Eine gefälschte SMS der Hausbank, ein Anruf eines vermeintlichen Bankmitarbeiters, eine täuschend echte E-Mail mit Link zur „Sicherheitsüberprüfung“ – und kurz darauf ist das Konto leergeräumt. Phishing im Onlinebanking trifft täglich zahlreiche Bankkunden und führt oft zu Schäden von mehreren tausend Euro. Die gute Nachricht: Wer eine Überweisung nicht selbst autorisiert hat, hat gegen seine Bank grundsätzlich einen gesetzlichen Anspruch auf Erstattung. Doch Banken berufen sich häufig auf grobe Fahrlässigkeit des Kunden und verweigern die Rückzahlung. In diesem Beitrag erklärt Ihnen Rechtsanwalt Dr. Jens Sebastian Groh von Walek Rechtsanwälte in Mayen, welche Rechte Sie als Phishing-Opfer haben und wie Sie Ihr Geld zurückholen.
Beim Phishing versuchen Kriminelle, mit gefälschten Nachrichten an sensible Bankdaten wie PIN, Passwörter oder TANs zu gelangen. Die Methoden werden dabei immer professioneller:
Allen Maschen gemeinsam ist: Der Kunde wird so getäuscht, dass die Täter eine Überweisung auslösen können – ohne dass der Kontoinhaber dies wirklich gewollt hat.
Maßgeblich ist das Zahlungsdiensterecht im Bürgerlichen Gesetzbuch. Nach § 675u Satz 2 BGB hat die Bank einem Kunden einen Betrag unverzüglich zu erstatten, wenn ein Zahlungsvorgang nicht autorisiert, also nicht wirksam vom Kontoinhaber freigegeben wurde. Der Grundsatz lautet also: Wer Opfer eines Phishing-Angriffs wird und die Zahlung nicht autorisiert hat, hat gegen seine Bank einen gesetzlichen Anspruch auf Wiedergutschrift des abgebuchten Betrags.
Besonders wichtig für Betroffene: Nach § 675w BGB trägt die Bank die volle Beweislast. Ist streitig, ob eine Zahlung autorisiert wurde, muss die Bank nachweisen, dass eine Authentifizierung durch den Kunden erfolgte und der Zahlungsvorgang ordnungsgemäß aufgezeichnet und verbucht wurde.
Der Bundesgerichtshof hat diese Position der Verbraucher gestärkt: Mit Urteil vom 5. März 2024 (Az. XI ZR 107/22) hat der BGH klargestellt, dass allein die korrekte Eingabe von PIN und TAN keinen automatischen Anscheinsbeweis dafür begründet, dass der Kunde die Zahlung selbst autorisiert hat. Gelingt der Bank der Nachweis nicht, muss sie den unberechtigt abgebuchten Betrag in voller Höhe erstatten.
Der Erstattungsanspruch ist allerdings nicht uneingeschränkt. Hat der Kunde seine Sorgfaltspflichten (§ 675l BGB) grob fahrlässig verletzt, kann die Bank ihm nach § 675v Abs. 3 Nr. 2 BGB einen eigenen Schadensersatzanspruch entgegenhalten und damit aufrechnen. In der Praxis ist genau dies das häufigste Argument der Banken, um eine Zahlung zu verweigern.
Grobe Fahrlässigkeit nimmt die Rechtsprechung insbesondere an, wenn das Phishing-Opfer die Täuschung hätte erkennen können oder müssen – etwa bei der leichtfertigen Weitergabe von PIN, Passwort oder mehreren TANs an angebliche Bankmitarbeiter oder auf gefälschten Webseiten.
Wie streng die Maßstäbe sein können, zeigt ein aktuelles Urteil des Bundesgerichtshofs vom 22. Juli 2025 (Az. XI ZR 107/24). Eine Kundin hatte nach mehreren Anrufen einer vermeintlichen Bankmitarbeiterin nacheinander mehrere TANs weitergegeben; die Täter veranlassten daraufhin eine Echtzeitüberweisung über mehr als 35.000 Euro. Der BGH bejahte zwar einen nicht autorisierten Zahlungsvorgang, wertete das Verhalten der Kundin aber als grob fahrlässig: Sie hätte angesichts der ungewöhnlichen Uhrzeit, der Aufforderung zur Installation eines „neuen Sicherheitsprogramms“ und der Eingabe hoher Beträge in den TAN-Generator stutzig werden müssen. Auch ein Tag Bedenkzeit hatte sie nicht zum Nachdenken genutzt. Die Klage blieb erfolglos.
Der BGH stellte zudem klar, dass eine fehlende starke Kundenauthentifizierung beim bloßen Login den Haftungsausschluss des § 675v Abs. 4 BGB nicht auslöst, wenn für die Überweisung selbst eine starke Authentifizierung verlangt wurde.
Es gibt jedoch auch verbraucherfreundliche Entwicklungen. Das Oberlandesgericht Dresden hat mit Urteil vom 5. Juni 2025 (Az. 8 U 1482/24) entschieden, dass eine Sparkasse trotz grob fahrlässigen Verhaltens des Kunden einen Teil des Schadens mittragen muss – im konkreten Fall 20 Prozent. Grund: Die Bank hatte es versäumt, bei kritischen Schritten eine Zwei-Faktor-Authentifizierung zu verlangen. Damit bleibt die Systemsicherheitspflicht der Bank auch dann bestehen, wenn dem Kunden ein Fehler unterlaufen ist. Ob und in welcher Höhe eine solche Mithaftung greift, hängt stets vom Einzelfall ab und lohnt die genaue Prüfung.
Gerade weil die Beweislast bei der Bank liegt, lohnt es sich häufig, eine pauschale Ablehnung nicht hinzunehmen. Verfügen Sie über eine Rechtsschutzversicherung, sind die Kosten oft gedeckt – was zu tun ist, wenn der Versicherer den Schutz verweigert, lesen Sie in unserem Beitrag Rechtsschutzversicherung verweigert Deckungsschutz – was Sie jetzt tun können.
Grundsätzlich ja, wenn die Überweisung nicht vom Kontoinhaber autorisiert wurde. Nach § 675u BGB muss die Bank nicht autorisierte Zahlungen unverzüglich erstatten. Der Anspruch kann jedoch entfallen oder gemindert werden, wenn Sie grob fahrlässig gehandelt haben. Eine pauschale Ablehnung der Bank sollten Sie nicht ungeprüft hinnehmen.
Die Beweislast liegt nach § 675w BGB bei der Bank. Sie muss nachweisen, dass Sie die Zahlung selbst autorisiert oder grob fahrlässig gehandelt haben. Die bloße Eingabe von PIN und TAN genügt dafür nach der Rechtsprechung des BGH nicht.
Grobe Fahrlässigkeit wird angenommen, wenn Sie offensichtliche Warnzeichen ignoriert haben – etwa die Weitergabe mehrerer TANs an einen unbekannten Anrufer oder die Eingabe von Daten auf einer gefälschten Webseite. Die Beurteilung hängt immer vom Einzelfall ab.
Möglicherweise. Das OLG Dresden hat einer Bank trotz grob fahrlässigen Kundenverhaltens eine Mithaftung von 20 Prozent auferlegt, weil sie keine ausreichende Zwei-Faktor-Authentifizierung verlangt hatte. Ob eine Mithaftung greift, sollte anwaltlich geprüft werden.
So schnell wie möglich. Melden Sie die nicht autorisierte Zahlung unverzüglich (§ 676b BGB), sperren Sie Ihren Zugang und erstatten Sie Strafanzeige. Eine schnelle Reaktion erhöht die Chance, dass die Überweisung gestoppt oder zurückgeholt werden kann.
Häufig ja. Weil die Beweislast bei der Bank liegt und die Rechtsprechung differenziert, lässt sich eine Ablehnung oft erfolgreich angreifen. Eine anwaltliche Prüfung klärt Ihre Erfolgsaussichten und übernimmt die Korrespondenz mit der Bank.
Hat sich Ihre Bank geweigert, einen durch Phishing entstandenen Schaden zu erstatten? Lassen Sie die Ablehnung nicht unwidersprochen. Walek Rechtsanwälte in Mayen prüfen Ihren Fall, bewerten die Erfolgsaussichten und setzen Ihren Erstattungsanspruch konsequent gegenüber der Bank durch. RA Dr. Jens Sebastian Groh Fachanwalt für Erbrecht Fachanwalt für Handels- und Gesellschaftsrecht Walek Rechtsanwälte Partnerschaft, Mayen Telefon: 02651 98 90 77 E-Mail: groh@walek-rechtsanwaelte.de
Vereinbaren Sie jetzt einen Termin: Rufen Sie uns an unter 02651-98900 oder nutzen Sie unser Kontaktformular. Einen Überblick über unsere weiteren Leistungen finden Sie auf der Seite Fachgebiete.
