Logo Rechtsanwalt Willmes

BGH stärkt Bankkunden nach Phishing-Angriff

– was das Urteil vom 05.03.2024 (XI ZR 107/22) konkret bedeutet.

Phishing, gehackte E-Mail-Accounts, plötzlich fünfstellige Beträge vom Konto verschwunden – viele Bankkundinnen und Bankkunden kennen diese Horrorszenarien mittlerweile nicht mehr nur aus der Presse. Mit Urteil vom 05.03.2024 – XI ZR 107/22 hat der Bundesgerichtshof (BGH) in einem solchen Fall nun sehr deutliche Worte gefunden – und die Rechte der Kontoinhaber erheblich gestärkt.

Ich stelle das Urteil hier kurz verständlich vor, erkläre die wichtigsten Konsequenzen – und zeige, wann sich ein Vorgehen gegen die Bank lohnen kann.

Worum ging es in dem Fall?

Die Klägerin stand seit Jahren mit ihrem Bankberater in engem Kontakt und erteilte Überweisungsaufträge per E-Mail. Das war von der Bank so akzeptiert und praktiziert worden.

Dann geschah Folgendes:

Über einen längeren Zeitraum gingen dreizehn E-Mails beim Kundenberater ein, die scheinbar von der Adresse der Kundin stammten.

In diesen E-Mails waren Rechnungen und Überweisungsdaten für Empfänger im Ausland (u.a. Ungarn, Dubai, Großbritannien) enthalten.

Die Bank führte zwölf dieser Überweisungen aus – insgesamt wurden rund 255.000 € vom Konto der Kundin abgebucht.

Die Klägerin bestritt, diese Überweisungen beauftragt zu haben. Sie ging davon aus, dass ihr E-Mail-Zugang kompromittiert worden war.

Sie verlangte von ihrer Bank die vollständige Erstattung nach § 675u BGB – also die Wiederherstellung des Kontostands, als hätte es die Überweisungen nie gegeben.

Die zentrale Frage: Wer muss was beweisen?

Das rechtliche Kernproblem:

Wer muss beweisen, dass die Überweisungen autorisiert waren – also tatsächlich von der Kundin herrühren – die Kundin oder die Bank?

Der BGH sagt dazu im Ergebnis klar:

Ist streitig, ob der Zahler einen Zahlungsvorgang autorisiert hat, muss die Bank beweisen, dass eine Autorisierung vorlag.

Wichtige Punkte daraus:

  • Die Bank muss nicht nur nachweisen, dass irgendein Verfahren zur „Authentifizierung“ (z.B. TAN, PIN, bestimmter Kommunikationsweg) verwendet wurde.
  • Sie muss das Gericht vielmehr davon überzeugen, dass in dem konkreten Fall der Auftrag tatsächlich vom Kunden stammt.
  • Gelingt dieser Beweis nicht, liegt ein „nicht autorisierter Zahlungsvorgang“ vor – und dann besteht grundsätzlich ein Erstattungsanspruch nach § 675u BGB.

Der BGH leitet diese Beweislast aus dem Rechtsgedanken des § 675w BGB her – und zwar auch für Fälle, in denen der Kunde die Bank auf Erstattung in Anspruch nimmt (also gerade die Konstellation einer Klage des Bankkunden gegen seine Bank).

Warum ist das Urteil so wichtig?

Bislang haben Banken in vergleichbaren Fällen häufig argumentiert:

  • Der Kunde müsse beweisen, dass er selbst die Zahlung nicht ausgelöst habe – was in der Praxis extrem schwierig ist („Beweis eines Nichttuns“).
  • Man habe ein sicheres Verfahren eingesetzt, damit sei nach der Lebenserfahrung davon auszugehen, dass der Kunde selbst gehandelt habe.

Der BGH dreht diese Sichtweise nun deutlich zurecht:

  1. Kein Automatismus zugunsten der Bank

    • Dass ein Auftrag „irgendwie über den üblichen Kanal“ (hier: E-Mail) kam, reicht nicht.
    • Insbesondere wenn ein Missbrauch des Kommunikationswegs (z.B. gehackter E-Mail-Account) im Raum steht, bleibt zweifelhaft, ob der Kunde wirklich autorisiert hat.

  2. Beweislast liegt bei der Bank

    • Bleiben Zweifel, wer den Auftrag erteilt hat, gehen diese zu Lasten der Bank, nicht des Kunden.
    • Die Bank kann sich nicht pauschal hinter ihrem Verfahren verstecken.

  3. Klarer Rückhalt für Phishing-Opfer und Betrugsfälle

    • Die Entscheidung ist gerade für Phishing-, Hacking- und Social-Engineering-Fälle bedeutsam.
    • Sie passt in die Linie der neueren Rechtsprechung, die den Schutz von Bankkunden vor nicht autorisierten Zahlungsvorgängen betont.

Haftet der Kunde gar nicht mehr?

Doch – aber nur unter deutlich klareren Voraussetzungen:

  • Die Bank kann sich entlasten, wenn sie nachweisen kann, dass der Kunde vorsätzlich oder grob fahrlässig gegen seine Sorgfaltspflichten verstoßen hat (z.B. Weitergabe von PIN/TAN, offensichtige Warnungen ignoriert, „TAN-Nummern am Telefon durchgegeben“ etc.).
  • In solchen Konstellationen kann ein Schadensersatzanspruch der Bank den Erstattungsanspruch des Kunden wieder „auffressen“.

Im Fall XI ZR 107/22 konnte die Bank einen solchen grob fahrlässigen Verstoß der Kundin nicht darlegen – sie musste daher die belastenden Zahlungen voll erstatten.

Was bedeutet das für Betroffene von Online-Banking-Betrug?

Wenn Sie feststellen, dass von Ihrem Konto Überweisungen abgegangen sind, die Sie nicht autorisiert haben, gilt:

  1. Sofort Bank informieren und alles sperren

    • Online-Banking-Zugang sperren, Karten sperren, TAN-Verfahren deaktivieren lassen.
    • Vorgänge schriftlich gegenüber der Bank als nicht autorisiert rügen.

  2. Fristen beachten

    • Grundsätzlich gilt für nicht autorisierte Zahlungsvorgänge eine Frist von 13 Monaten ab Belastung, um gegenüber der Bank zu widersprechen (§ 675x BGB).
    • Je früher reagiert wird, desto besser.

  3. Nicht vorschnell Schuld auf sich nehmen

    • Viele Banken versuchen, dem Kunden eine „grob fahrlässige“ Nutzung anzulasten.
    • Geben Sie keine vorschnellen Erklärungen ab, aus denen man später eine grobe Fahrlässigkeit konstruieren könnte.

  4. Rechtliche Prüfung einholen

    • Ob eine Bank wirklich von ihrer Erstattungspflicht frei wird, hängt stark vom Einzelfall ab.
    • Gerade seit XI ZR 107/22 lohnt es sich, die Argumentation der Bank kritisch überprüfen zu lassen.

Meine Erfahrung mit Phishing- und Online-Banking-Fällen

Ich habe bereits Mandanten erfolgreich in vergleichbaren Konstellationen vertreten, in denen nach einem Phishing-Angriff oder missbräuchlichen Online-Überweisungen erhebliche Beträge vom Konto verschwunden sind und die Bank zunächst eine Erstattung abgelehnt hat.

In solchen Verfahren geht es häufig um:

  • die Frage, ob der Zahlungsvorgang wirklich autorisiert wurde,
  • die Beweislastverteilung zwischen Bank und Kunde,
  • und die Frage, ob der Kunde sich wirklich grob fahrlässig verhalten hat – oder ob die Vorwürfe der Bank überzogen sind.

Gerade das Urteil des BGH vom 05.03.2024 zeigt:

Bankkunden sind nicht rechtlos, und es lohnt sich, die Entscheidung der Bank nicht schlicht hinzunehmen.

Beratung in Bergneustadt, Drolshagen – und deutschlandweit digital

Ich vertrete Mandanten in solchen Bankrechtsfällen:

  • vor Ort in Bergneustadt und Drolshagen,
  • sowie deutschlandweit vollständig digital – per Telefon, Videokonferenz und sicherem Dokumentenaustausch.

Wenn Sie von einem Phishing-Angriff oder einer verdächtigen Online-Überweisung betroffen sind und Ihre Bank die Erstattung ablehnt oder verzögert, können Sie sich gern unverbindlich an mich wenden.

Wir klären gemeinsam:

  • wie die Rechtslage in Ihrem konkreten Fall aussieht,
  • welche Erfolgsaussichten ein Vorgehen gegen die Bank hat,
  • und welches Vorgehen (außergerichtlich / gerichtliche Klage) sinnvoll ist.

Hinweis: Dieser Beitrag ersetzt keine individuelle Rechtsberatung, gibt aber einen ersten Überblick über die aktuelle BGH-Rechtsprechung und die gestärkten Rechte von Bankkunden nach unautorisierten Online-Überweisungen.