
PSD3 und PSR 2026: Die neue Haftung der Bank bei Spoofing-Betrug
Mit der politischen Einigung auf PSD3 und PSR verschiebt sich die Verantwortung für Spoofing-Betrug erstmals spürbar in Richtung der Bank.
Ein gefälschter Anruf, eine vertraute Bank-Nummer auf dem Display, eine überzeugende Stimme am Telefon – und wenig später ist eine fünfstellige Summe unwiederbringlich überwiesen. Genau dieses Szenario, das sogenannte Call-ID-Spoofing, steht im Zentrum der aktuellen Debatte um die PSD3 PSR Spoofing Haftung: Mit der politischen Einigung auf die neue Zahlungsdiensterichtlinie PSD3 und die begleitende Zahlungsdiensteverordnung PSR soll sich die Verantwortung für solche Betrugsfälle künftig deutlicher in Richtung der Banken verschieben.
Nach geltendem Recht trägt der Kunde bei sogenannten autorisierten Zahlungen – also Überweisungen, die er selbst freigegeben hat, auch wenn er dabei getäuscht wurde – häufig das wirtschaftliche Risiko, sofern ihm grobe Fahrlässigkeit vorgeworfen werden kann. Der Bundesgerichtshof hat diese Rechtslage im Fall XI ZR 107/24 konkretisiert, aber auch gezeigt, wie eng die Grenze zwischen Fahrlässigkeit und einem entschuldbaren Augenblicksversagen verläuft. Genau an diesem Punkt setzt die künftige PSD3-PSR-Reform an.
Dieser Beitrag ordnet ein, was Art. 59 PSR für Betroffene bedeutet, wie sich die Rechtslage von heute zu der von morgen unterscheidet, welche Rolle der IBAN-Namensabgleich und die Instant-Payments-Regeln dabei spielen und welche konkreten Schritte Geschädigte schon jetzt einleiten sollten, um ihre Ansprüche gegenüber der Bank zu sichern.
Wenn Sie durch einen gefälschten Bank-Anruf zu einer Überweisung verleitet wurden, prüfen wir Ihre Erstattungsansprüche nach geltendem und künftigem Recht. Jetzt unverbindlich Kontakt aufnehmen.

PSD3 PSR Spoofing Haftung: Vom Trilog zur künftigen EU-Verordnung
Die politische Einigung zwischen Rat und Europäischem Parlament über die dritte Zahlungsdiensterichtlinie (PSD3) und die neue Zahlungsdiensteverordnung (PSR) fiel am 27. November 2025, die finale Trilog-Einigung folgte am 23. April 2026. Damit steht der Text inhaltlich fest, die Veröffentlichung im Amtsblatt der Europäischen Union wird für das zweite Quartal 2026 erwartet. Erst danach beginnt eine Übergangsfrist, nach deren Ablauf die neuen Regeln unmittelbar anwendbar werden. Für Betroffene ist deshalb wichtig: Die PSD3 PSR Spoofing Haftung gilt noch nicht, sondern ist ein künftiges Regelwerk – heute maßgeblich bleibt das bisherige PSD2-Regime.
Anders als die bisherige Richtlinie PSD2, die vor allem die nicht autorisierte Zahlung regelt, adressiert die PSR erstmals ausdrücklich Fälle, in denen der Kunde die Zahlung selbst freigegeben hat, weil er durch Täuschung dazu gebracht wurde. Diese Neuerung ist der eigentliche Kern der Reform und Grund dafür, warum Verbraucherschützer und Kanzleien die künftige Regelung so genau verfolgen.
Die heutige Rechtslage: § 675u und § 675v BGB bei Call-ID-Spoofing
Solange PSD3 und PSR noch nicht gelten, richtet sich die Haftung nach dem Bürgerlichen Gesetzbuch. Bei einer nicht autorisierten Zahlung besteht ein Erstattungsanspruch dem Grunde nach verschuldensunabhängig aus § 675u BGB. Problematisch ist beim Spoofing regelmäßig die Frage, ob der Kunde dem konkreten Zahlungsvorgang tatsächlich zugestimmt hat. Die Eingabe oder Weitergabe einer TAN allein bedeutet nicht automatisch, dass die Zahlung wirksam autorisiert wurde.
Die Gegenposition der Bank stützt sich auf § 675v BGB: Handelt der Kunde vorsätzlich oder grob fahrlässig, kann der Bank nach § 675v BGB ein eigener Schadensersatzanspruch zustehen, den sie dem Erstattungsanspruch des Kunden entgegenhalten kann. Die Beweislast für die grobe Fahrlässigkeit trägt dabei die Bank, nicht der Kunde. Wichtig ist außerdem die 13-Monats-Ausschlussfrist aus § 676b Abs. 2 BGB, innerhalb derer eine nicht autorisierte Zahlung gegenüber der Bank gerügt werden muss – wer diese Frist verstreichen lässt, riskiert den vollständigen Verlust seines Anspruchs. Nach erfolgter Ausführung ist eine Zahlung zudem grundsätzlich unwiderruflich (§ 675p BGB), sodass eine schnelle Reaktion entscheidend ist.
Der BGH-Fall XI ZR 107/24: Wann TAN-Weitergabe keine Autorisierung ist
Der Bundesgerichtshof hat sich mit Urteil vom 22. Juli 2025 (XI ZR 107/24) mit einem klassischen Spoofing-Fall befasst: Eine Kundin gab nach einem Anruf von einer gefälschten Bank-Nummer TANs für eine Echtzeitüberweisung über 35.555 Euro heraus. Der BGH stellte klar, dass die bloße TAN-Weitergabe keine wirksame Autorisierung darstellt – die Zahlung bleibt eine nicht autorisierte Verfügung im Sinne des § 675u BGB.
Im konkreten Fall unterlag die Kundin dennoch, weil sie am Folgetag – nach einer Bedenkzeit – erneut TANs herausgab. Der BGH bejahte darin grobe Fahrlässigkeit, weil es sich gerade nicht mehr um ein spontanes Augenblicksversagen handelte, sondern um eine wiederholte Preisgabe nach Gelegenheit zur Reflexion. Die Entscheidung zeigt zweierlei: Erstens ist ein Augenblicksversagen im Einzelfall durchaus geeignet, grobe Fahrlässigkeit auszuschließen; zweitens hängt die Erstattung nach geltendem Recht stark vom konkreten Geschehensablauf ab – ein Umstand, den die neue Rechtsprechung zu Phishing trotz TAN in weiteren Facetten beleuchtet.
Art. 59 PSR: Haftung auch bei autorisierten, aber betrügerisch veranlassten Zahlungen
Der eigentliche Paradigmenwechsel der Reform steckt in Art. 59 des künftigen PSR-Textes. Nach Art. 59 des geplanten PSR-Textes sollen Zahlungsdienstleister unter bestimmten Voraussetzungen auch bei autorisierten Zahlungen erstatten, die durch eine Vortäuschung der Identität der Bank veranlasst wurden. Der Anspruch ist insbesondere ausgeschlossen, wenn der Kunde betrügerisch oder grob fahrlässig gehandelt hat. Damit greift die künftige PSD3 PSR Spoofing Haftung genau an der Stelle, an der das heutige BGB-Recht Kunden regelmäßig im Stich lässt: bei der formal wirksamen, aber durch Täuschung erschlichenen Autorisierung.
Call-ID-Spoofing selbst ist bereits heute kein rechtsfreier Raum: Wer Rufnummern manipuliert, verstößt gegen § 120 TKG, dessen Einhaltung die Bundesnetzagentur überwacht; die Täuschung des Anrufers selbst erfüllt regelmäßig den Betrugstatbestand des § 263 StGB. Diese Normen ändern jedoch nichts an der zivilrechtlichen Erstattungsfrage – genau diese Lücke soll Art. 59 PSR künftig schließen, indem er die Erstattungspflicht der Bank auf spoofing-bedingte, autorisierte Zahlungen ausdehnt. Betroffene, die heute schon mit vergleichbaren Konstellationen konfrontiert sind, finden ergänzende Einordnung in unserem Beitrag zu Social Engineering und Bankenhaftung.
Als erfahrene Anwälte im Bank- und Kapitalmarktrecht helfen wir Ihnen, die Vorgehensweise der Betrüger rechtlich einzuordnen und konkrete Schritte zur Rückforderung Ihrer Gelder einzuleiten. Kontaktieren Sie uns jederzeit für ein unverbindliches Erstgespräch.

Verification of Payee: Der IBAN-Namensabgleich als neue Bankpflicht
Neben Art. 59 PSR ist die Verification of Payee (VoP), der IBAN-Namensabgleich, ein zweiter wichtiger Baustein aus der EU-Verordnung über Instant Payments (VO (EU) 2024/886). Für Euro-Echtzeitzahlungen ist VoP EU-weit seit dem 9. Oktober 2025 verpflichtend: Die Bank muss den vom Zahler eingegebenen Empfängernamen mit dem tatsächlichen Kontoinhaber abgleichen und bei Abweichungen warnen.
Unterlässt die Bank diese Warnung, obwohl Name und IBAN erkennbar nicht zusammenpassten, kann daraus eine eigenständige Haftung für den entstandenen Schaden folgen. Für Betroffene lohnt sich deshalb ein genauer Blick in die eigene Überweisungshistorie: Wurde bei einer betrügerisch veranlassten Zahlung tatsächlich ein Namensabgleich durchgeführt, und wie hat die Bank auf eine mögliche Abweichung reagiert? Diese Frage kann in Fällen wie dem Online-Trading-Betrug mit Bankhaftung ein zusätzliches Argument liefern.
Instant Payments: Warum Tempo über die Rückholung entscheidet
Die Verordnung über Instant Payments verpflichtet Banken seit dem 9. Januar 2025 zum Empfang und seit dem 9. Oktober 2025 auch zum Versand von Echtzeitüberweisungen – innerhalb von Sekunden, und nicht teurer als eine gewöhnliche SEPA-Überweisung. Für Betrugsopfer bedeutet das eine doppelte Herausforderung: Das Geld ist binnen Sekunden beim Empfänger, oft bereits weitergeleitet oder in Kryptowährung getauscht, bevor die Bank überhaupt reagieren kann.
Eine Rückholung ist danach nur noch über den sogenannten SEPA Instant Recall möglich – ein Kulanz- und Mitwirkungsverfahren zwischen den beteiligten Banken, auf das jedoch kein Rechtsanspruch besteht. Wer eine spoofing-bedingte Überweisung ausgelöst hat, sollte deshalb parallel zur Recall-Anfrage unverzüglich rechtliche Schritte prüfen, statt sich allein auf die Kulanz der Institute zu verlassen. Auch bei SMS-Phishing-Fällen zeigt sich, dass Schnelligkeit über den wirtschaftlichen Erfolg der Rückholung entscheidet.
Was Betroffene schon heute tun können
Auch ohne die künftige Reform sind Betroffene keineswegs rechtlos. Folgende Schritte sichern die Ausgangsposition für eine spätere Auseinandersetzung mit der Bank:
- Die Bank unverzüglich schriftlich über die nicht autorisierte bzw. betrügerisch veranlasste Zahlung informieren und die Erstattung nach § 675u BGB verlangen
- Die 13-Monats-Frist aus § 676b Abs. 2 BGB im Blick behalten und keinesfalls verstreichen lassen
- Strafanzeige wegen Betrugs (§ 263 StGB) erstatten und die Rufnummernmanipulation zusätzlich der Bundesnetzagentur melden, idealerweise mit vollständiger Dokumentation des Anrufs und der Kommunikation.
- Eine SEPA-Instant-Recall-Anfrage bei der eigenen Bank stellen, auch wenn darauf kein Rechtsanspruch besteht
- Frühzeitig anwaltlichen Rat einholen, um Fristen zu wahren und die Erfolgsaussichten einer Erstattung realistisch einzuschätzen
Ausblick: Wann PSD3 und PSR tatsächlich gelten
Bis zur unmittelbaren Anwendbarkeit von PSD3 und PSR wird nach der Veröffentlichung im Amtsblatt noch eine Übergangsfrist verstreichen. Für heute betroffene Verbraucher bedeutet das: Die PSD3 PSR Spoofing Haftung lässt sich nicht rückwirkend auf bereits erfolgte Überweisungen anwenden – maßgeblich bleibt bis auf Weiteres das geltende BGB-Recht mit §§ 675u, 675v und 676b Abs. 2 BGB sowie die dazu ergangene Rechtsprechung.
Gleichzeitig lohnt sich der Blick nach Europa: In den Schlussanträgen vom 5. März 2026 zur Rechtssache C-70/25 vertritt der Generalanwalt beim Europäischen Gerichtshof die Auffassung, dass Banken eine nicht autorisierte Zahlung zunächst unverzüglich erstatten müssen und sich erst nachgelagert im Rückforderungsweg auf grobe Fahrlässigkeit berufen dürfen. Ein Endurteil liegt noch nicht vor, doch die Tendenz in Rechtsprechung und Gesetzgebung weist erkennbar in eine Richtung: mehr Verantwortung für die Bank, weniger einseitiges Risiko für den getäuschten Kunden. Wer aktuell selbst betroffen ist, sollte diese Entwicklung nicht abwarten, sondern die eigenen Ansprüche nach geltendem Recht konsequent durchsetzen – etwa mit Unterstützung, wie sie auch Betroffene von Kryptobetrug mit Bankhaftung und weiteren Betrugskonstellationen bei uns erhalten.
Kanzlei Dr. Araujo Kurth – Ihr Partner im Bank- und Kapitalmarktrecht
Die Kanzlei Dr. Araujo Kurth berät und vertritt Mandanten bundesweit im Bank- und Kapitalmarktrecht. Rechtsanwalt Dr. Michel de Araujo Kurth M.A. verfügt über langjährige Erfahrung im Bankwesen und in der anwaltlichen Praxis und hat sich auf die Vertretung von Mandanten in bank- und kapitalmarktrechtlichen Streitigkeiten spezialisiert.
Die Kanzlei begleitet Mandanten sowohl außergerichtlich als auch vor Gericht – von der ersten rechtlichen Einordnung über die Kommunikation mit Banken, Zahlungsdienstleistern und Finanzinstituten bis zur Durchsetzung von Schadensersatz- und Rückforderungsansprüchen. Beratungen finden in den Büros in Frankfurt am Main, Darmstadt und Offenbach am Main sowie bundesweit per Videokonferenz statt.
Wenn Sie rechtliche Unterstützung benötigen, stehen wir Ihnen jederzeit zur Verfügung. Kontaktieren Sie uns über unser Kontaktformular für ein unverbindliches Erstgespräch – telefonisch, per E-Mail oder online.
FAQs – Häufig gestellte Fragen zu PSD3 PSR Spoofing Haftung
Was bedeutet die neue Bankenhaftung nach PSD3 und PSR konkret?
Sie beschreibt die künftige Pflicht von Banken, Kunden auch bei autorisierten, aber durch Spoofing-Betrug veranlassten Zahlungen zu erstatten. Grundlage ist Art. 59 der künftigen Zahlungsdiensteverordnung PSR, die derzeit noch nicht unmittelbar gilt.
Gilt die neue Bankenhaftung nach PSD3 und PSR schon heute?
Nein. Die politische Einigung stammt vom 27. November 2025, die finale Trilog-Einigung vom 23. April 2026. Bis zur Veröffentlichung im Amtsblatt und dem Ablauf der Übergangsfrist bleibt das bisherige BGB-Recht maßgeblich.
Wie ist die Rechtslage bei Spoofing-Betrug heute?
Maßgeblich sind § 675u BGB für die Erstattung nicht autorisierter Zahlungen und § 675v BGB für die Haftung des Kunden bei grober Fahrlässigkeit. Die Beweislast für grobe Fahrlässigkeit trägt die Bank.
Was hat der BGH im Fall XI ZR 107/24 entschieden?
Der BGH entschied mit Urteil vom 22. Juli 2025, dass eine TAN-Weitergabe keine wirksame Autorisierung darstellt. Die Klägerin verlor dennoch, weil sie am Folgetag nach Bedenkzeit erneut TANs herausgab – das schloss ein entschuldbares Augenblicksversagen aus.
Was ist ein Augenblicksversagen im Sinne der Rechtsprechung?
Ein Augenblicksversagen liegt vor, wenn ein spontaner, situativer Fehler ohne Reflexionszeitfenster vorliegt. Es kann im Einzelfall grobe Fahrlässigkeit ausschließen und damit einen Erstattungsanspruch erhalten.
Was ist Verification of Payee und welche Rolle spielt sie?
Verification of Payee ist der verpflichtende IBAN-Namensabgleich bei Euro-Echtzeitzahlungen, seit dem 9. Oktober 2025 EU-weit Pflicht. Unterlässt die Bank eine Warnung bei erkennbarer Abweichung, kann daraus eine eigene Haftung folgen.
Warum sind Instant Payments für Betroffene ein Problem?
Weil Echtzeitüberweisungen innerhalb von Sekunden ausgeführt werden, ist das Geld oft schon weitergeleitet, bevor die Bank reagieren kann. Eine Rückholung über SEPA Instant Recall ist reine Kulanz, kein Rechtsanspruch.
Welche Frist muss ich bei einer nicht autorisierten Zahlung beachten?
Die Rüge gegenüber der Bank muss innerhalb von 13 Monaten ab Belastung erfolgen (§ 676b Abs. 2 BGB). Wer diese Ausschlussfrist verstreichen lässt, verliert den Erstattungsanspruch.
Ist Call-ID-Spoofing strafbar?
Ja. Die Rufnummernmanipulation selbst verstößt gegen § 120 TKG und wird von der Bundesnetzagentur verfolgt. Die Täuschung des Opfers erfüllt regelmäßig den Betrugstatbestand nach § 263 StGB.
Was sollte ich als Betroffener als Erstes tun?
Die Bank unverzüglich schriftlich informieren, Strafanzeige erstatten, alle Nachweise sichern und frühzeitig anwaltlichen Rat einholen, um Fristen zu wahren und die Erfolgsaussichten realistisch einzuschätzen.

