Der Generalanwalt des Europäischen Gerichtshofs (EuGH), Athanasios Rantos, hat sich klar positioniert: Banken müssen Opfer von nicht autorisierten Transaktionen unmittelbar entschädigen – selbst wenn eine gewisse Fahrlässigkeit des Kunden vorliegt.
Anlass für diese Stellungnahme war ein Rechtsstreit zwischen der polnischen Bank PKO BP S.A. und einem ihrer Kunden, den das Bezirksgericht Koszalin dem EuGH zur Klärung vorgelegt hatte.
Der Fall zeigt ein klassisches Phishing-Szenario: Ein Kunde bot einen Artikel auf einer Auktionsplattform an. Ein Betrüger kontaktierte ihn und schickte ihm einen Link zu einer gefälschten Bankenseite. Der Kunde gab dort seine Zugangsdaten ein – die der Kriminelle sofort für eine unbefugte Zahlung missbrauchte. Obwohl das Opfer die Transaktion bereits am nächsten Tag anzeigte, weigerte sich die Bank, das Geld zu erstatten.
Rantos argumentiert unter Berufung auf die EU-Zahlungsdienstrichtlinie (PSD2) überzeugend: Eine Bank darf eine sofortige Rückerstattung nur dann verweigern, wenn sie konkrete Anzeichen für Betrug durch den Kunden selbst hat. Solche Verdachtsmomente müssen der zuständigen Behörde schriftlich mitgeteilt werden.
Das Gutachten schließt aber nicht aus, dass Banken später versuchen, ihre Verluste von Kunden zurückzufordern – allerdings nur, wenn sie grobe Fahrlässigkeit oder Vorsatz nachweisen können. “Falls die Bank etabliert, dass der Kunde vorsätzlich oder durch grobe Fahrlässigkeit seine Sicherheitspflichten verletzt hat, kann sie den Kunden zur Erstattung des Verlusts heranziehen”, heißt es in der Stellungnahme. Bei Weigerung bleibt der Bank der Weg vor Gericht.
Wichtig zu verstehen: Dies ist noch kein bindendes Urteil des EuGH, sondern ein juristisches Gutachten, das die Richtung anzeigt, in die das Gericht gehen könnte. Die endgültige Entscheidung wird allerdings für alle EU-Gerichte verbindlich sein und könnte das Verhältnis zwischen Banken und Kunden bei Phishing-Fällen grundlegend verändern.