kryptoschaden.de

Am 17. April 2026 hat der 8. Zivilsenat des Oberlandesgerichts Koblenz ein Urteil gesprochen, das in der deutschen Bankhaftungsrechtsprechung Maßstäbe setzt: Az. 8 U 682/24, Sparkasse Westerwald-Sieg gegen Phishing-Opfer, Streitwert 56.099,91 Euro. Das Landgericht Koblenz hatte dem Kläger zwar dem Grunde nach Recht gegeben, die Erstattungspflicht nach § 675u BGB jedoch durch einen bankinternen Gegenanspruch vollständig neutralisiert — mit der pauschalen Begründung grober Fahrlässigkeit nach § 675v BGB. Der 8. Zivilsenat hob dieses Ergebnis auf. Sechs tragende Erwägungen, ein Sachverständigengutachten, das zentrale Bankbehauptungen technisch widerlegte, und die konsequente Anwendung der Beweislastregel des § 675w BGB führten zu einem vollständigen Klagsieg: 56.099,91 Euro nebst vorgerichtlichen Anwaltskosten, vollständig von der Sparkasse zu tragen. Was Phishing-Opfer aus diesem Urteil herauslesen können — und warum der Einwand grober Fahrlässigkeit einer substantiierten Beweisführung standzuhalten hat, die viele Institute schlicht nicht leisten können.

Was ist der rechtliche Rahmen bei Phishing-Erstattungsansprüchen?

§ 675u BGB verpflichtet die Bank zur unverzüglichen Erstattung nicht autorisierter Zahlungen. § 675v BGB eröffnet einen Gegenanspruch nur bei nachgewiesener grober Fahrlässigkeit des Kunden. § 675w BGB legt die Beweislast vollständig bei der Bank. Spekulationen über denkbare Geschehensabläufe erfüllen diesen Beweisstandard nicht.

Das Zusammenspiel der drei Normen ist in der Praxis entscheidend, wird aber von Instituten systematisch verzerrt. § 675u BGB statuiert den Grundanspruch: Liegt ein nicht autorisierter Zahlungsvorgang vor, erstattet der Zahlungsdienstleister den abgebuchten Betrag unverzüglich und stellt das Konto auf den Stand vor der Belastung zurück. Dieser Anspruch entsteht verschuldensunabhängig — allein die fehlende Autorisierung ist Tatbestandsvoraussetzung, nicht das Verhalten des Kunden dabei. Die Bank kann nach § 675v Abs. 3 BGB einen gegenläufigen Schadensersatzanspruch geltend machen, wenn dem Kunden betrügerische Absicht oder eine vorsätzliche bzw. grob fahrlässige Verletzung der Sorgfaltspflichten nach § 675l BGB nachgewiesen wird — und wenn eine starke Kundenauthentifizierung im Sinne von § 1 Abs. 24 ZAG eingesetzt wurde. § 675w BGB enthält die entscheidende Beweislastregel: Der Zahlungsdienstleister trägt die volle Darlegungs- und Beweislast sowohl für die ordnungsgemäße Authentifizierung als auch für den gegenläufigen Schadensersatzanspruch. Gelingt dieser Nachweis nicht, besteht der Erstattungsanspruch des Kunden ungemindert fort.

Der BGH hat diese Grundsätze mit Urteil vom 5. März 2024 (XI ZR 107/22) ausdrücklich bestätigt: Die Bank trägt die Beweislast für die Autorisierung des Zahlungsvorgangs, unabhängig davon, ob ein Zahlungsauthentifizierungsinstrument mit personalisierten Sicherheitsmerkmalen eingesetzt wurde. Der bloße Nachweis lückenloser Protokollierung genügt nicht — die Bank hat positiv zu beweisen, dass die Zahlung willentlich vom Kunden autorisiert wurde. Diese höchstrichterliche Linie hat das OLG Koblenz in seiner Entscheidung 8 U 682/24 konsequent weiterentwickelt und auf den Tatbestand professionellen Vishings mit Call-ID-Spoofing übertragen.

Welcher Sachverhalt lag dem Urteil zugrunde?

Im Juli 2022 erhielt ein Kunde der Sparkasse Westerwald-Sieg einen Anruf unter der echten Bankrufnummer. Der Anrufer verfügte über Kontonummer, Saldo und Buchungsdetails. Sieben Echtzeitüberweisungen von zusammen 56.099,91 Euro wurden ausgelöst — weder veranlasst noch autorisiert durch den Kontoinhaber. Das LG Koblenz ließ die Erstattung scheitern; das OLG hob auf.

Der Tathergang ist lehrbuchhaft für hochprofessionelles Social Engineering: Auf dem Telefondisplay des Opfers erschien exakt die echte Rufnummer der Sparkasse Westerwald-Sieg — ein Verfahren, das technisch als Call-ID-Spoofing bezeichnet wird und es Angreifern ermöglicht, die angezeigte Absendernummer beliebig zu manipulieren. Der Anrufer gab sich als Mitarbeiter der technischen Abteilung aus und erklärte, das bisherige ChipTAN-Verfahren werde auf das S-pushTAN-Verfahren umgestellt; eine Systemanpassung sei zeitnah erforderlich. Zur Unterstützung seiner Legende verfügte der Angreifer über konkretes Insiderwissen: Kontonummer, aktuellen Saldo und jüngste Buchungsposten. Diese Kombination aus imitierter Bankrufnummer und korrektем Kontowissen ist kein Zufall — sie ist das Kernmerkmal industriell organisierter Vishing-Angriffe, bei denen gestohlene Bankdaten gezielt eingesetzt werden, um auch informierte Kunden zu überwältigen.

Wenige Tage nach dem Gespräch wurden sieben Echtzeitüberweisungen ins Ausland ausgelöst, Gesamtbetrag 56.099,91 Euro. Der Kontoinhaber hatte keinen dieser Zahlungsvorgänge autorisiert. Das Landgericht Koblenz erkannte den Erstattungsanspruch nach § 675u BGB zwar dem Grunde nach an, ließ ihn aber durch einen bankinternen Gegenanspruch in identischer Höhe untergehen: grobe Fahrlässigkeit des Klägers nach § 675v BGB, so die erstinstanzliche Bewertung. Im Ergebnis: null Euro Erstattung. Der 8. Zivilsenat sah das anders — grundlegend anders.

Welche sechs Erwägungen trugen das OLG-Urteil?

Das OLG Koblenz stützte seine Aufhebung auf sechs selbstständig tragende Argumentationsstränge: Volle Beweislast der Bank, Sachverständigengutachten das Bankbehauptungen widerlegte, entlastende Wirkung des Call-ID-Spoofings, fehlende Relevanz der Anrufzeit, bestimmungsgemäßes Anklicken eines SMS-Links und fehlende Erkennbarkeit einer Phishing-Seite.

Der Senat entwickelt sechs Argumentationsstränge, die jeder für sich genommen den Gegenanspruch der Sparkasse scheitern lassen:

  1. Volle Beweislast bei der Bank. Die Sparkasse hatte darzulegen und zu beweisen, dass der Kläger konkret und individuell vorwerfbar grob fahrlässig gehandelt hat. Spekulation über denkbare Geschehensabläufe — auch wenn sie technisch nicht ausgeschlossen sind — genügt nicht. Das folgt unmittelbar aus § 675w BGB; der Senat wendet die Norm ohne Einschränkung an.
  2. Sachverständigengutachten widerlegt Bankbehauptungen. Die Sparkasse behauptete zunächst, der Kläger habe einen sechsstelligen Freischaltcode preisgegeben. Das gerichtlich eingeholte Gutachten widerlegte das technisch: Der Code erscheint ausschließlich in der pushTAN-App auf dem Gerät der Täter — nicht beim Kunden. Weitergabe war objektiv unmöglich. Als die Bank sodann vortrug, der Kunde habe einen Link weitergeleitet, blieb dieser Vortrag ohne jede Tatsachengrundlage.
  3. Call-ID-Spoofing entlastet den Kunden. Wer die echte Rufnummer einer Bank sieht und gleichzeitig Insiderkenntnisse über sein Konto präsentiert bekommt, hat objektiv keine Veranlassung zur Skepsis — seine natürliche Wachsamkeit ist gezielt ausgehebelt. Ein Vorwurf grober Fahrlässigkeit setzt voraus, dass der Kunde die gebotene Sorgfalt in einem geradezu unentschuldbaren Maß verletzt hat. Das ist nicht der Fall, wenn der Angriff die Erkennungsmöglichkeiten des Opfers strukturell beseitigt.
  4. Abendliche Anrufzeit begründet keinen Fahrlässigkeitsvorwurf. Die Sparkasse argumentierte, ein abendlicher Anruf hätte Misstrauen wecken sollen. Der Senat ließ das nicht gelten: Banken nehmen auch nach klassischen Öffnungszeiten Kontakt zu Kunden auf; im konkreten Fall hatte die Kundin den Abendtermin sogar ausdrücklich gewünscht. Das Argument kehrt sich gegen die Bank.
  5. Anklicken eines SMS-Aktivierungslinks ist bestimmungsgemäß. Erhält ein Kunde von seiner — vermeintlichen — Bank eine SMS mit einem Aktivierungslink für ein neues Sicherheitsverfahren, handelt er genau so, wie die Bank es von ihm erwartet und wie es bei einer echten Umstellung geboten wäre. Dieses Verhalten begründet keinen Fahrlässigkeitsvorwurf, sondern entspricht dem vom Institut selbst geweckten Erwartungshorizont.
  6. Täuschend echte Phishing-Seite ist kein Vorwurfspunkt. Sofern der Kläger eine professionell replizierte Bankwebseite aufgerufen hat, fehlen nach Auffassung des Senats Anhaltspunkte dafür, dass er die Fälschung hätte erkennen können oder sollen. Grobe Fahrlässigkeit erfordert eine subjektiv schlechthin unentschuldbare Sorgfaltsverletzung — die fehlt, wenn eine Seite von der echten nicht zu unterscheiden ist.

Merksatz OLG Koblenz, 17. April 2026, 8 U 682/24: Wenn Angreifer die echte Bankrufnummer vortäuschen und gleichzeitig Insiderkenntnisse über das Konto einsetzen, ist die für grobe Fahrlässigkeit erforderliche individuelle Vorwerfbarkeit nicht mit Spekulationen zu begründen — sie ist von der Bank durch belastbare Tatsachen zu beweisen. Gelingt das nicht, greift der Erstattungsanspruch nach § 675u BGB ungemindert.

Wie verhält sich die Entscheidung zur BGH-Rechtsprechung?

Das OLG Koblenz setzt die durch BGH XI ZR 107/22 vom 5. März 2024 etablierte Linie fort und schärft sie für professionelles Vishing. Der BGH (XI ZR 107/24, 22. Juli 2025) differenzierte zwischen Augenblicksversagen und grober Fahrlässigkeit — eine Distinktion, die im Koblenzer Fall zugunsten des Klägers ausgeht.

Mit seinem Urteil vom 5. März 2024 (XI ZR 107/22) hat der BGH festgestellt, dass die Bank die Beweislast für die Autorisierung des Zahlungsvorgangs trägt — unabhängig davon, ob ein Zahlungsauthentifizierungsinstrument mit personalisierten Sicherheitsmerkmalen verwendet wurde. Lückenlose Protokollierung reicht nicht; die Bank hat positiv nachzuweisen, dass die Zahlung willentlich vom Kunden in Auftrag gegeben wurde. Dieser Grundsatz gilt für Erstattungsansprüche nach § 675u BGB ebenso wie für die Verteidigung gegen Gegenansprüche nach § 675v BGB.

Die zweite maßgebliche BGH-Entscheidung, XI ZR 107/24 vom 22. Juli 2025, differenziert die Fahrlässigkeitsprüfung weiter. In jenem Fall hatte eine Kundin über einen längeren Zeitraum wiederholt TANs an einen vermeintlichen Bankmitarbeiter weitergegeben — trotz Bedenkzeit und mehrfacher Gelegenheit zur Reflexion. Der BGH bejahte dort grobe Fahrlässigkeit. Zugleich betonte er, dass nicht jede TAN-Weitergabe automatisch grob fahrlässig ist; es kommt auf den konkreten Handlungskontext an. Im Koblenzer Fall fehlt jede Grundlage für diesen Vorwurf: keine nachgewiesene Weitergabe eines Codes, keine Bedenkzeit, keine Erkennbarkeit der Manipulation. Das technische Gutachten tilgte die letzte Basis des Bankvorwurfs.

Die Entscheidung steht zudem in einer Linie mit dem Urteil des OLG Linz vom 29. April 2026 zu einem 100.000-Euro-Phishing-Fall: Während Koblenz die subjektive Seite des Kundenverhaltens bei professionellem Social Engineering konturiert — und verneint —, konturiert Linz ein eigenständiges Organisationsverschulden der Bank beim Fraud-Transaction-Monitoring. Beide Argumentationspfade können nebeneinander stehen. Im Fall Koblenz scheitert der Gegenanspruch bereits mangels nachweisbarer Fahrlässigkeit des Kunden; eine Monitoring-Diskussion erübrigt sich damit. Im Fall Linz war nachgewiesenes Kundenverschulden durch Bankversagen beim Echtzeit-Monitoring nach § 280 BGB aufzuwiegen — Schadensteilung nach § 254 BGB.

Welche Beweislastfragen sind in der Praxis entscheidend?

Die Bank trägt nach § 675w BGB die volle Beweislast für Autorisierung und Kundenverschulden. Allgemeine Plausibilitätserwägungen, ungesicherte Vermutungen über Handlungsabläufe und technisch widerlegte Behauptungen reichen nicht. Fehlen belastbare Fakten, besteht der Erstattungsanspruch nach § 675u BGB ungemindert fort.

In der gerichtlichen Praxis wiederholt sich ein Muster: Banken behaupten grobe Fahrlässigkeit des Kunden, ohne die konkrete Handlung, die konkrete Sorgfaltspflichtverletzung und das individuelle Verschulden substanziiert darzulegen. Das OLG Koblenz macht unmissverständlich klar, welcher Standard gilt: Die Bank hat nicht nur zu behaupten, der Kunde habe irgendetwas falsch gemacht — sie hat positiv zu beweisen, welche Handlung der Kunde wann vorgenommen hat und warum diese Handlung konkret vorwerfbar grob fahrlässig war. Allgemeine Plausibilitätserwägungen wie „ein aufmerksamer Kunde hätte misstrauisch sein sollen“ genügen dafür nicht.

Besonders scharf ist die Linie bei technisch widerlegten Behauptungen. Im Koblenzer Fall hatte die Sparkasse zunächst behauptet, der Kläger habe einen sechsstelligen Freischaltcode preisgegeben. Das Sachverständigengutachten stellte fest, dass dieser Code technisch ausschließlich auf dem Gerät der Täter in deren pushTAN-App erscheint — nicht beim Kunden. Die Weitergabe war objektiv unmöglich. Dieser Umstand hätte die Sparkasse eigentlich dazu veranlassen sollen, ihren Vortrag zu revidieren. Stattdessen verlagerte sie die Behauptung auf eine angebliche Link-Weiterleitung — erneut ohne Tatsachenbasis. Ein solches Vorgehen ist symptomatisch für die Abwehrstrategie vieler Institute, die auf dem Weg des geringsten Widerstands auf pauschale Vorwürfe setzen, ohne diese durch belastbare Beweise zu unterlegen.

Für Prozessführung folgt daraus: Wer als Phishing-Opfer klagt, sollte von Anfang an auf einem substantiierten Tatsachenvortrag der Bank zur konkreten Fahrlässigkeitshandlung bestehen. Fehlt dieser — und er fehlt häufig —, ist die Gegenforderung der Bank nicht schlüssig. Ein frühzeitig beantragtes Sachverständigengutachten zu den technischen Abläufen kann dabei, wie das Koblenzer Verfahren zeigt, zum entscheidenden Wendepunkt werden.

Bedeutet das Urteil eine automatische Erstattungspflicht bei jedem Phishing-Fall? Nein —

Das Urteil begründet keine automatische Erstattungspflicht. Es klärt die Beweislastverteilung. Wer grob fahrlässig handelt — etwa durch freiwillige, wiederholte TAN-Weitergabe trotz klarer Warnsignale —, haftet weiterhin selbst. Entscheidend ist der konkrete Sachverhalt; pauschale Aussagen zu Erfolgsaussichten verbieten sich.

Die Entscheidung verschiebt die Beweislast — sie schafft sie nicht ab. Grobe Fahrlässigkeit des Kunden kann weiterhin zum Verlust des Erstattungsanspruchs führen. Der BGH hat das mit XI ZR 107/24 vom 22. Juli 2025 nochmals klargestellt: Wer eine TAN über einen längeren Zeitraum wiederholt weitergibt, trotz Bedenkzeit und trotz ausreichend konkreter Warnsignale, handelt grob fahrlässig — und haftet selbst. Das OLG Koblenz verneint grobe Fahrlässigkeit im konkreten Fall nur deshalb, weil die Bank keinen einzigen belastbaren Beweis für eine konkrete Sorgfaltspflichtverletzung vorlegen konnte. Wo ein solcher Beweis gelingt — weil etwa ein Kunde trotz ausdrücklicher Bankwarnung Codes an Dritte übermittelt hat —, greifen die Grundsätze des Urteils nicht schützend ein.

Das bedeutet für jeden Einzelfall: Eine pauschale Aussage über Erstattungsaussichten ist nicht möglich. Es kommt auf den konkreten Tathergang, die eingesetzten Social-Engineering-Techniken, den zeitlichen Ablauf, das Kommunikationsverhalten der Bank im Vorfeld der Transaktion und die von der Bank geführten Nachweise an. Wer sich nach einem Phishing-Angriff pauschal auf das OLG-Koblenz-Urteil beruft, ohne den eigenen Sachverhalt zu prüfen, riskiert Enttäuschungen. Wer eine fundierte Prüfung vornimmt, findet in dem Urteil jedoch ein starkes Argumentationsfundament.

Wie unterscheidet sich Call-ID-Spoofing von klassischem Phishing?

Klassisches Phishing setzt auf täuschend echte E-Mails oder Webseiten. Call-ID-Spoofing manipuliert die angezeigte Rufnummer eines Telefonanrufs. Kombiniert mit Kontowissen eliminiert es die Skepsiswirkung des Opfers strukturell — und setzt damit eine höhere Schranke für den Fahrlässigkeitsvorwurf, den die Bank zu überwinden hat.

Die rechtliche Relevanz dieser technischen Unterscheidung ist erheblich. Bei klassischem E-Mail-Phishing kann eine Bank argumentieren, ein aufmerksamer Kunde hätte die Absenderadresse überprüft, hätte den enthaltenen Link nicht klicken sollen oder hätte die Dringlichkeitsrhetorik als Warnsignal erkennen können. Bei Call-ID-Spoofing fehlt dieser Ansatzpunkt. Das angezeigte Datum einer anrufenden Nummer ist für den Durchschnittskunden keine überprüfbare Information — er sieht auf seinem Display eine bekannte, echte Nummer und hat technisch keine Möglichkeit, deren Authentizität zu verifizieren. Dazu kommen im Koblenzer Fall noch Insiderkenntnisse über das konkrete Konto, die die Vertrauensgrundlage des Angreifers vollends absichern.

Das OLG Koblenz zieht daraus eine konsequente Schlussfolgerung: Wer die echte Bankrufnummer sieht und gleichzeitig mit korrektem Kontowissen konfrontiert wird, handelt nicht grob fahrlässig, wenn er dem Anrufer Vertrauen entgegenbringt. Die Geheimhaltungspflicht nach § 675l BGB dient dem Schutz personalisierter Sicherheitsmerkmale — nicht dem Schutz vor einer Überrumpelungssituation, in der die natürliche Skepsis des Kunden durch technische Manipulation beseitigt wurde. Die BaFin hat vor solchen Vishing-Methoden gewarnt; nach BaFin-Erkenntnissen nehmen Call-ID-Spoofing-Angriffe auf Sparkassen- und Bankkunden in Deutschland erheblich zu.

Angriffstypus Täuschungsmittel Fahrlässigkeitsschwelle für Kunden Beweisanforderung an Bank
E-Mail-Phishing Gefälschte Absenderadresse, täuschend echte Seite Mittel — Überprüfbarkeit der Absenderadresse möglich Konkrete Sorgfaltspflichtverletzung nachweisen
Call-ID-Spoofing Echte Bankrufnummer, Kontowissen Hoch — keine technische Überprüfbarkeit für Kunden Schwieriger: natürliche Skepsis des Kunden strukturell eliminiert
Kombination (Vishing + Phishing-Seite) Rufnummer + Insiderwissen + replizierte Bankwebseite Sehr hoch — dreifache Täuschungsebene Besonders hohe Anforderungen; Sachverständigengutachten oft unumgänglich
Klassischer TAN-Betrug per SMS Gefälschte SMS, angebliche Sicherheitswarnung Variabel — abhängig von Warnhinweisen in der SMS Konkrete Handlung des Kunden darzulegen und zu beweisen

Welche Normen sind für den Erstattungsanspruch maßgeblich?

§ 675u BGB (Erstattungspflicht), § 675v BGB (Gegenanspruch der Bank bei Kundenverschulden), § 675w BGB (Beweislast bei der Bank), § 675l BGB (Geheimhaltungspflicht des Kunden) und § 280 BGB (Schadensersatz bei Pflichtverletzung) bilden das normative Grundgerüst. Mitverschulden nach § 254 BGB kann hinzutreten.

Die Normarchitektur ist präzise abgestimmt und lässt wenig Spielraum für bankfreundliche Auslegung, wenn die Tatbestandsvoraussetzungen klar sind. § 675u BGB ist die Anspruchsgrundlage — verschuldensunabhängig, bei fehlender Autorisierung sofort fällig. Die Bank hat keine Wahl; der Anspruch entsteht kraft Gesetzes. § 675v Abs. 3 BGB eröffnet der Bank eine Einrede: Nachweis von Betrugsabsicht, Vorsatz oder grober Fahrlässigkeit des Kunden. Diese Einrede ist nicht als Standardverteidigung konzipiert — sie erfordert substanziierten Tatsachenvortrag und Beweisführung. § 675w BGB legt die Verteilung fest: Bank beweist. Kein Anscheinsbeweis allein aufgrund technisch ordnungsgemäßer Authentifizierung. § 675l BGB begründet die Sorgfaltspflichten des Kunden — personalisierte Sicherheitsmerkmale geheim zu halten, das Instrument unverzüglich bei Verlust zu melden. Der Inhalt dieser Pflicht ist konkret; ihre Verletzung ist konkret zu beweisen. § 280 Abs. 1 BGB kann eigenständig greifen, wenn die Bank Sorgfaltspflichten verletzt hat — etwa durch unzureichendes Echtzeit-Fraud-Monitoring oder das Versäumnis, bei auffälligen Transaktionsmustern einzugreifen. § 254 BGB kommt ins Spiel, wenn sowohl die Bank als auch der Kunde Verantwortung tragen — dann erfolgt Schadensteilung nach Quote.

§ 263a StGB (Computerbetrug) und § 263 StGB (Betrug) sind strafrechtlich relevant für die Täter. Eine Strafanzeige nach diesen Normen sichert die staatsanwaltschaftliche Ermittlungsakte als Beweismittel im Zivilprozess — ein oft unterschätzter Vorteil, der im Koblenzer Verfahren als Indiz für die Opferrolle diente.

Telegram-Kanal der Fachanwältin

Kryptobetrug erkennen. Richtig reagieren. Geld einfrieren lassen.

Tagesaktuelle BaFin-Warnungen, Blockchain-Tracing-Einblicke und Praxisfälle aus der Fachanwaltskanzlei für Bank- und Kapitalmarktrecht — direkt von Rechtsanwältin Anna O. Orlowa, LL.M.

Jetzt @kryptobetrug_anwaeltin auf Telegram folgen →

Was Geschädigte jetzt tun

Nach einem Phishing- oder Vishing-Angriff mit nicht autorisierten Überweisungen ist zügiges, strukturiertes Handeln entscheidend. Folgende Schritte sind in der Praxis relevant:

  • Erstattungsanspruch nach § 675u BGB unverzüglich geltend machen. Der Anspruch ist spätestens 13 Monate nach der Belastungsbuchung zu erheben. In der Praxis empfiehlt sich eine schriftliche Inanspruchnahme innerhalb von sechs bis acht Wochen, um den SEPA-Recall-Mechanismus noch ausschöpfen zu können und Verzugszinsen nach § 286 BGB ab Fristlauf geltend zu machen.
  • Strafanzeige nach §§ 263, 263a StGB erstatten. Eine Strafanzeige sichert die staatsanwaltschaftliche Ermittlungsakte als Beweismittel. Im Koblenzer Verfahren war die Akte ein maßgebliches Indiz für die Opferrolle der Geschädigten und das professionelle Vorgehen der Täter. Für in die Überweisungskette eingebundene Mittelsmänner kommt ergänzend § 261 StGB (Geldwäsche) in Betracht.
  • Schriftliche Erstattungsforderung mit konkretem Tatsachenvortrag. Datum, Uhrzeit, Betrag jeder einzelnen Überweisung, Schilderung des Angriffsverlaufs — das ist die Mindestgrundlage. Pauschal formulierte Forderungen ohne Sachverhaltsdarstellung setzen keine wirksame Frist und erschweren spätere Prozessführung.
  • Sämtliche Transaktionsdaten und Korrespondenz sichern. Kontoauszüge, SMS, Screenshots, E-Mails und Gesprächsnotizen sind unverzüglich zu dokumentieren. Zeitstempel belegen das Transaktionsmuster und können Defizite im Fraud-Monitoring der Bank aufzeigen.
  • Technische Abläufe durch Sachverständigen prüfen lassen. Das Koblenzer Verfahren zeigt exemplarisch: Ein Gutachten kann Bankbehauptungen technisch widerlegen und ist damit oft der entscheidende Wendepunkt im Prozess. Wer früh ein Gutachten beantragt, verhindert, dass die Bank ungeprüfte Behauptungen als Prozessgrundlage nutzt.
  • Bankinternen Gegenanspruch nicht hinnehmen. Der Einwand grober Fahrlässigkeit ist kein automatischer Ausschlussgrund. Er erfordert von der Bank konkrete Tatsachen — was der Kunde wann getan hat und warum das grob fahrlässig war. Fehlt diese Substanz, ist die Gegenforderung nicht schlüssig.
  • Spezialisierte Kanzlei einschalten. Phishing-Fälle mit Beweislastfragen nach §§ 675u–675w BGB sind keine Routinesachen. Eine auf Bank- und Kapitalmarktrecht spezialisierte Kanzlei kann einschätzen, ob der Sachverhalt vergleichbare Merkmale aufweist und ob ein Erstattungsanspruch außergerichtlich oder prozessual durchzusetzen ist.

Phishing-Opfer, denen die Bank grobe Fahrlässigkeit entgegenhält, sollten diesen Vorwurf nicht ungeprüft als gegeben hinnehmen. Die Entscheidung OLG Koblenz 8 U 682/24 macht deutlich, dass dieser Vorwurf einer konkreten, substanziierten und technisch belastbaren Beweisführung standzuhalten hat — und diese Beweisführung liegt ausschließlich bei der Bank. Eine auf Bank- und Kapitalmarktrecht spezialisierte Kanzlei kann im Erstgespräch ohne Gebühr für die Orientierung einschätzen, ob die Merkmale des Einzelfalls einem Erstattungsanspruch Grundlage geben. Aussagen zu konkreten Erfolgsaussichten sind stets von der individuellen Fallprüfung abhängig und lassen sich pauschal nicht treffen.

Weiterführende Informationen zu Monitoring-Pflichten der Bank und zur parallelen OLG-Linz-Entscheidung finden sich im Beitrag OLG Linz 2026: Bank haftet bei Phishing — Monitoring-Versagen als Haftungsgrund auf kryptoschaden.de. Zur emotionalen Dynamik bei Pig-Butchering-Angriffen, die ebenfalls §§ 675u/v BGB berühren können, empfiehlt sich der Beitrag Pig-Butchering: Emotionale Manipulation, Hebel und Rechtsfolgen. Aktuelle Regulierungspflichten nach MiCAR und DAC8 dokumentiert der Überblick MiCAR, DAC8, Stichtag 1. Juli 2026. Als externe Primärquelle zum Urteil: AKH-H zum OLG-Koblenz-Urteil 8 U 682/24.