04202 / 6 38 37 – 0 · info@rechtsanwaltkaufmann.de · Mo – Fr 9:00–12:30 / 14:30–17:30
Bank- und Kapitalmarktrecht

Commerzbank Spam-SMS und Phishing-Mails: Was jetzt zu tun ist

Eine SMS oder Mail von angeblich "Commerzbank" mit Aufforderung zur photoTAN-Bestätigung ist fast immer Betrug. Wie die aktuellen Phishing-Wellen 2026 funktionieren, woran Sie sie erkennen und wann die Bank für abgebuchtes Geld haftet.

Titelbild: Commerzbank Spam-SMS und Phishing-Mails: Was jetzt zu tun ist

Eine SMS oder Mail von angeblich "Commerzbank" mit der Aufforderung, die photoTAN-Aktivierung zu bestätigen oder zu erneuern, ist fast immer Betrug. Seit Anfang 2026 verschicken Kriminelle in großem Umfang solche Nachrichten, die zu gefälschten Seiten führen und dort Zugangsdaten abgreifen. Die Commerzbank und die Verbraucherzentrale warnen fortlaufend davor.

Welche Commerzbank-Phishing-Wellen laufen aktuell?

Seit Ende Januar 2026 kursieren SMS, die eine angebliche Sperrung des photoTAN-Verfahrens ankündigen und zur "Erneuerung" der Daten über einen Link auffordern. Anfang Juni 2026 kam eine E-Mail-Welle unter dem Betreff "COMMERZBANK Neues zu Ihrem Online-Zugang" hinzu, die eine angeblich verpflichtende Aktualisierung der photoTAN-App verlangt und mit einer konkreten Frist Druck aufbaut. Frühere Wellen liefen unter Betreffzeilen wie "Ihr Konto ist vorübergehend gesperrt", "Online-Verifizierung erforderlich" oder "Rückerstattung nach Doppelbelastung Ihrer Kreditkarte".

Allen Varianten ist eines gemeinsam: ein Link zu einer nachgeahmten Login-Seite, auf der PIN, TAN oder die photoTAN-Aktivierungsgrafik eingegeben werden sollen. Eine verwandte Masche nutzt statt SMS oder Mail inzwischen auch klassische Betrugsbriefe mit QR-Code, die auf dieselbe photoTAN-Aktualisierung abzielen. Wer dort Daten hinterlässt, liefert sie direkt an die Betrüger.

Woran erkenne ich eine gefälschte Commerzbank-Nachricht?

Die Commerzbank selbst nennt klare Warnzeichen: ein unbekannter Absender oder eine verdächtige Nummer, Rechtschreib- oder Grammatikfehler, ein dringlicher Tonfall mit Handlungsdruck und ein inhaltlicher Widerspruch, etwa eine Kontowarnung, obwohl gerade erst eingeloggt wurde. Der wichtigste Hinweis bleibt der Link selbst: offizielle Mitteilungen der Commerzbank enthalten grundsätzlich keine Links zum Anklicken.

Besonders gefährlich ist jede Aufforderung, die photoTAN-Aktivierungsgrafik weiterzugeben, per Foto, Scan, Kopie oder im Original. Diese Grafik dient ausschließlich der Ersteinrichtung auf dem eigenen Gerät. Wer sie preisgibt, ermöglicht Betrügern zusammen mit den ohnehin abgegriffenen Zugangsdaten die vollständige Übernahme des Kontos.

Was tun, wenn eine verdächtige Nachricht ankommt?

Wie bei den meisten Fällen von Online-Banking-Betrug gilt: Nicht klicken, keine Anhänge öffnen, keine Daten eingeben. Verdächtige SMS lassen sich über das Beschwerdeformular der Bundesnetzagentur oder direkt beim eigenen Mobilfunkanbieter melden. Verdächtige Mails können an die Verbraucherzentrale weitergeleitet werden. Wer bereits Daten preisgegeben hat oder eine unautorisierte Abbuchung bemerkt, sollte sofort die Sperr-Hotline der Commerzbank anrufen, Karte und Online-Zugang sperren lassen, die Kontobewegungen prüfen und Anzeige bei der Polizei erstatten.

Haftet die Bank, wenn Betrüger Geld abgebucht haben?

§ 675u BGB regelt die Haftung klar: Hat der Kunde eine Zahlung nicht autorisiert, hat die Bank keinen Anspruch auf Ersatz und muss das Konto unverzüglich zurückbuchen, spätestens bis zum Ende des Geschäftstags, der auf die Meldung folgt. Die Bank kann sich nur befreien, wenn sie beweist, dass die Zahlung tatsächlich autorisiert war oder dass der Kunde grob fahrlässig gehandelt hat. Dieselbe Beweislastverteilung gilt bei vergleichbaren Wellen anderer Institute, etwa bei den aktuellen Postbank-Phishing-Mails.

Was als grobe Fahrlässigkeit gilt, zeigen zwei ältere, aber weiterhin einschlägige Entscheidungen. Der BGH entschied 2012 (XI ZR 96/11), dass ein Kunde, der beim Online-Banking-Login trotz ausdrücklicher Warnung zehn TANs auf einmal eingab, grob fahrlässig handelte und deshalb selbst für den Schaden aufkommen musste. Das Kammergericht Berlin kam 2010 (26 U 159/09) zum gegenteiligen Ergebnis für den umgekehrten Fall: Bietet die Bank ein veraltetes, unsicheres TAN-Verfahren an, obwohl sicherere Verfahren längst Standard sind, trifft sie eine Mitverantwortung. Der betroffene Kunde musste in diesem Fall nur 30 Prozent seines Schadens selbst tragen.

Beide Entscheidungen zeigen, dass pauschale Aussagen wie "die Bank haftet immer" oder "der Kunde ist selbst schuld" nicht tragen. Entscheidend ist die konkrete Beweislage im Einzelfall, insbesondere welches TAN-Verfahren zum Zeitpunkt des Betrugs Stand der Technik war und wie genau der Kunde reagiert hat.

Kann ich auch gegen die Commerzbank selbst vorgehen?

Eine Haftung der Commerzbank für die Betrugstaten Dritter kommt in der Regel nicht in Betracht, da die Bank nicht Absenderin der Phishing-Nachrichten ist. Relevant wird die Bank rechtlich erst über § 675u BGB, also über ihre Erstattungspflicht bei nicht autorisierten Zahlungen, und über die Frage, welches Sicherheitsniveau sie beim TAN-Verfahren zum Zeitpunkt des Betrugs tatsächlich angeboten hat. Ob im Einzelfall eine vollständige oder nur teilweise Erstattung durchsetzbar ist, hängt davon ab, wie der konkrete Betrugsablauf und die eigene Sorgfalt sich rekonstruieren lassen.

Rechtsstand: Juli 2026.

Fragen & Antworten

Woran erkenne ich eine gefälschte Commerzbank-SMS oder Mail?

Typische Merkmale sind ein unbekannter Absender, Rechtschreibfehler, ein dringlicher Tonfall und vor allem ein Link zur Dateneingabe. Die Commerzbank verschickt grundsätzlich keine Links per SMS oder Mail und fordert niemals die photoTAN-Aktivierungsgrafik an.

Wo melde ich eine verdächtige Commerzbank-Phishing-SMS?

Verdächtige SMS lassen sich über das Beschwerdeformular der Bundesnetzagentur oder beim eigenen Mobilfunkanbieter melden. Verdächtige Mails können an die Verbraucherzentrale weitergeleitet werden. Bei bereits preisgegebenen Daten sollten Sie zusätzlich sofort die Sperr-Hotline der Commerzbank anrufen.

Muss die Commerzbank mir gestohlenes Geld zurückzahlen?

Nach § 675u BGB muss die Bank eine nicht autorisierte Zahlung grundsätzlich erstatten. Sie kann sich nur befreien, wenn sie beweist, dass die Zahlung autorisiert war oder der Kunde grob fahrlässig gehandelt hat. Ob das im Einzelfall zutrifft, hängt stark vom konkreten Ablauf ab.

Was ist die photoTAN-Aktivierungsgrafik und warum ist sie so wichtig?

Die Aktivierungsgrafik dient ausschließlich der einmaligen Einrichtung der photoTAN-App auf dem eigenen Gerät. Wer sie an Dritte weitergibt, per Foto, Scan oder Kopie, ermöglicht Betrügern zusammen mit abgegriffenen Zugangsdaten die vollständige Übernahme des Kontos.

Hinweis: Dieser Artikel dient ausschließlich der allgemeinen rechtlichen Information und stellt keine Rechtsberatung im Einzelfall dar. Für die Beurteilung Ihrer konkreten Situation wenden Sie sich bitte direkt an Rechtsanwalt Hermann Kaufmann. Die Inanspruchnahme von Rechtsdienstleistungen setzt ein individuelles Mandatsverhältnis voraus (§ 43b BRAO).

Profile & Bewertungen