Wie Geld nach Direktbank-Phishing zurückfordern?

Phishing-Angriffe auf Direktbankkonten folgen einem erkennbaren Muster: gefälschte Nachricht, täuschend echte Eingabemaske, abgegriffene Zugangsdaten. Das Ergebnis ist in vielen Fällen das gleiche - das Konto ist leer, und die Bank verweigert zunächst die Rückbuchung. Doch der gesetzliche Anspruch auf Erstattung besteht in den meisten Fällen von Anfang an. Entscheidend ist, wie schnell Betroffene reagieren und ob die Bank ihnen grobe Fahrlässigkeit tatsächlich nachweisen kann.

Was genau hinter diesem gesetzlichen Anspruch steckt, zeigt ein Blick auf die zentralen Normen des Bürgerlichen Gesetzbuchs.

Bevor wir die einzelnen Phishing-Szenarien und ihre Haftungsfolgen betrachten, lohnt es sich, das gesetzliche Fundament zu verstehen, auf dem der Erstattungsanspruch ruht. Denn ohne dieses Grundverständnis wirken Ablehnungsschreiben der Bank weit überzeugender, als sie rechtlich sein dürfen.

Vier Normen bilden das gesetzliche Gerüst: § 675u BGB verpflichtet das Institut zur unverzüglichen Erstattung. § 675j BGB definiert, was Autorisierung bedeutet und warum eine unter Täuschung eingegebene TAN keine wirksame Zustimmung darstellt. § 675v BGB regelt die Haftungsverteilung nach Verschuldensgrad. Und § 675w BGB stellt klar, dass die bloße Aufzeichnung eines Zahlungsvorgangs noch keinen Beweis für eine ordnungsgemäße Autorisierung liefert.

Diese vier Normen zusammen bilden die Grundlage, auf der Betroffene ihren Anspruch aufbauen können.

Was "autorisiert" bedeutet und warum Phishing-TANs nicht zählen

Autorisierung im Sinne des § 675j BGB setzt voraus, dass der Kontoinhaber dem Zahlungsvorgang wirksam zugestimmt hat. Wer auf einer gefälschten Bankseite seine Zugangsdaten eingibt oder am Telefon eine TAN an einen vermeintlichen Bankmitarbeiter weitergibt, erteilt diese Zustimmung nicht. Die Täuschung macht die scheinbare Zustimmung unwirksam, sodass die Überweisung als nicht autorisierter Zahlungsvorgang im Sinne des Gesetzes gilt.

Dieser Grundsatz ist die entscheidende Weichenstellung für den gesamten Erstattungsanspruch, und er unterscheidet den Phishing-Fall grundlegend von einer versehentlichen Falschüberweisung durch den Kontoinhaber selbst.

Worauf es jetzt ankommt

§ 675w BGB stärkt die Beweisposition der Betroffenen zusätzlich: Dass eine Zahlung technisch korrekt aufgezeichnet wurde, reicht nicht als Nachweis dafür, dass sie autorisiert war. Die Bank muss über einen Serverlog oder ein Authentifizierungsprotokoll hinaus belegen, dass eine echte, informierte Zustimmung des Kontoinhabers vorlag.

Wie § 675v BGB die Haftung verteilt

§ 675v BGB regelt die Haftungsverteilung in drei Stufen: Ohne Verschulden des Kunden haftet das Institut vollständig. Bei leichter Fahrlässigkeit ist die Eigenhaftung des Kunden auf maximal 50 Euro begrenzt. Nur bei grober Fahrlässigkeit oder Vorsatz trägt der Kunde den vollen Schaden. Die entscheidende Konsequenz aus § 675v Abs. 3 BGB: Das Zahlungsinstitut muss beweisen, dass der Kunde grob fahrlässig gehandelt hat.

Was für die Einordnung zählt

Dieser Nachweis ist in der Praxis häufig erheblich schwieriger zu führen, als Standardablehnungsschreiben vermuten lassen.

Was für den nächsten Schritt zählt

Doch was bedeutet das konkret, wenn Phishing-Angriffe in verschiedenen Formen auftreten und die Frage nach der Haftung von Szenario zu Szenario unterschiedlich beantwortet wird?

Genau hier trennt sich entscheidend, ob die Direktbank erstattet oder ablehnt. Denn nicht jedes Phishing-Szenario wird rechtlich gleich bewertet, und die Qualität der Täuschung spielt eine erhebliche Rolle bei der Frage, ob grobe Fahrlässigkeit vorliegt.

Welche Unterlagen jetzt zählen

Das Szenario aus unserem Praxisfall verbindet gleich zwei dieser Konstellationen: zunächst die täuschend echte Phishing-E-Mail mit Weiterleitung auf eine gefälschte Eingabemaske, dann den Fake-Anruf mit psychologischem Druck zur TAN-Herausgabe. Dass jemand einer solchen kombinierten Inszenierung erliegt, begründet nach der Rechtsprechung nicht automatisch den Vorwurf grober Fahrlässigkeit.

Quishing: Der QR-Code als neues Phishing-Werkzeug

Neben klassischen E-Mail-Links setzen Täter zunehmend auf QR-Codes in gefälschten Briefen oder Nachrichten, ein Verfahren das unter dem Begriff "Quishing" bekannt ist. Die betroffene Person wird auf eine täuschend echte Seite geleitet und gibt dort Zugangsdaten ein. Für die rechtliche Bewertung ändert das Übertragungsmedium nichts: § 675u BGB gilt unabhängig davon, ob der Angriff per Link, QR-Code oder Telefonanruf erfolgte.

Wie die Bank auf solche Fälle typischerweise reagiert und warum diese Reaktion rechtlich in vielen Fällen angreifbar ist, zeigt das folgende Kapitel.

Doch was passiert in der Praxis, wenn Betroffene den Schaden melden? Die Ablehnung kommt oft per Standardschreiben: Das Institut behauptet, der Kunde habe die TAN weitergegeben und damit grob fahrlässig gegen seine Sicherheitspflichten verstoßen. Der Erstattungsanspruch sei damit verwirkt. Das Schreiben klingt endgültig. Ist es rechtlich aber nicht.

Der nächste Schritt hängt oft davon ab, wie TAN-Betrug nach Phishing einzuordnen ist.

Was Sie als Nächstes prüfen sollten

Genau an diesem Punkt befand sich die Betroffene aus unserem Praxisfall wenige Tage nach dem Angriff. Sie erhielt ein Schreiben ihrer Direktbank, das auf die Weitergabe der TAN verwies und eine Erstattung des vollständigen Schadens verweigerte. Die Erschütterung war erheblich: Das Geld war weg, und nun schob das Institut die Verantwortung auf sie zurück, obwohl sie selbst Opfer einer professionell inszenierten Täuschung geworden war.

Wo die Frist praktisch beginnt

Der Vorwurf der groben Fahrlässigkeit traf sie doppelt, und das Gefühl, für den Schaden eines Verbrechens mitverantwortlich gemacht zu werden, war schwer zu ertragen.

Warum der Vorwurf häufig nicht trägt

Grobe Fahrlässigkeit im Sinne des § 675v BGB setzt voraus, dass der Betroffene die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt hat. Das ist ein hoher Maßstab.

Was jetzt praktisch wichtig ist

Ob eine Phishing-E-Mail technisch erkennbar gefälscht war, ob der Anruf eindeutige Warnsignale enthielt, ob die imitierte Website erkennbare Sicherheitsmängel zeigte: All das sind Fragen, die Gerichte im Einzelfall prüfen und die nicht pauschal zugunsten der Bank entschieden werden dürfen. Eine professionell gefälschte Phishing-Mail mit gleicher Absenderadresse, gleichem Layout und gleichem Ton wie echte Bankbenachrichtigungen lässt sich kaum als grob fahrlässig übersehen einordnen.

Die Beweislastverteilung macht einen wesentlichen Unterschied: Nicht der Kontoinhaber muss nachweisen, dass er keine grobe Fahrlässigkeit begangen hat. Das Zahlungsinstitut muss das Gegenteil belegen.

Bevor Sie die nächsten Schritte prüfen

Wichtig ist zuerst die Einordnung, welche Entscheidung, Frist oder Forderung tatsächlich betroffen ist. Erst danach sollte die praktische Checkliste abgearbeitet werden. Legen Sie Unterlagen, Fristen und die bisherige Kommunikation zusammen, bevor Sie den nächsten Schritt festlegen.

Eine pauschale Ablehnung mit Verweis auf die Nutzung einer TAN oder App-Freigabe reicht rechtlich nicht aus. Im nächsten Schritt geht es darum, was Betroffene unmittelbar nach einem Phishing-Angriff tun müssen, um diesen Anspruch zu sichern und die Fristen nicht zu versäumen.

Im nächsten Schritt geht es nicht um abstrakte Rechtsfragen, sondern um praktisches Handeln, das den Erstattungsanspruch überhaupt erst sichert. Denn selbst wer das Gesetz auf seiner Seite hat, verliert diesen Vorteil, wenn er zu spät reagiert oder die falsche Reihenfolge wählt. In der weiteren Prüfung taucht daneben häufig Phishing bei Senioren auf.

§ 676b BGB setzt eine Ausschlussfrist von 13 Monaten nach dem Belastungsdatum: Wer innerhalb dieser Frist keine Meldung erstattet, verliert den Erstattungsanspruch ersatzlos. Daneben fordert § 675u BGB eine "unverzügliche" Meldung, also die Anzeige so früh wie möglich, nicht erst nach Wochen. Wer mit der Anzeige zögert, riskiert, dass die Bank dieses Zögern später als eigenständige Sorgfaltspflichtverletzung wertet.

Worauf Sie im Alltag achten sollten

Direktbanken wie DKB, ING und N26 verweisen in ihren Nutzungsbedingungen ausdrücklich auf diese Frist und die Pflicht zur unverzüglichen Anzeige.

Schriftform ist kein Detail

Wer den Vorfall nur telefonisch meldet, riskiert, dass die Bank später bestreitet, eine hinreichende Anzeige erhalten zu haben. Alles, was rechtlich relevant ist, muss schriftlich dokumentiert sein, mit Datum und Sendenachweis. Das gilt für die Schadensanzeige ebenso wie für den Widerspruch gegen ein Ablehnungsschreiben.

Bei Direktbanken, die überwiegend digital kommunizieren, empfiehlt sich zusätzlich zur App-Nachricht eine E-Mail an den Kundenservice mit dem ausdrücklichen Betreff "Widerspruch nicht autorisierter Zahlungsvorgang" und konkreter Transaktionsreferenz.

Wer diese Schritte konsequent umsetzt, schafft die Grundlage für den nächsten Schritt: den rechtssicheren Weg zur Durchsetzung des Erstattungsanspruchs.

Auf dieser Grundlage lässt sich der konkrete Weg zur Erstattung beschreiben. Die Checkliste aus dem vorangegangenen Abschnitt sichert den Anspruch, aber durchsetzen lässt er sich in der Regel nur, wenn die richtigen Schritte in der richtigen Reihenfolge folgen. Für die praktische Planung kann gefälschte Onlinebanking-Loginseite entscheidend werden.

Die Betroffene aus unserem Praxisfall entschied sich nach dem Ablehnungsschreiben ihrer Direktbank nicht dafür, die Entscheidung widerspruchslos zu akzeptieren. Sie hatte den Vorfall sorgfältig dokumentiert, Strafanzeige erstattet und ließ den Sachverhalt anwaltlich prüfen. Die Prüfung ergab: Der Vorwurf der groben Fahrlässigkeit war nicht tragfähig. Die gefälschte E-Mail und die dahinterstehende Website waren technisch und optisch nicht von den echten zu unterscheiden gewesen.

Was danach entscheidend wird

Das Institut konnte den Beweis für grobe Fahrlässigkeit nach § 675v Abs. 3 BGB nicht erbringen. Die Ablehnung war damit nicht das letzte Wort in dieser Sache.

Wo Sie genauer hinschauen sollten

Der rechtssichere Weg verläuft typischerweise in drei Stufen. Erste Stufe: schriftlicher Widerspruch mit konkretem Bezug auf §§ 675u, 675v Abs. 3 und 675w BGB. Ein gut formulierter Widerspruch fordert das Institut auf, den Beweis für grobe Fahrlässigkeit konkret zu belegen, und benennt dabei die Umstände der Täuschung präzise. Pauschalbehauptungen im Ablehnungsschreiben sind kein ausreichender Beleg. Zweite Stufe: Schlichtung über den BaFin-Ombudsmann oder den bankinternen Beschwerdeweg.

Welche Prüfung jetzt sinnvoll ist

Diese Wege sind oft schneller als ein Gerichtsverfahren und führen in einer Reihe von Fällen zur Einigung, ohne dass Klage erhoben werden muss. Dritte Stufe: zivilrechtliche Klage als letzte Option, wenn Widerspruch und Schlichtung erfolglos bleiben. Die Beweislastverteilung nach § 675v Abs. 3 BGB ist dabei ein struktureller Vorteil für Betroffene.

Anders sieht es aus, wenn die 13-Monats-Frist nach § 676b BGB bereits abgelaufen ist. In diesem Fall ist der Erstattungsanspruch ausgeschlossen, unabhängig davon, ob grobe Fahrlässigkeit vorlag oder nicht. Deshalb ist das Timing der Meldung keine Formalie, sondern die erste und wichtigste Weichenstellung.

Was in Schritt 12 zählt

Die häufigsten Fragen, die in diesem Zusammenhang entstehen, beantwortet der folgende Abschnitt.

Das bedeutet in der Praxis: Auch wenn der gesetzliche Rahmen klar ist, entstehen im Einzelfall regelmäßig konkrete Fragen, die über die allgemeine Rechtslage hinausgehen. Die folgenden Antworten geben Orientierung zu den häufigsten Unsicherheiten. Der nächste Schritt hängt oft davon ab, wie Phishing-Schaden rechtlich einordnen einzuordnen ist.

Bekomme ich das Geld zurück, wenn ich selbst auf den Phishing-Link geklickt habe?

In vielen Fällen ja. Entscheidend ist nicht das Klicken selbst, sondern ob darin eine grobe Fahrlässigkeit liegt. Wenn die Phishing-Seite täuschend echt gestaltet war und die Täuschung auch für einen aufmerksamen Nutzer nicht ohne Weiteres erkennbar war, kann die Bank grobe Fahrlässigkeit meist nicht nachweisen. Nach § 675v Abs. 3 BGB liegt die Beweislast bei der Bank, nicht beim Kunden.

Was gilt, wenn ich am Telefon eine TAN weitergegeben habe?

Die TAN-Weitergabe am Telefon wird von Banken oft als grob fahrlässig eingestuft. Diese Einschätzung ist jedoch nicht automatisch korrekt. War der Anruf professionell inszeniert, gab sich der Anrufer glaubwürdig als Bankmitarbeiter aus und stand der Anruf in unmittelbarem Zusammenhang mit der vorangegangenen Phishing-E-Mail, ist eine grobe Fahrlässigkeit rechtlich angreifbar. Gerichte bewerten den Einzelfall, nicht den Anruf als abstraktes Verhaltensmuster.

Gilt § 675u BGB auch für Kreditkarten?

Ja. § 675u BGB gilt für alle Zahlungsdienste im Sinne des Zahlungsdiensterechts, also auch für Kreditkartenzahlungen. Betroffene, deren Kreditkartendaten durch Phishing abgegriffen und missbräuchlich verwendet wurden, können denselben Erstattungsanspruch geltend machen wie Kontoinhaber bei Überweisungen.

Wie lange dauert eine Erstattung nach Widerspruch?

Das hängt vom Institut und vom Sachverhalt ab. Banken sind nach § 675u BGB zur unverzüglichen Erstattung verpflichtet, spätestens bis zum Ende des folgenden Geschäftstags nach Anzeige. In der Praxis dauern komplexere Fälle länger, besonders wenn die Bank zunächst ablehnt und erst nach Widerspruch oder Schlichtung einlenkt. Typische Zeiträume bewegen sich zwischen wenigen Tagen bei unkomplizierten Fällen und mehreren Wochen bei strittigen Sachverhalten.

Muss ich zwingend Strafanzeige erstatten, um den Erstattungsanspruch zu haben?

Nein. Die Strafanzeige ist keine gesetzliche Voraussetzung für den Erstattungsanspruch nach § 675u BGB. Sie ist jedoch aus mehreren Gründen ratsam: Sie dokumentiert den Vorfall offiziell, schafft Beweismittel für ein späteres Verfahren und ermöglicht es Ermittlungsbehörden, Täter zu verfolgen. Das Aktenzeichen kann zudem bei der Bank und in einem Klageverfahren als Nachweis dienen.

Was in Schritt 13 zählt

Die Antworten zeigen: Betroffene stehen rechtlich deutlich besser da, als viele nach dem ersten Ablehnungsschreiben annehmen. Das Fazit fasst die drei wichtigsten Punkte zusammen.

Daraus folgt eine klare Zusammenfassung für alle, die von einem Phishing-Angriff auf ihr Direktbankkonto betroffen sind: Die gesetzliche Rechtslage schützt Betroffene erheblich stärker, als Standardablehnungsschreiben vermuten lassen. In der weiteren Prüfung taucht daneben häufig Bankhaftung nach Phishing auf.

Was in Schritt 14 zählt

Drei Kernpunkte behalten dabei in jedem Fall ihre Gültigkeit: § 675u BGB verpflichtet die Bank zur unverzüglichen Erstattung bei nicht autorisiertem Zahlungsvorgang. Die Beweislast für grobe Fahrlässigkeit liegt nach § 675v Abs. 3 BGB beim Zahlungsinstitut, nicht beim Kunden. Und die 13-Monats-Frist nach § 676b BGB ist eine harte Ausschlussfrist, deren Versäumnis den Anspruch endgültig erlöschen lässt.

Was in Schritt 15 zählt

Wer nach einem Phishing-Angriff die richtigen Schritte einleitet, die Meldung schriftlich und unverzüglich erstattet, Strafanzeige stellt und eine pauschale Ablehnung nicht als letztes Wort hinnimmt, steht auf rechtlich belastbarem Boden. Eine anwaltliche Ersteinschätzung schafft Klarheit, bevor Fristen ablaufen oder die Bank eine endgültige Entscheidung trifft.

Rechtsrahmen

Rechtsquellen zur Einordnung

1. § 675u BGB – Erstattung bei nicht autorisierten Zahlungsvorgängen
2. § 675v Abs. 3 BGB – Beweislast beim Zahlungsinstitut
3. § 675j BGB
4. § 675w BGB
5. § 676b BGB

Weitere Orientierung

Anknüpfende Themen

Phishing TAN Betrug Geld zurückfordernEinordnung zu Phishing, Bankhaftung und der Rueckforderung verlorener Gelder.Weiterlesen →

Hilfe für Senioren nach Phishing BetrugEinordnung zu Phishing, Bankhaftung und der Rueckforderung verlorener Gelder.Weiterlesen →

Betrug durch Gefälschte Login Seite OnlinebankingEinordnung zu Phishing, Bankhaftung und der Rueckforderung verlorener Gelder.Weiterlesen →