Phishing bei Kreditkarten und Kriterien zur Erstattung

Gemäß der gesetzlichen Regelung in § 675u BGB ist das Kreditinstitut im Falle einer nicht autorisierten Zahlung dazu verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und das Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung befunden hätte. Diese Pflicht besteht grundsätzlich bis zum Ende des Geschäftstags, der auf den Tag folgt, an dem der Bank die Transaktion gemeldet wurde. Dies ist eine extrem starke verbraucherschützende Norm, die sicherstellen soll, dass der Kunde nicht während einer langwierigen internen Untersuchung der Bank zahlungsunfähig wird. Die Bank darf die Zahlung nur dann verweigern, wenn sie den begründeten Verdacht auf einen Betrugsversuch des Kunden selbst hat und dies der Aufsichtsbehörde meldet.

In der Realität versuchen Banken oft, diese „Unverzüglichkeit“ zu dehnen, indem sie komplexe Fragebögen versenden oder auf polizeiliche Ermittlungsergebnisse warten wollen. Rechtlich ist dieses Zögern unzulässig, sofern nicht bereits offensichtliche Beweise für eine grobe Fahrlässigkeit vorliegen. Ein versierter Anwalt wird in dieser Phase sofort eine Mahnung aussprechen, um die Bank in Verzug zu setzen. Wichtig ist: Die Bank trägt das Betriebsrisiko für ihre Zahlungssysteme. Der Kunde muss lediglich glaubhaft machen, dass er die Transaktion nicht gewollt hat. Erst in einem zweiten Schritt darf die Bank versuchen, sich das Geld über den Haftungstatbestand der groben Fahrlässigkeit vom Kunden zurückzuholen, was aber die primäre Erstattungspflicht nicht aufhebt.

Grobe Fahrlässigkeit wird von der Rechtsprechung als ein Verhalten definiert, bei dem die erforderliche Sorgfalt in ungewöhnlich hohem Maße verletzt wurde und das unbeachtet geblieben ist, was im gegebenen Fall jedem hätte einleuchten müssen. Im Kontext von Phishing bedeutet das: Ein einfacher Klick auf einen Link reicht für diesen Vorwurf meist nicht aus. Grob fahrlässig handelt in der Regel nur, wer Warnsignale ignoriert, die so massiv sind, dass sie ins Auge springen mussten. Beispiele hierfür sind die Eingabe von Kreditkartendaten auf einer unverschlüsselten Seite (kein „https“), die Preisgabe von PIN und TAN per E-Mail oder das Ignorieren von ausdrücklichen Warnhinweisen der Bank-App, die während des Autorisierungsvorgangs auf dem Smartphone erscheinen.

Besonders kritisch bewerten Gerichte die Weitergabe von Sicherheitsmerkmalen an Dritte über Kommunikationskanäle, die von der Bank niemals genutzt werden – wie etwa Telefonanrufe oder WhatsApp. Wer jedoch Opfer einer „Man-in-the-Middle“-Attacke wird, bei der die Daten im Hintergrund abgefangen werden, während er sich auf einer perfekt imitierten Seite wähnt, handelt meist nur einfach fahrlässig. Die Grenze ist fließend und wird im Einzelfall oft durch die Qualität der Fälschung bestimmt. Je professioneller das Phishing-Design, desto geringer die Chance der Bank, dem Kunden grobe Fahrlässigkeit nachzuweisen. Im Jahr 2026 orientieren sich Richter zudem am aktuellen Stand der Technik: Da Betrüger KI nutzen, steigen die Anforderungen an das, was ein Laie erkennen muss, nicht linear an.

Eine Strafanzeige ist für die zivilrechtliche Rückforderung gegenüber der Bank zwar keine formale Voraussetzung, in der Praxis jedoch von unschätzbarem Wert. Sie dient als starkes Indiz dafür, dass der Karteninhaber tatsächlich Opfer einer Straftat wurde und nicht etwa versucht, eigene Fehltransaktionen im Nachhinein zu annullieren. Banken fordern das Aktenzeichen der Anzeige fast immer an, bevor sie eine ernsthafte Prüfung des Falls einleiten. Zudem dokumentiert das polizeiliche Protokoll den zeitlichen Ablauf und die Schilderung des Hergangs in einem frühen Stadium, was die Glaubwürdigkeit des Betroffenen vor Gericht massiv stärkt, falls es später zu widersprüchlichen Aussagen kommen sollte.

Man sollte sich jedoch keine Illusionen machen: Die Chance, dass die Polizei die Täter fasst und das Geld bei diesen sicherstellt, geht gegen Null, da die Betrüger meist aus dem außereuropäischen Ausland agieren. Die Anzeige dient primär der „Narrativa de Justificação“ gegenüber dem Kreditinstitut. Es ist ratsam, die Anzeige so detailliert wie möglich zu erstatten und der Polizei auch die Phishing-Mail als Datei zur Verfügung zu stellen. Ein Ausdruck der Online-Anzeige reicht oft schon aus, um die 14-Tage-Frist für die Erstattung bei der Bank in Gang zu setzen. Wer auf die Anzeige verzichtet, liefert der Bank unnötige Argumente, an der Redlichkeit des Kunden zu zweifeln und die Erstattung wegen „mangelnder Mitwirkung“ zu verzögern.

Dies ist eine häufige Quelle für Verwechslungen. Das Chargeback-Verfahren ist ein privatrechtliches Regelwerk der Kartenorganisationen (Visa, Mastercard, Amex), das es ermöglicht, Zahlungen bei bestimmten Konflikten (z.B. Ware nicht geliefert) zurückzuholen. Es ist ein technischer Prozess zwischen den beteiligten Banken. Die gesetzliche Erstattung nach § 675u BGB hingegen ist ein zwingender Rechtsanspruch des Kunden gegen seine eigene Bank bei unautorisierten Zahlungen. Während ein Chargeback an die Fristen und Regeln der Kartenanbieter gebunden ist (oft 120 Tage), ist der gesetzliche Anspruch im BGB deutlich mächtiger, da er die Bank direkt zur Wiedergutschrift verpflichtet, unabhängig davon, ob diese sich das Geld vom Händler oder der anderen Bank zurückholen kann.

In Phishing-Fällen sollte man immer beide Wege parallel beschreiten, aber den Fokus auf den gesetzlichen Anspruch legen. Die Bank wird oft versuchen, den Kunden auf das „interne Reklamationsformular“ zu verweisen, das im Kleingedruckten die Rechte des Kunden einschränkt. Hier ist Vorsicht geboten: Die gesetzlichen Rechte aus dem Zahlungsdiensterecht können durch AGB nicht zuungunsten des Verbrauchers abbedungen werden. Ein versierter Anwalt wird daher nicht nur „ein Formular ausfüllen“, sondern eine qualifizierte Rüge nach BGB aussprechen. Wenn die Bank den Chargeback-Prozess verliert, bedeutet das nicht automatisch, dass der Kunde sein Geld verliert – der gesetzliche Anspruch bleibt bestehen und muss ggf. gerichtlich durchgesetzt werden.

Die Zwei-Faktor-Authentifizierung ist seit der PSD2 das Herzstück der Sicherheit im Online-Zahlungsverkehr. Sie verlangt, dass eine Transaktion durch zwei unabhängige Elemente aus den Kategorien Wissen (Passwort), Besitz (Smartphone) oder Inhärenz (Biometrie) autorisiert wird. Im Phishing-Kontext versuchen Betrüger meist, das zweite Element (die TAN oder die App-Freigabe) durch Täuschung zu erlangen. Sie spiegeln dem Nutzer vor, die Freigabe diene einem anderen Zweck, wie etwa der Bestätigung neuer AGB oder einem Sicherheits-Check. Rechtlich ist hier entscheidend, was genau auf dem Display des Freigabegeräts stand. Stand dort „Zahlung über 500 € an Unbekannt“, ist eine Freigabe durch den Kunden fast immer als grob fahrlässig zu werten.

War die Anzeige in der App jedoch irreführend oder wurde sie durch eine Schadsoftware („Overlay-Attacke“) auf dem Smartphone manipuliert, liegt kein schuldhaftes Verhalten des Kunden vor. Im Jahr 2026 müssen Banken zudem nachweisen, dass ihre 2FA-Lösung manipulationssicher war. Viele ältere Verfahren wie die SMS-TAN gelten mittlerweile als unsicher. Wenn eine Bank ein veraltetes Verfahren anbietet, das leicht durch „SIM-Swapping“ (Übernahme der Mobilfunknummer) geknackt werden kann, haftet sie selbst dann, wenn der Kunde unvorsichtig war. Die technische Analyse des Autorisierungsvorgangs ist daher oft das Zünglein an der Waage in jedem Gerichtsprozess um Phishing-Schäden.

Ja, der Schutz für Kreditkarteninhaber bei unautorisierten Transaktionen ist global wirksam, sofern das Kartenkonto bei einer Bank geführt wird, die ihren Sitz im Europäischen Wirtschaftsraum (EWR) hat oder das Recht eines EWR-Staates anwendbar ist. Es spielt keine Rolle, ob der Betrüger das Geld in den USA, in Russland oder in China abbucht. Entscheidend ist allein die Rechtsbeziehung zwischen Ihnen und Ihrer kontoführenden Bank. Da diese Bank verpflichtet ist, nur autorisierte Zahlungsaufträge auszuführen, haftet sie für jeden Missbrauch, egal wo auf der Welt dieser technisch stattfindet. Dies ist einer der größten Vorteile regulierter europäischer Zahlungsdienstleister gegenüber Krypto-Wallets oder ausländischen Fintechs.

Problematisch wird es nur, wenn Sie die Transaktion selbst „autorisiert“ haben, indem Sie den Betrug erst gar nicht bemerkt haben und aktiv eine 2FA-Freigabe erteilt haben. Aber auch hier gilt: Die Bank muss belegen, dass die Autorisierung den gesetzlichen Standards entsprach. Bei internationalen Transaktionen greifen zudem oft zusätzliche Sicherungssysteme der Kartenorganisationen (z.B. Geo-Blocking oder Fraud-Alerts). Wenn die Bank eine Zahlung in einem Hochrisikoland zulässt, obwohl der Kunde sich nachweislich in Deutschland aufhält und das Profil des Kunden solche Auslandszahlungen nie zuvor aufwies, kann dies als Organisationsverschulden der Bank gewertet werden, was Ihre Rechtsposition bei der Rückforderung massiv stärkt.

Die Erkennung ist im Zeitalter von Deepfakes und KI-gestütztem Social Engineering eine Herkulesaufgabe. Klassische Merkmale wie „Sehr geehrter Kunde“ statt des Namens oder schlechte Grammatik sind weitgehend verschwunden. Ein zuverlässiger Indikator bleibt jedoch die Absender-Adresse im E-Mail-Header. Betrüger nutzen oft Domains, die den echten Namen enthalten, aber auf fremde Endungen lauten (z.B. sicherheit@deinebank-portal.com statt info@deinebank.de). Ein weiterer technischer Check ist der „Hover-Test“: Fahren Sie mit der Maus über einen Link, ohne zu klicken. Der Browser zeigt dann im unteren Bereich das tatsächliche Ziel an. Weicht dieses massiv von der offiziellen Webseite ab, ist höchste Vorsicht geboten.

Wichtiger als die technische Analyse ist jedoch die Verhaltensregel: Banken fordern Sie niemals per E-Mail oder SMS auf, sensible Daten auf einer Webseite einzugeben oder sich direkt über einen Link in Ihr Online-Banking einzuloggen. Jede Nachricht, die einen Handlungsdruck aufbaut („Ihr Konto wird in 2 Stunden gesperrt“), ist zu 99 % ein Phishing-Versuch. Nutzen Sie im Zweifel immer den manuellen Weg: Geben Sie die URL Ihrer Bank selbst in den Browser ein oder nutzen Sie ausschließlich die offizielle App. Wer diesen Grundsatz der „manuellen Navigation“ befolgt, ist gegen fast alle Phishing-Angriffe immun, da die betrügerische Kette an der entscheidenden Stelle – dem Klick auf den präparierten Link – unterbrochen wird.

Theoretisch ja, praktisch nein. Die Betreiber dieser Seiten sind professionelle kriminelle Organisationen, die ihre Spuren durch verschlüsselte Netzwerke, anonyme Hoster und ständig wechselnde IP-Adressen perfekt verwischen. Selbst wenn es gelänge, eine IP-Adresse in Osteuropa oder Südostasien zu identifizieren, ist die Durchsetzung eines deutschen Urteils dort faktisch unmöglich. Zudem agieren diese Täter oft unter falscher Identität („Money Mules“), sodass ein Prozess gegen sie ins Leere laufen würde. Die rechtliche Energie sollte daher zu 100 % darauf verwendet werden, den Anspruch gegen die eigene Bank durchzusetzen, da diese greifbar ist und über die notwendige Liquidität verfügt.

Es gibt jedoch eine Ausnahme: Wenn ein Host-Provider oder ein Registrar (die Firmen, bei denen die Domain registriert wurde) trotz mehrfacher und offensichtlicher Hinweise auf Betrug die Phishing-Seite nicht abschaltet, kann unter sehr engen Voraussetzungen eine Haftung als Störer in Betracht kommen. Dies ist jedoch juristisches Neuland und meist nur für große Institutionen wie die Bankenverbände selbst praktikabel, die gegen solche Infrastruktur-Provider vorgehen. Für den einzelnen geschädigten Kunden ist und bleibt die Hausbank der einzige realistische Gegner für eine Schadenskompensation. Wer versucht, den Hackern im Ausland hinterherzujagen, verliert wertvolle Zeit für die Durchsetzung seiner Ansprüche im Inland.

Es kommt vor, dass Banken nach einem erfolgreichen Erstattungsverfahren die Geschäftsbeziehung kündigen, da sie den Kunden als „Sicherheitsrisiko“ einstufen oder schlicht verärgert über den Rechtsstreit sind. Rechtlich ist eine ordentliche Kündigung durch die Bank unter Einhaltung der vertraglichen Fristen (meist 2 Monate) grundsätzlich möglich, sofern kein Kontrahierungszwang (Basiskonto) besteht. Eine fristlose Kündigung allein wegen eines Phishing-Vorfalls ist jedoch in der Regel unwirksam, da das Opfer einer Straftat kein vertragswidriges Verhalten an den Tag gelegt hat. Die Bank darf das legitime Einfordern gesetzlicher Rechte nicht als Kündigungsgrund sanktionieren.

Sollten Sie eine Kündigung erhalten, lassen Sie sich nicht einschüchtern. In der heutigen Bankenlandschaft gibt es zahlreiche Alternativen, und ein Wechsel zu einem Institut mit moderneren Sicherheitssystemen kann nach einem solchen Vorfall ohnehin sinnvoll sein. Wichtig ist nur, dass die Bank den Schaden reguliert, bevor das Konto geschlossen wird. Eine Kündigung hat keinen Einfluss auf bestehende Schadensersatzansprüche. Werden Sie wegen der Rückforderung „schwarz gelistet“ (z.B. Eintrag in interne Warnregister), haben Sie einen Anspruch auf Löschung dieser Daten, da die Wahrnehmung berechtigter Interessen keinen negativen Eintrag rechtfertigt. Ein Wechsel des Instituts ist oft der letzte Schritt zur vollständigen psychischen Aufarbeitung eines Betrugsfalls.

Bei Firmenkreditkarten (Corporate Cards) ist die Rechtslage deutlich komplizierter als bei Privatkarten. Das strenge Verbraucherschutzrecht der PSD2 gilt für Unternehmen nur eingeschränkt. Viele Bestimmungen des BGB zur Haftung bei unautorisierten Zahlungen können im B2B-Bereich durch vertragliche Vereinbarungen abbedungen oder modifiziert werden. Oft enthalten die Verträge für Firmenkarten Klauseln, die dem Unternehmen eine deutlich höhere Sorgfaltspflicht auferlegen und die Haftungsgrenzen zuungunsten des Karteninhabers verschieben. Wenn ein Mitarbeiter auf eine Phishing-Mail reingefallen ist, prüft die Bank zuerst, ob das Unternehmen ausreichende Schulungen und Sicherheitsrichtlinien implementiert hatte.

Dennoch sind Firmenkunden nicht völlig schutzlos. Auch im gewerblichen Bereich gilt der Grundsatz, dass die Bank für die Sicherheit ihrer Systeme verantwortlich ist. Grobe Fahrlässigkeit muss auch hier individuell nachgewiesen werden. Viele Firmenkarten verfügen zudem über spezielle Versicherungspakete, die genau solche Betrugsfälle abdecken. Ein Unternehmen sollte bei einem Vorfall sofort seine IT-Abteilung und seine Rechtsabteilung einschalten, um die forensische Analyse der Mail voranzutreiben. Die Argumentation gegenüber der Bank erfolgt hier meist weniger über den sozialen Schutzgedanken, sondern über technische Versäumnisse in der Autorisierungskette und Verstöße gegen Bankenaufsichtsrechtliche Anforderungen (MaRisk).