Augenblicksversagen statt grober Fahrlässigkeit: Das BGH-Urteil XI ZR 107/24

Mit Urteil vom 22. Juli 2025 hat der BGH in XI ZR 107/24 klargestellt, dass ein Augenblicksversagen unter Druck grobe Fahrlässigkeit ausschließen kann – eine wichtige Differenzierung für Phishing-Opfer beim Online-Banking.

Phishing-Angriffe werden raffinierter. Täter rufen als vermeintliche Bankmitarbeiter an, täuschen dringende Sicherheitssituationen vor und bringen Betroffene dazu, TANs preiszugeben – alles in Sekundenschnelle. Wer in einem solchen Moment handelt, macht nicht zwingend einen Fehler aus grober Fahrlässigkeit.

Der Bundesgerichtshof hat mit dem Urteil XI ZR 107/24 vom 22. Juli 2025 eine wichtige Unterscheidung getroffen: Augenblicksversagen Phishing BGH-Fälle verlangen eine situative Bewertung des konkreten Einzelfalls. Kein starres Schema, sondern eine Abwägung, ob dem Betroffenen ein Reflexionszeitfenster zur Verfügung stand.

Dieser Beitrag erklärt das Urteil, legt die rechtliche Grundlage offen und zeigt, wann Phishing-Opfer trotz TAN-Weitergabe einen Erstattungsanspruch gegen ihre Bank haben – und wann nicht.

Der Sachverhalt: Was im BGH-Fall XI ZR 107/24 passierte

Im Fall BGH XI ZR 107/24 hatte eine Kundin einen Anruf erhalten, bei dem sich der Anrufer als Bankmitarbeiter ausgab – ein klassischer Call-ID-Spoofing-Angriff. Der Anrufer täuschte eine dringende Sicherheitslage vor und brachte die Kundin dazu, eine TAN preiszugeben.

Entscheidend für den BGH-Ausgang war jedoch der Zeitpunkt der TAN-Weitergabe: Die Kundin hatte die TAN nicht unmittelbar im Moment des Anrufs herausgegeben, sondern am darauffolgenden Tag. Damit hatte sie – anders als bei einem echten Augenblicksversagen – ein Reflexionszeitfenster. Sie hätte die Transaktion hinterfragen oder bei der Bank rückfragen können.

Der BGH bestätigte grobe Fahrlässigkeit in diesem konkreten Fall. Gleichzeitig stellte das Gericht klar: TAN-Weitergabe allein ist keine Autorisierung einer Zahlung im Sinne des § 675u BGB. Der Erstattungsanspruch bleibt dem Grunde nach bestehen – wird aber durch das Mitverschulden gemindert oder ausgeschlossen, wenn grobe Fahrlässigkeit vorliegt.

Was bedeutet Augenblicksversagen rechtlich?

Das Konzept des Augenblicksversagens stammt ursprünglich aus dem Straßenverkehrsrecht und ist dort als kurzzeitige Aufmerksamkeitsstörung anerkannt. Im Bankrecht hat es eine eigene Bedeutung gewonnen: Als Augenblicksversagen Phishing BGH-Kriterium gilt eine situative Handlung unter extremem Druck, ohne Möglichkeit zur Reflexion.

Grobe Fahrlässigkeit setzt voraus, dass der Handelnde das außer Acht lässt, was jedem einleuchten müsste. Wer jedoch unter Schock, Täuschung und Zeitdruck handelt – ohne realen Moment der Besinnung – handelt möglicherweise nicht grob fahrlässig, sondern situativ überfordert. Dieser Unterschied ist für Phishing-Fälle zentral.

Dieses Konzept schließt grobe Fahrlässigkeit aus, wenn der Betroffene im Moment der Handlung keine reale Chance hatte, die Situation richtig einzuschätzen. Je länger der Zeitraum zwischen Täuschung und TAN-Weitergabe, desto schwieriger wird diese Argumentation.

Rechtliche Grundlage: § 675u und § 675v BGB

Für nicht autorisierte Zahlungen gilt § 675u Satz 2 BGB: Das Kreditinstitut muss dem Zahler den Betrag unverzüglich erstatten. Der Anspruch setzt voraus, dass keine wirksame Autorisierung vorlag. Wer durch Täuschung zur TAN-Eingabe bewegt wurde, hat in der Regel keine wirksame Autorisierung im Rechtssinne erteilt.

Der Gegenanspruch der Bank ergibt sich aus § 675v BGB: Handelte der Zahlungsdienstnutzer grob fahrlässig, kann die Bank den Schaden zurückfordern oder die Erstattung kürzen. Grobe Fahrlässigkeit schließt den Anspruch aus § 675u damit faktisch aus – oder mindert ihn erheblich.

Wichtig: Der Ausschluss nach § 675v BGB muss von der Bank bewiesen werden. Die Beweislast für grobe Fahrlässigkeit liegt beim Kreditinstitut, nicht beim Kunden. Das gibt Phishing-Opfern eine prozesstaktische Ausgangsposition, die sie kennen sollten.

Die 13-Monats-Frist: § 676b Abs. 3 BGB nicht versäumen

Neben der Frage der groben Fahrlässigkeit müssen Phishing-Opfer eine Ausschlussfrist beachten: Nach § 676b Abs. 2 BGB erlischt der Anspruch auf Berichtigung nicht autorisierter Zahlungen, wenn der Kunde der Bank nicht spätestens 13 Monate nach dem Belastungsdatum die Nicht-Autorisierung anzeigt.

Diese Frist ist eine Ausschlussfrist, keine Verjährungsfrist – sie kann nicht durch Verhandlung oder Beschwerden gehemmt werden. Wer den Angriff spät bemerkt oder zu lange auf eine gütliche Einigung hofft, verliert den gesetzlichen Erstattungsanspruch endgültig.

Parallel dazu laufen die regulären zivilrechtlichen Verjährungsfristen. Für Schadensersatzansprüche gilt die regelmäßige dreijährige Frist des § 195 BGB, deren Beginn sich nach § 199 Abs. 1 BGB richtet. Wer also den Erstattungsanspruch nach § 675u versäumt hat, kann unter Umständen noch zivilrechtlich nach §§ 823, 826 BGB vorgehen – sofern die Bank selbst pflichtwidrig gehandelt hat.

Was der EuGH-GA-Schlussantrag (C-70/25) ergänzt

Ergänzend zum BGH-Urteil sind die Schlussanträge des Generalanwalts beim EuGH in der Rechtssache C-70/25 vom 5. März 2026 zu beachten. Es handelt sich ausdrücklich um Schlussanträge des Generalanwalts – noch kein Endurteil. Der Generalanwalt empfiehlt, dass Banken zunächst unverzüglich erstatten sollen. Die Frage grober Fahrlässigkeit soll erst nachgelagert geprüft werden, mit der Folge, dass die Bank bei nachgewiesener grober Fahrlässigkeit die Erstattung zurückfordern kann.

Dieses Modell – erst erstatten, dann rückfordern – stärkt die Position von Phishing-Opfern kurzfristig erheblich. Es liegt noch kein bindender EuGH-Entscheid vor, die Tendenz der Rechtsprechung zeigt aber in Richtung einer stärkeren Sofortpflicht der Banken.

Das Zusammenspiel von BGH XI ZR 107/24 und dem EuGH-Verfahren C-70/25 ist für Betroffene relevant: Wer jetzt einen Erstattungsanspruch geltend macht, tut dies in einem sich fortentwickelnden Rechtsumfeld. Anwaltliche Begleitung beim Augenblicksversagen Phishing BGH-Fall ist daher empfehlenswert. Verfolgen Sie die Entwicklung auch im Beitrag zu EuGH-Entscheidungen zu Phishing 2026.

Wann liegt grobe Fahrlässigkeit vor – und wann nicht?

Die Unterscheidung zwischen entschuldbarem Augenblicksversagen und grober Fahrlässigkeit ist im Einzelfall komplex. Folgende Kriterien spielen eine Rolle:

• Zeitabstand: Je kürzer zwischen Täuschung und TAN-Weitergabe, desto eher greift das Augenblicksversagen-Argument
• Intensität der Täuschung: Professionelles Call-ID-Spoofing mit echt klingender Bankrufnummer erhöht die Schutzwürdigkeit
• Druck und Stresssituation: Wenn Angst, Zeitdruck und Überrumpelung kombiniert werden, ist Reflexion faktisch unmöglich
• Vorherige Warnungen: Hat die Bank explizit auf diese Masche hingewiesen und der Kunde trotzdem gehandelt, stärkt das die Bank-Position
• Art der TAN: Eine TAN für eine konkrete Transaktion, die ausdrücklich als solche bezeichnet ist, zu bestätigen, wiegt schwerer als eine unspezifische Verifikations-TAN

Phishing-Opfer sollten ihre Situation anhand dieser Kriterien einordnen, bevor sie resignieren. Ein Anwalt kann beurteilen, ob im konkreten Fall das Augenblicksversagen Phishing BGH-Konzept greift. Vergleichbare Konstellationen bei anderen Instituten lesen Sie in Beiträgen zu Commerzbank-Phishing oder ING-Phishing.

Sofortmaßnahmen nach einem Phishing-Angriff

Wer Opfer eines Phishing-Angriffs wurde und einen Erstattungsanspruch sichern will, muss strukturiert handeln:

• Bank unverzüglich informieren: Melden Sie die nicht autorisierte Transaktion schriftlich – per Einschreiben und per E-Mail – mit genauer Beschreibung des Vorfalls.
• Kontoauszüge und Buchungen sichern: Belege für den Abgang und alle Kommunikation mit der Bank aufbewahren.
• Strafanzeige erstatten: Phishing ist eine Straftat nach § 263a StGB (Computerbetrug). Die Anzeige stärkt Ihre Position im Bankstreit.
• 13-Monats-Frist beachten: Zeigen Sie die Nicht-Autorisierung spätestens 13 Monate nach Belastungsdatum schriftlich an – § 676b Abs. 3 BGB.
• Anwalt hinzuziehen: Verweigert die Bank die Erstattung unter Verweis auf grobe Fahrlässigkeit, prüfen Sie das Augenblicksversagen-Argument mit anwaltlicher Hilfe.

Informationen zu bankinstitutsspezifischen Phishing-Maschen finden Sie in Beiträgen zu Deutsche Bank Phishing, DKB-Phishing und HypoVereinsbank-Phishing.

Wann ist anwaltliche Hilfe unverzichtbar?

Ohne rechtlichen Beistand scheitern viele Phishing-Opfer an der Argumentation der Bank, die pauschal auf grobe Fahrlässigkeit verweist. Anwaltliche Unterstützung ist spätestens dann geboten, wenn:

• die Bank die Erstattung formell verweigert und grobe Fahrlässigkeit behauptet
• die 13-Monats-Frist droht abzulaufen
• der Schadensbetrag im vier- bis fünfstelligen Bereich liegt
• das BGH-Argument des Augenblicksversagens gestärkt werden soll
• der EuGH-Entscheid C-70/25 für die konkrete Fallkonstellation relevant wird

Die Kanzlei Dr. Araujo Kurth unterstützt Phishing-Opfer bei der Durchsetzung von Erstattungsansprüchen und bei der Abwehr ungerechtfertigter Ablehnung durch Banken. Weitere Informationen im Beitrag zu Advanzia-Bank-Phishing.

Fazit: BGH XI ZR 107/24 schafft keine pauschale Entlastung

Das Augenblicksversagen Phishing BGH-Urteil XI ZR 107/24 ist kein Freifahrtschein für alle TAN-Weitergaben. Die Entscheidung bestätigt grobe Fahrlässigkeit, wenn zwischen Täuschung und Handlung ausreichend Zeit lag. Gleichzeitig präzisiert der BGH, dass TAN-Weitergabe allein keine Autorisierung im Sinne von § 675u BGB darstellt.

Der Erstattungsanspruch besteht dem Grunde nach. Ob er im Einzelfall ausgeschlossen oder gemindert wird, hängt von der genauen Situation ab – insbesondere davon, ob ein echtes Augenblicksversagen oder grobe Fahrlässigkeit vorlag. Die Beweislast dafür trägt die Bank.

Phishing-Opfer sollten die 13-Monats-Ausschlussfrist nach § 676b BGB kennen, die Nicht-Autorisierung schriftlich anzeigen und anwaltliche Hilfe in Anspruch nehmen, wenn die Bank pauschal ablehnt. Weiterführende Informationen zur Haftung bei Phishing finden Sie im Beitrag zu BGH-Urteilen bei Kryptobetrug.

Kanzlei Dr. Araujo Kurth – Ihr Partner im Bank- und Kapitalmarktrecht

Die Kanzlei Dr. Araujo Kurth berät und vertritt Mandanten bundesweit im Bank- und Kapitalmarktrecht. Rechtsanwalt Dr. Michel de Araujo Kurth M.A. verfügt über langjährige Erfahrung im Bankwesen und in der anwaltlichen Praxis und hat sich auf die Vertretung von Mandanten in bank- und kapitalmarktrechtlichen Streitigkeiten spezialisiert.

Die Kanzlei begleitet Mandanten sowohl außergerichtlich als auch vor Gericht – von der ersten rechtlichen Einordnung über die Kommunikation mit Banken, Zahlungsdienstleistern und Finanzinstituten bis zur Durchsetzung von Schadensersatz- und Rückforderungsansprüchen. Beratungen finden in den Büros in Frankfurt am Main, Darmstadt und Offenbach am Main sowie bundesweit per Videokonferenz statt.

Wenn Sie rechtliche Unterstützung benötigen, stehen wir Ihnen jederzeit zur Verfügung. Kontaktieren Sie uns über unser Kontaktformular für ein unverbindliches Erstgespräch – telefonisch, per E-Mail oder online.

FAQs – Häufig gestellte Fragen zu Augenblicksversagen Phishing BGH