In dem Streitfall hatte ein Ehepaar ein Gemeinschaftskonto bei der beklagten Sparkasse geführt, das per chipTAN-Verfahren gesichert war. Die Klägerin wurde Opfer eines raffinierten Phishing-Angriffs: Nachdem sie mehrfach versucht hatte, ihre PIN online zu ändern, wurde sie von einer vermeintlichen Bankmitarbeiterin angerufen. Die Anruferin nutzte dabei eine gefälschte Telefonnummer der Sparkasse und kannte Details zu früheren Buchungen sowie die zuständige Sachbearbeiterin, was die Seriosität vortäuschte.
Im Laufe zweier Gespräche an einem Wochenende gab die Klägerin mehrere TANs weiter, die sie manuell mit ihrem TAN-Generator erzeugte. Die Angreifer veranlassten so eine Echtzeitüberweisung über 35.555 €. Die Kläger forderten Rückbuchung des Betrags.
BGH: Grobe Fahrlässigkeit der Klägerin
Der BGH wies die Klage mit Urteil vom 22.07.2025 (XI ZR 107/24) ab und bestätigte die Entscheidung des OLG Naumburg. Zwar lag ein nicht autorisierter Zahlungsvorgang vor (§ 675u Satz 2 BGB), jedoch könne sich die Sparkasse auf einen Schadensersatzanspruch gemäß § 675v Abs. 3 Nr. 2 BGB berufen. Die Klägerin habe grob fahrlässig gehandelt, indem sie trotz zahlreicher Warnzeichen sensible Daten und TANs weitergab.
Dabei betonte der BGH, dass die Klägerin hätte stutzig werden müssen angesichts der ungewöhnlichen Uhrzeit, der Aufforderung zur Installation eines „neuen Sicherheitsprogramms“ und der Tatsache, dass sie eine Empfänger-IBAN und hohe Überweisungsbeträge in den Generator eingeben musste. Auch am Folgetag, mit einem ganzen Tag Bedenkzeit, hinterfragte sie das Geschehen nicht, ein klarer Verstoß gegen ihre Sorgfaltspflichten (§ 675l BGB). Unerfahrenheit mit dem manuellen chipTAN-Verfahren schützt nicht vor grober Fahrlässigkeit.
Kein Ausschluss der Haftung wegen starker Authentifizierung
Der BGH stellte klar, dass der Haftungsausschluss des § 675v Abs. 4 Satz 1 Nr. 1 BGB nur dann greift, wenn für den konkreten Zahlungsvorgang keine starke Kundenauthentifizierung verlangt wurde. Dass die Anmeldung im Online-Banking keine solche Authentifizierung erforderte, ist unerheblich; für die Überweisung selbst wurde sie verlangt.
Auch ein Mitverschulden der Sparkasse wurde verneint: Selbst wenn durch fehlende Authentifizierung bei der Anmeldung sensible Daten kompromittiert wurden, wiegte die grobe Fahrlässigkeit der Klägerin schwerer.
