Phishing-Angriffe im Online-Banking nehmen seit Jahren zu. Besonders perfide: Täuschend echt gestaltete Webseiten, manipulierte Suchmaschinenergebnisse und missbräuchlich genutzte SMS-Verifizierungscodes.
Mit Urteil vom 18.02.2026 hat das Amtsgericht (AG) Frankfurt am Main nun ein deutliches Signal zugunsten von Verbrauchern gesetzt: Eine Bank muss 1.800 Euro erstatten, wenn eine Überweisung nicht autorisiert wurde – auch dann, wenn der Kunde einen per SMS übersandten Code eingegeben hat.
Der Sachverhalt: Registrierung führt in die Phishing-Falle
Unsere Mandantin hatte kurz zuvor ein Girokonto bei der C24 Bank eröffnet. Beim erstmaligen Login am Desktop-PC gelangte sie über ein reguläres Suchergebnis auf eine täuschend echt nachgebildete Webseite.
In dem Glauben, sich ordnungsgemäß zu registrieren, gab sie:
-
Mobilnummer
-
PIN
-
Kartennummer
ein. Anschließend erhielt sie eine SMS mit einem Verifizierungscode und dem Hinweis, diesen nicht an Dritte weiterzugeben.
Nach Eingabe des Codes verbanden die Täter ihr eigenes Smartphone mit dem Konto, erhöhten das Überweisungslimit und transferierten 1.800 Euro auf ein fremdes Konto.
Die Bank verweigerte die Erstattung unter Hinweis auf angebliche grobe Fahrlässigkeit.
Die rechtliche Bewertung des Gerichts
Das Amtsgericht Frankfurt stellte klar:
1. Keine Autorisierung im Sinne des § 675j BGB
Eine Autorisierung setzt einen tatsächlichen Willen zur konkreten Zahlung voraus. Unsere Mandantin wollte sich lediglich im Online-Banking anmelden – nicht aber eine Überweisung an einen Dritten ausführen.
Die Eingabe des SMS-Codes genügte nicht als Zustimmung zu einem Zahlungsvorgang, da aus der Nachricht nicht ersichtlich war, dass damit ein neues Gerät mit umfassender Kontozugriffsberechtigung verknüpft wird.
Folge: Es lag ein nicht autorisierter Zahlungsvorgang vor. Nach § 675u BGB ist die Bank zur unverzüglichen Erstattung verpflichtet.
2. Keine grobe Fahrlässigkeit (§ 675v BGB)
Die Beweislast für grobe Fahrlässigkeit trägt die Bank.
Das Gericht verneinte diese insbesondere mit folgenden Argumenten:
-
Die Phishing-Seite war optisch kaum von der Originalseite unterscheidbar.
-
Die SMS enthielt keinen klaren Hinweis auf die Tragweite des Codes.
-
Die Benachrichtigungs-E-Mail über die neue Geräteverknüpfung ging nur Minuten vor der Überweisung ein.
Ein besonders schwerer, subjektiv unentschuldbarer Sorgfaltsverstoß lag nicht vor.
Bedeutung für Verbraucher und FinTech-Banken
Das Urteil verdeutlicht mehrere zentrale Punkte:
-
Die Eingabe eines Verifizierungscodes ist nicht automatisch eine Zahlungsautorisierung.
-
Sicherheitskommunikation muss für Verbraucher transparent und eindeutig sein.
-
Banken können sich nicht pauschal auf „Eigenverschulden“ berufen.
Gerade im Umfeld digitaler Banken und App-basierter Sicherheitsarchitekturen kommt der klaren Gestaltung von Sicherheitsprozessen eine erhebliche rechtliche Bedeutung zu.
Fazit
Das Urteil stärkt die Rechte von Bankkunden bei modernen Phishing-Konstellationen deutlich.
Nicht jede Code-Eingabe führt zum Verlust des Erstattungsanspruchs. Maßgeblich ist, ob der Kunde tatsächlich eine konkrete Zahlung autorisieren wollte – und ob ihm die Tragweite seines Handelns objektiv erkennbar war.
Unsere Kanzlei berät bundesweit Mandanten bei:
-
Phishing-Fällen
-
nicht autorisierten Zahlungsvorgängen
-
Streitigkeiten mit Banken und FinTech-Unternehmen
-
Rückforderung abgelehnter Erstattungsansprüche
Wenn Sie betroffen sind oder eine rechtliche Einschätzung wünschen, sprechen Sie uns gerne an