Kontakt

Auf Phishing reingefallen: Was tun? - Tipps vom Anwalt

Phishing-Angriffe gehören inzwischen zu den häufigsten Betrugsformen im Online-Banking. Kriminelle versenden täuschend echte E-Mails, SMS oder richten gefälschte Internetseiten ein, um an Zugangsdaten, TAN oder Kreditkarteninformationen zu gelangen. Wer auf eine solche Nachricht hereinfällt, bemerkt den Schaden häufig erst, wenn bereits hohe Beträge vom Konto abgebucht wurden. Wer auf Phishing reingefallen ist, stellt sich oft dieselbe Frage: Wer haftet für den entstandenen Schaden – die Bank oder der Kunde? Und vor allem: Was tun?

Dieser Beitrag zeigt, welche rechtlichen Ansprüche bestehen, welche Pflichten Kontoinhaber treffen und wie eine Bankrechtskanzlei bei der Durchsetzung von Erstattungsansprüchen unterstützt.

Bei unautorisierten Abbuchungen nach einem Phishing-Angriff ist eine rechtliche Einordnung oft sinnvoll. Wir prüfen Ihren Anspruch auf Erstattung gegenüber der Bank, bewerten den Vorwurf grober Fahrlässigkeit und setzen Ihre Rechte konsequent durch. Nehmen Sie Kontakt zu uns auf und lassen Sie Ihren Fall in einem unverbindlichen Erstgespräch einschätzen.

Kontakt

Was ist Phishing?

Der Begriff Phishing beschreibt Internetbetrug, bei der Täter sensible Daten abgreifen, indem sie sich als vertrauenswürdige Institution ausgeben. Betroffen sind insbesondere Kunden von Banken, Kreditkartenanbietern oder Zahlungsdienstleistern.

Typische Erscheinungsformen sind:

  • E-Mails mit angeblicher Sicherheitswarnung
  • SMS mit Link zu einer vermeintlichen Banking-Seite
  • Anrufe durch angebliche Bankmitarbeiter
  • Gefälschte Webseiten, die dem Original täuschend ähnlich sehen

Ziel ist stets, Zugangsdaten und Authentifizierungsmittel zu erlangen, um anschließend Überweisungen oder Kartenzahlungen auszulösen.

Auf Phishing reingefallen: Erste Schritte

Wer den Verdacht hat, Opfer eines Phishing-Angriffs geworden zu sein, sollte möglichst schnell handeln. Zeit ist in diesen Fällen ein entscheidender Faktor.

Folgende Maßnahmen sind umgehend zu ergreifen:

  • Sperrung des Online-Banking-Zugangs
  • Sperrung von Debit- oder Kreditkarten
  • Kontaktaufnahme mit der Bank
  • Dokumentation aller Vorgänge
  • Erstattung einer Strafanzeige

Die Sperrung erfolgt über den zentralen Sperr-Notruf 116 116 oder direkt bei der Bank. Jede Verzögerung erhöht das Risiko weiterer Abbuchungen.

Haftung bei Phishing: Wer trägt den Schaden?

Rechtlich maßgeblich sind die Vorschriften der §§ 675c ff. BGB. Entscheidend ist insbesondere § 675u BGB. Danach hat die Bank nicht autorisierte Zahlungsvorgänge unverzüglich zu erstatten.

Ein Zahlungsvorgang gilt als nicht autorisiert, wenn der Kontoinhaber ihm nicht zugestimmt hat. Bei Phishing-Konstellationen liegt in der Regel keine wirksame Autorisierung vor, selbst wenn der Kunde seine Daten eingegeben hat.

Grundsatz: Erstattungsanspruch gegen die Bank

Wurde eine Überweisung oder Kartenzahlung ohne wirksame Zustimmung ausgelöst, ist die Bank grundsätzlich verpflichtet, den Betrag unverzüglich zu erstatten. Der Anspruch besteht unabhängig davon, ob der Täter ermittelt wird.

Die Bank darf eine Erstattung nur verweigern, wenn sie nachweist, dass der Kunde grob fahrlässig oder vorsätzlich gehandelt hat.

Grobe Fahrlässigkeit: Wann haftet der Kunde?

In der Praxis berufen sich Banken häufig auf grobe Fahrlässigkeit. Sie argumentieren, der Kunde habe offensichtliche Warnzeichen ignoriert oder Sicherheitsregeln missachtet.

Grobe Fahrlässigkeit liegt vor, wenn die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt wurde. Maßstab ist das Verhalten eines verständigen Durchschnittskunden.

Beispiele, die Gerichte als grob fahrlässig eingestuft haben:

  • Weitergabe von TAN am Telefon an unbekannte Dritte
  • Mehrfache Eingabe von TAN nach auffälligen Fehlermeldungen
  • Ignorieren eindeutiger Sicherheitswarnungen der Bank

Demgegenüber reicht einfache Unachtsamkeit nicht aus, um eine Haftung des Kunden zu begründen. Die Beweislast trägt die Bank. Sie muss darlegen und beweisen, dass grobe Fahrlässigkeit vorliegt.

Phishing bei Zwei-Faktor-Authentifizierung und Push-TAN

Moderne Online-Banking-Systeme arbeiten mit Zwei-Faktor-Authentifizierung. Neben dem Passwort ist eine zusätzliche TAN erforderlich.

Besonders verbreitet ist das sogenannte Push-TAN-Verfahren. Hier erhält der Kunde eine Freigabeanfrage auf seinem Smartphone. Genau an dieser Stelle setzen viele Phishing-Angriffe an. Täter bringen den Kunden dazu, eine Transaktion freizugeben, die tatsächlich vom Täter initiiert wurde.

Entscheidend ist, ob der Kunde erkennen konnte, dass die angezeigten Daten nicht mit seinem eigenen Auftrag übereinstimmen. Weicht der angezeigte Empfänger oder Betrag deutlich ab, kann dies für eine grobe Fahrlässigkeit sprechen. Fehlen hingegen klare Hinweise, bleibt es beim Erstattungsanspruch.

Phishing bei Kreditkarten: Wer haftet?

Auch Kreditkarten sind häufig betroffen. Hier gelten die Vorschriften über Zahlungsdienste entsprechend. Kommt es zu Kreditkarten-Betrug, besteht grundsätzlich ein Anspruch auf Rückerstattung nicht autorisierter Umsätze. 

Für Schäden vor der Sperranzeige haftet der Kunde gemäß § 675v BGB lediglich bis zu 50 Euro, sofern keine grobe Fahrlässigkeit vorliegt. Nach der Sperranzeige entfällt die Haftung vollständig.

Beweislast beim Phishing: Was sind typische Streitpunkte?

In gerichtlichen Auseinandersetzungen stehen regelmäßig folgende Fragen im Mittelpunkt:

  • Wurde der Zahlungsvorgang technisch korrekt autorisiert?
  • Lag eine Zustimmung des Kunden vor?
  • Hat der Kunde grob fahrlässig gehandelt?
  • Wurden Sicherheitsvorgaben der Bank eingehalten?

Die bloße technische Authentifizierung genügt nicht als Nachweis einer wirksamen Zustimmung. Die Bank muss darlegen, dass der Kunde bewusst einen konkreten Zahlungsvorgang freigegeben hat.

Gerichte prüfen dabei sehr genau die Umstände des Einzelfalls. Insbesondere die Gestaltung der Phishing-Nachricht, die Professionalität der Täuschung und mögliche Sicherheitslücken spielen eine Rolle.

Auf Phishing reingefallen: Bank verweigert Erstattung – was tun?

Nicht selten lehnt die Bank eine Erstattung zunächst ab. Betroffene erhalten standardisierte Schreiben mit dem Hinweis auf angebliche Sorgfaltspflichtverletzungen.

In dieser Situation empfiehlt sich eine rechtliche Prüfung. Zunächst erfolgt eine außergerichtliche Geltendmachung des Erstattungsanspruchs unter Fristsetzung. Dabei wird die Rechtslage unter Bezugnahme auf die gesetzlichen Vorschriften klar dargestellt.

Bleibt die Bank bei ihrer Ablehnung, kommt eine gerichtliche Durchsetzung in Betracht. Die Erfolgsaussichten hängen maßgeblich von der Beweislage und der konkreten Angriffsmethode ab.

Sollte ich bei Phishing Strafanzeige erstatten?

Neben zivilrechtlichen Ansprüchen sollte stets eine Strafanzeige erstattet werden. Dies dient der Strafverfolgung und kann im Einzelfall bei der Rückholung von Geldern hilfreich sein. Nicht nur werden so die Ermittlungsbehörden aufmerksam und unter Umständen weitere Kunden geschützt, auch Banken erkennen so in einigen Fällen das Ausmaß der Phishing-Angriffe.

Wurde die Überweisung erst kürzlich ausgelöst, besteht die Möglichkeit eines sogenannten Überweisungsrückrufs. Die Erfolgsaussichten sind jedoch gering, sobald der Betrag weitergeleitet oder abgehoben wurde. Zivilrechtlich bleibt deshalb der Anspruch gegen die eigene Bank meist der zentrale Ansatzpunkt.

Verjährung von Ansprüchen

Erstattungsansprüche wegen nicht autorisierter Zahlungsvorgänge unterliegen der regelmäßigen Verjährungsfrist von 3 Jahren. Die Frist beginnt mit dem Schluss des Jahres, in dem der Anspruch entstanden ist und der Kunde Kenntnis erlangt hat.

Unabhängig davon sind Banken verpflichtet, unverzüglich nach Kenntnis informiert zu werden. Verzögerungen können sich nachteilig auf die Beweisführung auswirken.

Prävention: Wie lässt sich Phishing vermeiden?

Auch wenn der rechtliche Schutz weitreichend ist, bleibt Prävention wichtig.

Wesentliche Schutzmaßnahmen sind:

  • Keine Weitergabe von TAN oder Passwörtern
  • Prüfung der Internetadresse vor Login
  • Misstrauen bei Zeitdruck oder Drohungen
  • Nutzung aktueller Sicherheitssoftware
  • Regelmäßige Kontrolle der Kontoauszüge

Banken weisen ausdrücklich darauf hin, dass sie niemals telefonisch nach TAN oder vollständigen Zugangsdaten fragen.

Wie unterstützt ein Anwalt für Bankrecht?

Die rechtliche Bewertung von Phishing-Fällen erfordert Erfahrung im Zahlungsdiensterecht und in der gerichtlichen Durchsetzung von Erstattungsansprüchen.

Ein Anwalt für Bankrecht übernimmt in Fällen von Phishing insbesondere:

  • Prüfung der Erfolgsaussichten
  • Analyse der Kommunikation mit der Bank
  • Bewertung möglicher grober Fahrlässigkeit
  • Außergerichtliche Anspruchsdurchsetzung
  • Vertretung vor Gericht

Unsere Kanzlei prüft den gesamten Sachverhalt sorgfältig und bewertet, ob die Bank ihrer Darlegungs- und Beweislast gerecht wird. In vielen Fällen zeigt sich, dass die pauschale Berufung auf grobe Fahrlässigkeit rechtlich nicht tragfähig ist.

Gerade bei hohen Schadenssummen empfiehlt sich eine rechtliche Prüfung. Ziel ist die vollständige Durchsetzung des Erstattungsanspruchs.

Wenn Ihre Bank die Rückzahlung nach einem Phishing-Vorfall verweigert, stehen häufig komplexe haftungsrechtliche Fragen im Raum. Unsere Kanzlei analysiert den Sachverhalt, überprüft die Beweislast und vertritt Ihre Interessen gegenüber dem Kreditinstitut. Vereinbaren Sie ein unverbindliches Beratungsgespräch.

Kontakt

Fazit

Wer auf Phishing reingefallen ist, befindet sich häufig in einer belastenden Situation. Neben dem finanziellen Schaden besteht große Unsicherheit über die eigene Haftung.

Rechtlich gilt: Nicht autorisierte Zahlungsvorgänge sind von der Bank zu erstatten. Eine Haftung des Kunden kommt nur bei grober Fahrlässigkeit oder Vorsatz in Betracht. Die Beweislast liegt beim Kreditinstitut.Betroffene sollten schnellstmöglich handeln, die Bank informieren und den Sachverhalt dokumentieren. Lehnt die Bank eine Erstattung ab, lohnt sich oftmals eine rechtliche Überprüfung.

Jetzt Anfrage stellen
Wir beraten Sie gerne umfassend und persönlich bei Ihrem Anliegen.
Kontakt
Lesen Sie mehr...
Kontakt
Ihre Kanzlei Dr. Araujo Kurth. Immer für Sie da
Jederzeit für Sie erreichbar
Dr. Michel de Araujo Kurth
Kontakt







    Berliner Allee 47
    64295 Darmstadt
    +49 6151 7076982
    kontakt@ra-araujo-kurth.de
    Mo. – Fr. 08:00–18:00 Uhr
    envelopephone-handsetmap-markercrossmenuchevron-down