Phishing-Opfer: Geld zurück & Schadensersatz von der Bank fordern

Schnell-Check: Was jetzt wichtig ist

Unter Phishing versteht man Online-Betrug über gefälschte E-Mails, SMS, Anrufe oder Webseiten, bei dem Täter Sie zur Preisgabe von Daten oder zur Bestätigung von Freigaben verleiten, um anschließend Zahlungen auszulösen.

Woran Sie erkennen, dass es hier um eine Erstattung durch die Bank gehen kann:

• Auf dem Konto erscheinen Buchungen, die Sie nicht veranlasst haben (Überweisung, Kartenzahlung, Abbuchung).
• Sie haben keine bewusste Zahlung beauftragt – oder nur unter Täuschung „bestätigt“ (z. B. angebliches Sicherheits-Update).
• Die Bank erstattet nicht oder verweist pauschal auf „grobe Fahrlässigkeit“.

Achtung: In diesen Konstellationen wird die Haftungsfrage oft besonders streitig (dann sehr sorgfältig dokumentieren):

• Sie haben TAN/Passwort/PIN irgendwo eingegeben oder an jemanden weitergegeben (auch telefonisch).
• Auf Ihrem Gerät war Fernzugriff/Screen-Sharing möglich oder Sie wurden zur Installation einer App überredet.
• Sie haben in der Banking-App eine Freigabe bestätigt, obwohl Empfänger/Betrag nicht zu Ihrer Absicht passten.

50-€-Grenze (kurz erklärt): Wenn eine Zahlung nicht autorisiert war und Ihnen höchstens einfache Fahrlässigkeit vorgeworfen werden kann, darf die Bank Sie grundsätzlich nur bis maximal 50 € beteiligen. Bei grober Fahrlässigkeit oder Vorsatz kann diese Begrenzung entfallen.

Wichtigste Frist: Melden Sie den Vorfall unverzüglich nach Entdeckung bei der Bank. Spätestens sollten Sie eine unberechtigte Belastung innerhalb von 13 Monaten ab dem Tag der Belastungsbuchung beanstanden – danach können Ansprüche verloren gehen.

Diese Unterlagen helfen fast immer (Bank, Polizei, spätere Prüfung):

• Transaktionsliste/Kontoauszug (Datum, Betrag, Empfänger/Händler)
• Screenshots/Weiterleitungen (SMS, E-Mail, Chat), Link/URL, Telefonnummer/Call-ID
• Zeitlinie: wann bemerkt, wann gemeldet, wann gesperrt
• Schriftwechsel mit der Bank (Rückfragen, Ablehnung, Begründung)

Häufigster Fehler: Gegenüber der Bank vorschnell zu erklären, wie der Betrug „sicher passiert ist“, obwohl Sie es nicht wissen. Bleiben Sie bei nachprüfbaren Fakten.

Hinweis: Wenn Sie möchten, können Sie Ihren Fall über advocado schildern und eine kostenlose Ersteinschätzung durch eine Partneranwältin oder einen Partneranwalt erhalten. Erst danach entscheiden Sie, ob Sie ein Festpreisangebot annehmen.

Fakt vs. Einzelfall: Was ist sicher – und wo kommt es wirklich darauf an?

Was meist sicher gilt: War ein Zahlungsvorgang nicht autorisiert, muss die Bank den Betrag grundsätzlich erstatten.

Wo es auf Details ankommt: In Phishing-Fällen streiten Banken häufig über zwei Punkte:

1. War die Zahlung wirklich „autorisiert“? (z. B. Freigabe in der App – aber unter Täuschung, Zeitdruck oder ohne erkennbaren Inhalt)
2. Liegt grobe Fahrlässigkeit vor? (z. B. TAN-Weitergabe, Fernzugriff, Ignorieren klarer Warnsignale)

Wichtig dabei: Eine erfolgte Authentifizierung allein beantwortet nicht automatisch alles. Bei Streit über die Autorisierung spielen Protokolle und Nachweise eine zentrale Rolle.

Eine rechtliche Einzelfallprüfung ist besonders sinnvoll, wenn …

• die Bank die Erstattung ablehnt oder nur teilweise erstatten will,
• der Schaden hoch ist oder mehrere Buchungen betroffen sind,
• Sie TANs weitergegeben haben oder zu einer „Sicherheitsmaßnahme“ gedrängt wurden,
• ein Fernzugriff auf Ihr Gerät möglich war,
• die Bank behauptet, Sie hätten „alles autorisiert“, obwohl Sie das so nicht wollten,
• es um Echtzeitüberweisungen oder schnelle Weiterleitungen ins Ausland geht,
• Sie unsicher sind, welche Angaben gegenüber Bank/Polizei sinnvoll sind.

So ordnen Sie Ihren Fall schnell ein

Beantworten Sie diese Fragen – sie entscheiden oft über die Haftung:

1. Welche Zahlungsart ist betroffen? (Überweisung, Echtzeitüberweisung, Kartenzahlung, Lastschrift, Wallet)
2. Gab es eine Freigabe in der Banking-App? (Ja/Nein/Unsicher)
3. Wurden TAN/PIN/Passwort weitergegeben oder eingegeben? (Telefon/Webseite/App/gar nicht)
4. Gab es Druck („sofort handeln“), ein „Sicherheitsupdate“ oder eine Sperr-Drohung?
5. Wie schnell haben Sie reagiert? (Sperre + Meldung sofort / Stunden / Tage)

1. Was ist Phishing?

Phishing ist eine Betrugsmasche, bei der Cyberkriminelle versuchen, an sensible Daten wie Passwörter oder Bankinformationen zu gelangen. Sie nutzen gefälschte E-Mails, Websites oder SMS, die oft täuschend echt wirken und begehen Identitätsdiebstahl.

Wie funktioniert Phishing?

Phishing funktioniert beispielsweise über fingierte Anrufe, E-Mails oder SMS und gefälschte Webseiten. Online-Betrüger versenden E-Mails oder SMS, die auf den ersten Blick so aussehen, als kämen sie von der Postbank, der Sparkasse oder einer anderen Bank.

Unter dem Vorwand, dass sich das TAN-Verfahren geändert habe, ein Update der App erforderlich oder das Konto aufgrund einer unberechtigten Lastschrift gesperrt sei, versenden die Betrüger den Link zu einer gefälschten Webseite. Hier sollen Bankkunden ihre Kontodaten eingeben. Dabei werden die Daten ausgespäht und dann das Konto leergeräumt.

Warnzeichen für Phishing

Phishing passiert unbemerkt – es gibt aber Warnzeichen für einen solchen Online-Betrug.

Warnzeichen für Phishing-Nachrichten sind z. B.:

• Sie werden z. B. per Mail unerwartet aufgefordert, persönliche Daten preiszugeben.
• Die Nachricht setzt Sie unter Druck zu handeln und droht mit Konsequenzen, wenn Sie nicht reagieren.
• Die Nachricht enthält Links zu verdächtigen Webseiten.
• Sie stammt von einem unbekannten Absender.
• Sie enthält Rechtschreib- bzw. Grammatikfehler.
• Der Versender benutzt keine persönliche Anrede.
• Es wird ein verzerrtes Firmenlogo verwendet.

2. Auf Phishing reingefallen: Was tun?

Mit diesen 5 Schritten können Phishing-Opfer ihr Geld zurückholen:

1. Phishing-Betrug bei der Bank melden: Informieren Sie Ihre Bank unverzüglich darüber, dass Sie wahrscheinlich Opfer von Phishing sind. Die Bank kann dann Ihr Konto sperren, um finanziellen Schaden zu verhindern. Stellen Sie dabei aber keine reinen Vermutungen dazu an, wie der Angriff der Täter gelungen sein könnte, sofern Sie das tatsächlich gar nicht wissen.
2. Beweise sichern: Sammeln Sie die SMS, E-Mails und andere Beweise für das Phishing. Nur so können Sie den Betrug nachweisen und Ihr Geld zurückfordern.
3. Zugangsdaten ändern: Ändern Sie Ihre PIN und Passwörter für das Online-Banking, damit Betrüger keinen Zugriff auf Ihr Konto haben.
4. Anzeige erstatten: Melden Sie den Phishing-Betrug bei der Polizei. Mit einer Anzeige wegen Betrugs nimmt die Polizei Ermittlungen auf, um den Betrüger zu identifizieren.
5. Anwalt kontaktieren: Um als Phishing-Opfer Ihr Geld zurückzubekommen, kann sich die Unterstützung eines Anwalts lohnen. Wenn die Bank das Geld nicht erstatten möchte, kann ein Anwalt Ihren Fall prüfen und den Anspruch auf Rückzahlung durch die Bank beweisen. Besonders wichtig: Ein erfahrener Anwalt kann verhindern, dass Sie unbedacht Angaben gegenüber der Bank machen, die später gegen Sie verwendet werden könnten.

3. Als Phishing-Opfer Geld zurückbekommen: Wer haftet?

Grundsatz: Nicht autorisiert = Bank muss erstatten

Im Zahlungsdiensterecht gilt: War ein Zahlungsvorgang nicht autorisiert, muss die Bank grundsätzlich den Betrag erstatten.

Der Streitpunkt in der Praxis: Autorisierung und Nachweise

Viele Fälle drehen sich um die Frage, ob eine Zahlung als „autorisiert“ gilt – etwa wenn in der App etwas bestätigt wurde. In solchen Konstellationen wird genau geprüft, was Sie bestätigt haben, welche Informationen sichtbar waren (Empfänger/Betrag/Zweck) und ob Täuschung und Druck den Ablauf geprägt haben. Für Nachweise zur Authentifizierung und zur Autorisierung enthält das Gesetz eigene Regeln.

Wann haften Kundinnen und Kunden – und was bedeutet die 50-€-Grenze?

Für unautorisierte Zahlungen haftet grundsätzlich die Bank. Kund:innen können aber in Anspruch genommen werden, wenn sie Sorgfaltspflichten verletzen.

• Einfache Fahrlässigkeit: Dann darf die Bank Kund:innen grundsätzlich nur bis maximal 50 € beteiligen.
• Grobe Fahrlässigkeit oder Vorsatz: Dann kann eine (Mit-)Haftung deutlich weiter gehen – im Extremfall bis zur vollständigen Haftung.

Ob „einfach“ oder „grob“ fahrlässig, ist oft eine Wertungsfrage. Typische Risikofaktoren sind das Weitergeben von TANs/Passwörtern, das Zulassen von Fernzugriff oder das Ignorieren klarer Warnsignale.

Sonderfall: „Formal bestätigt“ – aber trotzdem angreifbar?

In einigen Konstellationen kann es rechtlich relevant sein, dass eine Freigabe zwar „technisch“ erfolgt ist, aber unter Täuschung über Inhalt/Zweck. Ob und wie hier eine Anfechtung oder eine andere rechtliche Einordnung greift, hängt stark vom Einzelfall ab und sollte nicht „aus dem Bauch“ gegenüber der Bank erklärt werden.

4. Phishing-Opfer: Bekomme ich mein Geld zurück?

Ob ein Erstattungsanspruch besteht, hängt in der Praxis häufig daran, ob die Bank grob fahrlässiges Verhalten behauptet – und ob diese Einordnung im konkreten Ablauf wirklich trägt.

• Wenn keine sensiblen Daten weitergegeben wurden und Sie schnell reagiert haben, ist die Ausgangslage oft besser.
• Wenn TANs weitergegeben oder Fernzugriff ermöglicht wurde, wird es meist streitiger – aber auch dann ist wichtig, was genau passiert ist (Warnhinweise, Drucksituation, Erkennbarkeit).

Gerichte betonen immer wieder, dass grobe Fahrlässigkeit nicht „leicht“ angenommen werden darf. Gleichzeitig zeigt die Rechtsprechung auch: In Konstellationen, in denen Bankkund:innen z. B. TANs am Telefon an vermeintliche Bankmitarbeiter weitergeben, kann grobe Fahrlässigkeit bejaht werden.

Beispiel-Fälle: Drei typische Verläufe

Fall 1: SMS „Konto gesperrt“ – Login auf Fake-Seite

• Ausgangslage: Link in SMS führt auf täuschend echte Bankseite, Zugangsdaten werden eingegeben, kurz danach eine Überweisung.
• Vorgehen: Sofort sperren, Beweise sichern (URL/Screenshots), Bank schriftlich über konkrete Buchung informieren, Anzeige.
• Ergebnis: Bank erstattet zunächst nicht vollständig; Streit über Erkennbarkeit der Fake-Seite und Sorgfaltspflichten.
• Learning: Zeitlinie + Belege entscheiden, nicht Vermutungen.

Fall 2: Anruf „Sicherheitsabgleich“ – TAN wird am Telefon genannt

• Ausgangslage: Call-ID wirkt echt, Täter setzen unter Druck, verlangen TAN/Freigaben.
• Vorgehen: Sperre, Bankmeldung, schriftliche Dokumentation, Anzeige.
• Ergebnisstatus: Hohes Risiko einer groben Fahrlässigkeit – die Details (Warnhinweise, Ablauf, Nachweise der Bank) bleiben aber entscheidend.
• Learning: Gerade hier keine vorschnellen Erklärungen gegenüber der Bank.

Fall 3: App-Freigabe bestätigt – Empfänger passt nicht zur Absicht

• Ausgangslage: In Stress wird eine Freigabe bestätigt, später fällt ein falscher Empfänger auf.
• Vorgehen: Sofort Bank kontaktieren, prüfen lassen, ob Stopp/Rückruf möglich ist; Beweise sichern; Ablauf sauber dokumentieren.
• Ergebnisstatus: Schwerpunkt ist die rechtliche Einordnung von Autorisierung, Täuschung und Nachweisen.
• Learning: „Technisch bestätigt“ ist ein starker Faktor – aber nicht automatisch das Ende jeder Prüfung.

5. Phishing-Opfer? Geld zurück mit Anwalt – so geht’s

Wenn Sie Opfer eines Phishing-Angriffs geworden sind und Ihre Bank die Haftung ablehnt oder der Schaden nicht vollständig ersetzt wird, kann ein rechtlicher Beistand entscheidend sein.

Das kann ein Anwalt für Sie tun:

• Beweise für das Phishing sammeln.
• Mit der Bank über eine Einigung verhandeln.
• Rückerstattungsanspruch gegen die Bank durchsetzen.

Ein Anwalt für Bank- und Kapitalmarktrecht hat Erfahrung im Umgang mit solchen Fällen und kann für Phishing-Opfer das Geld von der Bank zurückholen

Der Anwalt kann Ihre Situation genau analysieren, die Erfolgsaussichten bewerten und Sie durch den gesamten Prozess begleiten – von der ersten Beratung bis hin zur gerichtlichen Durchsetzung Ihrer Ansprüche.

Kosten: Was bedeutet „kostenlose Ersteinschätzung“ – und was nicht?

Damit Erwartungen klar sind, lohnt diese Unterscheidung:

• Kostenlose Ersteinschätzung: erste juristische Orientierung (welche Fragen zählen, welche Unterlagen nötig sind, welche nächsten Schritte naheliegen).
• Festpreisangebot (optional): ein konkretes Angebot für definierte Leistungen (z. B. außergerichtliche Geltendmachung). Ob ein Angebot sinnvoll ist, hängt vom Fall ab.
• Rechtsschutzversicherung: Falls vorhanden, kann geprüft werden, ob eine Deckung in Betracht kommt (z. B. für außergerichtliches Vorgehen oder Klage).

Transparenz-Hinweis

Dieser Beitrag informiert über die Rechtslage in Deutschland (Stand: 05.03.2026). Er ersetzt keine individuelle Rechtsberatung.

Quellen

• § 675u BGB (Erstattung/Haftung bei nicht autorisierten Zahlungsvorgängen)
• § 675v BGB (Haftung des Zahlers, inkl. 50-€-Grenze; grobe Fahrlässigkeit)
• § 675w BGB (Nachweis der Authentifizierung/Autorisierung)
• § 676b BGB (Anzeige-/Ausschlussfrist: 13 Monate ab Belastung)
• BaFin: Hinweise zu Datendiebstahl/Phishing und Vorgehen im Ernstfall
• BSI: Phishing erkennen und richtig reagieren
• BGH, Urteil vom 22.07.2025 – XI ZR 107/24 (Einordnung grober Fahrlässigkeit in einer Phishing-Konstellation)

Letzte Aktualisierung

• Überblick am Anfang ergänzt (schnelle Einordnung, ob Erstattung in Betracht kommt).
• Fristen klarer gemacht (sofort melden, spätestens innerhalb von 13 Monaten beanstanden).
• 50-€-Eigenbeteiligung erklärt (und wann sie entfallen kann).
• Text stärker auf Einzelfallfaktoren ausgerichtet (App-Freigabe, TAN-Weitergabe, Fernzugriff, Warnsignale).
• Praxisbeispiele und typische Missverständnisse ergänzt.
• Quellen sowie Autor/Prüfung transparenter ausgewiesen.