PayPal Phishing: Rückbuchung nach Kontomissbrauch

Gefälschte PayPal-Mails, übernommene Accounts, nicht autorisierte Zahlungen – wann PayPal erstatten muss und wie Sie Ihr Geld zurückbekommen

Eine E-Mail mit dem PayPal-Logo, eine Aufforderung zur Kontobestätigung, ein Link auf eine täuschend echte Login-Seite – und kurz darauf fehlen Hunderte oder Tausende Euro auf dem verbundenen Bankkonto. PayPal Phishing gehört zu den am häufigsten gesuchten Betrugsthemen im deutschen Internet, weil PayPal zu den meistgenutzten Zahlungsdiensten des Landes gehört und gleichzeitig ein bevorzugtes Ziel organisierter Phishing-Kampagnen ist. Wer betroffen ist, hat mehr Möglichkeiten als viele vermuten.

PayPal Phishing 2026: Aktuelle Maschen im Überblick

Täter, die PayPal-Nutzer ins Visier nehmen, setzen aktuell auf mehrere Varianten, die alle dasselbe Ziel verfolgen: Zugangsdaten zu ergaunern oder direkt Zahlungen auszulösen.

Phishing-E-Mails mit Login-Aufforderung – Die verbreitetste Variante. Täter versenden E-Mails im PayPal-Design, die eine sofortige Kontobestätigung verlangen – wegen einer angeblich ungewöhnlichen Aktivität, einer ausstehenden Verifizierung oder einer bevorstehenden Kontosperrung. Der enthaltene Link führt auf eine gefälschte PayPal-Login-Seite, auf der Zugangsdaten, Zahlungskarteninformationen und Sicherheitsfragen abgegriffen werden.

Gefälschte Zahlungsbenachrichtigungen – Eine zweite Variante gibt vor, eine Zahlung sei eingegangen oder ausstehend. Empfänger werden aufgefordert, sich einzuloggen, um die Zahlung zu bestätigen oder abzulehnen. Diese Variante richtet sich häufig an gewerbliche Nutzer und Online-Händler, die täglich echte Zahlungsbenachrichtigungen erhalten und daher besonders empfänglich sind.

Smishing per SMS – Kurznachrichten im PayPal-Design, die auf angebliche Sicherheitsprobleme oder ausstehende Gelder hinweisen, mit Links auf mobiloptimierte Phishing-Seiten. Auf kleinen Bildschirmen ist die URL schwerer zu erkennen – was diese Variante besonders wirkungsvoll macht.

"Freunde und Familie"-Betrug – Eine PayPal-spezifische Betrugsmasche, bei der Täter Verkäufer oder Dienstleister auffordern, Zahlungen über die „Freunde und Familie“-Funktion zu empfangen, die keinen Käuferschutz bietet. Alternativ überzeugen Täter Käufer dazu, über diese Funktion zu zahlen, um anschließend Geliefertes zu bestreiten. Wer auf diesem Weg zahlt, verliert den gesamten Anspruch auf Erstattung durch PayPal.

PayPal-Phishing folgt strukturell denselben Mustern wie Phishing gegen Banken. Einen allgemeinen Überblick über Erstattungsansprüche bei Internetbetrug finden Sie in unserem Beitrag zu Internetbetrug und Bankenhaftung.

PayPal Phishing erkennen: Merkmale gefälschter Nachrichten

Das wichtigste Wissen über PayPal-Phishing ist zu verstehen, was PayPal in legitimen Nachrichten niemals tut.

PayPal fordert Nutzer in keiner echten Kommunikation per E-Mail oder SMS auf, über einen externen Link Zugangsdaten, Kreditkartendaten oder Sicherheitsfragen einzugeben. Dieser Grundsatz gilt ausnahmslos. Jede entsprechende Aufforderung ist eine gefälschte Nachricht, unabhängig davon, wie professionell das PayPal-Design nachgeahmt wird.

Die Absenderadresse ist der erste technische Prüfpunkt. Echte PayPal-E-Mails kommen von Adressen der Domain paypal.com oder paypal.de. Ein Klick auf den angezeigten Absendernamen zeigt die vollständige Adresse. Variationen wie „paypal-service.com“ oder „security-paypal.net“ sind Phishing-Domains. Zusätzlich enthält PayPal in echten Nachrichten immer den vollständigen Namen des Empfängers – Anreden wie „Sehr geehrter Kunde“ oder „Sehr geehrter PayPal-Nutzer“ ohne Namensnennung sind ein sicheres Phishing-Merkmal.

Die URL der Login-Seite ist der zweite Prüfpunkt. Die echte PayPal-Anmeldung läuft unter paypal.com. Jede abweichende Domain ist gefälscht. Vor dem Einloggen sollte die Adresszeile immer manuell geprüft werden. Im Zweifel die PayPal-App direkt öffnen oder paypal.com manuell eintippen, niemals dem Link aus der E-Mail folgen.

Künstliche Dringlichkeit – Kontosperrungsandrohungen, ablaufende Fristen, dringende Sicherheitshinweise – ist das dritte Erkennungsmerkmal. PayPal kommuniziert keine Ultimaten per E-Mail. Wer unter Zeitdruck steht, prüft weniger kritisch – genau das ist der Zweck dieser Formulierungen.

Sofortmaßnahmen nach PayPal Phishing

Wer erkennt, auf eine gefälschte PayPal-Nachricht hereingefallen zu sein oder nicht autorisierte Zahlungen in seinem PayPal-Konto entdeckt, muss sofort und geordnet handeln.

Der erste Schritt ist die Sicherung des PayPal-Accounts. Das PayPal-Passwort und alle verbundenen Sicherheitsinformationen müssen sofort geändert werden – ausschließlich direkt über paypal.com oder die offizielle App, niemals über einen Link aus der Phishing-Nachricht. Die Zwei-Faktor-Authentifizierung sollte aktiviert oder überprüft werden. Alle verbundenen Zahlungsmittel – Bankkonten, Kreditkarten – sollten vorsorglich bei der jeweiligen Bank gesperrt werden.

Im zweiten Schritt müssen alle nicht autorisierten Transaktionen im PayPal-Konto identifiziert und über das PayPal-Streitfall-Center gemeldet werden. PayPal bietet einen integrierten Mechanismus zur Meldung von Kontomissbrauch, über den Rückbuchungen eingeleitet werden können. Dieser Schritt muss innerhalb der von PayPal gesetzten Fristen erfolgen.

Der dritte Schritt ist der Kontakt mit der Bank, über die die PayPal-Zahlungen abgewickelt wurden. Wenn Geld vom verbundenen Bankkonto abgezogen wurde oder eine verbundene Kreditkarte belastet wurde, können Chargeback-Verfahren eingeleitet werden. Ausführliche Informationen zu Rückbuchungsmöglichkeiten finden Sie in unserem Beitrag zu Überweisungen zurückfordern.

Der vierte Schritt ist die Sicherung aller Beweise: Screenshots der Phishing-E-Mail mit sichtbarem Absender, der gefälschten Login-Seite und aller nicht autorisierten Transaktionen im PayPal-Konto. Diese Unterlagen sind Grundlage für die Strafanzeige und für Erstattungsansprüche. Abschließend sollte eine Strafanzeige bei der Polizei oder über die Online-Wache des Landeskriminalamts erstattet werden.

PayPal als lizenzierter Zahlungsdienstleister: Welche Haftungsregeln gelten

PayPal ist kein Kreditinstitut im klassischen Sinne, aber ein von der BaFin beaufsichtigter und in Luxemburg unter Europäischer Bankenaufsicht lizenzierter Zahlungsdienstleister. Das bedeutet, dass auf PayPal dieselben zahlungsdienstrechtlichen Vorschriften Anwendung finden, die auch für Banken gelten – und damit auch dieselben Haftungsregeln bei nicht autorisierten Zahlungsvorgängen.

Nach § 675u BGB ist ein Zahlungsdienstleister verpflichtet, nicht autorisierte Zahlungsvorgänge unverzüglich zu erstatten und das Konto auf den Stand zurückzusetzen, der ohne den nicht autorisierten Vorgang bestanden hätte. Ein Zahlungsvorgang gilt als nicht autorisiert, wenn der Kontoinhaber keine wirksame Zustimmung erteilt hat. Wer durch eine gefälschte PayPal-Seite getäuscht wurde und dort seine Zugangsdaten eingegeben hat, hat keine wirksame Autorisierung der anschließend ausgelösten Transaktionen erteilt.

PayPal kann die Erstattung einschränken oder verweigern, wenn dem Nutzer grobe Fahrlässigkeit nach § 675v BGB nachgewiesen werden kann. Grob fahrlässig handelt, wer eine offensichtlich gefälschte Seite genutzt, ausdrückliche Sicherheitswarnungen ignoriert oder Zugangsdaten auf telefonische Anforderung hin übermittelt hat. Bei professionell gestalteten Phishing-Angriffen, die eine Verwechslung mit dem echten PayPal-Portal für durchschnittliche Nutzer nicht offensichtlich machen, wird diese Schwelle regelmäßig nicht erreicht. Die Einschätzung grober Fahrlässigkeit liegt letztlich nicht bei PayPal, sondern bei einem Gericht.

Damit sind Sie nicht allein. Als erfahrene Anwälte im Bank- und Kapitalmarktrecht prüfen wir, ob PayPal oder Ihre Bank zur Erstattung verpflichtet sind. Kontaktieren Sie uns für ein unverbindliches Erstgespräch.

Rückbuchung nach PayPal Phishing: Die verfügbaren Wege

Nach einem PayPal-Phishing-Angriff stehen je nach Zahlungsweg unterschiedliche Rückbuchungsmöglichkeiten zur Verfügung. Das Wissen um diese Wege und ihre jeweiligen Fristen ist entscheidend.

PayPal Streitfall-Center – PayPal bietet über sein internes Streitfall-Center die Möglichkeit, nicht autorisierte Transaktionen zu melden und eine Rückbuchung zu beantragen. Dieser Weg ist der direkteste und sollte immer zuerst eingeleitet werden. Die Meldefrist bei PayPal beträgt 180 Tage ab dem Transaktionsdatum. Für nicht autorisierte Transaktionen gilt zusätzlich die gesetzliche Erstattungspflicht nach § 675u BGB, die PayPal als Zahlungsdienstleister bindet.

Chargeback über Kreditkartenunternehmen – Wenn die PayPal-Transaktionen über eine verbundene Kreditkarte abgewickelt wurden, kann parallel ein Chargeback-Antrag beim Kartenaussteller gestellt werden. Die Chargeback-Frist beträgt in der Regel bis zu 120 Tage ab Zahlungsdatum. Dieser Weg ist unabhängig vom PayPal-Verfahren und kann parallel genutzt werden.

Erstattungsanspruch gegen die Bank – Wenn Geld vom verbundenen Bankkonto über PayPal abgezogen wurde und PayPal eine Erstattung verweigert, können zusätzlich Ansprüche gegen die kontoinhaltende Bank geprüft werden. Das gilt insbesondere dann, wenn die Bank auffällige Transaktionsmuster hätte erkennen müssen oder wenn bekannte Betrugskonten weiter bedient wurden.

Anwaltliches Vorgehen gegen PayPal – Wenn PayPal eine Erstattung unter Verweis auf grobe Fahrlässigkeit des Nutzers verweigert, ist diese Entscheidung rechtlich überprüfbar. PayPal ist an die gesetzliche Erstattungspflicht gebunden und kann Ansprüche nicht durch AGB-Klauseln ausschließen, die mit dem Zahlungsdiensterecht unvereinbar sind. Gerichte haben in mehreren Entscheidungen PayPal-Erstattungsverweigerungen nicht bestätigt.

PayPal Käuferschutz und Verkäuferschutz: Was gilt nach Phishing?

PayPal bewirbt seinen Käuferschutz und Verkäuferschutz als zentrale Sicherheitsmerkmale. Im Phishing-Kontext ist das Verständnis dieser Programme wichtig, weil sie sich von den gesetzlichen Erstattungsansprüchen unterscheiden.

Der PayPal-Käuferschutz greift bei Kauftransaktionen, bei denen ein Artikel nicht ankommt oder erheblich von der Beschreibung abweicht. Er ist jedoch kein Instrument zur Erstattung von Phishing-Schäden: Wenn ein Täter sich Zugang zum Account verschafft und selbst Zahlungen ausgelöst hat, liegt keine Kauftransaktion des Kontoinhabers vor, sondern ein nicht autorisierter Zahlungsvorgang. Dieser wird nicht über den Käuferschutz, sondern über die gesetzliche Erstattungspflicht nach § 675u BGB geregelt.

Der „Freunde und Familie“-Missbrauch ist besonders problematisch, weil diese Zahlungsfunktion bewusst ohne Käuferschutz konzipiert ist. Täter nutzen das gezielt aus, indem sie Käufer oder Empfänger zur Nutzung dieser Funktion überreden. Wer wissentlich und ohne Täuschung diese Funktion gewählt hat, hat geringere Rückbuchungsmöglichkeiten. Wenn die Wahl der Funktion jedoch durch eine Täuschung erschlichen wurde, kann das die Argumentation für eine Erstattung stärken.

Wann lohnt sich anwaltliche Beratung bei PayPal Phishing?

Anwaltliche Beratung lohnt sich insbesondere dann, wenn PayPal eine Erstattung verweigert hat oder auf grobe Fahrlässigkeit verweist, wenn erhebliche Beträge betroffen sind oder wenn mehrere Rückbuchungswege koordiniert werden müssen. Ein Anwalt für Bankrecht prüft die konkrete Phishing-Variante, beurteilt die Autorisierungsfrage, bewertet die Fahrlässigkeitsschwelle im Einzelfall und klärt, ob neben PayPal auch die kontoinhaltende Bank oder der Kartenaussteller in Anspruch genommen werden kann.

Die Kanzlei koordiniert PayPal-Streitfallverfahren, Chargeback-Anträge und die Strafanzeige parallel und stellt sicher, dass keine Frist versäumt wird. Fristen im Zahlungsdienstrecht sind kurz – wer zu spät handelt, verliert Möglichkeiten, die später nicht mehr offenstehen.

Einen allgemeinen Überblick über Betrugsformen mit Zahlungsdienstleisterbezug und die relevanten Rechtswege finden Sie in unserem Beitrag zum Thema Anwalt für Finanzbetrug sowie in unserem Beitrag zumFinanzrecht.

Fazit: PayPal Phishing – gesetzliche Erstattungspflicht gilt auch für Zahlungsdienstleister

PayPal ist kein rechtsfreier Raum. Als lizenzierter Zahlungsdienstleister unterliegt PayPal denselben gesetzlichen Erstattungspflichten wie jede Bank. Wer durch eine Täuschung keine wirksame Autorisierung erteilt hat, hat starke rechtliche Grundlagen für eine Rückbuchung. Die Entscheidung von PayPal, eine Erstattung zu verweigern, ist kein letztes Wort – sie ist eine Einschätzung, die anwaltlich und gerichtlich überprüft werden kann.

Wer schnell handelt, Beweise sichert, alle verfügbaren Rückbuchungswege nutzt und anwaltliche Unterstützung in Anspruch nimmt, hat realistische Chancen auf vollständige Erstattung.

Kanzlei Dr. Araujo Kurth – Ihr Partner im Bank- und Kapitalmarktrecht

Die Kanzlei Dr. Araujo Kurth berät und vertritt Mandanten bundesweit im Bank- und Kapitalmarktrecht. Rechtsanwalt Dr. Michel de Araujo Kurth M.A. verfügt über langjährige Erfahrung im Bankwesen und in der anwaltlichen Praxis und hat sich auf die Vertretung von Mandanten in bank- und kapitalmarktrechtlichen Streitigkeiten spezialisiert.

Die Kanzlei begleitet Mandanten sowohl außergerichtlich als auch vor Gericht – von der ersten rechtlichen Einordnung über die Kommunikation mit PayPal, der Hausbank und dem Kartenaussteller bis zur Durchsetzung von Erstattungs- und Schadensersatzansprüchen. Beratungen finden in den Büros in Frankfurt am Main, Darmstadt und Offenbach am Main sowie bundesweit per Videokonferenz statt.

Wenn Sie rechtliche Unterstützung benötigen, stehen wir Ihnen jederzeit zur Verfügung. Kontaktieren Sie uns über unser Kontaktformular für ein unverbindliches Erstgespräch – telefonisch, per E-Mail oder online.

FAQs – Häufig gestellte Fragen zu PayPal Phishing