Das Schleswig-Holsteinische Oberlandesgericht hat mit Beschluss vom 29. September 2025 – 5 U 27/25 die Berufung eines Bankkunden zurückgewiesen, der von seinem Zahlungsdienstleister eine Erstattung nach unautorisierten Kreditkartenzahlungen begehrte. Dem Verfahren lag derselbe Sachverhalt zugrunde, über den ich bereits in meinem Blogbeitrag vom 05.02.2025 zur Klagabweisung durch das Landgericht Itzehoe berichtet habe (Urteil vom 28. Januar 2025 – 7 O 114/24; abrufbar unter https://www.skwschwarz.de/news/keine-uberwachungspflicht-fur-banken-aktuelles-urteil-des-lg-itzehoe-im-kontext-von-online-banking-missbrauchsfallen).
1. Grobe Fahrlässigkeit des Kunden
Der Senat bestätigt die Einschätzung der Vorinstanz, dass der Kläger in mehrfacher Hinsicht grob fahrlässig gehandelt habe. Maßgeblich sei insbesondere gewesen, dass er einem außerhalb des Kommunikationssystems von Kleinanzeigen versandten Link folgte und dort persönliche Kreditkartendaten eingab, obwohl er sich in der Rolle des Zahlungsempfängers befand. Bereits dies hätte den Verdacht eines Betrugs nahegelegt.
Hinzu trat die Registrierung seiner Kreditkarte im S-ID-Check-Verfahren mittels Face-ID/PushTAN. Der Kläger ignorierte dabei nach Auffassung des Gerichts eindeutige Hinweise, die auf die missbräuchliche Nutzung seiner Daten hindeuteten. Die Preisgabe sensibler Authentifizierungsmerkmale unter diesen Umständen stelle einen objektiv schwerwiegenden und subjektiv nicht entschuldbaren Verstoß gegen die Sorgfaltspflichten nach § 675l Abs. 1 BGB sowie gegen die einschlägigen vertraglichen Online-Banking-Bedingungen dar.
2. Kein Ausschluss der Haftung nach § 675v Abs. 4 BGB
Der Senat verneinte zudem einen Haftungsausschluss nach § 675v Abs. 4 Nr. 1 BGB. Entgegen der Auffassung des Klägers habe die Sparkasse eine starke Kundenauthentifizierung bei der Transaktion verlangt. Diese erfolgte – unionsrechtskonform – auf der Grundlage einer Zwei-Faktor-Authentifizierung mit den Kategorien Wissen (Online-Banking-Zugangsdaten), Besitz (Kreditkartendaten) und Inhärenz (Face-ID). Damit war die Voraussetzung für einen Haftungsausschluss nicht erfüllt. Den Vortrag des Klägers, wonach zwischen den Parteien streitig war, inwieweit bei der bloßen Anmeldung für das Online-Banking eine starke Kundenauthentifizierung verlangt worden sei, hielt der Senat für nicht entscheidungserheblich und ließ ihn daher unberücksichtigt.
3. Kein Mitverschulden der Bank
Schließlich lehnte das Oberlandesgericht auch eine Anspruchskürzung wegen Mitverschuldens der Beklagten nach § 254 BGB ab. Weder habe es Anhaltspunkte für eine mangelhafte Systemsicherheit gegeben, noch sei eine vertragliche Schutz- oder Warnpflicht verletzt worden. Nach der ständigen Rechtsprechung des Bundesgerichtshofs bestehen Warnpflichten von Kreditinstituten nur in Ausnahmefällen, etwa bei objektiv evidenten Verdachtsmomenten für eine Fremdschädigung. Ein solcher Ausnahmefall habe hier nicht vorgelegen.
Fazit
Mit seinem Beschluss bestätigt das Schleswig-Holsteinische Oberlandesgericht die bereits erstinstanzlich vertretene Auffassung, dass das Verhalten des Klägers als grob fahrlässig einzustufen ist und damit seine Erstattungsansprüche ausschließt. Die Entscheidung unterstreicht, dass Bankkunden bei der Preisgabe von Sicherheitsmerkmalen ein hohes Maß an Eigenverantwortung trifft, während Kreditinstitute nicht verpflichtet sind, jeden verdächtigen Zahlungsvorgang im Einzelfall zu hinterfragen.
Von Bedeutung ist ferner, dass der Senat die streitige Behauptung des Klägers, dass bei der bloßen Anmeldung für das Online-Banking eine starke Kundenauthentifizierung verlangt worden sei, für nicht entscheidungserheblich hielt und daher unberücksichtigt ließ (vgl. zur diesbezüglichen Diskussion OLG Dresden, Urt. v. 05.05.2025 – 8 U 1482/24, BKR 2025, 850 m. Anm. von mir, sowie jüngst BGH, Urt. v. 22.07.2025 – XI ZR 107/24, BKR 2025, 843).
'/%3e%3c/svg%3e){kind=small}
'/%3e%3c/svg%3e){kind=small}
