Phishing-Mails: Wie Sie sich schützen und welche Verantwortung Banken und Kunden tatsächlich tragen

Was sind Phishing-Mails – und warum sind sie so gefährlich?

Phishing-Mails sind eine Form des Betrugs, bei dem Kriminelle versuchen, mit gefälschten E‑Mails an persönliche Zugangsdaten von Bankkunden zu gelangen. Die gefälschten Nachrichten wirken oftmals täuschend echt und geben vor, von seriösen und bekannten Unternehmen, insbesondere Banken, zu stammen. Ziel der Täter ist es, die Empfänger dazu zu bewegen, über einen Link auf eine ebenso manipulierte Website zu gelangen und dort ihre Daten – häufig Login, Geburtsdatum, PIN, TAN oder Kreditkartennummer – einzugeben. Mit diesen Angaben verschaffen sich Betrüger Zugang zu den Konten der Opfer und transferieren oftmals erhebliche Geldbeträge ins Ausland, meist unwiederbringlich.

Haftung bei finanziellen Verlusten durch Phishing – Wer trägt das Risiko?

Viele Betroffene stellen sich nach einem erfolgreichen Phishing-Angriff die Frage: Muss die Bank für den entstandenen Schaden nicht aufkommen? Immerhin hat man den Geldtransfer ja nicht bewusst freigegeben und wurde getäuscht. Im Kern regelt das Bürgerliche Gesetzbuch (BGB) hierzu in § 675u, dass die Bank, also der Zahlungsdienstleister, bei nicht autorisierten Zahlungen grundsätzlich zur Erstattung verpflichtet ist. Doch wie so oft in der Juristerei gibt es Ausnahmen: Hat der Kunde grob fahrlässig gehandelt, kann die Bank die Erstattung verweigern.

Was bedeutet „grob fahrlässig“ – und wie wird dies im Einzelfall geprüft?

Im Zusammenhang mit Online-Banking und der Verwendung personalisierter Sicherheitsmerkmale (wie PIN, TAN oder Zugangsdaten) verlangt der Gesetzgeber von Bankkunden ein Mindestmaß an Sorgfalt. Grobe Fahrlässigkeit liegt insbesondere dann vor, wenn grundlegende Sicherheitshinweise oder Sorgfaltspflichten missachtet werden, die jedem durchschnittlich vorsichtigen Bankkunden bekannt sein sollten.

Klassische Warnsignale einer Phishing-Mail sind etwa:

  • Anrede mit „Sehr geehrter Kunde“ statt namentlicher Ansprache
  • Rechtschreibfehler oder ungewöhnliche Formulierungen
  • Aufforderung, sensible Zugangsdaten preiszugeben – insbesondere über einen Link in einer E‑Mail oder SMS
  • Drohungen mit Kontosperrung, sollte der Empfänger nicht unmittelbar reagieren

Wer dennoch auf solche E‑Mails reagiert, die gefälschte Internetseite mit seinen Daten füttert und Behördendaten oder TAN-Nummern weitergibt, handelt aus Sicht der Gerichte regelmäßig grob fahrlässig.

Aktuelle Rechtsprechung bestätigt hohe Sorgfaltsanforderungen an Bankkunden

Die Rechtsprechung, exemplarisch durch das Oberlandesgericht Oldenburg (Az.: 8 U 103/23), hat diese Grundsätze zuletzt im April dieses Jahres nochmals bestätigt. Im dort entschiedenen Fall wurden über einen Phishing-Angriff fast 41.000 Euro vom Konto eines Ehepaars abgebucht. Obwohl fraglos keine (bewusste) Autorisierung durch die Betroffenen vorlag, musste die Bank den entstandenen Schaden nicht ersetzen. Grund: Die Kundin hatte auf einer gefälschten Internetseite ihre Zugangsdaten sowie weitere persönliche Informationen eingegeben und in der Folge auch den zur Registrierung relevanten Code weitergegeben. Dies werteten die Richter als grobe Fahrlässigkeit – trotz des arglistigen Vorgehens der Betrüger.

Besonders bedeutsam:  Die Bank war damals nicht verpflichtet, in der SMS, mit der der Registrierungslink bzw. Registrierungscode für das PushTAN-Verfahren an die Kundin verschickt wurde, ausdrücklich darauf hinzuweisen, dass dieser Code keinesfalls an Dritte weitergegeben werden darf. Deshalb sah das Gericht auch kein Fehlverhalten oder Mitverschulden der Bank – die Verantwortung für den Schaden lag allein beim Kunden.

Was ist zu tun, wenn Sie (potenziell) Opfer eines Phishing-Angriffs werden?

Sollten Sie verdächtige E‑Mails/SMS erhalten oder auf eine Phishing-Mail hereingefallen sein, ist schnelles und konsequentes Handeln entscheidend:

  1. Sofort die Bank informieren: Die Bank kann umgehend die betroffenen Konten sperren oder verdächtige Transaktionen stoppen.
  2. Anzeige bei der Polizei erstatten: Dies ist nicht nur für eine mögliche Ermittlung wichtig, sondern kann auch gegenüber der Bank und Versicherung relevant sein.
  3. Eigenes Verhalten prüfen: Für eine spätere Haftungsprüfung ist entscheidend, wie sorgfältig Sie mit Ihren Zugangsdaten umgegangen sind.
  4. Alle Kommunikationsverläufe sichern: Diese können für die Beweissicherung im Streitfall eine entscheidende Rolle spielen.

Fazit und Handlungsempfehlung

Der Schutz vor Phishing beginnt immer bei Ihnen selbst. Sensibilisieren Sie sich und Ihre Familie für die Gefahren des Online-Bankings, seien Sie wachsam bei ungewöhnlichen E‑Mails und prüfen Sie Absender sorgfältig – loggen Sie sich im Zweifel stets direkt über die offizielle Website Ihrer Bank ein und nutzen Sie niemals Links aus verdächtigen Nachrichten. Der gewissenhafte Umgang mit Zugangsdaten ist sowohl technischer als auch rechtlicher Selbstschutz.

Ob im Fall eines Schadens ein Erstattungsanspruch gegen Ihre Bank besteht, hängt stets von den konkreten Umständen des Einzelfalls ab – die Grenze zur groben Fahrlässigkeit kann bereits bei vermeintlich kleinen Nachlässigkeiten überschritten sein.

Gerne prüfe ich für Sie im konkreten Einzelfall, ob und in welchem Umfang Ansprüche bestehen und wie Ihre Erfolgsaussichten zu bewerten sind.

Sie haben Fragen zum Thema Phishing und Haftung? Sprechen Sie uns an!

Sollten Sie im Hinblick auf diese vorstehenden Ausführungen Fragen haben, melden Sie sich gerne bei Frau Rechtsanwältin Sina Bader über unsere Mitarbeiterin Frau Bur per E‑Mail an  bur@dhk-law.com  oder unter der Telefonnummer 0241 946210.

Diese Fachbeiträge könnten Sie auch interessieren:

Handelsrecht
10.07.2026

Neue EU-Etiketten für Gewährleistung und Garantie – Der zweite Streich der EmpCo-Richtlinie

Vom Greenwashing zu den Gewährleistungsetiketten In unserem letzten Beitrag haben wir die weitreichenden Neuerungen der Richtlinie (EU) 2024/825, der sogenannten „EmpCo-Richtlinie", für die Umweltkommunikation beleuchtet: verschärfte Anforderungen an Umweltaussagen, das Aus für kompensationsbasierte Klimaneutralitäts-Werbung und strenge Vorgaben für Nachhaltigkeitssiegel. Doch die EmpCo-Richtlinie erschöpft sich nicht in der Bekämpfung von Greenwashing. Sie verfolgt ein breiteres Ziel: Verbraucherinnen und Verbraucher sollen umfassend in die Lage versetzt werden, informierte Kaufentscheidungen zu treffen. Dazu gehört auch, dass sie ihre Rechte bei mangelhafter Ware kennen und genau hier setzt der zweite große Regelungskomplex der EmpCo an: einheitliche Informationsetiketten über das gesetzliche Gewährleistungsrecht und über freiwillige Herstellergarantien. Die neuen Pflichten treten, ebenso wie die Greenwashing-Vorschriften, am 27. September 2026 in Kraft.

Beitrag lesen
Recht der unerlaubten Handlungen
26.06.2026

Neue Spielregeln für „grüne" Werbung: Die EmpCo-Richtlinie und ihre Umsetzung in Deutschland

Seit dem 19. Februar 2026 steht fest: Der deutsche Gesetzgeber hat das Gesetz gegen den unlauteren Wettbewerb (UWG) durch ein Drittes Änderungsgesetz grundlegend erweitert. Hintergrund ist die europäische Richtlinie (EU) 2024/825 vom 28. Februar 2024, die unter dem Kürzel „EmpCo" bekannt geworden ist. Diese Richtlinie zielt darauf ab, Verbraucherinnen und Verbraucher besser vor irreführenden Umwelt- und Nachhaltigkeitsversprechen zu schützen und dem weit verbreiteten Phänomen des Greenwashings einen Riegel vorzuschieben. Was bedeutet das konkret? Unternehmen, die ihre Produkte oder Dienstleistungen mit ökologischen Vorzügen bewerben, müssen sich ab dem 27. September 2026 an deutlich verschärfte Anforderungen halten. Übergangsfristen oder Abverkaufsregelungen sieht das Gesetz nicht vor: wer nicht rechtzeitig umstellt, riskiert ab dem ersten Tag Abmahnungen und behördliche Maßnahmen.

Beitrag lesen
Arbeitsrecht
17.06.2026

Zusammenhängender Erholungsurlaub: Grenzen der betrieblichen Steuerung

In vielen mittelständischen Unternehmen hat sich eine ungeschriebene Regel etabliert: Mehr als zwei Wochen zusammenhängender Urlaub werden nicht genehmigt. Die Gründe liegen auf der Hand, knappe Personaldecken, hohe Auslastung, kleine Teams. Was betriebswirtschaftlich nachvollziehbar erscheint, steht jedoch auf einem rechtlich unsicheren Fundament. Das Thüringer Landesarbeitsgericht (LAG) hat in einem aktuellen Beschluss vom 2. März 2026 (Az. 4 Ta 15/26) klargestellt, dass pauschale Obergrenzen für zusammenhängende Urlaubszeiträume nicht mit dem Bundesurlaubsgesetz (BUrlG) vereinbar sind, und zwar selbst dann nicht, wenn der Arbeitgeber auf personelle Engpässe verweist. Für Geschäftsführungen und Personalabteilungen im Mittelstand hat diese Entscheidung unmittelbare praktische Bedeutung.

Beitrag lesen