Wenn eine Bank bei 41 Überweisungen in 90 Minuten kein Alarm-Signal auslöst, haftet sie nach § 280 BGB für das Monitoring-Versagen — auch dann, wenn der Kunde TANs bestätigt hat. Grobe Fahrlässigkeit des Kunden und Haftung der Bank schließen einander nicht aus; die Beweislast für die Autorisierung trägt nach § 675w BGB die Bank.

Das OLG Linz hat diesen Grundsatz am 29. April 2026 zur 50/50-Schadensteilung verdichtet; das OLG Koblenz (Az. 8 U 682/24, 17. April 2026) hat in einem strukturell identischen Fall die Sparkasse Westerwald-Sieg sogar zur vollständigen Erstattung von 56.099,91 Euro verurteilt. Ein eigenständiger Anspruch aus § 280 BGB tritt neben den Erstattungsanspruch aus § 675u BGB — das ist der Hebel für Geschädigte, die TANs bestätigt haben.

Warum 90 Minuten für einen Vollschaden reichen

Professionelle Phishing-Angriffe sind Prozessketten, keine Einzelereignisse. 90 Minuten reichen für einen Vollschaden, weil der Angreifer vier Phasen sequenziell optimiert: Spoofing-Anruf, TAN-Phishing, SEPA-Überweisungswelle, Wallet-Drain. Jede Phase dauert kürzer als die typische menschliche oder technische Reaktionszeit der Bank — das 90-Minuten-Fenster ist kein Zufall, sondern Angriffs-Design.

Der Schaden entsteht nicht mit der ersten Überweisung, sondern durch das ungestörte Ablaufen aller Kettenglieder. Im vom OLG Linz entschiedenen Fall autorisierte der Bankkunde 41 Überweisungen innerhalb von neunzig Minuten — nicht weil er leichtgläubig war, sondern weil die Angreifer drei Vorbedingungen erfüllten, die jeden Sicherheitsdialog aushebeln: gespoofter Anruf unter der echten Bankrufnummer, Insider-Kenntnis über Kontonummer und letzte Buchungsbeträge, pixelgenaue Klonseite des Online-Banking-Portals.

Entscheidend für die Haftungsfrage ist nach beiden Urteilen nicht, ob der Kunde getäuscht wurde. Die Frage lautet: An welchem Punkt wäre das bankseitige System zum Eingreifen verpflichtet gewesen? Das OLG Linz beantwortet sie eindeutig: spätestens bei Transaktion Nr. 1. Das ist keine rückwirkende Schärfe — es ist der geltende Maßstab des § 280 BGB für Organisationspflichten im Zahlungsverkehr.

Wie die Angreifer das Monitoring umgehen — Phase für Phase

Fraud-Transaction-Monitoring scheitert nicht an technischer Komplexität, sondern an Architekturfehlern: Viele Banken betreiben regelbasierte Filter, die ausschließlich auf absolute Betragsobergrenzen reagieren. Smurfing — viele Transaktionen knapp unter Schwellenwerten auf ausschließlich neue Empfängerkonten — umgeht diese Filter vollständig, wäre für ein parametrisches System jedoch sofort erkennbar.

Phase 1 (t = 0 min): Call-ID-Spoofing als Eröffnungszug

Der Angriff beginnt mit einem eingehenden Anruf, dessen angezeigte Rufnummer exakt der offiziellen Bankhotline entspricht. Call-ID-Spoofing erfordert keinen technischen Aufwand auf Kundenseite — der Angriff setzt eine psychologische, keine technische Schwäche aus. Der Anrufer identifiziert sich als Mitarbeiter der Sicherheitsabteilung und belegt seine Legitimität durch Insider-Kenntnisse: vollständige Kontonummer, zuletzt gebuchte Beträge, teils der vollständige Name des Kontoinhabers. Diese Daten stammen aus einem zuvor gestohlenen Datenbankpaket oder einer Phishing-Mail.

Das Gespräch dient einem einzigen Zweck: den Kunden in einen Zustand erhöhter Kooperationsbereitschaft zu versetzen, bevor die Klonseite aktiviert wird. Auf Bankseite ist zu diesem Zeitpunkt noch kein Signal ausgelöst. Das Monitoring hat keine Möglichkeit einzugreifen, weil noch keine Transaktion vorliegt — was den Handlungsdruck auf die spätere Transaktionskette verschiebt und damit auf die Phase, in der die Bank sehr wohl hätte eingreifen können.

Phase 2 (t = 15 min): TAN-Eingabe auf der Klonseite

Der Anrufer bittet den Kunden, einen Link zu öffnen — scheinbar zur Identitätsverifikation. Die aufgerufene Seite ist eine pixelgenaue Nachbildung des Online-Banking-Portals: gleiche Farbgebung, gleiche Navigation, gleiches Zertifikat-Icon. Der Unterschied liegt in einer einzigen veränderten Domain-Silbe, die im Adressfeld kaum wahrnehmbar ist. Nach Auffassung des OLG Koblenz (8 U 682/24) begründet das Aufrufen einer täuschend echt nachgebauten Phishing-Seite keine grobe Fahrlässigkeit, wenn es keine Anhaltspunkte dafür gibt, warum dem Nutzer hätte klar sein sollen, dass er sich nicht auf der echten Bankseite befindet.

Im Hintergrund leitet die Klonseite Credentials in Echtzeit an die Angreifer weiter, die sich parallel ins echte Konto einloggen. Der Zugang erfolgt über einen Proxy-Relay, der die Kundensitzung spiegelt und so die IP-Adresse des Kunden emuliert. Für ein rein regelbasiertes Filter ist dieser Login noch unauffällig. Für ein Behavioral-Analytics-System wäre die Anomalie messbar: Session-Parameter, Mausbewegungen und Tippgeschwindigkeit unterscheiden sich systematisch von der historischen Nutzungssignatur des Kontoinhabers.

Phase 3 (t = 30–50 min): Erste Überweisungswelle — 12 Transaktionen

Zwischen Minute 30 und 50 werden 12 Überweisungen ausgelöst. Die Zielkonten sind in drei verschiedene EU-Mitgliedstaaten gestreut; die Einzelbeträge liegen knapp unter den Schwellenwerten manueller Review-Prozesse — klassisches Smurfing im SEPA-Raum. Ein regelbasierter Filter, der ausschließlich auf Betragsobergrenzen abzielt, bleibt blind.

Für ein parametrisches Echtzeit-Monitoring wären die Anomalien evident:

• 12 Überweisungen in 20 Minuten bei einem Konto, dessen historische Transaktionsfrequenz bei zwei bis vier pro Woche liegt
• Alle Empfängerkonten sind Erstbegünstigte — keines war zuvor in der Kontakthistorie
• Drei verschiedene Währungsräume innerhalb eines einzigen Session-Zeitfensters
• Jede Überweisung bestätigt mit einer frischen TAN, ohne übliche Zwischenpausen
• Kumulierter Tagesabfluss übersteigt das historische Monatsmittel

Das OLG Linz hat festgestellt, dass die internen Betrugserkennungssysteme der Bank bei keiner dieser 12 Transaktionen einen Alarm auslösten. Das Gericht wertet das nicht als Einzelversagen eines Algorithmus, sondern als Organisationsverschulden im Sinne des § 280 BGB — und damit als eigenständigen Haftungsgrund neben der Autorisierungsfrage nach §§ 675u, 675v BGB.

Phase 4 (t = 50–70 min): Monitoring bleibt stumm — 18 weitere Transaktionen

Zwischen Minute 50 und 70 werden 18 weitere Überweisungen ausgeführt. Der kumulierte Schaden überschreitet die 100.000-Euro-Marke. Die Empfängerkonten folgen demselben Muster — ausschließlich Erstbegünstigte, breite geographische Streuung, Beträge im mittleren vierstelligen Bereich. Zu diesem Zeitpunkt wäre auch ein einfaches Volumen-Alert-System zwingend angesprungen: Der Tagesdurchsatz übersteigt die statistisch erwartbare Abweichung bei weitem.

Dass dennoch keine Sperre, keine Rückfragetransaktion und kein Anruf durch die Bank initiiert wurde, ist der Kern des gerichtlichen Vorwurfs. Nach § 280 BGB begründet die Pflichtverletzung — das Betreiben eines nicht funktional wirksamen Echtzeit-Monitorings — einen eigenständigen Haftungsgrund, der neben die Frage der Autorisierung nach §§ 675u, 675v BGB tritt. Der Vorteil dieser Konstruktion für Geschädigte: Das Organisationsverschulden ist bankseitig zu widerlegen; die Vermutung aufklärungsrichtigen Verhaltens wirkt zugunsten des Kunden.

Phase 5 (t = 70–90 min): Kontostand geleert, Wallet-Drain

Bei Minute 70 beläuft sich der kumulierte Abfluss auf annähernd 89 Prozent des Kontoguthabens. 30 Überweisungen sind zu diesem Zeitpunkt abgeschlossen und im SEPA-Clearing unwiderruflich. Eine Rückholung über § 675u BGB ist für diese Transaktionen faktisch ausgeschlossen, sobald die Empfängerbanken die Beträge gutgeschrieben haben. In der Schlussphase werden verbliebene Mittel sowie — sofern das Konto mit einer Krypto-Custody-Funktion verknüpft war — Hot-Wallet-Bestände über einen Wallet-Drainer-Skript abgezogen. Wallet-Drainer operieren vollautomatisch: Sie analysieren das Token-Portfolio, priorisieren nach Liquidität und lösen Genehmigungen für Transfers aus, die der Kunde zuvor in einer signierten Nachricht erteilt hat. Dieser letzte Schritt entzieht sich dem klassischen Banken-Monitoring vollständig — die Custody-Infrastruktur ist in der Regel nicht in das Fraud-Transaction-System integriert.

Die forensische Zentralfrage lautet nicht: Hätte der Kunde die Täuschung erkennen können? Sie lautet: An welchem der 41 Transaktionspunkte wäre das bankseitige System zum Eingreifen verpflichtet gewesen? Die Antwort des OLG Linz ist eindeutig: spätestens bei Transaktion Nr. 1.

Was §§ 675u, 675v und 675w BGB im Phishing-Fall bedeuten

§ 675u BGB verpflichtet die Bank zur unverzüglichen Erstattung nicht autorisierter Zahlungsvorgänge. § 675v BGB erlaubt der Bank einen Gegenanspruch bei grober Fahrlässigkeit des Kunden. § 675w BGB legt die Beweislast vollständig auf die Bank — sie trägt den Nachweis, dass Autorisierung und Authentifizierung ordnungsgemäß stattfanden und dass den Kunden ein grob fahrlässiges Verhalten trifft.

Die Dreiteilung der Normen folgt einer inneren Logik: § 675u BGB ist der Erstattungsanspruch — direkt, verschuldensunabhängig, unverzüglich zu erfüllen, spätestens bis zum Ende des nächsten Geschäftstags nach Anzeige. § 675v BGB ist das Korrektiv — die Bank kann bei grober Fahrlässigkeit oder Vorsatz des Kunden Schadensersatz in gleicher Höhe fordern, was wirtschaftlich einer Saldierung gleichkommt. § 675w BGB ist das prozessuale Fundament — er regelt die Verteilung von Darlegungs- und Beweislast.

Der entscheidende Satz des § 675w BGB: Die Aufzeichnung der Nutzung des Zahlungsinstruments einschließlich der Authentifizierung durch den Zahlungsdienstleister allein reicht nicht notwendigerweise aus, um nachzuweisen, dass der Zahler den Zahlungsvorgang autorisiert hat. Die Bank hat unterstützende Beweismittel vorzulegen, um Betrug, Vorsatz oder grobe Fahrlässigkeit des Kunden nachzuweisen. Das OLG Koblenz hat diese Anforderung konsequent angewendet: Die Sparkasse konnte nicht belegen, welches konkrete grob fahrlässige Verhalten der Kunde genau begangen hatte — ihre Behauptung, der Kunde habe einen sechsstelligen Aktivierungscode weitergegeben, scheiterte am Sachverständigengutachten, das technisch nachwies, dass dieser Code auf dem Gerät des Kunden gar nicht erschienen war.

Wie unterscheidet sich OLG Koblenz von OLG Linz?

Beide Fälle betreffen Call-ID-Spoofing und SEPA-Echtzeit-Überweisungen ins Ausland. Der Unterschied liegt in der Mitverschuldens-Gewichtung: OLG Koblenz verneinte grobe Fahrlässigkeit vollständig — Volllastung der Bank. OLG Linz bejahte grobe Fahrlässigkeit, erkannte aber zusätzlich ein eigenständiges Organisationsverschulden der Bank — Schadensteilung 50/50.

Das OLG Koblenz (Az. 8 U 682/24, 17. April 2026) verurteilte die Sparkasse Westerwald-Sieg zur vollständigen Erstattung von 56.099,91 Euro zuzüglich vorgerichtlicher Anwaltskosten. Die sieben Echtzeit-Überweisungen ins Ausland wurden im Juli 2022 ausgelöst, nachdem Angreifer per Call-ID-Spoofing die Sparkassen-Rufnummer gespoofte und den Kunden unter dem Vorwand eines TAN-Verfahrenswechsels manipulierten. Das Erstgericht (LG Koblenz) hatte den Erstattungsanspruch nach § 675u BGB zwar anerkannt, dann aber mit einer Gegenforderung der Sparkasse wegen grober Fahrlässigkeit nach § 675v BGB saldiert — Ergebnis: null. Das OLG Koblenz hob dieses Urteil auf. Die Bank hatte nicht konkret vorgetragen, welches Verhalten des Kunden als grob fahrlässig einzustufen sei; Spekulationen über mögliche Geschehensabläufe reichen nach § 675w BGB nicht aus.

Das OLG Linz dagegen bestätigte zwar die grobe Fahrlässigkeit des Kunden — 41 TANs in 90 Minuten zu bestätigen ist haftungsrelevant, auch wenn die Täuschung professionell gestaltet war. Es gelangte aber zu einem anderen Ergebnis: Das Fraud-Transaction-Monitoring der Bank hatte bei diesem evidenten Betrugsmuster nicht angeschlagen. Dieses Organisationsversagen ist ein eigenständiger Haftungsgrund nach § 280 BGB, der das Mitverschulden des Kunden nicht eliminiert, aber begrenzt. Ergebnis: 50/50-Teilung, Bank erstattet 100.000 Euro von 200.000 Euro.

Für die Praxis ergibt sich damit ein Haftungskorridor: Am einen Ende steht die Volllastung der Bank (OLG Koblenz — kein Beweis grober Fahrlässigkeit, Beweislast trägt Bank); am anderen Ende die Schadensteilung (OLG Linz — grobe Fahrlässigkeit des Kunden anerkannt, Organisationsverschulden der Bank tritt hinzu). Kein deutsches oder österreichisches Urteil hat bislang das Monitoring-Versagen der Bank als haftungsrechtlich irrelevant eingestuft, wenn das Betrugsmuster so evident war wie in diesen Fällen.

Wann haftet die Bank nach § 280 BGB für Monitoring-Versagen?

Die Bank haftet nach § 280 BGB, wenn ihr Fraud-Transaction-Monitoring bei einem objektiv evidenten Betrugsmuster — viele Transaktionen in kurzer Zeit, ausschließlich Erstbegünstigte, atypische Frequenz — keinen Alarm ausgelöst und keine Transaktionssperre initiiert hat. Das ist eine Pflichtverletzung aus dem Zahlungsdienstleistungsvertrag, die verschuldensabhängig ist, aber das Organisationsverschulden trägt die Bank.

Der dogmatische Aufbau des § 280 BGB verlangt drei Elemente: Schuldverhältnis (hier: Zahlungsdienstleistungsvertrag), Pflichtverletzung (untaugliches oder fehlendes Echtzeit-Monitoring) und das Verschuldensmerkmal. Letzteres wird nach § 280 Abs. 1 Satz 2 BGB zugunsten des Gläubigers vermutet — die Bank hat darzulegen, dass sie die Pflichtverletzung nicht zu vertreten hat. Das ist strukturell schwierig: Wenn kein Alert ausgelöst wurde und keine Reaktion dokumentiert ist, fehlt der Entlastungsbeweis.

Die Norm steht in Ergänzung zu §§ 675u, 675v BGB, nicht in Konkurrenz. Wer TANs bestätigt hat und dem deshalb grobe Fahrlässigkeit vorgeworfen wird, kann dennoch über § 280 BGB einen Teil des Schadens zurückfordern — sofern das Monitoring der Bank nachweislich versagt hat. Das ist die praktische Hebelwirkung des OLG-Linz-Urteils für das deutsche Recht: Grobe Fahrlässigkeit des Kunden und Bankhaftung schließen einander nicht aus.

Welche Beweismittel entscheiden den Prozess?

Die Transaktionschronologie ist das Kernbeweismittel. Wer dokumentieren kann, dass 12 oder mehr Überweisungen in kurzer Zeit auf ausschließlich neue Empfängerkonten erfolgten, ohne dass die Bank eine Sperre, Rückfrage oder Warnung initiierte, hat den Sachverhalt für ein Organisationsverschulden nach § 280 BGB aufbereitet. Die Bank trägt dann nach § 675w BGB die Darlegungs- und Beweislast.

Ist das Klageverzicht? Nein —

Das Offenlegen der eigenen Transaktionschronologie ist kein Eingeständnis grober Fahrlässigkeit, sondern die Grundlage für den Nachweis des Monitoring-Versagens der Bank. Wer die Chronologie nicht dokumentiert, verzichtet auf sein stärkstes Prozessmittel.

Die Beweislastverteilung nach §§ 675v, 675w BGB ist asymmetrisch zu Lasten der Bank: Sie trägt den Nachweis für ordnungsgemäße Authentifizierung (§ 675w BGB) und für konkrete grobe Fahrlässigkeit des Kunden (§ 675v BGB). Spekulationen über mögliche Geschehensabläufe reichen nicht aus — das hat das OLG Koblenz in der Frage des Aktivierungscodes explizit mit dem Sachverständigengutachten hinterlegt. Auf Klägerseite reicht für den § 280 BGB-Anspruch der substantiierte Vortrag zur Transaktionsdichte: Zeitstempel, Empfänger-IBAN, Betrag, Buchungsbestätigung. Diese Daten stehen auf den Kontoauszügen — zugänglich über § 241 Abs. 2 BGB als Auskunftsanspruch, ergänzend über aufsichtsrechtliche Beschwerdepfade bei der BaFin.

Die Strafanzeige nach §§ 263, 263a StGB ist kein bloßes Nebeninstrument. Sie sichert Akteneinsicht nach § 406e StPO und kann Bankprotokolle zugänglich machen, die zivilrechtlich sonst nicht herausgegeben werden — insbesondere interne Fraud-Detection-Logs, die zeigen, ab wann welcher Alert hätte ausgelöst werden sollen.

Anspruchsgrundlage	Voraussetzung	Beweislast	Frist
§ 675u BGB	Nicht autorisierter Zahlungsvorgang	Erstattung unverzüglich; Bank beweist Autorisierung	Rüge unverzüglich; max. 13 Monate
§ 675v BGB	Grobe Fahrlässigkeit des Kunden	Bank trägt Beweislast für Fahrlässigkeit	Keine separate Frist; Gegenanspruch zur Saldierung
§ 675w BGB	Streitige Autorisierung	Bank legt Authentifizierungsnachweis vor; allein nicht ausreichend	Prozessual; kein eigener Fristlauf
§ 280 BGB	Organisationsverschulden (Monitoring-Versagen)	Pflichtverletzung durch Kläger; Verschuldensvermutung zu Lasten der Bank	Regelverjährung 3 Jahre
§ 286 BGB	Verzug der Bank nach Rüge	Datum der Ablehnung/Untätigkeit der Bank	Ab Tag der Ablehnung

Was zeigt die aktuelle Rechtsprechung zum Anscheinsbeweis?

Der Anscheinsbeweis nach § 675w BGB, mit dem Banken die Autorisierung per TAN-Aufzeichnung belegen wollen, greift nach neuerer Rechtsprechung nicht mehr ohne weiteres. Das LG Heilbronn und das OLG Koblenz haben ihn in Push-TAN- und Spoofing-Szenarien abgelehnt, weil die notwendige Typizität des Geschehensablaufs fehlt.

Das LG Heilbronn hat klargestellt: Das pushTAN-Verfahren, bei dem TAN und Online-Banking-App auf demselben Smartphone laufen, erfüllt nicht die für den Anscheinsbeweis erforderliche sehr hohe Wahrscheinlichkeit einer sicheren Authentifizierung. Die für die Sicherheit des Verfahrens wesentliche Trennung der Kommunikationswege ist durch das gemeinsame Gerät aufgegeben. Damit fehlt die Typizität, die einen Anscheinsbeweis rechtfertigen würde.

Das OLG Koblenz hat diese Linie im Fall 8 U 682/24 fortgeschrieben: Die technisch-sachverständig belegte Unmöglichkeit der Datenweitergabe durch den Kunden bricht den Anscheinsbeweis vollständig. Wer als Bank behauptet, der Kunde habe einen sechsstelligen Aktivierungscode weitergegeben, der auf dessen Gerät technisch gar nicht angezeigt wurde, trägt untauglichen Beweis vor. Das Ergebnis ist die vollständige Haftung der Bank nach § 675u BGB, ungemindert durch den Gegenanspruch aus § 675v BGB.

Für Geschädigte folgt daraus eine klare Strategie: Lassen Sie bankseits benannte Verhaltensvorwürfe technisch prüfen, bevor Sie Mitverschulden einräumen. Ein Sachverständigengutachten zu Gerätearchitektur, Datenbankzugriffen und Session-Logs kann den Anscheinsbeweis der Bank entkräften — wie in Koblenz geschehen. Die Kosten eines solchen Gutachtens sind erstattungsfähig, sobald die Bank unterliegt.

Welche Pflichten treffen die Empfängerbank?

Auch die Empfängerbank — diejenige, die die überwiesenen Beträge entgegengenommen hat — kann haften, wenn ihr Monitoring ein offensichtliches Geldwäsche- oder Betrugsmuster nicht erkannt hat. Die Normkette lautet § 280 BGB i.V.m. § 25h KWG (Pflicht zur Geldwäscheprävention und Transaktionsüberwachung).

Das ist keine theoretische Spielwiese: Bei der typischen Phishing-Überweisungskette — Hausbank des Opfers, Empfängerbank (oft im EU-Ausland), Mule-Konto, schließlich Krypto-Wallet — hat die Empfängerbank in der Regel für jeden eingehenden Betrag eine eigene Prüfpflicht. Wenn auf ein frisch eröffnetes Konto binnen einer Stunde zwölf Überweisungen aus verschiedenen Quellen eingehen und unmittelbar in Krypto gewechselt oder weitertransferiert werden, ist das ein klassisches Geldwäschesignal nach GwG und § 25h KWG. Unterlässt die Empfängerbank jede Reaktion, kommt § 280 BGB als Anspruchsgrundlage in Betracht — ergänzend bei gewerblichem Betrieb ohne BaFin-Erlaubnis § 823 Abs. 2 BGB i.V.m. § 32 KWG.

Die Sicherungsmaßnahmen beim Empfänger werden strafrechtlich über §§ 73, 73a, 73c StGB i.V.m. §§ 111b, 111e StPO initiiert. Die Staatsanwaltschaft kann auf Antrag Konten einfrieren lassen — das ist das schnellste Instrument, wenn die Überweisungen noch nicht weitergeflossen sind. Voraussetzung ist eine sofort erstattete Strafanzeige mit vollständiger Transaktionschronologie.

Was Geschädigte jetzt tun

• Transaktionschronologie vollständig sichern: Alle Kontoauszüge, Push-Benachrichtigungen, SMS-TANs und Browserverläufe dokumentieren — die Zeitleiste ist das Kernbeweismittel für das Monitoring-Versagen der Bank. Jeder Zeitstempel zählt.
• Bankablehnung anwaltlich prüfen lassen: Bestreitet die Bank grobe Fahrlässigkeit pauschal ohne konkreten Sachverhaltsvortrag, ist das nach § 675w BGB keine ausreichende Verteidigung. Die Beweislast liegt bei der Bank — nicht beim Kunden.
• § 280 BGB Organisationsverschulden separat aufarbeiten: Auch wer TANs bestätigt hat, kann einen Teil des Schadens über das eigenständige Monitoring-Versagen der Bank zurückfordern, wie das OLG Linz (Urteil vom 29. April 2026) klargestellt hat.
• Technischen Gegenvortrag zu Anscheinsbeweis vorbereiten: Benannte Verhaltensvorwürfe — angebliche Weitergabe von Codes oder TANs — sind technisch prüfbar. Ein Sachverständigengutachten zu Gerätearchitektur und Session-Logs kann den Anscheinsbeweis der Bank entkräften.
• Strafanzeige nach §§ 263, 263a StGB erstatten: Die Strafanzeige sichert Akteneinsicht nach § 406e StPO und kann interne Fraud-Detection-Logs zugänglich machen, die zivilrechtlich sonst nicht herausgegeben werden.
• Fristen beachten: Der Erstattungsanspruch nach § 675u BGB verfällt 13 Monate nach der nicht autorisierten Abbuchung, wenn keine Rüge erfolgte. Verzugszinsen nach § 286 BGB laufen ab dem Tag der Ablehnung durch die Bank.
• Aufsichtsrechtliche Beschwerde bei der BaFin: Für den Auskunftsanspruch über interne Monitoring-Protokolle bietet der BaFin-Beschwerdeweg einen ergänzenden Pfad neben § 241 Abs. 2 BGB.

Wer den Sachverhalt rechtlich einordnen lassen möchte, wendet sich an eine auf Bank- und Kapitalmarktrecht spezialisierte Kanzlei. Die forensische Zeitleisten-Analyse des Angriffs — wie sie das OLG Linz als Grundlage seiner Entscheidung verwendet hat — ist das zentrale Instrument, um den Haftungsanteil der Bank prozessual zu untermauern. Weitere Informationen zur Rechtslage bei photoTAN-Phishing und § 675u BGB sowie zum OLG Koblenz-Urteil 8 U 682/24 finden sich auf dieser Website. Zu den Grundlagen des Bankwarnpflicht-Prüfrasters und zur Übersicht über § 263a StGB im Krypto-Kontext gibt es gesonderte Artikel.