Wer haftet, wenn Kriminelle mit einem gefälschten QR-Code Ihr Bankkonto leergeräumt haben? In den meisten Fällen steht Ihnen das Geld vollständig zu: Ihre Bank muss nicht autorisierte Zahlungen nach § 675u BGB unverzüglich erstatten. Den Anspruch verlieren Sie nur, wenn die Bank Ihnen grobe Fahrlässigkeit nachweist - etwa das bewusste Weitergeben einer TAN an Dritte.
Sie haben über einen gefälschten QR-Code Banking-Zugangsdaten eingegeben und danach Abbuchungen auf dem Konto entdeckt? Ob die Bank haftet, hängt von einer einzigen Frage ab: Trifft Sie grobe Fahrlässigkeit? Im Folgenden klären wir, wie Quishing funktioniert, welche Sorgfaltspflichten Bankkunden wirklich treffen und was Sie für eine erfolgreiche Erstattung belegen müssen.
Eine Selbstständige, die ihr Unternehmen vollständig digital organisiert, erhält eine E-Mail, die auf den ersten Blick exakt wie eine offizielle Mitteilung ihrer Hausbank aussieht: vertrautes Layout, bekannter Absendername, ein QR-Code mit der Aufforderung, die Banking-App aus Sicherheitsgründen zu verifizieren. Sie scannt den Code, gibt ihre Zugangsdaten auf der verlinkten Seite ein, und wenige Minuten später sind mehrere tausend Euro vom Geschäftskonto verschwunden, überwiesen in mehreren Schritten an fremde Konten.
Bevor wir die rechtliche Antwort auf diesen Angriff entfalten, lohnt ein kurzer Blick auf die Technik hinter dem Betrug - denn wer den Mechanismus versteht, begreift auch, warum das Gesetz die Beweislast genau dort platziert, wo es sie platziert.
Was bedeutet phishing, Smishing, Quishing: Wie QR-Code-Betrug im Bankkontext funktioniert in der Praxis?
Genau hier setzt die Frage an, die viele Betroffene zuerst stellen: Was unterscheidet Quishing eigentlich von dem, was als klassisches Phishing bekannt ist - und warum gelingt dieser Angriff so zuverlässig?
Die Begriffe bezeichnen verschiedene Varianten desselben Grundprinzips: Täter geben sich als vertrauenswürdige Institution aus, um an Zugangsdaten oder Transaktionsfreigaben zu gelangen. Phishing bezeichnet den klassischen Weg über gefälschte E-Mails und Webseiten. Smishing nutzt SMS oder Messenger-Nachrichten. Vishing erfolgt per Telefonanruf, bei dem Täter sich als Bankberaterin oder Behörde ausgeben.
Worauf es jetzt ankommt
Quishing ergänzt dieses Repertoire durch einen technisch raffinierten Umweg: Statt eines anklickbaren Links enthält die Nachricht einen QR-Code. Dieser optische Baustein umgeht viele E-Mail-Sicherheitsfilter, die automatisiert auf schädliche URLs prüfen, denn der Code selbst ist für diese Systeme zunächst unauffällig.
Smartphones scannen ihn widerspruchslos. Die verlinkte Seite erscheint täuschend echt, trägt teils eine gültige HTTPS-Verschlüsselung und imitiert die Bankdomain mit einer kaum sichtbaren Abwandlung. Warnzeichen, die bei älteren Phishing-Versuchen noch offensichtlich waren, fehlen systematisch.
Warum die Bank trotzdem beweisen muss
Rechtlich ist Quishing dabei keine eigenständige Kategorie, sondern eine besondere Angriffsmethode desselben Grundmechanismus: Erlangung von Authentifizierungsdaten durch Täuschung. Die maßgeblichen gesetzlichen Maßstäbe gelten unverändert.
Was für die Einordnung zählt
§ 675j BGB
Ein Zahlungsvorgang ist nach § 675j BGB nur dann wirksam autorisiert, wenn der Zahler selbst zugestimmt hat. Die Eingabe von Zugangsdaten auf einer gefälschten Phishing-Seite stellt keine rechtswirksame Autorisierung durch den Kontoinhaber dar. Darin liegt die entscheidende juristische Weichenstellung für den Erstattungsanspruch.
Quelle öffnen →Daraus folgt die zentrale Frage für jeden Quishing-Fall: Welche konkreten Pflichten treffen die Bank, sobald feststeht, dass keine wirksame Autorisierung vorlag?
Wie funktioniert die Bankhaftung nach § 675u BGB bei Quishing?
Das bedeutet in der Praxis: Der Erstattungsanspruch ist keine Kulanzentscheidung der Bank, sondern eine gesetzliche Pflicht - und zwar eine mit klarem Fristrahmen.
Nach § 675u Abs. 1 BGB muss das Kreditinstitut den Betrag eines nicht autorisierten Zahlungsvorgangs unverzüglich gutschreiben, spätestens bis zum Ende des nächsten Geschäftstags. Das Konto ist so zu stellen, als wäre der Vorgang nie erfolgt. Diese Norm ist das Herzstück des gesetzlichen Schutzes für alle Fälle des Zahlungsbetrugs - und sie gilt ausdrücklich auch für Quishing-Vorfälle.
Die Beweislast liegt bei der Bank
Auf die erste Erstattungsanfrage reagieren Banken nach Quishing-Vorfällen häufig mit einem Standardschreiben, das grobe Fahrlässigkeit behauptet und darauf verweist, die Transaktionen seien über das beim Kunden registrierte Gerät korrekt authentifiziert worden. Diese Argumentation klingt überzeugend - sie ist es rechtlich aber nicht ohne Weiteres.
Was Sie als Nächstes prüfen sollten
§ 675w BGB
§ 675w BGB legt die Beweislast eindeutig fest: Die Bank muss nachweisen, dass der Zahlungsvorgang technisch korrekt authentifiziert wurde und keine technische Fehlfunktion vorlag. Der bloße Nachweis einer Gerätauthentifizierung reicht nicht aus, um grobe Fahrlässigkeit des Kunden zu belegen. Denn das ist das Wesen des Quishing-Angriffs: Die Täter nutzen die echten Zugangsdaten des Opfers, die auf einer gefälschten Seite erlangt wurden.
Quelle öffnen →Das Gesetz unterscheidet dabei nach Verschuldensgrad. Die folgende Tabelle fasst die wesentlichen Schwellen zusammen.
Wie die Tabelle einzuordnen ist
Für die Praxis ist wichtig: Die Tabelle ersetzt keine Einzelfallprüfung. Sie zeigt, welcher Befund welche Reaktion auslöst, welche Unterlagen Sie bündeln sollten und an welcher Stelle rechtliche Prüfung wirtschaftlich relevant wird. Erst mit Akte, Verlauf und konkreter Schadensfolge lässt sich daraus eine belastbare Anspruchsstrategie ableiten.
Der kritische Begriff in dieser Tabelle ist die grobe Fahrlässigkeit - und genau hier liegt der eigentliche Kern des rechtlichen Streits, der nach einem Quishing-Angriff regelmäßig entbrennt.
Was bedeutet grobe Fahrlässigkeit beim Quishing: Was Banken beweisen müssten - und wann das scheitert in der Praxis?
Genau hier wird es kritisch: Die Bank aus unserem Praxisfall berief sich auf grobe Fahrlässigkeit und gab sich mit dem Verweis auf die Gerätauthentifizierung zufrieden. Für die Betroffene war das kaum nachvollziehbar - die Phishing-Seite war so detailgetreu gestaltet, dass selbst aufmerksame Nutzerinnen sie nicht ohne Weiteres als Fälschung erkennen konnten. Kein offensichtliches Warnsignal, kein verdächtiger Absender, keine fehlerhafte Grammatik.
Der nächste Schritt hängt oft davon ab, wie Bankhaftung bei Phishing einzuordnen ist.
Das ist kein Versagen der Nutzerin; das ist das erklärte Ziel eines professionellen Angriffs.
Was für den nächsten Schritt zählt
Grobe Fahrlässigkeit liegt vor, wenn jemand die erforderliche Sorgfalt in besonders schwerem Maße verletzt und das außer Acht lässt, was jedem hätte einleuchten müssen. Nicht jede unbedachte Handlung bei einem Quishing-Angriff erreicht diese Schwelle. Das Scannen eines QR-Codes in einer E-Mail, die professionell gestaltet ist und authentische Merkmale der eigenen Bank imitiert, genügt in vielen Fällen nicht.
Welche Unterlagen jetzt zählen
Der rechtliche Maßstab ist die durchschnittliche Nutzerin, nicht eine IT-Sicherheitsexpertin.
Wo die Frist praktisch beginnt
§ 675v Abs. 2 und 3 BGB regeln die Haftungsverteilung: Volle Haftung des Kunden tritt nur bei Vorsatz oder grober Fahrlässigkeit ein. § 675l BGB gibt den Sorgfaltsrahmen vor, nach dem sich beurteilt, ob das Verhalten des Opfers tatsächlich grob fahrlässig war. Wer eine täuschend echte, professionell gefälschte Seite nicht als solche erkennt, handelt nicht automatisch grob fahrlässig - er wurde gezielt getäuscht.
Was jetzt praktisch wichtig ist
Den Erstattungsanspruch ernsthaft schwächen können: das Weitergeben einer TAN an eine Person, die sich telefonisch als Bankmitarbeiterin ausgibt; das aktive Bestätigen einer Push-Benachrichtigung in der echten Banking-App, während auf der Phishing-Seite Eingaben gemacht werden; oder das nachweisliche Ignorieren konkreter Warnhinweise der Bank zu genau diesem Angriffsmuster.
Ein häufiger Fehler: Betroffene akzeptieren das Standardschreiben, ohne den Beweis einzufordern, den die Bank nach § 675w BGB erbringen muss. Die erste Ablehnung ist kein letztes Wort. Im nächsten Schritt geht es darum, wie Sie diese Position rechtlich untermauert herausfordern - und warum Tempo dabei über alles entscheidet.
Welche Frist gilt nach dem Phishing-Betrug?
Im nächsten Schritt, bevor die Frist verstreicht, kommt es auf zwei Dinge an: vollständige Dokumentation und fristgerechte Geltendmachung des Anspruchs gegenüber der Bank. In der weiteren Prüfung taucht daneben häufig Phishing bei Senioren auf.
§ 676b BGB setzt einen wichtigen zeitlichen Rahmen: Ansprüche des Zahlers auf Erstattung nicht autorisierter Zahlungen müssen innerhalb von 13 Monaten nach dem Belastungsdatum geltend gemacht werden. Die Frist läuft ab dem Tag, an dem das Konto belastet wurde. Wer zu spät reagiert, riskiert, den Anspruch vollständig zu verlieren - unabhängig davon, wie gut er rechtlich begründet wäre.
Worauf Sie im Alltag achten sollten
Auf dieser Grundlage ergibt sich eine klare Priorität: Die Beweissicherung beginnt unmittelbar nach dem Vorfall, nicht erst, wenn ein Anwalt eingeschaltet wird.
Was danach entscheidend wird
Für den Nachweis nach § 675w BGB sind folgende Unterlagen besonders wichtig: der Screenshot der Original-E-Mail inklusive vollständigem E-Mail-Header (der Informationen zur echten Absenderdomain enthält), der QR-Code-Inhalt und die URL, auf die er verlinkt hat, alle Kontoauszüge und Transaktionsprotokolle zum Zeitpunkt des Vorfalls sowie der gesamte Schriftverkehr mit der Bank, insbesondere das Ablehnungsschreiben.
Wo Sie genauer hinschauen sollten
Die Strafanzeige bei der Polizei ist dabei nicht nur eine Formalität. Sie schafft einen offiziellen Nachweis des Vorfalls mit konkretem Aktenzeichen, der im späteren zivilrechtlichen Verfahren oder Schlichtungsverfahren erhebliches Gewicht haben kann. Mit dieser Dokumentation als Grundlage lässt sich der nächste Schritt strukturiert angehen.
Schritt für Schritt: Was Sie nach einem Quishing-Angriff auf Ihr Konto tun können
Anders sieht es aus, wenn Sie frühzeitig handeln und die richtigen Schritte konsequent einleiten: Dann steht der Erstattungsanspruch auf solidem Fundament, und das Standardschreiben der Bank verliert seinen einschüchternden Charakter. Für die praktische Planung kann gefälschte Onlinebanking-Loginseite entscheidend werden.
Welche Prüfung jetzt sinnvoll ist
Die Selbstständige aus unserem Praxisfall hatte nach dem Schock der leeren Konten zunächst gezögert, ob ein Widerspruch überhaupt Aussicht auf Erfolg hätte. Das Ablehnungsschreiben der Bank klang endgültig. Doch nach einer anwaltlichen Prüfung des Sachverhalts, einer strukturierten Aufbereitung der gesamten Kommunikation und einer Rekonstruktion des Angriffsverlaufs ließ sich die Beweislastfrage nach § 675w BGB präzise bewerten.
Welche Prüfung jetzt wichtig wird
Die Bank konnte den Nachweis ordnungsgemäßer Authentifizierung nicht in der erforderlichen Tiefe erbringen. Wer die Rechtslage kennt und die Unterlagen beisammen hat, steht deutlich besser da, als der erste Eindruck vermuten lässt.
Welche Prüfung jetzt wichtig wird
Konto sofort sperren: Rufen Sie den zentralen Sperr-Notruf 116 116 oder Ihre Bank direkt an
Transaktionen dokumentieren: Screenshots aller nicht autorisierten Abbuchungen mit genauen Zeitstempeln sichern
Die Original-E-Mail aufbewahren: Header-Informationen, Absenderadresse und QR-Code-Inhalt sichern; nichts löschen
Strafanzeige erstatten: Bei der Polizei, mit Kopie der E-Mail und Kontoauszügen als Anlage
Schriftliche Erstattungsanfrage stellen: Per Einschreiben an die Bank, unter Verweis auf § 675u BGB und mit ausdrücklicher Aufforderung zum Nachweis nach § 675w BGB
Ablehnung der Bank nicht widerspruchslos hinnehmen: Schlichtungsstelle einschalten oder anwaltliche Prüfung in Betracht ziehen
13-Monats-Frist im Blick behalten: Ansprüche nach § 676b BGB müssen innerhalb von 13 Monaten ab Belastungsdatum geltend gemacht werden
📋 Schlichtungsstelle als außergerichtlicher Weg
Vor einem Klageverfahren steht der Weg zur Schlichtungsstelle der Banken oder des Bundesverbands der Deutschen Volksbanken und Raiffeisenbanken offen. Das Verfahren ist strukturiert, außergerichtlich und führt in einem erheblichen Teil der Fälle zu einer Einigung. Voraussetzung ist eine vollständige Dokumentation des Vorfalls. Auch eine Beschwerde bei der BaFin ist möglich, wenn systemische Verstöße gegen aufsichtsrechtliche Pflichten im Raum stehen.
Hat Ihre Bank nach einem Quishing-Vorfall die Erstattung abgelehnt? Wir prüfen, ob die Ablehnung einer rechtlichen Überprüfung standhält.
Rechtliche Einschätzung anfragenFür die nächste Prüfung sind Kontoauszüge, Bankkommunikation, Screenshots des QR-Codes und die genaue Zeitleiste entscheidend. Diese Unterlagen zeigen, ob die Bank den Zahlungsvorgang wirklich als autorisiert beweisen kann.
Sichern Sie E-Mail, QR-Code, Phishing-URL, App-Benachrichtigungen, Kontoauszüge und die Antwort der Bank. Je genauer die Chronologie dokumentiert ist, desto schwerer wird eine pauschale Ablehnung mit angeblicher grober Fahrlässigkeit.
Häufige Fragen zur Bankhaftung bei QR-Code-Betrug
Auf dieser Grundlage lassen sich die Fragen beantworten, die Betroffene am häufigsten stellen - und die das Standardschreiben der Bank meist offenlässt. Der nächste Schritt hängt oft davon ab, wie Phishing-Schaden rechtlich einordnen einzuordnen ist.
Muss ich beweisen, dass ich nicht fahrlässig war?
Nein. § 675w BGB legt die Beweislast bei der Bank. Sie muss nachweisen, dass der Zahlungsvorgang ordnungsgemäß authentifiziert wurde und keine technische Fehlfunktion vorlag. Betroffene müssen nicht belegen, dass sie sorgfältig gehandelt haben - sie müssen den Anspruch lediglich geltend machen.
Was gilt als grobe Fahrlässigkeit bei Quishing?
Nicht schon das Hereinfallen auf eine täuschend echt gestaltete Phishing-Seite. Grob fahrlässig handelt, wer die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt - das setzt mehr voraus als das Scannen eines professionell gefälschten QR-Codes ohne erkennbare Warnsignale.
Gilt die Haftungsregel auch für Geschäftskonten?
Ja. Die §§ 675c ff. BGB gelten grundsätzlich auch für Zahlungsdienste im geschäftlichen Bereich, sofern kein wirksamer vertraglicher Ausschluss vereinbart wurde. Bei Zweifeln sollten die konkreten Kontobedingungen anwaltlich geprüft werden.
Kann ich auch nach sechs Monaten noch Ansprüche geltend machen?
Ja, innerhalb der 13-Monats-Frist nach § 676b BGB. Die Frist läuft ab dem Belastungsdatum auf dem Konto. Handeln Sie möglichst früh, aber der Anspruch ist nicht nach wenigen Wochen verwirkt.
Was tun, wenn die Bank eine Teilerstattung anbietet?
Eine Teilerstattung sollte nicht voreilig akzeptiert werden, wenn der Sachverhalt auf einen vollständigen Erstattungsanspruch nach § 675u BGB hindeutet. Eine Annahme kann unter Umständen als Verzicht auf den Restanspruch gewertet werden. Lassen Sie das Angebot anwaltlich einordnen, bevor Sie zustimmen.
Das Wichtigste auf einen Blick: Ihre Rechte nach Quishing-Betrug
Doch was bleibt, wenn man die rechtlichen Details beiseitelegt? Eine klare Kernaussage, die für jeden Quishing-Fall gilt. In der weiteren Prüfung taucht daneben häufig Bankhaftung nach Phishing auf.
Welche Prüfung jetzt wichtig wird
Quishing ist eine technisch ausgereifte Betrugsform, die gezielt darauf ausgelegt ist, selbst aufmerksamen Bankkunden täuschend echt zu erscheinen. Das Gesetz trägt diesem Umstand Rechnung: Nach §§ 675u, 675v, 675w und 676b BGB gilt der Grundsatz, dass nicht autorisierte Zahlungen erstattungspflichtig sind und grobe Fahrlässigkeit von der Bank bewiesen werden muss - nicht vom Opfer widerlegt werden muss. Der 50-Euro-Selbstbehalt nach § 675v Abs.
Welche Prüfung jetzt wichtig wird
1 BGB greift nur bei einem einfachen Pflichtverstoß; der vollständige Anspruchsverlust setzt Vorsatz oder nachgewiesene grobe Fahrlässigkeit voraus.
Welche Prüfung jetzt wichtig wird
Wer die Beweislastfrage kennt, die Unterlagen frühzeitig sichert und die 13-Monats-Frist des § 676b BGB im Blick behält, steht in vielen Fällen deutlich besser da, als das erste Ablehnungsschreiben der Bank vermuten lässt. Die Selbstständige aus unserem Praxisfall hatte das erfahren: Ein Standardschreiben ist keine rechtskräftige Entscheidung.
Welche Prüfung jetzt wichtig wird
Es ist der Beginn einer Auseinandersetzung, in der die gesetzliche Ausgangsposition der Betroffenen stärker ist, als sie auf den ersten Blick erscheint. Wer rechtzeitig handelt, hat gute Chancen auf vollständige Erstattung.
Welche Prüfung jetzt wichtig wird
Wir prüfen Ihren Fall und erläutern Ihnen, welche nächsten Schritte sinnvoll sind.
Rechtliche Einschätzung anfragenRechtsquellen zur Einordnung
Jan-Henning Ahrens
Jan-Henning Ahrens und KWAG Rechtsanwälte beraten Mandanten insbesondere im Bankrecht, Kapitalmarktrecht, bei Anlage- und Internetbetrug sowie in wirtschaftsrechtlichen Streitigkeiten.
Mehr über die Kanzlei
