Ihr Konto wurde durch einen Phishing-Betrug leergeräumt und die Bank weigert sich, das Geld zurückzubuchen? Damit sind Sie nicht allein. Über Jahre lehnten Kreditinstitute Erstattungen nach Phishing-Angriffen regelmäßig mit dem Hinweis auf ein angeblich grob fahrlässiges Verhalten des Kunden ab. Eine aktuelle Entwicklung auf europäischer Ebene verschiebt das Kräfteverhältnis nun spürbar zugunsten der Verbraucher. Was das konkret für Ihre Ansprüche bedeutet, lesen Sie in diesem Beitrag.
Beim Phishing-Betrug verschaffen sich Kriminelle Zugang zu Ihren Bankdaten, indem sie sich als vertrauenswürdiger Absender ausgeben. Typisch sind täuschend echt gestaltete E-Mails, SMS oder Anrufe, die angeblich von Ihrer Bank stammen und Sie zur Eingabe von Zugangsdaten, einer TAN oder einer Freigabe auffordern. Wer auf einer gefälschten Webseite seine Daten eingibt oder eine vermeintliche Sicherheitsfreigabe bestätigt, öffnet den Tätern unbemerkt die Tür zum eigenen Konto. Innerhalb weniger Minuten sind dann oft hohe Beträge abgebucht und ins Ausland transferiert.
Phishing tritt in unterschiedlichen Formen auf. Neben klassischen E-Mails nutzen Täter gefälschte Kurznachrichten (sogenanntes Smishing) oder Telefonanrufe, bei denen sie sich als Bankmitarbeiter ausgeben (sogenanntes Vishing). Häufig wird zusätzlich Druck aufgebaut, etwa mit der Behauptung, das Konto sei gesperrt oder eine verdächtige Buchung müsse sofort bestätigt werden. Sobald die Betroffenen eine Freigabe erteilen oder eine TAN herausgeben, autorisieren sie aus Sicht der Bank scheinbar selbst die Überweisung. Genau auf diesen Anschein berufen sich die Institute später.
Für die Betroffenen beginnt anschließend ein zähes Ringen mit dem eigenen Kreditinstitut. Banken argumentieren regelmäßig, der Kunde habe die Abbuchung durch sein eigenes Verhalten ermöglicht und damit grob fahrlässig gehandelt. Auf dieser Grundlage verweigern sie die Wiedergutschrift des Geldes. Genau diese Praxis steht nun auf dem Prüfstand.
Wenn Ihr Konto nach einem Phishing-Angriff belastet wurde, sollten Sie die Forderung der Bank nicht vorschnell akzeptieren. Eine frühzeitige rechtliche Prüfung klärt, ob Ihnen ein Anspruch auf Erstattung zusteht.
Im Mittelpunkt des Verfahrens vor dem Europäischen Gerichtshof (EuGH) mit dem Aktenzeichen C-70/25 steht die Frage, wie schnell Banken reagieren müssen, wenn ein Konto durch einen Phishing-Angriff leergeräumt wurde. Mit seinen Schlussanträgen vom 5. März 2026 hat sich der Generalanwalt klar auf die Seite der betrogenen Bankkunden gestellt.
Der Generalanwalt erteilt der bisherigen Verweigerungspraxis eine deutliche Absage. Banken dürfen die Erstattung nach einer nicht autorisierten Abbuchung nicht allein deshalb blockieren, weil sie ein Fehlverhalten des Kontoinhabers vermuten. Ein bloßer Verdacht reicht nach Auffassung des Generalanwalts gerade nicht aus, um die gesetzlich vorgesehene Soforterstattung auszusetzen.
Die Schlussanträge eines Generalanwalts sind für den EuGH zwar nicht bindend. In der Praxis folgt der Gerichtshof ihnen jedoch in einer Vielzahl der Fälle. Für betroffene Bankkunden ist das ein wichtiges Signal, denn es deutet auf eine grundlegende Wende bei der Haftung im digitalen Bankbetrug hin.
Lassen Sie ablehnende Schreiben Ihrer Bank rechtlich einordnen, bevor Sie sich auf eine pauschale Begründung zum angeblichen Eigenverschulden einlassen.
Die rechtliche Grundlage für die Erstattung ergibt sich aus dem Zahlungsdiensterecht. Nach § 675u BGB hat die Bank bei einem nicht autorisierten Zahlungsvorgang den belasteten Betrag unverzüglich zu erstatten und das Konto wieder auf den Stand zu bringen, auf dem es ohne die fehlerhafte Belastung gewesen wäre. Diese Pflicht zur Soforterstattung beruht auf der europäischen Zahlungsdiensterichtlinie (PSD2), die insoweit keine Ausnahmen für einen bloßen Verdachtsfall vorsieht.
Der Generalanwalt stellt klar: Das Geld muss dem Kunden zuerst gutgeschrieben werden. Erst wenn der Betrag wieder auf dem Konto ist, darf die Bank in einem separaten, nachgelagerten Verfahren prüfen, ob sie vom Kunden Schadenersatz verlangen kann. Die Reihenfolge ist damit eindeutig vorgegeben: erst erstatten, dann prüfen.
Die Pflicht zur Erstattung ist dabei zeitlich eng gefasst. Erkennt die Bank die nicht autorisierte Belastung an oder wird sie ihr angezeigt, hat die Gutschrift grundsätzlich unverzüglich zu erfolgen, regelmäßig spätestens bis zum Ende des folgenden Geschäftstags. Diese kurze Frist verdeutlicht, dass die Soforterstattung der gesetzliche Normalfall sein soll und nicht das Ergebnis einer langwierigen internen Prüfung.
Eine Ausnahme von der Soforterstattung kommt nur in einer engen Konstellation in Betracht. Sie greift allein dann, wenn ein begründeter Betrugsverdacht direkt gegen den Kunden selbst vorliegt, der Kontoinhaber also im Verdacht steht, selbst Teil des Betrugs zu sein. Der Umstand, dass der Kunde lediglich Opfer einer geschickten Täuschung geworden ist, genügt dafür nicht.
Wurde Ihnen die Erstattung trotz einer nicht autorisierten Abbuchung verweigert, sollten Sie die Begründung der Bank anwaltlich überprüfen lassen.
Banken stützen ihre Ablehnung fast immer auf den Vorwurf der groben Fahrlässigkeit. Nach § 675v BGB kann der Kunde zwar haften, wenn er seine Sorgfaltspflichten in besonders schwerem Maße verletzt hat, etwa durch die leichtfertige Preisgabe von Sicherheitsmerkmalen. Entscheidend ist jedoch, wer das beweisen muss.
Die Beweislast für ein grob fahrlässiges Verhalten trägt die Bank, nicht der Kunde. Sie muss konkret darlegen und nachweisen, dass den Kontoinhaber ein schwerer Sorgfaltsverstoß trifft. Der bloße Umstand, dass eine Abbuchung mit korrekten Sicherheitsmerkmalen erfolgt ist, genügt dafür nicht. Auch die Nutzung eines Authentifizierungsverfahrens belegt für sich genommen noch kein Verschulden des Kunden.
In der Praxis ist dieser Nachweis für die Banken technisch und rechtlich oft kaum lückenlos zu führen. Genau hier setzen die Schlussanträge an: Wenn die Soforterstattung der Regelfall ist und die Verweigerung die Ausnahme bleiben muss, verschieben sich die Erfolgsaussichten im Streitfall deutlich zugunsten der Bankkunden.
Hinzu kommt, dass nicht jedes unvorsichtige Verhalten gleich grobe Fahrlässigkeit darstellt. Angesichts immer professionellerer Täuschungsmethoden lässt sich einem Kunden nicht ohne Weiteres vorwerfen, eine täuschend echte Fälschung nicht erkannt zu haben. Ob die Schwelle zur groben Fahrlässigkeit überschritten ist, hängt von den konkreten Umständen ab, etwa von der Qualität der Fälschung, dem Ablauf der Kontaktaufnahme und den von der Bank bereitgestellten Sicherungsverfahren. Eine pauschale Zuweisung des Verschuldens an den Kunden wird diesen Anforderungen nicht gerecht.
Ob die Bank den strengen Anforderungen an den Nachweis grober Fahrlässigkeit überhaupt gerecht wird, lässt sich im Einzelfall rechtlich prüfen.
Das finale Urteil des EuGH in der Rechtssache C-70/25 wird voraussichtlich im Herbst 2026 erwartet. Folgt der Gerichtshof den Schlussanträgen, was als wahrscheinlich gilt, wird die Entscheidung für die nationalen Gerichte bindend sein und die Pflicht zur Soforterstattung nach § 675u BGB bei Phishing-Betrug erheblich stärken.
Für die Banken hätte das spürbare Folgen. Sie könnten Anträge auf Rückerstattung nicht mehr pauschal mit vorformulierten Textbausteinen zum angeblichen Kundenverschulden ablehnen. Stattdessen wären die Institute gezwungen, ihre internen Kommunikations- und Prüfprozesse grundlegend zu überarbeiten. Rückforderungen gegen Kunden ließen sich nur noch in eindeutigen und belegbaren Einzelfällen ernsthaft verfolgen.
Für Verbraucher bedeutet diese Rechtsauslegung eine deutliche Stärkung ihrer Position. Der hohe Rechtfertigungsdruck unmittelbar nach einem Betrugsfall entfällt und die Chancen auf eine schnelle Schadensregulierung steigen, da die Erstattung zum Regelfall und die Verweigerung zur Ausnahme wird. Wer nach einem Phishing-Angriff bislang auf seinem Schaden sitzen blieb, erhält damit ein starkes Argument an die Hand.
Auch bereits abgelehnte oder noch laufende Erstattungsfälle lassen sich vor diesem Hintergrund neu bewerten.
Stellen Sie eine nicht autorisierte Abbuchung fest, kommt es auf schnelles und strukturiertes Handeln an. Je besser der Vorfall dokumentiert ist, desto leichter lässt sich später nachvollziehen, dass die Zahlung nicht von Ihnen veranlasst wurde. Die folgenden Schritte sollten Sie zeitnah einleiten:
Bank informieren: Melden Sie die nicht autorisierte Abbuchung unverzüglich und verlangen Sie die Sperrung der betroffenen Karten und Zugänge.
Konto sichern: Lassen Sie weitere Zugriffe unterbinden und ändern Sie betroffene Zugangsdaten, um Folgeschäden zu vermeiden.
Vorfall dokumentieren: Sichern Sie verdächtige E-Mails, SMS, Webseiten und Kontoauszüge mit Datum und Uhrzeit der Buchungen.
Erstattung verlangen: Fordern Sie die Wiedergutschrift des Betrags ausdrücklich und schriftlich.
Anzeige erstatten: Eine Strafanzeige bei der Polizei kann den Vorfall offiziell festhalten und die Beweisführung unterstützen.
Ablehnung nicht hinnehmen: Lehnt die Bank die Erstattung ab, sollten Sie die Begründung prüfen lassen, bevor Sie weitere Erklärungen abgeben.
Wichtig ist, gegenüber der Bank keine voreiligen Schuldeingeständnisse zu machen. Formulierungen, mit denen Sie ein eigenes Fehlverhalten einräumen, können Ihre Position im weiteren Verlauf schwächen. Bleiben Sie sachlich und beschränken Sie sich zunächst auf die Schilderung des Sachverhalts.
Sind Sie unsicher, wie Sie auf ein Schreiben der Bank reagieren sollen, lassen Sie Ihre Korrespondenz frühzeitig anwaltlich begleiten.
Nach einem Phishing-Betrug stehen Betroffene oft unter Druck und wissen nicht, wie sie der Argumentation ihrer Bank begegnen sollen. Eine anwaltliche Beratung ist insbesondere dann sinnvoll, wenn die Bank die Erstattung verweigert, den Vorwurf der groben Fahrlässigkeit erhebt oder Rückforderungen geltend macht. Gerade weil die Bank die volle Beweislast trägt, lohnt es sich, die Stichhaltigkeit ihrer Begründung genau zu prüfen.
Johst Richter Rechtsanwälte sind im Bank- und Kapitalmarktrecht tätig und vertreten Mandanten deutschlandweit gegenüber Kreditinstituten. Wir prüfen Ihre konkrete Situation, ordnen die Erfolgsaussichten ein und setzen Ihre Ansprüche auf Erstattung gegenüber der Bank durch. Dabei berücksichtigen wir die aktuelle Entwicklung der Rechtsprechung ebenso wie die gesetzlichen Vorgaben aus dem Zahlungsdiensterecht.
Nehmen Sie Kontakt auf und lassen Sie prüfen, ob Ihnen nach einem Phishing-Betrug eine Erstattung zusteht.
Beim Phishing-Betrug geben sich Kriminelle als vertrauenswürdiger Absender aus, etwa als Ihre Bank, um an Zugangsdaten, eine TAN oder Freigaben zu gelangen. Häufig geschieht das über gefälschte E-Mails, SMS oder Webseiten. Mit den erlangten Daten räumen die Täter anschließend das Konto leer. Für die Betroffenen entsteht dabei oft ein erheblicher finanzieller Schaden.
Mo.-Fr.: 08.30 – 17:00 Uhr
Sie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Instagram. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Google Maps. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Google Maps. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr Informationen