Anlegerrecht

Phishing-Betrug: Bank und Kunde müssen Schaden teilen

Ein Urteil des OLG Linz (1 R 45/25f) stärkt die Rechte von Phishing-Opfern in Österreich. Erfahren Sie, warum Banken bei Online-Banking-Betrug trotz Fehlern der Kunden oft für den Schaden mithaften müssen und wie die Schadensteilung funktioniert.

Ein Moment der Unachtsamkeit reicht oft aus: Eine täuschend echte SMS, ein Klick auf einen Link und die Eingabe einer TAN – schon ist das Konto leer. Lange Zeit galt in Österreich das Credo: Wer auf Phishing hereinfällt, handelt grob fahrlässig und bleibt auf dem Schaden sitzen. Doch die Rechtsprechung wandelt sich zugunsten der Konsumenten. Eine Entscheidung des Oberlandesgerichts (OLG) Linz sorgt derzeit für Aufsehen. Das Gericht hat klargestellt, dass die Haftungsfrage nicht mehr schwarz-weiß ist. In vielen Fällen haftet die Bank bei Phishing in Österreich zumindest teilweise, selbst wenn der Kunde einen Fehler gemacht hat.

Kreditkarte, Tan, Handy, SMS, Unautorisierte Zahlung, Rückforderung Bank

Das Urteil des OLG Linz: Entscheidung für den Konsumentenschutz

Im konkreten Fall wurde ein Bankkunde Opfer einer klassischen Phishing-Attacke. Er erhielt eine SMS, die scheinbar von seiner Bank stammte, und wurde aufgefordert, seine Daten aufgrund einer angeblichen Systemumstellung zu aktualisieren. Er folgte dem Link, gab seine Zugangsdaten ein und autorisierte – im Glauben, eine Sicherheitsvorkehrung zu bestätigen – eine Transaktion.

Das Erstgericht wies die Klage des Kunden auf Rückerstattung zunächst ab. Das Argument: Der Kunde habe grob fahrlässig gehandelt. Doch das OLG Linz sah das anders und hob das Urteil auf bzw. entschied auf eine Schadensteilung.

Warum musste die Bank den Schaden teilweise ersetzen?

Das Gericht erkannte an, dass zwar ein Fehlverhalten des Kunden vorlag, die Bank aber ihre eigenen Schutzpflichten nicht ausreichend erfüllt hatte. Insbesondere ging es um das sogenannte Fraud-Transaction-Monitoring. Banken sind gesetzlich verpflichtet, ungewöhnliche Transaktionsmuster zu erkennen und zu unterbinden. Wenn ein System versagt, das einen solch offensichtlichen Betrug hätte stoppen müssen, kann die Bank den Schaden nicht allein auf den Kunden abwälzen.

Wann haftet die Bank bei Phishing in Österreich?

Die rechtliche Grundlage für die Haftung bei nicht autorisierten Zahlungsvorgängen findet sich im Zahlungsdienstegesetz 2018 (ZaDiG 2018). Grundsätzlich gilt:

  1. Nicht autorisierte Zahlung: Hat der Kunde die Zahlung nicht wirksam autorisiert (z. B. weil er über die Natur der Transaktion getäuscht wurde), muss die Bank den Betrag gemäß § 68 ZaDiG 2018 unverzüglich zurückerstatten.

  2. Die Ausnahme – Grobe Fahrlässigkeit: Die Bank kann die Rückerstattung verweigern, wenn der Kunde in betrügerischer Absicht gehandelt oder seine Sorgfaltspflichten grob fahrlässig verletzt hat.

Die neue Sichtweise auf „Grobe Fahrlässigkeit“

Früher wurde fast jeder Klick auf einen Phishing-Link als grobe Fahrlässigkeit ausgelegt. Das OLG Linz und auch der Oberste Gerichtshof (OGH) differenzieren heute stärker.

  • Wie professionell war die Fälschung?

  • Wurde der Kunde durch „Social Engineering“ massiv unter Druck gesetzt?

  • War für einen Laien erkennbar, dass es sich um eine Betrugsseite handelt?

Wenn die Täuschung besonders geschickt gemacht ist, liegt oft nur eine leichte Fahrlässigkeit vor – und in diesem Fall muss die Bank den Schaden bei Phishing voll ersetzen.

Die Rolle des Fraud-Transaction-Monitorings

Ein zentraler Punkt im Verfahren vor dem OLG Linz war die Überwachungspflicht der Bank. Moderne Banken nutzen Algorithmen, um Betrug zu verhindern. Wenn beispielsweise:

  • eine untypisch hohe Summe ins Ausland überwiesen wird,

  • die Transaktion von einem unbekannten Gerät oder Standort erfolgt,

  • oder das Nutzerverhalten massiv vom Üblichen abweicht,

muss das System Alarm schlagen. Das OLG Linz betonte, dass Banken eine objektive Sorgfaltspflicht haben. Wenn die Bank es unterlässt, Warnmechanismen zu implementieren oder auf Warnsignale zu reagieren, trifft sie ein Mitverschulden.

Schadensteilung Bank und Kunde: Was bedeutet das finanziell?

Die Schadensteilung bei Bank-Betrug bedeutet, dass das Gericht die Verantwortlichkeiten gewichtet. Im Fall des OLG Linz führte dies dazu, dass der Kunde nicht auf dem gesamten Verlust sitzen blieb.

Oft wird eine Quote von 50:50 oder 75:25 angewandt, je nachdem, wie schwerwiegend der Fehler des Kunden und wie lückenhaft das Sicherheitssystem der Bank war. Für Phishing-Opfer ist das ein riesiger Erfolg, da es den Weg ebnet, zumindest einen signifikanten Teil des verlorenen Geldes zurückzuerhalten, anstatt leer auszugehen.

Phishing im Online-Banking: Typische Szenarien in Österreich

Betrüger werden immer raffinierter. In unserer Kanzleipraxis sehen wir vor allem folgende Methoden:

  • Vishing (Voice Phishing): Ein angeblicher Bankmitarbeiter ruft an und bewegt den Kunden dazu, eine Freigabe in der App zu tätigen.

  • SMS-Phishing (Smishing): Nachrichten über ablaufende Debitkarten oder gesperrte Konten („Ihr s-ID Check muss erneuert werden“).

  • Reverse-Phishing: Betrüger geben sich als Käufer auf Plattformen wie Willhaben aus und schicken Links zu gefälschten Zahlungsseiten.

In all diesen Fällen stellt sich die Frage: Muss die Bank bei Online-Banking-Betrug zahlen? Die Antwort lautet immer öfter: Ja, zumindest teilweise.

Checkliste: Was tun nach einem Phishing-Vorfall?

Wenn Sie bemerken, dass unberechtigte Abbuchungen auf Ihrem Konto stattgefunden haben, zählt jede Minute.

  1. Konto und Karten sperren: Rufen Sie sofort die Sperr-Hotline Ihrer Bank oder den zentralen Sperrnotruf an.

  2. Beweise sichern: Machen Sie Screenshots von der Phishing-SMS, der Website und dem Verlauf in Ihrer Banking-App. Löschen Sie nichts!

  3. Anzeige erstatten: Erstatten Sie Anzeige bei der Polizei. Rechtliche Beratung im Vorfeld bzw. Vorbereitung der Anzeige durch einen Rechtsanwalt ist empfehlenswert.

  4. Bank kontaktieren: Fordern Sie schriftlich die Rückerstattung des Betrags gemäß ZaDiG 2018.

  5. Rechtliche Prüfung: Lassen Sie sich nicht mit einem Standard-Absageschreiben der Bank („Sie haben grob fahrlässig gehandelt“) abspeisen.

FAQ: Häufige Fragen zur Bankhaftung bei Phishing

1. Muss die Bank den Schaden immer ersetzen?

Nicht immer, aber immer häufiger. Wenn die Bank nicht nachweisen kann, dass Sie grob fahrlässig gehandelt haben, muss sie den Schaden zu 100 % tragen. Bei Mitverschulden kommt die Schadensteilung zum Tragen.

2. Gilt die Bestätigung per App (2-Faktor-Authentifizierung) als grobe Fahrlässigkeit?

Die Banken behaupten das gerne. Die Rechtsprechung sieht das differenzierter: Wenn die App-Freigabe durch eine geschickte Täuschung (Social Engineering) provoziert wurde, ist das nicht automatisch grob fahrlässig.

3. Wie lange habe ich Zeit, den Schaden zu melden?

Sie müssen den unautorisierten Zahlungsvorgang unverzüglich nach Entdeckung, spätestens jedoch 13 Monate nach der Belastung, bei Ihrer Bank melden.

Fazit: Kämpfen lohnt sich

Das Urteil des OLG Linz ist ein klares Signal an die Finanzbranche: Die Verantwortung für Sicherheit im Online-Banking liegt nicht allein beim Kunden. Wenn Sie Opfer von Online-Banking-Betrug geworden sind, haben Sie in Österreich gute Chancen, Ihr Geld zurückzubekommen – oder zumindest eine faire Schadensteilung zu erwirken.

Haben Sie Geld durch Phishing verloren? Lassen Sie Ihre Ansprüche prüfen. Wir unterstützen Sie dabei, gegen die Bank vorzugehen und Ihr Recht durchzusetzen. Oft lenken Banken bereits ein, wenn sie sehen, dass die Betroffenen juristisch fundiert argumentieren und die aktuelle Rechtsprechung kennen.

Kontaktieren Sie ATB.LAW für eine unverbindliche Ersteinschätzung Ihres Falles.

Linkedin-in Facebook-f