Was tun, wenn Push-TAN-Freigabe rückgängig machen?

Mai 21, 2026

Phishing Betrug

Was tun, wenn Push-TAN-Freigabe rückgängig machen?

Wer per Phishing zur Push-TAN-Freigabe verleitet wurde, findet das Konto geleert und die Bank auf Abwehr. Verweigert die Bank die Rückbuchung, prüfen wir, ob die Freigabe rechtlich wirksam war.

Jan-Henning AhrensJan-Henning AhrensBankrechtKapitalmarktrecht
Aktualisiert: 21. Mai 2026Fachlich eingeordnet von Jan-Henning AhrensLesezeit: 11 Min
Ansprüche strukturiert prüfenFristen im BlickGegen Banken und Plattformen
Kurz eingeordnet

Kann man eine Push-TAN-Freigabe rückgängig machen, wenn man Opfer von Phishing wurde? Technisch ist das Geld nach der Bankausführung in aller Regel weg. Rechtlich zählt aber, ob tatsächlich eine wirksame Autorisierung vorlag: Wer durch Täuschung über Inhalt oder Zweck der Transaktion freigegeben hat, kann nach § 675u BGB die vollständige Erstattung von der Bank verlangen.

Sie haben eine Push-TAN freigegeben und merken jetzt, dass Sie dabei getäuscht wurden? Dann kommt es auf die rechtliche Frage an, ob Ihre Freigabe unter diesen Umständen überhaupt wirksam war. Im Folgenden klären wir, wann Phishing eine Autorisierung unwirksam macht, welche Fristen gelten und wie der Erstattungsanspruch funktioniert.

Projektfall · Ausgangslage

Eine berufstätige Person erhält eine Nachricht, die auf den ersten Blick von ihrer eigenen Bank zu stammen scheint: Sicherheitswarnung, Konto vorübergehend eingeschränkt, sofort handeln. Logo, Formulierungen und sogar die letzten Ziffern des Kontos wirken vertraut. Kurz darauf erscheint in der Banking-App eine Freigabeanforderung. Unter dem Eindruck des vermeintlichen Dringlichkeitsalerts bestätigt die Person den Vorgang in der PushTAN-App, ein Tipp auf Freigeben genügt.

Als die Täuschung auffliegt und die Bank kontaktiert wird, kommt die Ablehnung prompt: Die Freigabe in der App gelte als autorisierter Zahlungsvorgang, eine Erstattung scheide aus. Diese Antwort klingt endgültig. Rechtlich ist sie es nicht.

Die entscheidende Frage ist, ob eine durch Täuschung herbeigeführte Freigabe überhaupt eine wirksame Autorisierung nach § 675j BGB darstellt. Wenn der Inhalt der Freigabe für die betroffene Person nicht erkennbar oder durch das Phishing verschleiert war, fehlt es an echter Zustimmung. Doch was steckt hinter dem Begriff Autorisierung, und ab wann greift der gesetzliche Schutz nach § 675u BGB?

Dieser Artikel führt Schritt für Schritt durch die rechtliche Systematik, von der technischen Funktionsweise der Push-TAN bis zur konkreten Durchsetzung des Erstattungsanspruchs.

01

Was eine Push-TAN-Freigabe rechtlich bedeutet

Bevor wir auf die Frage eingehen, ob eine Phishing-Freigabe wirksam ist, muss klar sein, was eine Push-TAN-Freigabe überhaupt rechtlich auslöst.

Wer eine Überweisung in der Banking-App anlegt, löst eine Transaktionsanforderung aus, die in die PushTAN-App weitergeleitet wird. Dort werden Betrag und Empfänger-IBAN angezeigt. Die Bestätigung per PIN oder Biometrie gilt systemseitig als starke Kundenauthentifizierung im Sinne von Art. 97 der Zahlungsdiensterichtlinie PSD2 (Richtlinie 2015/2366) und § 55 des Zahlungsdiensteaufsichtsgesetzes ZAG.

Worauf es jetzt ankommt

Die Bank behandelt den Vorgang damit als rechtlich vollständig abgesichert und führt die Zahlung nach § 675f Abs. 3 BGB als Zahlungsvorgang aus.

Was für die Einordnung zählt

§

§ 675j BGB

Autorisierung als Anspruchsvoraussetzung: Nach § 675j Abs. 1 Satz 1 BGB gilt ein Zahlungsvorgang nur dann als autorisiert, wenn der Zahler ihm zugestimmt hat. Diese Zustimmung setzt voraus, dass der Zahler tatsächlich wusste und verstanden hat, was er freigibt. Die technische Bestätigung in einer App ersetzt dieses informierte Einverständnis nicht automatisch.

Quelle öffnen →

Wer Betrag und IBAN in der PushTAN-App vollständig sieht und in Kenntnis dieser Informationen bestätigt, erteilt unter normalen Umständen eine wirksame Autorisierung nach § 675j Abs. 1 Satz 2 BGB. Der entscheidende Unterschied liegt in der Frage, ob der Zahler tatsächlich über Inhalt und Zweck der Transaktion informiert war, oder ob genau diese Information durch Phishing verborgen oder verfälscht wurde.

Dieses Unterscheidungskriterium ist der Schlüssel zur nächsten Frage: Wann fehlt eine wirksame Autorisierung trotz technisch erfolgter Freigabe?

02

Wann die Phishing-Freigabe keine wirksame Autorisierung ist

Doch was bedeutet das konkret für jemanden, der unter dem Eindruck einer Täuschung auf Freigeben getippt hat?

Die rechtlich maßgebliche Kernthese lautet: Autorisierung nach § 675j BGB setzt voraus, dass der Zahler tatsächlich über Inhalt und Zweck der Transaktion informiert war. Wurde der Kontext der Freigabe durch Phishing verfälscht oder der eigentliche Zweck der Zahlung bewusst verschleiert, fehlt genau diese Grundlage für eine wirksame Zustimmung. Nicht jede technisch vollzogene Freigabe ist deshalb rechtlich eine Autorisierung.

Was Sie als Nächstes prüfen sollten

Phishing-Angriffe funktionieren nicht durch technisches Eindringen in die App selbst, sondern durch psychologische Manipulation. Der vermeintliche Sicherheitshinweis erzeugt Druck, die täuschend echte Aufmachung senkt die Hemmschwelle, und die Freigabeanforderung erscheint im genau richtigen Moment. Wer unter diesen Bedingungen auf Freigeben tippt, handelt nicht informiert, sondern unter getäuschten Voraussetzungen. Das gilt unabhängig davon, ob die PushTAN-App die Zahldaten technisch korrekt angezeigt hat.

Was für den nächsten Schritt zählt

„Das OLG Dresden hat mit Urteil vom 05.05.2025 (Az. 8 U 1482/24) einen rechtlich bedeutsamen Grundsatz herausgearbeitet: Eine durch Täuschung über Inhalt oder Zweck der Transaktion herbeigeführte Freigabe erfüllt nicht die Voraussetzungen einer wirksamen Autorisierung nach § 675j BGB."

Anders sieht es aus, wenn der Zahler Betrag, IBAN und Verwendungszweck vollständig kannte und die Freigabe bewusst und informiert erteilt hat. Dort endet der Schutzbereich. Genau dieser Unterschied zwischen informierter Zustimmung und täuschungsbedingt herbeigeführter Freigabe ist der entscheidende Hebel gegenüber der typischen Reaktion der Bank, mit der wir uns im nächsten Abschnitt befassen.

03

Was bedeutet bankablehnung nach Phishing: Zwischen Standardschreiben und rechtlicher Realität in der Praxis?

Genau hier wird es kritisch: Das Ablehnungsschreiben der Bank klingt endgültig, ist es aber rechtlich nicht. Der nächste Schritt hängt oft davon ab, wie Phishing-Schäden bei Bankkunden einzuordnen ist.

Zurück zur berufstätigen Person aus unserem Ausgangsfall. Nachdem die Täuschung aufgeflogen und das Geld bereits abgebucht ist, liegt das Ablehnungsschreiben vor. Die Begründung klingt technisch und sachlich: Der Zahlungsvorgang sei durch starke Kundenauthentifizierung abgesichert worden, die Freigabe in der App gelte als autorisierter Vorgang, ein Erstattungsanspruch bestehe nicht. Häufig wird ergänzend auf grobe Fahrlässigkeit nach § 675v BGB hingewiesen, um jede Erstattungspflicht auszuschließen.

Worauf Bankkunden jetzt achten sollten

Das ist der emotionale Tiefpunkt: Das Geld ist weg, und die Bank signalisiert, dass sie nichts dafür kann und die Angelegenheit abgeschlossen ist.

Welche Unterlagen jetzt zählen

⚠️ Typische Bankreaktion nach Phishing-Freigabe

Viele Geldinstitute verweisen bei Push-TAN-Phishing pauschal auf die starke Kundenauthentifizierung: Der Vorgang sei technisch korrekt abgesichert worden, eine Erstattung komme deshalb nicht in Betracht. Diese Argumentation greift rechtlich zu kurz. Technische Authentifizierung und wirksame Autorisierung nach § 675j BGB sind zwei verschiedene Voraussetzungen, die nicht automatisch deckungsgleich sind.

Starke Authentifizierung belegt nur, dass die technischen Sicherheitsanforderungen der PSD2 erfüllt wurden. Sie sagt nichts darüber aus, ob der Zahler tatsächlich informiert zugestimmt hat. Wurden Betrag, Empfänger oder Zweck durch Phishing verschleiert oder verfälscht, kann auch eine technisch korrekt authentifizierte Freigabe rechtlich unwirksam sein.

Und wenn keine wirksame Autorisierung nach § 675j BGB vorliegt, setzt auch § 675v BGB, der die Haftungsbeschränkung bei grober Fahrlässigkeit regelt, gar nicht erst an.

§

§ 675u BGB

Erstattungspflicht bei nicht autorisiertem Zahlungsvorgang: Nach § 675u Satz 2 BGB hat der Zahler bei einem nicht autorisierten Zahlungsvorgang Anspruch auf unverzügliche Erstattung des abgebuchten Betrags durch die Bank. Grobe Fahrlässigkeit des Kunden muss die Bank konkret nachweisen; sie kann diesen Vorwurf nicht pauschal behaupten.

Quelle öffnen →

Ein häufiger Fehler Betroffener ist, die Ablehnung als endgültig zu akzeptieren, keine Gegendarstellung einzureichen und dabei Fristen zu verpassen. Was nach einer Phishing-Freigabe konkret zu tun ist, hängt maßgeblich auch davon ab, wie schnell gehandelt und welche Belege gesichert werden.

04

Welche Fristen gelten nach einer Push-TAN-Freigabe?

Im nächsten Schritt geht es um das, was unmittelbar nach dem Erkennen der Täuschung entscheidet: Fristen und Dokumentation. In der weiteren Prüfung taucht daneben häufig Phishing bei Senioren auf.

§ 676b BGB setzt eine 13-Monatsfrist für die Geltendmachung des Erstattungsanspruchs gegenüber dem Zahlungsdienstleister. Wer diese Frist verstreichen lässt, verliert den gesetzlichen Anspruch auf Erstattung des abgebuchten Betrags, unabhängig davon, wie eindeutig das Phishing dokumentiert ist. Daneben gilt § 675w BGB: Die Beweislast für eine ordnungsgemäße Authentifizierung und Autorisierung liegt bei der Bank. Gelingt ihr dieser Nachweis nicht, besteht der Anspruch aus § 675u BGB.

Wo die Frist praktisch beginnt

Das bedeutet, dass Betroffene nicht beweisen müssen, dass sie getäuscht wurden; die Bank muss beweisen, dass eine wirksame Autorisierung vorlag.

🕐 Fristen nach Push-TAN-Phishing

Sofortmeldung an die Bank: Den Phishing-Vorfall unmittelbar nach Entdeckung melden, da eine verzögerte Anzeige die Anspruchslage beeinflussen kann. Strafanzeige: Möglichst noch am Tag der Entdeckung bei der Polizei oder per Online-Wache erstatten. 13-Monatsfrist (§ 676b BGB): Erstattungsanspruch gegenüber der Bank innerhalb dieser Frist schriftlich geltend machen. Technischer Rückruf: Bei SEPA-Überweisungen nur wenige Stunden nach Ausführung möglich; kein Rechtsanspruch, aber sofortiges Handeln kann den Erfolg erhöhen.

Daraus folgt eine klare Priorität für die erste Phase nach dem Vorfall: Die Phishing-Nachricht sichern (Screenshot, E-Mail-Header), den Kontoauszug mit Buchungsdatum dokumentieren, das Ablehnungsschreiben der Bank im Wortlaut aufbewahren und Strafanzeige erstatten. Das Aktenzeichen der Strafanzeige kann im zivilrechtlichen Verfahren als Nachweis für den Täuschungssachverhalt relevant sein.

Je vollständiger und frühzeitiger die Dokumentation, desto schwieriger wird es für die Bank, den Erstattungsanspruch mit formalen Gegenargumenten abzuwehren. Wie dieser Anspruch danach konkret durchgesetzt wird, ist Gegenstand des nächsten Abschnitts.

05

Nach dem Phishing-Betrug: Welche Schritte den Erstattungsanspruch realistisch machen

Auf dieser Grundlage, mit gesicherten Belegen und Strafanzeige, folgt der entscheidende Schritt: die schriftliche Gegendarstellung gegenüber der Bank. Für die praktische Planung kann Identitätsdiebstahl nach Phishing entscheidend werden.

Damit kehren wir zur berufstätigen Person aus unserem Ausgangsfall zurück. Die Ablehnung der Bank liegt vor, die Dokumentation ist zusammengestellt. Jetzt zählt ein strukturierter Widerspruch: schriftliche Gegendarstellung mit ausdrücklichem Bezug auf § 675u BGB und die Beweislastumkehr nach § 675w BGB. Darin wird dargelegt, dass die Freigabe unter Täuschung erfolgte und daher keine wirksame Autorisierung nach § 675j BGB vorlag.

Wie Betroffene die Gegendarstellung vorbereiten

Die Bank ist dann gehalten, konkret nachzuweisen, dass eine ordnungsgemäße Authentifizierung und wirksame Autorisierung stattgefunden hat. Wer an diesem Punkt schweigt und wartet, gibt rechtliche Positionen auf, die das Gesetz ausdrücklich schützt.

Wann anwaltliche Prüfung wichtig wird

Erstattungsanspruch nach § 675u BGB
MerkmalBedeutung für den Anspruch
Transaktion nicht autorisiert (§ 675j BGB)Erstattungsanspruch besteht grundsätzlich
Starke Authentifizierung technisch vorhandenKein automatischer Ausschluss des Erstattungsanspruchs
Grobe Fahrlässigkeit des KundenMuss von der Bank konkret nachgewiesen werden
Täuschung über Inhalt oder Zweck der ZahlungAutorisierung mangels informierter Zustimmung unwirksam
Verzögerte Meldung an die BankKann Anspruchslage beeinflussen, je nach Einzelfall

Wenn die Bank nach der Gegendarstellung erneut ablehnt, stehen weitere Wege offen: Beschwerde beim zuständigen Bankenombudsmann (je nach Bankengruppe privater Banken-Ombudsmann, Sparkassen- oder Volksbanken-Schlichtung) und parallel eine BaFin-Beschwerde als regulatorische Option. Als letzter Schritt kommt eine Rückforderungsklage auf Basis eines nicht autorisierten Zahlungsvorgangs in Betracht.

Anwaltliche Prüfung klärt, ob die konkrete Freigabesituation als nicht autorisiert einzustufen ist, und bereitet den nächsten Schritt rechtssicher vor. Keine konkreten Erfolgsgarantien lassen sich formulieren; die Stärke des Anspruchs hängt von den Umständen des Einzelfalls ab.

Unterlagen für die anwaltliche Prüfung des Falls

Phishing-Nachricht im Original: Screenshot oder E-Mail mit vollständigem Header

Kontoauszug mit Abgang: Betrag, Buchungsdatum und Empfänger-IBAN

App-Verlauf in der Banking-App und der PushTAN-App zum Zeitpunkt der Freigabe

Ablehnungsschreiben der Bank im genauen Wortlaut

Aktenzeichen der Strafanzeige bei der Polizei

Gesamte Korrespondenz mit der Bank nach dem Vorfall (E-Mails, Briefe, Chatverläufe)

Weitere Belege zur Täuschungssituation, soweit vorhanden (Anrufprotokolle, weitere Nachrichten)

Nächster Schritt: Wenn die Bank die Erstattung nach einer Push-TAN-Freigabe ablehnt, sollte die konkrete Autorisierung anhand der Täuschungssituation, der App-Freigabe und der Beweislast der Bank geprüft werden.

06

Häufige Fragen zur Push-TAN-Freigabe nach Phishing

Anders sieht es aus, wenn Details des eigenen Falls von den hier beschriebenen Mustern abweichen. Die folgenden Fragen klären die häufigsten Unsicherheiten, die sich im Zusammenhang mit Phishing-Freigaben und Erstattungsansprüchen stellen. Der nächste Schritt hängt oft davon ab, wie gefälschte Onlinebanking-Loginseite einzuordnen ist.

Kann ich eine Push-TAN-Freigabe rückgängig machen, nachdem das Geld bereits ausgeführt wurde?

Technisch ist das in aller Regel nicht möglich. Nach § 675p Abs. 1 BGB kann ein Zahlungsvorgang, der bereits ausgeführt wurde, grundsätzlich nicht mehr widerrufen werden; ein Widerruf war nach § 675j Abs. 2 BGB nur bis zum Zeitpunkt des Zugangs des Zahlungsauftrags beim Zahlungsdienstleister möglich. Ein technischer Rückruf über das Bankensystem ist nur wenige Stunden nach Ausführung denkbar und begründet keinen Rechtsanspruch.

Rechtlich entscheidend ist deshalb, ob die Freigabe als wirksame Autorisierung nach § 675j BGB einzustufen ist, denn davon hängt der Erstattungsanspruch nach § 675u BGB ab.

Was bedeutet grobe Fahrlässigkeit bei der Push-TAN-Bestätigung, und wann gilt sie als ausgeschlossen?

Grobe Fahrlässigkeit im Sinne von § 675v BGB setzt voraus, dass der Zahlungsdienstnutzer die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt hat. Professionell gestaltete Phishing-Angriffe, die Logo, Formulierungen und Kundendaten authentisch nachahmen, erfüllen diesen Maßstab nicht automatisch allein dadurch, dass jemand auf die Täuschung hereingefallen ist. Die Bank muss grobe Fahrlässigkeit konkret und fallbezogen nachweisen, nicht nur pauschal behaupten.

Welche Belege brauche ich für den Erstattungsanspruch nach § 675u BGB?

Grundlegend sind: die Phishing-Nachricht im Original (Screenshot oder E-Mail mit Header), der Kontoauszug mit Buchungsdatum und Empfänger-IBAN, das Ablehnungsschreiben der Bank, das Aktenzeichen der Strafanzeige und die gesamte Korrespondenz mit dem Institut nach dem Vorfall. Je vollständiger die Dokumentation, desto besser die Ausgangslage für die rechtliche Prüfung und eine Gegendarstellung gegenüber der Bank.

Wie lange habe ich Zeit, um die Bank auf Erstattung in Anspruch zu nehmen?

§ 676b BGB setzt eine 13-Monatsfrist für die Geltendmachung des Erstattungsanspruchs gegenüber dem Zahlungsdienstleister; diese Frist beginnt mit dem Zeitpunkt der Belastungsbuchung. Der allgemeine zivilrechtliche Anspruch unterliegt zusätzlich der dreijährigen Regelverjährung nach § 195 BGB, die ab Kenntnis vom Schaden läuft. Innerhalb beider Fristen sollte anwaltliche Unterstützung eingeholt werden.

07

Push-TAN-Freigabe unter Täuschung: Rechtlicher Schutz besteht, wenn er aktiv eingefordert wird

Bevor wir abschließen, die drei zentralen Erkenntnisse dieses Artikels zusammengeführt. In der weiteren Prüfung taucht daneben häufig E-Mail-Phishing mit gefälschter Rechnung auf.

Was jetzt praktisch wichtig ist

Erstens: Eine technisch ausgeführte Zahlung ist nicht automatisch eine wirksame Autorisierung nach § 675j BGB. Wer durch Phishing über Inhalt oder Zweck der Transaktion getäuscht wurde, hat kein informiertes Einverständnis erteilt. Zweitens: § 675u BGB sichert den Erstattungsanspruch bei nicht autorisierten Zahlungsvorgängen; § 675w BGB legt die Beweislast für eine ordnungsgemäße Authentifizierung und Autorisierung bei der Bank.

Worauf Sie im Alltag achten sollten

Drittens: Die 13-Monatsfrist nach § 676b BGB und lückenlose Belege sind entscheidend dafür, dass der Anspruch auch tatsächlich durchgesetzt werden kann. Die Ablehnung der Bank ist kein Schlusswort, sondern der Beginn einer rechtlich führbaren Auseinandersetzung. Anwaltliche Prüfung des Einzelfalls klärt, ob die konkrete Freigabesituation als nicht autorisiert einzustufen ist, und bereitet den nächsten Schritt vor.

Sie wurden durch Phishing zur Push-TAN-Freigabe verleitet und Ihre Bank verweigert die Erstattung? Schildern Sie uns Ihren Fall. Wir prüfen Ihre rechtliche Ausgangslage und bereiten den nächsten Schritt vor.

Rechtliche Einschätzung anfragen
Rechtsrahmen

Rechtsquellen zur Einordnung

  1. § 675j BGB
  2. § 675u BGB
  3. § 195 BGB
  4. § 675f Abs. 3 BGB
  5. § 675p Abs. 1 BGB
Jan-Henning Ahrens
Einordnung von

Jan-Henning Ahrens

Jan-Henning Ahrens und KWAG Rechtsanwälte beraten Mandanten insbesondere im Bankrecht, Kapitalmarktrecht, bei Anlage- und Internetbetrug sowie in wirtschaftsrechtlichen Streitigkeiten.

Mehr über die Kanzlei

"Seit über 20 Jahren zwingen wir Banken im Namen unserer Mandanten in die Knie".

Jan-Henning Ahrens Fachanwalt für Bank- und Kapitalmarktrecht

Vermeiden Sie Vermögensschaden und leiten Sie die Gegenwehr ein!


  • Telefonnummer: +49 40 797 25014  
  • Rückmeldung in 48 Stunden
  • Erfolgreich Geld zurückholen

ZDF