Bankenhaftung: Banken haften nicht generell bei Phishing

In einem praxisrelevanten Fall um vermeintlich unautorisierte Onlineüberweisungen hat das LG Hamburg zugunsten der beklagten Bank entschieden (Urteil vom 29.04.2025, Az.: 330 O 23/23). Die Klägerin, ein Unternehmen mit Geschäftsgirokonto bei der Bank, verlangte die Rückerstattung von drei Überweisungen in Höhe von insgesamt 29.725 Euro. Das Gericht hat die Klage abgewiesen, da eine Autorisierung der Zahlungen durch ein etabliertes Zwei-Faktor-Sicherungsverfahren nachgewiesen war.

Hintergrund des Verfahrens

Auslöser des Rechtsstreits war der Eingang einer täuschenden E-Mail (sog. Phishing-Mail), die eine Mitarbeiterin der Klägerin erhielt. Unmittelbar nach deren Eingang wurden drei erhebliche Überweisungen vom Geschäftskonto der Klägerin ausgeführt. Die Klägerin bestritt, die Zahlungen autorisiert zu haben, und verlangte deren Rückbuchung. Die Klägerin machte geltend, es seien keine Transaktionsnummern (TANs) verwendet worden, und die App sei unrechtmäßig durch einen Bankmitarbeiter entsperrt worden.

LG Hamburg sieht Autorisierung durch Zwei-Faktor-Verfahren als erwiesen an

Das LG Hamburg holte im Prozessverlauf ein Gutachten einer öffentlich bestellten und vereidigten IT-Sachverständigen ein. Diese bestätigte, dass das eingesetzte Sicherungsverfahren zum maßgeblichen Zeitpunkt ein hohes Schutzniveau geboten habe und faktisch nur durch Preisgabe der Zugangsdaten durch die Nutzerin kompromittiert werden konnte. Eine derartige Preisgabe wurde von der Klägerin in Abrede gestellt.

Aus Sicht des Gerichts seien unter Zugrundelegung des Sachverständigengutachtens die Zahlungen über das registrierte Endgerät (Smartphone) der Mitarbeiterin erfolgt – und zwar im Tagesverlauf mehrfach, unter durchgängig identischer technischer Kennung (sog. App-ID), mittels korrekter Transaktionsnummern (TANs) und mit dem für das Konto eingerichteten Zugangsschlüssel. Hinweise auf technische Störungen oder atypische Abläufe haben sich nicht ergeben.

Anscheinsbeweis für Autorisierung nicht erschüttert

Das LG Hamburg hat die Klage abgewiesen und klargestellt, dass eine Rückerstattung nach § 675u BGB nur dann in Betracht komme, wenn ein Zahlungsvorgang tatsächlich nicht autorisiert worden sei. Dies konnte die Klägerin im konkreten Fall nicht darlegen.

Bei seiner Entscheidung hat sich das Gericht auf den Anscheinsbeweis gestützt: Werde ein Zahlungsvorgang mittels eines erprobten Zwei-Faktor-Verfahrens über ein registriertes Gerät durchgeführt, spreche die Lebenserfahrung dafür, dass die Transaktion durch den berechtigten Nutzer veranlasst worden sei. Die Bank treffe in einem solchen Fall keine Pflicht, die Identität des Auslösenden im Einzelnen nachzuweisen. Vielmehr obliege es dem Kunden, konkrete Umstände vorzutragen und zu beweisen, die eine unautorisierte Auslösung plausibel erscheinen ließen, etwa einen technischen Defekt oder eine Manipulation durch Dritte. Einen solchen Nachweis habe die Klägerin im hier zu entscheidenden Fall jedoch nicht führen können.

Zwar hatte ein Bankmitarbeiter in einer E-Mail die Auskunft erteilt, eine der Überweisungen sei wegen „Betrugsverdachts“ zurückgehalten worden. Die Klägerin berief sich deshalb darauf, dass die Bank offenkundig Unstimmigkeiten erkennen konnte und musste. Das Gericht hat dies aber nicht als Anschein für einen technischen Defekt oder eine Manipulation genügen lassen. Die Auskunft habe auf einem Irrtum beruht. Tatsächlich sei die Überweisung ausgeführt worden.