1. Zur grob fahrlässigen Verletzung einer Pflicht durch den Zahler i.S.v. § 675v Abs. 3 Nr. 2 Buchst. a BGB.
2. Ist der Schaden durch eine Überweisung eingetreten und hat der Zahlungsdienstleister für das Auslösen dieser Überweisung eine starke Kundenauthentifizierung gemäß § 1 Abs. 24 ZAG verlangt, ist sein Schadensersatzanspruch aus § 675v Abs. 3 BGB gegen den Zahler nicht gemäß § 675v Abs. 4 Satz 1 Nr. 1 BGB ausgeschlossen, unabhängig davon, ob der Zahlungsdienstleister für die Anmeldung im Online-Banking eine starke Kundenauthentifizierung verlangt hat.
- A.
Problemstellung
Der BGH hat mit dem hier besprochenen Urteil vom 22.07.2025 klargestellt, dass die grob fahrlässige Weitergabe einer TAN an unbekannte Dritte regelmäßig zum vollständigen Ausschluss des Erstattungsanspruchs des Zahlers nach § 675u BGB führt. Der Fall beleuchtet die rechtliche Bewertung von Autorisierungen, von grober Fahrlässigkeit und von der Pflicht zur Starken Kundenauthentifizierung sowie die Frage eines möglichen Mitverschuldens der Bank beim Verzicht auf die Starke Kundenauthentifizierung beim Zugriff auf das Konto im Rahmen des Online-Bankings. Dabei betonte der BGH, dass eine Verletzung der Pflicht zur Starken Kundenauthentifizierung seitens der Bank nur bei atypischen Sicherheitsmängeln in Betracht kommt und ein etwaiges Mitverschulden der Bank grundsätzlich hinter das grob fahrlässige Verhalten des Kunden zurücktritt. Damit stärkt das Urteil die bisherige Linie der Rechtsprechung zu § 675v Abs. 3 Nr. 2 b BGB und konkretisiert die Anforderungen an die Eigenverantwortung des Zahlungsdienstnutzers bei der Nutzung des Online-Bankings.
- B.
Inhalt und Gegenstand der Entscheidung
I. Die Klägerin unterhielt bei der beklagten Bank ein Girokonto, das sie über das manuelle Chip-TAN-Verfahren absicherte. Im Jahr 2021 wurde sie im Zusammenhang mit ihren Online-Bankgeschäften mehrfach telefonisch kontaktiert – jeweils von Personen, die sich als Mitarbeiter der Bank ausgaben und vorgaben, auf Sicherheitsprobleme im Online-Banking hinweisen zu wollen. Im Verlauf dieser Gespräche veranlassten die Anrufer die Klägerin dazu, mehrere TANs (Transaktionsnummern) zu generieren und telefonisch weiterzugeben.
Infolge dieser Täuschung kam es zu mehreren Überweisungen, darunter einer Zahlung i.H.v. 35.555 Euro, die über das Konto der Klägerin ausgeführt wurde. Nachdem sie die unberechtigten Transaktionen bemerkt hatte, verlangte die Klägerin von der Bank die Erstattung der abgebuchten Beträge gemäß § 675u BGB. Sie machte geltend, die Überweisungen nicht selbst autorisiert zu haben.
Die beklagte Bank lehnte die Erstattung ab. Sie vertrat die Auffassung, die Klägerin habe ihre Sorgfaltspflichten in erheblichem Maße verletzt, indem sie trotz der ungewöhnlichen Umstände – insbesondere der mehrfachen telefonischen Kontaktaufnahmen und der späten Uhrzeit – die TANs preisgegeben habe. Eine Pflichtverletzung der Bank liege dagegen nicht vor; die Anforderungen an die Starke Kundenauthentifizierung seien erfüllt gewesen. Darüber hinaus machte die Bank einen eigenen Schadensersatzanspruch gemäß § 675v Abs. 3 Nr. 2 BGB geltend und berief sich auf ein grob fahrlässiges Verhalten der Klägerin.
II. Das LG Halle (Urt. v. 04.01.2024 - 4 O 187/23) hat der Klage in vollem Umfang stattgegeben und die Beklagte verurteilt, das bei ihr geführte Konto der Klägerin wieder auf den Stand zu bringen, auf dem es sich ohne die Belastungen des nicht autorisierten Zahlungsvorgangs vom 03.07.2022 i.H.v. 35.500 Euro befunden hätte.
Das OLG Naumburg (Urt. v. 22.05.2024 - 5 U 11/24; siehe dazu bereits Steiner, jurisPR-BKR 10/2025 Anm. 5) hob das erstinstanzliche Urteil auf und wies die Klage insgesamt ab. Nach Auffassung des OLG habe die Klägerin durch die telefonische Weitergabe mehrerer TANs an unbekannte Dritte grob fahrlässig gegen ihre Sorgfaltspflichten i.S.v. § 675l Abs. 1 Satz 1 BGB verstoßen. Eine Haftung der Bank scheide daher nach § 675u Satz 2 BGB aus. Das Gericht sah zudem keine Pflichtverletzung der Bank im Hinblick auf die Starke Kundenauthentifizierung.
Der BGH hat im Besprechungsfall die Entscheidung des OLG Naumburg bestätigt (zustimmend bereits Steiner, jurisPR-BKR 10/2025 Anm. 5). Der XI. Zivilsenat stellte klar, dass die grob fahrlässige Weitergabe von TANs an unbekannte Dritte regelmäßig zum vollständigen Ausschluss eines Erstattungsanspruchs nach § 675u BGB führt. Eine Verletzung der Pflicht zur Starken Kundenauthentifizierung durch die Bank komme nur bei atypischen Sicherheitsmängeln in Betracht. Ein etwaiges Mitverschulden der Bank trete hinter das grob fahrlässige Verhalten des Kunden zurück. Damit stärkte der BGH die bisherige Linie der Rechtsprechung zu § 675v Abs. 3 Nr. 2b BGB und bestätigte, dass die Verantwortung für die sichere Verwendung des Zahlungsinstruments primär beim Zahlungsdienstnutzer liegt.
- C.
Kontext der Entscheidung
Der BGH hatte sich mit der Frage zu befassen, unter welchen Voraussetzungen eine Bank zur Erstattung unautorisierter Zahlungsvorgänge verpflichtet ist, wenn der Zahler im Rahmen eines Phishing-Angriffs Transaktionsnummern (TANs) telefonisch an Betrüger weitergegeben hat. Das Urteil stellt eine Fortentwicklung der Rechtsprechung zur Haftungsverteilung zwischen Zahler und Zahlungsdienstleister bei der Nutzung sicherer Authentifizierungsverfahren nach der PSD2 und dem Zahlungsdiensteaufsichtsgesetz (ZAG) dar.
I. Anspruch der Klägerin nach § 675u BGB
Ausgangspunkt war die Forderung der Klägerin auf Erstattung eines unautorisierten Zahlungsvorgangs i.S.d. § 675u Satz 2 BGB. Der BGH bestätigt zunächst die Trennung zwischen Authentifizierung und Autorisierung (§ 675j Abs. 1 BGB). Während die Authentifizierung lediglich die technische Identifikation des Zahlers betrifft, erfordert die Autorisierung eine tatsächliche Zustimmung des Zahlers zum konkreten Zahlungsvorgang (vgl. Rn. 21 des Besprechungsurteils; ebenso bereits BGH, Urt. v. 26.01.2016 - XI ZR 91/14 Rn. 58 ff.).
Die bloße Eingabe von PIN und TAN begründet keine unwiderlegliche Vermutung für eine Autorisierung (§ 675w Satz 3 BGB). Der BGH betont, dass stets eine umfassende Beweiswürdigung nach § 286 ZPO erforderlich ist. Eine Zurechnung über Rechtsscheingrundsätze wie Anscheins- oder Duldungsvollmacht scheide aus, da § 675j Abs. 1 Satz 1 BGB die persönliche Zustimmung des Zahlers verlangt (vgl. Rn. 21 f. des Besprechungsurteils). Damit bejahte der BGH folgerichtig zunächst den Anspruch der Klägerin.
II. Schadensersatzanspruch der Bank nach § 675v Abs. 3 Nr. 2b BGB
Der zentrale Punkt der Entscheidung betraf die Frage, ob der Klägerin grobe Fahrlässigkeit i.S.v. § 675v Abs. 3 Nr. 2b BGB anzulasten sei. Der BGH bestätigte zutreffend die Entscheidung des OLG Naumburg, wonach die Klägerin grob fahrlässig gehandelt habe, indem sie mehrfach telefonisch TANs an unbekannte Anrufer weitergab. Der objektiv schwerwiegende Pflichtverstoß – die Preisgabe von Sicherheitsmerkmalen – sei auch subjektiv unentschuldbar gewesen.
Die Klägerin habe die atypischen Umstände (mehrfache Anrufe, angebliche Sicherheitswarnungen, Anzeige der Telefonnummer der Bank) erkennen müssen. Ihre Erfahrung im Online-Banking und die regelmäßigen Warnhinweise der Beklagten begründeten eine gesteigerte Sorgfaltspflicht (Rn. 27 ff. des Besprechungsurteils).
Insbesondere lehnte der BGH die Argumentation der Klägerin ab, es habe sich um ein Augenblicksversagen gehandelt oder das neue manuelle Chip-TAN-Verfahren habe Verwirrung gestiftet. Auch der Umstand, dass die Anrufe unter der angezeigten Banknummer erfolgten, entlaste sie nicht (Rn. 30 des Besprechungsurteils).
III. Keine Anwendung des Haftungsausschlusses nach § 675v Abs. 4 Nr. 1 BGB
Die Klägerin berief sich auf § 675v Abs. 4 Nr. 1 BGB, wonach ein Schadensersatzanspruch des Zahlungsdienstleisters ausgeschlossen ist, wenn dieser keine starke Kundenauthentifizierung verlangt hat. Der BGH stellte klar, dass sich die Prüfung ausschließlich auf den konkreten, streitigen Zahlungsvorgang bezieht (Rn. 33 ff. des Besprechungsurteils).
Im konkreten Fall hatte die Beklagte das chipTAN-Verfahren eingesetzt, das die Anforderungen der Starken Kundenauthentifizierung nach § 55 ZAG i.V.m. Art. 4 Nr. 30 PSD2 und Art. 5 Abs. 1 VO (EU) 2018/389 erfüllt. Dieses Verfahren binde den TAN-Code dynamisch an Betrag und Empfänger und gewährleiste damit ein hohes Sicherheitsniveau (vgl. Rn. 34 des Besprechungsurteils; zuvor bereits BGH, Urt. v. 26.01.2016 - XI ZR 91/14 Rn. 73). Eine Pflichtverletzung der Bank lag somit richtigerweise nicht vor.
IV. Kein Mitverschulden der Bank
Schließlich wies der BGH ein Mitverschulden der Bank zurück. Die Beklagte habe angemessene Sicherheitsmaßnahmen umgesetzt und ihre Kunden regelmäßig vor Phishing gewarnt. Das Fehlverhalten der Klägerin sei so gravierend, dass ein etwaiges Mitverschulden der Bank zurücktrete (Rn. 39 des Besprechungsurteils).
- D.
Auswirkungen für die Praxis
Die besprochene Entscheidung des BGH ist für die tägliche Praxis der Kreditinstitute von hoher Relevanz, da sie die Rechtslage zu Haftung der Bank und Eigenverantwortung des Zahlers im Online-Banking eindeutig klärt. Der BGH bestätigte die Entscheidung des OLG Naumburg (5 U 11/24) und stellte klar, dass Banken bei ordnungsgemäßer Anwendung der Starken Kundenauthentifizierung (SCA) nicht für Schäden aus unautorisierten Zahlungsvorgängen haften, sofern der Kunde durch eigenes grob fahrlässiges Verhalten die Ausführung der Transaktionen ermöglicht hat (Rn. 27 ff.). Damit wird die bisherige Rechtsprechungslinie, wonach das Chip-TAN-Verfahren als besonders sicheres Verfahren gilt, bestätigt und fortgeführt (vgl. BGH, Urt. v. 26.01.2016 - XI ZR 91/14).
Der BGH präzisiert dabei auch, dass die Bank den Haftungsausschluss nach § 675v Abs. 4 Nr. 1 BGB für sich in Anspruch nehmen kann, wenn sie ein technisch sicheres Verfahren bereitstellt und dieses ordnungsgemäß einsetzt (Rn. 33 ff.). Argumentationen, die Bank müsse zusätzlich gegen Social-Engineering-Angriffe vorsorgen, wurden vom BGH ausdrücklich zurückgewiesen (Rn. 34 ff.). Dies unterstreicht, dass die Verantwortung für den Schutz der TANs und die sorgfältige Prüfung von Aufforderungen durch Dritte beim Kunden liegt.
Für die Praxis bedeutet dies insbesondere, dass Banken die Durchführung der Authentifizierung lückenlos dokumentieren und belegen müssen (§ 675w BGB), um im Streitfall ihre ordnungsgemäße Umsetzung nachweisen zu können. Die Entscheidung hebt zudem die Eigenverantwortung der Kunden hervor: Mehrfachen telefonischen Aufforderungen durch unbekannte Dritte nachzukommen, stellt ein gravierendes Sorgfaltsdefizit dar, das grobe Fahrlässigkeit begründet (Rn. 27 ff.). Dies entlastet Banken erheblich bei der Haftung für Schäden durch Online-Banking-Betrug.
Auch wenn die Bank rechtlich entlastet wird, bleibt die präventive Kundenaufklärung zentral. Informationen über typische Betrugsmethoden, insbesondere Social Engineering, dienen sowohl der Betrugsprävention als auch der Stärkung der Reputation.
Insgesamt bestätigt das Urteil die grundsätzliche Risikoverteilung im Zahlungsdienstevertragsrecht: Die Bank ist verpflichtet, sichere technische Verfahren bereitzustellen, während der Kunde diese Verfahren mit der gebotenen Umsicht nutzen muss. Damit schafft der BGH deutliche Rechtssicherheit für Banken im Umgang mit Schadensfällen durch Online-Banking-Betrug und stärkt zugleich die Position der Zahlungsdienstleister gegenüber Ansprüchen von Kunden.
- E.
Weitere Themenschwerpunkte der Entscheidung
Der BGH hat wichtige Maßstäbe für die Beurteilung von Phishing-Fällen und die Haftung bei unautorisierten Zahlungsvorgängen gesetzt. Er betont, dass Kunden sorgfältig handeln und verdächtige Umstände hinterfragen müssen, während Banken bei ordnungsgemäßer Umsetzung der Starken Kundenauthentifizierung (SCA) nicht für Schäden haften, die durch grob fahrlässiges Verhalten des Kunden entstehen. Für die Praxis bedeutet dies, dass Banken klare Kommunikation, präventive Kundenaufklärung und die Dokumentation der Authentifizierungsverfahren sicherstellen sollten, um Kunden vor Betrug zu schützen.
