Viele Kanzleien. Ein starkes Netzwerk.
Aktuelles
Neues aus Markt und Netzwerk
 

Phishing-Mails: Wie Sie sich schützen und welche Verantwortung Banken und Kunden tatsächlich tragen

Was sind Phishing-Mails – und warum sind sie so gefährlich?

Phishing-Mails sind eine Form des Betrugs, bei dem Kriminelle versuchen, mit gefälschten E‑Mails an persönliche Zugangsdaten von Bankkunden zu gelangen. Die gefälschten Nachrichten wirken oftmals täuschend echt und geben vor, von seriösen und bekannten Unternehmen, insbesondere Banken, zu stammen. Ziel der Täter ist es, die Empfänger dazu zu bewegen, über einen Link auf eine ebenso manipulierte Website zu gelangen und dort ihre Daten – häufig Login, Geburtsdatum, PIN, TAN oder Kreditkartennummer – einzugeben. Mit diesen Angaben verschaffen sich Betrüger Zugang zu den Konten der Opfer und transferieren oftmals erhebliche Geldbeträge ins Ausland, meist unwiederbringlich.

Haftung bei finanziellen Verlusten durch Phishing – Wer trägt das Risiko?

Viele Betroffene stellen sich nach einem erfolgreichen Phishing-Angriff die Frage: Muss die Bank für den entstandenen Schaden nicht aufkommen? Immerhin hat man den Geldtransfer ja nicht bewusst freigegeben und wurde getäuscht. Im Kern regelt das Bürgerliche Gesetzbuch (BGB) hierzu in § 675u, dass die Bank, also der Zahlungsdienstleister, bei nicht autorisierten Zahlungen grundsätzlich zur Erstattung verpflichtet ist. Doch wie so oft in der Juristerei gibt es Ausnahmen: Hat der Kunde grob fahrlässig gehandelt, kann die Bank die Erstattung verweigern.

Was bedeutet „grob fahrlässig“ – und wie wird dies im Einzelfall geprüft?

Im Zusammenhang mit Online-Banking und der Verwendung personalisierter Sicherheitsmerkmale (wie PIN, TAN oder Zugangsdaten) verlangt der Gesetzgeber von Bankkunden ein Mindestmaß an Sorgfalt. Grobe Fahrlässigkeit liegt insbesondere dann vor, wenn grundlegende Sicherheitshinweise oder Sorgfaltspflichten missachtet werden, die jedem durchschnittlich vorsichtigen Bankkunden bekannt sein sollten.

Klassische Warnsignale einer Phishing-Mail sind etwa:

  • Anrede mit „Sehr geehrter Kunde“ statt namentlicher Ansprache
  • Rechtschreibfehler oder ungewöhnliche Formulierungen
  • Aufforderung, sensible Zugangsdaten preiszugeben – insbesondere über einen Link in einer E‑Mail oder SMS
  • Drohungen mit Kontosperrung, sollte der Empfänger nicht unmittelbar reagieren

Wer dennoch auf solche E‑Mails reagiert, die gefälschte Internetseite mit seinen Daten füttert und Behördendaten oder TAN-Nummern weitergibt, handelt aus Sicht der Gerichte regelmäßig grob fahrlässig.

Aktuelle Rechtsprechung bestätigt hohe Sorgfaltsanforderungen an Bankkunden

Die Rechtsprechung, exemplarisch durch das Oberlandesgericht Oldenburg (Az.: 8 U 103/23), hat diese Grundsätze zuletzt im April dieses Jahres nochmals bestätigt. Im dort entschiedenen Fall wurden über einen Phishing-Angriff fast 41.000 Euro vom Konto eines Ehepaars abgebucht. Obwohl fraglos keine (bewusste) Autorisierung durch die Betroffenen vorlag, musste die Bank den entstandenen Schaden nicht ersetzen. Grund: Die Kundin hatte auf einer gefälschten Internetseite ihre Zugangsdaten sowie weitere persönliche Informationen eingegeben und in der Folge auch den zur Registrierung relevanten Code weitergegeben. Dies werteten die Richter als grobe Fahrlässigkeit – trotz des arglistigen Vorgehens der Betrüger.

Besonders bedeutsam:  Die Bank war damals nicht verpflichtet, in der SMS, mit der der Registrierungslink bzw. Registrierungscode für das PushTAN-Verfahren an die Kundin verschickt wurde, ausdrücklich darauf hinzuweisen, dass dieser Code keinesfalls an Dritte weitergegeben werden darf. Deshalb sah das Gericht auch kein Fehlverhalten oder Mitverschulden der Bank – die Verantwortung für den Schaden lag allein beim Kunden.

Was ist zu tun, wenn Sie (potenziell) Opfer eines Phishing-Angriffs werden?

Sollten Sie verdächtige E‑Mails/SMS erhalten oder auf eine Phishing-Mail hereingefallen sein, ist schnelles und konsequentes Handeln entscheidend:

  1. Sofort die Bank informieren: Die Bank kann umgehend die betroffenen Konten sperren oder verdächtige Transaktionen stoppen.
  2. Anzeige bei der Polizei erstatten: Dies ist nicht nur für eine mögliche Ermittlung wichtig, sondern kann auch gegenüber der Bank und Versicherung relevant sein.
  3. Eigenes Verhalten prüfen: Für eine spätere Haftungsprüfung ist entscheidend, wie sorgfältig Sie mit Ihren Zugangsdaten umgegangen sind.
  4. Alle Kommunikationsverläufe sichern: Diese können für die Beweissicherung im Streitfall eine entscheidende Rolle spielen.

Fazit und Handlungsempfehlung

Der Schutz vor Phishing beginnt immer bei Ihnen selbst. Sensibilisieren Sie sich und Ihre Familie für die Gefahren des Online-Bankings, seien Sie wachsam bei ungewöhnlichen E‑Mails und prüfen Sie Absender sorgfältig – loggen Sie sich im Zweifel stets direkt über die offizielle Website Ihrer Bank ein und nutzen Sie niemals Links aus verdächtigen Nachrichten. Der gewissenhafte Umgang mit Zugangsdaten ist sowohl technischer als auch rechtlicher Selbstschutz.

Ob im Fall eines Schadens ein Erstattungsanspruch gegen Ihre Bank besteht, hängt stets von den konkreten Umständen des Einzelfalls ab – die Grenze zur groben Fahrlässigkeit kann bereits bei vermeintlich kleinen Nachlässigkeiten überschritten sein.

Gerne prüfe ich für Sie im konkreten Einzelfall, ob und in welchem Umfang Ansprüche bestehen und wie Ihre Erfolgsaussichten zu bewerten sind.

Beitrag veröffentlicht am
26. September 2025

Sina Bader
dh&k Rechtsanwälte Steuerberater
Rechtsanwältin

Stichworte in diesem Beitrag

Diesen Beitrag teilen

Alle Fachbeiträge zeigen

Finanzrecht
03.11.2025

Ausbildung an privater Fernuniversität: Kindergeldanspruch für studierenden Sprössling

Auch für ein bereits erwachsenes Kind können Sie noch Kindergeld erhalten - unter bestimmten Voraussetzungen. Etwa wenn das Kind noch studiert. Aber sind an ein solches Studium ebenfalls bestimmte Voraussetzungen geknüpft? Im Streitfall bemängelte die Familienkasse, das Studium werde nicht ernsthaft betrieben. Daher stellte sich die Frage, ob an ein Studium an einer privaten (Fern-)Universität strengere Anforderungen zu stellen sind als an ein Studium an einer staatlichen Hochschule. Das Finanzgericht Münster (FG) musste hierzu entscheiden.

Beitrag lesen
Produkthaftung, Produkthaftungsrecht
20.10.2025

Die neue Produkthaftungsrichtlinie (NLD)

Was genau ändert sich mit der neuen Produkthaftungsrichtlinie, die bis spätestens Anfang Dezember 2026 von den Mitgliedstaaten umgesetzt werden muss?

Beitrag lesen
Gesellschaftsrecht
20.10.2025

Achten Sie auf die Uhr: Was, wenn die Gesellschafterversammlung zu früh beginnt? (NLD)

Was geschieht, wenn eine Gesellschafterversammlung früher als in der Einberufung angekündigt beginnt und nicht alle Gesellschafter rechtzeitig anwesend sein konnten? Ist der gefasste Beschluss dann ungültig?

Beitrag lesen
Alle Fachbeiträge

Einwilligung in Cookies und zur Erhebung und Weitergabe Ihrer Nutzerdaten an Dritte

Wir platzieren auf unserer Webseite technisch notwendige Cookies, die die grundlegenden Funktionen der Website gewährleisten und unentbehrlich sind. Für diese Cookies benötigen wir keine Einwilligung, so dass diese Cookies auch dann gesetzt werden, wenn Sie unten „alle ablehnen“ auswählen. Technisch notwendige Cookies verwenden wir, um unsere Dienste anbieten zu können und um vom Nutzer vorgenommene Einstellungen (wie z. B. die präferierte Sprache) zu speichern. Im Falle Ihrer Einwilligung verwenden wir darüber hinaus weitere performancesteigernde Cookies (Statistik und Nutzungsmessung sowie externe Dienste). Die Cookies verwenden wir ausschließlich dazu, unsere Website Ihren Wünschen entsprechend anpassen und weiterentwickeln zu können. Dabei werden Ihre personenbezogenen Daten (IP-Adresse, Nutzerverhalten etc.) verarbeitet und gespeichert, um die obigen Zwecke zu erreichen. Eine Identifizierung Ihrer Person ist durch die Pseudonymisierung der Daten nicht zu befürchten. Die Erläuterung zu den verschiedenen Cookies und datenschutzrechtlichen Vorgängen finden Sie unter „individuelle Einstellungen vornehmen“ oder in unseren Datenschutzhinweisen. Durch die Betätigung eines der untenstehenden Buttons willigen Sie in die Verwendung der jeweils ausgewählten Cookies und gleichzeitig in die Verarbeitung Ihrer personenbezogenen Daten zu oben beschriebenen Zwecken ein. Die Erteilung der Einwilligungen ist freiwillig.

Details finden Sie in unserer Datenschutzerklärung   Hier finden Sie unser Impressum

Einstellungen
Technisch notwendige Cookies

Technisch notwendige Cookies (essentielle Cookies) ermöglichen grundlegende Funktionen und sind für die einwandfreie Funktion der Homepage unentbehrlich. Sie können ohne Einwilligung gesetzt werden und daher nicht abgewählt werden.

DIRO Multisite Cookie

Mit dem DIRO Multisite Cookie werden die von Ihnen selbst vorgenommenen Einstellungen auf dieser Website (z. B. die bevorzugte Sprache) sowie die von Ihnen zugelassenen Inhalte externer Anbieter gespeichert. Dabei werden unter dem Verarbeitungsvorgang DIRO_C_FINGERPRINT die IDs der beim letzten Seitenaufruf vorhandenen zustimmungspflichtigen Dienste, sowie deren Konfigurationseinstellungen und die Zuordnung zu Kategorien im Datenschutz Popup (als verschlüsselte Zeichenfolge) erhoben und gespeichert. Alleiniger Zweck dieser Datenverarbeitung ist die Speicherung der vorgenommenen Einstellungen. Die Speicherung erfolgt für ein Jahr.

Statistik und Nutzungsmessung

Wir möchten unser Angebot für Sie dauerhaft attraktiv gestalten. Dafür sind wir auf Informationen darüber angewiesen, wie unsere Seiten genutzt werden. Dafür erheben wir automatisiert Daten.

Nutzungsmessung mit Matomo

Wir verwenden zur Analyse des Nutzerverhaltens und der Reichweite unserer Website das Website-Analyse-Tool Matomo. Dadurch wird das Cookie „_pk_id“ gesetzt. Durch die Verwendung von Matomo werden 2 Bytes Ihrer IP-Adresse, die aufgerufene Website, die Referrer-Website (Website, von der Sie auf die hier aufgerufene Website gelangt sind), die von der aufgerufenen Website aus aufgerufenen Unterseiten, die Verweildauer und die Häufigkeit des Aufrufs der Website ermittelt und gespeichert. Dies dient allein dem Zweck, anonymisierte statistische Daten darüber zu erlangen, wie Sie die Website nutzen. Die Speicherdauer beträgt im Falle des Cookies pk_ref 6 Monate, im Falle des Cookies _pk_ses 30 Minuten.

Externe Dienste

An einigen Stellen unseres Angebote nutzen wir externe Dienste, um Ihnen bestimmte Inhalte oder Funktionen zuverlässig und komfortabel bereitstellen zu können (z.B. Karten, interaktive Formulare oder Kalender zur Terminvereinbarung).

Videowiedergabe mit Vimeo

Wir verwenden auf unserer Website den externen Dienst Vimeo. Dabei handelt es sich um ein Video-Portal des US-amerikanischen Unternehmens Vimeo.com, Inc., 330 West 34th Street, 5th Floor, New York, New York 10001, USA. Durch das Einbinden von Vimeo-Videos werden Cookies gesetzt, die bei Abrufen des Videos unter anderem Ihre IP-Adresse, den Browser-Typ, Ihr Betriebssystem, Ihr Klickverhalten und Ihre Verweildauer erheben und sodann speichern. Die Speicherung erfolgt auf Servern in den USA, die über keinerlei Datenschutzrecht verfügen. Näheres entnehmen Sie bitte den unter https://vimeo.com/privacy abrufbaren Informationen.

Geographische Karten von OpenStreetMaps

Durch die Einbindung von OpenStreetMaps auf unserer Website setzen wir das Cookie „_osm_location“. Dabei wird Ihre IP-Adresse an den fremden Server von OpenStreetMaps übermittelt, wodurch dieser erfährt, dass Sie unsere Seite besucht haben. Zweck dieser Einbindung ist die Darstellung von Adressen auf einer Karte, die in die Website eingebunden wird. Die Speicherdauer beträgt 1 Jahr.

Terminvereinbarung mit Calendly

Wir verwenden auf unserer Website den externen Dienst Calendly. In diesem Zuge werden Ihre E-Mail-Adresse, weitere Kontaktinformationen, Termininhalte und -daten, sowie alle von Ihnen in diesem Zusammenhang zusätzlich angegebenen Daten erhoben und gespeichert. Dies dient dem alleinigen Zweck, Termine und Gruppentermine online buchbar zu machen. Hierzu wird seitens Calendly eine Webanwendung zur Buchung von Terminvereinbarungen zur Verfügung gestellt. Die Daten werden auf Servern in der USA verarbeitet. Sie stellen Ihre Daten für die Laufzeit des Vertrages mit Calendly zur Verfügung. Näheres zu der Verarbeitung der Daten durch Calendly entnehmen Sie bitte den unter https://calendly.com/legal abrufbaren Informationen.

Details finden Sie in unserer Datenschutzerklärung   Hier finden Sie unser Impressum