EuGH-Gutachten: Banken müssen Phishing-Opfer sofort entschädigen

Eine wegweisende Rechtsauffassung des Europäischen Gerichtshofs könnte die Praxis deutscher Banken bei Betrugsfällen revolutionieren. Künftig müssten Institute Kunden sofort entschädigen – selbst bei Verdacht auf grobe Fahrlässigkeit.

Grundsatzentscheidung für Verbraucherrechte

Am 5. März 2026 legte Generalanwalt Athanasios Rantos eine brisante Schlussanträge vor. Sein Gutachten für den EuGH-Fall C-70/25 interpretiert die EU-Zahlungsdiensterichtlinie PSD2 radikal verbraucherfreundlich. Demnach müssen Banken bei unbefugten Transaktionen den Betrag grundsätzlich bis zum Ende des nächsten Geschäftstags erstatten.

Viele Android-Nutzer übersehen diese 5 Sicherheitsmaßnahmen, die ihre Bankdaten und WhatsApp-Accounts vor Kriminellen schützen könnten. Dieser Gratis-Ratgeber bietet einfache Schritt-für-Schritt-Anleitungen, um Ihr Smartphone wirksam gegen Hacker und Datenklau abzusichern. Kostenloses Sicherheitspaket für Android jetzt anfordern

Das Entscheidende: Die Bank kann diese sofortige Rückzahlung nicht einfach mit dem pauskalen Vorwurf grobe Fahrlässigkeit verweigern. Nur bei objektivem Betrugsverdacht gegen den Kunden selbst darf sie zögern – und muss dies dann schriftlich bei den Behörden melden. Juristen sehen darin eine klare Absage an die bisherige Praxis vieler Institute, Fahrlässigkeit als Standardargument gegen Erstattungen zu nutzen.

Der polnische Fall als Auslöser

Ausgangspunkt ist ein konkreter Streit zwischen einer polnischen Verbraucherin und der Bank PKO BP S.A. Die Frau hatte einen Artikel auf einer Auktionsplattform angeboten. Ein angeblicher Interessent schickte ihr einen Link zu einer täuschend echten Fake-Website ihrer Bank.

Sie gab ihre Zugangsdaten ein – und Cyberkriminelle leiteten sofort eine unautorisierte Überweisung ein. Obwohl die Geschädigte den Vorfall am nächsten Tag bei Polizei und Bank meldete, weigerte sich das Institut, das gestohlene Geld zurückzuerstatten. Die Bank machte das fahrlässige Verhalten der Kundin verantwortlich. Das zuständige Bezirksgericht in Koszalin legte den Fall daraufhin dem EuGH vor.

Finanzielle Last verlagert sich zu den Banken

Die Konsequenzen wären für die europäische Bankenbranche fundamental. Müssten Institute bei Phishing-Vorfällen grundsätzlich sofort zahlen, wäre das bisherige Vorgehen obsolet. Derzeit halten viele Banken Gelder zurück, während sie prüfen, ob Kunden Sicherheitswarnungen ignoriert haben.

Das neue Verfahren wäre klar: Erst zahlen, dann ermitteln. Die Bank könnte das Geld zwar zurückfordern, wenn sie später grobe Fahrlässigkeit nachweist. Doch die Beweislast und der Klageaufwand lägen dann bei den finanzstarken Instituten – nicht bei den geschädigten Verbrauchern.

Phishing: Die immer raffiniertere Bedrohung

Die rechtliche Neubewertung kommt zur rechten Zeit. Das Bundesamt für Sicherheit in der Informationstechnik warnt regelmäßig vor der wachsenden Raffinesse digitaler Betrugsmethoden. Die Zeiten plump gefälschter E-Mails sind vorbei. Heute setzen Kriminelle auf gezielte SMS, manipulierte Push-Benachrichtigungen und perfekt imitierte Auktionsportale.

Da Phishing-Angriffe immer industrieller organisiert sind, reicht ein einfacher Virenschutz oft nicht mehr aus, um Online-Banking und PayPal-Konten zu schützen. Erfahren Sie in diesem kostenlosen Leitfaden, welche fünf Maßnahmen Ihr Android-Gerät spürbar sicherer machen und eine häufig unterschätzte Sicherheitslücke schließen. 5 Schutzmaßnahmen jetzt gratis nachlesen

Verbraucherschützer betonen: Phishing-Angriffe sind industriell organisiert und zielen darauf ab, menschliche Skepsis zu umgehen. Die EuGH-Auffassung anerkennt diese Schieflage: Laien können nicht erwartet werden, professionelle Cyberangriffe stets zu erkennen.

Banken unter Investitionsdruck

Die Branche steht vor erheblichen Veränderungen. Müssten Banken bei Phishing-Vorfällen fast immer sofort zahlen, drohen zunächst höhere operative Kosten. Dieser Druck dürfte Investitionen in die Sicherheit massiv beschleunigen.

Statt auf nachträgliche Fahrlässigkeitsklagen zu setzen, müssten Institute präventiv stärkere Maßnahmen ergreifen. Denkbar sind verpflichtende Zwei-Faktor-Authentifizierung, biometrische Verifikation oder KI-gestützte Systeme, die verdächtige Transaktionen bereits blockieren, bevor sie das Konto verlassen.

Was kommt jetzt?

Die europäische Bankenbranche blickt nun gespannt auf das endgültige Urteil des EuGH. Die Schlussanträge des Generalanwalts sind zwar nicht bindend, doch das Gericht folgt ihnen in der überwiegenden Mehrheit der Fälle. Ein Urteil wird für später im Jahr 2026 erwartet.

Sollte der EuGH diese Linie bestätigen, müssten nationale Aufsichtsbehörden in allen Mitgliedstaaten auf strikte Einhaltung drängen. Verbraucherschützer raten bereits jetzt allen Phishing-Opfern, deren Erstattungsanträge mit Fahrlässigkeit abgelehnt wurden, ihre Fälle nicht abzuschließen. Das kommende Urteil könnte ihnen den Weg zur Rückerstattung ebnen.