Phishing Erstattung verweigert: Was tun, wenn die Bank nicht zahlt?

Phishing Erstattung verweigert: Ihr Recht auf Schadensersatz

Die digitale Transformation des Bankwesens bietet unbestreitbare Vorteile, birgt jedoch auch Risiken. Eine stetig wachsende Bedrohung stellt Phishing dar, bei dem Kriminelle versuchen, Zugangsdaten oder persönliche Informationen zu erlangen. Viele Verbraucher erleben nach einem solchen Vorfall eine böse Überraschung: Die Bank verweigert die Erstattung der durch Phishing entstandenen Schäden. Dies geschieht häufig mit dem Argument der groben Fahrlässigkeit des Kunden. Doch ist diese Haltung der Banken immer gerechtfertigt?

Die Konfrontation mit einem finanziellen Verlust durch Phishing ist für Betroffene ohnehin schon belastend. Wenn die eigene Bank dann auch noch die Zahlung verweigert, entsteht oft eine doppelte Frustration. Es ist ein weit verbreiteter Irrglaube, dass Banken bei Phishing-Angriffen grundsätzlich keine Verantwortung tragen. Die rechtliche Lage ist komplexer und bietet Geschädigten durchaus Möglichkeiten, ihre Ansprüche durchzusetzen, selbst wenn die Bank die Phishing Erstattung verweigert.

Die Bank verweigert die Erstattung: Was sagt das Gesetz?

Die rechtliche Grundlage für die Haftung von Banken bei unautorisierten Zahlungsvorgängen findet sich in den §§ 675c ff. des Bürgerlichen Gesetzbuches (BGB), insbesondere in § 675u BGB. Dieser Paragraph regelt, dass ein Zahlungsdienstleister, also die Bank, dem Zahler einen nicht autorisierten Zahlungsvorgang unverzüglich erstatten muss. Dies gilt, sobald der Zahlungsdienstleister von dem Vorgang Kenntnis erlangt hat. Die Beweislast dafür, dass ein Zahlungsvorgang autorisiert wurde, liegt grundsätzlich beim Zahlungsdienstleister.

Die Bank kann die Erstattung jedoch verweigern, wenn der Zahler vorsätzlich oder grob fahrlässig gehandelt hat. Eine grobe Fahrlässigkeit liegt vor, wenn die erforderliche Sorgfalt in besonders schwerem Maße verletzt wurde. Dies bedeutet, dass selbst offensichtliche und grundlegende Sicherheitsvorkehrungen missachtet wurden. Die Abgrenzung zwischen leichter und grober Fahrlässigkeit ist oft schwierig und Gegenstand gerichtlicher Auseinandersetzungen. Hierbei kommt es stets auf die Umstände des Einzelfalls an. Weitere Informationen finden Sie in unserem Beitrag zu Phishing: Geld zurück.

Erkennungsmerkmale von Phishing-Angriffen

Phishing-Versuche werden immer ausgefeilter, doch es gibt typische Merkmale, die auf einen Betrug hindeuten können. Wenn Sie diese Warnsignale kennen, können Sie sich besser schützen und verhindern, dass Ihre Bank später die Phishing Erstattung verweigert.

• Ungewöhnliche Absender-E-Mail-Adressen: Überprüfen Sie immer die vollständige Absenderadresse. Oftmals weicht sie nur geringfügig von der echten Adresse ab.
• Dringender Handlungsbedarf: Phishing-Nachrichten erzeugen häufig Druck und fordern zu sofortigen Maßnahmen auf, beispielsweise wegen angeblicher Kontosperrung oder unerlaubter Zugriffe.
• Schlechte Grammatik und Rechtschreibung: Auch wenn Phishing-Mails zunehmend professioneller wirken, finden sich oft noch Fehler in der Sprache.
• Generische Anrede: Statt einer persönlichen Anrede wie "Sehr geehrter Herr Mustermann" wird oft eine allgemeine Formel wie "Sehr geehrter Kunde" verwendet.
• Ungewöhnliche Links oder Anhänge: Seien Sie misstrauisch bei Links oder Dateianhängen, die Sie nicht erwartet haben oder die nicht plausibel erscheinen. Fahren Sie mit der Maus über Links, um das Ziel zu überprüfen, ohne darauf zu klicken.
• Aufforderung zur Eingabe sensibler Daten: Banken fordern niemals per E-Mail oder SMS zur direkten Eingabe von PIN, TAN oder vollständigen Kreditkartennummern auf.
• Unstimmigkeiten im Layout oder Design: Vergleichen Sie das Design der E-Mail oder Webseite mit dem Ihnen bekannten Erscheinungsbild Ihrer Bank.

Rechtslage und Haftungsfragen bei Phishing

Die rechtliche Beurteilung bei Phishing-Fällen ist vielschichtig und erfordert eine genaue Kenntnis der einschlägigen Vorschriften. Die zentrale Norm ist § 675u BGB, der die Erstattungspflicht der Bank bei nicht autorisierten Zahlungsvorgängen regelt. Ergänzend dazu ist § 675v BGB relevant, der die Haftung des Zahlers bei nicht autorisierten Zahlungsvorgängen beschreibt. Hier wird die Obergrenze der Haftung auf 50 Euro festgelegt, es sei denn, der Zahler hat vorsätzlich oder grob fahrlässig gehandelt. Wenn die Bank die Phishing Erstattung verweigert, beruft sie sich in der Regel auf diese grobe Fahrlässigkeit.

Die Anforderungen an die Sorgfaltspflicht des Bankkunden sind nicht trivial. Der Bundesgerichtshof hat in mehreren Urteilen klargestellt, dass Bankkunden ihre Zugangsdaten sorgfältig schützen müssen. Eine grobe Fahrlässigkeit kann beispielsweise vorliegen, wenn der Kunde auf offensichtliche Phishing-Mails reagiert und dort sensible Daten eingibt, ohne die Plausibilität zu prüfen. Die Rechtsprechung berücksichtigt dabei den Grad der Professionalität des Phishing-Angriffs. Je ausgefeilter der Betrug, desto schwieriger wird es für die Bank, grobe Fahrlässigkeit nachzuweisen.

Ein weiterer wichtiger Aspekt ist die Pflicht der Bank zur Sicherstellung der Sicherheit von Zahlungsvorgängen. Gemäß § 675c BGB muss der Zahlungsdienstleister sicherstellen, dass die Authentifizierung des Nutzers ordnungsgemäß erfolgt. Wird diese Pflicht verletzt, kann dies die Argumentation des Kunden stärken, selbst wenn die Bank die Phishing Erstattung verweigert. Die Zweite Zahlungsdiensterichtlinie (PSD2), umgesetzt im Zahlungsdiensteaufsichtsgesetz (ZAG) und den §§ 675c ff. BGB, hat die Rechte der Verbraucher gestärkt und die Anforderungen an die Banken erhöht.

Strafrechtlich relevant ist Phishing primär als Computerbetrug nach § 263a Strafgesetzbuch (StGB) oder als Betrug nach § 263 StGB. Diese Normen richten sich jedoch gegen die Täter, nicht gegen die Bank oder den Geschädigten. Für den Geschädigten spielt das Bankgeheimnis gemäß dem Kreditwesengesetz (KWG) und die Vorschriften des Wertpapierhandelsgesetzes (WpHG) eine untergeordnete Rolle, da diese primär die Beziehungen zwischen Bank und Kunde im Bereich der Kapitalanlagen regeln.

Sofortmaßnahmen nach einem Phishing-Angriff

Wenn Sie den Verdacht haben, Opfer eines Phishing-Angriffs geworden zu sein, ist schnelles Handeln entscheidend, um den Schaden zu minimieren und Ihre Chancen auf eine erfolgreiche Phishing Erstattung zu verbessern.

• Bank kontaktieren: Informieren Sie Ihre Bank oder Ihren Zahlungsdienstleister sofort über den Vorfall. Lassen Sie das Online-Banking sperren und gegebenenfalls Ihre Kreditkarten blockieren. Je schneller Sie reagieren, desto besser.
• Passwörter ändern: Ändern Sie umgehend alle Passwörter, die Sie möglicherweise auf der Phishing-Seite eingegeben haben oder die mit dem betroffenen Konto verknüpft sind. Verwenden Sie dabei sichere, einzigartige Passwörter.
• Anzeige bei der Polizei erstatten: Erstatten Sie umgehend Anzeige bei der Polizei. Dies ist nicht nur wichtig für die Strafverfolgung der Täter, sondern auch ein wichtiger Nachweis für Ihre Bank und spätere rechtliche Schritte.
• Beweismittel sichern: Speichern Sie alle relevanten Informationen, wie die Phishing-E-Mail, Screenshots der Phishing-Webseite oder Kontoauszüge mit den betrügerischen Abbuchungen. Diese Beweismittel sind entscheidend, wenn die Bank die Phishing Erstattung verweigert.
• Antivirenprogramm und Systemprüfung: Führen Sie einen vollständigen Scan Ihres Computers oder Mobilgeräts mit einem aktuellen Antivirenprogramm durch, um mögliche Schadsoftware zu identifizieren und zu entfernen.

Geld zurückfordern: Ansprüche durchsetzen, wenn die Bank die Phishing Erstattung verweigert

Wenn die Bank die Erstattung nach einem Phishing-Angriff verweigert, ist es wichtig, Ihre Rechte zu kennen und gezielt vorzugehen. Die Bank wird in der Regel argumentieren, dass Sie grob fahrlässig gehandelt haben. Hier gilt es, diese Argumentation zu entkräften. Weitere Informationen finden Sie in unserem Beitrag zu Auf Phishing reingefallen?.

Zunächst sollten Sie die schriftliche Begründung der Bank für die Verweigerung der Erstattung anfordern. Prüfen Sie diese Begründung sorgfältig. Oftmals stützt sich die Bank auf allgemeine Floskeln, ohne den konkreten Einzelfall ausreichend zu würdigen.

Es ist ratsam, einen spezialisierten Rechtsanwalt für Bank- und Kapitalmarktrecht hinzuzuziehen. Ein Anwalt kann die Argumentation der Bank prüfen, die Erfolgsaussichten eines Vorgehens bewerten und Sie bei der Durchsetzung Ihrer Ansprüche unterstützen. Dies umfasst die außergerichtliche Korrespondenz mit der Bank bis hin zur Klageerhebung vor Gericht, falls erforderlich.

Die Rechtsprechung ist in Phishing-Fällen nicht einheitlich. Es gibt Urteile, die Banken zur Erstattung verpflichten, selbst wenn der Kunde auf einen Phishing-Link geklickt hat, sofern der Angriff besonders ausgeklügelt war. Die Beweislast für die grobe Fahrlässigkeit liegt bei der Bank. Das bedeutet, die Bank muss detailliert nachweisen, dass Sie die erforderliche Sorgfalt in besonders schwerem Maße verletzt haben. Einfache Behauptungen reichen hierfür nicht aus.

Es ist auch wichtig zu prüfen, ob die Bank ihrer eigenen Sicherheitspflicht nachgekommen ist. Hat die Bank beispielsweise unzureichende Sicherheitsvorkehrungen getroffen oder ihre Kunden nicht ausreichend vor den aktuellen Phishing-Methoden gewarnt, kann dies ihre eigene Position schwächen, wenn sie die Phishing Erstattung verweigert. Informieren Sie sich hierzu auch unter Phishing: Geld zurück.

Ombudsmannverfahren als Alternative: Bevor der Klageweg beschritten wird, kann ein Schlichtungsverfahren beim zuständigen Bankenombudsmann sinnvoll sein. Das Verfahren ist für Verbraucher kostenfrei und kann eine schnelle Lösung herbeiführen. Die Verjährung wird durch die Einleitung des Ombudsmannverfahrens gehemmt. Allerdings sind die Schlichtungssprüche für Banken nur bis zu einem bestimmten Streitwert bindend.

Fazit

Ein Phishing-Angriff ist eine unangenehme Erfahrung, und die Verweigerung der Erstattung durch die Bank kann die Situation noch verschärfen. Es ist jedoch entscheidend zu wissen, dass Sie nicht machtlos sind. Die rechtlichen Rahmenbedingungen in Deutschland bieten Verbrauchern Schutz und Möglichkeiten, ihre Ansprüche durchzusetzen, selbst wenn die Bank die Phishing Erstattung verweigert. Eine sorgfältige Dokumentation, schnelles Handeln und die Unterstützung durch einen erfahrenen Rechtsbeistand sind dabei unerlässlich. Lassen Sie sich nicht entmutigen, wenn Ihre Bank zunächst die Phishing Erstattung verweigert. Eine fundierte rechtliche Prüfung kann oft zu einem positiven Ergebnis führen.

Verjährungsfristen beachten: Schadensersatzansprüche verjähren nach § 195 BGB regelmäßig innerhalb von drei Jahren. Der Fristbeginn richtet sich nach § 199 BGB und ist kenntnisabhängig – die Frist beginnt erst mit dem Schluss des Jahres, in dem der Geschädigte Kenntnis vom Schaden und der Person des Ersatzpflichtigen erlangt hat. Unabhängig von der Kenntnis verjähren Ansprüche spätestens nach zehn Jahren.

BaFin-Aufsicht und Lizenzpflicht: Finanzdienstleistungsunternehmen benötigen nach § 32 KWG eine Erlaubnis der BaFin. Anbieter ohne diese Lizenz handeln rechtswidrig. Die BaFin veröffentlicht auf ihrer Website Warnmeldungen zu unerlaubt tätigen Unternehmen. Eine Überprüfung in der BaFin-Unternehmensdatenbank gehört zu den wichtigsten Vorsichtsmaßnahmen vor jeder Investition.

Die Maschen überschneiden sich häufig mit verwandten Betrugsformen. Pig Butchering nutzt langfristigen Beziehungsaufbau, Fake-Trading-Plattformen arbeiten mit manipulierten Dashboards. In beiden Fällen sollte eine Strafanzeige zeitnah erstattet werden.

Einen Überblick über gängige Betrugsformen bietet unser Beitrag zu Internetbetrug. Wer die Warnsignale für Anlagebetrug kennt, kann sich besser vor Vermögensschäden schützen. Bei Telefonbetrug (Vishing) geben sich Täter als Bankmitarbeiter aus, um TAN-Freigaben zu erschleichen.

Nach einem Betrugsfall werden Geschädigte häufig Ziel von Recovery Scams: Vermeintliche Rückholexperten versprechen die Wiederbeschaffung verlorener Gelder – gegen Vorauszahlung. Auch Krypto-Betrug nutzt häufig ähnliche Manipulationstechniken. Seriöse anwaltliche Beratung erfordert keine Vorleistung des Mandanten.

Kanzlei Dr. Araujo Kurth – Ihr Partner im Bank- und Kapitalmarktrecht

Die Kanzlei Dr. Araujo Kurth berät und vertritt Mandanten bundesweit im Bank- und Kapitalmarktrecht. Rechtsanwalt Dr. Michel de Araujo Kurth M.A. verfügt über langjährige Erfahrung im Bankwesen und in der anwaltlichen Praxis und hat sich auf die Vertretung von Mandanten in bank- und kapitalmarktrechtlichen Streitigkeiten spezialisiert.

Die Kanzlei begleitet Mandanten sowohl außergerichtlich als auch vor Gericht – von der ersten rechtlichen Einordnung über die Kommunikation mit Banken, Zahlungsdienstleistern und Finanzinstituten bis zur Durchsetzung von Schadensersatz- und Rückforderungsansprüchen. Beratungen finden in den Büros in Frankfurt am Main, Darmstadt und Offenbach am Main sowie bundesweit per Videokonferenz statt.

Wenn Sie rechtliche Unterstützung benötigen, stehen wir Ihnen jederzeit zur Verfügung. Kontaktieren Sie uns über unser Kontaktformular für ein unverbindliches Erstgespräch – telefonisch, per E-Mail oder online.

FAQs – Häufig gestellte Fragen zu Phishing Erstattung verweigert