kryptoschaden.de

EuGH C-70/25 GA Rantos: Erst Erstatten, Dann Streiten bei Phishing

Der Schlussantrag von Generalanwalt Athanasios Rantos vom 8. Mai 2026 in der Rechtssache EuGH C-70/25 (Tukowiecka ./. polnische Bank) stellt die bisherige deutsche Bankpraxis bei Phishing-Fällen auf den Kopf: Nach der Linie des GA Rantos zur EuGH C-70/25 Bankhaftung hat die Bank bei einem nicht autorisierten Zahlungsvorgang zunächst unverzüglich zu erstatten — und darf die Erstattung nicht pauschal mit dem Vorwurf grober Fahrlässigkeit verweigern. Erst in einem nachgelagerten, eigenständigen Verfahren darf sie Rückforderungsansprüche geltend machen und trägt dabei die volle Beweislast. Dieses Zwei-Phasen-Modell, das GA Rantos aus dem Wortlaut und den Schutzzielen von Art. 73 und 74 der Zahlungsdiensterichtlinie PSD2 ableitet, ist ein Paradigmenwechsel — nicht nur für polnische Bankkunden, sondern für das gesamte europäische Zahlungsdiensterecht und unmittelbar auch für die deutsche Rechtspraxis.

Phishing-Opfer in Deutschland stehen seit Jahren vor einem paradoxen Prozessszenario: Sie sind Kläger, obwohl ihnen das Geld fehlt, und kämpfen mitunter über mehrere Instanzen — während die Bank den abgebuchten Betrag behält und auf die angebliche Fahrlässigkeit des Kunden verweist. Verfahren dauern in der Praxis zwei bis vier Jahre; in dieser Zeit lastet das Liquiditätsrisiko vollständig auf dem Opfer. Der Schlussantrag in der Sache Tukowiecka könnte dieses strukturelle Ungleichgewicht dauerhaft verschieben — sofern der EuGH, wie statistisch zu erwarten ist, den Anträgen des Generalanwalts folgt.

Was besagt der Schlussantrag von GA Rantos in der Rechtssache C-70/25?

GA Rantos hat in seinen Schlussanträgen vom 8. Mai 2026 eine grundlegend verbraucherfreundliche Auslegung von Art. 73 Abs. 1 der Zahlungsdiensterichtlinie PSD2 (Richtlinie 2015/2366/EU) vorgeschlagen: Die Bank ist nach einem angezeigten nicht autorisierten Zahlungsvorgang verpflichtet, unverzüglich zu erstatten — spätestens bis zum Ende des nächsten Geschäftstags. Der Fahrlässigkeitseinwand rechtfertigt in dieser ersten Phase keine Verweigerung der Erstattung.

Der Sachverhalt, der das polnische Vorlagegericht zur Anrufung des EuGH nach Art. 267 AEUV bewog, ist exemplarisch für Tausende von Phishing-Fällen in Europa. Die Klägerin Tukowiecka war auf einer Online-Auktionsplattform aktiv, als ihr ein vermeintlicher Käufer einen Link übermittelte, der die Benutzeroberfläche ihrer Bank täuschend echt nachahmte. Sie gab dort ihre Zugangsdaten ein — die Betrüger nutzten diese sofort für einen nicht autorisierten Zahlungsvorgang. Am nächsten Tag meldete Tukowiecka den Vorfall ihrer Bank. Die Bank verweigerte die Erstattung des abgebuchten Betrags mit dem Argument, die Klägerin habe durch Eingabe ihrer Zugangsdaten auf einer fremden Website grob fahrlässig gehandelt. Das vorlegende polnische Gericht fragte den EuGH: Ist eine solche Verweigerung mit Art. 73 Abs. 1 PSD2 vereinbar?

GA Rantos verneinte diese Frage deutlich. Seine Analyse stützt sich auf drei Säulen: den Wortlaut des Art. 73 Abs. 1 PSD2, der das Wort „unverzüglich“ ohne jeglichen internen Fahrlässigkeitsvorbehalt verwendet; den systematischen Kontext der PSD2, die in Art. 74 eine eigenständige Regelung für den Fall der Kundenpflichtenverletzung enthält; und das Verbraucherschutzziel der Richtlinie, das durch eine routinemäßige Erstattungsverweigerung bei Fahrlässigkeitseinwand strukturell unterlaufen würde.

Das Zwei-Phasen-Modell: Wie funktioniert „Erst erstatten, dann streiten“?

GA Rantos entwickelt in seinen Schlussanträgen ein klares Zwei-Phasen-Modell, das die Rechte und Pflichten von Bank und Kunden strikt chronologisch trennt. In Phase 1 gilt eine unverzügliche, absolute Erstattungspflicht der Bank nach Art. 73 Abs. 1 PSD2 bzw. § 675u Satz 2 BGB. In Phase 2 — einem eigenständigen, nachgelagerten Verfahren — kann die Bank Rückforderungsansprüche wegen grober Fahrlässigkeit des Kunden nach Art. 74 PSD2 bzw. § 675v BGB geltend machen, trägt dafür aber die volle Beweislast.

Die praktische Bedeutung dieser Zweistufigkeit ist erheblich. Nach bisheriger deutscher Bankpraxis ist der geschädigte Kontoinhaber Kläger und trägt das Prozessrisiko über die gesamte Verfahrensdauer. Das Modell des GA Rantos kehrt die Rollen um: Der Kontoinhaber erhält sein Geld zunächst zurück, die Bank wird zur Klägerin im Rückforderungsverfahren, falls sie grobe Fahrlässigkeit nachweisen will. Das Liquiditätsrisiko während eines möglicherweise jahrelangen Prozesses liegt dann nicht mehr beim Opfer, sondern bei der Bank. Dies entspricht dem Grundgedanken, dass das Opfer eines nicht autorisierten Zahlungsvorgangs nicht auch noch das Verfahrensrisiko tragen soll.

Für die Beweislastverteilung in Phase 2 gilt: Die Bank trägt nach § 675w BGB ohnehin die Beweislast für die Authentifizierung des Zahlungsvorgangs. Zusätzlich trägt sie nach dem Modell von GA Rantos in Phase 2 auch die Beweislast für das vorsätzliche oder grob fahrlässige Verhalten des Kunden im Sinne von Art. 74 PSD2 bzw. § 675v Abs. 3 Nr. 2 BGB. Dabei genügt eine bloße Aufzeichnung der Nutzung des Zahlungsinstruments nach § 675w BGB allein nicht.

  • Phase 1 — Erstattung (Art. 73 Abs. 1 PSD2 / § 675u BGB): Unverzüglich nach Anzeige des nicht autorisierten Zahlungsvorgangs, spätestens bis zum Ende des nächsten Geschäftstags. Absolut — kein Fahrlässigkeitsvorbehalt, keine Aufrechnung in dieser Phase zulässig.
  • Phase 2 — Rückforderung (Art. 74 PSD2 / § 675v BGB): Eigenständiges, nachgelagertes Verfahren. Die Bank ist Klägerin. Sie trägt die vollständige Beweislast für vorsätzliches oder grob fahrlässiges Verhalten des Kunden — insbesondere für eine Verletzung der Schutzpflichten nach § 675l Abs. 1 BGB (Schutz personalisierter Sicherheitsmerkmale).
  • Ausnahme von Phase 1: Die Bank hat konkrete, dokumentierte Gründe für den Verdacht, dass der Kontoinhaber selbst an dem Betrug beteiligt ist oder ihn initiiert hat (Täter, nicht Opfer). Voraussetzung: schriftliche Meldung dieses Verdachts an die zuständige nationale Behörde. Nicht ausreichend: internes Misstrauen, pauschaler Fahrlässigkeitsvorwurf.
  • 13-Monats-Frist (§ 675y BGB): Anzeigeobliegenheit des Kunden ab dem Tag der Belastungsbuchung — Ausschlussfrist, keine Verjährungsfrist.

Wie verhält sich der Schlussantrag zur BGH-Linie XI ZR 107/22 vom 5. März 2024?

Der Bundesgerichtshof hat mit Urteil vom 5. März 2024 (XI ZR 107/22, BGHZ 240, 23) entschieden, dass eine Bank dem Erstattungsanspruch des Kunden aus § 675u BGB gemäß § 242 BGB einen gegenläufigen Schadensersatzanspruch aus § 675v Abs. 3 Nr. 2 BGB entgegenhalten darf — und damit die Erfüllung verweigern kann, ohne selbst aktiv auf Rückzahlung zu klagen. Diese Aufrechnungskonstruktion via Treu und Glauben ermöglicht es Banken, den Erstattungsanspruch bereits in Phase 1 faktisch zu neutralisieren, solange ein Gegenanspruch aus § 675v BGB gleichwertig gegenübersteht.

Genau diese Konstruktion ist nach dem Modell des GA Rantos unionsrechtswidrig. Der BGH-Ansatz setzt die Fahrlässigkeitsprüfung strukturell in Phase 1 vor, was dem klaren Wortlaut von Art. 73 Abs. 1 PSD2 widerspricht. Die BGH-Logik läuft darauf hinaus, dass der Kontoinhaber letztlich doch Kläger bleibt und das Liquiditätsrisiko trägt — nur über den Umweg der Aufrechnung nach § 242 BGB. Aus Sicht des GA Rantos untergräbt dies das Verbraucherschutzziel der PSD2, das gerade darin besteht, die strukturelle Informations- und Machtasymmetrie zwischen Bank und Verbraucher im Zahlungsdiensterecht zugunsten des Letzteren auszugleichen.

Sollte der EuGH den Schlussanträgen des GA Rantos folgen, wäre die in BGH XI ZR 107/22 etablierte Aufrechnungskonstruktion für Sachverhalte, die nach dem EuGH-Urteil zu beurteilen sind, unionsrechtswidrig und von deutschen Gerichten nicht mehr anzuwenden. Für laufende Verfahren, die ausschließlich auf dem Fahrlässigkeitseinwand der Bank beruhen, empfiehlt sich ein Aussetzungsantrag nach § 148 ZPO mit Hinweis auf das anhängige EuGH-Verfahren C-70/25.

Aspekt BGH XI ZR 107/22 (5.3.2024) GA Rantos C-70/25 (8.5.2026)
Erstattung in Phase 1 Verweigerbar bei grober Fahrlässigkeit via § 242 BGB Unverzüglich und unbedingt (Art. 73 Abs. 1 PSD2)
Prozessrolle Kontoinhaber Kläger; trägt Liquiditätsrisiko In Phase 2: Beklagter
Beweislast Fahrlässigkeit Bei Bank (§ 675w BGB), Aufrechnung nach § 242 BGB zulässig Bei Bank in eigenständigem Rückforderungsverfahren
Liquiditätsrisiko während Prozess Beim Kunden Bei der Bank
Ausnahme von Erstattungspflicht Phase 1 Grobe Fahrlässigkeit genügt Dokumentierter Betrugsverdacht gegen Kunden + Behördenmeldung
Rechtsgrundlage §§ 675u, 675v Abs. 3 Nr. 2, 242 BGB Art. 73, 74 PSD2 (Richtlinie 2015/2366/EU)
Status Geltendes deutsches Recht Schlussantrag; EuGH-Urteil ausstehend (Herbst 2026 / Anfang 2027)

Was zeigen LG Köln und OLG Dresden zur Bankenhaftung bei Phishing?

Zwei Instanzentscheidungen illustrieren, wie die deutschen Gerichte die bisherige Rechtslage anwenden und wo Phishing-Opfer auch nach heutiger Rechtslage Erstattungsansprüche durchsetzen konnten. Beide Fälle zeigen zudem, welche praktische Bedeutung das Zwei-Phasen-Modell des GA Rantos für diese Fallkonstellationen hätte.

Das Landgericht Köln sprach mit Urteil vom 8. Januar 2024 (22 O 43/23) einer Sparkassenkundin rund 9.933 Euro nach § 675u Satz 2 BGB zu. Hintergrund: Die Betrüger hatten Call-ID-Spoofing eingesetzt und die echte Sparkassen-Rufnummer in der Anrufanzeige erscheinen lassen. Die Kundin ging von einem Anruf ihrer Bank aus und gab Zugangsdaten preis. Das Gericht verneinte grobe Fahrlässigkeit vollständig: Eine technische Täuschung, die ohne Spezialkenntnisse für einen normalen Bankkunden nicht zu erkennen ist, begründet keinen Fahrlässigkeitsvorwurf. Die Beweislast für die Autorisierung des Zahlungsvorgangs trug nach § 675w BGB die Bank — und konnte sie nicht erfüllen.

Das Oberlandesgericht Dresden entschied mit Urteil vom 5. Juni 2025 (8 U 1482/24) in einem komplexeren Fall. Ein Sparkassenkunde hatte bei einem professionellen Phishing-Angriff mehrfach pushTAN-Transaktionen freigegeben; der Schaden belief sich auf über 49.000 Euro. Der Senat bejahte grobe Fahrlässigkeit des Klägers wegen der leichtfertigen TAN-Freigaben, erkannte aber zugleich ein strukturelles Mitverschulden der Sparkasse an: Sie hatte beim Login ins Online-Banking keine starke Kundenauthentifizierung nach § 55 ZAG verlangt, obwohl dort sensible Zahlungsdaten einsehbar waren. Dieses Sicherheitsdefizit war nach Auffassung des Senats mitursächlich für den Betrug. Das Gericht sprach dem Kläger auf Basis von § 254 BGB 20 Prozent des Schadens zu — rund 10.000 Euro.

„Vor diesem Hintergrund war der Verstoß der Beklagten gegen aufsichtsrechtliche Vorschriften für das Gelingen des betrügerischen Angriffs jedenfalls mitursächlich, weil so ohne Zutun des Klägers die aus dem Online-Banking heraus zu veranlassenden Vorbereitungsmaßnahmen und Auftragserstellungen vorgenommen werden konnten.“ — OLG Dresden, Urteil vom 5. Juni 2025, Az. 8 U 1482/24

Beide Entscheidungen zeigen: Auch nach aktueller Rechtslage ist der pauschale Fahrlässigkeitseinwand der Banken nicht unüberwindbar. Im LG-Köln-Fall wäre nach dem Modell des GA Rantos keine Änderung des Ergebnisses eingetreten, da das Gericht grobe Fahrlässigkeit ohnehin verneinte. Im OLG-Dresden-Fall hätte das Zwei-Phasen-Modell jedoch eine wesentlich günstigere Ausgangslage für den Kläger geschaffen: Er hätte zunächst die vollständige Erstattung erhalten; die Sparkasse hätte in Phase 2 die Rückforderungsklage eigenständig erhoben und dabei Fahrlässigkeit nachgewiesen sowie sich zugleich dem Mitverschuldenseinwand gestellt. Das Prozessrisiko und die Liquiditätslücke während des Verfahrens wären bei der Sparkasse gelegen.

Unter welchen Voraussetzungen darf die Bank die Soforterstattung verweigern?

GA Rantos benennt in seinen Schlussanträgen eine einzige, eng gefasste Ausnahme von der unbedingten Erstattungspflicht in Phase 1: Die Bank hat konkrete, qualifizierte Gründe für den Verdacht, dass der Kontoinhaber selbst an dem Betrug beteiligt war oder ihn initiiert hat — er ist also nicht Opfer, sondern Täter. Dazu kommt als kumulative Voraussetzung, dass die Bank diesen Verdacht der zuständigen nationalen Behörde schriftlich mitteilt.

Diese Ausnahme ist aus gutem Grund eng konzipiert. Sie soll verhindern, dass die Ausnahme zur Regel wird und Banken über einen weiten Betrugsverdacht faktisch wieder zu dem verweigernden Verhalten zurückkehren, das GA Rantos für Phase 1 ausdrücklich ausschließt. Konkret bedeutet dies für die Praxis:

  • Ein allgemeines internes Misstrauen der Bankcompliance-Abteilung genügt nicht.
  • Ein pauschaler Verweis auf die Eingabe von Zugangsdaten auf einer fremden Website genügt nicht — das ist ein Fahrlässigkeitsvorwurf, kein Betrugsverdacht.
  • Die bloße Annahme, der Kunde habe unvorsichtig gehandelt, ist kein Betrugsverdacht.
  • Eine faktische Zweitverwendung des Fahrlässigkeitseinwands als verdeckter Betrugsverdacht ist ausdrücklich ausgeschlossen.
  • Erforderlich sind konkrete, forensisch tragfähige Anhaltspunkte — etwa Hinweise auf eine Täterschaft des Kontoinhabers, die zugleich der zuständigen Behörde gemeldet werden.

In der Praxis bedeutet dies: Eine Erstattungsverweigerung in Phase 1 ist regulär nur dann rechtlich haltbar, wenn gegen den Kontoinhaber selbst ein konkreter Betrugsverdacht besteht, der zugleich zur Anzeige gebracht wird. Liegt hingegen ein typisches Phishing-Szenario vor — Täuschung des Kontoinhabers durch Dritte, die seine Zugangsdaten für nicht autorisierte Zahlungen nutzen —, greift die Ausnahme nicht.

Welche Bedeutung hat die 13-Monats-Frist nach § 675y BGB?

Phishing-Opfer verlieren ihren Erstattungsanspruch nach § 675y BGB, wenn sie den nicht autorisierten Zahlungsvorgang nicht innerhalb von 13 Monaten nach dem Tag der Belastungsbuchung gegenüber der Bank anzeigen. Diese Anzeigeobliegenheit ist eine Ausschluss-, keine Verjährungsfrist — ihre Versäumung führt zum endgültigen Verlust des Erstattungsanspruchs und ist in der Regel nicht heilbar. Im Fall Tukowiecka spielte die Frist keine Rolle, da die Klägerin den Vorfall am nächsten Tag meldete und damit die Frist auf elegante Weise ausgelöst hatte.

In der anwaltlichen Praxis ist das exakte Datum der Belastungsbuchung daher von erheblicher prozessrechtlicher Bedeutung. Es empfiehlt sich, dieses unmittelbar nach Entdeckung des nicht autorisierten Vorgangs durch einen Kontoauszug zu sichern und als Fristbeginn schriftlich festzuhalten. Die Anzeige an die Bank sollte schriftlich erfolgen — per Einschreiben mit Rückschein sowie gleichzeitig über den gesicherten Postfachzugang im Online-Banking —, um den Zeitstempel belastbar zu dokumentieren und die Erstattungsuhr nach dem Modell von GA Rantos formal auszulösen. Dabei ist zu beachten, dass die Frist des § 675y BGB von der daneben laufenden regulären Verjährungsfrist nach §§ 195, 199 BGB zu unterscheiden ist.

Für Mandate, die zeitlich nah an der Grenze von 13 Monaten liegen, empfiehlt sich im Zweifelsfall eine unverzügliche Anzeigeerstattung, bevor zunächst noch weiter recherchiert wird. Der Fristbeginn liegt beim Datum der Belastungsbuchung, nicht beim Datum der Entdeckung — eine Unterscheidung, die in der Beratungspraxis regelmäßig übersehen wird und zu unerwarteten Anspruchsverlusten führen kann.

Rechtsrahmen: Welche Normen sind im Phishing-Erstattungsstreit einschlägig?

Das Phishing-Erstattungsrecht in Deutschland ist durch ein vielschichtiges Normengefüge geprägt, das europäisches und nationales Recht verbindet. Im Zentrum steht das Verhältnis zwischen der PSD2-Richtlinie (Richtlinie 2015/2366/EU) als Unionsrechtsakt und ihrer deutschen Umsetzung im Bürgerlichen Gesetzbuch, insbesondere in den §§ 675c bis 676c BGB. Für die praktische Handhabung eines Phishing-Falls sind folgende Normen regelmäßig einschlägig und voneinander abzugrenzen:

Zunächst der verschuldensunabhängige Erstattungsanspruch nach § 675u Satz 2 BGB (Art. 73 Abs. 1 PSD2): Dieser greift bei jedem nicht autorisierten Zahlungsvorgang — also immer dann, wenn der Kontoinhaber die Ausführung des konkreten Zahlungsvorgangs nicht wirksam autorisiert hat. Die Beweislast für die Autorisierung liegt nach § 675w BGB bei der Bank; eine bloxße Aufzeichnung der Nutzung des Zahlungsinstruments genügt nicht zum Nachweis. Auf der anderen Seite steht der Schadensersatzanspruch der Bank gegen den Kunden nach § 675v Abs. 3 Nr. 2 BGB (Art. 74 PSD2), der grobe Fahrlässigkeit des Kunden voraussetzt und von der Bank zu beweisen ist.

Im Kontext des Zahlungsdiensteaufsichtsrechts ist zusätzlich § 55 ZAG (Zahlungsdiensteaufsichtsgesetz) relevant, der für bestimmte elektronische Zahlungsvorgänge eine starke Kundenauthentifizierung (SCA) nach zwei unabhängigen Faktoren vorschreibt. Das OLG Dresden hat in seiner Entscheidung 8 U 1482/24 klargestellt, dass ein Verstoß gegen diese aufsichtsrechtliche Pflicht — hier: fehlendes SCA beim Login ins Online-Banking — im Rahmen von § 254 BGB als Mitverschulden der Bank zu werten sein kann, weil es für das Gelingen des Betrugs mitursächlich war. Dieser Ansatz ist unabhängig von der C-70/25-Diskussion und kann parallel eingesetzt werden.

Für die 13-Monats-Anzeigeobliegenheit nach § 675y BGB gilt: Sie ist sowohl in zeitlicher als auch in inhaltlicher Hinsicht streng. Die Frist läuft ab dem Tag der Belastungsbuchung, nicht ab Kenntnis des Opfers vom Betrug. Daneben besteht die separate Verjährungsfrist für Schadensersatzansprüche nach §§ 195, 199 BGB — regelmäßig drei Jahre ab Kenntnis oder grob fahrlässiger Unkenntnis des Anspruchs. Im Bereich organisierter Kriminalität kommt ergänzend die strafrechtliche Vermögensabschöpfung nach § 73 StGB in Verbindung mit § 111e StPO in Betracht, wenn Sicherungsbeschlüsse gegen ermittelte Konten der Täter erwirkt werden können.

Strategische Nutzung von C-70/25 in laufenden deutschen Verfahren

Das EuGH-Urteil in der Sache C-70/25 wird im Herbst 2026 bis Anfang 2027 erwartet — typischerweise folgen Urteile drei bis sechs Monate nach den Schlussanträgen. Gleichwohl entfaltet der Schlussantrag des GA Rantos bereits heute erhebliche strategische Wirkung in laufenden deutschen Verfahren, und zwar aus mehreren Gründen. Zum einen folgt der EuGH statistisch betrachtet in der deutlichen Mehrzahl der Fälle den Anträgen des Generalanwalts. Zum anderen sind nationale Gerichte nach dem Grundsatz der unionsrechtlichen Konformauslegung verpflichtet, geltendes nationales Recht im Einklang mit dem Unionsrecht auszulegen — und dabei auch anhängige Vorabentscheidungsverfahren in den Blick zu nehmen.

In Fällen, in denen eine Bank die Erstattung ausschließlich oder überwiegend auf den Fahrlässigkeitseinwand stützt, bietet sich ein Aussetzungsantrag nach § 148 ZPO an, verbunden mit einem begründeten Hinweis auf das anhängige EuGH-Verfahren C-70/25. Ein deutsches Gericht, das über einen solchen Antrag zu entscheiden hat, wird die Erfolgsaussichten der Unionsrechtsfrage und die prozessökonomische Sinnhaftigkeit einer Aussetzung abwägen. Voraussetzung ist, dass das nationale Verfahren tatsächlich von der unionsrechtlichen Vorlagefrage abhängt — was bei einem ausschließlich auf § 242 BGB gestützten Fahrlässigkeitseinwand der Bank regelmäßig zu bejahen ist.

Parallel dazu empfiehlt sich in jedem Phishing-Fall eine strukturierte Überprüfung möglicher Mitverschuldenseinwände gegen die Bank. Das OLG Dresden hat mit seiner Entscheidung vom 5. Juni 2025 (8 U 1482/24) klargestellt, dass fehlende starke Kundenauthentifizierung beim Login — in einem Fall, in dem beim Login lediglich PIN und Passwort verlangt wurden, ohne zweiten Faktor — ein relevantes Mitverschulden der Bank begründen kann. Dieser Ansatz ist unabhängig vom Ausgang des EuGH-Verfahrens und kann parallel zur C-70/25-Argumentation verfolgt werden.

  • Schriftsätze mit Schlussantrag GA Rantos vom 8. Mai 2026 (C-70/25, EuGH-Pressemitteilung Nr. 31/26) fundieren
  • Aussetzungsantrag nach § 148 ZPO mit Verweis auf EuGH C-70/25 stellen, wenn Bank Erstattung auf § 242 BGB stützt
  • Auf Unionsrechtswidrigkeit der BGH-Konstruktion aus XI ZR 107/22 hinweisen, falls EuGH folgt
  • Mitverschulden der Bank nach § 254 BGB (fehlende SCA beim Login nach § 55 ZAG) separat prüfen — OLG Dresden 8 U 1482/24
  • Strafanzeige nach § 263a StGB (Computerbetrug) und § 263 StGB erstatten; Vermögensabschöpfung nach §§ 73 StGB, 111e StPO erwägen
  • Weitere Revision im Fall OLG Dresden 8 U 1482/24 beachten: BGH-Verfahren XI ZR 71/25 ist anhängig

Praxisschritte für Phishing-Opfer: Was ist jetzt zu tun?

Wer Opfer eines Phishing- oder Spoofing-Angriffs geworden ist, sollte unverzüglich und strukturiert vorgehen, um den Erstattungsanspruch nach § 675u BGB zu sichern, die 13-Monats-Frist auszulösen und die Beweislage für ein späteres Verfahren zu optimieren.

  1. Anzeige an die Bank nach § 675y BGB: Schriftlich, per Einschreiben mit Rückschein und gleichzeitig über den gesicherten Online-Banking-Postfachzugang. Den genauen Zeitstempel der Anzeige und die Referenznummer der Buchung im Schreiben nennen. Sprache: so präzise wie möglich zum Vorgang.
  2. Datum der Belastungsbuchung sichern: Kontoauszug sofort herunterladen, speichern und ausdrucken. Dieses Datum ist der Ausgangspunkt der 13-Monats-Anzeigeobliegenheit nach § 675y BGB — nicht das Datum der Entdeckung.
  3. Beweise sichern: Screenshots der gefälschten Website mit Zeitstempel (ggf. mit WebArchive-Sicherung), Kommunikationsverläufe (E-Mail, SMS, Chatprotokolle mit Metadaten), Kontoauszüge mit den streitigen Buchungen, ggf. Call-Logs mit Anruferkennung, technische Protokolle des Authentifizierungsvorgangs soweit zugänglich.
  4. Strafanzeige erstatten: Bei der zuständigen Polizeidienststelle oder über das jeweilige Online-Portal. Strafrechtliche Einordnung: § 263a StGB (Computerbetrug) und § 263 StGB (Betrug). Bei organisierten Täterstrukturen Vermögensabschöpfung nach §§ 73 StGB, 111e StPO prüfen. Das Aktenzeichen der Strafanzeige im zivilrechtlichen Verfahren dokumentieren.
  5. Anwaltliche Beratung zu § 148 ZPO: Prüfen lassen, ob ein Aussetzungsantrag mit Hinweis auf EuGH C-70/25 sinnvoll ist und ob strukturelle Banksicherheitsdefizite ein Mitverschulden nach § 254 BGB begründen.
  6. Fristen im Blick behalten: 13-Monats-Anzeigeobliegenheit nach § 675y BGB (Ausschlussfrist ab Belastungsbuchung). Daneben: Verjährung etwaiger Schadensersatzansprüche nach §§ 195, 199 BGB (regelmäßig drei Jahre ab Kenntnis). Beide Fristen laufen unabhängig voneinander.

Telegram-Kanal der Fachanwältin

Kryptobetrug erkennen. Richtig reagieren. Geld einfrieren lassen.

Tagesaktuelle BaFin-Warnungen, Blockchain-Tracing-Einblicke und Praxisfälle aus der Fachanwaltskanzlei für Bank- und Kapitalmarktrecht — direkt von Rechtsanwältin Anna O. Orlowa, LL.M.

Jetzt @kryptobetrug_anwaeltin auf Telegram folgen →

Quellen und weiterführende Informationen

Verfasst von Rechtsanwältin Anna O. Orlowa, LL.M. · REXUS Rechtsanwaltsgesellschaft mbH, Stuttgart · Fachgebiete Bank- und Kapitalmarktrecht, Cybercrime, Asset Recovery, eWpG, MiCAR.