Das Urteil überrascht: Zwar habe sich der Bankkunde grob fahrlässig verhalten, jedoch seien die Sicherheitsmaßnahmen beim Log-in zum Online-Banking nach Ansicht der Richter ungenügend. Das Urteil des Oberlandesgerichts Dresden vom 5. Mai 2025 (Az. 8 U 1482/24) spricht der Sparkasse daher eine Mitverantwortung zu, weshalb die Bank nun einen Teil des entstandenen Schadens übernehmen muss.

Konkret geht es bei dem Fall um einen Kunden, der das S-pushTAN-Verfahren nutzte. Cyberkriminelle lockten ihn über mehrere Telefongespräche in eine Falle, sodass der Kunde schließlich sensible Daten auf einer gefälschten Webseite preisgab. Die Betrüger überzeugten den Betroffenen unter anderem dazu, sein Überweisungslimit anzuheben, sodass letztendlich zwei Echtzeitüberweisungen in Höhe von insgesamt 49.421,44 Euro freigegeben wurden.

Vor Gericht führte der Kläger nun an, dass in der TAN-App keine Angaben zum Betrag oder Empfänger sichtbar gewesen seien, lediglich allgemeine Freigabehinweise zu „Aufträgen“. Das Gericht äußerte jedoch Skepsis bezüglich dieser Aussage und schätzte das Verhalten des Kunden als grob fahrlässig ein. Nicht nur habe er sensible Zugangsdaten auf einer Phishing-Seite eingegeben, er habe auch noch Überweisungen freigegeben, ohne diese zu prüfen.

„Aufgrund der in den letzten Jahren vielfach durch verschiedene Medien bekannt gewordenen Fälle ist die Erkenntnis, dass Kunden durch betrügerische Nachrichten und Anrufe angeblicher Bankmitarbeiter zur Preisgabe von Zugangsdaten zum Online-Banking veranlasst werden sollen, als allgemeines Wissen vorauszusetzen.“

Mit Blick auf die Sparkasse stellte das Gericht allerdings auch fest, dass dieser aufgrund unterlassener Sicherheitsmaßnahmen ein Mitverschulden anzukreiden sei. In diesem Fall fehlte etwa die gesetzlich vorgeschriebene starke Kundenauthentifizierung beim Log-in zum Online-Banking. Dies habe es den Tätern ermöglicht, mit den abgegriffenen Daten – darunter Geburtsdatum, Kontostände, Transaktionsverläufe und IBANs – Zugang zum Online-Banking zu erlangen.

Die Richter führten aus, dass ohne eine weitere Authentifizierungsstufe wie Gerätebindung oder biometrische Merkmale keine ausreichende Sicherheit gewährleistet gewesen sei. Darüber hinaus seien den aufsichtsrechtlichen Verpflichtungen der Bank nicht Genüge getan worden.

Das pushTAN-Verfahren selbst könne zwar grundsätzlich den Anforderungen an eine starke Authentifizierung gerecht werden. Im konkreten Fall fehlte jedoch die notwendige Absicherung, um einen Zugriff durch Dritte zu verhindern. Bereits im Jahr 2023 hatte das Landgericht Heilbronn auf Sicherheitsrisiken des pushTAN-Verfahrens hingewiesen, insbesondere wenn TAN- und Banking-App auf demselben Gerät verwendet werden.

Aufgrund der festgestellten Mitverantwortung wurde der Sparkasse auferlegt, 20 Prozent des entstandenen Schadens zu ersetzen. Der Betrag beläuft sich auf 9884,29 Euro. Zusätzlich muss die Bank auch die vorgerichtlichen Anwaltskosten des Klägers in Höhe von 1119,79 Euro übernehmen. Eine Revision wurde seitens des Gerichts ausgeschlossen, das Urteil ist damit rechtskräftig.