Misterjudie

In einem zum 4. Juli 2025 veröffentlichten Urteil hat das LG Leipzig entschieden, dass ein Facebook-Nutzer gegen Meta einen Anspruch auf Schadensersatz in Höhe von 5.000 EURO aus Art. 82 DGSVO wegen Verwendung der Meta Business Tools hat.

Der Fall ist mir die Tage bereits (hier mit Quelle Bild) untergekommen, was mir aber absolut zu dünn war – und ich hatte noch keine juristischen Details.

Urteil 05 O 2351/23 des LG Leipzig gegen Meta

In der gegen Meta Platforms Ireland betriebenen Klage eines Nutzers hat die für Datenschutzrecht zuständige 5. Zivilkammer des Landgerichts Leipzig mit Urteil 05 O 2351/23 vom 4. Juli 2025 einem Nutzer von Facebook eine Entschädigung wegen Datenschutzverstößen von 5.000 Euro zugesprochen.

Worum geht es?

Meta hat als Betreiberin der sozialen Netzwerke Instagram und Facebook Business Tools entwickelt, die von zahlreichen Betreibern auf ihren Webseiten und Apps eingebunden werden und die Daten der Nutzer von Instagram und Facebook an Meta senden. Konkret geht es um die Meta-Pixel, die die Seitenbetreiber in ihre Seiten einbauen (das könnte sogar ein Like-Button sein, wer auch ohne Anklicken die Information an Meta sendet, dass ein Nutzer die Seite besucht hat).

Das Meta-Pixel (früher Facebook-Pixel) ist ein Code, den Webseitenbetreiber auf ihrer Website einfügen, um für  Meta-Werbetreibende das Verhalten von Nutzern zu verfolgen und die Wirksamkeit von Facebook- und Instagram-Anzeigen zu messen. Das Pixel ermöglicht das Tracking von Aktionen wie Seitenaufrufen, Warenkorb-Hinzufügungen oder Käufen und soll helfen, Anzeigen besser auf bestimmte Zielgruppen auszurichten und den Erfolg von Kampagnen zu analysieren.

Warum das problematisch ist

Der Einbau der betreffenden “Meta-Pixel” ist problematisch, der Seitenbetreiber muss sich eine DSGVO-Einwilligung der Seitenbesucher einholen. Hier in den Blogs auf borncity.com habe ich – wegen der problematischen Konstruktion – von jeher auf die Einbindung von Meta-Pixeln verzichtet.

Der Hintergrund ist, dass jeder Nutzer für Meta zu jeder Zeit durch diese Pixel individuell erkennbar, sobald er sich auf den Dritt-Webseiten bewegt oder eine App benutzt hat, auch wenn er sich nicht über den Account von Instagram und Facebook angemeldet hat. Die Daten sendet Meta Ireland ausnahmslos weltweit in Drittstaaten, insbesondere in die USA. Dort werden die Daten in für den Nutzer unbekanntem Maß ausgewertet.

LG Leipzig sieht massiven DSGVO-Verstoß

Das Landgericht Leipzig sieht in den Meta Business Tools einen massiven Verstoß gegen  den europarechtlichen Datenschutz durch Meta. Da Meta die personenbezogenen Daten zu einem Profiling der Nutzer von Facebook verarbeitet. Zudem fahre Meta mit dem Geschäftsmodell der personalisierten Werbung Milliardengewinne ein.

Daher hat die für Datenschutzrecht zuständige 5. Zivilkammer des Landgerichts Leipzig mit Urteil vom 4. Juli 2025 dem klagenden Facebook-Nutzer eine Entschädigung wegen Datenschutzverstößen von 5.000 Euro zugesprochen. Das Gericht hält laut seiner Pressemitteilung die hohe Entschädigungssumme für gerechtfertigt.

Gericht stützt sich auf Europarecht

Das Gericht hat den Anspruch auf Ersatz des immateriellen Schadens ausschließlich auf Art. 82 der Datenschutz-Grundverordnung (DSGVO) gestützt, damit auf Europarecht und nicht (wie andere Gerichte in vergleichbaren Fällen) auf das nationale Recht bei Persönlichkeitsrechtsverletzungen, heißt es in der Presseerklärung.

Das Landgericht Leipzig hat sich dabei auf Feststellungen des Europäischen Gerichtshofs (EuGH) in einem Verfahren gegen Meta gestützt, in dem es ebenfalls um die Zulässigkeit der Business Tools ging. Da die Verarbeitung personenbezogener Daten besonders umfangreich ist – sie betrifft potenziell unbegrenzte Datenmengen und hat nahezu die vollständige Überwachung des Online-Verhaltens des Nutzers zur Folge – führt nach dem EuGH zu einem Gefühl, dass das gesamte Privatleben kontinuierlich überwacht wird.

Bemerkenswerte Vorgehensweise

Das Landgericht Leipzig hat auf eine informatorische Anhörung des Klägers – so wie die meisten anderen Gerichte bislang – verzichtet. Bei einer Anhörung des Klägers wären keine weiteren Erkenntnisse zu erwarten gewesen, der über die Mitteilung des im Allgemeinen eher diffusen Gefühls des Datenverlusts und der Verunsicherung hinausgeht, argumentieren die Richter.  Denn es sei ja gerade das Problem der Klagepartei und auch des Gerichts, festzustellen, was konkret Meta mit den Daten macht und noch vorhat.

Das Gericht stellt deshalb für eine Mindestentschädigung von 5.000 Euro auf die allgemeine Betroffenheit des aufmerksamen und verständigen »Durchschnitts«-Betroffenen im Sinne der DSGVO ab.

Urteil mit Signalwirkung?

Die Kammer ist sich, laut eigener Aussage, der Folgen ihrer Entscheidung bewusst. Auch wenn sie dazu führen könnte, dass viele Facebook-Nutzer Klage erheben, ohne einen individuellen Schaden explizit darzulegen, widerspricht dies nicht den gesetzgeberischen Zielen der DSGVO, gerade auch mittels Private Enforcement den Datenschutz vor Zivilgerichten und damit jenseits rein behördlicher Maßnahmen effektiv durchzusetzen.

Beck Aktuell geht in dieser Mitteilung auf diesen Sachverhalt ein, ohne aber wirklich viel Neues gegenüber obigen Verlautbarungen zu liefern. Aus meiner (nicht juristischen) Sichtweise folgende Einschätzung: Vom Ablauf müsste das oben genannte Urteil des LG Leipzig rechtskräftig sein – damit der Kläger seinen Schadensersatz bekommt. Meta kann (und wird) Berufung vor dem OLG Leipzig einlegen.

Falls jemand ebenfalls auf einen “Meta-Schadensersatz von 5.000 Euro” spekuliert, müsste er separat gegen Meta klagen (eine Sammelklage ohne ein rechtskräftiges Urteil in der Sache sehe ich derzeit noch nicht). Ob jedes Landgericht genau so argumentiert oder auf das LG-Urteil auf Leipzig abstellt, ist auch offen. Rechtsanwalt Solmecke von WBS geht in diesem Artikel auf das Thema ein. Die sehen wohl bereits ein Geschäftsmodell, welches dieses Urteil eröffnet. Aber nur zur Einordnung: Der oben erwähnte Kläger erhielt in erster Instanz einen Schadensersatzanspruch in Höhe von 5.000 Euro zugesprochen. WBS “kauft den Anspruch für 50 Euro” ab und würde das Prozessrisiko tragen.

Nachfolgend ist noch die Pressemitteilung vom 4.7.2025 des LG Leipzig zum Urteil mit dem Aktenzeichen 05 O 2351/23 im Volltext zu finden (falls diese später gelöscht wird).

Landgericht Leipzig spricht Facebook-Nutzer eine Entschädigung von 5.000 Euro wegen Datenschutzverstößen durch die Business Tools von Meta zu

In der gegen Meta Platforms Ireland betriebenen Klage hat die für Datenschutzrecht zuständige 5. Zivilkammer des Landgerichts Leipzig mit Urteil vom 4. Juli 2025 einem Nutzer von Facebook eine Entschädigung wegen Datenschutzverstößen von 5.000 Euro zugesprochen.

Damit, dass Meta mit seinen Business Tools massiv gegen europarechtlichen Datenschutz verstößt, die personenbezogenen Daten zu einem Profiling der Nutzer von Facebook verarbeitet und Meta mit dem Geschäftsmodell der personalisierten Werbung Milliardengewinne einfährt, hat das Gericht die hohe Entschädigungssumme gerechtfertigt.

Meta, Betreiberin der sozialen Netzwerke Instagram und Facebook, hat Business Tools entwickelt, die von zahlreichen Betreibern auf ihren Webseiten und Apps eingebunden werden und die Daten der Nutzer von Instagram und Facebook an Meta senden. Jeder Nutzer ist für Meta zu jeder Zeit individuell erkennbar, sobald er sich auf den Dritt-Webseiten bewegt oder eine App benutzt hat, auch wenn er sich nicht über den Account von Instagram und Facebook angemeldet hat. Die Daten sendet Meta Ireland ausnahmslos weltweit in Drittstaaten, insbesondere in die USA. Dort wertet sie die Daten in für den Nutzer unbekanntem Maß aus.

Das Gericht hat den Anspruch auf Ersatz des immateriellen Schadens ausschließlich auf Art. 82 der Datenschutz-Grundverordnung (DSGVO) gestützt, damit auf Europarecht und nicht (wie andere Gerichte in vergleichbaren Fällen) auf das nationale Recht bei Persönlichkeitsrechtsverletzungen. Das Landgericht Leipzig hat sich dabei auf Feststellungen des Europäischen Gerichtshofs (EuGH) in einem Verfahren gegen Meta gestützt, in dem es ebenfalls um die Zulässigkeit der Business Tools ging. Da die Verarbeitung personenbezogener Daten besonders umfangreich ist – sie betrifft potenziell unbegrenzte Datenmengen und hat nahezu die vollständige Überwachung des Online-Verhaltens des Nutzers zur Folge – führt nach dem EuGH zu einem Gefühl, dass das gesamte Privatleben kontinuierlich überwacht wird.

Die Höhe des europarechtsautonom auszulegenden Schmerzensgeldes nach Art. 82 DSGVO muss, so das Landgericht Leipzig, über die in der nationalen Rechtsprechungspraxis etablierten Schmerzensgeldbeträge hinausgehen. Bei der Schadensschätzung wurde an den Wert der personenbezogenen Daten zu Zwecken personalisierter Werbung für Meta angeknüpft. Nach dem Bundeskartellamt (Beschl. v. 2.5.2022, Az. B 6-27/21) verfügt Meta im Bereich der sozialen Medien über eines der führenden Werbeangebote. Im Jahr 2021 erzielte Meta bereits 115 Mrd. USD Werbeeinnahmen bei einem Gesamtumsatz von 118 Mrd. USD, sodass die Werbeeinnahmen 97 % vom Umsatz ausmachen. Der finanzielle Wert eines einzigen Nutzerprofils, in dem sämtliche Daten über die Person gespeichert sind, ist auf datenverarbeitenden Märkte enorm. Dass der hohe Wert von Daten auch der Wahrnehmung in der Gesellschaft entspricht, sieht das Gericht durch diverse Studien bestätigt.

Auf eine informatorische Anhörung des Klägers – so wie die meisten anderen Gerichte bislang – hat das Landgericht Leipzig verzichtet. Bei einer Anhörung des Klägers wären keine weiteren Erkenntnisse zu erwarten gewesen, der über die Mitteilung des im Allgemeinen eher diffusen Gefühls des Datenverlusts und der Verunsicherung hinausgeht. Denn es ist ja gerade das Problem der Klagepartei und auch des Gerichts, festzustellen, was konkret Meta mit den Daten macht und noch vorhat. Das Gericht stellt deshalb für eine Mindestentschädigung von 5.000 Euro auf die allgemeine Betroffenheit des aufmerksamen und verständigen »Durchschnitts«-Betroffenen im Sinne der DSGVO ab.

Die Kammer ist sich der Folgen ihrer Entscheidung bewusst. Auch wenn sie dazu führen könnte, dass viele Facebook-Nutzer Klage erheben, ohne einen individuellen Schaden explizit darzulegen, widerspricht dies nicht den gesetzgeberischen Zielen der DSGVO, gerade auch mittels Private Enforcement den Datenschutz vor Zivilgerichten und damit jenseits rein behördlicher Maßnahmen effektiv durchzusetzen.

Unschöne Geschichte, die sich gerade bei mailbox.org abzuspielen scheint. Nutzer die einen catch-all-Alias für ihr Postfach eingerichtet haben, haben einige Zeit plötzlich E-Mails anderer Benutzer aus E-Mail-Postfächern fremder Domänen zugestellt erhalten. Der Fehler ist inzwischen wohl behoben.

Was ist mailbox.org?

mailbox.org ist ein kostenpflichtiger, deutscher E-Mail-Dienst des Berliner Unternehmens Heinlein Hosting GmbH, der seit Februar 2014 online ist. Der Dienst versucht, sich mit besonderem Augenmerk auf Datenschutz, Datensicherheit und Werbefreiheit von anderen Anbietern abzugrenzen.

Eigene Domain mit Catch-All

Der E-Mail-Dienst mailbox.org ermöglicht Kunden mit eigener Domain einen Catch-All-Alias einzurichten. Der Hintergrund ist, dass an diesem Catch-All-Alias alle E-Mails landen, die an die betreffende Domain gesendet werden. Hätte ich beispielsweise ein Konto bei diesem Dienst, könnte ich borncity.com als Domain für den E-Mail-Empfang zuweisen und mit Einrichtung eines Catch-All-Alias alle Mails an diese Domain abgreifen.

Im betreffenden Support-Beitrag von mailbox.org heißt es dazu: “Wenn Sie bei mailbox.org Ihre eigene Domain für E-Mails verwenden, steht es Ihnen auch frei, einen so genannten Catch-All zu verwenden. Mit so einem “Allesfänger” (engl. “catch-all”) erhalten sie einfach alle E-Mails dieser Domain, auch solche, für die keine E-Mail-Adresse oder kein spezieller Alias angelegt wurde. Dafür dient ein spezieller Catch-All-Alias.” Im Support-Beitrag werden die Schritte zum Einrichten eines solchen Mechanismus im Detail beschrieben.

Problem: E-Mails fremder Domains im Postfach

Es war nur ein kurzer Kommentar von Tomas Jakobs im Diskussionsbereich des Blogs, der auf eine Forendiskussion E-Mails fremder Domain-User im Postfach bei mailbox.org zum Problem verlinkte (danke dafür).

Im Forenthread hat sich ein Nutzer gemeldet und schreibt, dass seit dem 18. Juli 2025, ca. 17 Uhr CEST, an seinem Postfach mit Catch-All-Alias plötzlich E-Mails fremder Benutzer eintreffen, die einen alias@domain.tld registriert haben.

Ein zweiter Nutzer schrieb, dass er das Problem bei sich in seinem Catch-All-E-Mail-Konto ebenfalls nachvollziehen könne. Aktuell scheint nur die Möglichkeit zu bestehen, den Catch-all-Alias beim Postfach zu entfernen.

Es gibt die Spekulation, dass der im Forenbeitrag hier beschriebene Fehler bzw. dessen Reparatur etwas an der Mailzustellung bei mailbox.org verändert hat.

Anbieter bestätigt Vorfall

In diesem Forenbeitrag informiert das Support-Team über einen sicherheitsrelevanten Vorfall, der in obigem Forenthread beschrieben wurde. Der Suppport schreibt, dass man durch Hinweise aus der Community eine Konfigurationsabweichung auf den eigenen Mail-Servern identifiziert habe.

Diese Abweichung ermöglichte unter bestimmten Umständen (bei Nutzung einer Catch-All-Adresse) – trotz aktivierter Zwei-Faktor-Authentifizierung (2FA) in Keycloak – die Authentifizierung mit dem Hauptpasswort.

Betroffen war laut Support potentiell eine dreistellige Zahl an Privatkunden, die sowohl 2FA in Keycloak aktiviert als auch eine Catch-All-Adresse nutzen. Die  festgestellte Konfigurationsabweichung der E-Mail-Server bestand seitdem die jeweiligen Benutzer auf den Login 2.0 umgestellt wurden und einen Catch-All für Ihre Domain eingerichtet hatten.

Im verlinkten Forenbeitrag informiert das mailbox.org-Supportteam, was man inzwischen unternommen habe. So sei der Fehler umgehend behoben worden. Die betroffenen Kunden werden individuell informiert und erhalten bei Bedarf Unterstützung. Weiterhin sei der Vorfall an unseren Chief Security Officer gemeldet worden. Ob eine DSGVO-Meldung bei der zuständigen Datenschutzbehörde erfolgt ist, ist offen. Der Vorfall ist eine arg unschöne Geschichte – imho.

Das von Sparkasse beim Online-Banking eingesetzte S-PushTAN-Verfahren ist für die Absicherung von Transaktionen unzureichend. Das hat das OLG-Dresden in einem Urteil festgestellt und einem Phishing-Opfer, welches grob fahrlässig handelte, einen Teil-Schadensersatz zugesprochen.

Das S-PushTAN-Verfahren der Sparkassen

Das S-PushTAN-Verfahren wird beim Online-Banking mit der S-PushTAN-App der Sparkassen zur Absicherung von Transaktionen bei Aufträgen verwendet.

Gemäß obigem Screenshot von der Seite des Sparkassenverband wird dieses Verfahren als Non-Plus-Ultra mit hoher Sicherheit beim mobilen Banking mit jedem Endgerät gepriesen. Man kann auch Internet-Kartenzahlungen und telefonische Identifikationen durchführen.

Der Pferdefuß, warum ich persönlich das nicht nutze: Man hat keine Zweifaktor-Absicherung über zwei Geräte, weil alles in der S-PushTAN-App der Sparkasse erfolgt. Ich nutze daher weiterhin einen separaten TAN-Generator zum Online-Banking. Aber viele Banken segeln mit ihren Banking-Apps auf dieser Schiene.

Der Sachverhalt: Grob fahrlässiges Kundenverhalten

Ein Sparkassen-Kunde war auf einen Phishing-Mail hereingefallen, die ihm suggerierte, dass das Online-Banking aktualisiert werde und dafür Anpassungen notwendig seien. Das Opfer glaubte, die Mail sei vom “Kundenservice” seiner Sparkasse und folgte dem in der Phishing-Mail angegebenen URL.

Phishing-Mail und Freigabe von Aufträgen

Auf einer Fake-Seite, die ein Sparkassen-Login vorgaukelte, gab er die Zugangsdaten für sein Online-Konto bei der Sparkasse an. Die Betrüger fischten diese Zugangsdaten ab. Drei Tage nach dem Besuch der Fake-Anmeldeseite erhielt das Opfer einen ersten Anruf, in denen er vermeintlich Aufträge seiner Sparkasse bestätigen musste. Die Beschreibung bei Beck, die das OLG-Urteil wiedergibt, enthält die Information, dass das Opfer durch die Anrufer genötigt wurde, zwei Aufträge zu bestätigen. Mit diesem Vorgang erhöhten die Täter das Tageslimit für Überweisungen und transferierten 24.422 Euro auf ein unbekanntes Konto. Gleichzeitig wurden die Zugangsdaten für das Online-Banking geändert.

Einen Tag später gab es einen angekündigter weiteren Anruf, bei dem das Opfer wieder zwei Aufträge per S-PushTAN bestätigen musste. Erneut wurde das Tagelimit erhöht und die Täter konnten erneut 24.422 Euro auf ein unbekanntes Konto transferieren.

Wiederholt grob fahrlässiges Verhalten des Kunden

Hier wurde gleich mehrere Male vom Kunden grob fahrlässig gehandelt. Die Kommunikation zwischen Sparkasse und Kunde läuft immer über das Postfach seines Kundenkontos (jedenfalls kenne ich das nicht anders). Er hätte niemals über den Anmeldelink einer Mail auf die “Sparkassen-Seite” gehen dürfen. Dann zum Zugriff auf das Postfach des Kundenkontos muss man in der Sparkassen-App oder beim Online-Banking im Browser angemeldet sein.

Ein Bankmitarbeiter wird meiner Kenntnis nach auch niemals Transaktionen des Kunden auf die oben beschriebene Weise durchführen. Weiterhin ist anzuführen, dass das Opfer nach dem ersten Anruf nicht versuchte, seine Konten per Online-Banking zu überprüfen. Dann wären die geänderten Zugangsdaten und der für das Opfer gesperrte Online-Zugang aufgefallen.

Als letztes geht mir noch der Gedanke: Da hat jemand viel Asche auf seinem Konto liegen gehabt, dass die Betrüger fast 50.000 Euro abbuchen konnten. Und mit der Assoziation “viel Asche” geht mir noch “da kann der Kunde eigentlich nicht so naiv sein” durch den Kopf. Aber wie warb bereits Toyota: “Nichts ist unmöglich”.

Betrug fliegt auf, Kunde will Geld von der Sparkasse

Etwa zwei Wochen später habe das Opfer, ein Mann, bemerkt, dass er sich nicht mehr  in seiner S-PushTAN-App der Sparkasse einloggen konnte. Er kontaktierte seine Sparkasse, und wurde von dieser über die Kontobewegungen informierte.

Das Opfer wollte sein Geld von der Sparkasse zurück und argumentierte, er habe die Zahlungen nicht autorisiert. Er habe auch nicht grob fahrlässig gehandelt, jedenfalls hafte er der Sparkasse nicht, weil sie beim Einloggen in das Online-Banking keine starke Kundenauthentifizierung verlange.

Juristischer Weg bis zum OLG Dresden

So aus dem hohlen Bauch ging mir der Gedanke: “Da hilft nur lernen durch Schmerzen” durch den Kopf. Denn das Opfer hat mehrfach nicht nur arg blauäugig, sondern auch grob fahrlässig gehandelt. Das Landgericht Chemnitz wies die Klage auf Erstattung des Schaden denn auch ab. Das Opfer legte über seinen Anwalt Berufung gegen dieses Urteil ein, so dass das Verfahren vor dem Oberlandesgericht in Dresden landete.

S-Push-TAN-Verfahren nicht sicher

Der Leserschaft dieses Blogs ist klar, dass das S-PushTAN-Verfahren mit einer App, in der Banking-Vorgänge angestoßen und gleichzeitig autorisiert werden, nicht wirklich als sicher zu erachten ist, da der zweite Faktor fehlt.

S-Push-TAN-Verfahren keine starke Kundenauthentifizierung

Nun bin ich kein Jurist – und dort kommt es oft auf Feinheiten an. Vor dem OLG Dresden konnte der Kläger dann einen Teilerfolg verbuchen. Die Richter urteilten am 05.06.2025 (Az. 8 U 1482/24), dass die betreffende Sparkasse trotz grober Fahrlässigkeit des Kunden beim Phishing-Angriff haften muss. Die Begründung: Das Gericht sah eine Mitverantwortung der Bank, da diese beim Login ins Online-Banking keine starke Kundenauthentifizierung implementiert hatte und somit gegen europäische Sicherheitsanforderungen verstieß.

Laut Beck nimmt das OLG Dresden an, dass der Mann die Zahlungen nicht autorisiert hat, sodass er zunächst gemäß § 675u S. 2 BGB einen Anspruch auf Erstattung des vollen, von seinem Konto überwiesenen Betrags habe. Die Richter erkennen zwar an, dass die Sparkasse die Authentifizierung des Klägers durch technische Protokolle nachgewiesen  habe (§ 675w Abs. 1 S. 1 BGB). Und dann kommt der juristische Knackpunkt: Einen etwaigen daraus folgenden Anscheinsbeweis für die Autorisierung habe der Mann aber mit der Schilderung des Phishing-Angriffs erschüttert. Sicherheitsmängel im Online-Banking der Bank müssten dafür vom Kläger nicht dargelegt werden.

Dass der Kläger den Schaden nur teilweise von der Sparkasse ersetzt bekommen soll, begründen die Richter mit dem grob fahrlässigen Verhalten und Verletzung der Sorgfaltspflichten des Klägers. Die sprachlichen Fehler in der angeblich von seiner Sparkasse stammenden E-Mail und der weitere Ablauf (Verifizierung, Anrufe, mehrfache Freigaben in der S-PushTAN-App) hätten den Kläger argwöhnisch machen müssen.

Die Richter argumentieren, dass Phishing bekannt und in den Medien ein präsentes Thema sei. Zudem habe die Sparkasse in ihren Sicherheitshinweisen vor solchen Phishing-Angriffen gewarnt. Außerdem müsse es im Allgemeinen jedem einleuchten, dass eine App zur Freigabe von Zahlungen nicht für eine angebliche Aktualisierung genutzt werden dürfe.

Das OLG lastet der Sparkasse wegen des Fehlens der aufsichtsrechtlich – auch beim Online-Zugriff – vorgeschriebenen starken Kundenauthentifizierung ein Mitverschulden von 20% an. Die Sparkasse muss ihrem Kunden daher 9.768,80 Euro des entstandenen Schadens ersetzen. Eine Revision des Urteils hat das OLG nicht zugelassen.

Spannend wird es, die Folgen zu beobachten

Aus meiner Sicht drängt sich nun die Frage nach den Folgen dieses Urteils auf. Werden die Banken ihr Online-Banking entsprechend umstellen und auf S-PushTAN oder gleichwertige Verfahren in ihren Online-Banking-Apps verzichten? Man wird es abwarten müssen – es ist eine Einzelfall-Entscheidung und mit einem “Schaden für die Sparkasse” unter 10.000 Euro eigentlich “Peanuts” (um mit Deutsche Bank Vorstand Hilmar Kopper zu sprechen).

Das Urteil des OLG-Dresden kommt übrigens nicht aus dem “luftleeren Raum”. Als ich hier erstmals über das Urteil las, ging mir “da war doch mal was” durch den Kopf. Wie so oft wusste mein Blog bei einer kurzen Suche Rat. Im Oktober 2023 hatte ich das Thema schon mal im Blog-Beitrag Gericht stuft Push-TAN-Verfahren der Banken als unsicher ein aufgegriffen. Dort hatte ich die Fallstricke des Push-TAN-Verfahrens der Banken und ein Urteil  der 6. Zivilkammer des LG Heilbronn vom 16.05.2023 (AZ Bm 6 O 10/23) aufgegriffen. Die Kammer hatte das Push-TAN-Verfahren wegen fehlende Zweifaktor-Authentifizierung als unsicher eingestuft.

Da sich seit diesem Urteil nichts getan hat, sagt mein Bauchgefühl, dass auch das OLG Dresden mit seinem Urteil keine Schockwellen durch die deutschen Banken-Lande geschickt hat. Allerding: Die Zahl der Phishing-Opfer mit entsprechenden Schäden steigt – die Zahl der Fälle, wo Banken dann, trotz fahrlässigem Verhalten ihrer Kunden, haften müssen, könnte steigen.

Das Urteil ist übrigens kein Freibrief für Bankkunden, unachtsam bezüglich Phishing zu werden. Bei jedem Schadensfall wird ein Opfer, zumindest nach meiner Einschätzung nach, klagen müssen.

Für die Betriebswirtschaftler in den Zentralen der Sparkassen ist es dann ein Rechenbeispiel: Wie viele Schäden muss ich im Jahr begleichen, und wie viele Kunden gehen mir als Bank verloren, wenn mein Online-Banking nicht genau so attraktiv wie der Ansatz der vielen Online- und Neobanken ist?

Ähnliche Artikel
Postbank: App und/oder SealOne statt chipTAN – Teil 1
Volks- und Raiffeisenbanken stellen SMS-TAN-Verfahren zum 30.9.2022 ein – Teil 2
Sparkassen und Volksbanken: Ende des [alten] chipTAN-Verfahrens – Teil 3
Online-Banking und Apps: Was die Kunden wünschen – Teil 4
Online-Banking und die Sicherheit von Banking-Apps – Teil 5
Online-Banking und Absicherung per chipTAN USB – Teil 6
Online-Banking: mTAN und Banking-Apps unsicher

Der Fail der Banken beim Online-Banking – Teil 1
Fail der Ing beim Online-Banking – Teil 2

Gericht stuft Push-TAN-Verfahren der Banken als unsicher ein
Datenleck bei Postbank und Deutscher Bank; ING und Comdirect
MOVEit-Datenleck: Neben Postbank/Deutscher Bank auch ING und Comdirect betroffen

Gehärteter Online-Banking-Browser S-Protect, ein Totalausfall?
Nachlese: Gehärteter Online-Banking-Browser S-Protect, neue Version, neue Erkenntnisse
Online-Banking: mTAN über SS7/UMTS gehackt, Konten abgeräumt
Vorsicht vor App-TANs beim Online-Banking

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.

Kurzer Nachtrag von dieser Woche: Ingram Micro musste nach technischen Problemen vor einigen Tagen eingestehen, dass der Geschäftsbetrieb durch eine Ransomware-Infektion beeinträchtigt wurde. Ich hatte es mitbekommen, aber nicht realisiert, dass Ingram Micro auch in Deutschland IT-Komponenten anbietet und für viele IT-Mitarbeiter relevant ist.

Technische Störung – bedingt durch Ransomware

Wer aktuell die europäische oder deutsche Ingram Micro-Seite aufrufen möchte, bekommt derzeit nur einen Fehler oder Wartungsarbeiten gemeldet.

Ich hatte auf der deutschen Seite habe ich den nachfolgenden Hinweis auf Wartungsarbeiten erhalten.

Die Kollegen von Bleeping Computer hatten bereits zum 4. Juli 2025 über den globalen Ausfall der Unternehmensseiten berichtet. Kunden des Anbieters spekulierten bereits über die Ursache.

Ingram Micro bestätigt Ransomware-Infektion

Auf auf den US-Seiten des Unternehmens findet sich seit dem 5. Juni 2025 die Aufklärung – es heißt, dass man einen Cybervorfall erlitten habe.

Unter dem Link erfährt man, dass die Ingram Micro Holding Corporation, kurz Ingram Micro, vor kurzem Ransomware auf einigen seiner internen Systeme entdeckt hat.

Unmittelbar nach Bekanntwerden des Problems hat das Unternehmen Schritte unternommen, um die betreffende Umgebung zu sichern, heißt es. Das umfasste auch das proaktive Abschalten bestimmter Systeme und der Implementierung anderer Maßnahmen zur Schadensbegrenzung.

Das Unternehmen leitete außerdem eine Untersuchung mit Unterstützung führender Cybersicherheitsexperten ein und informierte die Strafverfolgungsbehörden. Aktuell arbeitet Ingram Micro  mit Hochdruck daran, die betroffenen Systeme wiederherzustellen, damit Bestellungen bearbeitet und ausgeliefert werden können.

Ich hatte die Information, dass Ingram Micro von der SafePay-Ransomware betroffen sei, bei den Kollegen von Bleeing Computer gelesen, aber nicht realisiert, dass es auch Einfluss auf Leser dieses Blog haben könnte. Inzwischen wurde ich von zwei Lesern auf den Ausfall angesprochen und habe den Beitrag hier kurz im Blog eingestellt.

Quellen haben BleepingComputer mitgeteilt, dass man davon ausgeht, dass die Bedrohungsakteure über die GlobalProtect VPN-Plattform von Ingram Micro eingedrungen sind. Laut Bleeping Computer wurden die Mitarbeiter an einigen Standorten angewiesen, von zu Hause aus zu arbeiten. Mitarbeiter sind aber angewiesen, den GlobalProtect VPN-Zugang des Unternehmens nicht zu nutzen, dieser soll vom IT-Ausfall betroffen sein.

Bleeping Computer schreibt, dass die KI-gestützte Xvantage-Vertriebsplattform des Unternehmens und die Impulse-Plattform für die Lizenzbereitstellung betroffen sei. Andere interne Dienste wie Microsoft 365, Teams und SharePoint funktionieren weiterhin wie gewohnt.

Wer ist Ingram Micro?

Ingram Micro ist ein Großhändler für Informations- und Kommunikationstechnik mit Sitz in Irvine im US-Bundesstaat Kalifornien und wird weltweit als die Nummer 2 im Distributionssektor gehandelt. Mit weltweit über 35.000 Mitarbeitern und Niederlassungen in 39 Ländern wurde 2020 ein Umsatz von rund 49,1 Mrd. US-Dollar erreicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.