Was tun, wenn die Bank TAN-Betrug nicht erstattet?

Die Reaktion des Instituts folgt einem bekannten Muster: korrekt protokollierte Zugangsdaten, eine gültige TAN, der Vorgang sei autorisiert, der Fall abgeschlossen. Wer diese Ablehnung widerspruchslos hinnimmt, verschenkt einen gesetzlich verankerten Erstattungsanspruch. Das rechtliche Fundament liefern die Paragraphen zum Zahlungsdiensterecht im BGB, und sie sprechen klarer, als viele Bankschreiben vermuten lassen.

Bevor wir die taktischen Schritte im Umgang mit einer Bankablehnung besprechen, lohnt es sich, das gesetzliche Fundament genau zu verstehen. Was das Gesetz hier vorschreibt, ist eindeutiger als viele Ablehnungsschreiben erscheinen lassen.

§ 675u BGB stellt den zentralen Grundsatz klar: Beim nicht autorisierten Zahlungsvorgang entfällt der Aufwendungsersatzanspruch der Bank. Sie ist verpflichtet, den Betrag unverzüglich zu erstatten und das Konto so zu stellen, als hätte der Vorgang nie stattgefunden. Das klingt eindeutig, aber in der Praxis hängt alles an einer einzigen Frage: Was gilt rechtlich überhaupt als autorisiert?

§ 675j BGB bestimmt, dass ein Zahlungsvorgang nur dann wirksam ist, wenn der Zahler zugestimmt hat. Fehlt diese Zustimmung, liegt ein nicht autorisierter Vorgang im Sinne von § 675u BGB vor. § 675w BGB regelt die Beweislast zu Ihren Gunsten: Die Bank muss nachweisen, dass der Vorgang ordnungsgemäß authentifiziert und fehlerfrei aufgezeichnet war. Nicht Sie müssen das Fehlen der Zustimmung belegen, sondern die Bank muss das Gegenteil beweisen.

§ 675l BGB benennt Ihre Pflichten als Zahlungsdienstnutzer: Personalisierte Sicherheitsmerkmale wie PIN und TAN sind zu schützen, und bei unbefugter Nutzung ist die Bank unverzüglich zu informieren. § 675v BGB begrenzt Ihre Haftung grundsätzlich auf 50 Euro, hebt diese Grenze aber bei grober Fahrlässigkeit oder Vorsatz vollständig auf. Ob das im konkreten Fall vorliegt, muss die Bank nachweisen. Damit ist der Rahmen gesetzt.

Was dieser Rahmen für eine TAN bedeutet, die nicht freiwillig, sondern durch Täuschung preisgegeben wurde, klärt der nächste Abschnitt.

Doch was bedeutet das konkret, wenn eine TAN nicht durch einen bewussten Zahlungsauftrag, sondern durch eine gefälschte Bankseite erschlichen wurde?

§ 675j BGB setzt einen echten Willensakt des Zahlers voraus. Wer eine TAN eingibt, weil ihn eine täuschend echte Phishing-Mail in die Irre geführt hat, hat in rechtlichem Sinne keinen wirksamen Zahlungsauftrag erteilt. Die durch Täuschung erschlichene Eingabe ersetzt keine Zustimmung, unabhängig davon, ob die TAN technisch korrekt war und im Banksystem ordnungsgemäß protokolliert wurde.

Worauf es jetzt ankommt

Der entscheidende Unterschied liegt nicht in der Korrektheit der TAN, sondern im Fehlen eines konkreten, vom Kunden initiierten Zahlungsdialogs.

Entscheidend ist dabei das Prinzip des Dynamic Linking nach Art. 97 PSD2 und der Delegierten Verordnung (EU) 2018/389: Eine starke Kundenauthentifizierung muss Betrag und Empfängerkonto dynamisch mit der TAN verknüpfen. Bei einem klassischen Phishing-Angriff existiert kein laufender Zahlungsdialog. Die TAN wird isoliert abgefragt, ohne dass ein konkreter Überweisungsauftrag des Kunden vorliegt. Diese fehlende Verknüpfung belegt, dass keine wirksame Autorisierung nach PSD2-Standard stattfand.

Was für die Einordnung zählt

Die Bank führt in solchen Fällen häufig den Anscheinsbeweis ins Feld: Eine protokollierte TAN-Eingabe gilt prima facie als Zustimmung. Dieser Anscheinsbeweis lässt sich erschüttern, wenn der Betrugsablauf konkret geschildert und eine Strafanzeige erstattet wird. Die Bank muss dann den vollen Gegenbeweis erbringen. Wie sie dabei typischerweise argumentiert und welches Gegenargument rechtlich greift, zeigt der nächste Abschnitt.

Genau hier setzt das Standard-Argument der Banken an: Sie berufen sich auf § 675v Abs. 3 BGB und erklären den Fall für abgeschlossen. Der nächste Schritt hängt oft davon ab, wie Phishing-Schäden bei Bankkunden einzuordnen ist.

Zurück zur Selbstständigen aus unserem Praxisfall. Ihr Ablehnungsschreiben ist juristisch präzise formuliert: Die TAN sei korrekt eingegeben worden, sie habe ihre Sorgfaltspflichten nach § 675l BGB verletzt und grob fahrlässig gehandelt, weshalb der gesamte Schaden nach § 675v Abs. 3 BGB vollständig bei ihr verbleibe. Sie steht mit leerem Konto vor einer scheinbar verschlossenen Tür.

Was Sie als Nächstes prüfen sollten

Doch diese Tür lässt sich öffnen, weil das Bankschreiben die Beweislastverteilung nach § 675w BGB außer Acht lässt.

Was für den nächsten Schritt zählt

Grobe Fahrlässigkeit setzt voraus, dass die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt wurde. Das ist eine hohe Schwelle. Nicht jede TAN-Eingabe nach einer überzeugend gestalteten Phishing-Mail erfüllt diesen Tatbestand automatisch. Der BGH hat in seiner Entscheidung XI ZR 91/14 klargestellt, unter welchen Umständen der Anscheinsbeweis bei Missbrauch eines Zahlungsinstruments erschüttert werden kann.

Welche Unterlagen jetzt zählen

In der Instanzrechtsprechung wird einer professionell gestalteten Phishing-Mail, die keine offensichtlichen Warnzeichen trägt, keine zwingende grobe Fahrlässigkeit zugerechnet.

Wo die Frist praktisch beginnt

In der Rechtsprechung wurden TANs, die telefonisch an angebliche Bankmitarbeiter weitergegeben wurden, regelmäßig als grob fahrlässig eingestuft, weil Banken ausdrücklich darauf hinweisen, niemals telefonisch nach einer TAN zu fragen. Gleiches gilt für die Eingabe auf Seiten mit erkennbaren Sicherheitsmängeln. Anders sieht es aus, wenn die Phishing-Seite technisch perfekt nachgebaut war und kein erkennbarer Anlass bestand, an ihrer Echtheit zu zweifeln. Der konkrete Sachverhalt entscheidet.

Was jetzt praktisch wichtig ist

Ein weiterer Schwachpunkt auf Bankseite: Wenn das Institut kein Dynamic Linking nach PSD2 implementiert hatte, kann es sich nicht auf eine ordnungsgemäße starke Kundenauthentifizierung berufen. Das stärkt die Gegenposition des Kunden erheblich. Damit ist die inhaltliche Auseinandersetzung vorbereitet. Bevor diese Argumente jedoch wirksam werden können, muss eine entscheidende Frist eingehalten sein.

Auf dieser Grundlage ist der nächste Schritt klar: Alle inhaltlichen Argumente greifen ins Leere, wenn die Anzeigefrist versäumt wurde. In der weiteren Prüfung taucht daneben häufig Phishing bei Senioren auf.

Der Fristbeginn richtet sich nach dem Tag, an dem Ihr Konto belastet wurde. Kontoauszug und Buchungsdatum sind deshalb von Anfang an zu sichern, und das Datum der schriftlichen Anzeige gegenüber der Bank ist zu dokumentieren. Neben der 13-Monats-Frist gilt die dreijährige Regelverjährung nach §§ 195, 199 BGB.

Worauf Sie im Alltag achten sollten

Diese Frist beginnt mit dem Schluss des Jahres, in dem der Anspruch entstanden ist und Sie davon Kenntnis erlangt haben. Sie wird relevant, wenn die Bank weiterhin ablehnt und eine gerichtliche Geltendmachung erforderlich wird.

Die Kombination beider Fristen macht rasches Handeln unerlässlich: Die 13-Monats-Frist nach § 676b BGB sichert den Anspruch dem Grunde nach. Die dreijährige Verjährungsfrist gibt dann mehr Spielraum, ihn juristisch durchzusetzen, wenn eine erste Ablehnung nicht das letzte Wort war. Im nächsten Schritt geht es darum, beide Fristen durch konkrete Handlungen zu wahren und den Erstattungsanspruch wirksam geltend zu machen.

Im nächsten Schritt gilt es, aus dem rechtlichen Rahmen konkrete Maßnahmen abzuleiten. Die Selbstständige aus unserem Praxisfall entscheidet sich für eine anwaltliche Prüfung. Die Analyse ergibt: Der Phishing-Angriff wies täuschend echte Merkmale auf, das Dynamic Linking fehlte nachweisbar, und der Anscheinsbeweis der Bank war erschütterbar. Sie erstattet Strafanzeige, das Aktenzeichen wird festgehalten.

Für die praktische Planung kann Identitätsdiebstahl nach Phishing entscheidend werden.

Was danach entscheidend wird

Dann folgt eine schriftliche Erstattungsforderung an die Bank mit präzisem Hinweis auf § 675u BGB und die Beweislastverteilung nach § 675w BGB sowie einer 14-Tage-Frist zur Zahlung. Die anwaltliche Fristsetzung führt zur Erstattung. Das ist die Auflösung, die ohne strukturiertes Vorgehen nicht zustande kommt.

Wo Sie genauer hinschauen sollten

Wer nach einer Bankablehnung selbst handeln will, sollte folgende Schritte konsequent und in dieser Reihenfolge umsetzen:

Welche Prüfung jetzt sinnvoll ist

Je früher diese Schritte umgesetzt werden, desto stärker ist die Ausgangsposition. Schriftliche Kommunikation mit der Bank schafft Beweissicherung für den Fall, dass das Verfahren eskaliert. Telefonische Auskünfte sind ohne Beweiswert. Wer den Erstattungsanspruch mit Bezug auf § 675w BGB und die Beweislastverteilung schriftlich erhebt, zwingt die Bank, inhaltlich zu antworten. Ob ein Ombudsmannverfahren oder eine Klage folgen muss, hängt vom Ergebnis dieser Auseinandersetzung ab.

Anders sieht es aus, wenn nach der ersten Ablehnung weitere Fragen offen bleiben. Die folgenden Antworten orientieren sich an den häufigsten Situationen, die Betroffene nach einem TAN-Betrug schildern. Der nächste Schritt hängt oft davon ab, wie gefälschte Onlinebanking-Loginseite einzuordnen ist.

Muss ich den Schaden vollständig selbst tragen, weil ich die TAN eingegeben habe?

Nein, nicht automatisch. Die TAN-Eingabe allein beweist noch keine Zustimmung im Sinne von § 675j BGB und erst recht keine grobe Fahrlässigkeit nach § 675v Abs. 3 BGB. Die Beweislast liegt nach § 675w BGB bei der Bank. Ob grobe Fahrlässigkeit vorliegt, hängt vom konkreten Sachverhalt ab, insbesondere davon, wie überzeugend die Phishing-Seite gestaltet war und ob erkennbare Warnsignale vorlagen, die übergangen wurden.

Was ändert sich, wenn ich auf den Phishing-Link geklickt habe?

Der bloße Klick auf einen Link in einer Phishing-Mail begründet für sich allein noch keine grobe Fahrlässigkeit. Entscheidend ist, was auf der verlinkten Seite eingegeben wurde und ob diese bei sorgfältiger Betrachtung als gefälscht erkennbar war.

Wer auf einer täuschend echten Seite TAN und Zugangsdaten eingibt, ohne sichtbare Warnzeichen zu übergehen, steht rechtlich anders da als jemand, der trotz aktiver Sicherheitswarnungen des Browsers fortgefahren ist.

Hilft eine Strafanzeige bei der Polizei rechtlich weiter?

Ja, auf zwei Ebenen. Die Strafanzeige dokumentiert den Sachverhalt urkundlich mit einem Aktenzeichen, das Sie in der Auseinandersetzung mit der Bank belegen können. Zudem erschüttert eine detaillierte Schilderung des Betrugsablaufs den Anscheinsbeweis der Bank, der auf der protokollierten TAN-Eingabe beruht. Das Aktenzeichen ist in der schriftlichen Erstattungsforderung an die Bank ausdrücklich zu nennen.

Zahlt meine Hausratsversicherung bei Phishing-Schäden?

Das hängt von den konkreten Versicherungsbedingungen ab. Manche Hausratsversicherungen schließen Phishing-Schäden unter dem Stichwort "Cyberschäden" oder "Online-Banking-Betrug" ausdrücklich ein, andere nicht. Der zivilrechtliche Anspruch gegen die Bank nach § 675u BGB und ein möglicher Versicherungsanspruch schließen sich nicht gegenseitig aus, können aber zu Fragen der Vorteilsanrechnung führen, die anwaltlich zu klären sind.

Daraus folgt ein klares Bild: Wer nach einem TAN-Betrug von der Bank mit dem Pauschalverweis auf eigene Fahrlässigkeit abgewiesen wird, sollte dieses Ergebnis nicht als endgültig akzeptieren. In der weiteren Prüfung taucht daneben häufig E-Mail-Phishing mit gefälschter Rechnung auf.

Was in Schritt 12 zählt

Das Zahlungsdiensterecht gibt dem Kunden mit § 675u BGB ein klares Instrument. Die Beweislast liegt nach § 675w BGB bei der Bank. Grobe Fahrlässigkeit nach § 675v Abs. 3 BGB muss konkret und individuell nachgewiesen werden, ein pauschaler Verweis auf die TAN-Eingabe reicht dafür nicht aus. Die 13-Monats-Frist nach § 676b BGB ist in jedem Fall einzuhalten. Phishing-Betrug ist kein Sorgfaltsfehler des Opfers, sondern ein gezielter krimineller Angriff.

Das Gesetz trägt dieser Realität Rechnung, wenn die Normen konsequent angewendet werden.

Rechtsrahmen

Rechtsquellen zur Einordnung

1. § 675u BGB
2. § 675w BGB
3. § 675j BGB
4. § 675l BGB
5. § 675v Abs. 3 BGB
6. § 676b BGB
7. XI ZR 91/14

Weitere Orientierung

Anknüpfende Themen

Phishing Aufklärung für Bankkunden mit hohen VerlustenEinordnung zu Phishing, Bankhaftung und der Rueckforderung verlorener Gelder.Weiterlesen →

Hilfe für Senioren nach Phishing BetrugEinordnung zu Phishing, Bankhaftung und der Rueckforderung verlorener Gelder.Weiterlesen →

Identitätsdiebstahl nach Phishing Anwalt BankrechtEinordnung zu Phishing, Bankhaftung und der Rueckforderung verlorener Gelder.Weiterlesen →