Ein Blick auf den Kontoauszug offenbart für Bankkunden gelegentlich eine böse Überraschung: eine Abbuchung, die nicht zugeordnet werden kann. Ob durch den Diebstahl der EC-Karte, einen
Phishing-Angriff auf das Online-Banking oder eine geschickte Betrugsmasche am Telefon – die Methoden Krimineller werden immer raffinierter.
Für Betroffene stellt sich dann die Frage: Bleibt man auf dem Schaden sitzen oder muss die Bank den abgebuchten Betrag erstatten? Die rechtliche Antwort hängt entscheidend von den Umständen des Einzelfalls ab, insbesondere davon, ob den Kontoinhaber ein Verschulden trifft. Grundsätzlich gilt jedoch eine verbraucherfreundliche Regelung, die zunächst den Zahlungsdienstleister, also die Bank, in die Pflicht nimmt.
Erstattungspflicht der Bank bei nicht autorisierten Zahlungen
Wird einem Zahlungskonto ein Betrag ohne Zustimmung des Kontoinhabers belastet, liegt ein sogenannter nicht autorisierter Zahlungsvorgang vor. Für diesen Fall sieht das Gesetz eine klare Regelung vor. Nach § 675u Satz 2 des Bürgerlichen Gesetzbuches (BGB) ist die Bank verpflichtet, dem Kunden den abgebuchten Betrag unverzüglich zu erstatten. Sie muss das Konto wieder auf den Stand bringen, auf dem es sich ohne die unberechtigte Belastung befunden hätte.
Dieser Anspruch besteht unabhängig davon, wie es zu der unberechtigten Abbuchung kam. Ob eine gefälschte Überweisung eingereicht, die EC-Karte missbräuchlich verwendet oder das Online-Banking gehackt wurde, ist für den grundsätzlichen Erstattungsanspruch zunächst unerheblich. Die Bank trägt das Risiko eines Missbrauchs ihrer Zahlungssysteme. Es ist ihre Aufgabe, die Sicherheit der Konten zu gewährleisten. Erst in einem zweiten Schritt wird geprüft, ob der Kunde den Schaden durch eigenes Fehlverhalten mitverursacht hat und deshalb möglicherweise selbst haftet.
Kein Anscheinsbeweis zulasten des Kunden
Kommt es zu einem Rechtsstreit, weil die Bank die Erstattung verweigert, muss sie beweisen, dass der Zahlungsvorgang tatsächlich vom Kunden autorisiert wurde. Gelingt ihr dies nicht, muss sie nachweisen, dass der Kunde seine Sorgfaltspflichten in
grob fahrlässiger Weise verletzt und dadurch den Missbrauch erst ermöglicht hat. Lange Zeit argumentierten Banken, dass allein die Tatsache, dass eine Transaktion mit der korrekten PIN und TAN durchgeführt wurde, als Beweis des ersten Anscheins für eine grobe Fahrlässigkeit des Kunden genügen müsse. Dieser Argumentation hat die Rechtsprechung jedoch eine Absage erteilt.
So stellte das Schleswig-Holsteinische Oberlandesgericht klar, dass es keinen allgemeinen Erfahrungssatz gibt, wonach bei einem Missbrauch des Online-Bankings allein die korrekte Verwendung von Authentifizierungsinstrumenten wie PIN und TAN auf eine grob fahrlässige Pflichtverletzung des Nutzers schließen lässt. Die Richter begründeten dies damit, dass die Angriffsmethoden auf Online-Banking-Systeme vielfältig sind und sich ständig weiterentwickeln. Ein erfolgreicher Angriff deutet nicht zwangsläufig auf ein bestimmtes, typisches Fehlverhalten des Kunden hin. Anders als beispielsweise bei der Nutzung einer Zahlungskarte am Geldautomaten, wo die denkbaren Szenarien begrenzter sind, lässt sich bei Online-Transaktionen nicht ohne Weiteres auf ein Fehlverhalten des Nutzers schließen. Die Bank kann sich daher nicht auf einen Anscheinsbeweis stützen, sondern muss die konkreten Umstände darlegen und beweisen, aus denen sich eine grob fahrlässige Pflichtverletzung des Kunden ergibt (OLG Schleswig, 29.10.2018 - Az:
5 U 290/18).
Schadensersatzpflicht des Kunden bei grober Fahrlässigkeit
Die grundsätzliche Erstattungspflicht der Bank entfällt, wenn der Kunde den Schaden durch eine grob fahrlässige Verletzung seiner Pflichten herbeigeführt hat. Gemäß § 675l BGB ist jeder Kontoinhaber verpflichtet, seine personalisierten Sicherheitsmerkmale, also beispielsweise PIN, TANs oder die Zugangsdaten zum Online-Banking, vor unbefugtem Zugriff zu schützen. Eine Verletzung dieser Pflicht führt jedoch nicht automatisch zur Haftung. Erst wenn die Pflichtverletzung als grob fahrlässig einzustufen ist, muss der Kunde den Schaden selbst tragen.
Grobe Fahrlässigkeit liegt vor, wenn die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt und das missachtet wird, was jedem hätte einleuchten müssen. Es bedarf also eines Verhaltens, das als schlechthin unentschuldbar erscheint. Ob dies der Fall ist, entscheiden die Gerichte stets anhand einer umfassenden Würdigung des Einzelfalls.
Ein klassischer Fall grober Fahrlässigkeit ist die Preisgabe von TANs im Rahmen eines Phishing-Angriffs. In einem vom Bundesgerichtshof entschiedenen Fall wurde eine Bankkundin von Betrügern angerufen, die sich als Bankmitarbeiter ausgaben. Unter dem Vorwand, ein neues Sicherheitsprogramm installieren zu müssen, brachten sie die Kundin dazu, am Telefon mehrere TANs freizugeben. Dabei musste die Kundin sogar fremde IBANs und hohe Geldbeträge in ihre TAN-App eingeben. Der BGH wertete dieses Verhalten als grob fahrlässig. Die Kundin habe trotz zahlreicher eindeutiger Warnsignale – wie dem ungewöhnlichen Anlass des Anrufs und der Aufforderung zur Eingabe von Daten, die offensichtlich zu einer Überweisung und nicht zu einer Software-Installation gehörten – die Transaktionen freigegeben. In einem solchen Fall darf die Bank ihren Schadensersatzanspruch gegen den Erstattungsanspruch des Kunden aufrechnen, sodass der Kunde im Ergebnis auf seinem Schaden sitzen bleibt (BGH, 22.07.2025 - Az:
XI ZR 107/24).
Auch das Oberlandesgericht Braunschweig sah in einem ähnlichen Fall eine grob fahrlässige Pflichtverletzung. Eine Kundin gab auf Anweisung eines angeblichen Bankmitarbeiters am Telefon mehrfach Aufträge mittels pushTAN-App frei. Das Gericht befand, dass die Klägerin hätte misstrauisch werden müssen. Widersprüche in den Aussagen des Anrufers, wie die Behauptung, das Konto werde gesperrt, die EC-Karte bleibe aber nutzbar, hätten Zweifel wecken müssen. Zudem widersprach das Vorgehen den eindeutigen Sicherheitshinweisen der Bank, wonach Mitarbeiter niemals telefonisch zur Freigabe einer TAN auffordern. Das mehrfache Freigeben von Transaktionen trotz dieser Verdachtsmomente wurde als schwere Sorgfaltspflichtverletzung gewertet, die einen Erstattungsanspruch ausschließt (OLG Braunschweig, 06.01.2025 - Az:
4 U 439/23).
Besonders schwer wiegt die Weitergabe von Codes zur Neueinrichtung eines TAN-Verfahrens. In einem Fall wurde ein Bankkunde von Betrügern dazu verleitet, einen per SMS erhaltenen Registrierungscode auf einer gefälschten Webseite einzugeben. Die SMS enthielt den ausdrücklichen Warnhinweis: „Bitte leiten Sie diese SMS nicht an dritte Personen weiter! Kein Mitarbeiter wird Sie um Weitergabe dieser Daten bitten.“ Das Gericht entschied, dass die Missachtung eines derart eindeutigen und im unmittelbaren Zusammenhang stehenden Warnhinweises eine Sorgfaltspflichtverletzung in ungewöhnlich grobem Maße darstellt. Die Bank war nicht zur Erstattung des Schadens verpflichtet (LG Lübeck, 01.12.2023 - Az:
3 O 153/23).
Besonderheit bei Echtzeit-Überweisungen
Eine weitere Falle lauert bei der Nutzung von Echtzeit-Überweisungen. Werden Kontoinhaber durch eine Betrugsmasche, wie den bekannten „Hallo Mama/Papa, ich habe eine neue Handynummer“-Trick, zur Freigabe einer solchen Überweisung verleitet, ist das Geld in der Regel unwiederbringlich verloren. Das Landgericht Frankenthal entschied, dass eine einmal autorisierte Echtzeit-Überweisung nicht mehr widerrufen werden kann. Der Zahlungsauftrag wird in Sekundenschnelle an die Bank des Empfängers übermittelt und ausgeführt. Selbst wenn der Betrug nur wenige Minuten später bemerkt und das Konto umgehend gesperrt wird, kann der Zahlungsvorgang nicht mehr gestoppt werden. Die Bank handelt in einem solchen Fall nicht pflichtwidrig, da sie einen korrekt autorisierten Auftrag ausgeführt hat. Dass die Belastung auf dem Konto des Absenders teils erst Tage später sichtbar wird, ändert daran nichts, da der Geldausgang bereits unmittelbar nach der Freigabe erfolgt ist. Die leichtfertige Weitergabe der Zugangsdaten und die Freigabe der Zahlung wurden zudem als grob fahrlässig eingestuft (LG Frankenthal, 24.10.2024 - Az:
7 O 154/24).
Haftung bei Diebstahl der EC-Karte: Erschütterung des Anscheinsbeweises
Ein anderer Fall liegt vor, wenn Bargeld mit einer gestohlenen EC-Karte und der zugehörigen PIN abgehoben wird. Hier spricht zwar zunächst der Beweis des ersten Anscheins gegen den Karteninhaber. Die Gerichte gehen typischerweise davon aus, dass eine zeitnahe Abhebung nach einem Diebstahl darauf hindeutet, dass der Kunde die PIN auf der Karte notiert oder zusammen mit ihr aufbewahrt und somit sorgfaltswidrig gehandelt hat.
Dieser Anscheinsbeweis ist jedoch nicht unumstößlich. Er kann vom Kunden erschüttert werden, wenn ein anderer, ebenso plausibler Geschehensablauf dargelegt werden kann. Dies gelang einem Kläger vor dem Amtsgericht Bad Iburg. Ihm wurde nachts auf der Hamburger Reeperbahn die EC-Karte aus der Jackentasche gestohlen, kurz nachdem er an einem Geldautomaten Bargeld abgehoben hatte. Wenig später hoben die Täter mit der Karte und der korrekten PIN einen hohen Betrag ab. Das Gericht gab der Klage des Mannes gegen seine Sparkasse statt. Es sah den Anscheinsbeweis als erschüttert an, da es ebenso denkbar und in dem betreffenden Umfeld sogar wahrscheinlich sei, dass die Täter die PIN-Eingabe zuvor ausgespäht hatten (sogenanntes „Shoulder Surfing“). Da die Sparkasse nicht konkret beweisen konnte, dass der Kunde seine PIN unsicher verwahrt hatte, musste sie den Schaden in voller Höhe erstatten (AG Bad Iburg, 31.03.2021 - Az:
4 C 430/20).
Unverzügliches Handeln ist entscheidend
Stellt ein Bankkunde eine unberechtigte Abbuchung fest, ist schnelles Handeln geboten. Zunächst sollte unverzüglich die Bank kontaktiert werden, um das betroffene Konto, den Online-Banking-Zugang oder die Karte sperren zu lassen. Dies dient dazu, weiteren Schaden zu verhindern. Gleichzeitig sollte die Erstattung des abgebuchten Betrages unter Berufung auf § 675u BGB von der Bank verlangt werden. Es ist zudem ratsam, bei der Polizei eine Strafanzeige gegen Unbekannt zu erstatten. Dies ist nicht nur für die strafrechtliche Verfolgung der Täter wichtig, sondern dokumentiert den Vorfall auch gegenüber der Bank und einer eventuell vorhandenen Versicherung. Verweigert die Bank die Erstattung, sollte
anwaltliche Hilfe in Anspruch genommen werden, um die Ansprüche fundiert durchzusetzen.
