Mehr Infos

Online-Banking-Betrug: Wer haftet?

von | Jan. 20, 2026 | Bankrecht und Kapitalmarktrecht

In diesem Ratgeber beschäftigen wir uns mit dem Thema Online-Banking-Betrug: Wer haftet? Zunächst gilt: Onlinebanking bietet einen schnellen Zugang zum Konto, gleichzeitig nutzen Betrüger jede Lücke, um an Geld oder Daten zu kommen. Viele Fälle beginnen mit Phishing-Mails, vermeintlichen SMS der “Bank”, falschen Banking-Webseiten, einem unerwarteten Anruf oder Nachrichten, die angeblich von einer Bank, einer Sparkasse oder einem bekannten Unternehmen stammen. Auch Kleinanzeigen sind oft Einfallstore. Kriminelle setzen dabei auf Druck, Stress und täuschend echte Hinweise. Dadurch wirken ihre Tricks plausibel und Betroffene merken oft erst zu spät, dass sie in eine Falle geraten sind.

Technische Angriffe laufen über Schadsoftware, gefälschte Banking-Apps oder manipulierte Überweisungsvorgänge. Social Engineering zielt dagegen auf das Verhalten der Opfer ab. Täter geben sich als Bankmitarbeitende aus, fragen nach Zugangsdaten oder bewegen Nutzer dazu, eine autorisiert wirkende Freigabe zu bestätigen. Beide Wege führen am Ende zum gleichen Schaden.

Sind Sie Opfer eines Online-Banking-Betrugs geworden? Die Kanzlei Heinemann weiß genau, worauf es ankommt. Unser Anwalt für Bankrecht in Magdeburg verhilft Ihnen zu Ihrem Recht und begrenzt den Schaden.

Betrugsarten im Online-Banking auf einen Blick:

  • Phishing: Betrüger versuchen, über gefälschte E-Mails an Zugangsdaten zum Konto zu gelangen. Enthalten sind Links zu falschen Banking-Seiten sowe oft Hinweise auf angebliche Sperrungen. Dadurch gelangen Betrüger an Zugangsdaten.
  • Smishing: Wie bei gefälschten E-Mails versuchen Betrüger über gefälschte SMS an Zugangsdaten zum Konto zu gelangen. Anlog zum Call-ID-Spoofing (s. u.) scheint hier häufig die SMS von einer Nummer zu stammen, welche auch der Bankkunde für seine Kommunikation nutzt (SMS-Spoofing). Um den Bankkunden gefügt zu machen, werden in den SMS häufig “Warnhinweise” dergestalt erteilt, dass eine kurzfristige Kontoaktualisierung notwendig ist, andernfalls das Konto gesperrt wird. Auch hier führen Links zu falschen Banking-Seiten die zur Eingabe von Kontoinformation en auffordern. Dadurch gelangen Betrüger an Zugangsdaten. Hervorgehoben werden in diesem Zusammenhang folgende Maschen:
    • Dem Bankkunden wird eine SMS zugesandt und mitgeteilt, dass „die Banking-App mit einem neuen Gerät verknüpft“ oder es nur heißt, dass eine ”Verknüpfung mit Ihrem Konto“ vorgenommen und um Bestätigung mit einer TAN aufgefordert wird.
    • Mithilfe abgefischter Kreditkartendaten wird “per Wischen mit einer damit verbundenen TAN eine virtuelle Kreditkarte freigegeben”, die dann vom jeweiligen Mehrzweckendgerätebesitzer unter Benutzung einer starken Kundenauthentifizierung ohne Kenntnis des Kunden verwendet werden kann.
  • Voice Phishing oder Vishing: Betrüger kontaktieren den Bankkunden und bringen ihn betrügerisch dazu, im Online-Banking Zahlungen auszulösen. In vielen Fällen wurden zuvor auf anderen Konten des betreffenden Bankkunden vorhandene Guthaben auf das Girokonto transferiert (gebündelt) und ggf. bestehende Tageslimits deaktiviert. Bei solchen Anrufen werden häufig auch die Absenderrufnummern manipuliert (Call-ID-Spoofing), so dass beim Bankkunden der Eindruck erweckt wird, der Anruf stamme von der Bank.
  • Quishing: Hier handelt es sich um Phishing mit QR-Code. Die Bankkunden werden hier regelmäßig auf eine gefälschte Internetseite ihrer Hausbank geführt und aufgefordert, sich für das Online-Bankig anzumelden und eine Autorisierung mittels TAN-Bestätigung auf dem Smartphone vorzunehmen. Die so eingegebenen Daten werden dann von Betrügern zur Kontoplünderung genutzt.
  • Kleinanzeigen-Betrug: Betrüger geben sich als Kaufinteressenten aus, locken Bankkunden auf gefakte Bankseiten und veranlassen sie unter Hinweis auf die Nutzung der Sicher-Bezahlen-Funktion des Kleinanzeigen-Portals, persönliche Daten, Kreditkarten- und Kontodaten, Anmeldedaten etc. auf einer dafür vorgesehenen Seite einzugeben. Sodann werden die preisgegebenen Daten für die Kontoplünderung genutzt. In diesem Zusammenhang werden von den Betrügern auch QR-Codes übersandt um “schnell” auf die Seite zur Eingabe der genannten Daten zu gelangen.

Bei der Haftung im Zusammenhang mit dem sich im Online-Banking ereigneten Betrugsfall stellt sich regelmäßig die Frage, ob der Kontoinhaber grob fahrlässig gehandelt hat. Gerichte prüfen dann, ob ein ggf. vorliegendes Verschulden des Kontoinhabers als grob fahrlässig oder nur als einfach fahrlässig zu bewerten ist.

Haben Sie selbst Schaden durch Online-Betrügereien genommen, verhilft Ihnen unser Anwalt für Phishing zu Ihrem Recht. Treten Sie direkt mit unserer Kanzlei in Kontakt.

Wer haftet bei Online-Banking-Betrug? Grundregeln zum Thema

Gesetzliche Grundregeln

Bei einem Online-Banking-Betrug haben die gesetzlichen Vorschriften des § 675u BGB und § 675v BGB zentrale Bedeutung bei der Bewertung des Verhaltens von Banken und Kundinnen oder Kunden und Entscheidung über Anspruch und Haftung. Diese Regeln basieren auf der europäischen Zahlungsdiensterichtlinien PSD 1 und PSD 2. In der heutigen Form bestehen die beiden Regelungen seit 13.01.2018 aufgrund der Umsetzung der PSD 2

Erstattungsanspruch des Bankkunden

Der Kern ist einfach: Ein betrügerischer Zugang zum Konto im Wege des Online-Banking hat regelmäßig eine vom betroffenen Bankkunden nicht autorisierte Überweisung zur Folge. Eine solche Überweisung braucht der Bankkunde grundsätzlich nicht zu tragen. Er hat vielmehr einen Erstattungs- und Kontoberichtigungsanspruch (nachfolgend nur “Erstattungsanspruch”) gegen seine Bank als seinen Zahlungsdienstleister. Die Bank muss den Betrag dann nach § 675u BGB grundsätzlich erstatten. Und zwar hat die Bank dann ihre Erstattungspflicht unverzüglich, spätestens jedoch bis zum Ende des Geschäftstags zu erfüllen, der auf den Tag folgt, an welchem dem Zahlungsdienstleister angezeigt wurde, dass der Zahlungsvorgang nicht autorisiert ist, oder er auf andere Weise davon Kenntnis erhalten hat.

Anscheinsbeweis zugunsten der Bank

Banken tragen eine Verantwortung für ein sicheres Online-Banking-System. Dazu gehören stabile Verfahren wie chipTAN, pushTAN oder andere Freigaben, die betrügerische Angriffe erschweren. Wenn die Autorisierung eines ausgeführten Zahlungsvorgangs streitig ist, hat die Bank als Zahlungsdienstleister zunächst nachzuweisen, dass eine Authentifizierung erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht sowie nicht durch eine Störung beeinträchtigt wurde. Dazu hat der BGH den sogenannten Anscheinsbeweisentwickelt. In seiner Entscheidung vom 26.01.2016, Az. XI ZR 91/14, hat der BGH nämlich entschieden, dass für die Bank ein Anscheinsbeweis spricht, wenn sie die praktische allgemeine Unüberwindbarkeit des eingesetzten Sicherungsverfahrens sowie dessen ordnungsgemäße Anwendung und fehlerfreie Funktion im konkreten Einzelfall darlegen und beweisen kann.

Erschütterung des Anscheinsbeweises

Den zugunsten der Bank dann sprechenden Anscheinsbeweis kann der Bankkunde als Zahlungsdienstnutzer mit einem entsprechenden Vortrag erschüttern. Dazu hat der BGH in seiner o. g. Entscheidung zu einem Betrugsfall im Online-Banking folgendes entschieden:

Ein Anscheinsbeweis ist erschüttert, wenn der Bankkunde als Zahlungsdienstnutzer Tatsachen darlegt und gegebenenfalls zur vollen Überzeugung des erkennenden Gerichts beweist, die die ernsthafte, ebenfalls in Betracht kommende Möglichkeit einer anderen Ursache nahelegen. Danach muss der betroffene Bankkunde zur Erschütterung des Anscheinsbeweises keinen konkreten und erfolgreichen Angriff gegen das Authentifizierungsinstrument beweisen, sondern nur solche Umstände, die gegen die Autorisierung durch ihn und für ein missbräuchliches Eingreifen eines Dritten sprechen. Diese Anforderungen kann der Zahler auch dadurch erfüllen, dass er außerhalb des Sicherheitssystems des Zahlungsdienstleisters liegende Indizien, die für einen nicht autorisierten Zahlungsvorgang sprechen, substantiiert darlegt und bei Bestreiten nachweist.

In vielen Fällen kann der betroffene Bankkunde einen solchen Sachverhalt darlegen und damit den zugunsten der Bank sprechenden Anscheinsbeweis erschüttern.

Grob fahrlässige Pflichtverletzung durch den Bankkunden

In der Folge wird dann in dem jeweiligen Betrugsfall im Online-Banking regelmäßig darüber gestritten, ob das Verhalten des Bankkunden, dass aus dem Sachverhalt zur Erschütterung des Anscheinsbeweises hervorgeht, als grob fahrlässige Verletzung seiner sich aus § 675v Abs. 3 i.V.m. § 675l BGB ergebenden Pflichten zu bewerten ist oder nicht. Die Bank kann dann gegebenenfalls dem Erstattungsanspruch des Bankkunden einen Schadensersatzanspruch in gleicher Höhe entgegenhalten. In Richtung grobe Fahrlässigkeit geht es in der Regel, wenn Zugangsdaten weitergegeben, Warnsignale ignoriert oder eine „autorisiert“ wirkende Bestätigung freigegeben wird, obwohl die Situation offensichtlich nicht zur Bank passt.

Kontonutzer haben nämlich ebenfalls Pflichten, die gesetzlich und in den Bankbedingungen festgelegt sind. In § 675l BGB ist dazu insbesondere folgendes geregelt: Der Bankkunde als Zahlungsdienstnutzer ist verpflichtet, unmittelbar nach Erhalt eines Zahlungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Er hat dem Zahlungsdienstleister oder einer von diesem benannten Stelle den Verlust, den Diebstahl, die missbräuchliche Verwendung oder die sonstige nicht autorisierte Nutzung eines Zahlungsinstruments unverzüglich anzuzeigen, nachdem er hiervon Kenntnis erlangt hat.

Danach müssen Sie als Bankkunde Zugangsdaten schützen, Geräte aktuell halten und ungewöhnliche Anrufe, Nachrichten oder Phishing-Versuche kritisch prüfen. Wer diese Punkte beachtet und trotzdem Opfer wird, kann in der Regel mit einer Erstattung rechnen. Schwierigkeiten entstehen erst, wenn die Bank den Vorwurf erhebt, der Nutzer habe den Schaden, der anlässlich des Betrugsfalls im Online-Banking entstanden ist, unter Verletzung der sich aus § 675l BGB und den einschlägigen Bankbedingungen ergebenden Pflichten selbst ermöglicht und grob fahrlässig gehandelt. In solchen Fällen spielen einschlägige Urteile zur groben Fahrlässigkeit eine Rolle. Die Gerichte entscheiden allerdings durchaus sehr unterschiedlich, selbst zu vergleichbaren Sachverhalten.

Erstattungspflicht der Bank trotz grober Fahrlässigkeit des Bankkunden bei fehlendem Einsatz einer starken Kundenauthentifizierung

Die Bank als Zahlungsdienstleister ist allerdings trotz grob fahrlässigen Verhaltens des Bankkunden grundsätzlich in den Fällen von § 675v Abs. 4 Nummern 1. und 2. zur Erstattung verpflichtet. Insbesondere trifft dies auf Zahlungsvorgänge zu, in denen die Bank keine starke Kundenauthentifizierung (oder auch: 2-Faktor-Authentifizierung) im Sinne des § 1 Absatz 24 ZAG verlangt und so das gesetzlich vorgeschriebene Sicherheitsniveau missachtet.

Mitverschulden der Bank als Zahlungsdienstleister

Anspruchsmindernd in dem sich im Online-Banking ereigneten Betrugsfall kann der Bankkunde seiner Bank möglicherweise ein Mitverschulden (§ 254 BGB) entgegenhalten. Hinsichtlich des Mitverschuldens muss der Bank auch grobe Fahrlässigkeit vorgeworfen werden können. Die Hürde ist also hoch. Vorbehaltlich des jeweiligen Einzelfalls wären hier denkbare Fälle zum Beispiel:

  • Verstoß gegen die Warnpflicht in Fällen, wo bei normaler Bearbeitung offenkundig massive Verdachtsmomente erkennbar sind oder
  • Nichtbeachtung eines speziell vereinbarten Online-Banking-Limits.

In Abgrenzung zu letzterem Fall soll klargestellt werden, dass ein Mitverschulden der Bank am schadensauslösenden Betrug im Online-Banking grundsätzlich nicht in Betracht kommt, wenn bei Ausführung einer Zahlung ein eingeräumter Dispositionskredit überschritten wird.

In welchem Umfang ein Gericht ein ggf. vorliegendes Mitverschulden anspruchsmindernd berücksichtigt, steht je nach Lage des Einzelfalls im Ermessen des entscheidenden Gerichts.

Quintessenz und ergänzender Hinweis

Damit grundsätzlich kurz gesagt: Der Bankkunde als Zahlungsdienstnutzer hat bei nicht autorisierten Zahlungen einen Erstattungsanspruch. Die Bank als Zahlungsdienstleiter haftet nicht, wenn jemand grob fahrlässig handelt und den Betrügern praktisch den Weg zur Überweisung öffnet. Trotz grob fahrlässigen Verhaltens des Bankkunden ist die Bank als Zahlungsdienstleister grundsätzlich zur Erstattung verpflichtet, wenn sie keine starke Kundenauthentifizierung im Sinne des § 1 Absatz 24 ZAG verlangt. Ggf. könnte der Schadensersatzanspruch der Bank durch deren Mitverschulden gemindert werden.

Wann bekommen Sie ihr Geld nach einem Betrug im Online-Banking zurück?

Wie oben bereits ausgeführt wurde, hat ein vom betroffenen Bankkunden nicht autorisierter Zahlungsvorgang einen Erstattungs- und Kontoberichtigungsanspruch (nachfolgend nur “Erstattungsanspruch”) gegen seine Bank als seinen Zahlungsdienstleister zur Folge. Die Bank muss den Betrag dann nach § 675u BGB grundsätzlich erstatten. Und zwar hat die Bank dann ihre Erstattungspflicht unverzüglich, spätestens jedoch bis zum Ende des Geschäftstags zu erfüllen, der auf den Tag folgt, an welchem dem Zahlungsdienstleister angezeigt wurde, dass der Zahlungsvorgang nicht autorisiert ist, oder er auf andere Weise davon Kenntnis erhalten hat.

Sofern die Bank den Erstattungsanspruch ihres Kunden anerkennt, kann es relativ zügig zu einer entsprechenden Gutschrift bzw. Kontoberichtigung auf dem betroffenen Bankkonto kommen. Wenn allerdings die Bank eine solche Erstattung verweigert und dem Erstattungsanspruch einen Schadensersatzanspruch in gleicher Höhe entgegensetzt, rückt eine schnelle Erstattung nicht nur in weite Ferne und wird dann häufig grundsätzlich fraglich. Ihren Schadensersatzanspruch verbindet die Bank regelmäßig mit dem Vorwurf eines grob fahrlässigen Handelns des betroffenen Bankkunden. Sehr häufig geht es dabei um Situationen, in denen Bankkunden als Opfer

  • Zugangsdaten zum Online-Banking an Betrüger weitergeben,
  • von einem vermeintlichen Bankmitarbeiter angerufen werden und diesen am Telefon in das Konto schauen lassen,
  • eine TAN bestätigen, obwohl die Überweisung nicht zur eigenen Handlung passt,
  • eine Freigabe für eine PushTAN, die ohne Grund bzw. ohne die Notwendigkeit der Auslösung eines Zahlungsvorgangs erscheint,
  • Zahlungen freigeben ohne vorherige Kontrolle des auf dem Kartenlesegerät zur Bestätigung angezeigten Daten des Zahlungsauftrags obwohl diese mit den Daten des tatsächlich gewollten Vorgangs nicht übereinstimmen.

Zum zweiten Punkt des Anrufs eines vermeintlichen Bankmitarbeiters soll ergänzt werden, dass bei solchen Anrufen häufig auch die Absenderrufnummern manipuliert sind. Solche Fälle werden auch unter dem Begriff Call-ID-Spoofing zusammengefasst. Gerade hier wird auch deutlich, dass sich Täter immer professioneller tarnen und Betroffene den Angriff zunächst als normalen Bankkontakt einordnen. Gerichte schauen deshalb genau hin und prüfen, ob eine Situation realistisch wirkt oder ob Hinweise auf einen Betrugsversuch klar erkennbar waren.

Wenn die Bank anlässlich eines Betrugs im Online-Banking dann den Vorwurf der groben Fahrlässigkeit erhebt, kommt es regelmäßig zur Fortsetzung des Rechtsstreits vor der Schlichtungsstelle oder vor dem Amts- oder Landgericht, mit oft ungewissem Ausgang. Die Gerichte entscheiden in vergleichbaren Fällen leider uneinheitlich. Insbesondere vertreten die Gerichte unterschiedliche Auffassungen zu den Voraussetzungen der groben Fahrlässigkeit und zum Pflichtenkreis der Banken. Unser Fachanwalt für Bank- und Kapitalmarktrecht kann Sie rechtlich beraten und vor der Schlichtungsstelle oder vor Gericht vertreten.

Termin vereinbaren

Fälle des Online-Banking-Betrugs im Detail: Welche Maschen führen zu welcher Haftung?

Phishing/Smishing

Was passiert?

Betrüger verschicken täuschend echte Mails oder SMS und bauen Banking-Seiten nach. Nutzer geben Zugangsdaten oder TAN ein, ohne es zu merken. Anschließend führen Täter eigene Überweisungen aus.

Wer haftet?

Wenn die Datenabfrage realistisch wirkt und kein klarer Hinweis auf Online-Banking-Betrug erkennbar ist, hilft dies bei der Argumentation. Dabei geht es um die Art der Anrede, ob Rechtschreib- oder Grammatikfehler erkennbar sind, Darstellung des Logos etc. Allerdings behaupten die Banken regelmäßig, derartige Abfragen niemals per E-Mail vorzunehmen und auf der Internetseite über derartige Betrugsmaschen zu informieren. Regelmäßig müssen im Streit darüber, ob grob fahrlässig gehandelt wurde, die Umstände im Einzelfall betrachtet werden.

Im oben angeführten Fall, in dem mit abgefischten Kreditkartendaten “per Wischen eine TAN eine virtuelle Kreditkarte freigegeben” wurde, die dann vom jeweiligen Mehrzweckendgerätebesitzer unter Benutzung einer starken Kundenauthentifizierung ohne Kenntnis des Kunden verwendet wurde, vermochte das Landgericht Heilbronn am 02.04.2024 allenfalls eine normale Fahrlässigkeit in der Person des betreffenden Klägers sehen, nicht aber eine grobe Fahrlässigkeit. Die Voraussetzungen für einen Schadensersatzanspruch der Bank waren damit im entschiedenen Fall nicht gegeben.

In einem weiteren Fall der Zusendung einer SMS und Mitteilung, dass eine ”Verknüpfung mit deinem Konto“ vorgenommen und um Bestätigung mit einer TAN aufgefordert wird, hielt das Kammergericht Berlin in dem am 12.11.2024 entschiedenen Fall grobe Fahrlässigkeit für nicht gegeben, weil die SMS keinen eindeutigen Hinweis auf eine Verknüpfung der Banking-App mit einem neuen Konto gegeben habe. Insbesondere habe der Kunde deshalb in dem betreffenden Online-Banking-Betrugsfall nicht erkennen können, dass gerade dies gemeint war. Auch hier hat das Gericht die Voraussetzungen für einen Schadensersatzanspruch der Bank als nicht gegeben angesehen.

Telefonbetrug im Online-Banking („Anruf von angeblicher Bank“) und SMS-Spoofing”

Was passiert?

Kriminelle geben sich als Bankmitarbeitende aus. Bei solchen Anrufen werden häufig auch die Absenderrufnummern manipuliert (Call-ID-Spoofing). Der angebliche Bankmitarbeiter behauptet etwa, ein Angriff liege vor, und drängen zur Freigabe einer Überweisung oder zur Herausgabe einer TAN. Anlog zum Call-ID-Spoofing (s.u.) scheint hier häufig die SMS von einer Nummer zu stammen, welche auch der Bankkunde für seine Kommunikation nutzt (SMS-Spoofing).

Wer haftet?

Gerichte urteilen hier unterschiedlich.

Im Fall des LG Köln (Entscheidung 08.01.2024) bedienten sich die Täter des sog. Call-ID Spoofings. Das LG Köln führte dazu aus, dass für einen verständigen, langjährigen Bankkunden die Nutzung einer ihm bekannten Nummer mit besonderem Vertrauen verbunden sei. Davon, dass die Möglichkeit besteht, eine fremde Nummer zu nutzen, dürfte der Durchschnittsbürger keine Kenntnis haben. Dass dem Kläger der angebliche Mitarbeiter der Beklagten nicht bekannt war, ist für sich genommen noch kein besonders verdächtiger Umstand…“.

In einem am 22.05.2025 entschiedenen Fall vertritt der BGH die Auffassung, dass es bei telefonischer TAN-Weitergabe ein “Augenblicksversagen” geben könne, das eine grobe Fahrlässigkeit möglicherweise ausschließe.

Am 06.12.2023 entschied das OLG Frankfurt/Main dagegen in einem anderen Online-Banking-Betrugsfall, dass grobe Fahrlässigkeit des Bankkunden anzunehmen sei. Das OLG Frankfurt führte dazu aus, dass hierbei keine entscheidende Bedeutung dem Umstand beizumessen sei, dass die SMS von einer Nummer zu stammen schien, welche auch die beklagte Bank für ihre Kundenkommunikation nutzt. Es sei nämlich allgemein bekannt, dass die in einer SMS enthaltenen Absenderinformationen manipuliert werden können (SMS spoofing).

Kontoübernahme durch Malware (z. B. Man-in-the-Middle-Angriff)

Was passiert?

Schadsoftware liest Zugangsdaten aus oder manipuliert Überweisungen. Nutzer erkennen die Manipulation meist nicht. Eine Angriffsform ist der sogenannte Man-in-the-Middle-Angriff. Der Angreifer steht dabei zwischen den Kommunikationspartnern (hier: Bankkunde und Bank) und kontrolliert den Datenverkehr und ist in der Lage, Informationen zu manipulieren. Der Angreifer vermittelt dabei dem Bankkunden den Eindruck, dass dieser mit seiner Bank kommuniziert.

Wer haftet?

In einer Entscheidung des Landgerichts Darmstadt im Jahr 2014 hat das Gericht den betreffenden Angriff dem Bankkunden aus Rechtsscheinsgrundsätzen zugerechnet. Es ist aber durchaus möglich, das andere Gerichte im Einzelfall für den Bankkunden entscheiden.

Manipulation des Bankkunden zur Freigabe von Überweisungen in der Banking-App

Was passiert?

Täter locken Opfer in Online-Banking-Betrugsfällen in Situationen, in denen sie eine TAN in der Banking-App bestätigen, die gar nichts mit ihrer eigenen Handlung zu tun hat. Regelmäßig passiert dies im Zusammenhang mit Call-ID-Spoofing (s. o.).

Wer haftet?

Das OLG München stufte in einer Entscheidung im Jahr 2023 das Verhalten des Zahlungsdienstnutzers als grob fahrlässig ein, wenn er einer ihm unbekannten Person am Telefon den Freischaltcode zur Nutzung des aktualisierten SecureGo-Verfahrens weitergibt. Der Bank als Zahlungsdienstleister sprach das OLG deshalb einen Anspruch auf Schadensersatz gegen den Bankkunden als Zahlungsdienstnutzer zu.

Online-Banking-Betrugsfälle bei Kleinanzeigen

Was passiert?

Betrüger geben sich als Kaufinteressenten aus, locken Bankkunden auf gefakte Bankseiten und veranlassen sie unter Hinweis auf die Nutzung der Sicher-Bezahlen-Funktion des Kleinanzeigen-Portals, persönliche Daten, Kreditkarten- und Kontodaten, Anmeldedaten etc. auf einer dafür vorgesehenen Seite einzugeben. Sodann werden die preisgegebenen Daten für die Kontoplünderung genutzt. In diesem Zusammenhang werden von den Betrügern auch QR-Codes übersandt um “schnell” auf die Seite zur Eingabe der genannten Daten zu gelangen.

Wer haftet?

Viele Gerichte urteilen hier bis dato recht freundlich für die Bankkunden. Das LG Berlin (2024) vertritt dazu in dem entschiedenen Online-Banking-Betrugsfall die Auffassung, dass dem klagenden Bankkunden nicht bewusst war, mit der Pishing-Attacke auf dem Kleinanzeigenportal Opfer eines Betrugs geworden zu sein. Die Geheimhaltung der Kreditkartendaten müsse sich dem Kunden auch nicht aufdrängen, da sie ja auf der Kreditkarte draufstehen. Das AG Bielefeld (2024) führte in seinem Urteil aus, dass es bei Einrichtung der Sicher-Bezahlen-Funktion üblich sei die Kreditkartendaten zu hinterlegen, auch wenn im aktuellen Einzelfall eine Zahlung erwartet werde. Sowohl das LG Berlin als auch das AG Bielefeld verneinten jedenfalls ein grob fahrlässiges Verhalten des Bankkunden.

Was Sie sofort tun sollten, wenn Sie Opfer von Online-Banking-Betrug geworden bist

Ein schneller und klarer Ablauf erhöht die Chance auf Erstattung. Banken reagieren deutlich besser, wenn Vorgänge dokumentiert sind und das Konto sofort geschützt wird. Es sollten auch Beweise gesichert und z. B. Screenshots über die betrügerische Kommunikation gemacht werden.

Bank informieren: Sperrung des Kontos veranlassen

Melden Sie den Vorfall sofort Ihrer Bank oder Sparkasse. Nutzen Sie dafür die Telefonnummer Ihrer Bank oder den offiziellen Sperrservice. Damit verhindern Sie weitere Überweisungen und stoppen den Zugriff der Täter. Jede Minute zählt, weil Kriminelle oft mehrere Transaktionen kurz hintereinander planen. Schildern Sie Ihrer Bank oder Sparkasse den gesamten Ablauf, inklusive Anruf, Mail, Phishing Hinweis oder verdächtiger Nachricht.

Die Meldung des im Online-Banking sich ereigneten Betrugsfalls sollte auch dokumentiert und/oder der Bank bestätigt werden (z. B. per E-Mail). Sollte es nämlich Streit über die Meldung geben, hätten Sie noch etwas mehr als nur die Behauptung, eine telefonische Meldung vorgenommen zu haben.

Die Bank sperrt dann das Konto und ggf. dafür ausgegebene Geld-/Kreditkarten, legt einen internen Prüfprozess an und kann technische Spuren sichern. Je früher die Bank reagieren kann, desto besser stehen die Chancen auf eine Erstattung des Schadens.

Anzeige erstatten

Erstatten Sie Strafanzeige bei der Polizei und geben dabei den Online-Banking-Betrug so detailliert wie möglich zu Protokoll. Eine Anzeige hilft, wenn später Fragen zur Haftung auftauchen oder ein Gericht die Frage prüft, ob grob fahrlässig gehandelt wurde. Nutzen Sie alle bekannten Informationen, selbst wenn sie klein wirken. Tätergruppen arbeiten oft international, und jede Spur kann relevant sein.

Beweise sichern

Speichern Sie Mails, SMS, Screenshots, Anruflisten und TAN Mitteilungen. Dokumentieren Sie jede Überweisung, die Sie nicht autorisiert haben. Diese Daten helfen bei der Rekonstruktion des Angriffs und helfen, den Ablauf des Online-Banking-Betrugs zu erkennen. Banken stützen ihre Entscheidung häufig auf genau diese Nachweise.

Fristen beachten

Setzen Sie die Bank dann schriftlich oder in Textform (E-Mail) über den Schaden in Kenntnis und fordern die Erstattung. Das BGB sieht unverzügliche Meldung nicht autorisierter Zahlungen vor. Unabhängig davon haftet die Bank in jedem Fall für Abbuchungen, die zeitlich nach einer vorgenommenen Meldung vorgenommen wurden. Verpasste und verspätete Meldungen erschweren den Erstattungsanspruch und werden in vielen Fällen gegen das Opfer verwendet.

Typische Streitpunkte zwischen Bank und Kunden

Nach einem Online-Banking-Betrug geht es oft weniger um den technischen Ablauf, sondern fast regelmäßig zunächst um die Frage der Autorisierung durch den Bankkunden. Bei Verwendung von Zugangsdaten und TAN stellen sich die Banken erst einmal auf den Standpunkt, dass der betreffende Zahlungsvorgang vom Bankkunden autorisiert wurde. In der weiteren Auseinandersetzung wird dem Bankkunden dann vielfach grobe Fahrlässigkeit vorgeworfen. Genau um diese Frage streiten sich Bank und Bankkunde regelmäßig in der weiteren Auseinandersetzung.

Vorwurf „grobe Fahrlässigkeit“

Banken prüfen jeden Schritt rund um den sich Online-Banking ereigneten Betrugsfall. Wenn sie den Eindruck gewinnen, dass Warnsignale erkennbar waren, landet der Fall schnell in der Kategorie „grob fahrlässig“. Dazu zählen TAN-Freigaben ohne ersichtlichen Grund, Zugangsdaten, die per Anruf herausgegeben wurden oder nicht regelgerecht verwahrt wurden sowie ein offensichtliches Phishing. Für Betroffene ist dieser Vorwurf belastend, weil die Bank daraus einen Schadensersatzanspruch herleitet, den sie dem Erstattungsanspruch des Kunden in gleicher Höhe entgegensetzt. Wenn sich der Vorwurf der groben Fahrlässigkeit bestätigt, kann der Bankkunde seinen Erstattungsanspruch nicht realisieren. Die Bank muss dann nicht zahlen.

Streit um TAN-Freigaben

Viele Fälle drehen sich um die Frage, ob eine Überweisung wirklich autorisiert wurde. Banken verweisen auf PushTAN-Bestätigungen und argumentieren, dass der Kunde selbst den Zugang ermöglicht hat. Opfer hingegen berichten oft, dass sie in einer Stresssituation den sich im Online-Banking ereigneten Betrug nicht erkannt und die veranlasste Zahlung nicht gewollte haben oder der Vorgang betrügerisch als Sicherheitsmaßnahme verkauft wurde. Dieser Unterschied zwischen technisch „autorisiert“ und tatsächlich gewollt ist dann einer der zentralen Streitpunkte.

Fehlende oder unklare Sicherheitsnachweise der Bank

Manche Banken dokumentieren nicht lückenlos, wie ein Schadensfall technisch ablief. Wenn Sicherheitsverfahren im Ablauf unklar bleiben, kann die Manipulation der Zahlung oft nicht belegt werden. Außerdem kann es sein, dass die Bank selbst Schwächen im System hatte und das im Online-Banking eingesetzte Verfahren nicht sicher ist. In solchen Fällen kann sich der Vorteil zunächst zum Kunden verschieben, es sei denn, dass dieser im betreffenden Online-Banking-Betrugsfall grob fahrlässig gehandelt hat

Wann juristische Unterstützung sinnvoll ist

Sobald die Bank die Erstattung ablehnt oder sich auf grobe Fahrlässigkeit beruft, ist eine rechtliche Prüfung angezeigt. Viele Urteile zeigen, dass Kunden nicht automatisch haften, nur weil eine TAN technisch ausgelöst wurde. Unser Fachanwalt für Bank- und Kapitalmarktrecht kann für Sie klären, ob der Ablauf nachvollziehbar zugunsten des Bankkunden wirkt, wie Gerichte ähnliche Fälle bewertet haben und ob die Bank ihren eigenen Pflichten nachgekommen ist. Das verbessert die Chancen, den Schaden doch noch ersetzt zu bekommen.

Termin vereinbaren

Wie Sie sich im Online-Banking vor weiteren Betrugsversuchen schützen

Onlinebanking ist sicher, wenn Sie ein paar Gewohnheiten verinnerlichen und typische Warnsignale kennen. Täter setzen darauf, dass Nutzer unter Zeitdruck handeln oder einer täuschend echten Nachricht vertrauen. Mit klaren Routinen sinkt das Risiko deutlich.

Sicherheitsregeln gegen Online-Banking-Betrug

Achte darauf, dass du dich immer nur über die offizielle Website oder App deiner Bank anmeldest. Halte Geräte aktuell und nutze ein separates Passwort für das Banking. Vermeide Links aus Mails oder SMS, besonders wenn angeblich eine Überweisung blockiert wurde. Der direkte Einstieg über ein Lesezeichen oder die Banking-App verhindert viele Betrugsfälle, weil Manipulationen keine Chance haben.

Warnsignale erkennen

Jede Nachricht, jeder Anruf und jede Überweisung, die Stress erzeugt, sollte misstrauisch machen. Banken fordern nie per Telefon oder Mail zur Herausgabe von Zugangsdaten auf. Auch PushTAN-Freigaben, die ohne erkennbaren Anlass erscheinen, weisen oft auf einen Betrugsversuch hin. Wenn dein Gefühl sagt, dass etwas nicht stimmt, unterbrich den Vorgang und prüfe die Situation über einen offiziellen Kontaktweg.

Welche Bank-Features besonders schützen

Moderne Online-Banking Verfahren wie chipTAN oder App-basierte Freigaben arbeiten mit getrennten Systemen, was Angriffe erschwert. Banken zeigen zusätzlich regelmäßig den genauen Betrag und die IBAN des Empfängers der Überweisung in der Freigabe an. Das hilft, manipulierte Vorgänge zu erkennen. Nutze außerdem Hinweise deiner Bank zu aktuellen Betrugsmaschen im Online-Banking, denn viele Täter ändern ihre Methoden häufig.

Warum selbst technisch versierte Nutzer in Fallen geraten können

Kriminelle arbeiten professionell. Sie imitieren Sprache, Design und Abläufe von Banken so gut, dass selbst erfahrene Nutzer den Unterschied kaum sehen. Viele Opfer berichten, dass der Anruf, die Nachricht oder die angebliche Sicherheitswarnung absolut glaubwürdig wirkte. Das zeigt: Betrug im Online-Banking entsteht oft nicht durch Unwissen, sondern durch geschickte Täuschung. Genau deshalb ist es wichtig, ruhige Entscheidungen zu treffen und auffällige Vorgänge sofort zu stoppen.

Online-Banking-Betrug: Wer haftet? Unser Fazit

Online-Banking funktioniert grundsätzlich sicher, doch Betrüger nutzen jede Gelegenheit, um Zugang zu Daten oder Geld zu bekommen. Phishing, falsche Anrufe oder manipulierte Überweisungen treffen Menschen aller Erfahrungsstufen. Entscheidend ist am Ende die Frage, ob eine Zahlung wirklich autorisiert wurde und ob jemand grob fahrlässig gehandelt hat.

Probleme entstehen meistens dort, wo Täter eine Freigabe erschleichen oder der Ablauf unklar bleibt. Dann prüfen Banken streng und lehnen Erstattungen häufig ab. Wer früh reagiert, Beweise sichert und den Vorfall vollständig meldet, verbessert seine Chancen deutlich. Wenn die Bank die Haftung bestreitet oder der Vorwurf grober Fahrlässigkeit im Raum steht, ist regelmäßig rechtliche Unterstützung erforderlich.

Unser Fachanwalt für Bank- und Kapitalmarktrecht kann

  • Ihren Einzelfall unter Berücksichtigung ähnlich gelagerter Fälle, die von Gerichten entschieden wurden, bewerten,
  • die Erfolgsaussichten weiteren Vorgehens einschätzen und
  • ggf. dann rechtliche Schritte gegen die Bank zur Realisierung Ihres Erstattungsanspruchs unternehmen.
Termin vereinbaren