Commerzbank-Kunden stehen seit Mitte Mai 2026 im Fokus einer professionell organisierten photoTAN-Phishing-Kampagne. Wer Zugangsdaten preisgegeben hat und unautorisierte Abbuchungen feststellt, hat nach § 675u BGB einen verschuldensunabhängigen Erstattungsanspruch gegen die Bank. Die Beweislast für grobe Fahrlässigkeit liegt nach § 675w BGB ausnahmslos bei der Bank — das OLG Koblenz hat diese Verteilung mit Urteil vom 17. April 2026 (Az. 8 U 682/24) auf 56.100 Euro Schadensumfang bestätigt.

Die Angriffstechnik ist nicht neu, aber sie wird präziser. Betrüger versenden E-Mails, die optisch von offiziellen Commerzbank-Nachrichten kaum zu unterscheiden sind, fordern unter dem Vorwand angeblicher „EU-Sicherheitsrichtlinien“ ein Update des photoTAN-Verfahrens und erzeugen durch eine Frist von „einem Werktag“ gezielt Panik. Wer auf den Link klickt und dort Login-Daten sowie die photoTAN-Aktivierungsgrafik eingibt, übergibt den Tätern faktisch die vollständige Kontoherrschaft: Mit der Aktivierungsgrafik lassen sich eigenständig neue Geräte registrieren, ohne dass der Kontoinhaber je eine Benachrichtigung erhält. Der rechtliche Rahmen, der Geschädigte schützt, ist eindeutig: §§ 675u, 675v Abs. 3, 675w BGB setzen der Bankseite eine hohe Beweislast — eine Hürde, die Kreditinstitute nach aktueller Rechtsprechung regelmäßig nicht nehmen.

Wie funktioniert das photoTAN-Verfahren — und wo liegt die Angriffsfläche?

Das photoTAN-Verfahren der Commerzbank nutzt zwei voneinander getrennte Faktoren: Zugangsdaten für das Online-Banking und eine separate TAN-Grafik, die mit der photoTAN-App gescannt wird. Die kritische Schwachstelle liegt nicht im Verfahren selbst, sondern in der Aktivierungsgrafik: Wer sie erlangt, kann eigenständig neue Endgeräte für das photoTAN-Konto registrieren und künftige Transaktionen unbemerkt autorisieren.

Das photoTAN-System der Commerzbank funktioniert in drei Varianten: als Push-Benachrichtigung über die photoTAN-App, als Scan-Funktion, bei der eine Grafik mit der App abgescannt und eine individuelle TAN erzeugt wird, sowie über ein dediziertes photoTAN-Lesegerät ohne Smartphone. Das sicherheitstechnische Konzept ist grundsätzlich solide — die Zwei-Faktor-Authentifizierung setzt auf die Trennung von Banking-Gerät und TAN-Generator. Die Angriffsfläche entsteht dort, wo beide Faktoren auf demselben Smartphone zusammengeführt werden, und vor allem durch die photoTAN-Aktivierungsgrafik selbst.

Informatiker der Friedrich-Alexander-Universität Erlangen-Nürnberg (FAU) haben nachgewiesen, dass die Zusammenführung von Banking-App und photoTAN-App auf einem einzigen Gerät das Zwei-Gerät-Sicherheitskonzept untergräbt. Gravierender ist jedoch: Gelangt ein Angreifer an die Aktivierungsgrafik — etwa über eine Phishing-Seite —, kann er eine vollständige Replik der photoTAN-App erstellen, die dieselben TANs generiert wie das Original. Das bedeutet: Die Täter benötigen nach erfolgreichem Phishing keine weiteren Handlungen des Opfers mehr. Der Kontozugang ist dauerhaft kompromittiert, bis das Opfer aktiv eingreift.

Die Commerzbank weist in ihren Sicherheitshinweisen ausdrücklich darauf hin, dass sie niemals — weder per E-Mail noch per Telefon noch auf anderem Weg — nach der photoTAN-Aktivierungsgrafik fragen wird. Genau diese Grafik wird aber in der aktuellen Phishing-Welle von Mai 2026 abgefragt.

Was sind die konkreten Merkmale der aktuellen photoTAN-Phishing-Welle?

Der Phishing-Radar der Verbraucherzentrale hat die aktuelle Commerzbank-Welle ab Mitte Mai 2026 dokumentiert. Die Nachrichten behaupten, das photoTAN-Zertifikat sei abgelaufen oder aus EU-Sicherheitsgründen zu aktualisieren, und setzen eine Frist bis „nächster Werktag“. Typisch ist die vollständige optische Imitation der offiziellen Commerzbank-Kommunikation bei gleichzeitig gefälschter Absenderdomain.

Sechs Merkmale identifizieren die aktuelle Welle zuverlässig:

Warnsignal	Beschreibung	Bewertung
Absenderdomain	Tatsächliche E-Mail-Adresse weicht von commerzbank.de ab — erkennbar nur im vollständigen Mail-Header	Hochpräzise Fälschung, für technisch unversierte Nutzer nicht erkennbar
Unpersönliche Anrede	„Sehr geehrte Kundin, sehr geehrter Kunde“ statt Klarname	Authentische Bankpost enthält stets den vollständigen Namen
Falsche Domain	Link führt auf abweichende URL mit Tippfehler oder anderer Länderkennung	Nur bei bewusstem Hinschauen erkennbar
Künstlicher Zeitdruck	„Ab nächstem Werktag nicht mehr nutzbar“	Klassische Social-Engineering-Technik zur Unterdrückung rationaler Prüfung
Abfrage der Aktivierungsgrafik	Aufforderung, die photoTAN-Aktivierungsgrafik hochzuladen oder zu fotografieren	Absolutes Ausschlusskriterium — echte Commerzbank fragt das nie ab
Fehlendes Kontowissen	Keine Kontonummer, keine letzte Transaktion, keine Filialangabe	Echte Bankpost enthält immer personenbezogene Kontodaten

Besonders gefährlich ist das Zusammenspiel aus täuschend echter Optik und zeitlichem Druck. Die Täter haben in der aktuellen Welle nicht nur das visuelle Design der Commerzbank nahezu perfekt imitiert, sondern nutzen auch kontenspezifische Formulierungen — in einigen gemeldeten Fällen enthielten die Nachrichten korrekte Kundennamen, was auf vorangegangene Datenlecks oder kombinierte Angriffe hindeutet. Wer unter solchen Umständen auf eine Phishing-Seite hereinfällt, handelt nach der Rechtsprechung des OLG Koblenz nicht grob fahrlässig.

Was bedeutet § 675u BGB für den Erstattungsanspruch?

§ 675u Satz 2 BGB verpflichtet den Zahlungsdienstleister, bei einem nicht autorisierten Zahlungsvorgang den Betrag unverzüglich zu erstatten und das Konto auf den Stand vor der Belastung zurückzusetzen. Der Anspruch entsteht verschuldensunabhängig, sobald die fehlende Autorisierung durch den Kontoinhaber feststeht. Erstattung hat spätestens bis zum Ende des nächsten Geschäftstags zu erfolgen.

Nicht autorisiert im Sinne des § 675j BGB ist jeder Zahlungsvorgang, dem der Zahler nicht wirksam zugestimmt hat. Gibt ein Kontoinhaber seine Zugangsdaten auf einer Phishing-Seite ein, ohne dabei die konkrete Transaktion zu kennen oder zu billigen, fehlt es an der erforderlichen Autorisierung — die Bank kann nicht mit Erfolg argumentieren, der Kunde habe „irgendwie“ zugestimmt, weil er sich eingeloggt hat. Autorisierung im Rechtssinn erfordert die konkrete Zustimmung zu einer spezifischen Transaktion, nicht die bloße Preisgabe von Zugangsdaten.

Praktisch bedeutet das: Sobald ein Phishing-Opfer der Bank gegenüber erklärt, die fragliche Überweisung nicht angeordnet zu haben, ist der Tatbestand des § 675u BGB dem Grunde nach erfüllt. Die Bank schuldet Erstattung — es sei denn, sie kann nach §§ 675v Abs. 3, 675w BGB grobe Fahrlässigkeit des Kunden darlegen und beweisen. Diese Beweislastverteilung ist der Kernpunkt: Nicht der Geschädigte beweist seine Unschuld, sondern die Bank beweist die Schuld des Kunden.

Wann haftet die Bank bei photoTAN-Phishing — und wann nicht?

Die Bank haftet nach § 675u BGB, wenn sie nicht beweisen kann, dass der Kunde grob fahrlässig gehandelt hat und dabei eine starke Kundenauthentifizierung nach § 1 Abs. 24 ZAG eingesetzt wurde. Professionell gestaltetes Phishing mit täuschend echter Optik, gefälschter Domain und Social Engineering begründet nach OLG Koblenz (8 U 682/24) keine grobe Fahrlässigkeit des Kunden.

Die Unterscheidung zwischen normaler und grober Fahrlässigkeit ist in der Praxis entscheidend. Grobe Fahrlässigkeit liegt vor, wenn der Kunde die einfachsten, jedem einleuchtenden Sorgfaltsregeln außer Acht gelassen hat — also wenn das Fehlverhalten jedem sofort ins Auge springt. Ein technisch nicht versierter Bankkunde, der auf eine professionell imitierte Bankseite hereinfällt, auf der die URL nur im Detail abweicht, handelt nach der Linie des OLG Koblenz nicht grob fahrlässig. Die Schwelle liegt höher: Sie wäre etwa erreicht, wenn jemand einem offensichtlich fremden Dritten bewusst TANs am Telefon diktiert, obwohl die Bank ausdrücklich dagegen gewarnt hat und der Anrufer erkennbar nicht zur Bank gehört.

Entscheidend für die Haftungsverteilung sind drei Faktoren:

• Professionalität der Täuschung: Je überzeugender die Fälschung, desto schwerer fällt der Fahrlässigkeitsvorwurf gegen den Kunden.
• Verwendung von starker Kundenauthentifizierung: § 675v Abs. 3 BGB setzt voraus, dass eine starke Kundenauthentifizierung (§ 1 Abs. 24 ZAG) stattgefunden hat. Fehlt sie auf Bankseite, entfällt bereits tatbestandlich der gegenläufige Schadensersatzanspruch.
• Insiderwissen der Täter: Verfügen Angreifer über konkrete Kontodaten — Kundennamen, Umsatzdetails — verschiebt sich das Sicherheitsversagen in Richtung Bankinfrastruktur, nicht Kundenverhalten (OLG Koblenz, 8 U 682/24).

Bedeutet das Klicken auf einen Phishing-Link automatisch Klageverzicht? Nein —

Das OLG Koblenz stellt ausdrücklich klar, dass das Anklicken eines Links in einer überzeugend gestalteten Nachricht und das anschließende Einloggen auf einer gefälschten Bankseite kein grob fahrlässiges Verhalten begründet, solange keine konkreten Anhaltspunkte erkennbar waren, die auch einem normalen Nutzer die Fälschung offenbart hätten. Das Folgen eines in einer SMS oder E-Mail enthaltenen Links entspricht exakt dem, was Banken von ihren Kunden bei echten Sicherheitsupdates erwarten. Aus diesem Verhalten kann kein Fahrlässigkeitsvorwurf abgeleitet werden.

Was hat OLG Koblenz 8 U 682/24 konkret entschieden?

Das OLG Koblenz hat mit Urteil vom 17. April 2026 (Az. 8 U 682/24) die Sparkasse Westerwald-Sieg zur vollständigen Erstattung eines Phishing-Schadens von 56.100 Euro zuzüglich Zinsen und vorgerichtlicher Anwaltskosten verurteilt. Der 8. Zivilsenat stellte fest: Die Bank konnte den Beweis grober Fahrlässigkeit nicht erbringen — ihre Behauptungen erwiesen sich teils als technisch unmöglich, teils als bloße Spekulation.

Der Sachverhalt: Täter hatten die echte Bankrufnummer mittels Call-ID-Spoofing vorgetäuscht, verfügten über konkretes Kontowissen und hatten die Kunden so zur Freigabe von Transaktionen gebracht. Das LG Koblenz hatte die Klage in erster Instanz abgewiesen und grobe Fahrlässigkeit der Kunden angenommen. Das OLG hob diese Entscheidung vollständig auf.

Drei Leitsätze des 8. Zivilsenats, die für photoTAN-Phishing-Fälle unmittelbar relevant sind:

1. Täuschend echte Gestaltung schützt den Kunden. Kann der Nutzer eine gefälschte Website von der echten nicht unterscheiden, und fehlen konkrete Anhaltspunkte dafür, warum ihm die Fälschung hätte auffallen sollen, liegt keine grobe Fahrlässigkeit vor. Die Bank hat diese konkreten Anhaltspunkte positiv zu benennen — pauschale Behauptungen genügen nicht.
2. Professionelles Social Engineering geht zu Lasten der Bankinfrastruktur. Setzen Täter Call-ID-Spoofing, kontokonkretes Insiderwissen und einen glaubhaften Bankskript ein, liegt das Sicherheitsversagen im Authentifizierungssystem der Bank, nicht im Verhalten des Kunden. Das Urteil überträgt den Schutzgedanken der PSD2-Richtlinie konsequent in nationales Recht.
3. Technisch widerlegte Behauptungen tragen keine Beweislast. Die Bank hatte geltend gemacht, der Kunde habe bestimmte Handlungen vorgenommen, die das sachverständige Gutachten als technisch unmöglich identifizierte. Das OLG ließ solche Spekulationen nicht als Beweis gelten. Die Bank trägt die volle Beweislast nach § 675w BGB — und diese Beweislast umfasst auch den konkreten, technisch nachweisbaren Akt des Kunden.

Die Entscheidung betrifft zwar primär Call-ID-Spoofing, ist aber wertungsmäßig auf professionelle E-Mail-Phishing-Fälle übertragbar, bei denen Täter das Bankdesign perfekt imitieren und sogar Kundendaten kennen. Der BGH hat die zugrundeliegende Beweislastverteilung bereits mit Urteil vom 5. März 2024 (XI ZR 107/22) bestätigt. Ergänzend ist auf OLG Dresden (Urt. v. 5. Juni 2025, Az. 8 U 1482/24) hinzuweisen, das eine Mitschuld der Bank sogar in Fällen annahm, in denen Kundenfahrlässigkeit feststand — weil das Login-System der Sparkasse keine echte starke Kundenauthentifizierung darstellte.

Die Bank hat konkret darzulegen und zu beweisen, welche pflichtwidrige Handlung der Kunde wann und in welcher Weise begangen hat. Unspezifische Fahrlässigkeitsvorwürfe, die sich technisch nicht substanziieren lassen, sind rechtlich wertlos — und fallen auf die Bank zurück.

Welche Fristen gelten nach § 675u BGB — und was sind die Folgen von Versäumnissen?

Der Erstattungsanspruch nach § 675u BGB erlischt 13 Monate nach dem Buchungsdatum der nicht autorisierten Zahlung. Innerhalb dieser Frist ist die schriftliche Rüge gegenüber der Bank zwingend. Danach erlischt der gesetzliche Anspruch — unabhängig vom Verschulden. Strafanzeige und deliktische Ansprüche (§§ 823 II, 826 BGB) folgen anderen Verjährungsregeln.

Der gesetzliche Erstattungsanspruch aus § 675u BGB unterliegt einer besonderen Ausschlussfrist: 13 Monate ab Buchung, nicht ab Kenntniserlangung. Das bedeutet: Wer erst nach vier Monaten bemerkt, dass sein Konto belastet wurde, hat noch neun Monate für die Rüge. Wer nach 14 Monaten zum ersten Mal die Bank kontaktiert, ist ausgeschlossen — auch dann, wenn die Bank grob fahrlässig gehandelt hat und der Betrug offensichtlich war.

Parallel läuft die strafrechtliche Dimension: Phishing ist Computerbetrug nach § 263a StGB — die betroffene Tathandlung des Täters erfüllt das Merkmal des unbefugten Verwendens von Daten. Das Abfangen und Missbrauchen der photoTAN-Aktivierungsgrafik verwirklicht zudem den Tatbestand der Fälschung beweiserheblicher Daten nach § 269 StGB. Geldwäsche nach § 261 StGB kommt in Betracht, wenn die Täter die erbeuteten Beträge über Mule-Konten schleusen. Eine Strafanzeige nach § 158 StPO ist von Beweissicherungsinteressen getragen: Sie dokumentiert die professionelle Täterstruktur, den Tatzeitpunkt und die technischen Mittel — alles potentiell beweiserheblich im zivilrechtlichen Erstattungsverfahren.

Wie unterscheidet sich grobe Fahrlässigkeit bei photoTAN von anderen TAN-Verfahren?

photoTAN-Phishing hat eine spezifische Eigenheit: Die Aktivierungsgrafik ist kein Transaktionscode, sondern ein dauerhafter Geräteschlüssel. Wer sie preisgibt, autorisiert nicht eine einzelne Überweisung, sondern die vollständige künftige Kontoherrschaft der Täter. Diese Konstruktion erschwert den Fahrlässigkeitsvorwurf erheblich, weil die Grafik aus Kundensicht wie ein normaler Einrichtungsschritt wirkt.

Bei klassischem mobileTAN-Phishing ist die Argumentation der Bank oft stärker: Der Kunde gibt eine konkrete TAN für eine sichtbare Transaktion preis, obwohl in der SMS-Nachricht Betrag und Empfängerkonto ausgewiesen waren. Hier kann die Bank argumentieren, der Kunde hätte die Diskrepanz zwischen der angezeigten und der von ihm gewollten Transaktion erkennen können.

Bei photoTAN ist die Lage anders. Die Aktivierungsgrafik wird im Rahmen eines Einrichtungsprozesses abgefragt — nicht für eine spezifische Überweisung. Kunden, die eine solche Grafik auf einer gefälschten Seite hochladen, weil die Täter plausibel suggerieren, dies sei für die Aktualisierung des Sicherheitsverfahrens erforderlich, handeln im Kontext des für sie verständlichen Bankprozesses. Sie kennen den Unterschied zwischen einem Geräteschlüssel und einem Transaktionscode nicht — und nach dem Maßstab des durchschnittlichen Bankkunden ist dieses Wissen auch nicht vorauszusetzen.

Das OLG Koblenz und die gesamte Rechtsprechungslinie zu § 675w BGB verlangen für grobe Fahrlässigkeit, dass die Unvorsichtigkeit jedem „einleuchte“. Das leuchtet ein bei jemanden, der einem offensichtlichen Telefonbetrug aufsitzt und bewusst TANs weitergibt, obwohl die Bank ausdrücklich warnt. Es leuchtet nicht ein bei jemandem, der einen Bankprozess befolgt, der von der echten Bank nicht klar als Scamvektor kommuniziert wurde.

Welche Anspruchsgrundlagen stehen Geschädigten zur Verfügung?

Neben § 675u BGB kommen § 280 BGB für Pflichtverletzungen der Bank bei der Authentifizierungsinfrastruktur sowie §§ 823 II, 826 BGB gegenüber den Tätern in Betracht. Gegenüber der Bank ist § 675u BGB die primäre Anspruchsgrundlage — andere Normen spielen als Ergänzung oder Auffangnorm eine Rolle.

Anspruchsgrundlage	Schuldner	Voraussetzung	Frist
§ 675u BGB	Bank	Nicht autorisierter Zahlungsvorgang, keine grobe Fahrlässigkeit des Kunden	13 Monate ab Buchung (Rüge)
§ 675v Abs. 3 BGB (Gegenanspruch der Bank)	—	Grobe Fahrlässigkeit + starke Kundenauthentifizierung; Beweislast bei der Bank	Kein eigenständiger Anspruch des Kunden
§ 280 BGB	Bank	Pflichtverletzung (z. B. mangelhafte SCA-Architektur), Verschulden, Schaden	3 Jahre (§ 195 BGB, Kenntniserlangung)
§ 823 II BGB i. V. m. § 263a StGB	Täter	Widerrechtliche Verletzung des Schutzgesetzes, Schaden	3 Jahre ab Kenntnis (§ 199 BGB)
§ 826 BGB	Täter / Mittäter	Vorsätzliche sittenwidrige Schädigung	3 Jahre ab Kenntnis (§ 199 BGB)
§ 812 BGB	Täter / Empfänger	Bereicherung ohne Rechtsgrund, ggf. gegen Mule-Kontoinhaber	3 Jahre ab Kenntnis (§ 199 BGB)

Ergänzend sind vermögenssichernde Maßnahmen nach der StPO relevant. Hat die Strafverfolgungsbehörde Täter oder Hintermänner identifiziert, kommt die Beschlagnahme von Vermögenswerten nach §§ 111b, 111c, 111e StPO in Betracht. Bei Überweisungen ins Ausland greift § 111f StPO zur Anordnung der Rückführung. Parallel steht die einstweilige Verfügung nach §§ 916, 935 ZPO zur Sicherung eines noch auffindbaren Guthabens zur Verfügung — relevant, wenn zwischen Phishing-Tat und Entdeckung nur Stunden liegen und Gelder noch nicht weitergeleitet wurden.

Welche Rolle spielt § 675l BGB bei der Sorgfaltspflicht des Kunden?

§ 675l BGB verpflichtet den Zahlungsdienstnutzer, personalisierte Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Im photoTAN-Kontext umfasst das insbesondere die Aktivierungsgrafik. Die Verletzung dieser Pflicht kann einen Mitverursachungseinwand begründen — aber nur, wenn die Bank konkret darlegt, welcher Schutzmangel kausal für den Schaden war.

Die Sorgfaltspflicht des § 675l BGB ist kein Freifahrtschein für pauschale Fahrlässigkeitsvorwürfe. Die Norm verlangt angemessenen Schutz — nicht perfekte Sicherheitskenntnis. Ein Bankkunde, der nicht weiß, dass die photoTAN-Aktivierungsgrafik im Rechtssinn ein „personalisiertes Sicherheitsmerkmal“ darstellt, verletzt § 675l BGB nicht allein dadurch, dass er auf eine professionelle Täuschung hereinfällt. Die Bank ist verpflichtet, ihre Kunden über die besondere Schutzwürdigkeit dieser Grafik zu informieren — und genau dann, wenn diese Information fehlt oder nicht hinreichend hervorgehoben wurde, schlägt das auf die Beweislastfrage durch.

In einem weiteren Zusammenhang ist § 241 Abs. 2 BGB relevant: Die Bank schuldet als Nebenleistungspflicht eine aktive Warnung vor erkennbaren Phishing-Gefahren. Wer eine laufende Phishing-Kampagne im Namen seiner Bank kennt — und Commerzbank war über die photoTAN-Angriffe seit Anfang 2026 informiert —, hat eine gesteigerte Obliegenheit, seine Kunden proaktiv zu warnen. Wird diese Warnung nicht ausreichend kommuniziert, begründet das ein Mitverschulden der Bank nach § 254 BGB, das die gegenläufige Schadensersatzforderung aus § 675v BGB mindert.

Was Geschädigte jetzt tun

Wer Zugangsdaten auf einer Phishing-Seite eingegeben hat oder unautorisierte Abbuchungen feststellt, hat nach § 675u BGB einen Erstattungsanspruch gegen die Bank, der unverzüglich gerügt werden sollte. Parallel gilt: Beweise sichern, Strafanzeige erstatten, und die Bank schriftlich zur Erstattung auffordern — die Fristprüfung nach 13 Monaten ist absolut.

Folgende Schritte sind in dieser Reihenfolge zu priorisieren:

• Sofortige Kontosperrung über den Sperrnotruf 116 116: Jede Minute zählt. Solange die Täter im Besitz der photoTAN-Aktivierungsgrafik sind, können sie weitere Transaktionen veranlassen — auch dann, wenn das Passwort bereits geändert wurde. Die Sperrung des photoTAN-Verfahrens ist eigenständig über die Commerzbank zu veranlassen, zusätzlich zur Sperrung des Online-Banking-Zugangs.
• Vollständige Beweissicherung vor jeder weiteren Handlung: Sichern Sie die betrügerische E-Mail im Originalformat mit vollständigem Header (nicht nur ausgedruckt, sondern als .eml-Datei), Screenshots der aufgerufenen Phishing-Seite, alle Kontoauszüge mit den betreffenden Buchungspositionen, Zeitpunkte und Beträge sowie alle Kommunikationsverläufe mit Tätern oder angeblichen Bankvertretern.
• Schriftliche Erstattungsforderung nach § 675u BGB: Die Rüge gegenüber der Bank hat schriftlich zu erfolgen — nicht per Telefon. Fordern Sie die unverzügliche Erstattung und setzen Sie eine Frist von sieben Tagen. Weist die Bank die Transaktion als autorisiert aus, fordern Sie die konkrete Darlegung, welche Handlung des Kunden die grobe Fahrlässigkeit begründet — und verweisen Sie auf die Beweislast nach § 675w BGB.
• Strafanzeige nach § 158 StPO erstatten: Erstatten Sie Strafanzeige wegen Computerbetrugs nach § 263a StGB und Fälschung beweiserheblicher Daten nach § 269 StGB bei der zuständigen Polizeidienststelle oder über die Online-Wache des jeweiligen Bundeslandes. Die Anzeige schafft einen formellen Nachweis über den Tatzeitpunkt, die Täterstruktur und das professionelle Vorgehen — alles Faktoren, die die Fahrlässigkeitsprüfung im Zivilverfahren beeinflussen.
• Dokumentation der Phishing-Seite beim Phishing-Radar melden: Die Verbraucherzentrale (Phishing-Radar) nimmt aktive Meldungen entgegen. Das ist keine Pflicht, aber es hilft, andere Betroffene zu warnen und die technische Dokumentation der Kampagne zu verdichten.
• Fristen überwachen: Der Erstattungsanspruch nach § 675u BGB ist auf 13 Monate ab der Buchung befristet. Danach erlischt er absolut — unabhängig davon, ob die Bank sich schuldhaft verhalten hat. Deliktische Ansprüche gegen die Täter nach §§ 823 II, 826 BGB verjähren in drei Jahren ab Kenntnis (§ 199 BGB), frühestens aber drei Jahre nach der Tat.
• Rechtliche Einzelfallprüfung durch eine auf Bank- und Kapitalmarktrecht spezialisierte Kanzlei: Die Haftungsquoten hängen von der technischen Gestaltung der Phishing-Seite, der Authentifizierungskette der Bank, dem Kommunikationsverlauf und dem individuellen Kundenprofil ab. Eine pauschale Einschätzung ist nicht möglich — und die pauschale Ablehnung durch die Bank ist ebenfalls nicht das letzte Wort.

Bei kryptoschaden.de finden Geschädigte weitere Einschätzungen zur aktuellen Rechtsprechungslage. Das OLG-Koblenz-Urteil 8 U 682/24 im Detail, die Analyse zum Monitoring-Versagen bei Phishing-Angriffen sowie die Darstellung der Bankwarnpflicht in sechs Dimensionen liefern vertiefende Bewertungen vergleichbarer Fälle. Entscheidend in jedem Fall: Rasches Handeln — die 13-Monats-Frist des § 675u BGB läuft ab dem Buchungsdatum, nicht ab der Entdeckung.