Zum Inhalt springen
    Gesetz-Ratgeber LogoGesetz-Ratgeber
    Bank- & Kapitalmarktrecht

    Phishing & Online-Banking-Betrug – Haftung, Erstattung & Schutzmaßnahmen

    Bank- & Kapitalmarktrecht
    Aktualisiert: 4 Min. LesezeitVon Redaktion Gesetz-Ratgeber

    Phishing-Angriffe auf Online-Banking-Konten nehmen stetig zu – die Schäden gehen jährlich in die Millionen. Doch wer haftet, wenn Betrüger Ihr Konto leerräumen? In diesem Ratgeber erfahren Sie, wann die Bank erstatten muss, wann Sie selbst haften und wie Sie sich wirksam schützen.

    Auf einen Blick

    1Die Bank muss unautorisierte Zahlungen grundsätzlich unverzüglich erstatten (§ 675u BGB).
    2Der Kunde haftet nur bei Vorsatz oder grober Fahrlässigkeit für den vollen Schaden (§ 675v Abs. 3 BGB).
    3Bei leichter Fahrlässigkeit ist der Selbstbehalt auf maximal 50 € begrenzt (§ 675v Abs. 1 BGB).
    4Unautorisierte Zahlungen müssen unverzüglich nach Feststellung gemeldet werden (§ 676b BGB).
    5Die starke Kundenauthentifizierung (SCA) nach § 55 ZAG ist Pflicht der Bank – bei Verstößen haftet sie.
    6Erstattungsansprüche verjähren 13 Monate nach der Belastungsbuchung (§ 676b Abs. 2 BGB).

    Was ist Phishing und Online-Banking-Betrug?

    Phishing bezeichnet den Versuch, über gefälschte E-Mails, Websites oder Nachrichten an Ihre Zugangsdaten für das Online-Banking zu gelangen. Die Täter geben sich dabei als Ihre Bank, als Zahlungsdienstleister oder als Behörden aus. Neben dem klassischen Phishing haben sich zahlreiche weitere Betrugsformen etabliert, die alle dasselbe Ziel verfolgen: unbefugten Zugriff auf Ihr Konto.

    BetrugsartMethodeTypisches VorgehenHäufigkeit
    PhishingGefälschte E-Mails/SMSLink zu nachgebauter Bank-Website, Eingabe von Login und TANSehr häufig
    PharmingDNS-ManipulationUmleitung auf gefälschte Seite trotz korrekter URL-EingabeSelten
    Social EngineeringTelefonanrufAnrufer gibt sich als Bankmitarbeiter aus, fordert TANZunehmend
    SIM-SwappingMobilfunkanbieter-BetrugTäter übernimmt Ihre Handynummer, fängt SMS-TAN abZunehmend
    Trojaner/MalwareSchadsoftwareKeylogger zeichnet Tastatureingaben auf, manipuliert TransaktionenHäufig

    Die Methoden werden immer ausgefeilter. Während frühere Phishing-Mails oft an schlechter Rechtschreibung erkennbar waren, sind moderne Angriffe kaum noch von echten Banknachrichten zu unterscheiden. Besonders gefährlich sind sogenannte Echtzeit-Phishing-Angriffe, bei denen Täter die abgefangenen Daten sofort für Transaktionen nutzen.

    Haftung der Bank: Erstattungspflicht bei unautorisierten Zahlungen

    Nach § 675u BGB ist die Bank verpflichtet, den Betrag einer unautorisierten Zahlung unverzüglich zu erstatten – und zwar spätestens bis zum Ende des nächsten Geschäftstags nach Kenntnis. Das Konto muss so gestellt werden, als hätte die Belastung nie stattgefunden. Diese Erstattungspflicht besteht verschuldensunabhängig.

    Die Beweislast liegt grundsätzlich bei der Bank. Nach § 675w BGB muss sie nachweisen, dass die Zahlung ordnungsgemäß authentifiziert, fehlerfrei aufgezeichnet und nicht durch eine technische Störung beeinträchtigt wurde. Allein die technische Aufzeichnung einer Authentifizierung reicht dabei nicht aus, um grobe Fahrlässigkeit des Kunden zu belegen – die Bank muss konkrete Umstände darlegen.

    Tipp
    Melden Sie unautorisierte Abbuchungen sofort Ihrer Bank – sie ist verpflichtet, den Betrag unverzüglich zu erstatten (§ 675u BGB). Die Bank muss beweisen, dass Sie die Zahlung autorisiert haben oder grob fahrlässig gehandelt haben.

    Haftung des Kunden: Wann Sie mitzahlen müssen

    Die Haftung des Kunden ist in § 675v BGB abgestuft geregelt. Bei leichter Fahrlässigkeit haften Sie mit maximal 50 € – etwa wenn Sie Ihre Sorgfaltspflichten geringfügig verletzt haben. Bei grober Fahrlässigkeit oder Vorsatz haften Sie dagegen für den gesamten Schaden. Die Abgrenzung ist in der Praxis oft streitig.

    VerschuldensgradHaftung des KundenRechtsgrundlage
    Leichte FahrlässigkeitMaximal 50 € Selbstbehalt§ 675v Abs. 1 BGB
    Grobe FahrlässigkeitVolle Schadenshaftung§ 675v Abs. 3 Nr. 2 BGB
    VorsatzVolle Schadenshaftung§ 675v Abs. 3 Nr. 1 BGB

    Grobe Fahrlässigkeit liegt nach der Rechtsprechung vor, wenn der Kunde die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt. Typische Fälle: Weitergabe von TAN-Nummern am Telefon – auch wenn der Anrufer sich als Bankmitarbeiter ausgibt. Eingabe von Zugangsdaten auf einer offensichtlich gefälschten Website. Reaktion auf E-Mails, die zur Eingabe mehrerer TANs auffordern. Nutzung ungesicherter öffentlicher WLAN-Netzwerke für Banking-Transaktionen.

    Warnung
    Die Weitergabe von TAN-Nummern am Telefon – auch wenn der Anrufer sich als Bankmitarbeiter ausgibt – wird von Gerichten regelmäßig als grobe Fahrlässigkeit gewertet. In diesem Fall haften Sie für den gesamten Schaden.

    Das könnte Sie auch interessieren

    Kreditvertrag widerrufen: Fristen, Ablauf & Rechtsfolgen

    Kreditvertrag widerrufen: Widerrufsfrist, fehlerhafte Belehrung und Rückabwicklung. Ihre Rechte als Kreditnehmer.

    Sofortmaßnahmen nach einem Phishing-Angriff

    Schnelles Handeln ist bei Phishing entscheidend. Je früher Sie reagieren, desto größer ist die Chance, den Schaden zu begrenzen oder die Überweisung noch zu stoppen. Beachten Sie dabei, dass Sie nach § 676b BGB verpflichtet sind, Ihren Zahlungsdienstleister unverzüglich nach Feststellung zu informieren.

    1. Konto sofort sperren: Rufen Sie die zentrale Sperr-Hotline 116 116 an (kostenlos, 24/7) oder sperren Sie das Konto über Ihre Banking-App.
    2. Bank informieren: Melden Sie den Vorfall unverzüglich Ihrer Bank und fordern Sie die Rückbuchung der unautorisierten Zahlung.
    3. Beweise sichern: Screenshots der Phishing-Mail, der gefälschten Website und der betroffenen Kontobewegungen anfertigen.
    4. Strafanzeige erstatten: Erstatten Sie Anzeige bei der Polizei – online oder bei der nächsten Polizeidienststelle.
    5. Passwörter ändern: Ändern Sie alle Zugangspasswörter für Online-Banking, E-Mail und weitere betroffene Dienste.
    6. Geräte prüfen: Lassen Sie Ihren Computer und Ihr Smartphone auf Schadsoftware prüfen.

    Wichtig: Sichern Sie alle Beweise, bevor Sie Passwörter ändern oder E-Mails löschen. Screenshots von Phishing-Mails, gefälschten Websites und Kontoauszügen sind für die spätere Beweisführung unerlässlich – sowohl gegenüber der Bank als auch bei der Strafanzeige.

    Erstattungsanspruch durchsetzen

    Verweigert die Bank die Erstattung, stehen Ihnen mehrere Wege offen. Der erste Schritt ist immer die schriftliche Reklamation mit Fristsetzung. Dabei sollten Sie auf § 675u BGB verweisen und die Bank auffordern, innerhalb von zwei Wochen zu erstatten. Beachten Sie die absolute Ausschlussfrist: Erstattungsansprüche müssen innerhalb von 13 Monaten nach der Belastungsbuchung geltend gemacht werden (§ 676b Abs. 2 BGB).

    Bleibt die Bank bei ihrer Ablehnung, können Sie den Ombudsmann des zuständigen Bankenverbands einschalten. Das Schlichtungsverfahren ist für Verbraucher kostenlos und führt in vielen Fällen zu einer Einigung. Erst wenn auch die Schlichtung scheitert, bleibt der Klageweg – bei Streitwerten bis 5.000 € ist das Amtsgericht zuständig.

    Beispiel
    3.500 € wurden durch Phishing von Ihrem Konto abgebucht. Sie melden den Vorfall am selben Tag Ihrer Bank. Die Bank verweigert die Erstattung mit der Begründung, Sie hätten grob fahrlässig gehandelt. Über den Ombudsmann Ihres Bankenverbands können Sie eine kostenlose Schlichtung erreichen – erst danach ist der Klageweg erforderlich.

    Starke Kundenauthentifizierung (SCA): Pflichten der Bank

    Seit Inkrafttreten der PSD2-Richtlinie ist die starke Kundenauthentifizierung (§ 55 ZAG) für nahezu alle Online-Zahlungen verpflichtend. Die Bank muss sicherstellen, dass jede Transaktion durch mindestens zwei unabhängige Faktoren bestätigt wird: Wissen (z. B. Passwort), Besitz (z. B. Smartphone) oder Inhärenz (z. B. Fingerabdruck).

    • Zwei-Faktor-Authentifizierung ist für alle Online-Transaktionen Pflicht (§ 55 ZAG).
    • Die TAN muss Betrag und Empfänger der Zahlung anzeigen (dynamische Verknüpfung, § 56 ZAG).
    • Bei Verstößen gegen die SCA-Pflicht haftet grundsätzlich die Bank.
    • Ausnahmen: Kleinbetragszahlungen unter 30 € können ohne SCA erfolgen.
    • Kontaktlose Kartenzahlungen bis 50 € sind ebenfalls von der SCA befreit.

    Zusätzlich muss die Authentifizierung dynamisch mit dem Zahlungsvorgang verknüpft sein (§ 56 ZAG): Die TAN muss den konkreten Betrag und den Empfänger anzeigen. Verstößt die Bank gegen diese Pflichten – etwa weil sie veraltete TAN-Verfahren ohne dynamische Verknüpfung einsetzt – haftet sie grundsätzlich für den entstandenen Schaden, auch wenn der Kunde fahrlässig gehandelt hat.

    Schutzmaßnahmen: So schützen Sie sich vor Phishing

    Der beste Schutz gegen Phishing ist Wachsamkeit und technische Vorsorge. Keine Bank wird Sie jemals per E-Mail oder Telefon auffordern, Ihre Zugangsdaten oder eine TAN einzugeben. Wenn Sie eine solche Aufforderung erhalten, handelt es sich mit hoher Wahrscheinlichkeit um einen Betrugsversuch.

    • Klicken Sie niemals auf Links in E-Mails oder SMS, die angeblich von Ihrer Bank stammen.
    • Geben Sie die Bank-URL immer manuell in den Browser ein oder nutzen Sie die offizielle Banking-App.
    • Geben Sie TAN-Nummern niemals am Telefon weiter – auch nicht an vermeintliche Bankmitarbeiter.
    • Halten Sie Betriebssystem, Browser und Virenscanner aktuell.
    • Aktivieren Sie Push-Benachrichtigungen für Kontobewegungen.
    • Nutzen Sie für Online-Banking kein öffentliches WLAN.
    • Prüfen Sie bei verdächtigen Anrufen die Rückrufnummer über die offizielle Bank-Website.

    Prüfen Sie regelmäßig Ihre Kontoumsätze – idealerweise täglich. Viele Banken bieten Push-Benachrichtigungen für Kontobewegungen an. So erkennen Sie unautorisierte Transaktionen sofort und können innerhalb der gesetzlichen Frist reagieren.

    Fazit

    Bei Phishing und Online-Banking-Betrug ist die Bank grundsätzlich erstattungspflichtig – es sei denn, Sie haben grob fahrlässig gehandelt. Melden Sie unautorisierte Zahlungen sofort, sichern Sie Beweise und nutzen Sie bei Streit den Ombudsmann Ihres Bankenverbands. Präventiv schützen Sie sich am besten, indem Sie TAN-Nummern niemals weitergeben und Kontoumsätze regelmäßig prüfen.

    Häufige Fragen

    Weiterführende Ratgeber

    Themenübergreifend

    Datenschutz und DSGVO – Grundlagen
    Übersicht Bank- & Kapitalmarktrecht
    RG

    Über die Redaktion

    Redaktion Gesetz-Ratgeber

    Redaktionsteam

    Das Redaktionsteam von Gesetz-Ratgeber recherchiert aktuelle Rechtsthemen und bereitet sie verständlich auf. Jeder Artikel durchläuft einen mehrstufigen Qualitätsprozess: Recherche der aktuellen Rechtslage, Abgleich mit Gesetzestexten und Rechtsprechung, verständliche Aufbereitung und abschließende Prüfung. Wir arbeiten unabhängig und finanzieren uns ausschließlich über Werbung und Gastbeiträge – unsere redaktionellen Inhalte sind davon nicht beeinflusst.

    Rechtlicher Hinweis: Dieser Ratgeber dient ausschließlich der allgemeinen Information und ersetzt keine individuelle Rechtsberatung. Trotz sorgfältiger Recherche übernehmen wir keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der Inhalte. Bei konkreten Rechtsfragen wenden Sie sich bitte an einen Rechtsanwalt. Ausführlicher Hinweis: Disclaimer.

    Weiterführende Beiträge

    Bank- & Kapitalmarktrecht

    Kreditvertrag widerrufen: Fristen, Ablauf & Rechtsfolgen

    Verbraucherkreditverträge können unter bestimmten Voraussetzungen widerrufen werden – auch noch Jahre nach Abschluss, wenn die Widerrufsbelehrung fehlerhaft war. Der sogenannte „Widerrufsjoker“ hat vielen Kreditnehmern ermöglicht, teure Darlehen ohne Vorfälligkeitsentschädigung abzulösen. Dieser Ratgeber erklärt, wann ein Widerruf möglich ist, wie Sie vorgehen und welche Rechtsfolgen eintreten.

    Weiterlesen →