In einem aktuellen Fall hat die Kanzlei Benedikt-Jansen & Kollegen erfolgreich die Rechte eines Mandanten gegenüber seiner Bank durchgesetzt, nachdem dieser Opfer eines raffinierten Phishing-Betrugs wurde. Der Fall unterstreicht die gravierenden Sicherheitslücken bei einigen Banken und zeigt, dass sich Betroffene nicht mit einer teilweisen Rückerstattung zufriedengeben müssen.
Der Fall: Von der Vignetten-Bestellung zum Kontoschaden
Im Sommer 2025 wollte unser Mandant online eine 10-Tages-Vignette für Österreich zum Preis von 11,50 EUR erwerben. Über eine Suchmaschine gelangte er auf eine professionell wirkende Webseite, die er für einen offiziellen Anbieter hielt. Während des Bezahlvorgangs wurde er aufgefordert, seine Debitkartendaten einzugeben und die Karte durch eine angebliche 1-Cent-Abbuchung zu verifizieren – ein Vorgehen, das ihm von früheren Online-Käufen bekannt war.
Daraufhin loggte sich unser Mandant in die Banking-App seiner Bank ein, wo ihm eine Transaktion über 0,01 EUR zur Bestätigung angezeigt wurde. Er gab die Zahlung durch einen einfachen Klick auf den „Bestätigen“-Button frei. Eine zusätzliche Sicherheitsabfrage, wie sie bei einer starken Kundenauthentifizierung (SCA) gesetzlich vorgeschrieben ist, erfolgte nicht.
Die böse Überraschung folgte prompt: Statt des minimalen Verifizierungsbetrags wurden seinem Konto 428,12 EUR abgebucht, zugunsten eines dubiosen Empfängers in Reykjavik. Unser Mandant handelte sofort, sperrte seine Karte und erstattete noch am selben Tag eine Strafanzeige bei der Polizei.
Bank lehnt Verantwortung ab und bietet Vergleich an
Trotz des offensichtlichen Betrugs und des schnellen Handelns unseres Mandanten lehnte seine Bank die Erstattung des Schadens zunächst ab. Sie argumentierte, die Zahlung sei durch ein sicheres Authentifizierungsverfahren legitimiert worden, und bot lediglich eine Vergleichszahlung in Höhe von 20 % des Schadens an.
Unsere Kanzlei schaltet sich ein: Klares Recht aufseiten des Kunden
Dieses Vorgehen war für unseren Mandanten inakzeptabel, weshalb er unsere auf Bank- und Kapitalmarktrecht spezialisierte Kanzlei mandatierte.
Unsere Fachanwältin für Bank- und Kapitalmarktrecht, Teresa Laukel, legte der Bank in einem Aufforderungsschreiben die Rechtslage unmissverständlich dar:
- Keine wirksame Autorisierung: Der Zahlungsanspruch ergibt sich aus § 675u S. 2 BGB, da unser Mandant zu keinem Zeitpunkt eine Zahlung über 428,12 EUR autorisiert hat, sondern lediglich eine Verifikationszahlung über einen Cent.
- Fehlende Starke Kundenauthentifizierung (SCA): Die Bank hat es versäumt, eine gesetzeskonforme Starke Kundenauthentifizierung gemäß § 1 Abs. 24 ZAG durchzuführen. Das bloße Anklicken eines „Bestätigen“-Buttons in einer App erfüllt nicht die gesetzlichen Anforderungen, die mindestens zwei voneinander unabhängige Sicherheitsmerkmale (aus den Kategorien Wissen, Besitz und Inhärenz) vorschreiben.
- Haftung der Bank: Da die Bank keine vorschriftsmäßige Authentifizierung verlangt hat, ist ein Schadensersatzanspruch gegen unseren Mandanten – etwa wegen angeblich grober Fahrlässigkeit – gemäß § 675v Abs. 4 BGB ausgeschlossen. Die Bank kann die Verantwortung nicht auf den Kunden abwälzen, wenn sie selbst ihre gesetzlichen Pflichten missachtet.
Wir setzten der Bank eine letzte Frist zur vollständigen Rückzahlung des Betrages sowie zur Übernahme der durch unsere Beauftragung entstandenen Rechtsanwaltskosten.
Der Erfolg: Bank lenkt ein und erstattet den vollen Schaden
Konfrontiert mit unserer klaren rechtlichen Argumentation lenkte die Bank ein. Sie erstattete unserem Mandanten den widerrechtlich abgebuchten Betrag in voller Höhe zurück und übernahm zudem sämtliche Anwaltskosten. Die Zahlung erfolgte aus Kulanz und ohne Anerkennung einer Rechtspflicht, was in solchen Fällen eine übliche Vorgehensweise ist, um einen Präzedenzfall zu vermeiden.
Fazit: Wehren Sie sich gegen unberechtigte Ablehnungen!
Dieser Fall zeigt eindrücklich: Bankkunden sind bei Phishing-Angriffen nicht schutzlos gestellt. Insbesondere wenn Banken bei der Zahlungsfreigabe auf eine gesetzeskonforme Zwei-Faktor-Authentifizierung verzichten, haften sie in der Regel für den entstandenen Schaden.
Sollten auch Sie Opfer eines Betrugs geworden sein und Ihre Bank eine Erstattung verweigern, lassen Sie sich nicht mit geringen Vergleichsangeboten abspeisen. Wir, die Kanzlei Benedikt-Jansen & Kollegen, prüfen Ihren Fall und setzen Ihre Ansprüche mit der nötigen Expertise und Entschlossenheit durch.