EuGH-Gutachten: Banken sollen Phishing-Opfern Geld erstatten

Phishing-Opfer in der EU könnten künftig deutlich besser geschützt sein. Nach einem aktuellen Gutachten des EuGH-Generalanwalts Athanasios Rantos sollen Banken gestohlenes Geld bei nicht autorisierten Zahlungen sofort zurückerstatten – selbst wenn sie ihren Kunden grobe Fahrlässigkeit vorwerfen. Der Vorschlag würde das Risiko zunächst von den Betroffenen auf die Geldinstitute verlagern. Banken dürften sich dann nicht mehr einfach hinter dem Argument verstecken, ein Kunde habe auf einen betrügerischen Link geklickt oder sensible Daten preisgegeben. Auslöser für das Gutachten ist ein Rechtsstreit aus Polen, der nun vor dem Europäischen Gerichtshof verhandelt wird.

Mehr Infos und Tipps zu Cybersecurity findest du am Ende dieses Beitrags.

Betrug auf Auktionsplattform als Auslöser

Der konkrete Fall (Az. C-70/25) stammt aus Polen und wird derzeit vor dem Bezirksgericht in Koszalin verhandelt. Eine Kundin der Bank PKO BP S.A. hatte einen Artikel auf einer Auktionsplattform zum Verkauf angeboten. Daraufhin kontaktierten sie Unbekannte, die vorgaben, den Artikel erwerben zu wollen.

Die vermeintlichen Käufer übermittelten der Frau einen Link, der zu einer täuschend echt nachgebauten Webseite ihrer Bank führte. Auf deren Aufforderung hin klickte sie darauf und gab dort ihre Zugangsdaten ein. Mit diesen Informationen führten die Betrüger anschließend nicht autorisierte Überweisungen durch. Zwar erstattete die Kundin umgehend Anzeige bei der Polizei und informierte ihr Geldinstitut, doch die Täter konnten nie gefasst werden. PKO BP lehnte eine Erstattung ab – mit der Begründung, dass die Kundin durch die Weitergabe ihrer Bankdaten selbst fahrlässig gehandelt habe.

Keine Ausnahme vom Grundsatz der sofortigen Erstattung

In seinem Schlussantrag stellt Generalanwalt Rantos klar: Banken sind nach EU-Recht verpflichtet, den Betrag einer nicht autorisierten Zahlung unverzüglich zurückzuzahlen. Eine Ausnahme bestehe nur, wenn berechtigte Verdachtsmomente für einen Betrug durch den Kunden selbst vorliegen – dies müsse die Bank jedoch der zuständigen Behörde schriftlich mitteilen.

Der Unionsgesetzgeber habe den Mitgliedstaaten bei dieser Regelung keinen Handlungsspielraum eingeräumt. Rantos begründet seinen Ansatz mit der Notwendigkeit, „ein hohes Verbraucherschutzniveau für Zahlungsdienstnutzer zu gewährleisten“. Die Erstattung sei allerdings nicht endgültig. Weist das Geldinstitut später nach, dass ein Kunde vorsätzlich oder grob fahrlässig gegen seine Sorgfaltspflichten verstoßen hat, kann es den Betrag zurückverlangen. Verweigert der Kunde die Rückzahlung, muss die Bank den Klageweg beschreiten.

Richter beraten – Urteil mit EU-weiter Tragweite erwartet

Bei den Schlussanträgen des Generalanwalts handelt es sich um einen Entscheidungsvorschlag, der für den Gerichtshof nicht bindend ist. Die Richter des EuGH treten nun in die Beratungsphase ein. Wann das Urteil verkündet wird, steht noch nicht fest. Folgt der Gerichtshof der Einschätzung von Rantos, hätte dies weitreichende Konsequenzen. Die Entscheidung würde auch andere nationale Gerichte in der EU binden, wenn diese über vergleichbare Fälle zu urteilen haben.

Für Phishing-Opfer könnte das bedeuten, dass sie nach einem Betrug nicht mehr langwierig um ihr Geld kämpfen müssen. Die zugrundeliegende Richtlinie über Zahlungsdienste im Binnenmarkt stammt aus dem Jahr 2015 und regelt die Pflichten von Zahlungsdienstleistern EU-weit.

Hier kannst du mehr über Cybersicherheit und ähnliche Themen lesen:

• Cyber-Attacken auf KMU: Fake-ChatGPT liefert Malware statt Antworten
• Sicherheitslücke Mitarbeiter: Mehr Bewusstsein für Cybersecurity in KMU
• Betrug mit Deepfakes: So schützt du dein Unternehmen
• Cybersicherheit in Zeiten von künstlicher Intelligenz
• Schärfere Regeln für Cybersicherheit: Viele KMU betroffen