Online-Banking-Haftung: Wer zahlt bei Betrug – Bank oder Kunde?

Gesetzliche Grundlagen: Was das BGB bei Online-Banking-Betrug regelt

Bei Online-Banking-Betrug haftet grundsätzlich die Bank – nicht der Kunde. Das ist der Ausgangspunkt, den das Bürgerliche Gesetzbuch klar festlegt. Ob dieser Grundsatz im Einzelfall gilt, hängt von drei Paragraphen ab, die du kennen solltest.

§ 675u BGB: Die Erstattungspflicht der Bank. Hat ein Zahlungsvorgang ohne deine Zustimmung stattgefunden, ist er nicht autorisiert. In diesem Fall hat die Bank keinen Anspruch auf Aufwendungsersatz gegen dich. Sie muss den abgebuchten Betrag unverzüglich zurückbuchen und dein Konto auf den Stand vor der Belastung zurücksetzen. Die gesetzliche Frist ist eng: spätestens bis zum Ende des Geschäftstags, der auf deine Meldung folgt. Außerdem gilt eine Reklamationsfrist von 13 Monaten ab Kontobelastung – wer länger wartet, riskiert seinen Anspruch.

§ 675v BGB: Wann du selbst haftest. Der Gesetzgeber unterscheidet zwischen einfacher und grober Fahrlässigkeit. Bei einfacher Fahrlässigkeit ist deine Haftung auf maximal 50 Euro begrenzt. Das klingt fair – und ist es auch. Bei grober Fahrlässigkeit oder Vorsatz dreht sich das Bild: Die Bank kann die Erstattung vollständig verweigern und Schadensersatz verlangen. Die Grenze zwischen einfacher und grober Fahrlässigkeit ist deshalb der entscheidende Streitpunkt in fast jedem Betrugsfall.

§ 675w BGB: Die Beweislast liegt bei der Bank. Das ist der vielleicht wichtigste Paragraph für Verbraucher. Du musst deine Unschuld nicht beweisen. Die Bank muss nachweisen, dass du die Zahlung autorisiert hast. Ein sogenannter Anscheinsbeweis zugunsten der Bank kommt nur dann in Betracht, wenn das eingesetzte Sicherungsverfahren praktisch unüberwindbar ist, im konkreten Fall ordnungsgemäß angewendet wurde und fehlerfrei funktioniert hat. Diese Voraussetzungen sind eng gefasst – das hat der Bundesgerichtshof bereits 2016 klargestellt.

PSD2 und Starke Kundenauthentifizierung (SCA). Seit der europäischen Zahlungsdiensterichtlinie PSD2 sind Banken verpflichtet, bei Online-Zahlungen eine Zwei-Faktor-Authentifizierung einzusetzen. Hat die Bank diese Pflicht verletzt – also keine starke Kundenauthentifizierung verlangt, obwohl sie es hätte tun müssen – haftet sie vollständig. Und zwar selbst dann, wenn du grob fahrlässig gehandelt hast. Das ist ein starkes Instrument für Verbraucher, das in der Praxis oft übersehen wird.

Autorisiert oder nicht autorisiert – das ist die zentrale Frage. Ein Zahlungsvorgang gilt als autorisiert, wenn du ausdrücklich zugestimmt hast, etwa durch Eingabe einer TAN oder PIN. Nicht autorisiert bedeutet: keine Zustimmung, weder vorab noch nachträglich. Genau diese Abgrenzung entscheidet darüber, ob du einen Erstattungsanspruch nach § 675u BGB hast oder nicht. In der Praxis versuchen Banken häufig, eine Autorisierung zu konstruieren – selbst wenn du durch Betrug zur Eingabe einer TAN verleitet wurdest.

Phishing & Online-Banking-Betrug in Zahlen: Die aktuelle Bedrohungslage

Online-Banking-Betrug ist kein Randphänomen. Die Zahlen zeigen, wie massiv die Bedrohung gewachsen ist – und warum das Thema Haftung für immer mehr Menschen konkret wird.

In Deutschland wurden 2024 rund 37,5 Millionen Phishing-Angriffe blockiert. Das entspricht einem Anstieg von 15,7 Prozent gegenüber dem Vorjahr, als es noch 32,4 Millionen waren. Weltweit stieg die Zahl blockierter Phishing-Angriffe von 710 Millionen im Jahr 2023 auf 893 Millionen im Jahr 2024 – ein Plus von 26 Prozent. Diese Zahlen erfassen nur die abgewehrten Angriffe. Wie viele erfolgreich waren, lässt sich nur schätzen.

Deutschland steht dabei besonders im Fokus. Im europäischen Vergleich belegt das Land Platz 4 bei tatsächlichen Betrugsfällen. Gleichzeitig stammen 14 Prozent aller weltweit versendeten Phishing-E-Mails aus Deutschland – das Land ist also nicht nur Ziel, sondern auch Ursprungsland von Angriffen. Der wirtschaftliche Schaden durch Finanzkriminalität in Deutschland beläuft sich auf 267 Milliarden Euro, was Platz 7 unter 30 europäischen Wirtschaftsraum-Ländern bedeutet.

Phishing ist mit einem Anteil von 24,5 Prozent die häufigste Betrugsmasche weltweit. Das heißt: Fast jeder vierte Betrugsfall beginnt mit einer gefälschten E-Mail, SMS oder Webseite, die Zugangsdaten oder TANs abgreift. Die Methoden werden dabei immer professioneller. Täter nutzen heute Call-ID-Spoofing, um mit der echten Telefonnummer deiner Bank anzurufen, bauen täuschend echte Kopien von Banking-Portalen und setzen auf psychologischen Druck, um schnelle Reaktionen zu erzwingen.

Die Bundesanstalt für Finanzdienstleistungsaufsicht hat Cyber-Vorfälle als eines der zentralen Fokusrisiken für 2026 eingestuft. Das ist kein Zufall: Die Professionalisierung der Angreifer stellt Banken und Kunden gleichermaßen vor neue Herausforderungen. Für die Haftungsfrage bedeutet das: Die Grenze zwischen „einfacher Fahrlässigkeit“ und „grober Fahrlässigkeit“ wird von Gerichten zunehmend unter dem Gesichtspunkt bewertet, wie professionell der Angriff war – und ob ein durchschnittlicher Bankkunde ihn hätte erkennen können.

Was diese Zahlen für dich als Bankkunde bedeuten: Die Wahrscheinlichkeit, Ziel eines Angriffs zu werden, ist real und steigt. Gleichzeitig zeigen die Haftungsurteile der letzten Jahre, dass Gerichte immer differenzierter urteilen – je professioneller der Angriff, desto schwieriger ist es für die Bank, grobe Fahrlässigkeit nachzuweisen. Das gibt Betrugsopfern durchaus Chancen, ihr Geld zurückzubekommen.

Wann haftet die Bank, wann der Kunde? Die entscheidenden Konstellationen

Die Haftungsfrage beim Online-Banking-Betrug lässt sich nicht pauschal beantworten. Es kommt auf die genaue Konstellation an. Hier sind alle relevanten Szenarien im Überblick – mit den zugehörigen Rechtsgrundlagen.

Konstellation 1: Nicht autorisierte Zahlung, kein Kundenverschulden. Das ist der klare Fall: Jemand hat ohne dein Wissen und ohne deine Mitwirkung Geld von deinem Konto abgebucht. Du hast nichts falsch gemacht. Die Bank haftet vollständig nach § 675u BGB und muss unverzüglich erstatten. In der Praxis passiert das etwa bei Datenlecks auf Bankseite oder bei technischen Angriffen auf die Bankinfrastruktur.

Konstellation 2: Einfache Fahrlässigkeit des Kunden. Du hast einen kleinen Fehler gemacht – etwa eine E-Mail nicht genau genug geprüft oder ein schwaches Passwort verwendet. Solange das keine besonders schwere Sorgfaltspflichtverletzung ist, haftest du maximal 50 Euro. Den Rest muss die Bank tragen. Diese 50-Euro-Grenze ist gesetzlich verankert und kann vertraglich nicht zu deinen Lasten verschoben werden.

Konstellation 3: Grobe Fahrlässigkeit oder Vorsatz. Hier dreht sich das Bild vollständig. Wenn du grob fahrlässig gehandelt hast – also eine Sorgfaltspflicht in besonders schwerem Maße verletzt hast, die jedem hätte einleuchten müssen – kann die Bank die Erstattung vollständig verweigern. Du haftest dann für den gesamten Schaden. Was genau als grob fahrlässig gilt, erklärt der nächste Abschnitt ausführlich.

Konstellation 4: Bank hat keine Starke Kundenauthentifizierung eingesetzt. Das ist die Trumpfkarte für Verbraucher. War die Bank nach PSD2 verpflichtet, eine Zwei-Faktor-Authentifizierung einzusetzen, hat sie das aber unterlassen, haftet sie vollständig – selbst wenn du grob fahrlässig gehandelt hast. Diese Regelung schützt Kunden vor Banken, die Sicherheitspflichten vernachlässigen.

Konstellation 5: Kunde wurde durch Betrug zur Autorisierung verleitet. Das ist der schwierigste Fall und gleichzeitig der häufigste in der aktuellen Betrugspraxis. Du hast die TAN selbst eingegeben – aber nur, weil dich Betrüger dazu gebracht haben. Die Bank argumentiert dann: Du hast autorisiert. Gerichte prüfen hier sehr genau, ob grobe Fahrlässigkeit vorlag. Die Beweislast liegt weiterhin bei der Bank. Der Ausgang hängt stark von den konkreten Umständen ab.

Ein wichtiger Punkt, den viele Betrugsopfer nicht kennen: Die Beweislast liegt stets bei der Bank. Du musst nicht beweisen, dass du unschuldig bist. Die Bank muss nachweisen, dass du grob fahrlässig gehandelt hast. Pauschale Ablehnungsschreiben ohne konkrete Begründung sind rechtlich nicht ausreichend. Wer eine solche Ablehnung erhält, sollte schriftlich Widerspruch einlegen und eine angemessene Frist zur Erstattung setzen.

Grobe Fahrlässigkeit: Was Gerichte als Haftungsausschluss werten

Grobe Fahrlässigkeit ist der entscheidende Begriff, wenn es um die Frage geht, ob du auf deinem Schaden sitzen bleibst. Die rechtliche Definition klingt abstrakt: Eine besonders schwere Verletzung der im Verkehr erforderlichen Sorgfalt, bei der das unbeachtet gelassen wird, was im gegebenen Fall jedem hätte einleuchten müssen. In der Praxis haben Gerichte diese Definition mit konkreten Verhaltensweisen gefüllt – und die Urteile der letzten Jahre zeigen eine klare Linie.

BGH, 22. Juli 2025 (Az. XI ZR 107/24): TAN-Weitergabe nach Call-ID-Spoofing. Das ist das aktuell wichtigste Urteil für Bankkunden. Ein Betrüger rief mit der echten Telefonnummer der Bank an – sogenanntes Call-ID-Spoofing. Er gab sich als Bankmitarbeiter aus und bat um eine TAN zur angeblichen Sicherheitsüberprüfung. Der Kunde gab die TAN weiter. Schaden: 35.555 Euro. Das Ergebnis: grobe Fahrlässigkeit. Der BGH stellte klar, dass Banken niemals per Telefon nach TANs fragen. Wer das nicht weiß, handelt grob fahrlässig – auch wenn der Angriff professionell war.

OLG Frankfurt, 3. Juli 2025 (Az. 23 U 94/24): photoTAN ohne Prüfung bestätigt. Ein Kunde bestätigte eine Transaktion per photoTAN, ohne die angezeigten Transaktionsdetails – Empfänger und Betrag – zu prüfen. Das Oberlandesgericht Frankfurt wertete das als grobe Fahrlässigkeit. Der Sinn der photoTAN liegt gerade darin, die Transaktionsdaten zu verifizieren. Wer das überspringt, verletzt eine elementare Sorgfaltspflicht.

LG Heidelberg, 13. Mai 2025 (Az. 2 O 233/24): SecureGo-Aktivierungscode weitergegeben. Betrüger gaben sich als Bankmitarbeiter aus und baten um den Freischaltcode für das SecureGo-Verfahren. Der Kunde gab ihn weiter. Schaden: 33.800 Euro. Das Landgericht Heidelberg urteilte: grobe Fahrlässigkeit. Die Weitergabe eines Aktivierungscodes an unbekannte Personen am Telefon ist eine Sorgfaltspflichtverletzung, die jedem hätte einleuchten müssen.

LG Düsseldorf, 27. März 2014 (Az. 21 S 211/13): 120 TANs auf gefälschter Webseite. Eine Kundin gab insgesamt 120 TANs auf einer erkennbar gefälschten Webseite ein. Aufgrund ihrer Erfahrung mit Online-Banking wertete das Gericht das als grob fahrlässig. Wer so viele TANs eingibt, ohne stutzig zu werden, verletzt die Sorgfaltspflicht in besonders schwerem Maße.

Aber es gibt auch die andere Seite. Das Landgericht Kiel sprach 2018 einem Phishing-Opfer rund 28.000 Euro zu – weil die Sparkasse grobe Fahrlässigkeit nicht nachweisen konnte. Und das Landgericht Bonn entschied im März 2026, dass eine Bank erstatten muss, weil sie im konkreten Fall nicht belegen konnte, dass der Kunde grob fahrlässig gehandelt hatte. Diese Urteile zeigen: Die Beweislast der Bank ist real und nicht leicht zu erfüllen.

Verhaltensweisen, die Gerichte regelmäßig als grob fahrlässig einstufen, im Überblick:

• Weitergabe von TANs an Dritte – auch wenn diese sich als Bankmitarbeiter ausgeben
• Eingabe von Zugangsdaten auf erkennbar gefälschten Webseiten mit fehlerhaften URLs
• Installation von Apps aus unbekannten Quellen, die angeblich für das Online-Banking nötig sind
• Ignorieren klarer Warnsignale in Phishing-E-Mails (Rechtschreibfehler, unpersönliche Anrede)
• Bestätigen von Transaktionen per photoTAN ohne Prüfung von Empfänger und Betrag
• Weitergabe eines Freischaltcodes für Banking-Apps an unbekannte Personen

BGH-Rechtsprechung 2024 und 2025: Was die aktuellen Urteile für Bankkunden bedeuten

Die Bundesgerichtshof-Urteile der letzten zwei Jahre haben die Rechtslage beim Online-Banking-Betrug erheblich geschärft. Das Ergebnis ist ein Spannungsfeld: Einerseits stärken die Urteile die Rechte von Verbrauchern durch klare Beweislastregeln. Andererseits ziehen sie bei grober Fahrlässigkeit eine harte Grenze.

BGH, 5. März 2024 (Az. XI ZR 107/22): Die Beweislast liegt bei der Bank. Dieses Urteil ist das wichtigste der letzten Jahre für Bankkunden. Der BGH stellte unmissverständlich klar: Bei nicht autorisierten Zahlungsvorgängen trägt die Bank die Beweislast dafür, dass die Transaktionen vom Kunden autorisiert wurden. Das gilt unabhängig davon, ob die Bank Ersatzansprüche geltend macht oder der Kunde eine Wiedergutschrift fordert. Für den Ausschluss der Kundenhaftung ist nur entscheidend, ob die starke Kundenauthentifizierung für den streitgegenständlichen Zahlungsvorgang verlangt wurde. Dieses Urteil hat die Verhandlungsposition von Betrugsopfern gegenüber ihren Banken deutlich verbessert.

BGH, 26. Januar 2016 (Az. XI ZR 91/14): Anscheinsbeweis nur unter engen Voraussetzungen. Dieses ältere Urteil bleibt relevant, weil es die Voraussetzungen für den Anscheinsbeweis zugunsten der Bank eng definiert. Die Bank kann sich nur dann auf einen Anscheinsbeweis stützen, wenn das eingesetzte Sicherungsverfahren praktisch unüberwindbar ist, im konkreten Einzelfall ordnungsgemäß angewendet wurde und fehlerfrei funktioniert hat. Alle drei Voraussetzungen müssen gleichzeitig erfüllt sein. In der Praxis ist das für Banken schwer zu belegen.

BGH, 22. Juli 2025 (Az. XI ZR 107/24): Auch professionelles Spoofing schützt nicht vor Fahrlässigkeitsvorwurf. Dieses Urteil ist ein Dämpfer für Betrugsopfer, die durch besonders professionelle Angriffe geschädigt wurden. Der BGH entschied, dass selbst Call-ID-Spoofing – also das Vortäuschen der echten Bankrufnummer – den Kunden nicht von der Verantwortung befreit, wenn er eine TAN weitergibt. Der Schaden betrug 35.555 Euro. Die Begründung: Banken fragen niemals telefonisch nach TANs. Das ist eine Grundregel des Online-Bankings, die jeder Kunde kennen muss.

Was bedeutet das in der Praxis? Das Spannungsfeld ist real. Auf der einen Seite: Die Bank muss beweisen, dass du grob fahrlässig warst – und das ist keine leichte Aufgabe. Auf der anderen Seite: Wenn du eine TAN weitergegeben hast, ist dieser Beweis für die Bank in der Regel leicht zu führen. Der Schlüssel liegt also darin, ob du eine TAN oder einen Aktivierungscode weitergegeben hast oder nicht.

Für Verbraucher ergibt sich daraus eine klare Handlungsempfehlung: Erstattungsanspruch geltend machen, auch wenn die Bank zunächst ablehnt. Banken lehnen häufig pauschal ab, ohne den konkreten Nachweis grober Fahrlässigkeit zu erbringen. Wer schriftlich Widerspruch einlegt und auf § 675u und § 675w BGB verweist, hat oft bessere Karten als gedacht. Im Zweifel hilft die Schlichtungsstelle der Banken oder ein auf Bankrecht spezialisierter Anwalt.

Die Gerichtsurteile zeigen außerdem: Selbst wenn du in einem Fall verlierst, kann ein ähnlicher Fall anders entschieden werden. Die Umstände des Einzelfalls – wie professionell war der Angriff, welche Warnsignale gab es, wie erfahren bist du im Online-Banking – spielen immer eine Rolle. Pauschale Aussagen wie „Du hast die TAN eingegeben, also hast du autorisiert“ sind rechtlich nicht haltbar.

Rückbuchungsfristen und Rückholmöglichkeiten nach Zahlungsart

Nicht jede Zahlungsart bietet die gleichen Chancen, Geld zurückzuholen. Die Fristen und Möglichkeiten unterscheiden sich erheblich – und im Betrugsfall zählt oft jede Stunde.

Überweisung (selbst getätigt): Das ist der schwierigste Fall. Sobald die Bank den Auftrag ausgeführt hat, gibt es keine gesetzliche Rückbuchungsfrist. Die einzige Chance ist ein sofortiger Anruf bei der Bank, bevor die Überweisung ausgeführt wird. Ob das klappt, hängt von Tageszeit und Wochentag ab. Nachts oder am Wochenende ist die Chance gering. Wurde die Überweisung bereits ausgeführt, bleibt nur der zivilrechtliche Weg gegen den Empfänger – der bei Betrügern meist ins Leere läuft.

SEPA-Lastschrift (autorisiert): Hier hast du 8 Wochen ab Kontobelastung Zeit, die Lastschrift ohne Angabe von Gründen zurückzubuchen. Das gilt für alle autorisierten SEPA-Lastschriften. Du musst deiner Bank lediglich mitteilen, dass du die Lastschrift zurückbuchen möchtest. Kein Nachweis, keine Begründung erforderlich.

SEPA-Lastschrift (nicht autorisiert): Wenn du der Lastschrift nie zugestimmt hast – also kein Mandat erteilt wurde – hast du 13 Monate ab dem Zeitpunkt, zu dem die Bank dich über die Belastung informiert hat. Das ist eine deutlich längere Frist und greift bei echten Betrugsfällen.

Nicht autorisierter Zahlungsvorgang allgemein: 13 Monate ab Kontobelastung, kombiniert mit der Pflicht zur unverzüglichen Meldung nach Kenntnisnahme. Beide Voraussetzungen müssen erfüllt sein.

Kreditkarte (Chargeback): Das Chargeback-Verfahren über die kartenausgebende Bank ist bei Betrug oft erfolgreich. Die genaue Frist hängt vom Kartenanbieter und dem Kartennetzwerk ab. Bearbeitungsgebühren können anfallen. Im Betrugsfall solltest du sofort die Karte sperren lassen und das Chargeback beantragen.

PayPal und ähnliche Dienste: Der Käuferschutz gilt bei Warenverkäufen innerhalb von 180 Tagen ab Transaktion – bei Nichtlieferung oder Abweichung von der Beschreibung. Bei Gewinnspielen, digitalen Gütern oder reinen Geldüberweisungen greift er in der Regel nicht. Wichtig: PayPal-Zahlungen an Freunde und Familie sind grundsätzlich vom Käuferschutz ausgenommen.

Bargeldtransferdienste: Bei Anbietern wie Western Union oder MoneyGram ist eine Rückholung nur möglich, solange der Empfänger das Geld noch nicht abgeholt hat. Sofortiger Anruf bei der Betrugshotline des Anbieters ist zwingend erforderlich. Jede Minute zählt.

Sofortmaßnahmen bei Online-Banking-Betrug: Was du jetzt tun musst

Wenn du merkst, dass Geld von deinem Konto verschwunden ist oder du Opfer eines Betrugsversuchs geworden bist, zählt jede Minute. Die folgenden fünf Schritte solltest du sofort und in dieser Reihenfolge unternehmen.

Schritt 1: Online-Banking sofort sperren lassen. Ruf unverzüglich den zentralen Sperr-Notruf 116 116 an. Dieser Notruf ist rund um die Uhr erreichbar und gilt für alle deutschen Banken und Sparkassen. Alternativ rufst du direkt die Hotline deiner Bank an. Wichtig: Nutze dafür ein anderes Gerät als das, das möglicherweise kompromittiert ist. Wenn du auf deinem Smartphone Online-Banking betreibst und dieses befallen sein könnte, ruf von einem anderen Telefon an.

Schritt 2: Passwörter auf einem sauberen Gerät ändern. Ändere sofort alle Passwörter, die mit deinem Banking zusammenhängen – E-Mail-Konto, Online-Banking-Zugang, alle Dienste, die dieselben Zugangsdaten verwenden. Nutze dafür ausschließlich ein Gerät, das du für sicher hältst. Wenn dein Computer mit Malware infiziert sein könnte, nutze das Smartphone eines Familienmitglieds oder einen öffentlichen Computer.

Schritt 3: Gerät auf Malware scannen. Lass deinen Computer oder dein Smartphone von einer aktuellen Antivirensoftware scannen. Wenn du eine Schadsoftware installiert hast – etwa eine App aus unbekannter Quelle – entferne sie sofort. Im Zweifel ist ein vollständiges Zurücksetzen auf Werkseinstellungen die sicherste Option.

Schritt 4: Strafanzeige bei der Polizei erstatten. Erstattet Strafanzeige – entweder persönlich bei der nächsten Polizeidienststelle oder online über die Onlinewache deines Bundeslandes. Die Anzeige ist wichtig für das Verfahren gegen die Täter, aber auch für deine eigene Dokumentation. Bewahre die Eingangsbestätigung auf.

Schritt 5: Schriftliche Erstattungsforderung an die Bank. Fordere deine Bank schriftlich zur Erstattung nach § 675u BGB auf. Setze eine angemessene Frist von 14 Tagen. Beschreibe den Sachverhalt sachlich und vollständig. Verweise auf die gesetzliche Erstattungspflicht und die Beweislast der Bank nach § 675w BGB. Schicke das Schreiben per Einschreiben mit Rückschein, damit du den Zugang nachweisen kannst.

Wenn die Bank die Erstattung ablehnt oder nicht innerhalb der gesetzlichen Frist reagiert, hast du weitere Optionen. Die Schlichtungsstelle der Deutschen Bundesbank und der Ombudsmann der privaten Banken bieten kostenlose außergerichtliche Streitbeilegung an. Als letztes Mittel bleibt der Klageweg – bei Beträgen bis 5.000 Euro ist das Amtsgericht zuständig, darüber das Landgericht.

Dokumentiere von Anfang an alles: Screenshots der betrügerischen E-Mails oder Webseiten, Kontoauszüge mit den unautorisierten Abbuchungen, alle Kommunikation mit der Bank. Diese Dokumentation ist entscheidend, wenn es zu einem Rechtsstreit kommt.