Kein Schadensersatz bei Weitergabe von Online-Banking-Freischaltcodes

Online-Banking ist bequem – aber auch anfällig für Betrugsversuche. Besonders perfide sind Methoden, bei denen Täter unter falscher Identität sensible Daten wie TANs oder Freischaltcodes ergaunern. Ein aktuelles Urteil des OLG Karlsruhe (Urt. v. 19.11.2024 – Az.: 17 U 127/22) macht klar: Wer als Kunde einen solchen Code an Dritte weitergibt, handelt grob fahrlässig – und haftet selbst.

Das Urteil hat weitreichende Bedeutung für den Verbraucherschutz und die Praxis des Bankenrechts. Es stellt klar, dass Kunden bei der Nutzung digitaler Bankdienste nicht nur Rechte, sondern auch ganz erhebliche Pflichten tragen.

Der zugrunde liegende Fall – Was ist passiert?

Die Klägerin war Kundin einer Bank und nutzte deren Online-Banking-System. Eines Tages erhielt sie einen Telefonanruf, bei dem sich der Anrufer als ihr Bankberater ausgab. Dieser kündigte an, dass sie per Post ein Schreiben mit einem Freischaltcode für ihr Online-Banking erhalten werde.

Schritt für Schritt zum Betrug:

• Kurz darauf erhielt die Klägerin tatsächlich ein offizielles Schreiben der Bank mit einem Freischaltcode.
• Einige Zeit später erreichte sie eine E-Mail, angeblich vom technischen Support der Bank, in der sie aufgefordert wurde, den erhaltenen Code per E-Mail zurückzusenden, damit die Teilnahme am Online-Banking weiterhin möglich sei.
• Die Klägerin kam der Bitte nach und sendete den Code an die in der E-Mail genannte Adresse.

Im weiteren Verlauf kam es zu unautorisierten Kontobewegungen – mutmaßlich ausgelöst durch Dritte, die den Code missbrauchten. Die Klägerin verlangte daraufhin von ihrer Bank die Erstattung der abgebuchten Beträge.

Die Klage – Forderung auf Rückerstattung

Die Klägerin berief sich darauf, dass sie Opfer eines betrügerischen Täuschungsmanövers geworden sei. Sie argumentierte, dass:

• die Bank mitverantwortlich sei, weil der Freischaltcode auf dem Postweg verschickt wurde,
• sie keine hinreichenden Warnungen über die Nutzung oder Gefahren der Weitergabe erhalten habe,
• es nicht transparent genug gewesen sei, dass der Code nur in der App einzugeben sei.

Die Bank wies die Forderung zurück – sie sah die Verantwortung ausschließlich bei der Kundin.

Die Entscheidung des OLG Karlsruhe

Kernaussage: Grobe Fahrlässigkeit schließt Ersatzanspruch aus

Das Oberlandesgericht lehnte den Anspruch auf Rückerstattung ab. Der Grund: grob fahrlässiges Verhalten der Kundin.

Zentrale Argumente des Gerichts im Detail:

a) Verstoß gegen Sorgfaltspflichten

Die Klägerin habe in "evident grober Weise" ihre vertraglich geschuldeten Sorgfaltspflichten verletzt (§ 675v Abs. 2 BGB), indem sie den Freischaltcode an eine fremde E-Mail-Adresse gesendet habe.

b) Klarer Warnhinweis im Begleitschreiben

Das offizielle Schreiben der Bank enthielt einen deutlichen Hinweis:

• Der Freischaltcode dürfe ausschließlich in der App eingegeben werden.
• Bei Unklarheiten solle der Kunde über bekannte Kommunikationswege Kontakt zur Bank aufnehmen.

Diese Hinweise habe die Klägerin entweder übersehen oder ignoriert – beides sei rechtlich nicht zu entschuldigen.

c) Allgemein bekannte Betrugsmasche

Das Gericht betonte:

„Es ist allgemein bekannt, dass Banken keine sensiblen Daten wie Freischaltcodes telefonisch oder per E-Mail anfordern.“

Diese Erkenntnis sei in der Öffentlichkeit so verbreitet, dass ein durchschnittlicher Kunde hier Verdacht hätte schöpfen müssen.

d) Indizien für Unregelmäßigkeiten waren erkennbar

Das OLG verweist zudem auf folgende Auffälligkeiten:

• Die Telefonnummer des Anrufers war zwar der Bank zuzuordnen, aber die Vorgehensweise war unüblich.
• Die Klägerin versuchte zwar, den Anrufer zurückzurufen, brach aber den Rückruf ab – eine unterlassene Möglichkeit zur Verifikation.
• Die E-Mail-Adresse, an die der Code geschickt wurde, war nicht im Originalschreiben genannt – ein klarer Hinweis auf einen Betrug.

e) Vertragsbedingungen waren eindeutig

Die Sonderbedingungen der Bank zum Online-Banking enthielten ausdrückliche Regelungen und Warnungen zum Umgang mit Aktivierungscodes und Authentifizierungsdaten. Diese waren nicht intransparent, wie die Klägerin behauptete, sondern klar und verständlich.

Keine Mitschuld der Bank – Sicherheit war ausreichend

Das Gericht stellte ausdrücklich fest, dass kein Mitverschulden der Bank gegeben sei. Die Begründung:

• Das Online-Banking-System sei sicher gestaltet.
• Der Freischaltcode sei auf dem üblichen, geschützten Kommunikationsweg per Brief zugestellt worden.
• Es habe keine technischen Sicherheitslücken gegeben.

Juristische Einordnung – Maßstab der groben Fahrlässigkeit

§ 675v BGB – Haftung bei nicht autorisierten Zahlungsvorgängen

• Wenn ein Zahlungsvorgang nicht autorisiert war, haftet grundsätzlich der Zahlungsdienstleister (die Bank).
• Aber: Der Kunde haftet selbst, wenn er grob fahrlässig gegen seine Pflichten verstoßen hat (Abs. 2).

Grobe Fahrlässigkeit liegt dann vor, wenn „die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt wird“.

Genau das war nach Auffassung des Gerichts hier der Fall.

Bedeutung für die Praxis

Für Verbraucher:

• Keine Weitergabe von TANs, PINs oder Freischaltcodes – auch nicht auf Anfrage!
• Immer direkt bei der Bank nachfragen, wenn etwas ungewöhnlich erscheint.
• Warnhinweise in Bankunterlagen sorgfältig lesen.

Für Banken:

• Die Entscheidung stärkt die Position der Banken, wenn sie ihre Informationspflichten erfüllen.
• Gute Dokumentation von Sicherheitshinweisen kann bei Streitigkeiten entscheidend sein.

Fazit: Kein Mitleid bei grober Fahrlässigkeit

Das OLG Karlsruhe setzt ein klares Zeichen: Eigenverantwortung im digitalen Zahlungsverkehr ist keine Option, sondern Pflicht. Wer eindeutige Warnungen ignoriert und sensible Daten an Dritte übermittelt, verliert seinen Erstattungsanspruch – auch bei professionellem Betrug.

Die Entscheidung betont einmal mehr: Sicherheit im Online-Banking beginnt nicht bei der Technik – sondern beim Menschen.