Muss ich als Phishing-Opfer den Kredit zurückzahlen, den die Bank zur Deckung der abgebuchten Beträge eingesetzt hat? Nicht automatisch. § 675u BGB verpflichtet die Bank zur unverzüglichen Erstattung nicht autorisierter Zahlungsvorgänge. Wer durch Täuschung zur TAN-Eingabe verleitet wurde, hat dem konkreten Zahlungsvorgang rechtlich nicht zugestimmt. Grobe Fahrlässigkeit muss die Bank konkret beweisen; das bloße Vorliegen einer technischen Authentifizierung genügt nach § 675w S. 2 BGB dafür nicht.
Sie sind Phishing-Opfer geworden und Ihre Bank fordert den abgebuchten Betrag nun als Kredit zurück? Ob das rechtmäßig ist, hängt entscheidend davon ab, wann Sie den Betrug gemeldet haben und was die Bank Ihnen nachweisen kann. Im Folgenden klären wir, wann eine Zahlung als nicht autorisiert gilt, wie die Beweislast verteilt ist und welche Fristen dabei gelten.
Eine berufstätige Person erhält eines Abends eine SMS, die täuschend echt wie eine offizielle Nachricht ihrer Hausbank wirkt: Das Konto sei aus Sicherheitsgründen vorübergehend eingeschränkt, eine Verifizierung über den beigefügten Link sei dringend erforderlich. Ton und Layout sind professionell, der Zeitdruck spürbar. Über die gefälschte Seite werden Zugangsdaten und eine TAN eingegeben, in der festen Überzeugung, eine bankseitige Sicherheitsprüfung abzuschließen. Im Hintergrund lösen Unbekannte mehrere Überweisungen aus.
Ein Blick ins Gesetz zeigt, warum diese Argumentation der Bank in solchen Fällen auf wackeligem Boden steht. Der rechtliche Rahmen dreht die Beweislast entschieden um, und diese Umkehr ist der wichtigste Hebel für Betroffene.
Grobe Fahrlaessigkeit: Wann haftet das Phishing-Opfer tatsaechlich?
Bevor wir die Auseinandersetzung mit der Bank in den Blick nehmen, lohnt es sich, den gesetzlichen Rahmen zu verstehen, der Phishing-Opfer konkret schützt. Das Zahlungsdiensterecht, umgesetzt in den §§ 675c ff. BGB auf Grundlage der europäischen Zahlungsdiensterichtlinie PSD2, legt die Beweislast bei nicht autorisierten Zahlungen klar auf die Seite der Bank, nicht auf die der Betroffenen.
Dieser Grundsatz gilt unabhängig davon, welche technischen Mittel bei der Täuschung eingesetzt wurden.
§ 675u BGB – Erstattungspflicht bei nicht autorisierten Zahlungen
Liegt ein nicht autorisierter Zahlungsvorgang vor, hat die Bank keinen Anspruch auf Aufwendungsersatz. Sie muss den Betrag unverzüglich erstatten, spätestens bis zum Ende des folgenden Geschäftstags nach der Meldung, und das Konto auf den Stand vor der Abbuchung zurücksetzen.
Quelle öffnen →Was "Autorisierung" im Rechtssinne bedeutet
Der Begriff ist im Phishing-Kontext entscheidend. § 675j Abs. 1 BGB verlangt, dass der Zahler dem konkreten Zahlungsvorgang wirksam zugestimmt hat. Wer durch eine gefälschte SMS zur TAN-Eingabe verleitet wird, stimmt rechtlich nicht der dahinterliegenden Überweisung zu, sondern einer vorgetäuschten Sicherheitsmaßnahme. Diese Unterscheidung zwischen technischem Vorgang und echtem Zahlerwillen ist der Kern des gesamten Haftungsstreits, und sie ist im Gesetz ausdrücklich verankert.
Besonders bedeutsam ist dabei § 675w BGB: Der Nachweis, dass eine Transaktion technisch korrekt authentifiziert wurde, reicht allein nicht aus, um Autorisierung oder grobe Fahrlässigkeit zu belegen. Technische Authentifizierung und echter Zahlerwille sind damit zwei rechtlich voneinander getrennte Fragen. Daraus folgt: Technische Protokolle der Bank beweisen nicht, dass der Kunde wusste, was er mit seiner TAN tatsächlich freigab.
Worauf es jetzt ankommt
Was diese gesetzliche Grundlage für den konkreten Konflikt mit der Bank bedeutet, zeigt der nächste Abschnitt.
Was bedeutet bank behauptet: Sie haben autorisiert - das Gesetz sagt etwas anderes in der Praxis?
Genau hier wird es kritisch: Banken argumentieren in Phishing-Fällen regelmäßig, der Kunde habe durch TAN-Eingabe oder App-Freigabe die Zahlung autorisiert. Diese Sichtweise steht in direktem Widerspruch zu dem, was § 675w S. 2 BGB ausdrücklich normiert, und sie greift rechtlich zu kurz. Die Norm entkoppelt den technischen Authentifizierungsnachweis bewusst vom Nachweis der tatsächlichen Autorisierung oder grober Fahrlässigkeit.
Was für die Einordnung zählt
Legen Sie Bescheid, Nachweise, Fristen und bisherige Schreiben nebeneinander. Dadurch wird schneller klar, ob ein Antrag ergänzt, ein Widerspruch begründet oder ein neuer Schritt vorbereitet werden muss.
Was für den nächsten Schritt zählt
§ 675j BGB verlangt eine Zustimmung zum konkreten Zahlungsvorgang. Wer glaubt, eine Sicherheitsverifizierung abzuschließen, während im Hintergrund eine Überweisung an Dritte ausgelöst wird, handelt unter Täuschung. Der Wille richtet sich auf die vorgetäuschte Handlung, nicht auf den tatsächlichen Zahlungsvorgang. Eine Autorisierung im Rechtssinne liegt damit in aller Regel nicht vor, weil es an einem auf den konkreten Zahlungsvorgang gerichteten Willen fehlt.
Welche Unterlagen jetzt zählen
Kreditforderung als zusätzlicher Druckfaktor
In der Praxis verknüpfen Banken die Frage nach der Autorisierung häufig mit einer Kreditforderung. Hat ein Phishing-Täter über das Konto einen Dispo-Kredit oder einen bestehenden Kreditrahmen aktiviert, stellt die Bank den offenen Betrag als Kredit in Rechnung. Ob der Betroffene diesen Kredit jemals aufnehmen wollte, spielt in der ersten Kommunikation der Bank meist keine Rolle.
Diese Verknüpfung ist kein Zufall, sondern ein Druckmittel, das viele Betroffene dazu bringt, Forderungen ohne rechtliche Prüfung hinzunehmen.
Was Sie als Nächstes prüfen sollten
Das gesetzliche Gegengewicht, das die Bank in solchen Situationen in die Pflicht nimmt, zeigt sich vor allem beim Fahrlässigkeitsvorwurf, dem zentralen Argument der Banken gegen eine Erstattung.
Grobe Fahrlässigkeit: Wann haftet das Phishing-Opfer tatsächlich?
Doch was bedeutet das konkret, wenn die Bank grobe Fahrlässigkeit als Begründung für die Kreditforderung anführt? Dieser Punkt ist für Betroffene oft der emotionalste im gesamten Verfahren. Das Kreditforderungsschreiben trifft die berufstätige Person aus dem Praxisfall vollkommen unvorbereitet: Der Betrug selbst ist bereits ein Schock, die Forderung, zusätzlich für einen Kredit aufzukommen, den Unbekannte aktiviert haben, wirkt wie eine zweite Welle.
Der nächste Schritt hängt oft davon ab, wie Phishing-Schäden bei Bankkunden einzuordnen ist.
Wo die Frist praktisch beginnt
Genau an diesem Punkt neigen viele dazu, die Forderung kommentarlos zu akzeptieren oder voreilig eine Ratenzahlungsvereinbarung zu unterzeichnen. Das ist ein folgenreicher Fehler, der Ansprüche dauerhaft schwächen kann.
Was jetzt praktisch wichtig ist
§ 675v Abs. 2 Nr. 2 BGB sieht eine vollständige Haftung des Zahlers vor, wenn dieser den Schaden vorsätzlich oder grob fahrlässig verursacht hat. Der entscheidende Unterschied zur einfachen Fahrlässigkeit liegt im Grad des Verschuldens. Wer auf eine professionell gestaltete Phishing-Nachricht hereinfällt, handelt nach der Rechtsprechung mehrerer Gerichte nicht zwangsläufig grob fahrlässig. Bei leichter Fahrlässigkeit greift der Selbstbehalt von maximal 50 Euro nach § 675v Abs.
Worauf Sie im Alltag achten sollten
1 BGB, nicht eine unbegrenzte Haftung.
Was danach entscheidend wird
Fahrlässigkeitsvorwurf ist kein Freifahrtschein für die Bank
Wo Sie genauer hinschauen sollten
Die Bank muss grobe Fahrlässigkeit nachweisen, nicht nur behaupten. Wer eine professionell gestaltete Phishing-Nachricht für eine echte Bank-Mitteilung hält und dabei keine eindeutig erkennbaren Warnsignale missachtet, handelt nach der Rechtsprechung nicht zwangsläufig grob fahrlässig. Die Beweislast liegt bei der Bank.
Gerichte prüfen in solchen Fällen, ob die gefälschte Nachricht äußerlich klar als Fälschung zu erkennen war, ob die Bank ausreichende Sicherheitshinweise kommuniziert hatte und ob Betroffene nach Entdecken des Betrugs unverzüglich gehandelt haben. Die Rahmenbedingungen des Einzelfalls, also Professionalität der Täuschung, verwendetes Gerät und Reaktionszeit, beeinflussen die Bewertung erheblich.
Welche Prüfung jetzt sinnvoll ist
Typische Fehler in dieser Phase sind: kein Widerspruch gegenüber der Bank, vorschnelle Ratenzahlungsvereinbarung und das Versäumnis, anwaltliche Unterstützung einzuholen.
Wie schnell und strukturiert Betroffene nach dem Betrug reagieren, entscheidet oft darüber, wie stark ihre Position gegenüber der Bank tatsächlich ist. Das führt unmittelbar zur Frage der Fristen.
Welche Frist gilt nach dem Phishing-Betrug?
Auf dieser Grundlage ergibt sich eine klare Priorität: Wer einen Phishing-Angriff bemerkt, muss zügig und in der richtigen Reihenfolge handeln. Das Gesetz sieht in § 676b BGB eine Meldefrist vor, und eine verzögerte Anzeige gegenüber der Bank kann die Rechtsposition erheblich schwächen. Diese Frist ist keine Formalität, sondern eine materiell-rechtliche Ausschlussfrist.
In der weiteren Prüfung taucht daneben häufig Phishing bei Senioren auf.
Was in Schritt 12 zählt
Nicht autorisierte Zahlungsvorgänge sind der Bank unverzüglich mitzuteilen, nachdem der Betroffene Kenntnis erlangt hat. Der gesetzliche Erstattungsanspruch aus § 675u S. 2 BGB ist grundsätzlich innerhalb von 13 Monaten ab dem Belastungsdatum geltend zu machen. Nach der Meldung muss die Bank spätestens bis zum Ende des folgenden Geschäftstags erstatten.
Dokumentation von Anfang an
Nach der Meldung bei der Bank sollte parallel eine Strafanzeige bei der Polizei erstattet werden. Das Aktenzeichen dieser Anzeige ist ein wichtiges Beweismittel für das weitere Verfahren. Sämtliche Korrespondenz mit der Bank, ob Briefe, E-Mails oder App-Benachrichtigungen, muss lückenlos aufbewahrt werden. Diese Unterlagen sind die Basis für jeden späteren Widerspruch oder ein gerichtliches Verfahren.
§ 675l S. 2 BGB verpflichtet den Kunden zusätzlich, die Bank unverzüglich zu informieren, sobald er von einem Missbrauch Kenntnis erlangt. Diese Meldepflicht hat direkte Auswirkungen auf die Haftungsverteilung: Wer die Meldung hinauszögert, riskiert, dass die Bank die verzögerte Reaktion als Argument gegen den Erstattungsanspruch nutzt. Ebenso wichtig ist: Keine Forderungen der Bank voreilig unterzeichnen oder durch konkludentes Verhalten anerkennen.
Was in Schritt 12 zählt
Wer eine Zahlungsvereinbarung unterzeichnet, bevor die rechtliche Lage geprüft wurde, gibt möglicherweise Ansprüche preis, die ihm tatsächlich zustehen.
Phishing-Vorfall sofort schriftlich bei der Bank melden, Konto sperren lassen und schriftliche Bestätigung anfordern
Strafanzeige bei der Polizei erstatten und Aktenzeichen notieren
Screenshots der gefälschten Nachricht und der Phishing-Seite sichern
Kontoauszüge mit allen betroffenen Abbuchungen herunterladen und aufbewahren
Alle Bank-Korrespondenz (Briefe, E-Mails, App-Mitteilungen) lückenlos aufbewahren
Keine Forderungen der Bank ohne rechtliche Prüfung unterzeichnen oder anerkennen
Erstattungsanspruch nach § 675u S. 2 BGB schriftlich gegenüber der Bank geltend machen
Anwaltliche Einschätzung zum Erstattungsanspruch und zur Kreditforderung einholen
Wer diese Schritte strukturiert abarbeitet, kann die eigene Haftung auf maximal 50 Euro nach § 675v Abs. 1 BGB begrenzen, sofern grobe Fahrlässigkeit nicht nachgewiesen wird. Im nächsten Schritt zeigt sich, wie Betroffene die Kreditforderung aktiv und systematisch abwehren. Für die praktische Planung kann Identitätsdiebstahl nach Phishing entscheidend werden.
Schritt für Schritt: So wehren Betroffene die Kreditforderung der Bank ab
Im nächsten Schritt geht es darum, die rechtlichen Möglichkeiten konkret zu nutzen. Die berufstätige Person aus dem Praxisfall entscheidet sich, die Kreditforderung nicht widerspruchslos hinzunehmen. Sie meldet den Vorfall schriftlich bei der Bank, erstattet Strafanzeige und holt anwaltliche Unterstützung ein. Diese Kombination aus schnellem Handeln und strukturierter Gegenwehr verändert die Ausgangslage grundlegend.
Die anwaltliche Prüfung ergibt: Die Bank kann grobe Fahrlässigkeit im konkreten Einzelfall nicht belegen. Der Erstattungsanspruch nach § 675u BGB ist nicht erloschen, die Kreditforderung rechtlich angreifbar. Die Verhandlungsposition gegenüber der Bank verschiebt sich damit deutlich.
Handlungsplan in sechs Schritten
Der Weg zur Abwehr der Kreditforderung folgt einer klaren Reihenfolge: Zuerst sollten Betroffene die Bank schriftlich informieren, das Konto sperren lassen, Strafanzeige erstatten und alle Nachweise sichern. Dazu gehören Nachrichten, Kontoauszüge, App-Hinweise und das polizeiliche Aktenzeichen.
Danach geht es um die rechtliche Trennung von Erstattung und Kreditforderung. Betroffene sollten den Anspruch aus § 675u S. 2 BGB schriftlich geltend machen, der Kreditforderung widersprechen und die Bank auf ihre Beweislast nach § 675w S. 2 BGB hinweisen.
Ihre Bank fordert nach einem Phishing-Betrug Geld zurück? Wir prüfen Ihren Erstattungsanspruch und zeigen Ihnen, wie Sie gegen die Kreditforderung vorgehen können.
Rechtliche Einschätzung anfragenVergleich oder gerichtliche Geltendmachung
Nicht jeder Phishing-Fall endet vor Gericht. In vielen Situationen kann bereits ein anwaltliches Widerspruchsschreiben dazu führen, dass Bankforderungen zurückgenommen oder auf ein realistisches Maß verhandelt werden. Gerichte haben in zahlreichen Verfahren zugunsten von Phishing-Opfern entschieden, vor allem dann, wenn die Täuschung professionell aufgebaut war und Betroffene zeitnah gehandelt hatten. Diese Entscheidungen stützen sich regelmäßig auf dieselbe Grundlage, die auch im Praxisfall greift.
Der Grundsatz aus §§ 675w und 675j BGB ist für Betroffene zentral: Eine technisch bestätigte Transaktion beweist noch nicht, dass der konkrete Zahlungsvorgang wirklich autorisiert war. Der nächste Schritt hängt oft davon ab, wie E-Mail-Phishing mit gefälschter Rechnung einzuordnen ist.
Häufige Fragen: Phishing-Haftung und Kreditforderung der Bank
Das bedeutet in der Praxis: Die häufigsten Unsicherheiten drehen sich um konkrete Fragen zur eigenen Haftung, zu Fristen und zu den Handlungsmöglichkeiten gegenüber der Bank. Die folgenden Antworten geben einen Überblick; sie ersetzen keine individuelle Rechtsberatung.
Muss ich den Kredit zurückzahlen, wenn ich Phishing-Opfer geworden bin?
Nicht automatisch. Liegt kein autorisierter Zahlungsvorgang im Sinne von § 675j Abs. 1 BGB vor, besteht nach § 675u BGB ein Erstattungsanspruch gegenüber der Bank. Ob dieser Anspruch im Einzelfall greift, hängt von den konkreten Umständen ab und sollte anwaltlich geprüft werden.
Was gilt als grobe Fahrlässigkeit beim Online-Banking?
Grobe Fahrlässigkeit liegt vor, wenn Betroffene eindeutig erkennbare Warnzeichen ignorieren, etwa wenn eine Bank ausdrücklich darauf hinweist, TANs niemals über externe Links einzugeben, und dieser Hinweis bewusst übergangen wird. Professionell gestaltete Phishing-Nachrichten, die äußerlich nicht von echten Bank-Mitteilungen zu unterscheiden sind, erfüllen diesen Maßstab nach der Rechtsprechung regelmäßig nicht.
Wie lange habe ich Zeit, der Bank den Phishing-Vorfall zu melden?
§ 675l S. 2 BGB verlangt eine unverzügliche Meldung nach Kenntniserlangung. Der Erstattungsanspruch ist nach § 676b BGB innerhalb von 13 Monaten ab dem Belastungsdatum geltend zu machen. Eine verzögerte Meldung kann die Rechtsposition schwächen.
Was tun, wenn die Bank den Erstattungsanspruch ablehnt?
Die Ablehnung ist kein Schlusspunkt. Betroffene können den Anspruch anwaltlich prüfen lassen, Widerspruch einlegen und gegebenenfalls gerichtlich geltend machen. Bankinternes Beschwerdeverfahren und Ombudsmann-Verfahren sind weitere Optionen vor einem Gerichtsverfahren.
Gilt der Schutz nach § 675u BGB auch bei Betrug über Fernzugriff-Software oder gefälschte Apps?
Ja. Das Gesetz knüpft nicht an die konkrete Betrugsform an, sondern an das Vorliegen einer echten Autorisierung. Auch bei Quishing, gefälschten Banking-Apps oder AnyDesk-Szenarien prüfen Gerichte, ob der Zahler dem Zahlungsvorgang tatsächlich zugestimmt hat. Die Beweislast für grobe Fahrlässigkeit liegt in allen Varianten bei der Bank.
Anders sieht es aus, wenn Betroffene die Bank trotz klarer schriftlicher Warnung wissentlich über Drittseiten bedienen oder TANs auf explizite telefonische Nachfrage von Personen weitergeben, die sich als Bankmitarbeiter ausgeben. In solchen Grenzfällen ist die Beurteilung einzelfallabhängig und erfordert eine genaue Prüfung der Gesamtumstände. In der weiteren Prüfung taucht daneben häufig Fake-Kundenservice beim Phishing auf.
Fazit: Phishing-Opfer sind der Bank nicht schutzlos ausgeliefert
Daraus folgt ein klares Fazit: § 675u BGB verpflichtet die Bank zur Erstattung nicht autorisierter Zahlungsvorgänge. § 675w S. 2 BGB entkoppelt den technischen Authentifizierungsnachweis vom Nachweis der Autorisierung oder grober Fahrlässigkeit. Die Beweislast für grobe Fahrlässigkeit liegt bei der Bank; bloße Behauptungen genügen nicht.
Was in Schritt 13 zählt
Wer unverzüglich handelt, Strafanzeige stellt, die Schritte aus diesem Artikel befolgt und anwaltliche Unterstützung hinzuzieht, begrenzt die eigene Haftung auf maximal 50 Euro nach § 675v Abs. 1 BGB, sofern grobe Fahrlässigkeit nicht konkret nachgewiesen werden kann.
Was in Schritt 12 zählt
Die Kreditforderung der Bank ist kein rechtskräftiges Urteil, sondern der Ausgangspunkt einer Auseinandersetzung, die Betroffene aktiv und mit den richtigen Mitteln führen können. Entscheidend ist, diese Optionen frühzeitig zu nutzen, bevor Fristen ablaufen oder Ansprüche durch Untätigkeit geschwächt werden.
Was in Schritt 13 zählt
Lassen Sie Ihre Situation rechtlich einschätzen. Wir prüfen, ob Ihr Erstattungsanspruch nach § 675u BGB besteht und wie Sie die Kreditforderung Ihrer Bank wirksam abwehren können.
Rechtliche Einschätzung anfragenRechtsquellen zur Einordnung
Jan-Henning Ahrens
Jan-Henning Ahrens und KWAG Rechtsanwälte beraten Mandanten insbesondere im Bankrecht, Kapitalmarktrecht, bei Anlage- und Internetbetrug sowie in wirtschaftsrechtlichen Streitigkeiten.
Mehr über die Kanzlei
