Phishing im großen Stil: Wann muss die Bank Ihnen das Geld erstatten?

Die Rechtslage nach den BGH-Urteilen 2024/2025 – und warum Bankkunden bessere Karten haben, als die meisten denken.

Rechtsanwalt Bernhard v. Boehn · 19. März 2026 · Lesezeit ca. 8 Min.

Die neue Dimension des Phishings 24 und 26. November 2025 bei der Deutschen Bank

Phishing-Angriffe auf Bankkonten haben im Jahr 2025/2026 eine neue Qualität erreicht. Während frühere Angriffe häufig durch schlechte Grammatik und offensichtlich gefälschte E-Mails auffielen, agieren die Täter heute mit erschreckender Professionalität: Sie nutzen gekaperte Telefonleitungen der Banken (sogenanntes Call-ID-Spoofing), um sich als echte Bankmitarbeiter auszugeben. Auf dem Display des Opfers erscheint die offizielle Rufnummer der Bank.

Die Schäden sind erheblich. In unserer Praxis sehen wir Fälle mit Schadenssummen von 10.000 bis über 100.000 Euro. Besonders perfide: Die Täter sind häufig in der Lage, Sicherheitsverfahren wie Photo-TAN oder BestSign zu manipulieren, ohne dass der Kunde dies bemerkt. Mehrere Transaktionen werden auf eine einzige TAN-Freigabe gestützt – der Kunde glaubt, lediglich eine Mitteilung zu bestätigen.

Die zentrale Frage: Wer trägt den Schaden?

Viele Betroffene glauben, auf dem Schaden sitzen zu bleiben. Die Banken verweigern regelmäßig die Erstattung und werfen dem Kunden pauschal „grobe Fahrlässigkeit“ vor. Doch die Rechtslage ist für Bankkunden deutlich günstiger, als die Banken es darstellen.

Der Erstattungsanspruch: § 675u BGB

Das Gesetz ist eindeutig: Bei einem nicht autorisierten Zahlungsvorgang muss die Bank dem Kunden den Betrag unverzüglich erstatten und das Konto auf den ursprünglichen Stand zurücksetzen (§ 675u S. 2 BGB). Das ist kein Kulanzangebot – das ist ein gesetzlicher Anspruch.

Wenn also ein Phishing-Angreifer mit den erschlichenen Zugangsdaten Überweisungen tätigt, liegt gerade keine Autorisierung durch den Kontoinhaber vor. Der Angreifer handelt ohne Kenntnis und ohne Willen des Kunden. Eine Zurechnung nach Rechtsscheingrundsätzen (Anscheinsvollmacht) ist nach zutreffender Auffassung in der Literatur ausgeschlossen, da die Vorschriften der §§ 675j, 675u BGB abschließend sind (vgl. Wolf, NJW 2025, 1087, 1088).

Die Beweislast liegt bei der Bank

Hier liegt der entscheidende Punkt, den viele Betroffene nicht kennen: Nicht der Kunde muss beweisen, dass er nicht autorisiert hat – die Bank muss beweisen, dass er es getan hat.

BGH, Urteil vom 05.03.2024 – XI ZR 107/22

Die bloße Aufzeichnung der Nutzung eines Authentifizierungselements reicht nicht als Nachweis einer Autorisierung aus. Die Bank muss nachweisen, dass das Sicherungsverfahren ordnungsgemäß funktionierte und die technischen Einrichtungen dem Stand der Technik entsprachen.

Gemäß § 675w BGB muss die Bank konkret nachweisen, dass eine Authentifizierung erfolgt ist, der Zahlungsvorgang ordnungsgemäß aufgezeichnet und verbucht wurde und keine technische Störung vorlag. Das ist eine hohe Hürde – insbesondere wenn die Systeme der Bank selbst kompromittiert waren (gekaperte Telefonleitungen, eigenmächtiger Wechsel des Sicherheitsverfahrens).

Anscheinsbeweis? Nicht so einfach für die Bank.

Banken argumentieren häufig mit dem sogenannten Anscheinsbeweis: Wenn das Sicherheitsverfahren genutzt wurde, spreche der erste Anschein dafür, dass der Kunde autorisiert habe. Doch auch hier hat die Rechtsprechung klare Grenzen gesetzt.

BGH, Urteil vom 26.01.2016 – BGHZ 208, 331

Voraussetzung für einen Anscheinsbeweis ist die „allgemeine praktische Unüberwindbarkeit des eingesetzten Sicherungsverfahrens sowie dessen ordnungsgemäße Anwendung und fehlerfreie Funktion im konkreten Einzelfall“.

In der Fachliteratur wird zutreffend darauf hingewiesen, dass kein Zahlungsautorisierungsverfahren als unüberwindbar betrachtet werden kann. Der Anscheinsbeweis wird daher zugunsten der Bank regelmäßig ausgeschlossen (Wolf, NJW 2025, 1087, 1091). Der Kunde kann den Anscheinsbeweis bereits dadurch erschüttern, dass er Tatsachen darlegt, die auf das missbräuchliche Eingreifen eines Dritten hindeuten – ein konkreter Angriffsvektor muss nicht nachgewiesen werden.

Grobe Fahrlässigkeit: Das neue BGH-Urteil vom Juli 2025

Der häufigste Einwand der Banken: Der Kunde habe grob fahrlässig gehandelt und müsse deshalb nach § 675v Abs. 3 BGB selbst haften. Das wegweisende BGH-Urteil vom 22. Juli 2025 hat hier wichtige Klarstellungen gebracht.

BGH, Urteil vom 22.07.2025 – XI ZR 107/24

Die Bank trägt die volle Beweislast für grobe Fahrlässigkeit. Bei einer einmaligen TAN-Freigabe in einer Überrumpelungssituation durch professionelles Social Engineering kann ein „Augenblicksversagen“ vorliegen, das keine grobe Fahrlässigkeit begründet. Erst die wiederholte TAN-Weitergabe mit zeitlichem Abstand – und damit mehrfacher Gelegenheit zum Innehalten – begründet grobe Fahrlässigkeit.

Entscheidend ist also die Unterscheidung zwischen einmaliger und wiederholter Handlung:

• Einmalige Push-TAN-Freigabe in einer Überrumpelungssituation → regelmäßig kein grob fahrlässiges Verhalten (Augenblicksversagen)
• Mehrfache TAN-Weitergabe an verschiedenen Tagen → grobe Fahrlässigkeit möglich, da der Kunde Zeit zur Reflexion hatte
• Beweislast stets bei der Bank – nicht der Kunde muss seine Sorgfalt beweisen, sondern die Bank muss deren Verletzung nachweisen

Mitverschulden der Bank – ein oft übersehener Anspruch

Selbst wenn der Kunde fahrlässig gehandelt haben sollte, prüfen Gerichte zunehmend das Mitverschulden der Bank. Typische Pflichtverletzungen der Bank im Phishing-Kontext sind:

• Versagen der Transaktionsüberwachung: Mehrere unüblich hohe Überweisungen an unbekannte Empfänger am selben Tag hätten als auffällige Geschäftsvorfälle erkannt werden müssen
• Verzögerte Zusammenarbeit mit Ermittlungsbehörden: Wenn die Bank polizeiliche Anfragen wochenlang ignoriert und damit die Rückholung der Gelder vereitelt
• Unzureichende Sicherheitsinfrastruktur: Gekaperte Telefonleitungen, eigenmächtige Änderung des Sicherheitsverfahrens ohne Kundenauftrag
• Fehlende Zwei-Faktor-Authentifizierung beim Login: Das OLG Dresden hat hierin ein Mitverschulden der Bank gesehen (Urt. v. 05.06.2025, 8 U 1482/24)

Was tun, wenn Sie betroffen sind?

Sofortmaßnahmen

• Online-Banking-Zugang und alle Karten sofort sperren
• Die Bank schriftlich über die nicht autorisierten Zahlungen informieren (nicht nur telefonisch!)
• Strafanzeige bei der Polizei erstatten (Cybercrime-Abteilung)
• Alle Buchungen, Zeitabläufe und Kommunikation dokumentieren

Rechtliche Schritte

• Die Bank schriftlich zur Erstattung gem. § 675u BGB auffordern mit angemessener Frist
• Nicht mit Kulanzangeboten abspeisen lassen – der gesetzliche Anspruch umfasst den vollen Betrag
• Den gesamten Schriftverkehr mit der Bank aufbewahren
• Umfassende DSGVO-Auskunft (Art. 15 DSGVO) von der Bank anfordern, um die vollständige Akte zu erhalten
• Bei Ablehnung durch die Bank: Klage einreichen – die Erfolgsaussichten sind nach der aktuellen Rechtsprechung gut

Fazit: Die Rechtslage ist besser als viele denken

Lassen Sie sich von Ihrer Bank nicht einschüchtern. Die aktuelle Gesetzeslage und Rechtsprechung stellt Phishing-Opfer deutlich besser, als die meisten Banken es darstellen:

Die Bank trägt die Beweislast für die Autorisierung (§ 675w BGB). Die Bank trägt die Beweislast für grobe Fahrlässigkeit (§ 675v Abs. 3 BGB). Ein Anscheinsbeweis zugunsten der Bank wird regelmäßig ausgeschlossen. Eine einmalige TAN-Freigabe in einer Überrumpelungssituation begründet nach der BGH-Rechtsprechung regelmäßig keine grobe Fahrlässigkeit. Und auch ein Mitverschulden der Bank – etwa durch mangelhafte Transaktionsüberwachung oder verzögerte Zusammenarbeit mit den Ermittlungsbehörden – kann den Anspruch des Kunden stützen.

Die Erfahrung zeigt: Viele Banken lenken erst ein, wenn die Klage eingereicht wird. Lassen Sie sich beraten.

---