesichts des ausstehenden EuGH-Urteils in C-70/25, das ein Refund-first-Prinzip etablieren könnte, und der bevorstehenden PSD3/PSR-Reform mit erstmaliger Spoofing-Haftung bewegt sich diese Entscheidung in einem Rechtstrend, der die Risikozurechnung bei technisch versierten Phishing-Angriffen zunehmend zugunsten der Kunden verschiebt. Eine Übersicht zur Rechtsprechungsentwicklung 2024–2026 bietet die Bankenhaftung-Rechtsprechungsübersicht auf kryptoschaden.de.