Im Juli 2023 wurde bekannt, dass es bei einem Dienstleister der Postbank und der Deutschen Bank durch eine Software-Schwachstelle zu einem erheblichen Datendiebstahl gekommen ist. Betroffen waren Datensätze mit Vornamen, Nachnamen und IBAN der Kontoinhaber – eine Kombination, die Kriminellen Tür und Tor für unautorisierte Lastschriften und gezieltes Phishing öffnet. Was viele Betroffene besonders entsetzt: Das Datenleck war den Banken bereits seit August 2022 bekannt – fast ein Jahr lang wurde es nicht öffentlich gemacht.
Das Postbank-Datenleck – Was bekannt ist und wen es betrifft
Ausgangspunkt des Datenlecks war eine Sicherheitslücke bei einem externen Dienstleister, der für Postbank und Deutsche Bank tätig war. Über diese Schwachstelle wurden Kundendaten abgegriffen – konkret: Vornamen, Nachnamen und IBAN-Nummern der betroffenen Kontoinhaber. Dem Vernehmen nach entdeckten die Banken das Datenleck bereits im August 2022, informierten Kunden und Öffentlichkeit jedoch erst im Juli 2023 – mit einer Verzögerung von nahezu zwölf Monaten.
Nach Angaben der Bank soll sich der Datenabfluss auf Kunden beschränken, die den Kontowechselservice von Deutscher Bank oder Postbank in den Jahren 2016, 2017, 2018 und 2020 genutzt haben. Wie viele Kunden genau betroffen sind, ist bislang nicht vollständig bekannt. Die späte Offenlegung ist nicht nur aus Verbraucherschutzsicht problematisch: Betroffene hatten über Monate keine Möglichkeit, sich zu schützen oder ihre Konten gezielt zu beobachten.
Welche Risiken entstehen durch den gestohlenen Datensatz?
Auch wenn allein der Besitz von Vorname, Nachname und IBAN keinen unmittelbaren Zugriff auf ein Konto ermöglicht, eröffnet dieser Datensatz zwei konkrete Missbrauchsszenarien: Zum einen lassen sich damit unautorisierte SEPA-Lastschriften initiieren – also Abbuchungen, für die kein gültiges Lastschriftmandat des Kontoinhabers vorliegt. Zum anderen erlaubt der Datensatz gezieltes Phishing: Betrüger können personalisierte E-Mails oder SMS versenden, die glaubwürdig als Bankkorrespondenz erscheinen und zur Preisgabe weiterer Zugangsdaten verleiten.
Besonders beunruhigend: Mandanten berichten der Kanzlei, dass es auch ohne vorherige Kontaktaufnahme durch Dritte zu unautorisierten Zahlungen von ihren Konten gekommen ist. Das deutet darauf hin, dass die gestohlenen Daten aktiv für Abbuchungen genutzt werden – und nicht nur als Vorstufe zu Phishing-Angriffen dienen.
Postbank-Kunden sollten daher ihre Kontoumsätze sorgfältig prüfen. Bei verdächtigen oder nicht nachvollziehbaren Abbuchungen gilt: Konto umgehend sperren lassen und Strafanzeige bei der Polizei erstatten. Jede Verzögerung kann die Durchsetzung von Erstattungsansprüchen erschweren.
Versagen im Krisenfall: Der Kundenservice der Postbank
Was Betroffene in dieser Situation erleben, macht die Situation zusätzlich schwerer erträglich. Nach Meldung eines Missbrauchsfalls wird das Konto zunächst gesperrt. Die Ausgabe neuer Zugangsdaten erfolgt jedoch mit erheblicher Verzögerung – Mandanten der Kanzlei berichten von wochenlangen Wartezeiten ohne Zugang zum eigenen Konto. Telefonische Unterstützung ist kaum erreichbar; auf E-Mail-Anfragen antworten automatisierte Systeme.
Dieses Serviceverhalten ist für Kunden, die unverschuldet Opfer eines Datenlecks geworden sind, schlicht unzumutbar. Es verstärkt den materiellen Schaden durch weitreichende Konsequenzen im Alltag und Beruf – fehlende Liquidität, nicht ausgeführte Daueraufträge, Verzugsschäden gegenüber Dritten.
Rechtliche Grundlage: Wann muss die Bank erstatten?
Das Gesetz schützt Bankkunden bei unautorisierten Zahlungsvorgängen ausdrücklich. Nach § 675u BGB ist die Bank verpflichtet, den Betrag eines nicht autorisierten Zahlungsvorgangs unverzüglich zu erstatten. Eine nicht autorisierte Zahlung liegt vor, wenn der Kontoinhaber die Transaktion nicht selbst genehmigt hat – sei es durch Unterschrift, PIN, TAN oder sonstige Autorisierung.
Entscheidend ist die Verteilung der Beweislast: Nach § 675w BGB muss die Bank nachweisen, dass der Zahlungsvorgang vom Kunden autorisiert wurde oder dieser grob fahrlässig gehandelt hat. Gelingt dieser Nachweis nicht, bleibt der Erstattungsanspruch des Kunden bestehen. In der Praxis scheitern Banken genau an diesem Punkt – insbesondere dann, wenn keine TAN-Freigabe, kein Phishing-Klick und kein sonstiger Sorgfaltspflichtverstoß des Kunden nachweisbar ist.
Bei unautorisierten SEPA-Lastschriften greift zusätzlich das Recht auf unbedingten Erstattungsanspruch innerhalb von acht Wochen nach Belastung des Kontos (Art. 62 PSD2 bzw. § 675x BGB) – und zwar ohne dass ein Verschulden des Zahlungsdienstleisters nachgewiesen werden müsste.
EuGH-Schlussantrag C-70/25: Banken müssen künftig zuerst erstatten
Ein aktueller Schlussantrag des Generalanwalts beim Europäischen Gerichtshof könnte die Rechtslage für Betroffene noch deutlich verbessern. Generalanwalt Athanasios Rantos hat am 5. März 2026 in der Rechtssache C-70/25 die Auffassung vertreten, dass Banken nach der EU-Zahlungsdiensterichtlinie PSD2 verpflichtet sind, den Betrag eines nicht autorisierten Zahlungsvorgangs unverzüglich zu erstatten – spätestens bis zum Ende des nächsten Geschäftstags.
Das Entscheidende: Die Bank darf die Erstattung nicht mit dem pauschalen Vorwurf grober Fahrlässigkeit verweigern. Lediglich wenn die Bank begründete Anhaltspunkte für einen Betrug durch den Kunden selbst hat und dies schriftlich einer Behörde meldet, darf sie die Sofortzahlung zurückhalten. Erst nach der Erstattung kann die Bank gerichtlich versuchen, das Geld zurückzufordern – wenn sie nachweisen kann, dass der Kunde vorsätzlich oder grob fahrlässig gehandelt hat.
Der bisher übliche Weg – Bank verweigert, Kunde klagt – wird damit umgekehrt: Künftig muss die Bank ihrem Geld hinterherlaufen, nicht der Kunde. Das Urteil des EuGH wird für das Jahr 2026 erwartet. Da der EuGH den Empfehlungen seiner Generalanwälte in der großen Mehrheit der Fälle folgt, ist dies ein starkes Signal – und ein zusätzliches Argument in außergerichtlichen Auseinandersetzungen mit Banken bereits heute.
Was Postbank-Kunden jetzt konkret tun sollten
Wer vom Datenleck betroffen ist oder verdächtige Kontobewegungen bemerkt, sollte folgende Schritte unverzüglich einleiten:
- Konto sperren lassen: Kontaktieren Sie Ihre Bank und lassen Sie das Konto sofort sperren. Den Sperr-Notruf für Bankkonten erreichen Sie bundesweit unter 116 116.
- Strafanzeige erstatten: Erstatten Sie Anzeige bei der Polizei – persönlich oder online über die Onlinewache des jeweiligen Bundeslandes. Dokumentieren Sie alle verdächtigen Kontobewegungen mit Kontoauszügen.
- Erstattung schriftlich fordern: Fordern Sie die Bank schriftlich und unter Fristsetzung auf, die unautorisierten Abbuchungen gemäß § 675u BGB zu erstatten. Bewahren Sie Kopien aller Korrespondenz auf.
- Anwaltliche Hilfe einschalten: Verweigert die Bank die Erstattung oder reagiert gar nicht, sollten Sie schnellstmöglich anwaltliche Unterstützung suchen. Fristen können laufen – insbesondere die 13-Monats-Frist zur Anzeige nicht autorisierter Zahlungen gemäß § 676b BGB.
Wenn auch Sie Opfer eines Online-Banking-Betrugs oder unberechtigter Kontoabbuchungen geworden sind, helfen wir Ihnen gerne, Ihr Geld schnellstmöglich zurückzubekommen. Füllen Sie das untenstehende Formular für eine kostenfreie Erstberatung aus – wir melden uns umgehend bei Ihnen. Weitere Informationen zu Ihren Rechten bei Online-Banking-Betrug finden Sie hier.
Unberechtigte Kontoabbuchungen – Ansprüche jetzt prüfen lassen
Das Datenleck bei Postbank und Deutscher Bank zeigt exemplarisch, wie Bankkunden durch Datenpannen ihrer Institute in eine schwierige Lage gebracht werden – und anschließend mit einem unzulänglichen Kundenservice alleingelassen werden. Rechtlich stehen Betroffene dabei nicht schutzlos: Das BGB verpflichtet Banken zur Erstattung nicht autorisierter Zahlungen, und der EuGH könnte diesen Schutz noch weiter stärken.
Wer eine unautorisierte Abbuchung erlebt hat und von der Bank vertröstet oder abgewiesen wird, sollte seinen Fall anwaltlich prüfen lassen – und zwar ohne lange zu warten.
MÜLLER SEIDEL VOS Rechtsanwälte Steuerberater ist eine auf das Bank- und Kapitalmarktrecht, das Versicherungsrecht, das Steuerrecht sowie auf das Verbraucherrecht spezialisierte Kanzlei. Mit mehreren Fachanwälten für Bank- und Kapitalmarktrecht vertreten und beraten wir bereits hunderte Opfer eines Online-Banking-Betrugs aus ganz Deutschland und konnten für viele geschädigte Bankkunden zumindest einen Großteil ihres entwendeten Geldes zurückholen. In dem renommierten JUVE Handbuch Wirtschaftskanzleien werden MÜLLER SEIDEL VOS Rechtsanwälte in den Ausgaben 2017/2018, 2018/2019 und 2019/2020 in der Rubrik Konfliktlösung – Dispute Resolution, gesellschaftsrechtliche Streitigkeiten besonders empfohlen für den Bereich Kapitalanlageprozesse (Anleger).