
Solaris-Banking Phishing: Betrug bei Fintech-Konten hinter der BaaS-Plattform
Hinter vielen Fintech-Apps steckt die Solaris SE (bis November 2022 Solarisbank AG) – ein strukturell attraktives Ziel für Phishing-Angriffe, bei denen Kontoinhaber häufig Erstattungsansprüche gegen die Bank haben.
Die Solaris SE ist kein klassisches Kreditinstitut mit Filialnetz, sondern eine Banking-as-a-Service-Plattform – kurz BaaS. Dahinter steckt ein Modell: Fintech-Unternehmen wie Penta, Vivid Money oder bestimmte Krypto-Wallets nutzen die BaFin-Lizenz und Bankinfrastruktur der Solaris SE, um ihren Kunden Konten, Karten und Zahlungsdienste anzubieten. Für Nutzer bedeutet das: Sie halten formal ein Konto bei der Solaris SE – auch wenn sie täglich nur mit der Oberfläche der Fintech-App interagieren.
Genau diese Architektur macht Angriffe auf BaaS-Konten besonders wirksam. Täter imitieren die Fintech-App oder versenden gefälschte E-Mails im Namen der Partnermarke, um Zugangsdaten und Transaktionsnummern abzufangen. Betroffene erkennen oft nicht, dass der eigentliche Vertragspartner – und damit der haftungsrechtlich relevante Akteur – die Solaris SE ist. Wie Account-Takeover im Online-Banking funktioniert, zeigt ein verwandter Beitrag.
Wer Opfer eines solchen Angriffs wird, hat nach deutschem Zahlungsdiensterecht konkrete Rechte: § 675u BGB verpflichtet das kontoführende Kreditinstitut zur unverzüglichen Erstattung nicht autorisierter Zahlungen. Die Beweislast, dass die Zahlung autorisiert oder grobe Fahrlässigkeit des Nutzers vorlag, trägt die Bank – nicht der Kunde. Der BGH hat in seinem Urteil XI ZR 107/24 vom 22. Juli 2025 klargestellt: Eine TAN-Weitergabe an Betrüger begründet keine Autorisierung der Zahlung im Sinne des § 675u BGB.
Wurden über Ihr Fintech-Konto unautorisierte Zahlungen ausgelöst, die auf Solaris SE Phishing zurückzuführen sind? Die AK LAW Rechtsanwaltsgesellschaft mbH prüft Ihre Erstattungsansprüche nach § 675u BGB und fordert Ihr Geld zurück. Jetzt unverbindlich Kontakt aufnehmen. Jetzt unverbindlich Kontakt aufnehmen.

Wie Solaris SE Phishing konkret abläuft
Phishing-Angriffe auf BaaS-Plattformen folgen im Kern dem klassischen Social-Engineering-Muster – mit einer entscheidenden Besonderheit: Täter greifen nicht die Solaris SE selbst an, sondern die Fintech-Marke, hinter der die Bank steht. Gefälschte App-Oberflächen, täuschend echte E-Mails im Branding eines Partnerunternehmens oder betrügerische SMS mit Login-Links zielen darauf ab, Zugangsdaten und Einmalpasswörter abzuschöpfen.
In einer typischen Attacke dieser Art erhält das Opfer eine Nachricht, die scheinbar vom Fintech-Anbieter stammt: eine Sicherheitswarnung, eine angebliche Kontosperrung oder eine Verifizierungsaufforderung. Der eingebettete Link führt zu einer gefälschten Login-Seite. Gibt der Nutzer dort seine Zugangsdaten ein, übernehmen Täter sofort die Sitzung und lösen Überweisungen aus – mitunter innerhalb von Minuten.
Die BaaS-Struktur erschwert die Schadensbegrenzung: Der betroffene Nutzer wendet sich zunächst an den Fintech-Anbieter, der das eigentliche technische Problem jedoch an die Solaris SE eskalieren muss. Diese Zwischenschaltung kostet Zeit – und Zeit ist bei Phishing-Vorfällen der entscheidende Faktor. Wie Phishing-Angriffe auf Finanzinstitute im Detail ablaufen, ist ein eigenständiges Kapitel im Bankrecht.
PSD2-Haftung: Wer zahlt bei Solaris SE Phishing?
Die Haftungsgrundlage bei einem solchen Angriff ist eindeutig: § 675u BGB verpflichtet das Kreditinstitut – hier die Solaris SE – zur sofortigen Erstattung, wenn eine nicht autorisierte Zahlung vorliegt. Eine Zahlung gilt nur dann als autorisiert, wenn der Kontoinhaber ihr explizit zugestimmt hat. Die Weitergabe einer TAN unter Täuschung begründet keine wirksame Autorisierung.
Der Bundesgerichtshof hat im Urteil XI ZR 107/24 vom 22. Juli 2025 festgestellt: TAN-Weitergabe an Betrüger ist keine Autorisierung im Sinne des § 675u S. 2 BGB – der Erstattungsanspruch dem Grunde nach bleibt bestehen. Allerdings kann § 675v BGB eingreifen, wenn dem Nutzer grobe Fahrlässigkeit nachgewiesen wird. Im konkreten BGH-Fall verlor die Klägerin, weil sie die TAN erst am Folgetag – also nicht im Augenblick der Täuschung – weitergegeben hatte, was das Gericht als grob fahrlässig wertete.
Für die Praxis bedeutet das: Erstattungsansprüche nach § 675u BGB bestehen grundsätzlich immer dann, wenn keine wirksame Autorisierung vorlag. Die Beweislast liegt bei der Bank. Wer jedoch deutlich verzögert oder erkennbar leichtfertig handelt, riskiert, dass § 675v BGB die Haftung auf den Nutzer verlagert. Die Abgrenzung zwischen situativer Täuschung und grober Fahrlässigkeit ist entscheidend – und Gegenstand anwaltlicher Prüfung.
EuGH C-70/25: Schlussanträge zur Erstattungspflicht bei Phishing
Im Verfahren EuGH C-70/25 hat Generalanwalt Athanasios Rantos am 5. März 2026 Schlussanträge vorgelegt. Bitte beachten: Es handelt sich um die Meinung des Generalanwalts – ein verbindliches Endurteil des EuGH liegt noch nicht vor. Der Generalanwalt vertritt die Ansicht, dass Banken und Kreditinstitute bei Phishing zunächst erstatten müssen; die Frage grober Fahrlässigkeit des Nutzers soll erst in einem nachgelagerten Schritt geprüft werden.
Folgt der EuGH dieser Linie, würde das die Rechtsposition von Phishing-Opfern in Europa erheblich stärken. Für Betroffene bedeutet das: Die Erstattungspflicht der Bank bestände vorab – unabhängig davon, ob dem Nutzer grobe Fahrlässigkeit vorgeworfen werden kann. Die Beweislastumkehr zulasten der Bank würde dann noch konsequenter greifen als bislang nach deutschem Recht.
Bis ein Endurteil des EuGH vorliegt, bleibt die deutsche Rechtslage – BGH XI ZR 107/24 kombiniert mit §§ 675u, 675v BGB – maßgeblich. Betroffene sollten ihre Ansprüche daher nicht auf die EuGH-Entwicklung vertagen, sondern jetzt prüfen lassen. Die BGH-Rechtsprechung zur Bankhaftung bietet dafür die aktuelle Grundlage.
Die 13-Monats-Ausschlussfrist nach § 676b BGB
Wer von einem solchen Phishing-Angriff betroffen ist, muss eine absolute Ausschlussfrist beachten: Nach § 676b Abs. 2 BGB erlöschen Erstattungsansprüche bei nicht autorisierten Zahlungen 13 Monate nach dem Belastungsdatum – unabhängig davon, ob der Anspruch bekannt war. Diese Frist ist keine Verjährungsfrist, sondern eine Ausschlussfrist: Sie kann nicht gehemmt werden und kennt keine Ausnahmen für Unwissenheit.
Praktische Konsequenz: Wer die unberechtigte Kontobelastung spät bemerkt – etwa weil er Kontoauszüge selten prüft – muss dennoch innerhalb von 13 Monaten handeln. Ab dem 14. Monat nach Buchungsdatum erlischt der Anspruch. Der Umgang mit Bankbetrug durch Schadsoftware zeigt vergleichbare Fristen und ihre Bedeutung.
Wer einen solchen Phishing-Angriff vermutet, sollte unverzüglich Kontoauszüge auf verdächtige Buchungen prüfen und den Schaden dokumentieren. Liegt ein Vorfall mehr als 12 Monate zurück, ist schnelles Handeln zwingend – jede weitere Verzögerung kann den Erstattungsanspruch endgültig vernichten.
Sofortmaßnahmen nach einem Phishing-Angriff auf Ihr Fintech-Konto
Wer merkt, dass sein Konto kompromittiert wurde, muss sofort handeln. Die Prozesskette ist klar: Zunächst den Fintech-Anbieter kontaktieren, dann direkt die Solaris SE ansprechen und gleichzeitig die zuständigen Stellen informieren.
- Konto sofort sperren: Fintech-App öffnen und alle Karten und Überweisungsfunktionen sperren – alternativ über die Notfall-Hotline.
- Passwörter ändern: Alle Zugangsdaten zu Fintech-App und verknüpften E-Mail-Konten sofort ändern.
- Kontoauszüge sichern: Alle unautorisierten Buchungen dokumentieren – Datum, Betrag, Empfänger, Referenz.
- Schriftliche Meldung an die Bank: Den Phishing-Vorfall per E-Mail oder schriftlich bei der Solaris SE melden – Meldedatum für die 13-Monats-Frist sichern.
- Strafanzeige erstatten: Bei der Polizei Strafanzeige wegen § 263 StGB (Betrug), ggf. ergänzend Computerbetrug (§ 263a StGB) erstatten – die Anzeigenummer für spätere Verfahren festhalten.
- Anwalt einschalten: Nur mit anwaltlicher Unterstützung lassen sich Erstattungsansprüche gegenüber der Solaris SE vollständig durchsetzen.
Als erfahrene Anwälte im Bank- und Kapitalmarktrecht helfen wir Ihnen, die Vorgehensweise der Betrüger rechtlich einzuordnen und konkrete Schritte zur Rückforderung Ihrer Gelder einzuleiten. Kontaktieren Sie uns jederzeit für ein unverbindliches Erstgespräch.

Geld zurück: Dispute-Verfahren und Klageweg
Nach einer Meldung beginnt das bankinterne Dispute-Verfahren. Die Bank prüft den gemeldeten Vorfall und entscheidet über Erstattung oder Ablehnung. Wird die Erstattung verweigert – etwa mit Verweis auf vermeintliche grobe Fahrlässigkeit – ist anwaltliche Intervention der nächste Schritt.
Ein spezialisierter Anwalt prüft, ob die von der Bank vorgetragenen Gründe tatsächlich grobe Fahrlässigkeit im Sinne von § 675v BGB begründen. Der BGH hat klargestellt, dass Augenblicksversagen – also situative Täuschung im Affekt – grobe Fahrlässigkeit ausschließen kann. Wer also in einer stressigen Situation oder unter erheblichem Zeitdruck getäuscht wurde, hat gute Argumente.
Scheitert die außergerichtliche Einigung, bleibt der Klageweg. Dabei kann auch der Identitätsdiebstahl durch gestohlene Bankdaten als eigenständiger Schadensposten geltend gemacht werden. Wer seine Daten durch den Angriff verloren hat, kann zusätzlich Ansprüche aus Art. 82 DSGVO wegen des Kontrollverlusts über personenbezogene Daten prüfen lassen.
Wann ist ein Anwalt für Bankrecht unverzichtbar?
Die Abgrenzung zwischen autorisierter und nicht autorisierter Zahlung, zwischen grober Fahrlässigkeit und situativer Täuschung ist im Bankrecht komplex. Banken – auch die Solaris SE – werden intern von spezialisierten Rechtsabteilungen vertreten, die Erstattungsansprüche systematisch prüfen und häufig pauschal abweisen.
Anwaltliche Unterstützung ist insbesondere dann geboten, wenn: Der Schaden mehr als 500 Euro beträgt, die Bank die Erstattung mit Verweis auf grobe Fahrlässigkeit verweigert, die 13-Monats-Frist in weniger als 4 Wochen abläuft oder der Vorfall mehrere Buchungen umfasst. Ein Anwalt für Bankrecht kennt die Anforderungen an die Beweislast der Bank und weiß, welche Unterlagen für eine erfolgreiche Erstattungsdurchsetzung erforderlich sind.
Ergänzend sollte der Vorfall bei der BaFin gemeldet werden – insbesondere wenn der Fintech-Anbieter oder die Solaris SE die Kooperation verweigert. Die BaFin als Aufsichtsbehörde kann Meldepflichten durchsetzen und bei der Aufklärung von Phishing-Incidents eine zentrale Rolle spielen. Weitere Informationen finden Betroffene im Beitrag zu BaFin-Warnung und Bankenhaftung.
Fazit: Solaris SE Phishing – Rechte kennen, schnell handeln
Wer Opfer von Solaris SE Phishing wird, hat nach § 675u BGB grundsätzlich einen Erstattungsanspruch gegen die Solaris SE als lizenziertem Kreditinstitut – die Beweislast für grobe Fahrlässigkeit des Nutzers trägt die Bank. Zwei Fristen sind dabei absolut entscheidend: Die 13-Monats-Ausschlussfrist nach § 676b BGB und die möglichst frühe Meldung des Vorfalls.
Die BaaS-Architektur erschwert den ersten Schritt – viele Opfer wissen gar nicht, dass die Solaris SE ihr eigentliches Kreditinstitut hinter der App ist. Wer das weiß, kann gezielt vorgehen: Fintech-Anbieter kontaktieren, Solaris SE schriftlich informieren, Strafanzeige erstatten und anwaltliche Hilfe in Anspruch nehmen. Der Überblick zu Online-Banking-Betrug und PSD2-Haftung fasst die rechtlichen Grundlagen zusammen.
AK LAW Rechtsanwaltsgesellschaft mbH – Ihr Partner im Bank- und Kapitalmarktrecht
Die AK LAW Rechtsanwaltsgesellschaft mbH berät und vertritt Mandanten bundesweit im Bank- und Kapitalmarktrecht. Rechtsanwalt Dr. Michel de Araujo Kurth M.A. verfügt über langjährige Erfahrung im Bankwesen und in der anwaltlichen Praxis und hat sich auf die Vertretung von Mandanten in bank- und kapitalmarktrechtlichen Streitigkeiten spezialisiert.
Die Kanzlei begleitet Mandanten sowohl außergerichtlich als auch vor Gericht – von der ersten rechtlichen Einordnung über die Kommunikation mit Banken, Zahlungsdienstleistern und Finanzinstituten bis zur Durchsetzung von Schadensersatz- und Rückforderungsansprüchen. Beratungen finden in den Büros in Frankfurt am Main, Darmstadt und Offenbach am Main sowie bundesweit per Videokonferenz statt.
Wenn Sie rechtliche Unterstützung benötigen, stehen wir Ihnen jederzeit zur Verfügung. Kontaktieren Sie uns über unser Kontaktformular für ein unverbindliches Erstgespräch – telefonisch, per E-Mail oder online.
FAQs – Häufig gestellte Fragen zu Solaris SE Phishing
Was ist Solaris SE Phishing und warum ist die BaaS-Struktur ein Risikofaktor?
Phishing-Angriffe auf BaaS-Konten richten sich gegen Fintech-Accounts, hinter denen die Solaris SE als Infrastruktur steht. Täter imitieren die Fintech-Marke, um Zugangsdaten zu stehlen. Die BaaS-Struktur erschwert die Schadensbegrenzung, weil Nutzer zunächst an den falschen Ansprechpartner gelangen.
Habe ich nach einem Phishing-Angriff auf mein Fintech-Konto einen Erstattungsanspruch?
Ja, grundsätzlich. § 675u BGB verpflichtet die Solaris SE zur unverzüglichen Erstattung nicht autorisierter Zahlungen. Die Beweislast liegt bei der Bank. Nur wenn ihr grobe Fahrlässigkeit des Nutzers nachweisbar ist, kann § 675v BGB die Haftung einschränken.
Was sagt der BGH zur Erstattung bei Phishing und TAN-Weitergabe?
BGH XI ZR 107/24 (22.07.2025) stellt klar: TAN-Weitergabe an Betrüger begründet keine wirksame Autorisierung der Zahlung. Der Erstattungsanspruch nach § 675u S. 2 BGB bleibt dem Grunde nach bestehen. Allerdings kann grobe Fahrlässigkeit – etwa Weitergabe am Folgetag ohne akuten Druck – die Haftung einschränken.
Was haben die EuGH-Schlussanträge C-70/25 mit Phishing zu tun?
Generalanwalt Athanasios Rantos äußerte in den Schlussanträgen vom 5. März 2026 die Auffassung, dass Banken bei Phishing zunächst erstatten müssen, bevor grobe Fahrlässigkeit des Nutzers geprüft wird. Achtung: Es handelt sich um Schlussanträge, kein rechtskräftiges EuGH-Urteil.
Was ist die 13-Monats-Frist nach § 676b BGB?
§ 676b Abs. 2 BGB setzt eine absolute Ausschlussfrist von 13 Monaten ab dem Buchungsdatum nicht autorisierter Zahlungen. Diese Frist kann nicht gehemmt werden. Wer den Vorfall nicht rechtzeitig meldet, verliert seinen Erstattungsanspruch – unabhängig von Unwissenheit.
An wen wende ich mich nach einem Phishing-Vorfall bei einem BaaS-Konto?
Zunächst an den Fintech-Anbieter (App-Betreiber), der den Vorfall an die Solaris SE eskalieren muss. Gleichzeitig sollte die Solaris SE direkt schriftlich kontaktiert werden. Parallel empfiehlt sich Strafanzeige bei der Polizei und – bei Ablehnung der Erstattung – anwaltliche Unterstützung.
Kann ich zusätzlich DSGVO-Schadensersatz fordern?
Ja. Wer durch einen Phishing-Angriff die Kontrolle über personenbezogene Daten verliert, kann nach Art. 82 DSGVO immateriellen Schadensersatz geltend machen. Der BGH hat in VI ZR 10/24 (18.11.2024) bestätigt, dass Kontrollverlust allein als ersatzfähiger Schaden gilt.
Kann die Bank grobe Fahrlässigkeit einfach behaupten, um nicht zu zahlen?
Nein. Die Beweislast für grobe Fahrlässigkeit liegt bei der Bank. Sie muss nachweisen, dass der Nutzer die erforderliche Sorgfalt in besonders schwerem Maß verletzt hat. Ein bloßer Verdacht oder die Tatsache, dass Zugangsdaten weitergegeben wurden, reicht für grobe Fahrlässigkeit nicht aus.
Was ist Augenblicksversagen und kann es grobe Fahrlässigkeit ausschließen?
Augenblicksversagen beschreibt eine situative Unachtsamkeit im Moment der Täuschung – etwa wenn Zugangsdaten unter erheblichem emotionalem Druck oder Zeitdruck weitergegeben werden. Der BGH hat in XI ZR 107/24 anerkannt, dass Augenblicksversagen grobe Fahrlässigkeit ausschließen kann.
Was kann ich tun, wenn die Solaris SE die Erstattung verweigert?
Zunächst sollte ein Anwalt für Bankrecht die Ablehnungsbegründung prüfen. Ist die Bank beweispflichtig und kann sie grobe Fahrlässigkeit nicht nachweisen, besteht der Erstattungsanspruch. Als nächster Schritt folgt die Klage vor dem Amts- oder Landgericht – gegebenenfalls auch mit einstweiliger Verfügung.

