EuGH C-70/25: Erstattungspflicht der Banken

Schlussantrag des Generalanwalts in der Rechtssache C-70/25 zu Phishing-Betrug und Rückerstattungspflichten von Banken unter besonderer Berücksichtigung angeblicher grober Fahrlässigkeit der Kunden

1. Hintergrund und Kernaussagen der Entscheidung

Der Europäische Gerichtshof (EuGH) hat sich in der Rechtssache C-70/25 mit zentralen Fragen zur Haftung von Banken bei Phishing-Betrug im Online-Banking befasst. Im Mittelpunkt steht die Frage, ob Banken eine Rückerstattung bereits dann ablehnen dürfen, wenn sie dem Kunden grobe Fahrlässigkeit vorwerfen, etwa weil dieser auf eine gefälschte Banking-Seite hereingefallen ist oder sensible Daten (z.B. TANs) preisgegeben hat.

Nach den aktuellen Schlussanträgen des Generalanwalts vom 5. März 2026 – denen der EuGH in der Regel folgt – ist die Bank verpflichtet, nach einem nicht autorisierten Zahlungsvorgang dem geschädigten Kunden den Betrag zunächst sofort zu erstatten. Dies gilt auch dann, wenn eine grobe Fahrlässigkeit auf Kundenseite im Raum steht. Erst in einem nachgelagerten Verfahren kann die Bank prüfen lassen, ob eine Rückforderung gegenüber dem Kunden auf Basis grober Fahrlässigkeit berechtigt wäre. Die Ablehnung der Soforterstattung lediglich unter Hinweis auf ein „Fehlverhalten“ des Kunden ist damit nach Ansicht des Generalanwalts unzulässig. Die Beweislast für grobe Fahrlässigkeit liegt zudem weiterhin bei der Bank, die in der Praxis oft Schwierigkeiten damit hat, diesen Nachweis zu erbringen.

2. Praxisrelevanz und Auswirkungen für Verbraucher und Banken

Die Schlussanträge haben erhebliche praktische Auswirkungen:

• Für Bankkunden (Verbraucher):
  • Die Chancen, nach einem Phishing-Betrug zeitnah eine Rückerstattung zu erhalten, steigen erheblich. Die Bank kann nicht mehr einfach mit dem Argument ablehnen, der Kunde habe grob fahrlässig gehandelt.
  • Kunden befinden sich dadurch nicht mehr im „Rechtfertigungsdruck“, sondern die Bank muss aktiv eine Rückforderung begründen, wenn sie grobe Fahrlässigkeit annehmen möchte.
• Für Banken:
  • Die bisher oft praktizierte „Standard-Ablehnung“ bei Hinweisen auf mögliche Fahrlässigkeit ist nicht mehr zulässig. Banken müssen künftig zunächst leisten und können ihre Ansprüche nur noch im Einzelfall, bei ausreichendem Nachweis, geltend machen.
  • Die Entscheidung weist Banken explizit an, bei Verdacht nicht pauschal, sondern nur in klar hinreichend belegten Betrugsfällen Rückforderungsschritte einzuleiten.
  • Gerade im Bereich der digitalen Zahlungsdienste wird dadurch die kundenfreundliche Entwicklung fortgeführt und der Verbraucherschutz gestärkt.

Die Erstattung wird zur Regel – die Ablehnung zur Ausnahme. Für geschädigte Bankkunden eröffnen sich dadurch neue, bessere Erfolgsaussichten – auch bei bereits abgelehnten Ansprüchen. Der zentrale Fokus liegt jetzt auf einer schnellen und effektiven Verbraucherentschädigung; die Bank kann erst danach (und nur mit überzeugenden Beweisen) gegen den Kunden wegen grober Fahrlässigkeit vorgehen. Diese Einhaltung der EU-Vorgaben, insbesondere aus der Zahlungsdiensterichtlinie (PSD2), sorgt für mehr Rechtssicherheit und Transparenz in einem bislang sehr streitanfälligen Bereich.

3. Rechtsfolgen 

• Rückerstattungspflicht: Die Bank muss im Grundsatz sofort erstatten, sobald ein nicht autorisierter Zahlungsvorgang – z.B. infolge eines Phishing-Angriffs – vorliegt. Ein Verweis allein auf ein mögliches Mitverschulden des Kunden reicht nicht aus, um die Auszahlung zu verweigern.
• Beweislast: Die Bank trägt die volle Beweislast für das Vorliegen grober Fahrlässigkeit des Kunden, was erfahrungsgemäß schwierig umzusetzen ist.
• Rückforderungsverfahren: Nur wenn die Bank nachweisen kann, dass der Kunde z.B. besonders leichtsinnig gehandelt hat, kann sie im zweiten Schritt gegen den Kunden vorgehen.
• Bedeutung für Praxis: Verbraucher sollten bei Ablehnung einer Erstattung ihre Ansprüche gezielt überprüfen lassen – die Erfolgsaussichten auf Rückzahlung haben sich stark verbessert. Banken sind gehalten, ihre internen Prozesse und Kommunikationsabläufe entsprechend anzupassen und einzuschränken, inwieweit sie sich auf vermutete Fahrlässigkeit verlassen können.

Die aktuelle Auslegung des EuGH in der Rechtssache C-70/25 verschiebt das Gleichgewicht im Zahlungsverkehr spürbar zugunsten der Verbraucher. Sie stärkt den Verbraucherschutz, harmonisiert die Rechtslage und setzt neue Maßstäbe für die Bewertung von Kundenschutz und Bankhaftung bei modernen Betrugsmaschen. Die Rückerstattungspflicht wird verschärft, die Anforderungen an den Nachweis grober Fahrlässigkeit erhöht und den Banken klar vorgegeben, im Fall von Phishing-Vorfällen zunächst die Kundenerstattung vorzunehmen.

Ansprechpartner: Rechtsanwalt Bernd Jochem (+49 89 64 98 45-0; mail@rrlaw.de)