kryptoschaden.de



Donnerstag, 5. März 2026, 10:00 Uhr. Im Großen Sitzungssaal des Gerichtshofs der Europäischen Union in Luxemburg erhebt sich Generalanwalt Athanasios Rantos, um seine Schlussanträge in der Rechtssache C-70/25 vorzutragen. Der Name der Betroffenen: Tukowiecka, eine polnische Bankkundin, die durch eine täuschend echt wirkende Auktionsplattform und eine nachgebaute Banking-Seite ihre Zugangsdaten verloren hatte. Die Bank verweigerte die Erstattung des abgebuchten Betrags mit dem Argument grober Fahrlässigkeit. Was Rantos an jenem Morgen vorschlug, könnte die Bankhaftung bei Phishing und Spoofing in ganz Europa — und damit auch in Deutschland — grundlegend umkehren.

Was bedeutet EuGH C-70/25 Erstattung konkret für Phishing-Opfer in Deutschland?

Die EuGH C-70/25 Erstattungs-Debatte dreht sich um eine scheinbar simple Frage: Wer zahlt zuerst — die Bank oder der Kunde? GA Rantos hat geantwortet: die Bank. Und zwar unverzüglich, spätestens bis zum Ende des nächsten Geschäftstags nach Kenntnisnahme des nicht autorisierten Zahlungsvorgangs — unabhängig davon, ob sie den Kunden für grob fahrlässig hält. Erst danach, in einem zweiten Verfahrensschritt, darf die Bank ihre Gegenansprüche geltend machen. Für Tausende deutsche Phishing-Opfer, deren Erstattungsbegehren Banken aktuell pauschal ablehnen, wäre dies ein Paradigmenwechsel.

Die Dimensionen sind erheblich: Nach Angaben des BR24 nahmen Phishing-Angriffe auf Bankkonten in Deutschland 2025 spürbar zu. Die Stiftung Warentest dokumentierte im Frühjahr 2026 einen Anstieg von SMS-Spoofing-Angriffen, bei denen Betrüger Absendernamen seriöser Institute wie Trade Republic imitieren. Wenn Sie zu den Betroffenen gehören, kennen Sie das Muster: Die Bank beruft sich auf grobe Fahrlässigkeit nach § 675v BGB, verweigert die Erstattung aus § 675u BGB, und Sie sind gezwungen, selbst zu klagen — über ein Verfahren, das in der Praxis zwei bis vier Jahre dauern kann, während der Schaden auf dem Konto fehlt.

Genau dieses Ungleichgewicht greift der Schlussantrag von GA Rantos an der Wurzel an. Er stützt sich auf Art. 73 Abs. 1 der Zahlungsdiensterichtlinie PSD2 (Richtlinie 2015/2366/EU) und liest diese Norm in ihrer Absolutheit: Der Wortlaut der Richtlinie, ihr systematischer Kontext und das Verbraucherschutzziel lassen nach Rantos‘ Auffassung keinen Spielraum für eine pauschale Verweigerung der Erstattung, solange kein dokumentierter Betrugsverdacht gegen den Kunden selbst vorliegt. Damit würde die Beweislastverteilung in deutschen Phishing-Prozessen vom Kopf auf die Füße gestellt — eine Entwicklung, auf die Fachanwälte seit Jahren warten. Lesen Sie hierzu auch unsere Analyse zur Bankhaftung bei Kryptobetrug.

📣 Telegram-Kanal der Fachanwältin

Kryptobetrug erkennen. Richtig reagieren. Geld einfrieren lassen.

Tagesaktuelle BaFin-Warnungen, Blockchain-Tracing-Einblicke und Praxisfälle aus der Fachanwaltskanzlei für Bank- und Kapitalmarktrecht — direkt von Rechtsanwältin Anna O. Orlowa, LL.M.

▶ Jetzt @kryptobetrug_anwaeltin auf Telegram folgen

Was hat die Klägerin Tukowiecka erlebt — und warum ist ihr Fall exemplarisch?

Der Sachverhalt, der hinter dem trockenen Aktenzeichen C-70/25 steckt, ist in seiner Struktur nahezu identisch mit Tausenden deutschen Fällen, die Ihnen als Leser dieser Seite vielleicht selbst vertraut sind. Die Kundin — in der EuGH-Pressemitteilung Nr. 31/26 nur mit ihrem Nachnamen Tukowiecka bezeichnet — wurde auf einer gefälschten Online-Auktionsplattform angesprochen. Ein angeblicher Käufer übermittelte ihr einen Link, der die Benutzeroberfläche ihrer eigenen Bank originalgetreu nachahmte. Sie gab ihre Zugangsdaten ein, die Betrüger verwendeten diese sofort für einen nicht autorisierten Zahlungsvorgang. Am nächsten Tag meldete sie den Vorfall ihrer Bank.

Die Bank lehnte die Erstattung ab: Die Kundin habe ihre Bankzugangsdaten auf einer fremden Website eingegeben und damit grob fahrlässig im Sinne der einschlägigen nationalen Haftungsvorschriften gehandelt. Das polnische Gericht, das mit der Klage der Kundin befasst war, sah die entscheidende Rechtsfrage im Unionsrecht unbeantwortet und legte dem EuGH über das Vorabentscheidungsverfahren nach Art. 267 AEUV folgende Frage vor: Ob die Bank als Zahlungsdienstleister nach Unionsrecht zur unverzüglichen Erstattung verpflichtet ist, selbst wenn sie der Ansicht ist, der Kunde habe grob fahrlässig gehandelt — oder ob sie die Erstattung aus diesem Grund verweigern darf.

Die Struktur dieses Falls ist aus deutschen Mandaten vertraut: Phishing über eine gefälschte Weboberfläche, Datenweitergabe durch den Kunden, sofortige Meldung, pauschale Ablehnung durch die Bank. Urteile wie das des LG Köln vom 8. Januar 2024 (22 O 43/23) zeigen, wie unterschiedlich deutsche Gerichte damit umgehen: Das LG Köln verneinte grobe Fahrlässigkeit vollständig, weil die Betrüger Call-ID-Spoofing einsetzten und die echte Sparkassen-Rufnummer in der Anrufanzeige erschien — und sprach der Klägerin rund 10.000 Euro nach § 675u BGB zu. Das OLG Dresden wiederum erkannte am 5. Juni 2025 (8 U 1482/24) in einem Fall mit mehrfach freigegebenen pushTAN-Transaktionen zwar grobe Fahrlässigkeit der Kundin an, sprach ihr aber dennoch 20 % des Schadens zu, weil die Sparkasse den Login ohne starke Kundenauthentifizierung ermöglicht hatte und dieses strukturelle Sicherheitsdefizit als Mitverschulden gewertet wurde. Die Rechtslage ist damit fragmentiert — und genau hier setzt der Schlussantrag an. Wenn Ihnen eine vergleichbare Ablehnung vorliegt, ist der nachfolgende rechtliche Rahmen für Ihre Situation relevant.

Wie funktioniert das Zwei-Phasen-Modell von GA Rantos?

GA Rantos entwickelt in seinem Schlussantrag vom 5. März 2026 ein klares, zweistufiges Haftungsmodell, das er unmittelbar aus dem Wortlaut und dem Schutzzweck von Art. 73 Abs. 1 PSD2 ableitet. In Phase eins trifft die Bank nach Anzeige eines nicht autorisierten Zahlungsvorgangs eine unverzügliche Erstattungspflicht — spätestens bis zum Ende des nächsten Geschäftstags. Diese Pflicht gilt absolut. Der Umstand, dass die Bank dem Kunden grobe Fahrlässigkeit vorwirft, ist kein Verweigerungsgrund. Der Unionsgesetzgeber hat nach Rantos‘ Auslegung keinen Raum für eine solche Ausnahme gelassen: Das Wort „unverzüglich“ in Art. 73 Abs. 1 PSD2 ist nicht mit einem internen Vorbehalt für Fahrlässigkeitsvorwürfe verknüpft. Dieser Lesart folgt auch die Kommentarliteratur, die fachanwalt.de in ihrer Auswertung vom März 2026 zusammenfasst.

In Phase zwei — dem nachgelagerten Rückforderungsverfahren — liegt die Beweislast vollständig bei der Bank. Kann die Bank im Nachgang konkret und qualifiziert nachweisen, dass der Kunde vorsätzlich oder grob fahrlässig gegen seine Pflichten verstoßen hat, insbesondere hinsichtlich des Schutzes personalisierter Sicherheitsmerkmale, kann sie verlangen, dass der Kunde den entsprechenden Schaden trägt. Lehnt der Kunde eine freiwillige Rückzahlung ab, ist die Bank gehalten, gegen ihn Klage zu erheben. Die Verfahrensrollen kehren sich um: Nicht mehr der geschädigte Kontoinhaber ist Kläger, sondern die Bank. Nicht mehr der Kontoinhaber trägt das Risiko einer jahrelangen Liquiditätslücke, sondern die Bank, bis sie ihren Rückforderungsanspruch durchgesetzt hat.

Eine einzige Ausnahme von der sofortigen Erstattungspflicht in Phase eins lässt GA Rantos gelten: Wenn die Bank berechtigte, konkrete Gründe für den Verdacht hat, dass der Kontoinhaber selbst den Betrug begangen oder initiiert hat — also nicht Opfer ist, sondern Täter —, und sie diesen Verdacht der zuständigen nationalen Behörde schriftlich mitteilt. Diese Ausnahme ist eng gefasst und setzt eine förmliche Behördenmeldung voraus; ein internes Vorsichtsurteil der Bank genügt nicht. Die Analyse von Müller Seidel Vos vom 19. März 2026 arbeitet diesen Punkt besonders präzise heraus: Eine faktische Zweitverwendung des Fahrlässigkeitseinwands als versteckter Betrugsverdacht würde das System unterlaufen und ist nach dem Schlussantrag nicht zulässig.

Ergänzend weist GA Rantos auf die 13-Monats-Frist hin: Wenn Sie einen nicht autorisierten Zahlungsvorgang der Bank nicht innerhalb von 13 Monaten ab der Belastungsbuchung anzeigen, verlieren Sie Ihren Erstattungsanspruch. Im Fall Tukowiecka war die Meldung am nächsten Tag erfolgt — diese Frist spielte daher keine Rolle. Handeln Sie daher so früh wie möglich: In der deutschen Praxis entspricht diese Vorgabe der im Bankrecht bekannten Anzeigeobliegenheit, und jeder Tag zählt.

Wie verhält sich der BGH zur bisherigen Erstattungsrechtsprechung — und was ändert sich?

Der BGH hat mit seinem Urteil vom 5. März 2024 (XI ZR 107/22, BGHZ 240, 23) die bislang geltende Linie festgelegt: Der Erstattungsanspruch des Kunden aus § 675u BGB kann nach Treu und Glauben durch den Schadensersatzanspruch der Bank aus § 675v BGB aufgewogen werden, wenn dem Kunden grobe Fahrlässigkeit nachgewiesen wird. Die Bank kann in diesem Fall die Erfüllung verweigern, ohne selbst aktiv auf Rückzahlung klagen zu gehen. Diese Konstruktion folgt der Logik einer Aufrechnung: zwei gleichwertige Ansprüche, die sich gegenseitig aufheben. Der BGH hat dabei klargestellt, dass die alleinige Aufzeichnung der Nutzung des Zahlungsinstruments nach der Beweislastregel, die § 675w BGB für die Authentifizierungsebene aufstellt, nicht vollständig zu Lasten des Kunden wirkt — doch die grundsätzliche Möglichkeit der Aufrechnungslösung blieb bestehen.

Folgt der EuGH dem Schlussantrag von GA Rantos — was in der weit überwiegenden Zahl der Verfahren geschieht, in denen Generalanwälte Schlussanträge vorlegen —, wäre diese BGH-Konstruktion unionsrechtswidrig. Art. 73 Abs. 1 PSD2 als Grundlage für § 675u BGB würde dann so ausgelegt, dass die Erstattungspflicht zunächst unbedingt gilt. Eine Aufrechnung mit einem noch nicht rechtskräftig festgestellten Gegenanspruch wäre nicht mehr zulässig. Die Bank wäre gezwungen, erst zu erstatten und danach — in einem eigenständigen Verfahren — ihren Rückforderungsanspruch durchzusetzen. Das bedeutet eine vollständige Umkehrung der Liquiditätsverteilung: Derzeit sitzt die Bank auf dem Geld und der Kunde kämpft darum; nach dem Paradigmenwechsel hätte der Kunde das Geld zurück und die Bank würde im Zweifel klagen.

Für aktive Mandate und laufende Gerichtsverfahren ist die strategische Konsequenz jetzt schon relevant — noch vor Erlass des EuGH-Urteils, das für Herbst 2026 bis Anfang 2027 erwartet wird. Der Schlussantrag von GA Rantos stellt ein gewichtiges argumentatives Mittel dar, das in Schriftsätzen und in mündlichen Verhandlungen bereits heute verwandt werden kann. Darüber hinaus besteht nach § 148 ZPO die Möglichkeit, ein laufendes Klageverfahren auszusetzen und das Ergebnis des EuGH-Verfahrens abzuwarten, wenn die Entscheidung des Rechtsstreits von der Auslegung des Unionsrechts abhängt. Gerichte können eine solche Aussetzung auf Antrag oder von Amts wegen anordnen. In Verfahren, in denen die Bank die Erstattung ausschließlich auf den Fahrlässigkeitseinwand stützt, ist dieser Antrag derzeit besonders aussichtsreich. Mehr zu den Instrumenten bei laufenden Phishing-Mandaten finden Sie in unserer Übersicht zum KI-gestützten Kryptobetrug und Phishing 2026.

Welche Sofortmaßnahmen sind bei Phishing, Spoofing und Recovery-Mandaten geboten?

Wenn Sie Opfer eines nicht autorisierten Zahlungsvorgangs durch Phishing oder Spoofing geworden sind, stehen Sie unmittelbar nach dem Vorfall vor mehreren parallelen Handlungssträngen. Die 13-Monats-Frist beginnt mit dem Tag der Belastungsbuchung; wer zu spät anzeigt, verliert den Erstattungsanspruch vollständig. Priorität hat daher Ihre unverzügliche schriftliche Anzeige gegenüber der Bank — per Einschreiben mit Rückschein und gleichzeitig über den gesicherten Postfachzugang im Online-Banking, um den Zeitstempel zu sichern. Diese Anzeige löst nach dem Modell von GA Rantos die Erstattungsuhr aus.

Gleichzeitig empfiehlt sich für Sie die Erstattung einer Strafanzeige. Die Sachverhaltskonstellation bei Phishing erfüllt regelmäßig den Tatbestand des Computerbetrugs nach § 263a StGB sowie des Betrugs nach § 263 StGB; bei organisierten Täterstrukturen kommen darüber hinaus Vermögensabschöpfungsmaßnahmen nach § 73 StGB in Verbindung mit § 111e StPO in Betracht. Eine frühzeitige Strafanzeige sichert nicht nur den strafrechtlichen Verfolgungsweg, sondern schafft auch zivilrechtlich verwertbare Dokumentation für Sie. Wer über die strafrechtliche Einfrierung von Vermögen nachdenkt, findet ergänzende Informationen in unserem Beitrag zu Europol-Maßnahmen gegen Kryptobetrug.

Auf der zivilrechtlichen Ebene sollten Sie alle verfügbaren Beweismittel sichern: Screenshots der gefälschten Website (mit Zeitstempel), Ihre Kommunikationsverläufe, Kontoauszüge mit den streitigen Buchungen und — sofern vorhanden — technische Protokolle der Bank über den Authentifizierungsvorgang. Dieser letzte Punkt ist deshalb besonders relevant, weil die Beweislastregel für die Authentifizierungsebene, die dem § 675w BGB zugrunde liegt, nach dem Schlussantrag von GA Rantos allein kein ausreichendes Fundament für die Ablehnung der Erstattung bildet: Die aufgezeichnete Nutzung eines Zahlungsinstruments belegt nicht automatisch grobe Fahrlässigkeit des Kontoinhabers. Bereits der BGH hatte in XI ZR 107/22 darauf hingewiesen; GA Rantos geht darüber hinaus, indem er jede Vorenthaltung der Erstattung bis zu einem Gegenbeweis der Bank für unionsrechtswidrig hält.

Wenn Sie als Kläger auf § 675u BGB in Verbindung mit Art. 73 PSD2 gestützte Erstattungsansprüche geltend machen, können Sie heute schon auf den Schlussantrag hinweisen und — bei entsprechend gefasstem Antrag — eine Verfahrensaussetzung nach § 148 ZPO beantragen. Eine solche Aussetzung ist prozessstrategisch sinnvoll, wenn das zuständige Gericht bislang der BGH-Aufrechnungslösung gefolgt ist und eine Positionskorrektur im Lichte des zu erwartenden EuGH-Urteils wahrscheinlich erscheint. Für Bankrecht und Schadensersatzansprüche nach § 280 BGB oder § 823 Abs. 2 BGB in Verbindung mit § 675u BGB gelten dabei jeweils eigene Darlegungs- und Beweisanforderungen, die für Ihren Fall spezifisch zu prüfen sind.

Recovery-Mandate bei Kryptobetrug, bei denen ein Anbieter im Nachhinein verspricht, verlorene Gelder über dubiose Kanäle zurückzuholen, sind von der hier diskutierten Bankhaftungs-Thematik strikt zu trennen. Sie begründen in der Regel eigenständige Schäden und fallen nicht unter die PSD2-Erstattungspflicht. Mehr dazu in unserer Analyse zu Krypto-Tracing und Blockchain-Forensik.

Eine erste rechtliche Einschätzung erhalten Sie innerhalb von 24 Stunden — schreiben Sie an kryptoschaden@rexus-recht.de mit kurzer Sachverhaltsschilderung, Datum und Höhe des Schadens.

Welche Mandate kommen für eine Vertretung in Betracht — und wo scheidet sie aus?

Der Schlussantrag in der Rechtssache C-70/25 stärkt die Ausgangslage derjenigen, die einen nicht autorisierten Zahlungsvorgang durch Phishing, Spoofing oder ähnliche Social-Engineering-Methoden erlitten haben und deren Erstattungsbegehren von der Bank allein mit dem pauschalen Fahrlässigkeitseinwand abgelehnt wurde. Diese Mandate sind heute mit dem Schlussantrag als argumentativem Mittel und dem laufenden EuGH-Verfahren als Hebel für eine Aussetzung strukturell aussichtsreicher als vor März 2026.

Eine Mandatierung scheidet aus, wenn der Sachverhalt offenkundig aussichtslos ist, wenn keine forensisch tragfähigen Anknüpfungspunkte für eine Bankhaftung oder eine Tracing-Maßnahme bestehen oder wenn der Schaden in keinem Verhältnis zum Aufwand steht. Diese Prüfung erfolgt vor Mandatsannahme und kostenfrei für Sie. Wenn Sie unsicher sind, ob Ihr Fall in eine dieser Kategorien fällt, gibt die Erstanalyse Ihnen Klarheit.

Besonders relevante Konstellationen für das Zwei-Phasen-Modell sind Fälle, in denen die Bank die Erstattung ausschließlich auf Fahrlässigkeit stützt, ohne einen dokumentierten Betrugsverdacht gegen den Kunden bei einer Behörde angezeigt zu haben; Fälle, in denen die technische Infrastruktur der Bank Sicherheitslücken aufwies, die ein Mitverschulden begründen können — wie das OLG Dresden am 5. Juni 2025 (8 U 1482/24) im Fall des fehlenden zweiten Faktors beim Login einer Sparkasse anerkannt hat; sowie Fälle mit erheblicher Schadenssumme, bei denen die Verfahrensaussetzung bis zur EuGH-Entscheidung wirtschaftlich sinnvoll ist. Fälle, in denen der Kontoinhaber nachweislich selbst aktiv an betrügerischen Transaktionen mitgewirkt hat oder in denen die 13-Monats-Anzeigeobliegenheit nicht eingehalten wurde, scheiden hingegen auch nach dem neuen Modell aus.

Welcher Zeitplan gilt für das EuGH-Urteil — und was folgt danach?

Der Schlussantrag von GA Rantos datiert vom 5. März 2026. Das EuGH-Urteil ergeht typischerweise drei bis sechs Monate nach dem Schlussantrag, sodass mit einer Entscheidung im Herbst 2026, spätestens im frühen Jahr 2027, zu rechnen ist. Folgt der EuGH — wie in der großen Mehrheit der Vorabentscheidungsverfahren — dem Schlussantrag, wäre das Urteil für alle deutschen Gerichte bindend. BGH und Instanzgerichte wären gehalten, ihre bisherige Aufrechnungslösung aufzugeben und § 675u BGB im Lichte der unionsrechtlichen Vorgabe auslegen: Erstattung zuerst, Rückforderung im Streitfall durch die Bank.

Für die Praxis bedeutet das eine Übergangssituation, die bereits heute aktiv genutzt werden kann. Schlussanträge der Generalanwälte sind keine bindenden Entscheidungen, aber sie sind das Signal des EuGH-internen Vorbereitungsverfahrens; sie werden in der Rechtsprechung und Literatur als substanzielle Indizien für die zu erwartende Urteilslinie behandelt. Wenn Sie ein laufendes Verfahren führen, ist dieser Zeitpunkt günstig, um Ihren Schriftsatz zu schärfen. Die Analyse von Rotter Rechtsanwälte vom 17. März 2026 empfiehlt ausdrücklich, laufende Verfahren auf den Schlussantrag zu stützen und Aussetzungsanträge nach § 148 ZPO zu prüfen. Dieser Einschätzung schließt sich die hier vertretene Analyse an.

Bemerkenswert ist auch der Zeitpunkt: Das Datum des Schlussantrags — 5. März 2026 — fällt auf denselben Wochentag wie das BGH-Urteil XI ZR 107/22 vom 5. März 2024. Ob dies eine Koinzidenz ist oder ein Signal, bleibt dem Kommentar überlassen. Sachlich ist klar: Der Schlussantrag in C-70/25 ist nicht das Ende einer Entwicklung, sondern ihr vorläufiger Höhepunkt. Die deutsche Rechtsprechung zur Bankhaftung bei nicht autorisierten Zahlungsvorgängen wird sich nach dem EuGH-Urteil neu sortieren. Wenn Sie aktuell mit einer Ablehnung Ihrer Bank konfrontiert sind, ist jetzt der richtige Zeitpunkt, diese Entwicklung anwaltlich begleiten zu lassen.

Häufige Fragen: EuGH C-70/25 und Erstattung bei Phishing

Gilt der Schlussantrag von GA Rantos bereits heute als geltendes Recht?

Nein. Ein Schlussantrag eines Generalanwalts ist keine bindende Entscheidung. Er stellt eine Empfehlung und Analyse dar, der der Gerichtshof in der Mehrzahl der Fälle folgt, aber nicht zwingend folgen wird. Das EuGH-Urteil in der Rechtssache C-70/25, das voraussichtlich im Herbst 2026 ergeht, ist die rechtsverbindliche Entscheidung. Bereits heute können Sie den Schlussantrag als gewichtiges Argument in laufenden Gerichtsverfahren einsetzen und eine Verfahrensaussetzung nach § 148 ZPO beantragen.

Was bedeutet das Zwei-Phasen-Modell für laufende Bankprozesse?

Im Zwei-Phasen-Modell von GA Rantos ist die Bank verpflichtet, den nicht autorisierten Zahlungsbetrag zunächst unverzüglich zu erstatten — spätestens bis zum Ende des nächsten Geschäftstags nach Kenntnisnahme. Ein Fahrlässigkeitsvorwurf gegenüber dem Kunden berechtigt die Bank nicht zur Verweigerung. In einem zweiten Schritt kann die Bank, wenn sie grobe Fahrlässigkeit des Kunden konkret nachweisen kann, die Rückzahlung verlangen und notfalls einklagen. Für laufende deutsche Klageverfahren empfiehlt sich die Prüfung eines Aussetzungsantrags nach § 148 ZPO.

Gilt die 13-Monats-Frist auch bei Phishing-Fällen nach C-70/25?

Ja. Wer einen nicht autorisierten Zahlungsvorgang der Bank nicht innerhalb von 13 Monaten nach dem Tag der Belastungsbuchung anzeigt, verliert seinen Erstattungsanspruch. Diese 13-Monats-Frist gilt unabhängig vom Ausgang des EuGH-Verfahrens C-70/25. Im Fall Tukowiecka war die Meldung am Folgetag erfolgt — die Frist war kein Problem. In der Praxis empfiehlt sich in jedem Fall eine unverzügliche, schriftlich dokumentierte Anzeige.

Kann die Bank die Erstattung verweigern, wenn sie einen Betrugsverdacht hat?

Nach dem Schlussantrag von GA Rantos nur unter einer einzigen Bedingung: Die Bank benötigt konkrete und berechtigte Gründe für den Verdacht, dass der Kontoinhaber selbst — also nicht ein Dritter — den Betrug begangen hat, und sie hat diesen Verdacht der zuständigen nationalen Behörde schriftlich mitzuteilen. Ein allgemeines internes Misstrauen oder der Verweis auf Fahrlässigkeit des Kunden genügt nicht. Diese Ausnahme ist eng gefasst und in der Praxis selten einschlägig.

Welche deutschen Urteile sind heute schon auf der Linie des Schlussantrags?

Mehrere Instanzgerichte haben die Bankhaftung bei Phishing und Spoofing bereits vor dem Schlussantrag gestärkt. Das LG Köln sprach am 8. Januar 2024 (22 O 43/23) einen vollständigen Erstattungsanspruch aus § 675u BGB zu, weil Call-ID-Spoofing die grobe Fahrlässigkeit ausschloss. Das OLG Dresden erkannte am 5. Juni 2025 (8 U 1482/24) ein strukturelles Mitverschulden der Sparkasse an und sprach der Klägerin trotz eigener Fahrlässigkeit 20 % des Schadens zu. Diese Urteile zeigen eine Entwicklungslinie, die der Schlussantrag von GA Rantos auf unionsrechtlichem Niveau zuspitzt.

„Wenn Sie Opfer von Krypto-Betrug geworden sind, zählt jede Stunde. Sichern Sie Ihre Beweise und lassen Sie Ihren Fall von einer spezialisierten Kanzlei analysieren. Kontaktieren Sie uns unter kryptoschaden@rexus-recht.de — Erstanalyse innerhalb von 24 Stunden.“
— Anna O. Orlowa, LL.M., RAin + FAin Bank-/Kapitalmarktrecht, Zert. Expertin Kryptowerte + Steuern

Quellen: EuGH-Pressemitteilung Nr. 31/26 (05.03.2026) | Rotter Rechtsanwälte (17.03.2026) | Müller Seidel Vos (19.03.2026) | fachanwalt.de (31.03.2026) | BGH XI ZR 107/22 | OLG Dresden 8 U 1482/24 | LG Köln 22 O 43/23