Wie Onlinebanking-Phishing-Schaden beweisen?

Die Situation ist so verbreitet wie erschreckend: Phishing-Mails werden professioneller, und die Ablehnung der Bank folgt oft auf dem Fuß. Betroffene stehen vor technischen Argumenten, fühlen sich mitschuldig und fragen sich, ob der Schaden endgültig verloren ist. Die Rechtslage gibt eine andere Antwort: Die Beweislast für grobe Fahrlässigkeit liegt bei der Bank, nicht beim Kunden.

Welche gesetzlichen Grundlagen hinter diesem Anspruch stehen, zeigt der nächste Abschnitt.

Bevor wir die typischen Bankargumente und ihre rechtlichen Schwachstellen einordnen können, lohnt ein Blick auf das Gesetz selbst. Der Erstattungsanspruch ist nicht das Ergebnis richterlicher Rechtsfortbildung, sondern im Bürgerlichen Gesetzbuch ausdrücklich geregelt:

Was bedeutet „autorisiert" im rechtlichen Sinne?

Autorisiert ist ein Zahlungsvorgang nach § 675j Abs. 1 BGB nur dann, wenn der Kontoinhaber dem Vorgang zuvor zugestimmt hat, also eine bewusste und freiwillige Willenserklärung vorlag. Wer durch eine Täuschung zur TAN-Eingabe verleitet wird, ohne zu wissen, wohin das Geld tatsächlich fließt, hat diesem Vorgang gerade nicht rechtswirksam zugestimmt.

Diese Unterscheidung ist der Kern des gesamten Erstattungsanspruchs und bleibt unabhängig davon bestehen, ob die Bank technisch korrekt aufgezeichnet hat, dass eine TAN verwendet wurde.

Worauf es jetzt ankommt

§ 675w BGB regelt die Beweislast: Die Bank muss nachweisen, dass der Zahlungsvorgang ordnungsgemäß authentifiziert, unbeschädigt und vollständig aufgezeichnet wurde. Dass eine TAN verwendet wurde, reicht nach dem ausdrücklichen Wortlaut des § 675w S. 2 BGB nicht aus, um eine Autorisierung durch den Kunden zu belegen. Das bedeutet: Die bloße technische Protokollierung einer Transaktion ersetzt keine rechtliche Willensbekundung des Kontoinhabers.

Europäischer Hintergrund: PSD2 und ZAG

Hinter diesen Regelungen steht die europäische Zahlungsdiensterichtlinie PSD2 (Art. 73, 74), in Deutschland umgesetzt über das Zahlungsdiensteaufsichtsgesetz (ZAG). Die Beweislastregeln sind damit kein nationales Sonderrecht, sondern europaweit harmonisiert und für alle Zahlungsdienstleister verbindlich. Auf dieser Grundlage lässt sich die nächste Frage präzise beantworten: Was passiert rechtlich, wenn die Bank trotzdem auf dem Nachweis der TAN-Nutzung beharrt?

Genau hier wird es kritisch: Viele Betroffene glauben, die TAN-Eingabe werde ihnen unweigerlich zum Verhängnis. Die Bank argumentiert oft technisch - das System habe eine gültige TAN erkannt, der Vorgang sei vollständig durchgelaufen. Das Gesetz trennt diese beiden Dinge jedoch bewusst voneinander, weil die Schöpfer der Norm genau diese Konstellation vor Augen hatten.

Der Unterschied, der über den Anspruch entscheidet

Authentifizierung ist ein technischer Vorgang: Das System prüft, ob die eingegebenen Daten korrekt sind. Autorisierung ist eine rechtliche Willenserklärung: Der Kontoinhaber stimmt einer bestimmten Zahlung bewusst zu. Wer durch eine gefälschte Website zur TAN-Eingabe gebracht wird, ohne zu wissen, dass die Zahlung tatsächlich auf ein fremdes Konto geht, hat keinen rechtswirksamen Autorisierungswillen gebildet.

Was für die Einordnung zählt

Dieser Unterschied ist im Gesetz ausdrücklich angelegt und gilt unabhängig davon, ob die Bank die gesamte Transaktion lückenlos aufgezeichnet hat.

Was für den nächsten Schritt zählt

Das bedeutet: Selbst wenn die Bank argumentiert, der Kunde habe die TAN auf einer gefälschten Seite eingegeben, muss sie konkret nachweisen, dass dies auf einer besonders schwerwiegenden Sorgfaltspflichtverletzung beruhte und nicht auf einer professionell inszenierten Täuschung. Wie Banken diesen Nachweis in der Praxis zu führen versuchen und warum diese Argumente rechtlich oft nicht tragen, zeigt der folgende Abschnitt.

Doch was bedeutet das konkret, wenn die Bank nach der Ablehnung pauschal auf Fahrlässigkeit des Kunden verweist? Die Ablehnung trifft Betroffene in einer ohnehin belastenden Situation: Das Konto ist geleert, die erste Reaktion der Bank wirkt wie eine Mauer aus technischen Formulierungen, und das Gefühl, selbst mitschuldig zu sein, setzt sich fest.

Der nächste Schritt hängt oft davon ab, wie gefälschte Onlinebanking-Loginseite einzuordnen ist.

Wer in dieser Lage nicht weiß, wie die Beweislast rechtlich verteilt ist, gibt oft zu früh auf. Dabei ist genau das der Punkt, an dem rechtliche Klarheit den Unterschied machen kann.

Was Sie als Nächstes prüfen sollten

Was Gerichte unter grober Fahrlässigkeit verstehen

Grobe Fahrlässigkeit im Zahlungsverkehr bedeutet, dass der Kunde die erforderliche Sorgfalt in besonders schwerem Maße verletzt hat. Professionell gestaltete Phishing-Mails mit täuschend echter Domain, originalem Banklogo und schlüssigem Handlungsanlass begründen keine grobe Fahrlässigkeit des Empfängers. Verschiedene Landgerichte haben festgestellt, dass selbst erfahrene Nutzer auf qualitativ hochwertige Phishing-Angriffe hereinfallen können, ohne dass dies als grob fahrlässiges Verhalten zu werten ist.

Anders sieht es aus bei Verhaltensweisen, die von der Bank konkret zu belegen sind: etwa die Weitergabe einer TAN auf telefonische Aufforderung durch angebliche Bankmitarbeiter oder die Missachtung eindeutiger und im Browser gut sichtbarer Sperrwarnungen. Diese Konstellationen bilden den Ausgangspunkt für eine erhöhte Eigenhaftung nach § 675v Abs. 3 BGB. Professionelles Phishing mit täuschend echter Aufmachung gehört nicht dazu.

Beweislast liegt ausschließlich bei der Bank

Die Bank muss im Streitfall konkret darlegen, worauf sie den Vorwurf der groben Fahrlässigkeit stützt. Ein allgemein gehaltenes Ablehnungsschreiben, das lediglich auf die Existenz einer protokollierten TAN-Nutzung verweist, genügt dieser Anforderung nicht. § 675v Abs. 3 BGB setzt eine vollständig entwickelte Haftungsqualifikation voraus - wer diese Qualifikation behauptet, muss sie auch beweisen.

Welche Unterlagen jetzt zählen

Wer eine Ablehnung erhält, sollte daher die konkrete schriftliche Begründung einfordern und rechtlich einordnen lassen. Wie schnell dabei gehandelt werden muss und welche Schritte die Rechtsposition absichern, beschreibt der folgende Abschnitt.

Im nächsten Schritt entscheidet sich, ob der Erstattungsanspruch durch schnelles Handeln gesichert wird oder verloren geht. § 675l BGB verpflichtet den Kontoinhaber zur unverzüglichen Anzeige, sobald er von einem nicht autorisierten Vorgang Kenntnis erlangt oder erlangen musste. Wer zu lange wartet, riskiert, dass die Bank einen Mitverschuldenseinwand erhebt - ein vermeidbares Risiko, wenn die Meldung unmittelbar nach Entdeckung des Schadens erfolgt.

In der weiteren Prüfung taucht daneben häufig Onlinebanking-Phishing auf.

Wo die Frist praktisch beginnt

Die Meldepflicht nach § 675l Abs. 1 BGB greift ab dem Zeitpunkt, ab dem Betroffene von einem möglichen Missbrauch Kenntnis haben oder hätten haben müssen. Je früher die Meldung bei der Bank eingeht, desto besser ist der Anspruch abgesichert. Die Bank ist nach § 675u BGB verpflichtet, spätestens bis zum Ende des nächsten Geschäftstags zu erstatten.

Sofortschritte in der richtigen Reihenfolge

Wer einen Phishing-Vorfall bemerkt, sollte unverzüglich handeln: Zunächst die Sperrhotline der Bank anrufen und das Konto sperren lassen. Danach eine schriftliche Schadensanzeige mit Datum und Sachverhalt an die Bank senden und gleichzeitig die vollständigen Authentifizierungsprotokolle formal anfordern - die Bank ist nach § 675w BGB zur Herausgabe dieser Unterlagen verpflichtet.

Parallel dazu Strafanzeige bei der Polizei erstatten und das vergebene Aktenzeichen für die gesamte weitere Korrespondenz festhalten. Viele Phishing-Transfers laufen zunächst über Zwischenkonten, bevor das Geld weitergeleitet wird - ein schnelles Einfrieren der Transaktion ist möglich, wenn die Bank rechtzeitig Kenntnis erhält. Wie sich daraus ein strukturierter Erstattungsanspruch aufbauen lässt, zeigt die folgende Checkliste.

Für die praktische Planung kann Phishing bei Senioren entscheidend werden.

Auf dieser Grundlage lässt sich der Erstattungsanspruch strukturiert durchsetzen. In vielen Fällen zeigt sich am Ende: Die betroffene Person, die zunächst resigniert vor einer Bankablehnung stand, erhält durch eine konsequente Aufarbeitung der Beweislage Klarheit über ihre tatsächliche Rechtsposition. Die entscheidende Frage ist nicht, ob eine TAN eingegeben wurde, sondern ob die Bank grobe Fahrlässigkeit lückenlos nachweisen kann.

Was jetzt praktisch wichtig ist

Gelingt ihr dieser Nachweis nicht, greift § 675u BGB, und die Bank ist verpflichtet, den abgebuchten Betrag unverzüglich zurückzubuchen.

Schriftlich widersprechen und Anspruch klar formulieren

Wer eine Ablehnung erhält, sollte dieser schriftlich widersprechen und unter Verweis auf § 675u und § 675w BGB Erstattung verlangen. Die Bank muss konkret darlegen, worauf sie den Vorwurf der groben Fahrlässigkeit stützt. Allgemeine Hinweise auf Sicherheitsrichtlinien oder die bloße Existenz einer TAN-Aufzeichnung genügen dieser Anforderung nicht.

Finanzombudsmann als außergerichtliche Vorstufe

Bevor eine Klage beim Landgericht eingereicht wird, steht der Finanzombudsmann als Schlichtungsstelle zur Verfügung. Das Verfahren ist für Verbraucher gebührenfrei und hat in der Praxis dazu geführt, dass Banken strittige Phishing-Fälle häufiger regulieren, sobald eine förmliche Beschwerde vorliegt. Typischer Wendepunkt: Viele Banken erstatten nach anwaltlicher Aufforderung oder nach Einleitung eines Ombudsmann-Verfahrens, ohne dass es zu einer Klage kommt.

Anders sieht es aus, wenn im konkreten Fall Detailfragen zur Beweislast, zu Fristen oder zum weiteren Verfahren auftauchen. Die folgenden Antworten fassen die rechtlich relevantesten Punkte knapp zusammen, damit Betroffene wissen, worauf es bei jedem Schritt ankommt.

Muss ich beweisen, dass ich Opfer eines Phishing-Angriffs war?

Nein. Die Beweislast liegt nach § 675w BGB bei der Bank. Sie muss nachweisen, dass der Zahlungsvorgang autorisiert war und dass der Kunde grob fahrlässig gehandelt hat. Betroffene müssen lediglich substantiiert schildern, wie es zur Transaktion gekommen ist, und die verfügbaren Belege - Phishing-Mail mit Header, Screenshots der Fake-Seite, Kontoauszüge - sichern.

Was gilt als grobe Fahrlässigkeit beim Online-Banking?

Grobe Fahrlässigkeit liegt vor, wenn der Kunde die im Zahlungsverkehr gebotene Sorgfalt in besonders schwerem Maße verletzt hat. Typische Beispiele sind die Weitergabe einer TAN auf telefonische Aufforderung durch angebliche Bankmitarbeiter oder die Missachtung eindeutiger Sperrwarnungen im Browser. Das Hereinfallen auf eine professionell gestaltete Phishing-Mail mit täuschend echter Aufmachung begründet nach der Rechtsprechung verschiedener Landgerichte hingegen regelmäßig keine grobe Fahrlässigkeit.

Wie lange hat die Bank Zeit zur Erstattung?

Die Bank muss unverzüglich erstatten, spätestens jedoch bis zum Ende des nächsten Geschäftstags nach Kenntniserlangung vom nicht autorisierten Zahlungsvorgang, § 675u S. 2 BGB. Diese Frist beginnt mit dem Eingang der schriftlichen Schadensanzeige. Kommt die Bank dieser Pflicht nicht nach, entsteht zusätzlich ein Verzugsschadensanspruch.

Was tun, wenn die Bank die Erstattung ablehnt?

Zunächst schriftlich widersprechen und unter Verweis auf § 675u und § 675w BGB eine konkrete Begründung der Ablehnung einfordern. Im nächsten Schritt kann eine Beschwerde beim Finanzombudsmann eingereicht werden. Parallel empfiehlt sich die anwaltliche Prüfung des Falls, insbesondere wenn die Bank pauschal grobe Fahrlässigkeit behauptet, ohne diese konkret zu belegen. Als letzte Stufe steht die Klage beim zuständigen Landgericht offen.

Worauf Sie im Alltag achten sollten

Daraus folgt: Wer durch Phishing Geld verloren hat, steht rechtlich nicht schutzlos da. § 675u BGB gibt Betroffenen einen klaren Erstattungsanspruch, und die Bank trägt die Beweislast dafür, dass grobe Fahrlässigkeit vorlag. Allein der Nachweis einer verwendeten TAN genügt dafür nach § 675w S. 2 BGB ausdrücklich nicht. Diese Regel gilt unabhängig davon, wie überzeugend die Bank ihr Ablehnungsschreiben formuliert.

Entscheidend sind drei Schritte: das sofortige Sperren des Kontos, die schriftliche Schadensanzeige gegenüber der Bank und die Anforderung der vollständigen Authentifizierungsprotokolle. Wer diese Schritte unverzüglich einleitet, sichert seinen Anspruch ab und setzt die Beweislast dort an, wo sie gesetzlich vorgesehen ist: bei der Bank.

Was danach entscheidend wird

Wenn die Bank nach dem Widerspruch auf ihrer Ablehnung beharrt und pauschal auf grobe Fahrlässigkeit verweist, empfiehlt sich die anwaltliche Prüfung des Falls, um die nächsten Schritte gezielt auf der Grundlage des konkreten Ablehnungsschreibens einzuleiten.

Rechtsrahmen

Rechtsquellen zur Einordnung

1. § 675u BGB – Erstattungspflicht
2. § 675v BGB – Haftungsgrenzen
3. § 675j Abs. 1 BGB
4. § 675l Abs. 1 BGB
5. § 675w BGB

Weitere Orientierung

Anknüpfende Themen

Betrug durch Gefälschte Login Seite OnlinebankingEinordnung zu Phishing, Bankhaftung und der Rueckforderung verlorener Gelder.Weiterlesen →

Phishing Onlinebanking Verluste zurückholenEinordnung zu Phishing, Bankhaftung und der Rueckforderung verlorener Gelder.Weiterlesen →

Hilfe für Senioren nach Phishing BetrugEinordnung zu Phishing, Bankhaftung und der Rueckforderung verlorener Gelder.Weiterlesen →