Bankkunden, die Opfer eines betrügerischen Phishing-Angriffs geworden sind, werden von den Banken und Sparkassen immer wieder darauf verwiesen, dass eine Erstattung der unbefugten Belastungsbuchungen nicht erfolgen könne, da der Kunde seine Zugangsdaten oder einen Entsperrcode an die Betrüger weitergeleitet habe und hierdurch grob fahrlässig gehandelt habe. Nachweise bleiben die Banken häufig schuldig.

Der Bundesgerichtshof hat in seinem Urteil vom 05.03.2024 (XI ZR 107/22) nun deutlich gemacht, dass nicht der Kunde, sondern der Zahlungsdienstleister – also die Bank – darlegen und beweise müsse, dass der Kunde die ihn belastenden Zahlungen autorisiert hat. Zudem hat er das Urteil der Vorinstanz – Oberlandesgericht Karlsruhe (Az.: 17 U 823/20) – ausdrücklich bestätigt, wonach die Bank zudem darlegen und beweisen müsse, dass der Kunde im Umgang mit ihm anvertrauten Sicherheitsmerkmalen grob fahrlässig oder vorsätzlich gehandelt hat. Nur wenn dieser Beweis gelingt, an den hohe Anforderungen zu stellen sind, kann der Anspruch des Kunden auf Wiedergutschrift der Belastungsbuchungen entfallen.