Phishing bei der Postbank - ist das Geld weg? Nicht zwingend: Wer eine gefälschte BestSign-Freigabe erteilt hat, kann die Überweisung zurückfordern - sofern ihm keine grobe Fahrlässigkeit vorzuwerfen ist. Die Bank muss nach § 675u BGB unverzüglich erstatten. Wichtig: Die Meldung muss innerhalb von 13 Monaten nach der Buchung erfolgen, sonst erlischt der Erstattungsanspruch.
Wenn Ihnen nach einer verdächtigen BestSign-Freigabe oder einer Phishing-Nachricht Geld von Ihrem Postbank-Konto fehlt, hängt Ihr Erstattungsanspruch davon ab, wie schnell Sie die Bank informiert haben und ob Ihnen ein Sorgfaltspflichtverstoß nachgewiesen werden kann. Im Folgenden klären wir, welche Rechtsgrundlagen gelten, wie die Beweislast verteilt ist und welche Schritte die Meldung erfordert.
Wer sein Online-Banking als selbstverständliche Routine betrachtet, bemerkt einen Kontomissbrauch oft erst beim nächsten Blick auf den Kontoauszug: Mehrere Überweisungen sind abgegangen, sämtlich mit BestSign-Freigabe protokolliert, und doch hat die betroffene Person keinen dieser Aufträge erteilt. Was zuvor wie eine harmlose Sicherheitsmitteilung der Postbank wirkte, eine Nachricht mit dem Hinweis, die BestSign-App auf einem neuen Gerät zu bestätigen, war ein gezielter Phishing-Angriff. Unbekannte hatten sich Zugang zur App verschafft und anschließend eigenständig Transaktionen freigegeben.
Phishing-Angriffe über das BestSign-Verfahren der Postbank nehmen zu, weil die Methode gezielt auf das Vertrauen in vertraute Bankprozesse setzt. Viele Betroffene wissen nicht: Das Bürgerliche Gesetzbuch schützt Kontoinhaber bei nicht autorisierten Zahlungen ausdrücklich, auch wenn die Bank das Gegenteil behauptet. Entscheidend sind die schnelle Meldung, die Einhaltung der 13-Monats-Frist und eine klare rechtliche Einordnung der Beweislage.
Die gesetzlichen Grundlagen zeigen, dass Betroffene deutlich stärker geschützt sind, als eine erste Ablehnung der Bank vermuten lässt.
Was das Gesetz vorschreibt: Erstattungspflicht und Beweislast der Bank
Bevor wir die Angriffsmuster und Streitpunkte im Einzelnen betrachten, ist der gesetzliche Rahmen zu verstehen, auf den sich alle Erstattungsansprüche stützen. Das BGB enthält ein klar strukturiertes Schutzregime für Kontoinhaber, das im Phishing-Fall konsequent auf deren Seite wirkt. Die zentralen Normen regeln nicht nur die Erstattungspflicht, sondern legen auch fest, wer im Streitfall beweispflichtig ist.
§§ 675j, 675u, 675v, 675w BGB
§ 675j BGB: Ein Zahlungsvorgang ist nur wirksam, wenn der Kontoinhaber ihn autorisiert hat. Eine durch Täuschung erschlichene Freigabe gilt nicht als wirksame Autorisierung. § 675u BGB: Bei nicht autorisierten Zahlungen muss die Bank den Betrag unverzüglich erstatten, spätestens bis zum Ende des nächsten Geschäftstags nach der Meldung. § 675v BGB: Die Eigenhaftung des Kunden ist auf maximal 50 Euro begrenzt, sofern kein Betrug oder grobe Fahrlässigkeit vorliegt. § 675w BGB: Die Beweislast liegt bei der Bank. Sie muss nachweisen, dass der Vorgang authentifiziert, korrekt erfasst und technisch fehlerfrei war.
Quelle öffnen →Das BestSign-Protokoll allein genügt diesem Beweisstandard nicht. Es dokumentiert den technischen Ablauf, nicht aber, wer die Freigabe unter welchen Umständen erteilt hat. Erst wenn die Bank den vollständigen Nachweis nach § 675w BGB erbringt, kommt die Frage nach grober Fahrlässigkeit des Kunden überhaupt in Betracht. Diese Reihenfolge ist rechtlich bindend und wird in der Praxis häufig übergangen.
Daraus folgt unmittelbar: Ob eine BestSign-Freigabe als wirksam autorisiert gilt, hängt nicht allein vom technischen Log ab, sondern vom konkreten Angriffsmuster. Der nächste Abschnitt ordnet die typischen Szenarien systematisch ein.
Wann gilt eine BestSign-Freigabe als nicht autorisiert?
Doch was bedeutet das konkret für die verschiedenen Angriffsformen, mit denen Täter BestSign-Freigaben erschleichen? Die Einordnung richtet sich nach dem Angriffsweg und danach, ob der Kontoinhaber die tatsächliche Bedeutung seiner Handlung kannte oder erkennen konnte. Die im vorigen Abschnitt dargestellten Normen bilden dafür den Prüfungsrahmen.
Entscheidend ist die Abgrenzung zwischen einer bewusst erteilten Freigabe und einer durch Täuschung erschlichenen. Wer eine BestSign-Bestätigung erteilt, weil er eine täuschend echte Phishing-Nachricht irrtümlich für eine Bankmitteilung hält, hat im Sinne von § 675j BGB keine wirksame Autorisierung ausgesprochen. Die Freigabe ist erschlichen, der Zahlungsvorgang ist rechtlich nicht autorisiert.
Worauf es jetzt ankommt
Schwieriger wird die Beurteilung, wenn Täter die BestSign-App auf einem eigenen Gerät aktiviert haben. Auch in diesem Szenario besteht dem Grunde nach ein Erstattungsanspruch nach § 675u BGB. Ob er sich durchsetzen lässt, hängt maßgeblich davon ab, ob die Bank den Nachweis grober Fahrlässigkeit nach § 675w BGB führen kann.
Genau an diesem Punkt entscheidet sich in der Praxis der Ausgang fast aller BestSign-Phishing-Fälle, wie der folgende Abschnitt zeigt.
Was bedeutet der häufigste Streitpunkt: Wenn die Bank grobe Fahrlässigkeit behauptet in der Praxis?
Genau hier beginnt die eigentliche rechtliche Auseinandersetzung: Die Bank verweist nach Meldung des Vorfalls auf die lückenlos protokollierten BestSign-Freigaben und lehnt die Erstattung pauschal ab. Sie beruft sich auf grobe Fahrlässigkeit nach § 675v BGB und argumentiert, der Kunde habe Zugangsdaten preisgegeben, den Phishing-Link selbst angeklickt oder die Freigabe in der App eigenständig bestätigt. Diese Ablehnungsformulierungen finden sich in der Praxis häufig nahezu wortgleich.
Der nächste Schritt hängt oft davon ab, wie Phishing-Schäden bei Bankkunden einzuordnen ist.
Legen Sie Bescheid, Nachweise, Fristen und bisherige Schreiben nebeneinander. Dadurch wird schneller klar, ob ein Antrag ergänzt, ein Widerspruch begründet oder ein neuer Schritt vorbereitet werden muss.
Was für die Einordnung zählt
Für die betroffene Person aus dem Eingangsszenario bedeutet das die zweite Überraschung: Nicht das fehlende Geld auf dem Konto, sondern das Schreiben der Bank, das jede Verantwortung von sich weist. Das Protokoll der BestSign-Freigaben scheint auf den ersten Blick eindeutig gegen den Kunden zu sprechen. Doch wie in Abschnitt 1 dargelegt, weist § 675w BGB die Beweislast ausdrücklich der Bank zu.
Was für den nächsten Schritt zählt
Ein technisches Authentifizierungslog genügt diesem Beweisstandard nicht.
Was Sie als Nächstes prüfen sollten
Die Formulierung, der Kunde habe gegen Sicherheitshinweise verstoßen, ist juristisch keineswegs automatisch zutreffend. Grobe Fahrlässigkeit liegt vor, wenn jemand die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt hat. Ein Klick auf einen überzeugend gestalteten Phishing-Link, der optisch kaum von einer echten Postbank-Nachricht zu unterscheiden ist, erfüllt diesen Standard nach der Rechtsprechung in vielen Fällen nicht.
Welche Unterlagen jetzt zählen
Das gilt insbesondere dann, wenn die Täuschung professionell gestaltet war und keine offensichtlichen Warnsignale enthielt.
Typischerweise kein grober Sorgfaltspflichtverstoß
- ◆Klick auf eine individuell adressierte Phishing-E-Mail mit originalgetreuem Postbank-Layout und personalisierter Ansprache
- ◆Bestätigung einer Push-Mitteilung in BestSign, die als routinemäßige Sicherheitsabfrage formuliert war
- ◆Reaktion auf einen gespooften Anruf von einer echten Postbank-Rufnummer
Umstände, die die Haftung verschieben können
- ◆Ausdrückliche Weitergabe von PIN, Passwort und vollständiger BestSign-Konfiguration an Dritte
- ◆Freigabe einer Transaktion trotz eines ausdrücklichen Warnhinweises in der App selbst
- ◆Bewusste Missachtung einer schriftlichen Sicherheitswarnung der Bank
Die Bank muss belegen, dass der Zahlungsvorgang korrekt authentifiziert, ordnungsgemäß erfasst und nicht durch technische Fehler beeinträchtigt wurde. Erst wenn dieser Nachweis vollständig erbracht ist, rückt die Frage nach grober Fahrlässigkeit des Kunden in den Vordergrund. Diese Reihenfolge ist rechtlich bindend und wird in der Praxis häufig übergangen.
Praktisch heißt das: Der nächste Schritt sollte nicht aus Bauchgefühl entstehen, sondern aus Akte, Frist und belegbarem Pflegealltag. Prüfen Sie erst, welche Unterlagen wirklich vorliegen, welche Erklärung fehlt und ob die Belastung nur ungewohnt wirkt oder tatsächlich nicht zum Vertrag passt. So bleibt der Artikel lesbar und die Entscheidung belastbar.
Wer auf das Ablehnungsschreiben der Bank antwortet und dabei Details zur eigenen Handlung mitteilt, riskiert Formulierungen, die im Streitfall als Zugeständnis grober Fahrlässigkeit ausgelegt werden können. Antworten Sie auf solche Schreiben nicht ohne anwaltliche Begleitung.
Neben der Frage der Fahrlässigkeit gibt es eine weitere, häufig unterschätzte Dimension: die gesetzliche Ausschlussfrist, die unabhängig vom Verhalten der Bank und ohne Rücksicht auf die Stärke des Anspruchs abläuft.
Welche Frist gilt nach dem Phishing-Betrug?
Im nächsten Schritt, den viele Betroffene unterschätzen, geht es nicht mehr um die Frage der Fahrlässigkeit, sondern um eine absolute Frist, die jeden Erstattungsanspruch vernichten kann, bevor er überhaupt rechtlich geprüft wird. In der weiteren Prüfung taucht daneben häufig Phishing bei Senioren auf.
Nach § 675j Abs. 2 BGB in Verbindung mit der PSD2-Umsetzung erlischt der Erstattungsanspruch nach § 675u BGB, wenn die Meldung an die Bank nicht innerhalb von 13 Monaten nach dem Buchungsdatum erfolgt. Diese Frist gilt absolut: Sie läuft unabhängig davon, ob die Betroffenen von der Buchung Kenntnis hatten, und unabhängig davon, wie professionell das Phishing aufgebaut war.
Wo die Frist praktisch beginnt
Der EuGH hat in der Entscheidung C-665/23 vom 01.08.2025 bestätigt, dass diese materielle Ausschlussfrist mit dem europäischen Zahlungsdiensterecht vereinbar ist.
13-Monats-Frist beachten
Der Erstattungsanspruch nach § 675u BGB erlischt, wenn die Meldung an die Bank nicht innerhalb von 13 Monaten nach dem Buchungsdatum erfolgt. Diese Frist ist absolut: Wird sie versäumt, entfällt der Anspruch, unabhängig davon, ob die Bank für den Schaden verantwortlich ist.
Zusätzlich zur absoluten Ausschlussfrist gilt die dreijährige Regelverjährung nach §§ 675z, 195, 199 BGB für weitergehende Schäden. Diese Verjährungsfrist beginnt ab Schluss des Jahres, in dem der Anspruch entstand und der Betroffene Kenntnis erlangte. Für den Erstattungsanspruch nach § 675u BGB selbst bietet die Regelverjährung jedoch keinen Ersatz, wenn die 13-Monats-Frist bereits abgelaufen ist.
Was jetzt praktisch wichtig ist
Die Meldung muss schriftlich erfolgen und nachweisbar sein. Telefonische Mitteilungen beim Kundenberater genügen in aller Regel nicht, um die Frist wirksam zu wahren. Betroffene sollten sich in jedem Fall eine schriftliche Eingangsbestätigung der Bank aushändigen lassen und die gesamte Korrespondenz datiert archivieren.
Das bedeutet für die praktische Vorgehensweise: Sobald ein nicht autorisierter Vorgang festgestellt wird, zählt jede Woche. Wer die richtigen Schritte in der richtigen Reihenfolge geht, sichert seinen Anspruch, bevor er durch Fristablauf endgültig erlischt.
Schritt für Schritt: Was Betroffene nach einem Postbank-Phishing tun sollten
Auf dieser Grundlage lässt sich die Vorgehensweise nach einem BestSign-Phishing-Angriff klar strukturieren. Nach den im vorigen Abschnitt dargelegten Fristen ist rasches Handeln keine Option, sondern Voraussetzung. Die anwaltliche Prüfung im Praxisfall dieses Artikels ergab: Der entscheidende Unterschied lag nicht darin, ob die betroffene Person einen Fehler gemacht hatte, sondern darin, dass die Bank den ihr obliegenden Nachweis nach § 675w BGB nicht führen konnte.
Für die praktische Planung kann Identitätsdiebstahl nach Phishing entscheidend werden.
Worauf Sie im Alltag achten sollten
Nach schriftlichem Widerspruch mit Beweislasthinweis und konkreter Fristsetzung erstattete die Bank den vollständigen Betrag. Das ist die Auflösung, auf die es im Ernstfall ankommt.
Was danach entscheidend wird
Postbank unverzüglich telefonisch und schriftlich über den Vorfall informieren
Online-Banking-Zugang und BestSign-App sperren lassen
Kontoauszüge sichern und alle verdächtigen Transaktionen schriftlich festhalten
Phishing-Nachrichten, E-Mails und SMS vollständig aufbewahren, nichts löschen
Screenshots von Gerätebenachrichtigungen und App-Aktivierungen erstellen
Strafanzeige bei der Polizei erstatten
Alle Bankkorrespondenz datiert archivieren
Ablehnungsschreiben der Bank nicht ohne rechtliche Prüfung beantworten
Wer eine Ablehnung erhält, sollte diese nicht kommentarlos akzeptieren. Das LG Hannover hat mit Urteil vom 21.12.2010 bestätigt, dass bei verspäteter Erstattung durch die Bank Verzugsfolgen entstehen können. Ein schriftlicher Widerspruch mit explizitem Verweis auf die Beweislastverteilung nach § 675w BGB und eine klare Fristsetzung sind der sinnvolle nächste Schritt, bevor eine anwaltliche Prüfung des konkreten Sachverhalts erfolgt.
Die häufigsten Fragen, die Betroffene in dieser Situation stellen, beantwortet der folgende Abschnitt.
Sie haben nach einem BestSign-Phishing-Angriff Geld verloren und die Postbank verweigert die Erstattung? Wir prüfen Ihren Anspruch auf Basis der gesetzlichen Beweislastregeln, solange die 13-Monats-Frist läuft.
Rechtliche Einschätzung anfragenUnterlagen vor dem nächsten Schritt ordnen
Legen Sie Bescheid, Nachweise, Fristen und bisherige Schreiben nebeneinander. Dadurch wird schneller klar, ob ein Antrag ergänzt, ein Widerspruch begründet oder ein neuer Schritt vorbereitet werden muss.
Unterlagen vor dem nächsten Schritt ordnen
Legen Sie Bescheid, Nachweise, Fristen und bisherige Schreiben nebeneinander. Dadurch wird schneller klar, ob ein Antrag ergänzt, ein Widerspruch begründet oder ein neuer Schritt vorbereitet werden muss. Der nächste Schritt hängt oft davon ab, wie E-Mail-Phishing mit gefälschter Rechnung einzuordnen ist.
Häufige Fragen zu Postbank-Phishing und BestSign-Missbrauch
Anders sieht es aus, wenn Betroffene sich nicht sicher sind, ob ihr konkreter Fall unter die gesetzliche Erstattungspflicht fällt oder ob bestimmte Umstände den Anspruch gefährden. Die folgenden Fragen begegnen in der Beratungspraxis regelmäßig und bauen auf den zuvor dargestellten Normen auf.
Muss die Postbank bei Phishing grundsätzlich erstatten?
Ja, sofern der Zahlungsvorgang nicht autorisiert war und die Bank den ihr obliegenden Nachweis nach § 675w BGB nicht führen kann. Die gesetzliche Erstattungspflicht nach § 675u BGB gilt unabhängig davon, wie überzeugend die Phishing-Attacke gestaltet war. Die Bank kann sich nur dann entlasten, wenn sie beweist, dass der Kunde grob fahrlässig gehandelt oder die Freigabe tatsächlich selbst erteilt hat.
Was gilt konkret als grobe Fahrlässigkeit beim BestSign-Missbrauch?
Grobe Fahrlässigkeit setzt einen besonders schwerwiegenden Sorgfaltspflichtverstoß voraus. Das bloße Öffnen einer täuschend echten Phishing-Nachricht oder die Reaktion auf einen gespooften Bankanruf reicht dafür nach verbreiteter Auffassung in der Rechtsprechung nicht aus. Relevant werden kann grobe Fahrlässigkeit, wenn der Betroffene ausdrückliche Warnhinweise in der BestSign-App ignoriert oder seine vollständigen Zugangsdaten auf ausdrückliche Aufforderung weitergegeben hat.
Wo Sie genauer hinschauen sollten
Wie in Abschnitt 3 dargelegt, trägt die Bank für diesen Nachweis die volle Beweislast nach § 675w BGB.
Was passiert, wenn die 13-Monats-Frist bereits abgelaufen ist?
Ist die Ausschlussfrist nach § 675j Abs. 2 BGB verstrichen, entfällt der Erstattungsanspruch aus § 675u BGB. Weitergehende Schadensersatzansprüche, etwa aus §§ 675z, 280 BGB, können unter der dreijährigen Regelverjährung nach §§ 195, 199 BGB noch bestehen, sofern der Schaden noch nicht verjährt ist. Diese Ansprüche setzen jedoch einen anderen Haftungsmaßstab voraus und sind im Einzelfall zu prüfen.
Lohnt sich eine Strafanzeige bei der Polizei?
Ja, aus mehreren Gründen. Die Strafanzeige sichert Beweismittel, die für das zivilrechtliche Erstattungsverfahren nützlich sein können. Außerdem dokumentiert sie, dass Dritte und nicht der Kontoinhaber selbst die Freigaben veranlasst haben, was im Streit um grobe Fahrlässigkeit entlastend wirken kann. Ermittlungsergebnisse können zudem bei der Aufklärung des Tatmusters gegenüber der Bank helfen.
Welche Belege und Nachweise brauche ich für den Erstattungsantrag?
Wichtig sind: Kontoauszüge mit den streitigen Buchungen, Kopien der Phishing-Nachricht oder des Phishing-Links, Dokumentation von App-Benachrichtigungen und BestSign-Aktivierungen auf fremden Geräten, Screenshots aus der BestSign-App, die Eingangsbestätigung der Sperrmeldung sowie die gesamte Korrespondenz mit der Postbank. Je vollständiger die Dokumentation, desto schwieriger wird es für die Bank, den Nachweis grober Fahrlässigkeit nach § 675w BGB zu führen.
In der weiteren Prüfung taucht daneben häufig Fake-Kundenservice beim Phishing auf.
Fazit: Phishing-Schaden bei der Postbank ist oft erstattungsfähig
Das BestSign-Protokoll belegt, dass ein technischer Vorgang stattgefunden hat. Es belegt nicht, dass der Kontoinhaber ihn autorisiert hat, und es belegt nicht, dass er grob fahrlässig gehandelt hat. Darin liegt das juristische Kernargument für Betroffene, auf das sich alle in diesem Artikel dargestellten Ansprüche stützen.
Welche Prüfung jetzt sinnvoll ist
Das Gesetz stellt nach §§ 675u und 675w BGB hohe Anforderungen an die Bank, bevor sie die Haftung auf den Kunden verlagern kann. Die absolute 13-Monats-Frist macht die unverzügliche schriftliche Meldung zur vorrangigen Maßnahme, noch vor jeder inhaltlichen Auseinandersetzung. Ein Ablehnungsschreiben der Bank ist kein Endurteil, sondern der Beginn der rechtlichen Auseinandersetzung. Wer den Anspruch rechtlich einordnen lässt, ist im Erstattungsstreit wesentlich besser aufgestellt.
Was in Schritt 12 zählt
Melden Sie sich bei KWAG Rechtsanwälte, wenn die Postbank Ihre Erstattung nach einem Phishing-Angriff über BestSign verweigert oder verzögert. Wir prüfen, ob ein Erstattungsanspruch besteht.
Rechtliche Einschätzung anfragenRechtsquellen zur Einordnung
Jan-Henning Ahrens
Jan-Henning Ahrens und KWAG Rechtsanwälte beraten Mandanten insbesondere im Bankrecht, Kapitalmarktrecht, bei Anlage- und Internetbetrug sowie in wirtschaftsrechtlichen Streitigkeiten.
Mehr über die Kanzlei
