Der Europäische Gerichtshof könnte die Position von Bankkunden bei Zahlungsbetrug grundlegend stärken. Der EU-Generalanwalt hat in seinen Schlussanträgen vom 5. März 2026 (Rs. C-70/25) erkannt, dass Banken die Erstattung nicht autorisierter Zahlungsvorgänge nicht unter Berufung auf grobe Fahrlässigkeit des Kunden verweigern dürfen. Das sogenannte „Erst erstatten, dann streiten"-Modell soll künftig für klare Verhältnisse zwischen Kunden und Zahlungsdienstleistern sorgen.
Phishing-Schaden: Was die EU-Zahlungsdiensterichtlinie vorschreibt
Die europäische Zahlungsdiensterichtlinie PSD2 (EU) 2015/2366 verpflichtet Banken nach Art. 73 dazu, bei nicht autorisierten Zahlungsvorgängen den Betrag unverzüglich zurückzubuchen. Eine pauschale Ausnahme wegen angeblicher grober Fahrlässigkeit sieht die Richtlinie laut Generalanwalt nicht vor. Den Mitgliedstaaten verbleibt hier kein Spielraum. Im deutschen Recht wurde die PSD2 vor allem in §§ 675u bis 675w BGB umgesetzt, die Erstattungspflichten und Haftungsgrenzen bereits heute weitgehend verankern.
Das zweistufige Modell: Erstattung nicht autorisierter Zahlungsvorgänge zuerst
Das Kernprinzip der Schlussanträge lautet: Zunächst wird erstattet, dann gegebenenfalls gestritten. Auf der ersten Stufe ist die Bank zur unverzüglichen Rückbuchung verpflichtet. Erst auf der zweiten Stufe kann sie Regress nehmen, wenn sie dem Kunden vorsätzliches oder grob fahrlässiges Verhalten nachweist. Dieses Modell sichert die kurzfristige Liquidität Betroffener und verlagert das Beweisrisiko klar auf das Kreditinstitut.
Wann Banken trotz Erstattung Rückforderungen stellen können
Eine Rückforderung ist möglich, wenn die Bank aktiv belegt, dass der Kunde seinen Pflichten als Zahlungsdienstnutzer grob fahrlässig oder vorsätzlich nicht nachgekommen ist. Relevante Kriterien sind:
- Der Kunde hat Zugangsdaten leichtfertig an Dritte weitergegeben.
- Sicherheitswarnungen der Bank wurden ignoriert oder bewusst übergangen.
- Die Bank kann konkretes Fehlverhalten – nicht nur eine allgemeine Vermutung – nachweisen.
- Der Schaden wurde nicht unverzüglich und spätestens innerhalb von 13 Monaten nach Belastung gemeldet.
Tipp für die Praxis: Melden Sie jeden Verdacht auf einen nicht autorisierten Zahlungsvorgang sofort Ihrer Bank und sichern Sie alle Belege – Kontoauszüge, E-Mails, Screenshots. Unternehmen sollten intern klare Abläufe für solche Verdachtsfälle etablieren. Je schneller Sie handeln, desto schwieriger wird es für das Kreditinstitut, Ihnen Fahrlässigkeit nachzuweisen.
Eigene Pflichten der Kunden bei Phishing bleiben bestehen
Das Modell entlastet Bankkunden, schützt aber keine Sorglosigkeit. Wer personalisierte Zugangsdaten leichtfertig preisgibt oder Phishing-Links folgt, riskiert im Ergebnis, den Schaden selbst zu tragen. Der Unterschied liegt darin, dass die Bank diese Verantwortung aktiv beweisen muss, statt die Erstattung vorab zu blockieren.
Folgen für den deutschen Rechtsrahmen
Folgt der EuGH den Schlussanträgen, ist eine Weiterentwicklung der bisherigen Rechtsprechung zu §§ 675u und 675v BGB zu erwarten. Insbesondere die Beweislastverteilung und die praktische Handhabung der unverzüglichen Erstattung würden verbraucherfreundlicher ausgestaltet. Bis zur Urteilsverkündung gilt: Die Schlussanträge sind noch keine verbindliche Entscheidung, der EuGH folgt seinem Generalanwalt aber in der Mehrheit der Fälle.
Zusammenfassung
Die Schlussanträge im EuGH-Verfahren C-70/25 stärken den Schutz bei der Erstattung nicht autorisierter Zahlungsvorgänge erheblich. Banken sollen künftig zunächst unverzüglich erstatten und dürfen die Zahlung nicht mit dem pauschalen Vorwurf grober Fahrlässigkeit blockieren. Der Nachweis von Fehlverhalten obliegt allein dem Kreditinstitut. Kunden bleiben gleichwohl in der Pflicht, Sicherheitsregeln einzuhalten und Verdachtsfälle rasch zu melden. Ein abschließendes EuGH-Urteil steht noch aus.
Symbolgrafik:© foto_tech - stock.adobe.com
Sofortantwort 24/7
Rechtsanwalt gesucht?
Sie haben Fragen?