Karlsruhe, 3. März 2026, kurz nach zehn Uhr. Im Verhandlungssaal des XI. Zivilsenats des Bundesgerichtshofs sitzen ein selbstständiger Handwerker aus Sachsen-Anhalt und seine Ehefrau. Hinter ihnen liegen Jahre des Rechtsstreits — und ein Schaden von knapp 39.454 Euro, den ein Betrüger im Oktober 2020 durch manipulierte Überweisungen vom Geschäftskonto ihres Unternehmens abgeräumt hatte. Heute fällt der BGH sein Urteil: Haftet die Sparkasse, oder bleibt der Schaden beim Handwerker? Das Ergebnis trifft Tausende Phishing-Geschädigte in Deutschland mit voller Wirkung.

BGH XI ZR 20/24 chipTAN: Warum entschied der BGH gegen den Geschädigten?

Das Bundesgerichtshof-Urteil BGH XI ZR 20/24 chipTAN vom 03.03.2026 bestätigt: Wer eine transaktionsbezogene TAN telefonisch an Betrüger weitergibt, handelt grob fahrlässig im Sinne von § 675v BGB — und verliert den Erstattungsanspruch gegen die Bank. Der zentrale Einwand des Klägers, das manuelle chipTAN-Verfahren sei keine wirksame starke Kundenauthentifizierung, weil der Empfänger-Klarname nicht im Display des TAN-Generators erscheint, ließ der BGH nicht gelten. Die Sparkasse haftet nicht.

Was war der genaue Ablauf des Betrugs?

Im Oktober 2020 erhielt die Ehefrau des Klägers eine E-Mail mit auffälligen Rechtschreibfehlern. Darin wurde behauptet, der TAN-Generator müsse für ein neu einzuführendes „Covid Intelligence Spa Connect“-System neu konfiguriert werden. Die Ehefrau — voll verfügungsberechtigt für das Geschäftskonto — registrierte sich daraufhin auf einer gefälschten Seite. Am darauffolgenden Samstag rief ein angeblicher Sparkassenmitarbeiter an und forderte sie auf, manuell Ziffernfolgen in den TAN-Generator einzugeben und die generierten TANs telefonisch zu nennen.

Mit diesen TANs hoben die Täter zunächst das Überweisungslimit von 10.000 Euro auf bis zu 94.999 Euro an und führten am Samstag Überweisungen über 7.222 Euro und 7.445 Euro aus. Am Sonntag wiederholte sich der Vorgang: Limit erneut auf 80.000 Euro angehoben, weitere Überweisungen über 8.787 Euro und 16.000 Euro. Der Handwerker ließ das Online-Banking noch am Sonntag über den Sperrnotruf blockieren — zu spät. Der Gesamtschaden belief sich auf 39.454 Euro.

Das Landgericht Halle hatte im Ausgangsurteil (Az. 4 O 133/22) noch zugunsten des Klägers entschieden und eine Erstattungspflicht bejaht. Das OLG Naumburg wies die Berufung am 10. Januar 2024 (5 U 83/23) zurück. Der BGH schloss sich dieser Linie an und wies die Revision ab.

Was sagt der Leitsatz des BGH wortgetreu?

Der amtliche Leitsatz des Urteils lautet nach dejure.org, BGH XI ZR 20/24:

„Eine starke Kundenauthentifizierung im Sinne von § 675v Abs. 4 Satz 1 Nr. 1 BGB erfordert im manuellen chipTAN-Verfahren nicht die Angabe des Namens des Zahlungsempfängers im Display des TAN-Generators.“

Dieser Satz hat weitreichende Bedeutung. Er schließt ein Argument ab, das Geschädigte in Phishing-Fällen seit Jahren als Verteidigungslinie nutzten: Fehlt der Empfänger-Klarname im TAN-Generator-Display, sei das Verfahren nicht SCA-konform, also nicht als starke Kundenauthentifizierung einzustufen, was nach § 675v Abs. 4 Satz 1 Nr. 1 BGB den Schadensersatzanspruch der Bank ausschließen würde. Nach beckmannundnorda.de (24.03.2026) ist dieser Einwand nunmehr abschließend verworfen.

Wie begründet der BGH die SCA-Konformität des manuellen chipTAN-Verfahrens?

Der BGH folgt einer dreigliedrigen Prüfung. Zunächst stellt er fest, dass das manuelle chipTAN-Verfahren zwei der drei Faktoren der starken Kundenauthentifizierung im Sinne von § 1 Abs. 24 ZAG erfüllt: Es kombiniert den Faktor „Wissen“ (die PIN des Nutzers) mit dem Faktor „Besitz“ (die Chipkarte und der physische TAN-Generator). Zwei von drei Faktoren sind damit erfüllt.

Danach prüft der BGH die sogenannte dynamische Verknüpfung nach § 55 Abs. 2 ZAG in Verbindung mit Art. 5 Abs. 1 der Delegierten Verordnung (EU) 2018/389 (Regulatory Technical Standards). Diese Vorschrift verlangt bei elektronischen Fernzahlungen, dass der Authentifizierungscode spezifisch für den Betrag und den Zahlungsempfänger erzeugt wird. Betrag und IBAN des Empfängers werden vom Nutzer manuell in den TAN-Generator eingegeben; der Generator bindet beide Größen rechnerisch in die generierte TAN ein. Damit ist die dynamische Verknüpfung hergestellt.

Schließlich verneint der BGH das Erfordernis einer Klarnamen-Anzeige im Generator-Display aus zwei Gründen: Erstens lasse sich Art. 5 Abs. 1 der Delegierten VO bereits in die Richtung auslegen, dass die IBAN allein als Empfängerbezeichnung ausreicht. Zweitens — und das ist die eigentliche tragfähige Begründung — schreibe die Vorschrift jedenfalls nicht vor, dass der Name im Display des TAN-Generators erscheinen müsse; es genüge, dass der Klarname dem Nutzer im Online-Banking-Fenster angezeigt wird, während er die Überweisung anlegt. Die TAN-Erzeugung erfolge nie isoliert, sondern stets im Kontext einer laufenden Transaktion, bei der der Empfängername dem Nutzer ohnehin sichtbar sei. Eine Vorlage an den EuGH hält der BGH für nicht erforderlich — die Auslegung der Delegierten VO sei nach der Formel des „acte clair“ so eindeutig, dass kein vernünftiger Zweifel verbleibe.

Das Ergebnis: Das manuelle chipTAN-Verfahren genügt den SCA-Anforderungen. § 675v Abs. 4 Satz 1 Nr. 1 BGB ist nicht anwendbar. Der Schadensersatzanspruch der Sparkasse ist nicht ausgeschlossen. Die grobe Fahrlässigkeit der Ehefrau wird dem Kläger zugerechnet, da sie voll verfügungsberechtigt war. Die Klage scheitert vollständig.

Was bedeutet grobe Fahrlässigkeit bei chipTAN konkret?

Der BGH bestätigt im Urteil XI ZR 20/24 mehrere Kriterien, anhand derer die Gerichte grobe Fahrlässigkeit im Sinne von § 675v BGB bei Phishing-Fällen beurteilen. Die E-Mail enthielt Rechtschreibfehler; ein verständiger Nutzer hätte dies als unmissverständliches Warnsignal erkannt. Die Anrufe erfolgten an einem Samstag und Sonntag, also außerhalb normaler Geschäftszeiten. Sparkassen weisen auf ihren Websites ausdrücklich darauf hin, dass TANs niemals telefonisch weiterzugeben sind. Die Online-Banking-Bedingungen enthalten dasselbe Verbot in aller Deutlichkeit. All diese Warnzeichen, kumulativ betrachtet, begründen nach Ansicht des BGH eine grobe Pflichtverletzung, die über eine einfache Unvorsichtigkeit weit hinausgeht.

Dass die Ehefrau das manuelle chipTAN-Verfahren bisher nicht kannte und deshalb bei der Zifferneingabe keine Nachforschungen anstellte, lässt der BGH nicht als Entschuldigung gelten. Das Display des TAN-Generators zeigte IBAN und Betrag an — allein das bot genug Anlass zur kritischen Hinterfragung. Unwissenheit über das Verfahren entlastet nicht, wenn die im Display sichtbaren Informationen eindeutig auf eine Überweisung hinweisen. Das Urteil folgt damit der Linie, die der BGH bereits mit BGH XI ZR 107/24 vom 22.07.2025 zur groben Fahrlässigkeit beim chipTAN-Verfahren gezogen hatte.

Für Sie als Betroffene bedeutet das in der Praxis: Sobald Sie im Laufe eines Telefonats aufgefordert wurden, Ziffern in Ihren TAN-Generator einzugeben und die entstehende TAN zu nennen, ist der Vorwurf grober Fahrlässigkeit nach aktuellem Rechtsstand kaum zu entkräften — sofern das Verfahren im Übrigen SCA-konform war und keine besonderen Umstände hinzukommen.

Wann haftet die Bank dennoch — der entscheidende Unterschied zum Spoofing-Szenario?

Das Urteil BGH XI ZR 20/24 darf nicht isoliert gelesen werden. Es entscheidet einen Sachverhalt, in dem die Geschädigte die TAN nach einem Telefonat aktiv weitergegeben hat. Das ist ein grundlegend anderer Sachverhalt als jener, bei dem Betrüger durch technische Manipulation in den Zahlungsvorgang eingreifen, ohne dass der Kontoinhaber eine TAN preisgibt oder preiszugeben braucht.

Das Landgericht Köln hat in seinem Urteil zum Az. 22 O 43/23 ausdrücklich festgestellt, dass Call-ID-Spoofing — also das technische Vortäuschen einer echten Bankrufnummer — die Schutzlage des Kunden fundamental verändert. Wenn die Bank die Absenderkennung einer Rufnummer oder einer SMS nicht gegen Fälschungen absichert und der Betrug gerade auf dieser Lücke in der Sicherheitsinfrastruktur aufbaut, liegt nach Auffassung des LG Köln keine grobe Fahrlässigkeit des Kunden vor. Ähnliche Erwägungen hat das OLG Dresden im Verfahren 8 U 1482/24 angestellt, das der Sparkasse ein Mitverschulden von 20 Prozent zuordnete, obwohl der Kunde grob fahrlässig gehandelt hatte.

Die Differenzierung ist für Sie als Geschädigten entscheidend: Hat die Bank ihre eigene Sicherheitsinfrastruktur so betrieben, dass Täter ohne Ihre aktive Mithilfe Zugriff auf Ihr Konto erlangten — etwa durch Ausnutzung von SMS-Spoofing als Sender-ID-Manipulation oder durch Call-ID-Fälschung — dann steht der Haftungsmaßstab des BGH XI ZR 20/24 Ihrer Erstattungsforderung nicht im Wege. Die entscheidende Frage lautet daher stets: Wer hat die TAN tatsächlich eingegeben — Sie auf Anruf hin, oder ein Dritter durch technische Manipulation?

Einen Überblick über Bankpflichten und Haftungsfragen bei Kryptobetrug finden Sie auch auf unserer Seite zur Bankhaftung bei Kryptobetrug.

Welche Normen sind in solchen Fällen anwendbar?

Der zivilrechtliche Anspruch folgt einer klaren Normenkette. Ausgangspunkt ist § 675u BGB: Bei einem nicht autorisierten Zahlungsvorgang ist das Kreditinstitut verpflichtet, das Zahlungskonto des Zahlers unverzüglich zu entlasten und auf den Stand vor der Belastung zurückzuführen. Dieser Erstattungsanspruch besteht auch im Fall XI ZR 20/24 dem Grunde nach — die Sparkasse wäre grundsätzlich zur Erfüllung verpflichtet — wäre da nicht der Gegenanspruch.

Dieser Gegenanspruch ergibt sich aus § 675v Abs. 3 Nr. 2 BGB: Hat der Zahler grob fahrlässig gegen die vertraglichen Bedingungen für die Nutzung des Zahlungsinstruments verstoßen und wurde dabei eine starke Kundenauthentifizierung verwendet, steht der Bank ein Schadensersatzanspruch zu, der den Erstattungsanspruch des Kunden saldiert. Der Nachweis der starken Kundenauthentifizierung lag hier bei der Sparkasse und wurde durch das Urteil bestätigt.

Daneben kommt § 280 BGB als Grundlage für vertragliche Pflichtverletzungsansprüche in Betracht — etwa wenn die Bank unzureichende Sicherheitshinweise bereitgestellt hat oder wenn Schwächen in der Login-Sicherung (fehlende SCA beim Kontozugang) zur Schadenentstehung beigetragen haben. Ebenfalls relevant ist § 823 Abs. 2 BGB in Verbindung mit § 263 StGB (Betrug) und § 263a StGB (Computerbetrug) als Schutzgesetze. Gegenüber den Tätern selbst ermöglicht die Normpyramide aus § 73 StGB i.V.m. § 111e StPO die strafrechtliche Einziehung deliktisch erlangter Vermögenswerte — ein Instrument, das in gut vorbereiteten Verfahren parallel zur zivilrechtlichen Klage eingesetzt wird.

Ausführlichere Informationen zu Blockchain-Tracing und forensischer Rückverfolgung gestohlener Beträge finden Sie auf unserer Seite zum Krypto-Tracing und zur Blockchain-Forensik.

Was bedeutet EuGH C-70/25 für Phishing-Geschädigte in Deutschland?

Zwei Tage nach dem BGH-Urteil, am 5. März 2026, veröffentlichte Generalanwalt Rantos seinen Schlussantrag in der Rechtssache C-70/25 vor dem Europäischen Gerichtshof. Der Generalanwalt plädiert für eine unverzügliche Erstattungspflicht der Zahlungsdienstleister — dem Grundsatz nach unabhängig davon, ob dem Kunden grobe Fahrlässigkeit vorgeworfen werden kann. Die Linie lautet vereinfacht: erst erstatten, dann streitig machen. Das Schadensersatzrecht bleibt zwar nicht ausgeschlossen, darf aber nicht zur Verrechnungsposition werden, mit der Banken die Erstattung von vornherein blockieren.

Sollte der EuGH dieser Argumentation folgen — das Urteil steht noch aus — würde dies die deutschen Gerichte zwingen, die bisherige Praxis zu überdenken, nach der Erstattungsanspruch und Schadensersatzanspruch der Bank im selben Verfahren gegeneinander aufgerechnet werden. Für Phishing-Geschädigte könnte das bedeuten, dass Sie zunächst eine vollständige Rückbuchung erhalten, während die Frage der groben Fahrlässigkeit in einem separaten Schritt — und auf Initiative der Bank — zu klären wäre. Das BGH-Urteil XI ZR 20/24 würde dadurch nicht gegenstandslos; es enthält wertvolle Klärungen zur SCA-Konformität des chipTAN-Verfahrens, die auch in einem zweiphasigen Verfahren Bestand hätten. Aber die praktische Ausgangslage für Geschädigte würde sich erheblich verbessern.

Aktuelle Entwicklungen zu KI-gestützten Angriffsmethoden, die sich von klassischen Phishing-Szenarien unterscheiden, beschreiben wir auf unserer Seite zu KI-Krypto-Betrug, Deepfake und Phishing 2026.

Welche Sofortmaßnahmen sind nach einem chipTAN-Phishing-Vorfall richtig?

Wenn Sie Opfer eines Angriffs wurden, bei dem chipTAN-Codes abgegriffen wurden, zählt jeder Tag. Die Erfahrung aus der anwaltlichen Praxis zeigt: Je früher Sie handeln, desto größer ist die Chance, dass überweisungsempfangende Konten noch nicht geleert oder weitertransferiert wurden. Sperren Sie den Online-Banking-Zugang sofort über den Sperrnotruf 116 116 oder direkt bei Ihrer Bank. Sichern Sie alle verfügbaren Belege: E-Mails, SMS, Anrufnachweise, Screenshots des Online-Bankings sowie Kontoauszüge, die die nicht autorisierten Abbuchungen zeigen. Erstatten Sie Strafanzeige bei der zuständigen Polizeidienststelle oder über die Online-Wache des jeweiligen Bundeslandes — die Anzeige ist die Grundlage für etwaige strafrechtliche Einziehungsmaßnahmen nach § 73 StGB i.V.m. § 111e StPO.

Wenden Sie sich danach an einen auf Bank- und Zahlungsverkehrsrecht spezialisierten Anwalt, bevor Sie gegenüber der Bank irgendeine Erklärung abgeben oder ein Kulanzangebot annehmen. Die rechtliche Bewertung hängt in hohem Maß von den konkreten Einzelfallumständen ab: Haben Sie die TAN selbst weitergegeben, oder haben Täter durch technische Mittel ohne Ihre aktive Mitwirkung auf das Konto zugegriffen? Gab es Anzeichen dafür, dass Ihre Bankverbindung vor dem Anruf bereits durch eine Datenpanne kompromittiert war? Enthielt die Kontaktaufnahme der Betrüger Informationen, die nur aus dem Bankensystem stammen konnten? Diese Fragen entscheiden über Ihre Erfolgsaussichten.

Eine erste rechtliche Einschätzung erhalten Sie innerhalb von 24 Stunden — schreiben Sie an kryptoschaden@rexus-recht.de mit kurzer Sachverhaltsschilderung, Datum und Höhe des Schadens.

Wann scheidet eine Mandatierung aus?

Eine Mandatierung scheidet aus, wenn der Sachverhalt offenkundig aussichtslos ist, wenn keine forensisch tragfähigen Anknüpfungspunkte für eine Bankhaftung oder Tracing-Maßnahme bestehen oder wenn der Schaden in keinem Verhältnis zum Aufwand steht. Das gilt insbesondere dann, wenn der Betroffene die TAN nachweislich auf telefonische Aufforderung hin weitergegeben hat, das chipTAN-Verfahren lückenlos SCA-konform war und keinerlei Anhaltspunkte für ein Mitverschulden der Bank oder für technische Manipulationen vorliegen, die dem Spoofing-Szenario entsprechen. Diese Prüfung erfolgt vor Mandatsannahme und kostenfrei für Sie.

Verwandte Entscheidungen: Welche Urteile prägen das Bild?

BGH XI ZR 20/24 steht nicht allein. Das Gericht selbst verweist auf BGH XI ZR 107/22 vom 05.03.2024 als dogmatische Grundlage der Erstattungs- und Beweislastverteilung bei nicht autorisierten Zahlungen sowie auf BGH XI ZR 107/24 vom 22.07.2025, das die grobe Fahrlässigkeit bei chipTAN-Fällen mit Call-ID-Spoofing differenziert bewertet hatte. Die Urteile zeigen, dass der XI. Zivilsenat eine konsistente Linie verfolgt: Grobe Fahrlässigkeit bei freiwilliger TAN-Weitergabe wird streng beurteilt; Bankmitverschulden bei technischen Sicherheitslücken wird gleichwohl anerkannt.

Das OLG Dresden hat in 8 U 1482/24 der Sparkasse trotz grober Fahrlässigkeit des Kunden ein Mitverschulden von 20 Prozent zugebilligt, weil die Bank keine ausreichende starke Kundenauthentifizierung beim Login implementiert hatte. Diese Rechtsprechungslinie eröffnet auch in Fällen, die nach BGH XI ZR 20/24 auf den ersten Blick verloren erscheinen, noch Beurteilungsspielräume. Eine sorgfältige Analyse der Sicherheitsarchitektur der jeweiligen Bank ist daher unverzichtbar.

Über aktuelle Strafverfolgungsmaßnahmen im Bereich Kryptobetrug, die Rückschlüsse auf das Ausmaß organisierter Strukturen hinter Phishing-Angriffen erlauben, berichten wir auf unserer Seite zur Europol-Aktion gegen Kryptobetrug.

Häufige Fragen zum BGH-Urteil XI ZR 20/24 chipTAN

Was besagt BGH XI ZR 20/24 für Bankkonten-Inhaber mit chipTAN?

Das Urteil klärt, dass das manuelle chipTAN-Verfahren als starke Kundenauthentifizierung im Sinne von § 675v Abs. 4 Satz 1 Nr. 1 BGB gilt, auch wenn der Empfänger-Klarname nicht im Display des TAN-Generators erscheint. Wer unter diesen Bedingungen eine TAN telefonisch weitergibt und damit Überweisungen freigibt, trägt den Schaden selbst, weil die Sparkasse den Erstattungsanspruch mit einem Schadensersatzanspruch wegen grober Fahrlässigkeit nach § 675v BGB aufrechnen kann.

Gilt das Urteil auch, wenn ich nie bewusst eine Überweisung autorisiert habe?

Der BGH unterscheidet zwischen formeller Nichtautorisierung und grob fahrlässiger Mitwirkung. Die Überweisungen im Fall XI ZR 20/24 waren technisch nicht autorisiert — dennoch scheiterte der Kläger, weil seine Ehefrau die Authentifizierungsmittel grob fahrlässig preisgegeben hatte. Entscheidend ist, ob Sie oder eine berechtigte Person durch aktives Tun zur Freigabe beigetragen haben. Wurde die Transaktion hingegen durch technische Mittel ohne jede Mitwirkung Ihrer Person durchgeführt — etwa durch Spoofing auf Serverebene — ist die Lage rechtlich eine andere.

Kann ich nach BGH XI ZR 20/24 noch Erfolg mit einer Bankhaftungsklage haben?

Ja, wenn Ihr Sachverhalt vom entschiedenen Fall abweicht. Konkret: Wenn die Bank keine wirksame starke Kundenauthentifizierung für die Überweisung verlangt hat, greift § 675v Abs. 4 Nr. 1 BGB zugunsten des Kunden. Wenn die Bank ein eigenes Mitverschulden trägt — etwa durch fehlende SCA beim Login oder durch unzureichende Warnsysteme — kann nach der Linie von OLG Dresden 8 U 1482/24 eine anteilige Haftung bestehen. Auch das ausstehende EuGH-Urteil in C-70/25 könnte die Ausgangslage verändern.

Was ist der Unterschied zwischen Phishing und Call-ID-Spoofing rechtlich?

Beim klassischen Phishing gibt der Geschädigte auf Täuschung hin die TAN oder Zugangsdaten aktiv preis — die grobe Fahrlässigkeit ist nach BGH XI ZR 20/24 in diesen Fällen in der Regel zu bejahen. Beim Call-ID-Spoofing fälschen Täter die angezeigte Rufnummer so, dass der Anruf als von der echten Bank kommend erscheint; die Bank hat es versäumt, ihre Infrastruktur gegen solche Angriffe abzusichern. Das LG Köln (22 O 43/23) hat in diesem Szenario grobe Fahrlässigkeit des Kunden verneint, weil das Sicherheitsversagen in der Sphäre der Bank liegt. Diese Abgrenzung ist für Sie als Betroffenen der wichtigste Analysepunkt.

Welche Rolle spielt EuGH C-70/25 für laufende Verfahren?

Der Schlussantrag von Generalanwalt Rantos vom 05.03.2026 empfiehlt dem EuGH, die unverzügliche Erstattungspflicht nach der EU-Zahlungsdiensterichtlinie so auszulegen, dass Banken nicht berechtigt sind, die Erstattung von vornherein mit einem Schadensersatzanspruch wegen grober Fahrlässigkeit zu verrechnen. Wenn der EuGH dem folgt, müssten deutsche Gerichte — und ggf. der BGH — ihre bisherige Praxis der direkten Saldierung überdenken. Laufende Verfahren könnten bis zur Klärung durch den EuGH ausgesetzt oder nach Urteilsverkündung neu bewertet werden.

„Wenn Sie Opfer von Krypto-Betrug geworden sind, zählt jede Stunde. Sichern Sie Ihre Beweise und lassen Sie Ihren Fall von einer spezialisierten Kanzlei analysieren. Kontaktieren Sie uns unter kryptoschaden@rexus-recht.de — Erstanalyse innerhalb von 24 Stunden.“
— Anna O. Orlowa, LL.M., RAin + FAin Bank-/Kapitalmarktrecht, Zert. Expertin Kryptowerte + Steuern

Quellen: dejure.org, BGH XI ZR 20/24, 03.03.2026 · beckmannundnorda.de, 24.03.2026 · beck-aktuell.de, 24.03.2026 · fch-gruppe.de, 29.04.2026 · jurpc.de, LG Halle 4 O 133/22 · dejure.org, BGH XI ZR 107/22 · dejure.org, BGH XI ZR 107/24 · dejure.org, OLG Dresden 8 U 1482/24 · EuGH-PM Nr. 31/26 (C-70/25)