EuGH-Verfahren C-70/25: EuGH-Generalanwalt zu Phishing-Fällen

Kapitalmarktrecht

Ein unbedachter Klick auf einen manipulierten Link kann gravierende Folgen haben: Immer häufiger werden Bankkunden Opfer von Phishing-Angriffen, bei denen innerhalb kürzester Zeit erhebliche Geldbeträge vom Konto abfließen. In der Praxis stellt sich dann regelmäßig die Frage, wer für solche nicht autorisierten Zahlungsvorgänge haftet und ob Banken zur sofortigen Rückerstattung verpflichtet sind.

Mit diesen zentralen Fragen befasst sich derzeit der Europäische Gerichtshof im Verfahren C-70/25. Gegenstand ist die Auslegung der Richtlinie (EU) 2015/2366 (PSD2), insbesondere der Vorschriften zur Haftung bei nicht autorisierten Zahlungen. Am 5. März 2026 hat der Generalanwalt hierzu seine Schlussanträge vorgelegt und eine verbraucherfreundliche Linie erkennen lassen.

Hintergrund des Verfahrens

Ausgangspunkt ist ein Vorabentscheidungsersuchen des polnischen Rayongerichts in Koszalin. Dieses ersucht den EuGH um Klärung, unter welchen Voraussetzungen Zahlungsdienstleister verpflichtet sind, unautorisierte Transaktionen unverzüglich zu erstatten – und wann sie sich auf ein grob fahrlässiges Verhalten des Kunden berufen können, um eine Rückzahlung abzulehnen.

Im Fokus stehen dabei insbesondere Art. 73 Abs. 1 und Art. 74 Abs. 1 der PSD2-Richtlinie, die die Rechte und Pflichten von Zahlungsdienstleistern und Kunden bei missbräuchlichen Transaktionen regeln.

Kernaussagen der Schlussanträge

Der Generalanwalt vertritt die Auffassung, dass Zahlungsdienstleister grundsätzlich zur umgehenden Erstattung verpflichtet sind, wenn eine Zahlung nicht vom Kunden autorisiert wurde. Eine unmittelbare Verweigerung der Rückzahlung unter Hinweis auf eine angebliche grobe Fahrlässigkeit des Kunden soll danach nicht zulässig sein.

Stattdessen müsse die Bank den Betrag zunächst erstatten und könne erst im Anschluss prüfen, ob ein Rückforderungsanspruch besteht. Voraussetzung hierfür ist jedoch, dass sie ein vorsätzliches oder grob fahrlässiges Verhalten des Kunden darlegt und im Streitfall auch beweist.

Konsequenzen für Banken

Sollte der EuGH dieser Auffassung folgen, hätte dies weitreichende praktische Auswirkungen für Kreditinstitute. Banken wären verpflichtet, unautorisierte Zahlungen ohne Verzögerung zu erstatten. Interne Prüfungen – etwa zur Einhaltung von Sorgfaltspflichten durch den Kunden – dürften die Rückzahlung nicht mehr hinauszögern.

Die Möglichkeit, eine Erstattung von vornherein mit dem Argument grober Fahrlässigkeit abzulehnen, würde entfallen. Stattdessen träfe die Bank die volle Darlegungs- und Beweislast, wenn sie den erstatteten Betrag im Nachgang zurückfordern möchte. Dies dürfte zu einer erheblichen Verschiebung der Risikoverteilung zulasten der Zahlungsdienstleister führen und Anpassungen in den internen Prozessen sowie im Risikomanagement erforderlich machen.

Fazit

Bestätigt der EuGH die Einschätzung des Generalanwalts, würde dies den Verbraucherschutz im Bereich des Online-Bankings deutlich stärken. Gleichzeitig stünde die bisherige Praxis vieler Banken vor einem grundlegenden Wandel. Insbesondere die bislang verbreitete Ablehnung von Erstattungen unter Verweis auf angeblich grob fahrlässiges Verhalten der Kunden dürfte künftig nicht mehr haltbar sein. Kreditinstitute müssten ihre Abläufe entsprechend neu ausrichten und sich auf eine strengere Haftung einstellen.