Haftung bei pushTAN-Missbrauch: Aktuelle Urteile verschieben die Gewichte

Veröffentlicht am: Zuletzt aktualisiert am: Verfasst von:

Wer im Online-Banking per pushTAN eine Zahlung freigibt, stimmt rechtlich einem konkreten Auftrag zu – so zumindest das Idealbild der Banken. In der Praxis nutzen Täter jedoch Sicherheitslücken, um Transaktionen unterzuschieben. Die Frage ist dann nicht mehr, ob Phishing vorlag – sondern wer den Schaden trägt.
Die jüngsten Urteile zeigen: Banken müssen mehr beweisen und können selbst in die Haftung geraten.

Die aktuellen Leitentscheidungen 2024/2025

BGH, 05.03.2024 (XI ZR 107/22)
Bloße Technik-Logs belegen keine Autorisierung. Bestreitet der Kunde die Zustimmung, muss die Bank lückenlos darlegen, dass die Zahlung rechtlich wirksam freigegeben wurde.

OLG Dresden, 05.05.2025 (8 U 1482/24)
Login ohne starke Kundenauthentifizierung (SCA) ist ein Sicherheitsmangel. Folge: Mitverschulden der Bank, Haftungsquote von 20 % zugunsten des Kunden – trotz dessen eigenem Fehlverhalten.

OLG Oldenburg, 08.08.2025 (8 U 103/23)
Wer eindeutige Warnsignale ignoriert und TANs freigibt, ohne den Zweck zu prüfen, handelt grob fahrlässig – und verliert seinen Anspruch. Im Fall: Verlust von rund 41.000 €.

Die drei Kernfragen in der Haftungsprüfung

  1. Autorisierung – Wurde die Zahlung rechtlich wirksam erteilt oder nur technisch bestätigt?
  2. Sicherheitsarchitektur der Bank – Wurde SCA korrekt umgesetzt und die Transaktion eindeutig angezeigt?
  3. Kundenseitiges Verhalten – Liegt grobe Fahrlässigkeit vor, und wenn ja, in welchem Umfang?

Meine Vorgehensweise in Mandaten

  • Beweiskette der Bank zerlegen – Keine pauschalen Behauptungen akzeptieren, jede technische Aufzeichnung im Detail prüfen.
  • Sicherheitslücken aufzeigen – Fehlt SCA, sind TAN-Texte unklar, wurden Limits geändert?
  • Mitverschulden geltend machen – Selbst bei Kundenfehlern kann das die Haftung verschieben.
  • Vorwurf der groben Fahrlässigkeit entkräften – Den Täuschungsablauf minutiös darstellen, vom Anruf-Spoofing bis zur manipulativen Transaktionsanzeige.

Fazit:
PushTAN-Betrug wird rechtlich nicht mehr auf „der Kunde hat eben nicht aufgepasst“ reduziert. Die Gerichte schauen genauer hin – auf die Autorisierungsfrage, die Sicherheitsarchitektur der Bank und das Verhalten beider Seiten.
Wer diese Punkte gezielt prüft und belegt, hat realistische Chancen auf vollständige oder zumindest anteilige Erstattung.

Weiterführend:
In vielen pushTAN-Fällen beginnt der Angriff mit einer präzise inszenierten Nachricht – oft als vermeintliche Sicherheitswarnung oder Zustellbenachrichtigung.
Wie Täter vorgehen und welche Täuschungsmuster besonders gefährlich sind, habe ich im Beitrag „Unterschätzte Gefahr: Smishing“ erläutert.