EuGH-Gutachten: Banken müssen Phishing-Opfer sofort entschädigen

Eine wegweisende Rechtsauffassung des Europäischen Gerichtshofs (EuGH) stellt die gängige Praxis deutscher und europäischer Banken bei Betrugsfällen auf den Kopf. Künftig müssen Institute Opfer von Phishing-Angriffen sofort entschädigen – selbst bei angeblicher Fahrlässigkeit der Kunden.

Das geht aus dem aktuellen Gutachten des Generalanwalts Athanasios Rantos vom 5. März 2026 hervor. Es betrifft den Fall eines polnischen Bankkunden, der auf einer Auktionsplattform auf einen gefälschten Bank-Link hereinfiel. Die Bank weigerte sich, den entwendeten Betrag zu erstatten, und warf dem Kunden grobe Fahrlässigkeit vor. Nun könnte diese Praxis europaweit obsolet werden.

Da Phishing-Angriffe auf mobile Bankanwendungen immer raffinierter werden, ist ein Basisschutz des Endgeräts für Verbraucher unerlässlich. Dieser Gratis-Ratgeber zeigt Ihnen Schritt für Schritt, wie Sie Ihr Smartphone und sensible Banking-Apps effektiv vor Datendieben absichern. 5 Sicherheitsmaßnahmen für Ihr Smartphone jetzt gratis sichern

Zwei-Phasen-System statt pauschaler Ablehnungen

Zwei-Phasen-System statt pauschaler Ablehnungen

Das Gutachten interpretiert die EU-Zahlungsdiensterichtlinie (PSD2) radikal neu. Bisher nutzten Banken regelmäßig Artikel 74 der Richtlinie, um Betrugsopfern pauschal die Schuld zuzuschieben. Kunden erhielten Standardablehnungen mit dem Verweis auf eigene Sorgfaltspflichtverletzungen.

Generalanwalt Rantos stellt klar: Die PSD2 sieht zwei strikt getrennte Phasen vor. Phase eins verpflichtet die Bank zur sofortigen Rückerstattung des betrogenen Betrags – ohne Wenn und Aber. Eine pauschale Ablehnung wegen mutmaßlicher Fahrlässigkeit ist in dieser Phase unzulässig.

Erst in Phase zwei darf die Bank versuchen, das Geld zurückzufordern. Dafür muss sie jedoch vor Gericht nachweisen, dass der Kunde tatsächlich grob fahrlässig handelte. Eine Ausnahme gilt nur bei konkretem Verdacht auf Kundenbeteiligung am Betrug, der umgehend anzeigepflichtig ist.

Milliardenlast für die Finanzbranche

Die finanziellen Folgen für die Banken sind enorm. Laut Europäischer Zentralbank summierte sich der Schaden durch betrügerische Zahlungen im Europäischen Wirtschaftsraum 2024 auf 4,2 Milliarden Euro. Davon entfielen 2,5 Milliarden auf Überweisungsbetrug und 1,3 Milliarden auf Kartenbetrug.

Bislang lagen diese Summen zunächst bei den betrogenen Verbrauchern. Künftig müssen die Institute die Beträge sofort vorstrecken. Die Beweislast für grobe Fahrlässigkeit trägt dabei weiterhin die Bank. Gerichte bewerten diese jedoch restriktiv – besonders bei täuschend echten Phishing-Mails, SMS (Smishing) oder Telefonanrufen (Vishing), die Bankkommunikation perfekt imitieren.

Während die Rechtsprechung den Schutz der Betroffenen stärkt, entwickeln Cyberkriminelle ihre Methoden zur Täuschung von Bankkunden stetig weiter. Erfahren Sie in diesem kostenlosen Report, mit welchen psychologischen Tricks Hacker arbeiten und wie Sie betrügerische Nachrichten zuverlässig entlarven. Kostenlosen Anti-Phishing-Guide herunterladen

Betriebsabläufe und Risikomodelle müssen neu justiert werden

Für die Compliance-Abteilungen der Banken bedeutet das eine zäsur. Sie müssen ihre Streitbeilegungsprozesse, Risikomodelle und Kapitalrückstellungen grundlegend überarbeiten. Der bisherige Ansatz, Betrugsopfer zunächst abzuweisen und auf langwierige Rechtsstreitigkeiten zu verweisen, wird rechtlich nicht mehr haltbar sein.

Stattdessen dürften die Institute stärker in präventive Cybersicherheit investieren: in KI-gestützte Transaktionsüberwachung, biometrische Authentifizierung und Aufklärungskampagnen. Das Geschäftsmodell, das finanzielle Risiko systematisch auf die Kunden abzuwälzen, steht vor dem Aus.

Entscheidung mit Signalwirkung erwartet

Das Gutachten des Generalanwalts ist zwar nicht bindend, doch der EuGH folgt solchen Empfehlungen in der überwiegenden Mehrheit der Fälle. Eine endgültige Entscheidung in der Rechtssache C-70/25 wird für später in diesem Jahr erwartet.

Sollte der Gerichtshof die Auffassung bestätigen, wäre das ein großer Sieg für Verbraucherschützer. Die Botschaft an die Finanzbranche ist klar: Wer von digitalen Zahlungssystemen profitiert, muss auch das primäre Betrugsrisiko tragen. Die Zeiten, in denen Bankkunden nach einem Cyberangriff zunächst auf ihren Verlusten sitzen blieben, dürften damit gezählt sein.

boerse | 68771474 |