Grenzen der Hausratversicherung bei Phishing - Rechtsanwalt Ferner

Phishing-Angriffe gehören zu den häufigsten Cyberdelikten, bei denen Täter durch gefälschte Kommunikation an sensible Daten gelangen. Doch nicht jeder Schaden, der im Zusammenhang mit digitalen Transaktionen entsteht, ist automatisch durch eine Hausratversicherung abgedeckt. Das Amtsgericht Bernau (10 C 212/25) hat in einem aktuellen Urteil klargestellt, dass der Versicherungsschutz für Phishing-Schäden eng an die Definition vertraulicher Zugangsdaten geknüpft ist – und dass die Preisgabe von IBAN oder Kreditkartennummer allein keinen Anspruch auf Entschädigung begründet.

Vertrauen als Einfallstor für Betrüger

Die Klägerin, eine Privatperson, nutzte die Online-Plattform „V.“, um gebrauchte Kleidung zu verkaufen. Nach der Kontaktaufnahme durch einen vermeintlichen Käufer erhielt sie eine E-Mail, die sie aufforderte, ihr Konto zu verifizieren. Über einen Chatraum gab sie daraufhin ihre IBAN sowie ihre Kreditkartendaten an einen angeblichen Mitarbeiter der Plattform weiter. Kurz darauf erhielt sie eine Freigabeaufforderung für eine Zahlung in ihrer Banking-App, die sie bestätigte. Das Ergebnis: Eine Belastung ihres Kontos in Höhe von 1.968,55 Euro. Die Hausratversicherung lehnte die Erstattung ab – zu Recht, wie das Gericht nun bestätigte.

Die Versicherungsbedingungen (VHB 2019) sahen vor, dass Vermögensschäden durch den Missbrauch von „Zugangsdaten für das private Onlinebanking“ versichert sind, sofern diese durch Phishing erlangt wurden. Phishing wurde dabei definiert als die Beschaffung vertraulicher Zugangsdaten ausschließlich mithilfe gefälschter E-Mails. Die Klägerin argumentierte, der Schaden sei bedingungsgemäß versichert, da sie durch die Täuschung zur Herausgabe ihrer Daten verleitet worden sei. Die Beklagte hingegen verwies darauf, dass weder Zugangsdaten zum Onlinebanking preisgegeben noch diese ausschließlich per E-Mail abgefragt worden seien.

Vertraulichkeit als Schlüsselbegriff

Das Gericht stellte klar, dass der Versicherungsschutz an zwei zentrale Voraussetzungen geknüpft ist:

Vertraulichkeit der Daten

Die preisgegebenen Informationen müssen „vertrauliche Zugangsdaten“ sein

IBAN und Kreditkartendaten sind keine vertraulichen Zugangsdaten: Die Klägerin hatte ihre IBAN und Kreditkartennummer weitergegeben. Beide Daten sind jedoch keine Zugangsdaten im Sinne der Versicherungsbedingungen. Die IBAN ist eine öffentlich kommunizierte Kontonummer, die für Überweisungen erforderlich ist und damit nicht vertraulich ist. Kreditkartendaten – obwohl schützenswert – dienen primär der Autorisierung von Zahlungen, nicht aber dem Zugang zu einem Bankkonto. Das Gericht betonte, dass diese Daten „typischerweise im Zahlungsverkehr bekannt gegeben werden müssen“ und daher nicht unter den Schutz der Klausel fallen. Entscheidend ist, dass sie keinen direkten Zugang zum Onlinebanking ermöglichen, sondern lediglich Transaktionen auslösen können.

Missbrauch dieser Daten

Der Schaden muss durch den unbefugten Zugang zum Onlinebanking entstanden sein

Kein Missbrauch von Onlinebanking-Zugangsdaten: Der Schaden entstand nicht durch die Nutzung von Login-Daten (z. B. Benutzername und Passwort), sondern durch die Freigabe einer Zahlung nach Eingabe der Kreditkarteninformationen. Die Klägerin hatte die Transaktion selbst in ihrer Banking-App bestätigt – ein Akt, der keinen Missbrauch von Zugangsdaten, sondern eine autorisierte Zahlung darstellt. Selbst wenn die Täter die Kreditkarte für unautorisierte Abbuchungen genutzt hätten, läge kein Versicherungsfall vor, da die Versicherung ausschließlich den Missbrauch von Onlinebanking-Zugängen abdeckt.

Phishing-Definition: E-Mail als einziges Tatmittel?

Interessanterweise ließ das Gericht offen, ob Phishing nur per E-Mail oder auch über andere Kanäle (wie Chatrooms) erfolgen kann. Diese Frage war im konkreten Fall nicht entscheidungserheblich, da bereits die Art der preisgegebenen Daten nicht von der Police erfasst wurde. Dennoch wirft die Entscheidung die Frage auf, ob Versicherer ihre Bedingungen anpassen müssen, um moderne Betrugsmethoden abzubilden, die zunehmend über Messenger-Dienste oder gefälschte Websites ablaufen.

Schadensminderungspflicht: Unterlassene Rückbuchung als Argument

Die Beklagte führte zusätzlich an, die Klägerin habe ihre Schadensminderungspflicht verletzt, indem sie keine Rückbuchung bei ihrer Bank beantragte. Das Gericht ging darauf nicht näher ein, da bereits der Versicherungsfall verneint wurde. Dennoch zeigt dieser Einwand, dass Versicherungsnehmer im Schadensfall aktiv werden müssen, um ihre Ansprüche nicht zu gefährden.

Präzision in Versicherungsbedingungen

Rechtsanwalt Jens Ferner, TOP-Strafverteidiger und IT-Rechts-Experte - Fachanwalt für Strafrecht und Fachanwalt für IT-Recht

Man sieht hier mal wieder eindrücklich, wie entscheidend die exakte Formulierung von Versicherungsbedingungen ist – aber auch frustrierend ein fehlerhaftes Verständnis der Versicherten sein kann. Wer als Versicherungsnehmer Opfer von Onlinebetrug wird, hat genau zu prüfen, welche Daten preisgegeben wurden und ob diese unter den definierten Versicherungsschutz fallen. Besser noch, man prüft vor Abschluss, was alles abgedeckt ist (wir kennen das hier mit Rechtsschutzversicherungen, wo Anspruch und Wirklichkeit der Versicherten im Regelfall auseinanderfallen). Die Entscheidung macht deutlich:

IBAN und Kreditkartendaten sind keine „Zugangsdaten“ im versicherungsrechtlichen Sinne.
Phishing-Schutz greift nur bei Missbrauch von Login-Daten, nicht bei der bloßen Nutzung von Zahlungsinformationen.
Proaktives Handeln (z. B. Rückbuchungsantrag) kann über Erfolg oder Misserfolg einer Schadensmeldung entscheiden.

Für Versicherer ergibt sich die Notwendigkeit, ihre Policen an die Realität digitaler Betrugsmethoden anzupassen – oder klar zu kommunizieren, welche Risiken nicht abgedeckt sind. Für Verbraucher bedeutet es: Vorsicht bei der Weitergabe von Daten – selbst wenn der Schaden auf den ersten Blick wie ein klassischer Phishing-Fall aussieht. Die Grenze zwischen eigener Sorgfaltspflicht und Versicherungsschutz bleibt damit ein zentrales Spannungsfeld. Wer sich auf die Erstattung eines Phishing-Schadens verlässt, sollte sicherstellen, dass die Police explizit die betreffenden Daten und Angriffswege abdeckt. Andernfalls bleibt der Schaden – wie im vorliegenden Fall – eigenes Risiko.

Über
Letzte Artikel

Rechtsanwalt Jens Ferner

Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf

Rechtsanwalt Jens Ferner ist renommierter Strafverteidiger im gesamten Strafrecht samt Managerhaftung (mit Schwerpunkt Wirtschaftskriminalität und Cybercrime) sowie Spezialist im IT-Recht mit Schwerpunkt Softwarerecht und digitale Beweismittel. Als Fachanwalt für Strafrecht + IT-Recht verteidigt er Mandanten in anspruchsvollen Strafverfahren, speziell an der Schnittstelle von Strafrecht & IT-Recht und berät in komplexen Softwareprojekten.

Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.

Erreichbarkeit: Erstkontakt per Mail oder Rückruf.

Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.

Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)

Urheberrecht an KI-generierten Logos? - 14. Februar 2026

Ransomware: Lösegeld an die Erpresser bezahlen? - 13. Februar 2026

NPSG: Lachgas und GBL zukünftig erfasst (2026) - 13. Februar 2026