Phishing beim Online-Banking: Wann die Bank haften muss

Eine SMS der Hausbank, kurz darauf ein Anruf des angeblichen Sicherheitsteams, wenige Minuten später fehlen mehrere tausend Euro auf dem Konto. Betrug beim Online-Banking gehört inzwischen zu den häufigsten Straftaten im Netz. Für Betroffene entscheidet sich unmittelbar danach eine zentrale Frage: Muss die Bank den Betrag erstatten oder bleiben Sie auf dem Schaden sitzen? Die Antwort ergibt sich nicht aus dem Bauchgefühl der Bank, sondern aus dem Zahlungsdiensterecht des BGB.

Phishing beim Online-Banking: Diese Maschen nutzen Täter aktuell

Der Cybersicherheitsmonitor 2026 des Bundesamts für Sicherheit in der Informationstechnik (BSI) und der Polizeilichen Kriminalprävention der Länder und des Bundes zeichnet ein deutliches Bild. Elf Prozent der Internetnutzerinnen und Internetnutzer in Deutschland wurden innerhalb der vergangenen zwölf Monate Opfer von Cyberkriminalität. Unter den Betroffenen berichten 13 Prozent von Betrug beim Onlinebanking oder dem Missbrauch von Kontodaten, 12 Prozent von Phishing und 14 Prozent von Fremdzugriffen auf Online-Accounts. Fast neun von zehn Betroffenen ist ein Schaden entstanden, ein Drittel meldet direkte finanzielle Verluste.

Die Angriffswege haben sich dabei verschoben. Die schlecht übersetzte Massenmail spielt kaum noch eine Rolle. Stattdessen setzen Täter auf Smishing über gefälschte SMS im Nachrichtenverlauf der echten Bank, auf Quishing mit manipulierten QR-Codes und auf Vishing, also den Anruf eines vermeintlichen Bankmitarbeiters mit gefälschter Rufnummer. Der Cybersicherheitsmonitor benennt Online-Betrug und Künstliche Intelligenz ausdrücklich als Fokusthema, weil generative Systeme Fälschungen sprachlich und gestalterisch nahezu fehlerfrei machen. Phishing ist damit nur eine Erscheinungsform des Online-Betrugs, der Verbraucherinnen und Verbraucher heute über nahezu jeden digitalen Kanal erreicht.

Entscheidend für die rechtliche Bewertung ist ein technischer Punkt: Zugangsdaten allein genügen den Tätern nicht. Seit der Pflicht zur starken Kundenauthentifizierung braucht jede Überweisung eine zweite Freigabe, etwa per Push-TAN oder chipTAN. Deshalb zielen die Angriffe nicht mehr auf das Passwort, sondern auf den Menschen davor. Beim sogenannten Echtzeit-Phishing sitzt der Täter parallel in der echten Banking-Umgebung und leitet die vom Opfer eingegebene TAN sofort weiter. Eine besonders schadensträchtige Variante ist die Freigabe einer Geräteregistrierung: Wer sie bestätigt, gibt dem Täter dauerhaft ein eigenes, vollwertiges Zugangsgerät. Die typischen Abläufe und Schadensbilder sind auf unserer Seite zum Online-Banking-Betrug ausführlich dargestellt.

Wenn Sie einen solchen Vorfall bemerken, zählt jede Stunde. Lassen Sie die Rechtslage prüfen, bevor Sie gegenüber der Bank Erklärungen abgeben, die später gegen Sie verwendet werden.

Nicht autorisierte Zahlung: Wann die Bank nach § 675u BGB erstatten muss

Der rechtliche Ausgangspunkt ist einfacher, als viele Betroffene annehmen. Nach § 675j Abs. 1 BGB ist ein Zahlungsvorgang nur dann wirksam, wenn der Zahler ihm zugestimmt hat. Fehlt diese Zustimmung, handelt es sich um einen nicht autorisierten Zahlungsvorgang. Die Folge regelt § 675u BGB: Die Bank hat in diesem Fall keinen Anspruch auf Erstattung ihrer Aufwendungen. Sie muss dem Zahler den Zahlungsbetrag unverzüglich erstatten und das Konto wieder auf den Stand bringen, auf dem es ohne die Belastung gewesen wäre.

Der Gesetzgeber hat dafür eine klare Frist gesetzt. Die Erstattung hat unverzüglich zu erfolgen, spätestens bis zum Ende des Geschäftstags, der auf den Tag folgt, an dem die Bank Kenntnis von der nicht autorisierten Zahlung erlangt hat oder eine entsprechende Anzeige erhalten hat. Der Anspruch steht also nicht unter dem Vorbehalt, dass die Bank ihre internen Ermittlungen abgeschlossen hat. In der Praxis wird genau das jedoch regelmäßig behauptet. Dieselben Grundsätze gelten im Übrigen für andere Zahlungsinstrumente, etwa wenn Sie Opfer von Kreditkartenbetrug geworden sind.

Die schwierigste Abgrenzung betrifft Fälle, in denen das Opfer selbst eine TAN eingegeben hat. Die Bank leitet daraus gern ab, die Zahlung sei autorisiert und der Fall damit erledigt. Diese Schlussfolgerung greift zu kurz. Die Zustimmung nach § 675j BGB bezieht sich immer auf einen konkreten Zahlungsvorgang mit bestimmtem Betrag und bestimmtem Empfänger. Wer eine TAN in einer gefälschten Oberfläche eingibt, weil ihm eine angebliche Sicherheitsprüfung oder eine Rückbuchung vorgespiegelt wird, stimmt der tatsächlich ausgeführten Überweisung an einen unbekannten Dritten gerade nicht zu. Rechtlich bleibt der Vorgang damit nicht autorisiert. Ob die Bank dennoch etwas zurückverlangen kann, ist eine andere Frage und richtet sich nach § 675v BGB.

Wichtig ist zudem die Anzeigeobliegenheit aus § 676b BGB. Betroffene müssen die nicht autorisierte Belastung unverzüglich nach Feststellung anzeigen. Spätestens 13 Monate nach der Belastungsbuchung sind Ansprüche ausgeschlossen. Wer Kontoauszüge nicht kontrolliert, riskiert daher den vollständigen Verlust seiner Rechte.

Prüfen Sie unmittelbar, ob Ihr Fall als nicht autorisierter Zahlungsvorgang einzuordnen ist. Von dieser Weichenstellung hängt ab, wer im weiteren Verfahren was beweisen muss.

Grobe Fahrlässigkeit nach § 675v BGB: Wann Ihr Erstattungsanspruch entfällt

Der Erstattungsanspruch aus § 675u BGB ist nicht bedingungslos. Über § 675v Abs. 3 BGB kann die Bank Schadensersatz in voller Höhe verlangen, wenn der Zahler den Schaden in betrügerischer Absicht herbeigeführt oder seine Pflichten aus § 675l Abs. 1 BGB beziehungsweise die vereinbarten Bedingungen für die Nutzung des Zahlungsinstruments vorsätzlich oder grob fahrlässig verletzt hat. Praktisch führt dieser Gegenanspruch dazu, dass der Kunde wirtschaftlich leer ausgeht. Genau hier setzen Banken bei Phishing-Fällen fast immer an, wie unsere Erfahrungen aus zahlreichen Betrugsfällen bei der Commerzbank und bei anderen Instituten zeigen.

Grobe Fahrlässigkeit bedeutet, dass die im Verkehr erforderliche Sorgfalt in besonders schwerem Maß verletzt wurde und schon einfachste, ganz naheliegende Überlegungen nicht angestellt worden sind. Das ist eine Bewertung des Einzelfalls und keine pauschale Kategorie. Ein pauschaler Verweis der Bank, das Opfer habe eben eine TAN herausgegeben, genügt dafür nicht.

Gegen den Vorwurf der groben Fahrlässigkeit sprechen häufig die Umstände des Angriffs. Wurde die Rufnummer der Bank technisch gespoofed, war die gefälschte Seite optisch identisch mit dem Original, hat der Täter zutreffende persönliche Daten genannt, oder lief der Angriff in Echtzeit parallel zur echten Banking-Sitzung? Auch die Gestaltung der Freigabemeldung selbst ist relevant. Wenn im Push-TAN-Text der Empfänger und der Betrag nicht klar erkennbar sind, kann dem Kunden kaum vorgeworfen werden, dass er den abweichenden Inhalt nicht bemerkt hat.

Zwei weitere Regelungen werden regelmäßig übersehen. Nach § 675v Abs. 4 BGB haftet der Zahler nicht, wenn die Bank keine starke Kundenauthentifizierung im Sinne des § 55 ZAG verlangt hat oder wenn sie keine geeignete Möglichkeit zur Anzeige des Verlusts bereitgestellt hat. Und nach § 675v Abs. 5 BGB entfällt die Haftung für alle Schäden, die nach der Anzeige entstanden sind. Ein einziger unklarer Punkt in den Systemen der Bank kann den Fall daher vollständig drehen.

Hat Ihre Bank die Erstattung mit dem Hinweis auf grobe Fahrlässigkeit abgelehnt, sollten Sie diese Begründung anwaltlich prüfen lassen, statt sie hinzunehmen.

Beweislast nach § 675w BGB und Sofortmaßnahmen nach einem Phishing-Angriff

Wer im Streit über eine Phishing-Überweisung was beweisen muss, entscheidet den Fall oft stärker als die materielle Rechtslage. § 675w BGB verteilt die Last eindeutig zulasten der Bank. Ist die Autorisierung eines Zahlungsvorgangs streitig, muss die Bank nachweisen, dass der Zahlungsvorgang authentifiziert wurde und dass er ordnungsgemäß aufgezeichnet, verbucht und nicht durch eine Störung beeinträchtigt wurde.

Der praktisch wichtigste Teil der Norm steht am Ende. Die bloße Aufzeichnung der Nutzung eines Zahlungsinstruments einschließlich der Authentifizierungsinstrumente reicht für sich genommen nicht aus, um zu beweisen, dass der Zahler den Zahlungsvorgang autorisiert oder seine Pflichten vorsätzlich oder grob fahrlässig verletzt hat. Wenn eine Bank also nichts weiter vorlegt als ein Systemprotokoll, in dem eine korrekt eingegebene TAN dokumentiert ist, hat sie ihren Vortrag noch nicht erbracht. Ein automatischer Anscheinsbeweis zulasten des Kunden folgt aus solchen Protokollen gerade nicht.

Für Betroffene bedeutet das: Die eigene Beweisposition muss von der ersten Stunde an gesichert werden. Folgende Schritte sind nach einem Phishing-Vorfall vorrangig:

  • Konto sperren: Zugang und Karten über die Sperr-Hotline sofort sperren lassen, Uhrzeit und Gesprächspartner notieren.
  • Erstattung verlangen: Die Belastung schriftlich und nachweisbar als nicht autorisiert anzeigen und die Erstattung nach § 675u BGB fordern.
  • Beweise sichern: Screenshots der gefälschten Seite, SMS, E-Mails, Rufnummern, Zeitstempel und Wortlaut der Freigabemeldung dokumentieren.
  • Strafanzeige stellen: Die Anzeige bei der Polizei sichert Spuren und stützt die Darstellung gegenüber der Bank.
  • Geräte prüfen: Registrierte Geräte, Freigabeeinstellungen und hinterlegte Rufnummern im Online-Banking kontrollieren und Zugangsdaten ändern.
  • Fristen wahren: Die Anzeigefrist des § 676b BGB und die Ausschlussfrist von 13 Monaten im Blick behalten.

Wurde das Geld bereits weitergeleitet, ist häufig eine Verfolgung der Zahlungswege erforderlich. Bei einer Umwandlung in Kryptowerte greifen wir dafür auf die Instrumente zurück, die wir auch im Bereich Kryptobetrug einsetzen, etwa die Blockchain-Analyse und die Inanspruchnahme beteiligter Zahlungsdienstleister. Vermeiden Sie dabei jede vorschnelle Formulierung, mit der Sie ein eigenes Verschulden einräumen, und lassen Sie den Schriftverkehr mit der Bank vor dem Absenden prüfen.

Wann lohnt sich anwaltliche Beratung bei Phishing im Online-Banking?

Anwaltliche Unterstützung ist immer dann sinnvoll, wenn die Bank die Erstattung ablehnt, den Vorgang über Wochen prüft oder pauschal auf grobe Fahrlässigkeit verweist. Auch die Reaktion auf ein Schreiben, in dem die Bank Schadensersatz nach § 675v Abs. 3 BGB geltend macht, sollte nicht ohne rechtliche Einordnung erfolgen. Gleiches gilt bei hohen Beträgen, bei mehreren Buchungen über verschiedene Tage und bei Fällen mit Auslandsbezug.

Die anwaltliche Prüfung setzt an mehreren Punkten an: Lag überhaupt eine wirksame Autorisierung des konkreten Zahlungsvorgangs vor? Hat die Bank eine starke Kundenauthentifizierung nach § 55 ZAG eingesetzt und war deren Ausgestaltung geeignet, den Zahlungsvorgang eindeutig erkennbar zu machen? Trägt die Bank die Voraussetzungen des § 675v Abs. 3 BGB substantiiert vor oder stützt sie sich allein auf Protokolle, die nach § 675w BGB nicht ausreichen? Und gab es auffällige Buchungsmuster, bei denen eine Warnpflicht der Bank in Betracht kommt? Eine erste Einschätzung erhalten Sie über unsere Erstberatung.

Rogert & Ulbrich vertritt Mandantinnen und Mandanten bundesweit im Bankrecht und bei Betrugsfällen aller Art. Die Kanzlei um Dr. Marco Rogert und Tobias Ulbrich hat über 40.000 Mandate übernommen und über 25.000 Klagen eingereicht, ein wesentlicher Teil davon gegen Banken und Finanzdienstleister. Die Bearbeitung erfolgt außergerichtlich gegenüber der Bank und, wenn erforderlich, im Klageverfahren. Für das Rheinland und das Ruhrgebiet bestehen zusätzlich eigene Anlaufstellen, etwa für Düsseldorf, Köln und Essen.

Wenn Ihre Bank die Rückbuchung verweigert, nehmen Sie Kontakt auf, solange Belege, Protokolle und Zeitangaben noch vollständig verfügbar sind.

Fazit: Phishing beim Online-Banking und die Haftung der Bank

Phishing im Online-Banking ist längst kein Randphänomen mehr, sondern trifft laut dem Cybersicherheitsmonitor 2026 einen erheblichen Teil der Bevölkerung. Die rechtliche Ausgangslage ist dabei besser, als die erste Reaktion vieler Banken vermuten lässt. Bei einem nicht autorisierten Zahlungsvorgang besteht ein Erstattungsanspruch aus § 675u BGB, und zwar unverzüglich und ohne Vorbehalt interner Ermittlungen. Die Bank kann sich nur befreien, wenn sie die Voraussetzungen des § 675v Abs. 3 BGB darlegt und beweist.

Der Vorwurf der groben Fahrlässigkeit ist dabei kein Automatismus, sondern eine Einzelfallbewertung, die von der Qualität der Fälschung, der Gestaltung der Freigabemeldung und dem konkreten Ablauf abhängt. Und die Beweislast liegt nach § 675w BGB bei der Bank, die sich nicht auf ein bloßes Systemprotokoll zurückziehen kann. Wer schnell anzeigt, Beweise sichert, die Frist des § 676b BGB wahrt und die Ablehnung der Bank nicht als endgültig hinnimmt, verbessert seine Position erheblich.

FAQs – Häufig gestellte Fragen zu Phishing beim Online-Banking