Was tun, wenn das Bankkonto nach Phishing gesperrt wird?

Dieses Szenario trifft Menschen unvorbereitet. Phishing-Angriffe sind heute so professionell gestaltet, dass selbst aufmerksame Nutzer täuschend echte Fälschungen nicht auf den ersten Blick erkennen. Das Bürgerliche Gesetzbuch und die europäische Zahlungsdiensterichtlinie PSD2 haben die Rechtslage dennoch klar geregelt: Nicht jede Täuschung durch Kriminelle ist gleichzeitig eine Pflichtverletzung des Opfers.

Dieser Artikel erklärt, welche Normen greifen, was der Erstattungsanspruch konkret umfasst, wann die Bank ihre Haftung tatsächlich ausschließen kann und welche Schritte Ihren Anspruch jetzt sichern.

Bevor wir die konkreten Erstattungsvoraussetzungen besprechen, lohnt ein Blick auf das gesetzliche Fundament -- denn es zeigt, dass der Gesetzgeber Phishing-Opfer nicht schutzlos gestellt hat. Das Zahlungsdiensterecht der §§ 675c ff. BGB bildet ein geschlossenes Haftungssystem, das Verbraucherrechte ausdrücklich stärkt und die Beweislast bewusst zulasten der Banken verschiebt.

Die weiteren zentralen Normen im Überblick

Der Gesetzgeber hat die Haftungsverteilung zwischen Bank und Kontoinhaber präzise geregelt:

• ◆§ 675j BGB: Ein Zahlungsvorgang gilt nur als autorisiert, wenn der Kontoinhaber ausdrücklich zugestimmt hat. Wer durch Täuschung zur TAN-Eingabe verleitet wurde, hat im Rechtssinne nicht zugestimmt.

• ◆§ 675v BGB: Eigenhaftung des Kontoinhabers tritt nur bei Vorsatz oder grober Fahrlässigkeit ein, nicht bei einfacher Fahrlässigkeit.

• ◆§ 675w BGB: Die Beweislast liegt bei der Bank. Sie muss nachweisen, dass der Zahlungsvorgang ordnungsgemäß autorisiert wurde.

• ◆§ 675l BGB: Der Kontoinhaber muss nicht autorisierte Buchungen unverzüglich melden.

• ◆§ 675k BGB: Die Bank ist berechtigt und verpflichtet, Zahlungsinstrumente bei Missbrauchsverdacht zu sperren.

Die europäische Zahlungsdiensterichtlinie PSD2 (Art. 73 und 74) bildet den Rahmen dieser nationalen Normen. Sie verpflichtet Zahlungsdienstleister EU-weit zur Erstattung und legt die Beweislast ausdrücklich beim Institut. Doch was bedeutet das für die betroffene Person in unserem Fallszenario ganz konkret? Genau das zeigt der nächste Abschnitt.

Doch was steht Betroffenen nach einem Phishing-Angriff tatsächlich zu? Der Anspruch aus § 675u BGB ist weitreichend: Die Bank schuldet nicht nur die Rückbuchung des abgebuchten Betrags, sondern die vollständige Wiederherstellung des Kontostands. Konnten Mietzahlung oder Lastschriften wegen des negativen Saldos nicht ausgeführt werden, können daraus gesondert geltend zu machende Folgeschäden entstehen.

Genau hier wird es kritisch: An diesem Punkt steht die betroffene Person aus unserem Fallszenario -- die schriftliche Ablehnung der Bank beruft sich pauschal auf grobe Fahrlässigkeit nach § 675v BGB. Die gesperrten Mittel fehlen für Miete und laufende Abbuchungen. Was viele nicht wissen: Eine solche Ablehnung ist keine finale Rechtsentscheidung, sondern eine Behauptung, die die Bank nach § 675w BGB selbst belegen muss.

Wann entfällt die Erstattungspflicht?

Grobe Fahrlässigkeit liegt vor, wenn jemand die erforderliche Sorgfalt in besonders schwerem Maß verletzt. Gerichte haben in zahlreichen Entscheidungen zu Onlinebanking-Fällen klargestellt: Das Hereinfallen auf professionell gestaltete Phishing-Mails mit echtem Banklogo stellt nicht per se grobe Fahrlässigkeit dar.

Praktisch heißt das: Der nächste Schritt sollte nicht aus Bauchgefühl entstehen, sondern aus Akte, Frist und belegbarem Pflegealltag. Prüfen Sie erst, welche Unterlagen wirklich vorliegen, welche Erklärung fehlt und ob die Belastung nur ungewohnt wirkt oder tatsächlich nicht zum Vertrag passt. So bleibt der Artikel lesbar und die Entscheidung belastbar.

Im nächsten Schritt geht es darum, den Anspruch aktiv zu sichern -- denn nach einem Phishing-Angriff zählt jede Stunde. Die folgenden Maßnahmen stärken die Beweisposition gegenüber der Bank und verhindern, dass Fristversäumnisse den Erstattungsanspruch gefährden. Der nächste Schritt hängt oft davon ab, wie Phishing-Schäden bei Bankkunden einzuordnen ist.

Bevor Sie die nächsten Schritte prüfen

Wichtig ist zuerst die Einordnung, welche Entscheidung, Frist oder Forderung tatsächlich betroffen ist. Erst danach sollte die praktische Checkliste abgearbeitet werden. Legen Sie Unterlagen, Fristen und die bisherige Kommunikation zusammen, bevor Sie den nächsten Schritt festlegen.

Die Beweislast in der Praxis

Anders sieht es aus, als viele Betroffene zunächst vermuten: Nicht der Kontoinhaber muss beweisen, kein Risiko eingegangen zu sein. Nach § 675w BGB muss die Bank nachweisen, dass der Zahlungsvorgang ordnungsgemäß autorisiert und authentifiziert wurde. Gelingt dieser Nachweis nicht, greift der Erstattungsanspruch.

In der Praxis versuchen Banken diesen Nachweis über Protokolldaten zu führen: Log-Dateien, IP-Adressen, TAN-Eingaben. Diese technischen Daten belegen jedoch nur, dass eine TAN eingegeben wurde -- nicht dass der Kontoinhaber dies wissentlich und ohne Täuschung getan hat.

Auf dieser Grundlage -- der klaren Beweislastverteilung nach § 675w BGB und dem gesicherten Anspruch aus § 675u BGB -- lässt sich die Durchsetzung strukturiert angehen. Der erste Schritt ist die schriftliche Geltendmachung mit konkreter Fristsetzung. Verweigert die Bank die Erstattung weiterhin, stehen mehrere Wege offen. In der weiteren Prüfung taucht daneben häufig Phishing bei Senioren auf.

Schlichtungsverfahren als vorgerichtliche Option

Vor einer Klage lohnt häufig die Einschaltung der zuständigen Schlichtungsstelle. Die Bank ist zur Mitwirkung verpflichtet. Ein Schlichtungsspruch bindet sie zwar nicht automatisch, erzeugt aber erheblichen Einigungsdruck und ist oft der schnellste Weg zu einer Einigung.

Gerichtliche Durchsetzung

Wird außergerichtlich keine Einigung erzielt, ist der Klageweg offen. Bei Streitwerten bis 5.000 Euro ist das Amtsgericht zuständig, darüber das Landgericht. Die Erfolgsaussichten hängen davon ab, ob die Bank nach § 675w BGB den Nachweis ordnungsgemäßer Autorisierung erbringen kann.

Daraus folgt eine wichtige praktische Konsequenz: Die anwaltliche Prüfung des Sachverhalts zeigt in Fällen wie dem beschriebenen regelmäßig, dass sich die Verhandlungsposition erheblich verändert, sobald klar wird, welche Protokolldaten die Bank tatsächlich besitzt und was diese technisch belegen. Die schriftliche Ablehnung der Bank ist nicht das Ende, sondern der Ausgangspunkt einer rechtlichen Prüfung.

Worauf es jetzt ankommt

Je nach Institutstyp gibt es unterschiedliche Anlaufstellen: Ombudsmann der privaten Banken für Privatbanken, Sparkassen-Schlichtungsstelle des jeweiligen Regionalverbands für Sparkassen, Ombudsmann des BVR für Genossenschaftsbanken. Bei Direktbanken ist die BaFin-Verbraucherhotline oder die Schlichtungsstelle des Mutterverbands zuständig.

Bevor wir zum Fallabschluss kommen, lohnt ein Blick auf die verschiedenen Angriffsmethoden -- denn Gerichte differenzieren nach dem Grad der Täuschung, weil er unmittelbaren Einfluss auf die Fahrlässigkeitsbeurteilung hat. Für die praktische Planung kann Identitätsdiebstahl nach Phishing entscheidend werden.

Klassisches E-Mail-Phishing

Bei Phishing-Mails mit erkennbaren Grammatikfehlern oder falschen Absenderadressen kann ein Gericht eher leichte Fahrlässigkeit annehmen. Entscheidend ist, ob die Nachricht offensichtliche Fälschungsmerkmale aufwies, die ein aufmerksamer Nutzer hätte erkennen müssen.

Spear-Phishing und Social Engineering

Das bedeutet für professionell gestaltete, personalisierte Angriffe: Je gezielter die Täuschung durch persönliche Kontodaten oder einen Telefonanruf einer vermeintlichen Bankmitarbeiterin erfolgte, desto seltener sprechen Gerichte von grober Fahrlässigkeit. Der Grad der kriminellen Professionalität wirkt sich direkt auf das dem Opfer zurechenbare Verschulden aus.

Technisch komplexe Angriffe und SIM-Swapping

Wurde die SIM-Karte durch Manipulation beim Mobilfunkanbieter übernommen, um TAN-SMS abzufangen, trifft den Kontoinhaber kein Verschulden. In diesen Fällen kommen zusätzlich deliktische Ansprüche gegen die Täter in Betracht.

„Der bloße Nachweis einer erfolgten TAN-Eingabe genügt nach § 675w BGB nicht, um eine ordnungsgemäße Autorisierung zu belegen, wenn der Nutzer durch professionelle Täuschung zur Eingabe verleitet wurde."

Eine Kontosperrung nach § 675k BGB darf nicht dauerhaft aufrechterhalten werden. Die Bank muss den Kontoinhaber unverzüglich über Sperrung und Gründe informieren und das Konto entsperren, sobald die Sicherheitsbedenken ausgeräumt sind. Hält sie die Sperre aufrecht, obwohl der Betrugsfall bei den Strafverfolgungsbehörden gemeldet und keine eigene Pflichtverletzung festgestellt wurde, kann die Maßnahme unverhältnismäßig sein.

Der nächste Schritt hängt oft davon ab, wie E-Mail-Phishing mit gefälschter Rechnung einzuordnen ist.

Überbrückung bei gesperrtem Konto

Während das Hauptkonto gesperrt ist, besteht das Recht auf Eröffnung eines Basiskontos bei einem anderen Kreditinstitut. Das Zahlungskontengesetz (ZKG) begründet dieses Recht; die Eröffnung darf nicht allein wegen einer laufenden Schadensstreitigkeit mit einer anderen Bank verweigert werden.

Die betroffene Person aus unserem Ausgangsszenario steht jetzt an einem anderen Punkt als zu Beginn: Die Bank hat die Erstattung schriftlich abgelehnt, die Mittel fehlen, und der finanzielle Druck wächst. Die rechtliche Ausgangslage ist jedoch klar. Das BGB hat mit §§ 675u, 675v und 675w ein strukturiertes Schutzinstrument geschaffen: vollständige Erstattungspflicht der Bank, Beweislast beim Institut, enger Ausnahmekatalog für grobe Fahrlässigkeit.

In der weiteren Prüfung taucht daneben häufig Fake-Kundenservice beim Phishing auf.

Auf dieser Grundlage ist die schriftliche Bankablehnung kein Endurteil, sondern der Ausgangspunkt einer anwaltlichen Prüfung. Wer unverzüglich gehandelt, Strafanzeige erstattet und alle Belege gesichert hat, steht rechtlich deutlich stärker da, als die erste Reaktion der Bank vermuten lässt.

Was für die Einordnung zählt

Die Auflösung für die betroffene Person lautet: Erstattungsanspruch besteht dem Grunde nach, die Bank trägt die Beweislast für die ordnungsgemäße Autorisierung -- und wer diesen Anspruch vor Fristablauf konsequent geltend macht, hat gute Aussichten auf vollständige Rückbuchung.

Was Sie als Nächstes prüfen sollten

Rechtsrahmen

Rechtsquellen zur Einordnung

1. § 675u BGB
2. § 675w BGB
3. § 675j BGB
4. § 675k BGB
5. § 675l BGB
6. § 675v Abs. 3 BGB

Weitere Orientierung

Anknüpfende Themen

Phishing Aufklärung für Bankkunden mit hohen VerlustenEinordnung zu Phishing, Bankhaftung und der Rueckforderung verlorener Gelder.Weiterlesen →

Hilfe für Senioren nach Phishing BetrugEinordnung zu Phishing, Bankhaftung und der Rueckforderung verlorener Gelder.Weiterlesen →

Identitätsdiebstahl nach Phishing Anwalt BankrechtEinordnung zu Phishing, Bankhaftung und der Rueckforderung verlorener Gelder.Weiterlesen →