Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
MTR Legal Rechtsanwälte Logo
Kontakt

Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart | Paris | London | Amsterdam

Header-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte
Kontakt
Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
Kontakt

EuGH-Generalanwalt fordert stärkeren Schutz für Bankkunden bei Phishing

  • Lesezeit: 4 Min
Arbeitsrecht-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte
Steuerrecht-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte
Home-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte
Arbeitsrecht-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte

Phishing-Angriffe und andere Betrugsmaschen im Online-Banking können für Kontoinhaber teuer werden. In den Schlussanträgen vom 5. März 2026 in der Rechtssache C‑70/25 spricht sich EuGH-Generalanwalt Athanasios Rantos dafür aus, den Schutz von Bankkunden deutlich zu stärken: Nach seiner Auffassung sollen Kontoinhaber bei nicht autorisierten Zahlungsvorgängen einen unmittelbaren Erstattungsanspruch gegen ihre Bank haben – und zwar unabhängig davon, ob die Bank dem Kunden (zunächst) grobe Fahrlässigkeit vorwirft. Die Frage, wer den Schaden letztlich tragen muss, soll erst in einem zweiten Schritt geklärt werden.

Schlussanträge des Generalanwalts in der Rechtssache C‑70/25

Ausgangspunkt ist das in der EU weitgehend harmonisierte Zahlungsdiensterecht, insbesondere die Zahlungsdiensterichtlinie (PSD2) sowie deren Umsetzung in den Mitgliedstaaten. Für Deutschland ist dabei vor allem § 675u BGB relevant: Hat der Kontoinhaber einen Zahlungsvorgang nicht autorisiert, muss der Zahlungsdienstleister den Zahlungsbetrag grundsätzlich unverzüglich erstatten und das Konto so stellen, wie es ohne die Abbuchung stünde. Ausnahmen kommen in Betracht, wenn dem Kunden vorsätzliche oder grob fahrlässige Pflichtverletzungen nachgewiesen werden können.

Die Schlussanträge betonen, dass der „unverzügliche“ Ausgleich nicht durch einseitige Verdachtsannahmen der Bank ausgehöhlt werden darf. Damit rückt der Generalanwalt die schnelle Wiederherstellung der Zahlungsfähigkeit des Kunden in den Vordergrund.

Ausgangsfall: Bank verweigert Erstattung nach Phishing

Dem EuGH-Verfahren liegt ein Vorabentscheidungsersuchen eines polnischen Gerichts zugrunde. Eine Bankkundin wurde nach den Feststellungen des vorlegenden Gerichts Opfer eines Phishing-Betrugs: Ein Täter gab sich auf einer Online-Auktionsplattform als Käufer aus und leitete die Kundin über einen Link auf eine täuschend echt nachgebildete Seite, die der Online-Banking-Oberfläche ihrer Bank ähnelte. Dort gab die Kundin ihre Zugangsdaten ein. Der Täter nutzte diese Daten, um einen Zahlungsvorgang zulasten des Kontos auszuführen. Die Kundin meldete den Vorfall nach dem geschilderten Sachverhalt bereits am Folgetag bei der Bank.

Die Bank lehnte die Erstattung ab und berief sich darauf, die Kundin habe grob fahrlässig gehandelt, indem sie ihre Daten auf der gefälschten Website eingegeben habe. Das nationale Gericht fragte den EuGH im Kern, ob eine Bank die gesetzlich vorgesehene unverzügliche Erstattung schon mit dem Hinweis auf eine behauptete grobe Fahrlässigkeit verweigern darf.

Rechtsrahmen: Was gilt bei nicht autorisierten Zahlungen?

Nach dem Grundmodell der PSD2 gilt: Nicht autorisierte Zahlungsvorgänge sind dem Zahler grundsätzlich nicht zuzurechnen. Banken müssen daher regelmäßig den Betrag erstatten und den Kontostand korrigieren. Gleichzeitig sieht das Recht vor, dass Kunden haften können, wenn sie vorsätzlich oder grob fahrlässig gegen Sicherheits- und Sorgfaltspflichten verstoßen haben (z. B. im Umgang mit personalisierten Sicherheitsmerkmalen wie PIN, Passwörtern oder TAN-Verfahren).

Wichtig ist dabei die Rollenverteilung:

  • Erstattungspflicht: Gesetzlich ist vorgesehen, dass die Bank bei nicht autorisierten Vorgängen zunächst ausgleicht.

  • Einwendungen der Bank: Will die Bank eine Haftung des Kunden geltend machen, muss sie dafür die Voraussetzungen darlegen und beweisen.

  • Abgrenzung: Nicht jeder Fehler ist grobe Fahrlässigkeit; es geht um ein besonders schweres Außerachtlassen naheliegender Sorgfalt.

Gerade in der Praxis kommt es jedoch häufig vor, dass Banken die Erstattung zunächst verweigern und auf ein angeblich grob fahrlässiges Verhalten verweisen. Für Betroffene bedeutet das nicht selten: finanzieller Druck und ein langer Streit, bis die Haftungsfrage geklärt ist.

Position des Generalanwalts: „Erst erstatten, dann klären“

Generalanwalt Rantos stellt sich gegen eine Praxis, bei der Banken die unverzügliche Erstattung schon deshalb ablehnen, weil sie dem Kunden grobe Fahrlässigkeit vorwerfen. Nach seiner Auffassung muss die Bank zunächst erstatten. Erst anschließend soll sie – wenn sie die Voraussetzungen nachweisen kann – Ansprüche gegen den Kontoinhaber geltend machen (z. B. Rückforderung oder Schadensersatz im Umfang einer Haftung des Kunden).

Damit würde sich der Ablauf klar verschieben:

  1. Sofortige Rückbuchung / Wiederherstellung des Kontostands (Schutz der Zahlungsfähigkeit des Kunden)

  2. Nachgelagerte Haftungsprüfung (wer trägt den Schaden endgültig?)

Die Schlussanträge sind für den EuGH nicht bindend. Erfahrungsgemäß orientiert sich der Gerichtshof jedoch in vielen Verfahren an der Linie des Generalanwalts – eine Garantie ist das nicht.

Bedeutung für Verbraucher: schneller Zugriff auf das eigene Geld

Sollte der EuGH dieser Sichtweise folgen, hätte das spürbare Auswirkungen:

  • Zeitgewinn für Kunden: Betroffene müssten nach Phishing nicht mehr erst langwierig um die Rückzahlung kämpfen, bevor sie wieder über ihr Geld verfügen können.

  • Höhere Anforderungen an die Bankargumentation: Pauschale Hinweise auf „grob fahrlässig“ dürften nicht reichen, um die Erstattung aufzuhalten. Banken müssten die behaupteten Pflichtverletzungen substanziiert darlegen und später beweisen.

  • Risikoverlagerung: Das wirtschaftliche Risiko in der ersten Phase läge bei der Bank; sie müsste aktiv werden, wenn sie den Kunden in Anspruch nehmen will.

Das kann den Verbraucherschutz stärken, weil viele Betroffene gerichtliche Schritte scheuen, wenn sie zunächst selbst auf dem Schaden sitzenbleiben.

Praktische Hinweise nach einem Phishing-Vorfall

Unabhängig vom Ausgang des EuGH-Verfahrens ist bei Verdacht auf Phishing schnelles Handeln entscheidend:

  • Bank sofort informieren und Zahlungsinstrumente sperren lassen (Online-Banking, Karten, Zugänge).

  • Unautorisierte Buchungen unverzüglich reklamieren und die Erstattung verlangen.

  • Passwörter ändern und Endgeräte prüfen (Schadsoftware).

  • Strafanzeige kann sinnvoll sein; sie ersetzt aber nicht die Reklamation gegenüber der Bank.

  • Kommunikation mit der Bank dokumentieren (Zeitpunkte, Inhalte, Referenznummern).

Je nach Sachlage können zudem Fristen und Mitwirkungspflichten eine Rolle spielen, etwa bei der Frage, wann ein Vorgang „zur Kenntnis“ genommen wurde und welche Informationen der Bank zur Aufklärung bereitgestellt werden können.

Fazit: Stärkung der Kontoinhaber wahrscheinlich – endgültige Entscheidung steht aus

Die Schlussanträge in C‑70/25 sprechen für eine klare Leitlinie: Bei nicht autorisierten Zahlungen soll die Bank zunächst erstatten und darf die Rückzahlung nicht allein mit einem Grobfahrlässigkeitsvorwurf blockieren. Die Haftungsfrage wäre dann im Nachgang zu klären. Sollte der EuGH dem folgen, würde das die Position von Bankkunden nach Phishing und ähnlichen Betrugsfällen deutlich verbessern und zugleich den Druck erhöhen, Vorwürfe gegen Kunden sorgfältig zu prüfen und belastbar zu belegen.

MTR Legal Rechtsanwälte berät im Bankrecht. Nehmen Sie gerne Kontakt auf.