Wer zahlt, wenn Kriminelle per Phishing meine Kreditkarte missbraucht haben? In den meisten Fällen bekommt man das Geld vollständig zurück. Die Bank muss den abgebuchten Betrag spätestens bis Ende des nächsten Geschäftstags erstatten, § 675u BGB stuft Phishing-Abbuchungen als nicht autorisierten Zahlungsvorgang ein. Nur bei nachgewiesener grober Fahrlässigkeit kann die Erstattung entfallen.
Sie haben nach einem Phishing-Angriff eine fremde Abbuchung auf Ihrem Kreditkartenkonto entdeckt? Die Schlüsselfrage ist, ob Kriminelle Ihre Zustimmung rechtlich wirksam erschleichen konnten. Im Folgenden klären wir, wann eine Phishing-Abbuchung als nicht autorisiert gilt, worauf Banken bei Erstattungsablehnungen verweisen und wie Betroffene ihren Anspruch sichern.
Mehrere unbekannte Buchungen auf dem Kreditkartenauszug, Beträge im drei- bis vierstelligen Bereich, keine eigene Freigabe, kein bewusstes Handeln. Was vorausgegangen war: eine täuschend echt aussehende E-Mail, die angeblich von der Hausbank stammte, ein Link auf eine nahezu identisch gestaltete Seite und dort die Eingabe der Kartendaten. Erst Tage später zeigte der Auszug, was Kriminelle in der Zwischenzeit abgebucht hatten. Das erste, was die Bank schickte, war keine Rückbuchung, sondern eine Ablehnung.
Genau diese Situation schildern Betroffene immer wieder: Phishing-Mail gelesen, Daten eingegeben, Schaden entstanden, Bank verweigert die Erstattung. Dieser Artikel klärt, auf welcher Rechtsgrundlage der Erstattungsanspruch beruht, welche Beweise die Bank erbringen muss und welche konkreten Schritte Betroffene jetzt gehen sollten.
Was bedeutet autorisiert oder nicht? Die entscheidende Weichenstellung im Zahlungsrecht in der Praxis?
Bevor wir die konkreten Handlungsschritte besprechen, lohnt ein Blick auf die rechtliche Grundlage, denn sie entscheidet darüber, wer im Streitfall beweispflichtig ist.
Nach § 675j BGB gilt ein Zahlungsvorgang nur dann als autorisiert, wenn der Zahler wirksam zugestimmt hat. Wirksam bedeutet: bewusst, auf den konkreten Betrag und den konkreten Empfänger bezogen. Wer auf einer gefälschten Seite Kartendaten eingibt, ohne zu ahnen, dass dort Kriminelle die Eingaben abgreifen, stimmt keinem bestimmten Zahlungsvorgang zu.
Worauf es jetzt ankommt
Die erschlichene Dateneingabe ersetzt keine wirksame Zustimmung im Rechtssinne, weil der Karteninhaber weder einen Empfänger noch eine Summe bewusst freigegeben hat.
Daraus folgt eine entscheidende Konsequenz für das Erstattungsverfahren: Liegt keine wirksame Autorisierung vor, greift § 675u S. 2 BGB. Die Bank ist verpflichtet, den vollen Betrag unverzüglich zurückzubuchen und das Konto so zu stellen, als wäre die Transaktion nie erfolgt.
Beweislast liegt bei der Bank, nicht beim Karteninhaber
Das ist für Betroffene eine zentrale Erleichterung: § 675w BGB kehrt die Beweislast um. Die Bank muss nachweisen, dass die Authentifizierung ordnungsgemäß war und der Zahlungsvorgang dem tatsächlichen Nutzer zugerechnet werden kann. Gelingt ihr das nicht, bleibt es bei der Erstattungspflicht nach § 675u BGB. Ein pauschaler Verweis auf ein technisch durchgelaufenes 3D-Secure-Verfahren reicht nach der instanzgerichtlichen Rechtsprechung dazu nicht aus.
Was für die Einordnung zählt
Hinzu kommt: Klauseln in Bankverträgen, die die Haftung zulasten des Karteninhabers ausweiten, sind nach § 675f Abs. 4 BGB weitgehend unwirksam. Die gesetzliche Schutzebene lässt sich vertraglich nicht unterschreiten.
Was für den nächsten Schritt zählt
§ 675u BGB
§ 675u S. 2 BGB verpflichtet die Bank zur unverzüglichen Erstattung des vollen Betrags, sobald ein nicht autorisierter Zahlungsvorgang festgestellt wird. Die Vorschrift setzt die europäische Zahlungsdiensterichtlinie (PSD2) in deutsches Recht um. Klauseln, die die Haftung zulasten des Karteninhabers ausweiten, sind nach § 675f Abs. 4 BGB weitgehend unwirksam.
Quelle öffnen →Was das für den konkreten Erstattungsbetrag und den Zeitrahmen bedeutet, klärt der nächste Abschnitt.
Was bedeutet erstattungsbetrag und Zeitrahmen: Was die Bank leisten muss in der Praxis?
Doch was bedeutet das konkret, und wie viel muss die Bank tatsächlich zurückzahlen?
Die Pflicht aus § 675u BGB ist klar bemessen: vollständiger Betrag, unverzüglich, spätestens bis Ende des nächsten Geschäftstags nach Kenntnis vom nicht autorisierten Vorgang. Das Konto ist so zu stellen, als sei die Buchung nie erfolgt.
Wann liegt grobe Fahrlässigkeit vor?
Anders sieht es aus, wenn Betroffene etwa ihre PIN mündlich weitergegeben, auf offensichtlich unseriöse Nachrichten geantwortet oder trotz ausdrücklicher Sicherheitswarnung der Bank gehandelt haben. In diesen Fällen kann grobe Fahrlässigkeit vorliegen, die den Erstattungsanspruch nach § 675v Abs. 3 BGB ausschließt. Gerichte legen diese Schwelle bei professionell aufgemachten Phishing-Angriffen mit echten Logos, plausiblen Absendernamen und gültigen SSL-Zertifikaten jedoch regelmäßig hoch an.
Einfache Fahrlässigkeit begrenzt die Haftung auf maximal 50 Euro. Und auch dieser Selbstbehalt gilt nur, wenn die Pflichtverletzung vor dem Zeitpunkt der Sperrung lag. Wer die Karte unverzüglich sperren lässt, schützt damit aktiv seine Rechtsposition.
§ 675l BGB verpflichtet Karteninhaber, bei Kenntnis oder begründetem Verdacht unverzüglich zu sperren. Ein erkennbares Zuwarten kann die Erstattungsquote mindern, weil die Bank dann Mitverschulden geltend machen kann. Wer fremde Buchungen entdeckt, sollte die Sperrung noch am selben Tag veranlassen.
Mit dem Wissen über Erstattungshöhe und Haftungsverteilung lässt sich das Ablehnungsschreiben der Bank fundiert einordnen. Genau das zeigt der folgende Abschnitt an einem typischen Beispiel.
Was bedeutet wenn die Bank ablehnt: Typische Gegenargumente und ihre rechtlichen Schwächen in der Praxis?
Genau hier wird es kritisch: Viele Betroffene erhalten nach ihrer Meldung ein standardisiertes Ablehnungsschreiben, das auf das Authentifizierungsverfahren verweist und dem Karteninhaber die Verantwortung zuschiebt. Was dabei ausgeblendet bleibt, ist die Frage, ob diese Begründung rechtlich tragfähig ist. Der nächste Schritt hängt oft davon ab, wie Phishing bei Senioren einzuordnen ist.
Im Praxisfall kam die Ablehnung per Brief, knapp formuliert: Die Transaktionen seien über das Starke-Kundenauthentifizierungs-Verfahren legitimiert worden. Die Betroffene war sich keiner Schuld bewusst. Sie hatte keinen Betrag, keinen Empfänger, keine Überweisung bewusst freigegeben. Was sie getan hatte: Sie hatte auf einer gefälschten Seite ihre Daten eingegeben, in dem Glauben, eine Sicherheitsprüfung der Bank durchzuführen.
Was Sie als Nächstes prüfen sollten
Erst die juristische Einordnung des Ablehnungsschreibens zeigte, dass die Bank die Beweislastverteilung des § 675w BGB zu ihren Gunsten verdrehte.
Welche Unterlagen jetzt zählen
Typische Bank-Gegenargumente und ihre rechtliche Einordnung:
Argument 1: "Die Transaktion war über 3D-Secure autorisiert."
Entgegnung: Allein die Tatsache, dass ein Authentifizierungsverfahren technisch ausgelöst wurde, beweist nicht, dass der Karteninhaber die konkrete Zahlung kannte und wollte. Kriminelle können ein laufendes Verfahren so gestalten, dass das Opfer glaubt, es handele sich um eine Sicherheitsroutine der Bank. Wer keinen Empfänger und keinen Betrag bewusst freigegeben hat, hat nach § 675j BGB nicht autorisiert.
Argument 2: "Der Karteninhaber handelte grob fahrlässig."
Entgegnung: Grobe Fahrlässigkeit muss die Bank nach § 675w BGB im konkreten Einzelfall belegen. Eine Standardformulierung im Ablehnungsschreiben reicht nicht. Entscheidend ist die konkrete Qualität der Täuschung: Professionell gestaltete Phishing-Mails mit originalgetreuen Logos und HTTPS-Verbindung senken die Erkennbarkeit für den Durchschnittsnutzer deutlich.
Argument 3: "Unsere AGB schränken die Haftung ein."
Entgegnung: § 675f Abs. 4 BGB macht verbraucherbenachteiligende Freizeichnungsklauseln unwirksam. Die gesetzliche Schutzebene ist nicht abdingbar.
Visa und Mastercard bieten ein eigenes Rückbuchungsverfahren an (Chargeback). Es läuft neben dem gesetzlichen Anspruch aus § 675u BGB und kann zu einer schnelleren vorläufigen Gutschrift führen. Scheitert das Chargeback-Verfahren, bleibt der gesetzliche Erstattungsanspruch davon unberührt und kann weiter verfolgt werden.
Im nächsten Schritt geht es darum, welche Unterlagen Betroffene für all diese Wege sichern müssen und warum das Timing dabei eine entscheidende Rolle spielt.
Welche Frist gilt nach dem Phishing-Betrug?
Im nächsten Schritt entscheidet die Qualität der gesicherten Unterlagen darüber, ob der Erstattungsanspruch in der Praxis durchgesetzt werden kann. In der weiteren Prüfung taucht daneben häufig gefälschte Onlinebanking-Loginseite auf.
§ 675l BGB verpflichtet Karteninhaber, die Bank bei Entdeckung eines Missbrauchs unverzüglich zu informieren und die Karte sperren zu lassen. Der Erstattungsanspruch nach § 675u BGB erlischt durch reinen Zeitablauf zwar nicht, aber die Beweissicherung unmittelbar nach Entdeckung ist praktisch entscheidend. Je mehr Zeit vergeht, desto schwieriger wird die Rekonstruktion der Phishing-Mail, der gefälschten Seite und des gesamten Kommunikationsverlaufs.
Wo die Frist praktisch beginnt
Eine Strafanzeige bei der Polizei ist nicht zwingend erforderlich, um den Erstattungsanspruch zu verfolgen, aber sie schafft einen offiziellen Beleg für das Betrugsgeschehen und kann im Widerspruchsverfahren gegenüber der Bank als zusätzlicher Nachweis dienen. Darüber hinaus helfen Ermittlungsbehörden dabei, Täterstrukturen aufzudecken und weitere Betroffene zu schützen.
Was jetzt praktisch wichtig ist
Kreditkarte sofort sperren lassen, telefonisch über die Sperrhotline der Bank
Alle unbekannten Buchungen auf dem Kontoauszug identifizieren und schriftlich festhalten
Phishing-Mail im Originalformat sichern, Screenshots der gefälschten Seite anfertigen
Schriftliche Meldung an die Bank mit Datum der Kenntnisnahme und Liste aller betroffenen Transaktionen
Strafanzeige bei der Polizei erstatten
Chargeback-Antrag beim Kreditkartenanbieter stellen
Gesetzlichen Erstattungsanspruch nach § 675u BGB schriftlich gegenüber der Bank geltend machen
Ablehnungsschreiben der Bank sorgfältig aufbewahren und rechtlich prüfen lassen
Auf dieser Grundlage an Unterlagen und gesicherter Chronologie lässt sich der Erstattungsweg systematisch angehen. Welche konkreten Schritte in welcher Reihenfolge folgen, zeigt der nächste Abschnitt.
Schritt für Schritt zur Rückbuchung: Das konkrete Vorgehen
Auf dieser Grundlage zeigt der Praxisfall, wie eine fundierte Reaktion aussieht. Nach Eingang des Ablehnungsschreibens wurde die Begründung der Bank juristisch eingeordnet. Das Ergebnis: Der pauschale Verweis auf das Authentifizierungsverfahren reichte nicht aus, um den Nachweis nach § 675w BGB zu erfüllen. Nach einem schriftlichen Widerspruch mit konkretem Verweis auf § 675u S.
Für die praktische Planung kann Phishing-Schaden rechtlich einordnen entscheidend werden.
2 BGB und § 675w BGB und einer Fristsetzung von 14 Tagen änderte die Bank ihre Haltung. Der volle Betrag wurde erstattet, ohne dass ein Gerichtsverfahren notwendig wurde.
Worauf Sie im Alltag achten sollten
Das ist kein Einzelfall. Viele Erstablehnungen bei Phishing-Fällen sind Standardschreiben, die den konkreten Sachverhalt nicht individuell prüfen. Wer präzise widerspricht und die Bank zur konkreten Beweisführung auffordert, erhöht die Erfolgsquote erheblich. Die empfohlene Reihenfolge der Schritte:
- ◆Sofortige Kartensperre über die Sperrhotline der Bank
- ◆Strafanzeige bei der Polizei als offizieller Betrugsnachweis
- ◆Schriftliche Erstattungsforderung an die Bank mit Verweis auf § 675u S. 2 BGB und 14-Tage-Frist
- ◆Chargeback-Antrag beim Kreditkartenanbieter parallel stellen
- ◆Schlichtung über den BaFin-Ombudsmann oder die zuständige Bankenschlichtungsstelle bei weiterer Ablehnung
- ◆Anwaltliches Schreiben wenn Widerspruch und Schlichtung keinen Erfolg bringen
Welche Unterlagen den Unterschied machen
Sichern Sie alle Spuren des Angriffs unmittelbar: die E-Mail im Originalformat, Screenshots der gefälschten Seite, die gesamte Kommunikation mit der Bank und den Kontoauszug mit den betroffenen Buchungen. Diese Unterlagen sind die Grundlage jedes Erstattungsverfahrens, ob über Chargeback, Widerspruch oder anwaltlichen Weg.
Für die Einordnung heißt das: Nehmen Sie diese Schritte als Beweisfolge, nicht als Formsache. Erst Kartenvertrag, Abrechnung, Sperrverlauf und Bankablehnung nebeneinander zeigen, ob ein Chargeback-Antrag oder der direkte Erstattungsanspruch gegen die Bank der stärkere nächste Schritt ist.
„Die Tatsache, dass ein Authentifizierungsverfahren technisch durchlaufen wurde, beweist allein noch nicht, dass der Zahler den konkreten Zahlungsvorgang autorisiert hat." Orientierung aus der instanzgerichtlichen Rechtsprechung zu § 675w BGB"
Genau deshalb kommt es auf die schriftliche Begründung der Bank an: Sie muss erklären, warum sie trotz Phishing keine Erstattung vornimmt und welche Protokolldaten diesen Standpunkt tragen sollen.
Sie haben ein Ablehnungsschreiben Ihrer Bank erhalten? Wir prüfen, ob Ihr Erstattungsanspruch nach § 675u BGB durchsetzbar ist, und bereiten den nächsten Schritt vor.
Rechtliche Einschätzung anfragenHäufige Fragen zum Phishing-Chargeback
Das bedeutet in der Praxis: Nach dem ersten Ablehnungsschreiben sind viele Betroffene unsicher, welche Rechte ihnen tatsächlich noch zustehen. Die folgenden Fragen und Antworten geben Orientierung zu den häufigsten Punkten, die sich aus dem oben dargestellten rechtlichen Rahmen ergeben. Der nächste Schritt hängt oft davon ab, wie Bankhaftung nach Phishing einzuordnen ist.
Gilt die Erstattungspflicht auch, wenn ich die 3D-Secure-Freigabe in einer gefälschten Banking-App bestätigt habe?
Grundsätzlich ja. Entscheidend ist nach § 675j BGB, ob eine wirksame Zustimmung vorlag. Wer eine App-Freigabe im Glauben erteilt, eine bankseitige Sicherheitsprüfung durchzuführen, und dabei keinen konkreten Empfänger oder Betrag bewusst freigegeben hat, hat nicht autorisiert im Rechtssinne. Die Bank bleibt beweispflichtig nach § 675w BGB.
Was gilt rechtlich als grobe Fahrlässigkeit beim Phishing, und was nicht?
Grobe Fahrlässigkeit setzt ein besonders schwerwiegendes, für jeden erkennbares Fehlverhalten voraus. Die PIN auf ausdrückliche Anfrage hin mündlich weiterzugeben gilt in der Rechtsprechung als grob fahrlässig. Das Hereinfallen auf eine professionell gestaltete Phishing-Mail mit echten Logos und HTTPS-Verbindung in der Regel nicht, weil die Erkennbarkeit für einen durchschnittlichen Nutzer objektiv nicht gegeben ist.
Wie lange hat die Bank Zeit, um den Betrag zu erstatten?
Nach § 675u S. 2 BGB ist die Erstattung unverzüglich zu leisten, spätestens bis zum Ende des nächsten Geschäftstags nach Kenntnis vom nicht autorisierten Vorgang. Verstreicht diese Frist ohne Reaktion, gerät die Bank in Verzug.
Kann ich gleichzeitig Strafanzeige und Chargeback beantragen?
Ja. Beide Wege sind voneinander unabhängig und schließen sich nicht aus. Die Strafanzeige dokumentiert das Betrugsgeschehen gegenüber Behörden, das Chargeback-Verfahren läuft über das Kartennetz, der gesetzliche Anspruch nach § 675u BGB läuft daneben als eigenständiger zivilrechtlicher Weg.
Was tue ich, wenn die Bank nach schriftlichem Widerspruch erneut ablehnt?
Der nächste Schritt ist die Schlichtung über den BaFin-Ombudsmann oder die zuständige Bankenschlichtungsstelle. Das Verfahren ist für Verbraucher gebührenfrei und für Banken in einem bestimmten Streitwertbereich bindend. Darüber hinaus kommt ein anwaltliches Aufforderungsschreiben in Betracht, das die Bank zur konkreten Beweisführung nach § 675w BGB auffordert, statt nur auf Standardformulierungen zu verweisen.
Fazit: Phishing-Abbuchungen sind erstattungsfähig, wenn Sie richtig reagieren
Daraus folgt die wichtigste Erkenntnis dieses Artikels in drei Punkten: Erstens gelten Phishing-erschlichene Transaktionen nach § 675j BGB als nicht autorisiert, weil eine wirksame Zustimmung fehlt. Zweitens trägt die Bank nach § 675w BGB die Beweislast dafür, dass der Vorgang ordnungsgemäß authentifiziert war und dem Karteninhaber zugerechnet werden kann.
In der weiteren Prüfung taucht daneben häufig betrug durch sms phishing bank haftet auf.
Was danach entscheidend wird
Drittens entscheiden Sofortmaßnahmen, lückenlose Dokumentation und eine präzise schriftliche Forderung darüber, ob der Erstattungsanspruch in der Praxis durchgesetzt werden kann.
Wo Sie genauer hinschauen sollten
Ein pauschales Ablehnungsschreiben der Bank ist kein rechtskräftiger Bescheid. Wer es ohne Prüfung akzeptiert, verzichtet möglicherweise auf einen durchsetzbaren Anspruch nach § 675u BGB. Eine anwaltliche Prüfung der konkreten Begründung lohnt sich, weil Banken die Beweislast nach § 675w BGB in vielen Phishing-Fällen nicht ernsthaft erfüllen.
Sie haben nach einem Phishing-Angriff unbekannte Abbuchungen festgestellt und die Bank verweigert die Erstattung? Wir prüfen Ihren Sachverhalt und klären, welche Ansprüche nach § 675u BGB bestehen.
Rechtliche Einschätzung anfragenRechtsquellen zur Einordnung
Jan-Henning Ahrens
Jan-Henning Ahrens und KWAG Rechtsanwälte beraten Mandanten insbesondere im Bankrecht, Kapitalmarktrecht, bei Anlage- und Internetbetrug sowie in wirtschaftsrechtlichen Streitigkeiten.
Mehr über die Kanzlei
