OLG Linz 29.04.2026: 50/50-Haftung der Bank bei Phishing trotz grober Fahrlässigkeit

Am 29. April 2026 hat das Oberlandesgericht Linz (Az. 8 R 24/26) entschieden, dass eine Bank 50 Prozent eines Phishing-Schadens von 200.000 Euro zur Erstattung verpflichtet ist — obwohl der Kunde grob fahrlässig gehandelt hatte. Ausschlaggebend war das vollständige Versagen des bankinternen Fraud-Transaction-Monitorings bei 41 Überweisungen innerhalb von 90 Minuten. Die Entscheidung ist auf das deutsche Recht übertragbar und stärkt die Verhandlungsposition von Phishing- und Krypto-Betrugsopfern gegenüber ihrer Bank erheblich.

OLG Linz Phishing Bankhaftung: Was ist passiert?

Anfang 2023 öffnete ein österreichischer Bankkunde eine Phishing-Mail und gab seine Online-Banking-Zugangsdaten auf einer gefälschten Bankwebseite ein. In der Folge autorisierte er binnen eineinhalb Stunden 41 Überweisungen über das Zwei-Faktor-Authentifizierungssystem seiner Bank. Die Gesamtsumme der abgeflossenen Beträge belief sich auf 200.000 Euro.

Das Landesgericht Linz wies die Klage des Kunden in erster Instanz ab. Begründung: Der Kläger habe grob fahrlässig gehandelt, indem er auf die Phishing-Mail hereinfiel, seine Zugangsdaten preisgab und sämtliche Zahlungsfreigaben selbst erteilte. Damit — so die erste Instanz — entfalle der Erstattungsanspruch vollständig.

Das OLG Linz bestätigte als Berufungsgericht die grobe Fahrlässigkeit des Kunden, gelangte aber zu einem anderen rechtlichen Ergebnis: Das bankinterne Fraud-Transaction-Monitoring hatte bei 41 Transaktionen in 90 Minuten keinerlei Reaktion gezeigt. Dieses Organisationsversagen der Bank begründe ein eigenständiges Mitverschulden. Das OLG Linz teilte den Schaden hälftig auf: Die Bank erstattet 100.000 Euro von 200.000 Euro. Die Entscheidung ist unter dem Aktenzeichen OLG Linz 8 R 24/26 (Analyse kryptoschaden.de) dokumentiert.

Welche Normen greifen — § 675u, § 675v und § 280 BGB im Zusammenspiel?

Das österreichische Zahlungsrecht und das deutsche Zahlungsrecht beruhen auf derselben europäischen Grundlage: der Zahlungsdiensterichtlinie PSD2. Die zentralen Normen des deutschen Rechts entsprechen den österreichischen Pendant-Vorschriften strukturell; die dogmatische Argumentation des OLG Linz ist daher auf deutsches Recht übertragbar.

§ 675u BGB regelt den verschuldensunabhängigen Erstattungsanspruch bei nicht autorisierten Zahlungsvorgängen. Der Zahlungsdienstleister ist verpflichtet, den Zahlungsbetrag unverzüglich zu erstatten, wenn der Zahler den Zahlungsvorgang nicht autorisiert hat. Im vorliegenden Fall hatte der Kunde die Überweisungen formal selbst freigegeben, sodass die unmittelbare Anwendung dieser Norm problematisch erscheint — sie bleibt aber als Ausgangspunkt der Anspruchsprüfung unverzichtbar.

§ 675v BGB begrenzt die Erstattungspflicht der Bank bei grober Fahrlässigkeit des Zahlers. Nach § 675v Abs. 3 Nr. 2 BGB kann die Bank dem Erstattungsanspruch einen gegenläufigen Schadensersatzanspruch entgegenhalten, wenn der Zahler durch grob fahrlässiges Verhalten — etwa das Preisgeben von Zugangsdaten nach einer Phishing-Mail — zum Schaden beigetragen hat. Die erste Instanz hatte hieraus die vollständige Klageabweisung abgeleitet. Das OLG Linz stellte demgegenüber klar: § 675v BGB erfasst das Kundenverschulden, schließt aber das gleichzeitig bestehende Organisationsverschulden der Bank nicht aus.

§ 280 BGB ist der tragende Haftungsgrund für das Organisationsverschulden der Bank. Aus dem Zahlungsdienstleistungsvertrag erwachsen Schutzpflichten im Sinne von § 241 Abs. 2 BGB. Betreibt eine Bank ein Fraud-Transaction-Monitoring, das bei einem evidenten Betrugsmuster — 41 Transaktionen innerhalb von 90 Minuten an bislang unbekannte Empfänger — nicht anschlägt, verletzt sie diese vertragliche Schutzpflicht. Die Pflichtverletzung ist kausal für den Schaden, soweit das Monitoring bei ordnungsgemäßem Betrieb hätte Alarm schlagen und eine Transaktion blockieren oder eine Warnung auslösen sollen.

Im besonders schwerwiegenden Ausnahmefall kommt ergänzend § 826 BGB in Betracht — nämlich dann, wenn die Bank bekannte Systemschwächen im Monitoring bewusst nicht behoben hat und darin eine sittenwidrige vorsätzliche Schädigung zu sehen ist. Das OLG Linz hat sich auf § 280 BGB gestützt; § 826 BGB bleibt für Extremfälle reserviert.

Der Mitverschuldensausgleich folgt schließlich aus § 254 BGB: Das Gericht wägt das Kundenverschulden (grobe Fahrlässigkeit beim Phishing) gegen das Organisationsverschulden der Bank (fehlendes reaktives Monitoring) ab. Im Linzer Fall ergab diese Abwägung eine 50/50-Quotelung. Die Quote ist nicht starr; je klarer das Betrugsmuster auf Transaktionsebene, desto stärker das Bankenverschulden und desto höher der Erstattungsanteil.

Was bedeutet die 50/50-Quote für Geschädigte?

Grobe Fahrlässigkeit schließt Bankhaftung nicht automatisch aus. Wer auf eine Phishing-Mail hereingefallen ist und Transaktionen selbst freigegeben hat, verliert nicht zwingend jeden Anspruch. Entscheidend ist, ob daneben ein eigenständiges Organisationsverschulden der Bank feststellbar ist.
Das Transaktionsmuster ist der Schlüsselbeweis. Anzahl, Frequenz, Betragshöhe und Neuartigkeit der Empfänger dokumentieren, ob das Fraud-Monitoring hätte reagieren sollen. 41 Transaktionen in 90 Minuten sind ein klares Indiz; auch weniger auffällige Muster können ausreichen, wenn Betragshöhe und Empfänger ungewöhnlich sind.
Die Warnpflicht der Bank ist funktional, nicht formal zu verstehen. Allgemeine Hinweise auf Phishing-Gefahren im Onlinebanking-Portal erfüllen die Warnpflicht nicht. Erforderlich ist eine transaktionsspezifische, konkret auf den laufenden Vorgang bezogene Warnung, die dem Kunden tatsächlich ermöglicht, innezuhalten.
Auch Empfängerbanken können haften. Nach BGH XI ZR 327/22 (Bankenhaftung Rechtsprechungsübersicht 2024–2026) haftet die Empfängerbank, wenn ihr Monitoring bei objektiv evidenten Verdachtsmomenten — etwa bekannten BaFin-Warnungen — nicht angeschlagen hat. Bei mehrstufigen Überweisungsketten in Krypto-Wallets ist dieser Ansatz besonders relevant.

Für Krypto-Betrugsopfer hat das Urteil unmittelbare Bedeutung: Wer durch Pig-Butchering-Strukturen oder gefälschte Investmentplattformen zu mehreren Überweisungen veranlasst wurde, kann prüfen, ob das Fraud-Monitoring seiner Hausbank bei der Häufung der Transaktionen, der Unbekanntheit der Empfänger und dem Verwendungszweck „Kryptokauf“ hätte Alarm schlagen sollen. Ein Schweigen des Monitoring-Systems auf ein solches Muster begründet nach dem Linzer Modell ein eigenständiges Haftungsargument — selbst wenn der Schaden dem Grunde nach auf eigenes Fehlverhalten zurückzuführen ist.

Welche Schritte sind jetzt sinnvoll?

Transaktionsbelege vollständig sichern. Kontoauszüge, Zeitstempel, Bestätigungs-SMS und TAN-Nachrichten für jeden einzelnen Überweisungsvorgang aufbewahren. Die genauen Uhrzeiten belegen das Transaktionsmuster, das als Beweisgrundlage für das Monitoring-Versagen dient.
SEPA-Recall schriftlich beantragen. Die Bank ist aus dem Zahlungsdienstleistungsvertrag zur Mitwirkung verpflichtet. Den Antrag mit Datum und Uhrzeit dokumentieren. Gleichzeitig schriftlich anfragen, ob das interne Fraud-Monitoring für den fraglichen Zeitraum Einträge oder Alarme verzeichnet hat. Das Ausbleiben einer Antwort ist Prozessmaterial.
Strafanzeige nach §§ 263, 263a StGB erstatten. Die Staatsanwaltschaft kann nach § 152 StPO Ermittlungen aufnehmen und Vermögenswerte beim Empfänger über § 73 StGB i.V.m. § 111e StPO vorläufig sichern lassen. Je früher die Anzeige erfolgt, desto größer die Chance einer Rückverfolgung der Zahlungsströme.
BaFin-Beschwerde einreichen. Die Beschwerde begründet keinen unmittelbaren Rückzahlungsanspruch, erzeugt aber regulatorischen Druck und kann einen außergerichtlichen Einigungsprozess beschleunigen. Dargestellt werden sollte das Versagen des Fraud-Monitorings und das konkrete Transaktionsmuster.
Spezialisierte Fachanwältin für Bank- und Kapitalmarktrecht einschalten. Die Haftungsquote hängt von der Intensität des Organisationsverschuldens auf Bankseite ab. Ob eine Schadensteilung von 50/50, 30/70 oder einem anderen Verhältnis erreichbar ist, erfordert eine individuelle Fallbewertung auf Grundlage der konkreten Transaktionsdaten und der technischen Ausstattung der Bank.

Häufige Fragen

Was hat das OLG Linz am 29. April 2026 konkret entschieden?

Das Oberlandesgericht Linz hat am 29. April 2026 (Az. 8 R 24/26) entschieden, dass eine Bank 50 Prozent eines Phishing-Schadens von 200.000 Euro zu erstatten verpflichtet ist, obwohl der Bankkunde durch das Preisgeben seiner Zugangsdaten nach einer Phishing-Mail grob fahrlässig gehandelt hatte. Der Grund für die hälftige Schadensteilung war das vollständige Versagen des bankinternen Fraud-Transaction-Monitorings: 41 Überweisungen innerhalb von 90 Minuten lösten keinerlei Systemreaktion aus. Das OLG Linz sah darin ein eigenständiges Organisationsverschulden der Bank neben dem Kundenverschulden. Die Schadensteilung folgt aus der Abwägung nach § 254 BGB (österreichisches Pendant: § 1304 ABGB).

Gilt das Urteil auch für deutsche Phishing- und Krypto-Betrugsopfer?

Das OLG Linz ist ein österreichisches Gericht; seine Entscheidungen haben keine formelle Bindungswirkung für deutsche Gerichte. Österreichisches und deutsches Zahlungsrecht beruhen jedoch auf derselben europäischen Grundlage — der Zahlungsdiensterichtlinie PSD2 — und sind strukturell weitgehend deckungsgleich. Die dogmatische Konstruktion des OLG Linz — Organisationsverschulden der Bank nach § 280 BGB neben Kundenverschulden nach § 675v BGB, Ausgleich über § 254 BGB — ist auf das deutsche Recht übertragbar. Sie fügt sich in die Linie ein, die BGH XI ZR 327/22 mit der Beweislastumkehr bei Warnpflichtverletzungen und OLG Dresden 8 U 1482/24 mit der Mithaftung bei SCA-Defiziten vorgezeichnet haben.

Was unterscheidet das OLG Linz vom OLG Oldenburg (8 U 103/23)?

Das OLG Oldenburg verneinte in seinem Urteil vom 24. April 2025 jeden Schadensersatz: Eine Kundin verlor 41.000 Euro durch Phishing, die Phishing-Mail trug aber eindeutige Warnsignale — unpersönliche Anrede, Rechtschreibfehler. Ein eigenständiges Organisationsversagen der Bank war nicht feststellbar. Demgegenüber fand das OLG Linz ein objektiv erkennbares Muster auf Transaktionsebene: 41 Überweisungen in 90 Minuten hätten ein funktionales Echtzeit-Monitoring unweigerlich auslösen sollen. Der entscheidende Unterschied ist das Vorhandensein eines bankseits erkennbaren Betrugsmusters, das eine eigenständige Pflichtwidrigkeit begründet. Ohne solch ein Muster greift die Schutzwirkung des OLG-Linz-Urteils nicht.

Was ist Fraud-Transaction-Monitoring, und welche Pflichten hat die Bank dabei?

Fraud-Transaction-Monitoring bezeichnet die automatisierte Echtzeitüberwachung von Zahlungsvorgängen auf verdächtige Muster — etwa ungewöhnlich hohe Transaktionsfrequenzen, unbekannte Empfänger, atypische Beträge oder geografische Auffälligkeiten. Nach § 25h KWG sind Kreditinstitute verpflichtet, interne Sicherungsmaßnahmen und Transaktionsüberwachungssysteme vorzuhalten, um Straftaten zu erkennen und zu verhindern. Ob § 25h KWG als Schutzgesetz im Sinne von § 823 Abs. 2 BGB zugunsten einzelner Betrugsopfer einzustufen ist, ist höchstrichterlich noch nicht abschließend geklärt. Das OLG Linz hat diesen Weg über § 280 BGB beschritten: Das Monitoring-Versagen ist eine Verletzung vertraglicher Schutzpflichten aus dem Zahlungsdienstleistungsvertrag, die neben dem Kundenverschulden haftungsrelevant ist.

Einordnung

Das OLG-Linz-Urteil vom 29. April 2026 markiert einen weiteren Schritt in der europäischen Entwicklung hin zu einer stärkeren Risikoteilung zwischen Bank und Kunde bei Zahlungsbetrug. Es reiht sich ein in die BGH-Linie zu Warnpflichten (XI ZR 327/22) und OLG-Entscheidungen zur SCA-Mithaftung (OLG Dresden 8 U 1482/24), die jeweils das Organisationsverschulden der Bank als eigenständigen Haftungsgrund neben dem Kundenverschulden etablieren. Mit dem bevorstehenden EuGH-Urteil in der Rechtssache C-70/25 zum „Refund-first“-Prinzip und der PSD3/PSR-Reform, die erstmals eine Spoofing-Haftung für autorisierte Zahlungen einführen wird, dürfte sich diese Entwicklung weiter beschleunigen — mit unmittelbarer Auswirkung auf die Anspruchspraxis nach §§ 675u, 675v, 280 BGB in deutschen Verfahren.