Phishing-Opfer kennen das Problem: Die Bank weigert sich, den abgebuchten Betrag zu erstatten, und beruft sich darauf, dass der Kunde durch die Weitergabe seiner Zugangsdaten grob fahrlässig gehandelt habe. Die Schlussanträge des Generalanwalts am EuGH vom 5. März 2026 in der Rechtssache C-70/25 stellen nun klar, dass diese Praxis mit dem Unionsrecht nicht vereinbar ist.
Die Kernaussage:
Die Bank ist verpflichtet, den Betrag eines nicht autorisierten Zahlungsvorgangs zunächst unverzüglich zu erstatten. Sie darf die Erstattung nicht unter Berufung auf grobe Fahrlässigkeit des Kunden ablehnen. Erst nach der Erstattung kann sie – sofern sie den Nachweis der groben Fahrlässigkeit erbringt – Rückzahlung vom Kunden verlangen.
Der Fall: Phishing-Betrug über gefälschte Bankoberfläche
Die Klägerin, Kundin einer polnischen Bank, wurde Opfer eines Phishing-Angriffs. Ein Betrüger gab sich auf einer Auktionsplattform als Käufer aus und übermittelte ihr einen Link, der die Benutzeroberfläche ihrer Bank täuschend echt nachbildete. Gutgläubig gab die Klägerin dort ihre Zugangsdaten ein. Der Betrüger nutzte die erlangten Daten, um einen nicht autorisierten Zahlungsvorgang von ihrem Konto durchzuführen.
Als die Klägerin den Vorfall am nächsten Tag ihrer Bank meldete, lehnte diese die Erstattung ab. Begründung: Die Klägerin habe durch die Preisgabe ihrer Bankdaten grob fahrlässig gehandelt. Dagegen klagte die Kundin.
Das polnische Gericht setzte das Verfahren aus und legte dem EuGH die entscheidende Frage vor: Darf die Bank nach der Zahlungsdiensterichtlinie (EU) 2015/2366 die unverzügliche Erstattung eines nicht autorisierten Zahlungsvorgangs ablehnen, wenn sie der Ansicht ist, dass der Kunde grob fahrlässig gehandelt hat?
Die Schlussanträge: Erst erstatten, dann streiten
Der Generalanwalt beantwortet diese Frage eindeutig zugunsten der Verbraucher. Nach Art. 73 Abs. 1 der Richtlinie (EU) 2015/2366 ist die Bank als Zahlungsdienstleister zunächst verpflichtet, den Betrag eines nicht autorisierten Zahlungsvorgangs unverzüglich zu erstatten. Von diesem Grundsatz gibt es nur eine Ausnahme: Die Bank hat berechtigte Gründe für den Verdacht eines Betrugs durch den Kunden selbst und teilt dies der zuständigen nationalen Behörde schriftlich mit.
Der bloße Vorwurf der groben Fahrlässigkeit genügt dagegen nicht, um die Erstattung zu verweigern. Der Unionsgesetzgeber hat den Mitgliedstaaten insoweit keinen Handlungsspielraum gelassen.
Allerdings – und das ist der entscheidende zweite Schritt – ist die Erstattung nicht endgültig. Gelingt es der Bank im Nachhinein nachzuweisen, dass der Kunde vorsätzlich oder grob fahrlässig gegen seine Pflichten im Zusammenhang mit personalisierten Sicherheitsmerkmalen verstoßen hat, kann sie verlangen, dass der Kunde die entstandenen Schäden trägt. Weigert sich der Kunde, den erstatteten Betrag zurückzuzahlen, muss die Bank ihrerseits Klage erheben.
Was bedeutet das in der Praxis?
Die Schlussanträge des Generalanwalts etablieren ein klares Zwei-Stufen-Modell:
Stufe 1: Die Bank muss den nicht autorisierten Betrag unverzüglich erstatten. Eine eigenständige Prüfung der Frage, ob der Kunde grob fahrlässig gehandelt hat, darf die Erstattung nicht verzögern oder verhindern. Die Beweislast für den Betrugseinwand im Sinne der einzigen Ausnahme liegt bei der Bank.
Stufe 2: Will die Bank den erstatteten Betrag zurück, muss sie nachweisen, dass der Kunde seine Sorgfaltspflichten vorsätzlich oder grob fahrlässig verletzt hat. Diese Beweislast liegt vollständig bei der Bank. Im Streitfall muss sie Klage gegen den Kunden erheben – nicht umgekehrt.
Dieses Modell dient nach Auffassung des Generalanwalts dem hohen Verbraucherschutzniveau, das die Zahlungsdiensterichtlinie verfolgt. Es verhindert, dass Banken Phishing-Opfern die Erstattung pauschal verweigern und ihnen die gesamte Beweislast und das Prozessrisiko aufbürden.
Einordnung und Bewertung
Die Schlussanträge sind zwar noch kein Urteil – der EuGH ist an die Empfehlung des Generalanwalts nicht gebunden. Erfahrungsgemäß folgt der Gerichtshof jedoch in der Mehrzahl der Fälle den Schlussanträgen.
Sollte der EuGH entsprechend entscheiden, hätte dies erhebliche Auswirkungen auf die Praxis deutscher Banken. Denn auch in Deutschland lehnen Kreditinstitute die Erstattung nicht autorisierter Zahlungen regelmäßig unter Verweis auf angebliche grobe Fahrlässigkeit der Kunden ab – insbesondere in Phishing-Fällen. Diese Praxis wäre nach der Rechtsprechung des EuGH nicht mehr haltbar.
Für betroffene Bankkunden bedeutet dies: Wer Opfer eines nicht autorisierten Zahlungsvorgangs wird, hat grundsätzlich einen Anspruch auf unverzügliche Erstattung. Die Frage der groben Fahrlässigkeit kann die Bank erst in einem zweiten Schritt – und auf eigene Kosten und eigenes Prozessrisiko – klären.
Sind Sie betroffen?
Hat Ihre Bank die Erstattung eines nicht autorisierten Zahlungsvorgangs abgelehnt? Wurde Ihnen vorgeworfen, durch die Weitergabe von Zugangsdaten grob fahrlässig gehandelt zu haben? Die aktuelle Entwicklung in der europäischen Rechtsprechung stärkt die Rechte von Bankkunden erheblich. Als Fachanwältin für Bank- und Kapitalmarktrecht berate ich Sie zu Ihren Ansprüchen und setze Ihre Rechte gegenüber der Bank durch.