Der BGH hat sich in seiner Entscheidung vom 22.07.2025 (Az. XI ZR 107/24) mit der Frage von Erstattungsansprüchen von Bankkunden im Falle von Phishing bei Online-Überweisungen befasst.

In dem Fall wurde die Kundin von einem vermeintlichen Kundenberater der Bank angerufen und hat im Verlauf des Gesprächs durch die Weitergabe von mittels TAN-Generator generierten Codes unwissentlich mehrere Überweisungen freigegeben.

Im Ergebnis hat der BGH der Klage nicht stattgegeben. Der betroffenen Kundin stand in diesem Fall kein Ersatzanspruch gegenüber der Bank zu, da der BGH ein überwiegendes grob fahrlässiges Verhalten der Kundin bestätigte.

Dreh- und Angelpunkt: Grobe Fahrlässigkeit

Entscheidend für die Frage, ob der Kunde sein Geld bei einer Phishing-Attacke zurückerhält, ist, ob er grob fahrlässig gehandelt hat. Der BGH hat in seinem Urteil vom 22.07.2025 (Az. XI ZR 107/24) diese Variante bei Telefonanrufen vermeintlicher Bankmittarbeiter konkret beleuchtet und damit für mehr Klarheit gesorgt.

• Der Kunde hat grundsätzlich bei nicht autorisierten Zahlungsvorgängen einen Ersatzanspruch gegen die Bank nach § 675u BGB.
• Die Bank kann jedoch ggf. einen gegenläufigen Schadensersatzanspruch gegen den Kunden nach § 675v Abs. 3 Nr. 2 BGB geltend machen.
• Dies ist z.B. der Fall, wenn der Kunde durch die Weitergabe der TANs in grob fahrlässiger Weise gegen seine Pflichten nach § 675l Abs. 1 Satz 1 BGB verstoßen hat.

Da der Schadensersatzanspruch der Bank nach § 675v Abs. 3 Nr. 2 BGB in der vorliegenden Konstellation derselben Höhe entspricht wie der Anspruch des Kunden nach § 675u BGB, ist die Bank nicht verpflichtet, den entstandenen Schaden zu ersetzen.

Konsequenz

Im Ergebnis bleibt der Kunde auf seinem Schaden sitzen.

Bei Phishing- und Betrugsfällen im Online-Banking kommt es immer auf den konkreten Einzelfall an. Die zentrale Frage ist oft nicht, ob die Bank haftet – das ist nach § 675u BGB meist klar geregelt, insbesondere unter Berücksichtigung der aktuellen höchstrichterlichen Rechtsprechung. Selbst wenn starke Authentifizierungsmittel verwendet wurden, kann die Bank grundsätzlich haften.

Wichtiger ist jedoch in der aktuellen Rechtsprechung die Frage, ob der Bank ein Schadensersatzanspruch gegen den Kunden zusteht:

• Hat der Kunde grob fahrlässig im Sinne des § 675v Abs. 3 Nr. 2 BGB gehandelt, entsteht der Bank ein eigener Schadensersatzanspruch in derselben Höhe.
• Lässt sich dies nicht widerlegen, kann gegebenenfalls noch eine Mitschuld oder überwiegende Mitschuld der Bank nach § 254 BGB geprüft werden, zum Beispiel wenn die Bank gegen eigene Pflichten aus dem Aufsichtsrecht (z. B. KWG oder ZAG) verstoßen hat.

Gelingt dies nicht, besteht kein Ersatzanspruch gegen die Bank. In der Praxis bedeutet dies: Eine Rückerstattung oder Korrektur des Kontos ist in der Regel nicht durchsetzbar.

Ob die derzeitige Auslegung des Gesetzes durch die höchstrichterliche Rechtsprechung vom Gesetzgeber so indendiert war oder nicht, kann gegenwärtig dahinstehen, erfolgreich lassen sich Ansprüche gegen die Bank nur dann durchsetzen, wenn dem Kunden keine grobe Fahrlässigkeit zu unterstellen ist oder der Bank zumindest ein überwiegendenes Mitverschulden zugewiesen werden kann.

Der Gesetzgeber ist momentan einmal mehr dabei vieles zu überarbeiten in Form der dritten Zahlungsrichtlinie der EU. Diese wird wohl auch Bedeutung für die Haftungsfragen der Banken in der Zukunft entwickeln.

Beim gegenwärtigen Stand sollten sich Betroffene indes fachkundig beraten lassen, ob sich Ansprüche erfolgsversprechend durchsetzen lassen oder nicht.