Das Landgericht Berlin II entschied am 22. April 2026 (Az. 38 O 293/25), dass die Bank die 218.000 Euro nicht wegen grober Fahrlässigkeit des Kunden verweigern darf. Die Genossenschaftsbank hatte die Erstattung abgelehnt – zu Unrecht, wie die Richter nun feststellten.
Das Urteil setzt ein klares Zeichen für die Rechtsprechung zum digitalen Zahlungsverkehr. Banken können sich nicht pauschal auf Kundenfehler berufen, wenn die Betrugsmaschen professionell inszeniert sind. Für die Standesbank der Heilberufler ist das ein Rückschlag: Ihre einkommensstarke Klientel gerät zunehmend ins Visier organisierter Cyberkrimineller.
Rekord-Schäden durch Phishing zeigen, wie professionell Hacker heute vorgehen und selbst erfahrene Nutzer täuschen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Sie und Ihr Unternehmen sich wirksam gegen diese Angriffe schützen können. Anti-Phishing-Paket jetzt gratis herunterladen
Partitionierte Kombination aus Brief, Web und Telefon
Die Betrugsmasche ging weit über einfache Spam-Mails hinaus. Die Täter verschickten einen täuschend echten Brief mit Apobank-Branding. Darin forderten sie die Kunden auf, ein neues Sicherheitsverfahren zu registrieren. Ein QR-Code führte auf eine manipulierte Webseite – optisch kaum vom echten Banking-Portal zu unterscheiden.
Ein Telefonanruf einer angeblichen Bankmitarbeiterin untermauerte die Täuschung. Sie wirkte authentisch, kannte Kontodetails und leitete die Opfer durch den Prozess. Dabei fotografierten die Kunden einen QR-Code, was den Tätern die Freischaltung eines eigenen Geräts ermöglichte. Die hohen Summen verschwanden unbemerkt.
Die Richter sahen keine grobe Fahrlässigkeit. Die Kombination aus Brief, Webseite und Telefonat sei für Laien nicht als Betrug erkennbar gewesen. Die Bank muss den Schaden bis auf den gesetzlichen Eigenanteil von 50 Euro übernehmen.
Die Beweislast bei grober Fahrlässigkeit
Banken argumentieren bei Phishing-Schäden oft mit grober Fahrlässigkeit. Die Rechtsprechung verlangt dafür aber eine ungewöhnlich hohe Sorgfaltspflichtverletzung – etwas, das jedem hätte einleuchten müssen. Genau das sahen die Berliner Richter hier nicht.
Die Apobank hatte selbst vor sogenannten „Quishing“-Attacken gewarnt. Doch solche Warnhinweise reichen laut aktueller Rechtsprechung nicht aus, wenn die kriminelle Inszenierung eine überzeugende Gesamtautorität ausstrahlt. Nach § 675u BGB ist die Bank zur sofortigen Erstattung verpflichtet, wenn keine Autorisierung vorliegt. Will sie die Zahlung verweigern, trägt sie die volle Beweislast.
Ein bloßer Anscheinsbeweis genügt nach neuerer BGH-Rechtsprechung nicht mehr. Das stärkt die Position der Kunden erheblich.
Da Hacker psychologische Manipulationstaktiken immer gezielter einsetzen, wird es für Nutzer zunehmend schwerer, Betrug zu erkennen. Dieser kostenlose Report enthüllt die aktuellen Methoden der Cyberkriminellen und zeigt Ihnen, wie Sie die Fallen rechtzeitig entlarven. Gratis-Report: Psychologische Schwachstellen der Hacker-Abwehr
Heilberufler als bevorzugtes Ziel 2026
Die Apobank verwaltet Konten von Ärzten, Apothekern und Zahnärzten – einer Klientel mit überdurchschnittlich hohen Einlagen. Das macht sie zum „High-Value-Target“ für Cyberkriminelle. Die Angriffe haben 2026 eine neue Qualität erreicht.
Neben Quishing per Post setzen Betrüger verstärkt auf „Vishing“ (Voice Phishing). Sie fälschen offizielle Telefonnummern der Bank im Display der Opfer (Call-ID-Spoofing). Das massiv erhöht das Vertrauen in die Echtheit des Anrufs. Verbraucherschützer warnten im Frühjahr vor Wellen gefälschter E-Mails mit angeblichen Verifizierungsaufforderungen.
Die Apobank hat bereits reagiert und Tageslimits angepasst. Höhere Beträge müssen teilweise über eine Hotline autorisiert werden. Doch die Sicherheitsmechanismen lassen sich durch gezieltes Social Engineering umgehen.
Kontext und rechtliche Einordnung
Das Urteil steht im Trend einer verbraucherfreundlichen Rechtsprechung. Der BGH stellte am 22. Juli 2025 (Az. XI ZR 107/24) klar: Die Anforderungen an den Nachweis grober Fahrlässigkeit sind hoch. Banken können nicht pauschal von pflichtwidrigem Verhalten ausgehen.
Auch die europäische Perspektive gewinnt an Bedeutung. Ein Schlussantrag des Generalanwalts am EuGH deutet darauf hin, dass Banken Erstattungsansprüche nicht einfach mit eigenen Schadensersatzforderungen aufrechnen dürfen. Die Rückzahlung müsse unverzüglich erfolgen. Folgt der EuGH dieser Auffassung, steigt der Druck auf die Institute, ihre Betrugsprävention technisch aufzurüsten.
Ausblick für Banken und Kunden
Das noch nicht rechtskräftige Urteil könnte Signalwirkung für zahlreiche weitere Verfahren haben. Anwaltskanzleien berichten von einem massiven Anstieg an Anfragen im Bereich Online-Banking-Betrug. Für Banken wächst das finanzielle Risiko, da die Haftungsfreistellung immer schwieriger wird.
Für Verbraucher bleibt die Lage angespannt. Experten raten, jede unerwartete Kontaktaufnahme kritisch zu hinterfragen – ob per Post, Mail oder Telefon. Die Kombination mehrerer Kanäle bietet keine Sicherheit mehr. Die Bankenindustrie wird voraussichtlich mit restriktiveren Sicherheitsvorgaben reagieren müssen. Das könnte zulasten des Komforts im digitalen Zahlungsverkehr gehen.
