Kann man Geld zurückfordern, wenn man durch Phishing zur TAN-Freigabe verleitet wurde? Wer eine gefälschte Sicherheitsmeldung geglaubt hat, hat die Zahlung juristisch nie wirklich gewollt - die Transaktion gilt damit als nicht autorisiert. Dann muss die Bank nach § 675u BGB unverzüglich zurücküberweisen; der BGH bestätigte am 05.03.2024 (XI ZR 107/22): allein die TAN-Eingabe beweist noch keine Zustimmung.
Sie haben nach einer gefälschten Sicherheitsmeldung eine TAN-Freigabe erteilt und danach festgestellt, dass Geld abgebucht wurde? Ob Sie es zurückbekommen, hängt davon ab, ob die Bank eine wirksame Autorisierung der Zahlung nachweisen kann. Im Folgenden klären wir, wann Phishing-Überweisungen als nicht autorisiert gelten, welche Erstattungsrechte entstehen und wie die Beweislast verteilt ist.
Eine Selbstständige erhält eines Abends eine Nachricht, die dem Erscheinungsbild ihrer Hausbank täuschend ähnlich sieht: Verdächtige Kontobewegungen seien festgestellt worden, zur Absicherung solle sie jetzt eine pushTAN bestätigen. Sie kennt Online-Banking, nutzt es täglich, und der Hinweis klingt wie eine Routineprüfung. Sie gibt die TAN ein. Erst als kurz darauf eine Überweisung über einen erheblichen Betrag in der Kontoübersicht erscheint, wird ihr klar, was tatsächlich passiert ist.
Bevor wir die konkreten Schritte und Erfolgsaussichten einordnen können, lohnt ein Blick auf die gesetzliche Basis: Der Erstattungsanspruch entsteht nicht aus dem Betrug selbst, sondern aus der fehlenden rechtswirksamen Zustimmung zu einem konkreten Zahlungsvorgang.
Was bedeutet autorisierung im Rechtssinn: Was TAN-Eingabe juristisch wirklich bedeutet in der Praxis?
Doch was bedeutet es rechtlich, wenn jemand unter Täuschung eine TAN eingibt? Das BGB liefert eine klare Antwort, die für Betroffene günstiger ist, als viele zunächst vermuten.
§ 675j Abs. 1 Satz 1 BGB stellt klar: Ein Zahlungsvorgang ist gegenüber dem Zahler nur wirksam, wenn der Zahler ihm zugestimmt hat. Diese Zustimmung muss sich auf den konkreten Zahlungsvorgang beziehen, also auf eine Überweisung an einen bestimmten Empfänger über einen bestimmten Betrag. Eine TAN-Eingabe, die durch Täuschung über den Verwendungszweck erschlichen wurde, erfüllt diese Voraussetzung nicht.
Worauf es jetzt ankommt
Auf dieser Grundlage differenziert die Rechtsprechung klar zwischen dem technischen Vorgang der TAN-Eingabe und dem rechtlich erforderlichen Willen des Zahlers.
Was für die Einordnung zählt
§ 1 Abs. 24 ZAG definiert den Zahlungsvorgang, und Art. 64 der PSD2 verlangt für eine wirksame Zustimmung einen echten Willen des Zahlers ("Consent"). Diese europäische Vorgabe stützt dieselbe Lesart: Wer unter Täuschung handelt, stimmt dem konkreten Zahlungsvorgang rechtlich nicht zu. Das Ergebnis ist eindeutig: Die Transaktion gilt als nicht autorisiert.
Was für den nächsten Schritt zählt
§ 675u BGB – Erstattungspflicht bei nicht autorisierten Zahlungen
Liegt keine wirksame Autorisierung vor, muss der Zahlungsdienstleister nach § 675u Satz 2 BGB den abgebuchten Betrag unverzüglich erstatten, spätestens bis zum Ende des nächsten Geschäftstags nach Kenntnisnahme. Dieser Anspruch ist gesetzlich zwingend und vertraglich nicht abdingbar.
Quelle öffnen →Ob dieser Anspruch im Streitfall durchgesetzt werden kann, hängt entscheidend davon ab, wie Gerichte die Grenze zwischen technischer Eingabe und echter Zustimmung ziehen. Genau diese Frage hat der BGH in einer richtungsweisenden Entscheidung beantwortet.
Was bedeutet kein Wille, keine Zustimmung: Der BGH-Maßstab bei erschlichener Bankfreigabe in der Praxis?
Genau hier wird es kritisch: Die neuere Rechtsprechung des Bundesgerichtshofs zieht eine klare Linie, die für Betroffene von Phishing-Betrug erhebliche praktische Bedeutung hat.
Der BGH hat mit Urteil vom 05.03.2024 (XI ZR 107/22) klargestellt, dass die Bank die Autorisierung beweisen muss, und zwar die fehlerfreie Anwendung eines praktisch unüberwindbaren Sicherheitsverfahrens. Die bloße Tatsache, dass eine TAN eingegeben wurde, reicht dafür nicht aus.
Was Sie als Nächstes prüfen sollten
Bereits früher hatte der BGH (XI ZR 91/14, Urteil vom 26.01.2016) entschieden, dass aus der Eingabe von PIN oder TAN kein automatischer Anscheinsbeweis für eine bewusste Zustimmung folgt.
Bei einer Phishing-Attacke mit fingierter Sicherheitsmeldung wollte die Betroffene aus unserem Praxisfall keine Überweisung auslösen, sondern einer scheinbaren Aufforderung ihrer Bank nachkommen. Dieser Irrtum über den Erklärungsinhalt ist der entscheidende Punkt: Die TAN wurde technisch korrekt eingegeben, aber ohne Wissen und Willen in Bezug auf die tatsächliche Transaktion. Nach herrschender Ansicht liegt in solchen Konstellationen keine wirksame Autorisierung im Sinne des § 675j BGB vor.
Welche Unterlagen jetzt entscheidend sind
§ 675w BGB – Beweislast bei Zahlungsvorgängen
§ 675w BGB regelt die Beweislastverteilung: Der Zahlungsdienstleister muss nachweisen, dass der Zahlungsvorgang authentifiziert, ordnungsgemäß aufgezeichnet und nicht durch einen technischen Defekt beeinträchtigt war. Dieser Nachweis entlastet die Bank jedoch nicht vollständig, wenn der Kontoinhaber substantiiert darlegt, durch Täuschung zur TAN-Eingabe verleitet worden zu sein.
Quelle öffnen →Daraus folgt: Die gesetzliche Ausgangslage ist für Betroffene günstiger, als die initiale Ablehnung einer Bank vermuten lässt. Allerdings erhebt die Bank in der Praxis regelmäßig einen Gegeneinwand, der über Erfolg oder Misserfolg des Erstattungsanspruchs entscheiden kann.
Was bedeutet wenn die Bank ablehnt: Grobe Fahrlässigkeit und der Vorwurf nach § 675v BGB in der Praxis?
Anders sieht es aus, wenn die Bank den Gegenbeweis antritt: Sie beruft sich auf grobe Fahrlässigkeit und behauptet, die Betroffene hätte den Betrug erkennen müssen. Genau das ist der Wendepunkt, an dem viele Erstattungsforderungen scheitern oder sich entscheiden. Der nächste Schritt hängt oft davon ab, wie Phishing bei Senioren einzuordnen ist.
Die Bank stufte den Vorgang aus unserem Praxisfall intern als autorisierten Zahlungsvorgang ein und lehnte jede Rückzahlung ab. Die Begründung: Die Betroffene hätte die Warnsignale erkennen müssen. Damit begann die eigentliche rechtliche Auseinandersetzung, denn § 675v Abs. 3 BGB sieht vor, dass der Kontoinhaber für nicht autorisierte Zahlungsvorgänge selbst haftet, wenn er grob fahrlässig gehandelt hat.
Welche Unterlagen jetzt zählen
Grobe Fahrlässigkeit liegt vor, wenn jemand die im Verkehr erforderliche Sorgfalt in besonders schwerem Maß verletzt. Das ist eine hohe Hürde. Gerichte haben in mehreren Entscheidungen festgehalten, dass professionell gestaltete Phishing-Nachrichten, die dem offiziellen Erscheinungsbild einer Bank täuschend ähnlich sehen, für Laien nicht zwingend als Betrug erkennbar sind.
Wo die Frist praktisch beginnt
Anders sieht es aus, wenn die Absenderadresse erkennbar gefälscht ist, die Nachricht in gebrochenem Deutsch verfasst wurde oder der tatsächliche Transaktionsbetrag im Freigabeprozess klar sichtbar war und dennoch ignoriert wurde.
Entscheidend ist zudem: Die Beweislast für grobes Verschulden trägt nach § 675w BGB die Bank. Sie muss darlegen und beweisen, dass das Sicherheitsverfahren fehlerfrei angewandt wurde und dass der Fehler im Verantwortungsbereich des Kunden lag. Eine pauschale Ablehnung mit dem Hinweis auf "korrekt eingegebene TAN" genügt diesen Anforderungen nicht.
Im nächsten Schritt stellt sich die Frage, wie lange Betroffene Zeit haben, diesen Anspruch geltend zu machen, denn hier lauern harte Ausschlussfristen, die keine Ausnahme kennen.
Welche Frist gilt nach dem Phishing-Betrug?
Bevor wir die konkreten Handlungsschritte durchgehen, ist ein Blick auf die Fristen unerlässlich: Wer zu lange wartet, verliert seinen Anspruch nicht erst durch Verjährung, sondern bereits durch eine gesetzliche Ausschlussfrist. In der weiteren Prüfung taucht daneben häufig gefälschte Onlinebanking-Loginseite auf.
§ 676b BGB setzt eine Ausschlussfrist von 13 Monaten ab dem Belastungsdatum. Diese Frist ist absolut: Es gibt keine Hemmung, keine Unterbrechung, kein Wiederaufleben. Wer innerhalb dieser 13 Monate keinen Erstattungsantrag gestellt hat, verliert seinen Anspruch nach § 675u BGB endgültig.
Wie Betroffene die Gegendarstellung vorbereiten
Davon zu unterscheiden sind weitergehende Schadensersatzansprüche, für die die allgemeine Verjährungsfrist des § 195 BGB gilt: drei Jahre ab Ende des Jahres, in dem der Schaden entstanden ist.
Wann anwaltliche Prüfung wichtig wird
Nach § 676b Abs. 1 BGB muss die Meldung eines nicht autorisierten Zahlungsvorgangs unverzüglich nach Kenntnisnahme erfolgen. Eine Verzögerung kann den Erstattungsanspruch mindern oder entfallen lassen. Im Zweifel sofort handeln: Bank schriftlich informieren und die Transaktion ausdrücklich als nicht autorisiert bezeichnen.
Parallel zur Meldung an die Bank sollte unverzüglich Strafanzeige bei der Polizei erstattet werden. Das Aktenzeichen dient später als Nachweis des Betrugs und untermauert die eigene Schilderung des Täuschungsvorgangs gegenüber der Bank. Die 13-Monatsfrist des § 676b BGB läuft unabhängig davon weiter, ob ein Strafverfahren eingeleitet wurde oder die Bank sich noch in der internen Prüfung befindet.
Diese Fristen im Blick zu behalten, schafft die Grundlage für den nächsten, entscheidenden Schritt.
Geld zurück nach TAN-Betrug: Schritt für Schritt zum Erstattungsantrag
Im nächsten Schritt liegt die Auflösung für Betroffene wie die Selbstständige aus unserem Praxisfall: Eine strukturierte rechtliche Vorgehensweise kann die Beweislast zu ihren Gunsten verschieben. Mit dem richtigen Nachweis über die Täuschungsmaßnahme und einem auf § 675u BGB sowie BGH XI ZR 107/22 gestützten Erstattungsantrag lässt sich der Anspruch ernsthaft geltend machen, auch wenn die Bank zunächst abgelehnt hat.
Für die praktische Planung kann Phishing-Schaden rechtlich einordnen entscheidend werden.
Das erste Ziel ist Sicherung und Meldung: Kontoauszug, Phishing-Nachricht, Zeitstempel der TAN-Eingabe und Zeitpunkt der Abbuchung müssen dokumentiert sein, bevor Belege verloren gehen oder überschrieben werden. Dann folgt die schriftliche Erstattungsforderung an die Bank, die ausdrücklich § 675u BGB benennt und die erschlichene Freigabe als nicht autorisierten Zahlungsvorgang einordnet. Bei Ablehnung kommt ein formaler Widerspruch mit Fristhinweis nach § 676b BGB.
Was jetzt praktisch wichtig ist
Bleibt die Bank dabei, empfiehlt sich eine anwaltliche Erstprüfung, die bewertet, ob der konkrete Täuschungsvorgang das Merkmal der groben Fahrlässigkeit nach § 675v Abs. 3 BGB trägt oder nicht.
Worauf Sie im Alltag achten sollten
Kontoauszug oder Screenshot der unautorisierten Buchung sichern
Phishing-Nachricht (E-Mail, SMS, Push-Benachrichtigung) aufbewahren, nicht löschen
Zeitpunkt der TAN-Eingabe und Zeitpunkt der Abbuchung notieren
Schriftliche Erstattungsforderung an die Bank mit Verweis auf § 675u BGB und BGH XI ZR 107/22
Anzeige bei der Polizei erstatten, Aktenzeichen sichern
Alle Antwortschreiben der Bank aufbewahren
Anwaltliche Prüfung einholen, wenn die Bank die Erstattung ablehnt
Je professioneller die Fälschung gestaltet war und je weniger offensichtliche Warnsignale erkennbar waren, desto schwerer lässt sich grobe Fahrlässigkeit begründen. Diese Konstellation beschreiben Betroffene immer wieder, was direkt zu den häufigsten Fragen führt, die in solchen Fällen auftauchen.
Wenn Ihre Bank nach einem Phishing-Betrug die Rückzahlung verweigert, prüfen wir die Rechtslage in Ihrem Fall.
Rechtliche Einschätzung anfragenHäufige Fragen nach einem TAN-Freigabe-Betrug
Bevor wir mit einem abschließenden Überblick enden, fassen wir die Kernfragen zusammen, die nach einem TAN-Phishing-Betrug in der Praxis regelmäßig gestellt werden und auf die die vorigen Abschnitte bereits die gesetzliche Grundlage gelegt haben. Der nächste Schritt hängt oft davon ab, wie Bankhaftung nach Phishing einzuordnen ist.
Gilt meine TAN-Eingabe als rechtliche Zustimmung zur Zahlung?
Nicht automatisch. Nach § 675j BGB setzt eine wirksame Autorisierung den Willen zum konkreten Zahlungsvorgang voraus. Wer durch eine gefälschte Sicherheitsmeldung getäuscht wurde, hatte diesen Willen nicht. Der BGH hat in XI ZR 107/22 klargestellt, dass die Bank die tatsächliche Autorisierung und die fehlerfreie Anwendung des Sicherheitsverfahrens nachweisen muss. [/FAQ]
Zahlt die Bank automatisch zurück, wenn die TAN erschlichen wurde?
Nein, nicht automatisch. Der Erstattungsanspruch nach § 675u BGB besteht zwar kraft Gesetzes, muss aber gegenüber der Bank aktiv geltend gemacht werden. Viele Banken lehnen zunächst ab und müssen durch schriftlichen Widerspruch oder anwaltlichen Druck zur ernsthaften Prüfung veranlasst werden. [/FAQ]
Was bedeutet grobe Fahrlässigkeit bei Phishing, und woran erkenne ich, ob der Vorwurf greift?
Was danach entscheidend wird
Grobe Fahrlässigkeit nach § 675v Abs. 3 BGB liegt vor, wenn offensichtliche Warnsignale ignoriert wurden, etwa eine erkennbar falsche Absenderadresse oder in gebrochenem Deutsch verfasste Nachrichten. Bei professionell gefälschten Mitteilungen ohne erkennbare Warnsignale ist das Merkmal schwer nachweisbar. Die Beweislast für grobes Verschulden liegt nach § 675w BGB bei der Bank. [/FAQ]
Wie lange habe ich Zeit, meinen Anspruch geltend zu machen?
Die Ausschlussfrist nach § 676b BGB beträgt 13 Monate ab dem Belastungsdatum. Diese Frist ist absolut und kennt keine Hemmung. Für weitergehende Schadensersatzansprüche gilt die dreijährige Verjährungsfrist des § 195 BGB. Schnelles Handeln ist in jedem Fall entscheidend. [/FAQ]
Was kann ich tun, wenn die Bank die Erstattung ablehnt?
Zunächst schriftlichen Widerspruch mit ausdrücklichem Bezug auf § 675u BGB und BGH XI ZR 107/22 einlegen. Dann den Vorgang der Schlichtungsstelle für Bankfragen vorlegen. Bei fortgesetzter Weigerung empfiehlt sich eine anwaltliche Prüfung des Einzelfalls, die die konkreten Umstände der Täuschung bewertet und die Erfolgsaussichten einer Klage einschätzt. [/FAQ]
Fazit: Was nach einem TAN-Phishing-Betrug rechtlich und praktisch zählt
Daraus folgt ein klares Bild: Wer durch eine erschlichene TAN-Freigabe Geld verloren hat, steht rechtlich nicht schutzlos da, auch wenn die erste Antwort der Bank eine Ablehnung ist. In der weiteren Prüfung taucht daneben häufig betrug durch sms phishing bank haftet auf.
Drei Kernergebnisse sind entscheidend. Erstens: Das Autorisierungserfordernis nach § 675j BGB setzt den Willen zum konkreten Zahlungsvorgang voraus, den Phishing-Opfer in aller Regel nicht hatten. Zweitens: Nach BGH XI ZR 107/22 liegt die Beweislast für die tatsächliche Autorisierung und die fehlerfreie Anwendung des Sicherheitsverfahrens bei der Bank. Drittens: Der Einwand grober Fahrlässigkeit nach § 675v Abs.
Wo Sie genauer hinschauen sollten
3 BGB ist prüfbar und bei professionellem Phishing ohne erkennbare Warnsignale oft angreifbar. Was über Erfolg oder Ablehnung entscheidet, ist die strukturierte Darlegung des konkreten Täuschungsvorgangs, gestützt auf vollständige Dokumentation und eine auf die einschlägigen Normen gestützte Argumentation.
„Die bloße Nutzung eines Sicherheitsverfahrens durch den Kunden beweist nicht, dass dieser die konkrete Transaktion wollte." – BGH, Urteil vom 05.03.2024, XI ZR 107/22"
Wenn Ihre Bank die Erstattung nach einem Phishing-TAN-Betrug abgelehnt hat, kann eine anwaltliche Prüfung klären, ob und wie Sie Ihren Anspruch nach § 675u BGB durchsetzen können.
Rechtliche Einschätzung anfragen



