Haben Betrüger über VR SecureGo Geld vom Konto abgebucht? Das ist nicht automatisch verloren - die Bank muss es grundsätzlich zurückzahlen. § 675u BGB verpflichtet sie zur unverzüglichen Erstattung nicht autorisierter Zahlungen; nur bei nachgewiesener grober Fahrlässigkeit des Kunden entfällt die Haftung. Betrug sofort bei der Bank melden und Strafanzeige erstatten.
Sie haben nach einem Phishing-Angriff auf Ihre VR-Banking-App eine Abbuchung entdeckt, die Sie nicht veranlasst haben? Entscheidend ist dabei die Frist: Nach 13 Monaten ab der Belastung verfällt der Erstattungsanspruch. Im Folgenden klären wir, wann die Bank haftet, wie die Beweislast verteilt ist und welche Schritte die Erstattungschancen sichern.
Eine berufstätige Person, die ihr Online-Banking seit Jahren ohne besondere Vorkommnisse nutzt, erhält eine SMS, die auf den ersten Blick täuschend echt wie eine offizielle Nachricht ihrer Volksbank aussieht: Die VR-SecureGo-App müsse dringend aktualisiert werden. Der beigefügte Link öffnet eine Seite, die der echten Bankwebsite zum Verwechseln ähnelt. Nach Eingabe der Zugangsdaten und einer vermeintlichen Sicherheitsbestätigung in der App werden mehrere Überweisungen auf unbekannte Konten ausgeführt, die die Person weder beauftragt noch bemerkt hat.
Wer sein Online-Banking verantwortungsbewusst nutzt und trotzdem Opfer einer professionell gefälschten Volksbank-Nachricht wird, fragt sich zu Recht: Bin ich verpflichtet, diesen Schaden selbst zu tragen? Das Gesetz gibt eine klare Ausgangsposition vor: Nein, nicht automatisch. Entscheidend ist, ob die Abbuchung rechtlich als nicht autorisierter Zahlungsvorgang einzustufen ist und welche Beweislast die Bank trifft.
Um zu verstehen, warum selbst erfahrene Bankkunden auf diese Maschen hereinfallen, lohnt ein Blick auf den typischen Angriffsverlauf.
Wie VR-SecureGo-Phishing abläuft und warum es so schwer zu erkennen ist
Ein Blick auf den typischen Ablauf zeigt, wie raffiniert diese Angriffe aufgebaut sind:
Die Täter versenden massenhaft SMS-Nachrichten, die scheinbar direkt von der Volksbank stammen. Optisch sind diese Nachrichten kaum von echten Bankbenachrichtigungen zu unterscheiden: vertrauter Absendername, professionelles Layout, offiziell wirkende Formulierungen. Der enthaltene Link führt auf eine Phishing-Seite, die der Anmeldeoberfläche des echten Online-Bankings bis ins Detail nachgebaut ist.
Das eigentliche Täuschungsmanöver: Echtzeit-Phishing
Wer dort seine Zugangsdaten eingibt, übergibt den Betrügern die Kontrolle über das Konto. Die eigentliche Täuschung folgt unmittelbar danach: Die Angreifer lösen parallel in der echten VR-SecureGo-App des Opfers Freigabeanfragen für Überweisungen aus. Das Opfer glaubt, eine Sicherheitsprüfung zu bestätigen, und tippt in der App auf "Freigeben". Tatsächlich autorisiert es in diesem Moment Zahlungen auf fremde Konten.
Worauf es jetzt ankommt
Diese Methode wird als Echtzeit-Phishing oder Man-in-the-Middle-Angriff bezeichnet. Sie nutzt gezielt die kurze Zeitspanne aus, in der das Opfer noch nicht versteht, was gerade passiert. Dass jemand auf eine so gestaltete Masche hereinfällt, sagt nichts über mangelnde digitale Kompetenz aus, sondern zeigt die kriminelle Professionalität dieser Angriffe.
Genau dieser Ablauf ist rechtlich entscheidend, denn ob die Bank haftet, hängt davon ab, ob eine wirksame Autorisierung im Sinne des Gesetzes vorlag.
Was § 675u BGB bedeutet: Erstattungspflicht der Bank bei nicht autorisierten Zahlungen
Doch was bedeutet das konkret für den Anspruch auf Rückzahlung?
§ 675u BGB
Wurde ein Zahlungsvorgang nicht wirksam autorisiert, ist das Kreditinstitut verpflichtet, den Betrag unverzüglich zu erstatten und das Konto auf den Zustand zurückzusetzen, der ohne die Belastung bestanden hätte. Der Zahlungsdienstleister trägt dabei die Beweislast dafür, dass eine wirksame Autorisierung vorlag.
Quelle öffnen →Was eine wirksame Autorisierung im Phishing-Kontext bedeutet
§ 675j BGB legt fest, dass ein Zahlungsvorgang nur dann autorisiert ist, wenn der Kontoinhaber tatsächlich in der vereinbarten Form zugestimmt hat. Eine durch Täuschung erschlichene Bestätigung, das Freigeben einer Überweisung in der App, ohne zu wissen, was man gerade genehmigt, gilt nach herrschender Rechtsauffassung nicht als wirksame Autorisierung.
§ 675v BGB regelt die Ausnahme: Wenn der Kunde vorsätzlich gehandelt oder grob fahrlässig gegen seine Sicherheitspflichten verstoßen hat, trägt er selbst den Schaden. Grobe Fahrlässigkeit liegt vor, wenn elementare Sorgfaltspflichten in besonders schwerem Maße verletzt wurden.
Wer muss was beweisen?
Hier liegt der Kern vieler Erstattungsstreitigkeiten: Die Bank muss beweisen, dass der Kunde entweder tatsächlich autorisiert hat oder grob fahrlässig gehandelt hat. Wer als Opfer eines Phishing-Angriffs reklamiert, trägt diese Beweislast nicht. Die Bank kann sich dabei nicht allein auf die technisch protokollierte App-Freigabe stützen, sondern muss konkret darlegen, warum der Kunde wissen musste oder hätte erkennen können, was er freigibt.
So klar das Gesetz klingt: In der Praxis begegnen Betroffene nach ihrer Reklamation häufig einem bestimmten Gegenargument der Bank.
Wenn die Bank ablehnt: Was spricht gegen das Fahrlässigkeitsargument?
Genau hier wird es kritisch, denn nach der Abbuchung folgt oft eine zweite Schockerfahrung. Der nächste Schritt hängt oft davon ab, wie Phishing-Schäden bei Bankkunden einzuordnen ist.
Was Sie als Nächstes prüfen sollten
Die Person aus unserem Praxisfall entdeckt die unautorisierten Abbuchungen, sperrt das Online-Banking sofort, erstattet Strafanzeige, sichert die Phishing-SMS und Screenshots der Fake-Website und meldet den Vorfall schriftlich bei der Bank. Trotzdem trifft sie wenig später ein Schreiben der Bank: Erstattung werde abgelehnt, da der Kunde die Transaktionen durch Bestätigung in der App selbst autorisiert habe und damit gegen seine Sicherheitspflichten verstoßen habe.
Viele Banken lehnen nach einem Phishing-Betrug zunächst pauschal ab und verweisen auf die protokollierte App-Freigabe. Das ist kein rechtskräftiger Bescheid. Das Institut muss grobe Fahrlässigkeit konkret und substantiiert nachweisen, nicht nur behaupten.
Warum die Fahrlässigkeitseinrede oft nicht trägt
Das bloße Bestätigen einer angeblichen Sicherheitsabfrage in der App ist nach verbreiteter gerichtlicher Beurteilung kein ausreichendes Indiz für grobe Fahrlässigkeit, wenn das Täuschungsbild professionell gestaltet war und keine offensichtlichen Warnsignale ignoriert wurden. Phishing-Seiten, die echten Bankseiten nahezu identisch nachgebaut sind, senken die Erkennbarkeit auf ein Niveau, das normalen Sorgfaltsmaßstäben standhält.
Entscheidend ist zudem § 675l BGB: Die Bank ist verpflichtet, wirksame Sicherheitsverfahren anzubieten und auf Auffälligkeiten zu reagieren. Wenn das Verfahren durch professionelle Angreifer systematisch unterlaufen werden kann, lässt sich das nicht vollständig zulasten des Kunden wenden.
Sie haben eine Phishing-Abbuchung gemeldet und die Bank lehnt ab? Wir prüfen Ihren Erstattungsanspruch und die Tragfähigkeit der Fahrlässigkeitseinrede.
Rechtliche Einschätzung anfragenWelche Schritte sichern den Erstattungsanspruch nach einem Phishing-Angriff?
Nach einem Phishing-Betrug über VR SecureGo kommt es auf schnelles und dokumentiertes Handeln an. Die gesetzliche Ausschlussfrist beträgt 13 Monate ab der Kontobelastung. Wer diese Frist verstreichen lässt, verliert den gesetzlichen Erstattungsanspruch, auch wenn er inhaltlich im Recht wäre. In der weiteren Prüfung taucht daneben häufig Phishing bei Senioren auf.
Sofortmaßnahmen nach der Entdeckung
Folgende Schritte sollten unmittelbar nach Bemerken des Schadens erfolgen:
Online-Banking-Zugang sperren lassen (Volksbank-Hotline oder zentraler Sperr-Notruf 116 116)
Phishing-SMS, verdächtige E-Mails und Screenshots der Fake-Website sichern
Kontoauszüge mit den strittigen Buchungsdaten herunterladen und aufbewahren
Strafanzeige bei der Polizei erstatten und das Aktenzeichen notieren
Schriftliche, datierte Reklamation bei der Bank mit konkreter Benennung der betroffenen Buchungen einreichen
Bevor Sie die nächsten Schritte prüfen
Wichtig ist zuerst die Einordnung, welche Entscheidung, Frist oder Forderung tatsächlich betroffen ist. Erst danach sollte die praktische Checkliste abgearbeitet werden. Legen Sie Unterlagen, Fristen und die bisherige Kommunikation zusammen, bevor Sie den nächsten Schritt festlegen.
💡 Frist nicht versäumen
Die Reklamation bei der Bank sollte unverzüglich nach Kenntnis des Vorfalls erfolgen. Die gesetzliche Ausschlussfrist beträgt 13 Monate ab der Kontobelastung. Wer nach einer ersten Ablehnung abwartet, riskiert den endgültigen Verlust des Erstattungsanspruchs.
Welche Unterlagen und Beweise zählen wirklich?
Wer die folgenden Beweismittel vollständig sichert, schafft eine deutlich bessere Ausgangsposition für die rechtliche Auseinandersetzung mit der Bank. Jede gut dokumentierte Phishing-Situation erhöht die Möglichkeit, die Erstattungspflicht der Bank durchzusetzen. Für die praktische Planung kann Identitätsdiebstahl nach Phishing entscheidend werden.
Wie geht es nach der Ablehnung weiter?
Die Person aus unserem Praxisfall hat alle richtigen Schritte unternommen: Das Online-Banking sofort gesperrt, Strafanzeige erstattet, alle Belege gesichert, schriftlich bei der Bank reklamiert. Die Bank bleibt trotzdem bei ihrer Ablehnung. Jetzt zeigt sich, ob die Argumentation der Bank einer rechtlichen Überprüfung tatsächlich standhält. Der nächste Schritt hängt oft davon ab, wie E-Mail-Phishing mit gefälschter Rechnung einzuordnen ist.
Eine anwaltliche Prüfung analysiert, ob das Institut konkrete Anhaltspunkte für grobe Fahrlässigkeit benennt oder ob es lediglich auf die technische App-Protokollierung verweist. Letzteres reicht rechtlich nicht aus. Bleibt die Bank bei einer formalen Ablehnung ohne substantiierte Begründung, sind weitere Schritte möglich: Eskalation an die Bankleitung, Einschaltung des Ombudsmanns der Volksbanken und Raiffeisenbanken oder gerichtliche Geltendmachung des Erstattungsanspruchs.
So sichern Sie Ihren Erstattungsanspruch nach VR-SecureGo-Phishing
- ◆Online-Banking sofort sperren lassen (Volksbank-Hotline oder 116 116)
- ◆Phishing-SMS und E-Mails sichern (Screenshots + Original aufbewahren)
- ◆Screenshots der gefälschten Bankwebsite anfertigen
Was danach zu prüfen ist
- ◆Kontoauszüge mit allen strittigen Abbuchungen herunterladen
- ◆Strafanzeige bei der Polizei erstatten, Aktenzeichen notieren
- ◆Bank schriftlich und unverzüglich reklamieren, strittige Buchungen konkret benennen
Welche Frist jetzt zählt
- ◆Ablehnungsschreiben der Bank aufbewahren und Begründung prüfen
- ◆Anwaltliche Überprüfung einholen, ob die Bank ihre Beweislast erfüllt hat
- ◆13-Monats-Frist ab Kontobelastung im Blick behalten
Was Sie daraus mitnehmen
Was können Sie nach einer Ablehnung konkret tun?
Wer eine Phishing-Abbuchung erlitten und von der Bank eine pauschale Ablehnung erhalten hat, sollte diese nicht als abschließendes Urteil hinnehmen. Das Gesetz stellt Betroffenen eine klare Anspruchsgrundlage zur Verfügung, und die Beweislast liegt auf der Seite der Bank. Ob die konkrete Ablehnung rechtlich tragfähig ist, lässt sich durch eine strukturierte Prüfung der Bankkorrespondenz und des Sachverhalts klären.
In der weiteren Prüfung taucht daneben häufig Fake-Kundenservice beim Phishing auf.
Wir bei KWAG Rechtsanwälte begleiten Betroffene in genau dieser Situation: von der Sichtung der Bankkorrespondenz über die Beurteilung der Fahrlässigkeitsfrage bis zur außergerichtlichen oder gerichtlichen Geltendmachung des Erstattungsanspruchs. Anwaltliche Prüfung kann den Anspruch konkretisieren und den nächsten Schritt vorbereiten.
Lehnt Ihre Bank die Erstattung nach einem VR-SecureGo-Phishing-Angriff ab? Wir prüfen, ob die Ablehnung einer rechtlichen Überprüfung standhält, und bereiten den nächsten Schritt vor.
Rechtliche Einschätzung anfragenRechtsquellen zur Einordnung
Jan-Henning Ahrens
Jan-Henning Ahrens und KWAG Rechtsanwälte beraten Mandanten insbesondere im Bankrecht, Kapitalmarktrecht, bei Anlage- und Internetbetrug sowie in wirtschaftsrechtlichen Streitigkeiten.
Mehr über die Kanzlei
