04202 / 6 38 37 – 0 · info@rechtsanwaltkaufmann.de · Mo – Fr 9:00–12:30 / 14:30–17:30
Bank- und Kapitalmarktrecht

Wie sicher muss Ihre Bank sein? IT-Sicherheitspflichten nach DORA und PSD2

Banken sind gesetzlich verpflichtet, Ihr Online-Banking gegen Cyberangriffe abzusichern. Seit 17.1.2025 gilt dafür EU-weit die DORA-Verordnung, ergänzt um die PSD2-Vorgaben zur starken Kundenauthentifizierung. Was Ihre Bank konkret leisten muss und was Sie als Kunde daraus für den Streitfall ableiten können.

Titelbild: Wie sicher muss Ihre Bank sein? IT-Sicherheitspflichten nach DORA und PSD2

Banken dürfen ihre Kunden nicht auf sich allein gestellt lassen, wenn es um Schutz vor Cyberangriffen im Online-Banking geht. Seit dem 17. Januar 2025 gilt dafür EU-weit ein verbindlicher Rechtsrahmen, die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor, kurz DORA. Ergänzt wird sie durch die PSD2-Vorgaben zur starken Kundenauthentifizierung. Was das für die konkreten Pflichten Ihrer Bank bedeutet und wann Sie sich im Streitfall darauf berufen können, zeigt dieser Beitrag.

Was verlangt DORA konkret von Banken?

Die Digital Operational Resilience Act ist unmittelbar geltendes EU-Recht und damit ohne nationales Umsetzungsgesetz in jedem Mitgliedstaat anwendbar, seit dem 17. Januar 2025 auch verbindlich. Sie ersetzt einen Flickenteppich nationaler IT-Sicherheitsvorgaben durch einen einheitlichen Rahmen für Banken, Zahlungsdienstleister, Versicherer und weitere Finanzunternehmen. Vier Pflichtenkreise stehen im Zentrum:

IKT-Risikomanagement. Banken müssen ein Rahmenwerk zur Steuerung ihrer Informations- und Kommunikationstechnologie-Risiken einrichten, das Identifizierung, Schutz, Erkennung, Reaktion und Wiederherstellung nach IT-Vorfällen abdeckt, mit klarer Verantwortung auf Geschäftsleitungsebene.

Vorfallsmeldepflichten. Schwerwiegende IKT-Vorfälle müssen nach einem standardisierten Verfahren nicht nur intern bearbeitet, sondern in definierten Fällen auch an die zuständigen Aufsichtsbehörden gemeldet werden, mit gestuften Fristen je nach Schwere des Vorfalls.

Resilienz-Tests. Banken müssen ihre IT-Systeme regelmäßig auf Sicherheitslücken prüfen, allgemeine Tests mindestens jährlich. Große und systemrelevante Institute müssen zusätzlich alle drei Jahre einen bedrohungsorientierten Penetrationstest (Threat-Led Penetration Testing) durchführen, bei dem reale Angriffsszenarien simuliert werden.

Überwachung kritischer IKT-Drittdienstleister. Viele Banken lagern zentrale IT-Funktionen an externe Cloud- und Technologieanbieter aus. DORA verpflichtet Banken, diese Anbieter fortlaufend zu überwachen, vertragliche Mindestanforderungen durchzusetzen und im Ernstfall Kündigungsrechte zu haben. Im November 2025 haben die europäischen Aufsichtsbehörden EBA, ESMA und EIOPA erstmals eine Liste von 19 als kritisch eingestuften IKT-Drittdienstleistern veröffentlicht, die künftig direkt von den Behörden beaufsichtigt werden.

Was ist aus den früheren BAIT geworden?

Vor DORA regelte die BaFin die IT-Anforderungen an Banken über eigene Rundschreiben, die Bankaufsichtlichen Anforderungen an die IT (BAIT). Seit dem 17. Januar 2025 sind Institute, die ein IKT-Risikomanagement nach Art. 5 bis 15 oder Art. 16 DORA betreiben müssen, aus dem Anwenderkreis der BAIT ausgenommen. Für einige kleinere, nicht unmittelbar DORA-pflichtige Institute gelten die BAIT noch übergangsweise, sie werden aber zum 31. Dezember 2026 vollständig aufgehoben. Im praktischen Ergebnis heißt das: Für die allermeisten Banken ist DORA bereits heute die maßgebliche Rechtsgrundlage, die BAIT sind ein auslaufendes Übergangsrecht.

Was verlangt PSD2 zusätzlich zur starken Kundenauthentifizierung?

Neben dem allgemeinen IT-Sicherheitsrahmen von DORA gilt für konkrete Zahlungsvorgänge eine spezielle Vorgabe aus der europäischen Zahlungsdiensterichtlinie PSD2, umgesetzt in § 55 ZAG. Danach muss ein Zahlungsdienstleister eine starke Kundenauthentifizierung verlangen, wenn ein Zahler über einen Fernzugang eine Handlung mit Betrugsrisiko vornimmt, etwa eine Überweisung im Online-Banking auslöst. Starke Kundenauthentifizierung bedeutet die Kombination von mindestens zwei unabhängigen Elementen aus den Kategorien Wissen (etwas, das nur Sie wissen, etwa ein Passwort), Besitz (etwas, das nur Sie besitzen, etwa ein Smartphone mit der Banking-App) und Inhärenz (etwas, das Sie sind, etwa ein Fingerabdruck).

Diese Vorgabe gilt seit 2019 verpflichtend, ihre praktische Umsetzung war und ist aber Gegenstand gerichtlicher Auseinandersetzungen. Das Landgericht Heilbronn hat das pushTAN-Verfahren am 16. Mai 2023 (Az. 6 O 10/23) kritisch bewertet: Laufen Banking-App und TAN-Freigabe auf demselben Gerät, fehlt es nach dieser Entscheidung an einer Authentifizierung aus zwei voneinander unabhängigen Elementen, und das Verfahren weist ein erhöhtes Gefährdungspotential auf. Obergerichtlich ist die Frage nicht abschließend geklärt; für Kunden kann sich daraus im Betrugsfall aber ein Argument gegen die eigene Haftung ergeben. Verzichtet eine Bank ganz auf eine starke Kundenauthentifizierung, etwa schon beim Login ins Online-Banking, kann ihr das im Streitfall als eigene Pflichtverletzung angelastet werden, wie der ausführliche Beitrag zur Bankhaftung anhand des OLG-Dresden-Urteils vom 5.6.2025 zeigt.

Gilt für Banken zusätzlich die NIS-2-Richtlinie?

Nein, nicht zusätzlich. Finanzunternehmen, die bereits unter DORA fallen, können nach der gesetzlichen Definition keine NIS-2-Einrichtung sein und unterliegen deshalb nicht den NIS-2-Pflichten, DORA geht als spezielleres EU-Recht vor. Das deutsche NIS-2-Umsetzungsgesetz wurde am 6. Dezember 2025 verkündet und gilt seither für rund 29.500 Unternehmen in 18 Sektoren, Banken gehören aufgrund dieser Ausnahmeregel nicht dazu. Eine anfängliche Registrierungspflicht im NIS-2-Meldeportal kann trotzdem bestehen, wenn ein DORA-Unternehmen zusätzlich die NIS-2-Kriterien erfüllt, die laufenden Melde- und Sicherheitspflichten richten sich dann aber ausschließlich nach DORA.

Wie überwacht die BaFin die Einhaltung dieser Pflichten?

Die BaFin ist die zuständige Aufsichtsbehörde für die Einhaltung von DORA und den ergänzenden Vorgaben in Deutschland, flankiert durch das Finanzmarktdigitalisierungsgesetz, das den Anwendungsbereich auf sämtliche Institute nach dem Kreditwesengesetz ausweitet. Sie prüft die Einhaltung im Rahmen ihrer laufenden Aufsicht und kann aufsichtsrechtliche Maßnahmen anordnen, wenn eine Bank ihre Pflichten verletzt.

Wichtig für Sie als Kunde: Die BaFin trifft dabei keine Entscheidung über Ihren individuellen Erstattungsanspruch nach einem Betrugsfall. Sie ist ausschließlich für die kollektive Aufsicht über den Finanzmarkt zuständig, nicht für die Lösung einzelner Kundenstreitigkeiten. Eine Beschwerde bei der BaFin kann aber aufsichtsrechtlichen Druck erzeugen, wenn eine Bank systematisch Sicherheitsstandards verletzt, und ist über ein Online-Formular möglich.

Was können Sie als Kunde aus diesen Pflichten ableiten?

Sie können von Ihrer Bank ein Sicherheitsniveau einfordern, das den beschriebenen gesetzlichen Mindestanforderungen entspricht, insbesondere eine starke Kundenauthentifizierung bei risikobehafteten Zahlungsvorgängen. Weist eine Bank dieses Niveau nicht auf, etwa weil sie beim Login auf zusätzliche Sicherheitsfaktoren verzichtet, ist das ein Argument, das im Haftungsstreit nach einem Online-Banking-Betrug zu ihren Lasten gehen kann, so wie es das OLG Dresden 2025 in einem Sparkassen-Fall entschieden hat. Die konkrete Haftungsfrage nach § 675u und § 675v BGB, einschließlich der aktuellen Rechtsprechung zur groben Fahrlässigkeit, behandelt der ausführliche Beitrag Online-Banking-Betrug: Wann die Bank haftet und Ihr Geld erstatten muss.

Was können Sie selbst zusätzlich zum gesetzlichen Mindeststandard tun?

Die gesetzlichen Pflichten der Bank ersetzen nicht Ihre eigene Vorsicht. Nutzen Sie ein einzigartiges, starkes Passwort für das Online-Banking, geben Sie TAN, PIN oder Zugangsdaten niemals am Telefon, per SMS oder E-Mail heraus, und öffnen Sie keine Links aus unerwarteten Nachrichten. Einen Überblick über alle Beiträge rund um Online-Banking und Betrug gibt die Themenseite. Wie Sie aktuelle Phishing-, Smishing-, Vishing- und Quishing-Methoden konkret erkennen, bevor es zum Schaden kommt, erklärt der Ratgeber Phishing erkennen: Smishing, Vishing, Quishing und KI-Stimmen im Online-Banking im Detail.

Rechtsstand: Juli 2026.

Fragen & Antworten

Welches Gesetz regelt die IT-Sicherheitspflichten von Banken seit 2025?

Seit dem 17. Januar 2025 gilt EU-weit unmittelbar die Verordnung (EU) 2022/2554 (Digital Operational Resilience Act, DORA). Sie verpflichtet Banken zu IKT-Risikomanagement, Vorfallsmeldepflichten, regelmäßigen Resilienz-Tests und der Überwachung kritischer IKT-Drittdienstleister.

Gelten die alten BAIT-Vorgaben der BaFin noch?

Nur noch übergangsweise für einen kleinen Kreis nicht unmittelbar DORA-pflichtiger Institute. Die BAIT werden zum 31. Dezember 2026 vollständig aufgehoben, für die meisten Banken ist DORA bereits jetzt die maßgebliche Rechtsgrundlage.

Was bedeutet starke Kundenauthentifizierung nach PSD2?

Nach § 55 ZAG muss die Bank bei risikobehafteten Zahlungsvorgängen mindestens zwei unabhängige Sicherheitsfaktoren verlangen, etwa ein Passwort (Wissen) und eine Bestätigung über die Banking-App (Besitz). Das Landgericht Heilbronn hat am 16.5.2023 (Az. 6 O 10/23) allerdings entschieden, dass es an zwei unabhängigen Faktoren fehlt, wenn Banking-App und TAN-Freigabe auf demselben Gerät laufen.

Müssen Banken zusätzlich die NIS-2-Richtlinie einhalten?

Nein. Finanzunternehmen, die unter DORA fallen, sind von den NIS-2-Pflichten ausgenommen, weil DORA als spezielleres EU-Recht vorgeht. Eine Registrierungspflicht im NIS-2-Portal kann in Einzelfällen trotzdem bestehen.

Kann ich mich bei einem Streit mit meiner Bank auf DORA oder PSD2 berufen?

DORA begründet keinen eigenen zivilrechtlichen Erstattungsanspruch, kann aber als Argument dienen, wenn die Bank ihre Sicherheitspflichten insgesamt vernachlässigt hat. Fehlt konkret die nach PSD2/§ 55 ZAG vorgeschriebene starke Kundenauthentifizierung, kann das im Haftungsstreit nach § 675u/675v BGB zulasten der Bank gehen.

Hinweis: Dieser Artikel dient ausschließlich der allgemeinen rechtlichen Information und stellt keine Rechtsberatung im Einzelfall dar. Für die Beurteilung Ihrer konkreten Situation wenden Sie sich bitte direkt an Rechtsanwalt Hermann Kaufmann. Die Inanspruchnahme von Rechtsdienstleistungen setzt ein individuelles Mandatsverhältnis voraus (§ 43b BRAO).

Profile & Bewertungen