Muss die Bank bei Phishing immer erstatten?

Grundsätzlich ja – die Bank trägt das Missbrauchsrisiko bei unautorisierten Zahlungen (§ 675u BGB). Die Bank muss erstatten, es sei denn, sie kann Ihnen grobe Fahrlässigkeit nachweisen. Das bloße Öffnen einer Phishing-Mail reicht nicht für grobe Fahrlässigkeit. Die Bank muss konkret beweisen, dass Sie Ihre Sorgfaltspflichten grob verletzt haben.

Was bedeutet 'grobe Fahrlässigkeit' beim Online-Banking?

Grobe Fahrlässigkeit liegt vor, wenn Sie grundlegende Sicherheitsregeln missachten – etwa wenn Sie auf einer offensichtlich gefälschten Website alle TAN-Nummern eingeben oder Ihre PIN telefonisch weitergeben. Das Klicken auf einen gut gemachten Phishing-Link ist hingegen keine grobe Fahrlässigkeit, da selbst aufmerksame Nutzer getäuscht werden können.

Wie schnell muss die Bank erstatten?

Die Bank muss bei unautorisierten Zahlungen den Betrag bis zum Ende des nächsten Geschäftstages nach Ihrer Anzeige erstatten (§ 675u Abs. 2 BGB). Diese Frist ist zwingend – die Bank darf nicht auf den Abschluss eigener Ermittlungen warten.

Was sind meine Pflichten als Kontoinhaber?

Sie müssen unautorisierte Transaktionen unverzüglich melden (§ 676b BGB), Ihre Zugangsdaten geheim halten, Ihre personalisierte Sicherheitsmerkmale (PIN, TAN) nicht weitergeben und Ihren Computer/Smartphone mit aktueller Software schützen. Die genauen Pflichten ergeben sich aus § 675l BGB.

Gilt die Erstattungspflicht auch bei Kreditkartenbetrug?

Ja. Die Haftungsregeln des BGB gelten für alle Zahlungsinstrumente – also auch für Kreditkarten, Debitkarten und mobile Zahlungsdienste wie Apple Pay oder Google Pay. Bei unautorisierten Kreditkartenzahlungen muss der Kartenaussteller ebenfalls bis zum nächsten Geschäftstag erstatten.

Was tun, wenn die Bank die Erstattung verweigert?

Bestehen Sie schriftlich auf Erstattung unter Verweis auf § 675u BGB. Setzen Sie eine Frist von 5 Tagen. Bei Ablehnung: Ombudsmann einschalten (kostenlos), BaFin-Beschwerde einreichen oder Rechtsanwalt beauftragen. Die Beweislast für grobe Fahrlässigkeit liegt bei der Bank – nicht bei Ihnen.

Online-Betrug: Wann muss die Bank Ihr Geld erstatten?

Veröffentlicht: 12.07.2025| Aktualisiert: 10.05.2026| Lesezeit: 11 Min.

Redaktion AlleAktien Verbraucherschutz

Unabhängige Finanzredaktion

Faktengeprüft

Über unsere Redaktion|Keine bezahlten Empfehlungen

Im Betrugsfall sofort handeln

Wenn Sie einen unautorisierten Kontozugriff bemerken: Sofort Ihre Bank kontaktieren, Konto/Karte sperren lassen (Sperr-Notruf 116 116) und den Vorfall schriftlich anzeigen. Je schneller Sie handeln, desto besser Ihre Erstattungschancen.

Online-Banking-Betrug verursacht in Deutschland jährlich Schäden in dreistelliger Millionenhöhe. Ob Phishing, Social Engineering oder gehackte Konten – Betroffene stehen vor der Frage: Wer haftet für den Schaden? Das Gesetz ist hier eindeutig zugunsten der Verbraucher: Bei unautorisierten Zahlungen muss grundsätzlich die Bank den Schaden tragen. Doch in der Praxis weigern sich viele Institute mit dem pauschalen Verweis auf „grobe Fahrlässigkeit". Wir erklären Ihre Rechte.

Die gesetzliche Haftungsverteilung

Die Haftung bei Zahlungsbetrug ist in den §§ 675u–675w BGB geregelt (Umsetzung der EU-Zahlungsdiensterichtlinie PSD2):

§ 675u BGB (Grundregel): Bei unautorisierten Zahlungsvorgängen hat der Kontoinhaber einen sofortigen Erstattungsanspruch gegen seine Bank. Die Bank muss bis zum Ende des nächsten Geschäftstags erstatten.
§ 675v Abs. 1 BGB (Selbstbehalt): Der Kontoinhaber haftet mit maximal 50 € – es sei denn, die Bank weist grobe Fahrlässigkeit oder Vorsatz nach.
§ 675v Abs. 3 BGB (volle Haftung): Nur bei Vorsatz oder grober Fahrlässigkeit des Kontoinhabers entfällt der Erstattungsanspruch. Die Beweislast liegt bei der Bank.
§ 675w BGB (Beweislast): Die bloße Nutzung eines Zahlungsinstruments beweist noch nicht, dass der Kontoinhaber autorisiert hat oder grob fahrlässig war.

Beweislast liegt bei der Bank

Die Bank muss beweisen, dass Sie grob fahrlässig gehandelt haben. Sie müssen nicht beweisen, dass Sie sorgfältig waren. Allein die Tatsache, dass eine Transaktion technisch korrekt autorisiert wurde (z.B. mit gültiger TAN), beweist noch keine Autorisierung durch Sie (§ 675w Abs. 3 BGB).

Typische Betrugsszenarien und Haftung

Phishing (E-Mail/SMS)

Sie erhalten eine täuschend echt aussehende E-Mail oder SMS, die Sie auf eine gefälschte Banking-Seite lockt. Dort geben Sie unwissentlich Zugangsdaten ein. Die Rechtsprechung ist hier zunehmend verbraucherfreundlich: Wer auf professionell gestaltete Phishing-Angriffe hereinfällt, handelt nicht zwingend grob fahrlässig (LG Oldenburg, Urt. v. 15.01.2016).

Social Engineering / Telefonbetrug

Betrüger rufen an und geben sich als Bankmitarbeiter oder Polizisten aus. Sie überreden das Opfer, TANs freizugeben oder Überweisungen auszulösen. Bei geschickt durchgeführtem Social Engineering liegt nicht automatisch grobe Fahrlässigkeit vor – insbesondere wenn die Anrufer-ID gefälscht wurde (sog. Call-ID-Spoofing).

Man-in-the-Browser / Trojaner

Schadsoftware manipuliert Überweisungsdaten im Browser des Nutzers. Der Nutzer sieht die korrekten Daten, tatsächlich werden andere Beträge an andere Empfänger überwiesen. Hier haftet die Bank fast immer, da der Nutzer die Manipulation nicht erkennen konnte.

Kartenmissbrauch am Geldautomaten

Skimming (Auslesen der Kartendaten) oder Shoulder-Surfing (Ausspähen der PIN). Die Bank haftet, es sei denn, der Kunde hat die PIN auf der Karte notiert oder zusammen mit der Karte aufbewahrt.

So gehen Sie bei Betrug vor

Sofort sperren

Rufen Sie den Sperr-Notruf 116 116 an oder sperren Sie Ihr Konto/Ihre Karte im Online-Banking. Ändern Sie alle Zugangsdaten. Jede Minute zählt.

Bank schriftlich informieren

Melden Sie den Betrugsfall schriftlich (E-Mail mit Lesebestätigung oder Fax). Beschreiben Sie genau, was passiert ist, und fordern Sie Erstattung nach § 675u BGB.

Strafanzeige erstatten

Erstatten Sie Anzeige bei der Polizei (auch online möglich). Das Aktenzeichen dokumentiert den Vorfall und stärkt Ihre Position gegenüber der Bank.

Beweise sichern

Screenshots der Phishing-Mail/SMS, Anrufliste, Browser-Verlauf – sichern Sie alles, was den Betrug dokumentiert. Diese Beweise können entscheidend sein.

Wenn die Bank nicht zahlen will

Viele Banken versuchen, die Erstattung mit dem pauschalen Vorwurf der groben Fahrlässigkeit abzulehnen. Ihre Optionen:

Schriftlich widersprechen: Fordern Sie die Bank auf, den konkreten Nachweis Ihrer groben Fahrlässigkeit zu erbringen. Allgemeine Behauptungen reichen nicht.
Ombudsmann: Das kostenlose Schlichtungsverfahren ist bei Streitwerten unter 10.000 € für die Bank bindend (Bankenombudsmann).
BaFin-Beschwerde: Die BaFin überwacht die Einhaltung der Erstattungspflichten und kann Maßnahmen gegen die Bank ergreifen.
Klage: Bei höheren Beträgen lohnt sich ein Fachanwalt. Die Erfolgsquoten vor Gericht sind bei Verbrauchern hoch, da die Bank die Beweislast trägt.

Häufig gestellte Fragen

Weiterführende Artikel

Online-Betrug: Wann muss die Bank Ihr Geld erstatten?

Veröffentlicht: 12.07.2025| Aktualisiert: 10.05.2026| Lesezeit: 11 Min.

Redaktion AlleAktien Verbraucherschutz

Unabhängige Finanzredaktion

Faktengeprüft

Über unsere Redaktion|Keine bezahlten Empfehlungen

Im Betrugsfall sofort handeln

Die gesetzliche Haftungsverteilung

Die Haftung bei Zahlungsbetrug ist in den §§ 675u–675w BGB geregelt (Umsetzung der EU-Zahlungsdiensterichtlinie PSD2):

§ 675u BGB (Grundregel): Bei unautorisierten Zahlungsvorgängen hat der Kontoinhaber einen sofortigen Erstattungsanspruch gegen seine Bank. Die Bank muss bis zum Ende des nächsten Geschäftstags erstatten.
§ 675v Abs. 1 BGB (Selbstbehalt): Der Kontoinhaber haftet mit maximal 50 € – es sei denn, die Bank weist grobe Fahrlässigkeit oder Vorsatz nach.
§ 675v Abs. 3 BGB (volle Haftung): Nur bei Vorsatz oder grober Fahrlässigkeit des Kontoinhabers entfällt der Erstattungsanspruch. Die Beweislast liegt bei der Bank.
§ 675w BGB (Beweislast): Die bloße Nutzung eines Zahlungsinstruments beweist noch nicht, dass der Kontoinhaber autorisiert hat oder grob fahrlässig war.

Beweislast liegt bei der Bank

Typische Betrugsszenarien und Haftung

Phishing (E-Mail/SMS)

Social Engineering / Telefonbetrug

Man-in-the-Browser / Trojaner

Kartenmissbrauch am Geldautomaten

Skimming (Auslesen der Kartendaten) oder Shoulder-Surfing (Ausspähen der PIN). Die Bank haftet, es sei denn, der Kunde hat die PIN auf der Karte notiert oder zusammen mit der Karte aufbewahrt.

So gehen Sie bei Betrug vor

Sofort sperren

Rufen Sie den Sperr-Notruf 116 116 an oder sperren Sie Ihr Konto/Ihre Karte im Online-Banking. Ändern Sie alle Zugangsdaten. Jede Minute zählt.

Bank schriftlich informieren

Melden Sie den Betrugsfall schriftlich (E-Mail mit Lesebestätigung oder Fax). Beschreiben Sie genau, was passiert ist, und fordern Sie Erstattung nach § 675u BGB.

Strafanzeige erstatten

Erstatten Sie Anzeige bei der Polizei (auch online möglich). Das Aktenzeichen dokumentiert den Vorfall und stärkt Ihre Position gegenüber der Bank.

Beweise sichern

Screenshots der Phishing-Mail/SMS, Anrufliste, Browser-Verlauf – sichern Sie alles, was den Betrug dokumentiert. Diese Beweise können entscheidend sein.

Wenn die Bank nicht zahlen will

Viele Banken versuchen, die Erstattung mit dem pauschalen Vorwurf der groben Fahrlässigkeit abzulehnen. Ihre Optionen:

Schriftlich widersprechen: Fordern Sie die Bank auf, den konkreten Nachweis Ihrer groben Fahrlässigkeit zu erbringen. Allgemeine Behauptungen reichen nicht.
Ombudsmann: Das kostenlose Schlichtungsverfahren ist bei Streitwerten unter 10.000 € für die Bank bindend (Bankenombudsmann).
BaFin-Beschwerde: Die BaFin überwacht die Einhaltung der Erstattungspflichten und kann Maßnahmen gegen die Bank ergreifen.
Klage: Bei höheren Beträgen lohnt sich ein Fachanwalt. Die Erfolgsquoten vor Gericht sind bei Verbrauchern hoch, da die Bank die Beweislast trägt.