Online Banking Betrug Haftung: PSD2 und die Rechte der Bankkunden
Erstattungspflicht, Beweislastverteilung, grobe Fahrlässigkeit – was PSD2 und § 675u BGB für Bankkunden bedeuten, die durch Online-Banking-Betrug geschädigt wurden
Online-Banking-Betrug ist ein Massenphänomen: Phishing-E-Mails, gefälschte Banking-Apps, Vishing-Anrufe, SIM-Swapping-Angriffe – Täter nutzen zahlreiche Wege, um unbefugten Zugriff auf Bankkonten zu erlangen und Gelder abzuführen. Was viele Betroffene nicht wissen: Das europäische Zahlungsdiensterecht in Gestalt der PSD2-Richtlinie hat die Position von Bankkunden bei Online-Banking-Betrug grundlegend gestärkt. Die Erstattungspflicht der Bank ist der gesetzliche Normalfall – die Verweigerung ist die Ausnahme, und die Bank muss sie belegen.
Hat Ihre Bank nach einem Online-Banking-Betrug die Erstattung verweigert oder längere Zeit nicht geantwortet? Unsere Kanzlei setzt Ihren Erstattungsanspruch durch. Nehmen Sie jetzt Kontakt auf.
Was ist PSD2 und was ändert sie für Bankkunden?
Die zweite Zahlungsdiensterichtlinie – kurz PSD2 (Payment Services Directive 2) – ist eine europäische Richtlinie, die 2019 vollständig in deutsches Recht umgesetzt wurde und in erster Linie die §§ 675c bis 676c BGB gestaltet. Ihr Ziel ist ein europäisch einheitlicher Rahmen für Zahlungsdienste, mehr Wettbewerb im Zahlungsmarkt und – für Bankkunden besonders relevant – ein klar geregeltes Haftungsregime für den Fall nicht autorisierter Zahlungsvorgänge.
Vor PSD2 war die Haftungsfrage bei Online-Banking-Betrug deutlich offener. Banken konnten sich auf allgemeine AGB-Klauseln stützen, die weitgehende Sorgfaltspflichten der Kunden postulierten und die Beweislast de facto umkehrten. PSD2 hat das geändert: Die Erstattungspflicht ist nun gesetzlich verankert, die Beweislast liegt explizit bei der Bank, und die Ausnahmen für die Verweigerung sind eng definiert. Das ist ein struktureller Paradigmenwechsel zugunsten der Bankkunden.
PSD2 gilt nicht nur für klassische Geschäftsbanken, sondern für alle Zahlungsdienstleister: Neobanken wie N26 oder Revolut, Zahlungsdienstleister wie PayPal, Kreditkartenaussteller – alle unterliegen denselben Erstattungspflichten. Das ist wichtig, weil Betrugsangriffe sich zunehmend auf digitale Zahlungsplattformen konzentrieren, die Kunden früher fälschlicherweise als weniger reguliert ansahen.
Die Kernregel: § 675u BGB und die Soforterstattungspflicht
Der Kern des PSD2-Haftungsregimes ist § 675u BGB. Die Norm lautet in ihrem wesentlichen Inhalt: Wurde ein Zahlungsvorgang nicht autorisiert, ist der Zahlungsdienstleister verpflichtet, dem Zahler den Betrag unverzüglich zu erstatten und das Zahlungskonto auf den Stand zurückzusetzen, der ohne die nicht autorisierte Transaktion bestanden hätte. „Unverzüglich“ bedeutet nach höchstrichterlicher Rechtsprechung: spätestens bis zum Ende des nächsten Geschäftstages nach der Meldung.
Diese Formulierung ist keine Ermessensregel, sondern eine gebundene Verpflichtung. Die Bank prüft nicht zunächst, ob der Kunde fahrlässig gehandelt hat, und erstattet danach. Sondern: Die Bank erstattet zunächst und kann anschließend Rückforderungsansprüche geltend machen, wenn grobe Fahrlässigkeit nachgewiesen wird. In der Bankpraxis wird diese Reihenfolge häufig umgekehrt – was einen Rechtsverstoß darstellt.
Der Begriff „nicht autorisiert“ ist der Angelpunkt des gesamten Systems. Eine Zahlung gilt als autorisiert, wenn der Kontoinhaber ihr wirksam zugestimmt hat. Wer durch eine Täuschung – eine gefälschte Banking-Seite, einen Vishing-Anruf, eine manipulierte TAN-Abfrage – zur Freigabe einer Zahlung gebracht wurde, hat keine wirksame Zustimmung erteilt. Täuschung macht die Zustimmung unwirksam. Die Zahlung gilt als nicht autorisiert – Erstattungspflicht greift.
Beweislast bei Online-Banking-Betrug: Die Bank beweist, nicht der Kunde
Eine der folgenreichsten Regelungen der PSD2-Umsetzung ist die Beweislastverteilung. Viele Betroffene gehen davon aus, sie müssten beweisen, dass sie nicht fahrlässig gehandelt haben. Das ist ein verbreitetes Missverständnis.
Das Gesetz sieht folgendes vor: Bestreitet ein Zahlungsdienstleister-Nutzer, einen Zahlungsvorgang autorisiert zu haben, muss der Zahlungsdienstleister nachweisen, dass der Zahlungsvorgang authentifiziert und korrekt aufgezeichnet wurde und nicht durch eine technische Störung oder einen anderen Mangel beeinträchtigt wurde. Dieser Nachweis liegt damit vollständig bei der Bank.
Wenn die Bank diesen technischen Nachweis erbracht hat, verschiebt sich die Darlegungslast: Dann muss der Kunde den tatsächlichen Ablauf des Betrugs schildern und darlegen, warum er die Manipulation nicht erkennen konnte. Die Bank muss dann konkret begründen, warum grobe Fahrlässigkeit vorliegen soll. Eine pauschale Aussage „der Kunde hat selbst seine Daten eingegeben“ genügt dieser Anforderung nicht.
Zur Frage, was eine gelungene Beweissicherung nach einem Betrugsangriff ausmacht und wie sie strukturiert wird, finden Sie praktische Hinweise in unserem Beitrag Auf Phishing reingefallen: Was tun?.
Grobe Fahrlässigkeit: Die enge Ausnahme, nicht die Regel
Die einzige gesetzliche Ausnahme von der Erstattungspflicht ist § 675v BGB: Wenn dem Kunden grobe Fahrlässigkeit nachgewiesen werden kann, kann die Bank die Erstattung verweigern oder den Schadensersatz auf einen Selbstbehalt von 50 Euro begrenzen. Bei Vorsatz des Kunden entfällt die Haftung der Bank vollständig.
Grobe Fahrlässigkeit ist ein hoher rechtlicher Maßstab. Sie liegt nicht schon dann vor, wenn der Kunde einen Fehler gemacht hat – sie liegt vor, wenn er die im Zahlungsverkehr erforderliche Sorgfalt in besonders schwerem Maße außer Acht gelassen hat. Der Maßstab ist nicht der besonders vorsichtige oder technikaffine Nutzer, sondern der durchschnittliche Bankkunde.
Konkret bedeutet das: Das Eingeben von Zugangsdaten auf einer gefälschten Banking-Seite, die das Original überzeugend nachahmt, erreicht die Schwelle zur groben Fahrlässigkeit häufig nicht. Das Befolgen eines Vishing-Anrufs von scheinbar der echten Banknummer mit korrekten Kontodaten erreicht sie häufig nicht. Grobe Fahrlässigkeit ist eher dann anzunehmen, wenn ausdrückliche und sichtbare Warnmeldungen in der Banking-App ignoriert wurden oder wenn TAN-Codes auf eine offensichtlich unseriöse telefonische Anforderung hin weitergegeben wurden.
Gerichte haben in den vergangenen Jahren die Schwelle zur groben Fahrlässigkeit bei Online-Banking-Betrug schrittweise erhöht – weil die Professionalität von Phishing-Angriffen, Vishing-Anrufen und gefälschten Seiten erheblich zugenommen hat. Was 2010 als offensichtliche Fälschung galt, ist 2026 durch KI-gestützte Angriffe kaum noch erkennbar.
Starke Kundenauthentifizierung (SCA): Wenn die Bank die Sicherheitspflichten verletzt
PSD2 hat nicht nur das Erstattungsregime reformiert, sondern auch Mindestanforderungen an die Sicherheit von Zahlungstransaktionen eingeführt: die sogenannte starke Kundenauthentifizierung (Strong Customer Authentication, SCA). SCA verlangt für elektronische Zahlungen die Kombination von mindestens zwei unabhängigen Authentifizierungselementen aus den Kategorien Wissen (PIN, Passwort), Besitz (Gerät, Karte) und Inherenz (Biometrie).
Wenn eine Bank keine ausreichende SCA implementiert hat und dadurch ein nicht autorisierter Zahlungsvorgang möglich war, der bei ordnungsgerechter SCA verhindert worden wäre, liegt ein eigenständiges Sicherheitsversagen der Bank vor. In diesem Fall kann sich die Bank nicht auf grobe Fahrlässigkeit des Kunden berufen, um die Erstattung zu verweigern – weil das Sicherheitsversagen der Bank kausal für den Schaden war.
In der Praxis relevant ist das für ältere Bankprodukte, die noch auf SMS-TAN ohne zusätzliche SCA-Elemente setzen, und für Angriffe, bei denen Täter eine SCA-Schwachstelle ausgenutzt haben. Die Prüfung, ob eine solche SCA-Pflichtverletzung vorliegt, gehört zur anwaltlichen Fallaufnahme.
Die Warnpflicht der Bank als eigenständige Haftungsgrundlage
Neben der Erstattungspflicht für nicht autorisierte Zahlungen gibt es eine weitere, aus dem Bankvertrag abgeleitete Haftungsgrundlage: die Verletzung der Warnpflicht. Banken sind nach der Rechtsprechung des Bundesgerichtshofs verpflichtet, ihre Kunden aktiv über bekannte Betrugsmaschen zu warnen, sobald sie Kenntnis von konkreten Angriffen auf ihre Kundschaft haben.
Diese Pflicht ist in der Praxis bedeutsam, weil Banken durch interne Schadensmeldungen, Informationen des BSI und der BaFin sowie durch Branchenberichte früher und umfassender über aktive Betrugsmaschen informiert sind als ihre Kunden. Wenn eine Bank weiß, dass eine bestimmte Phishing-Variante gerade aktiv ihre Kunden angreift, und gibt keine Warnmeldungen aus, verletzt sie ihre vertragliche Schutzpflicht.
Darüber hinaus haben Banken eine Transaktionsüberwachungspflicht: Auffällige Transaktionsmuster – erstmalige hohe Auslandsüberweisungen, Anmeldungen von unbekannten Geräten, schnell aufeinanderfolgende Transaktionen in untypischen Beträgen – hätten eine Rückfrage oder einen Stopp auslösen müssen. Wenn das Transaktionsüberwachungssystem versagt hat, ist das eine Pflichtverletzung mit Haftungsfolgen.
Einen Überblick über die Bankenhaftung bei versagter Transaktionsüberwachung und Warnpflichtverletzung bietet unser Beitrag zu Internetbetrug und Bankenhaftung. Für den speziellen Fall eines leergeräumten Kontos empfehlen wir unseren Beitrag Konto leergeräumt – wer haftet?.
Online-Banking-Betrug in der Praxis: Typische Fälle und ihre Einordnung
Die Erstattungspflicht nach PSD2 gilt grundsätzlich für alle gängigen Formen des Online-Banking-Betrugs. Einige Fallgruppen und ihre rechtliche Einordnung:
Phishing mit gefälschter Login-Seite – Täter leiten Kunden auf eine gefälschte Banking-Seite und erlangen Zugangsdaten. Anschließend lösen sie eigenständig Transaktionen aus. Da der Kontoinhaber diese Transaktionen nicht ausgelöst hat, sind sie klar nicht autorisiert. Erstattungspflicht greift direkt nach § 675u BGB.
TAN-Phishing und Echtzeit-Manipulation – Täter bringen den Nutzer dazu, auf einer gefälschten Seite einen TAN-Code einzugeben, der in Wirklichkeit eine Tätertransaktion bestätigt. Die Täuschung über den Transaktionsinhalt macht die Autorisierung unwirksam. Erstattungspflicht greift.
Vishing und erschlichene App-Bestätigungen – Täter überzeugen Kunden telefonisch, eine Transaktion in der Banking-App zu bestätigen. Da der Kunde über den Inhalt der Transaktion getäuscht wurde, fehlt die wirksame Autorisierung. Erstattungspflicht greift, soweit keine grobe Fahrlässigkeit vorliegt.
SIM-Swapping – Täter übernehmen die Mobilfunknummer und fangen SMS-TANs ab. Da der Kontoinhaber die TANs nicht selbst eingegeben hat, ist keine wirksame Autorisierung gegeben. Erstattungspflicht greift. Zusätzlich haftet möglicherweise der Mobilfunkanbieter.
Kontozugang durch Malware – Schadsoftware auf dem Gerät des Opfers ermöglicht Tätern den direkten Zugriff. Da der Kontoinhaber keine Transaktionen ausgelöst hat, sind diese nicht autorisiert. Erstattungspflicht greift. Die Frage der groben Fahrlässigkeit hängt davon ab, ob das Opfer die Schadsoftware leichtfertig installiert hat.
Ausführliche Informationen zum Fall eines gehackten Online-Bankings finden Sie in unserem Beitrag Online Banking gehackt: Was tun?. Zur Frage, was bei Kreditkartenbetrug im Zusammenhang mit Online-Banking gilt, informiert unser Beitrag zur Haftung bei Kreditkartenbetrug.
Sofortmaßnahmen und Geltendmachung des Erstattungsanspruchs
Wer Online-Banking-Betrug bemerkt, muss sofort handeln – weil der Zeitraum zwischen Erkennen und Handeln die Erstattungsmöglichkeiten direkt beeinflusst.
Sofort: Konto sperren über den Kundenservice der Bank oder den Sperrnotruf 116 116. Zugangsdaten ändern, ausschließlich über die offizielle App oder die direkt eingetippte Banking-Website. Alle verbundenen Zahlungsmittel beim Kartenaussteller sperren.
Dann: Alle Beweise sichern. Screenshots der Phishing-Nachricht oder des betrügerischen Anrufs, Kontoauszüge mit den nicht autorisierten Transaktionen, Zeitstempel und detaillierte Schilderung des Ablaufs. Diese Dokumentation ist für die Erstattungsgeltendmachung und für anwaltliche Schritte unentbehrlich.
Wenn eine Transaktion noch nicht endgültig gebucht ist, besteht ein enges Zeitfenster für einen Rückruf. Ausführliche Informationen dazu bietet unser Beitrag zu Überweisungen zurückfordern.
Strafanzeige erstatten – bei der örtlichen Polizei oder über die Online-Wache des Landeskriminalamts. Das Aktenzeichen belegt den Betrug und stärkt die Position gegenüber der Bank.
Schriftliche Geltendmachung des Erstattungsanspruchs gegenüber der Bank mit Fristsetzung. Wenn die Bank nicht zeitnah reagiert oder eine pauschale Ablehnung liefert: anwaltliche Unterstützung.
Wann lohnt sich anwaltliche Beratung bei Online-Banking-Betrug?
Anwaltliche Beratung lohnt sich bei Online-Banking-Betrug in nahezu jedem Fall, in dem die Bank eine Erstattung verweigert oder über mehr als einen Geschäftstag hinauszögert. Ein Anwalt für Bank- und Kapitalmarktrecht prüft die Autorisierungsfrage für den konkreten Angriffstyp, bewertet die Beweislage, identifiziert mögliche zusätzliche Haftungsgrundlagen – Warnpflichtverletzung, SCA-Versagen, Transaktionsüberwachungspflichtverletzung – und formuliert eine rechtlich fundierte Forderung.
In der Praxis erzielen qualifizierte anwaltliche Schreiben mit präziser Rechtsbegründung gegenüber Banken andere Ergebnisse als formlose Kundenbeschwerden. Banken wissen, dass eine pauschale Fahrlässigkeitsablehnung einer gerichtlichen Prüfung in vielen Fällen nicht standhält – und reagieren auf anwaltlichen Druck häufig kooperativer.
Einen vollständigen Überblick über unsere Leistungen bei Online-Banking-Betrug bietet unsere Seite zur umfassenden Beratung bei Online-Banking-Betrug.
Fazit: Online Banking Betrug Haftung – PSD2 stellt Bankkunden strukturell besser
PSD2 hat die rechtliche Position von Bankkunden bei Online-Banking-Betrug grundlegend verbessert. Die Erstattungspflicht ist der gesetzliche Normalfall. Die Beweislast liegt bei der Bank. Grobe Fahrlässigkeit ist ein hoher Standard, den professionell ausgeführte Betrugsangriffe regelmäßig nicht erfüllen. Zusätzliche Haftungsgrundlagen – Warnpflicht, SCA-Versagen, Transaktionsüberwachung – verbreitern die Position der Geschädigten weiter.
Wer die gesetzlichen Rechte kennt, Beweise sichert und anwaltliche Unterstützung in Anspruch nimmt, hat realistische Chancen auf vollständige Erstattung. Die Ablehnung der Bank ist kein letztes Wort – sie ist der Beginn einer rechtlich überprüfbaren Entscheidung.
Kanzlei Dr. Araujo Kurth – Ihr Partner im Bank- und Kapitalmarktrecht
Die Kanzlei Dr. Araujo Kurth berät und vertritt Mandanten bundesweit im Bank- und Kapitalmarktrecht. Rechtsanwalt Dr. Michel de Araujo Kurth M.A. verfügt über langjährige Erfahrung im Bankwesen und in der anwaltlichen Praxis und hat sich auf die Vertretung von Mandanten in bank- und kapitalmarktrechtlichen Streitigkeiten spezialisiert.
Die Kanzlei begleitet Mandanten sowohl außergerichtlich als auch vor Gericht – von der ersten Sachverhaltsprüfung über die Kommunikation mit der Bank bis zur Durchsetzung von Erstattungs- und Schadensersatzansprüchen. Beratungen finden in den Büros in Frankfurt am Main, Darmstadt und Offenbach am Main sowie bundesweit per Videokonferenz statt.
Wenn Sie rechtliche Unterstützung benötigen, stehen wir Ihnen jederzeit zur Verfügung. Kontaktieren Sie uns über unser Kontaktformular für ein unverbindliches Erstgespräch – telefonisch, per E-Mail oder online.
FAQs – Häufig gestellte Fragen zu Online Banking Betrug Haftung
Was regelt PSD2 bei Online-Banking-Betrug?
PSD2 verpflichtet alle Zahlungsdienstleister – Banken, Neobanken, PayPal und andere – nicht autorisierte Zahlungsvorgänge unverzüglich zu erstatten. Die Beweislast für grobe Fahrlässigkeit des Kunden liegt bei der Bank. Grobe Fahrlässigkeit ist die einzige Ausnahme von der Erstattungspflicht und muss konkret begründet werden.
Muss meine Bank bei Online-Banking-Betrug immer erstatten?
Grundsätzlich ja, wenn der Zahlungsvorgang nicht autorisiert war. Nicht autorisiert bedeutet, dass die Zustimmung des Kontoinhabers durch Täuschung erschlichen oder überhaupt nicht eingeholt wurde. Die Bank kann die Erstattung nur verweigern, wenn sie grobe Fahrlässigkeit des Kunden nachweist.
Wer trägt die Beweislast bei Online-Banking-Betrug?
Die Bank. Sie muss nachweisen, dass die Zahlung korrekt authentifiziert war und keine technische Störung vorlag. Erst wenn dieser Nachweis erbracht ist, muss der Kunde den Ablauf des Betrugs schildern. Die Bank muss dann konkret begründen, warum grobe Fahrlässigkeit vorliegen soll.
Was ist starke Kundenauthentifizierung (SCA) und warum ist sie relevant?
SCA bezeichnet die Anforderung, Zahlungen mit mindestens zwei unabhängigen Authentifizierungselementen abzusichern. Wenn eine Bank keine ausreichende SCA hatte und deshalb ein Angriff möglich war, kann sie sich auf grobe Fahrlässigkeit des Kunden berufen – weil das Sicherheitsversagen auf ihrer Seite lag. Das ist ein eigenständiger Haftungsansatz für Betroffene.
Wie schnell muss die Bank nach einer Betrugsanzeige erstatten?
Nach § 675u BGB unverzüglich – spätestens bis zum Ende des nächsten Geschäftstages nach der Meldung. Eine Bank, die mit einer „laufenden Prüfung“ Wochen verstreichen lässt, verletzt diese gesetzliche Pflicht. Die Prüfung darf die Erstattung nicht verzögern.
Gilt PSD2 auch für N26, PayPal und andere digitale Zahlungsdienste?
Ja. PSD2 gilt für alle lizenzierten Zahlungsdienstleister in der EU – unabhängig davon, ob sie als klassische Bank, Neobank oder Zahlungsdienstleister agieren. N26, Revolut, PayPal und Kreditkartenaussteller unterliegen denselben Erstattungspflichten wie jede Filialbank.
Was ist grobe Fahrlässigkeit bei Online-Banking-Betrug genau?
Grobe Fahrlässigkeit liegt vor, wenn der Kontoinhaber die im Zahlungsverkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt hat. Das Eingeben von Daten auf einer professionell gefälschten Seite genügt dafür in der Regel nicht. Grob fahrlässig ist eher das Ignorieren expliziter Warnmeldungen der Banking-App oder die Weitergabe von TANs auf offensichtlich unseriöse Anforderungen hin.
Kann ich zusätzlich Schadensersatz verlangen, wenn die Bank ihre Warnpflicht verletzt hat?
Ja. Wenn die Bank von einer konkret betriebenen Betrugsmasche wusste und keine Warnmeldungen ausgegeben hat, verletzt sie eine eigenständige vertragliche Schutzpflicht. Aus dieser Verletzung können Schadensersatzansprüche entstehen, die unabhängig von der Erstattungspflicht nach § 675u BGB bestehen.
Was soll ich tun, wenn die Bank die Erstattung pauschal abgelehnt hat?
Geben Sie nicht auf. Fordern Sie eine schriftliche, begründete Ablehnung mit konkretem Fahrlässigkeitsvorwurf an. Wenn die Bank diesen Vorwurf nicht substantiiert belegen kann, ist die Ablehnung rechtlich angreifbar. Anwaltliche Unterstützung erhöht in diesen Fällen die Erfolgsaussichten erheblich.
Wann lohnt sich ein Anwalt bei Online-Banking-Betrug?
Anwaltliche Beratung lohnt sich immer dann, wenn die Bank ablehnt, nicht reagiert oder auf grobe Fahrlässigkeit verweist. Ein Anwalt bewertet Autorisierungsfrage, Beweislage, SCA-Konformität und Warnpflichtverletzung parallel und formuliert eine präzise rechtliche Forderung. Verjährungsfristen laufen unabhängig vom Verhalten der Bank.