Online-Banking-Betrug: Wann die Bank haftet und Ihr Geld erstatten muss
Phishing-Mail, Fake-Anruf oder Banking-Trojaner: Wird Ihr Konto ohne Ihre Zustimmung belastet, muss die Bank nach § 675u BGB grundsätzlich zahlen. Wann sie sich mit grober Fahrlässigkeit herausreden kann und wann nicht, zeigen aktuelle BGH- und OLG-Urteile am Beispiel N26 und anderer Banken.
Wird eine Überweisung ohne Ihre Zustimmung von Ihrem Konto ausgeführt, muss die Bank den Betrag nach § 675u BGB grundsätzlich unverzüglich erstatten. Weitere Betrugsmaschen rund ums Online-Banking bündelt der zugehörige Themenbereich., unabhängig davon, ob N26, Sparkasse oder eine andere Bank betroffen ist. Die Bank kann sich davon nur befreien, wenn sie beweist, dass Sie die Zahlung autorisiert oder grob fahrlässig gegen Ihre Sorgfaltspflichten verstoßen haben. Genau an diesem Punkt entscheiden sich die meisten Streitfälle.
Wichtige Abgrenzung vorab: Dieser Beitrag behandelt Fälle, in denen ein Dritter kriminell in Ihr Konto eingegriffen hat. Haben Sie dagegen selbst eine falsche IBAN eingegeben, ohne dass jemand Sie getäuscht hat, gilt eine andere Rechtsgrundlage ohne Bankhaftung, dazu der Beitrag zu fehlerhaften Überweisungen.
Warum tauchen bei N26 besonders viele Betrugsfälle auf?
N26 hat mit einer rein digitalen Kontoeröffnung und einer stark automatisierten Legitimationsprüfung innerhalb weniger Jahre über sieben Millionen Kunden in Europa gewonnen. Dieses Modell zog auch Betrüger an, die mit gefälschten oder gestohlenen Identitäten Konten eröffneten. Die BaFin ordnete gegenüber N26 Maßnahmen zur ordnungsgemäßen Geschäftsorganisation an, unter anderem verschärfte Identitätsprüfungen und eine bessere Transaktionsüberwachung. Das Problem ist nicht auf N26 beschränkt. Jede Bank, die auf schnelles Wachstum und volldigitale Prozesse setzt, steht vor demselben Spagat zwischen Kundenfreundlichkeit und Betrugsprävention, weshalb die folgenden Betrugsmaschen und Rechte unabhängig vom konkreten Institut gelten.
Welche Phishing-Varianten stecken meist hinter einem Online-Banking-Betrug?
Die Grundidee ist bei allen Varianten gleich: Der Täter bringt Sie dazu, Zugangsdaten, eine TAN oder eine Autorisierung preiszugeben, die er dann selbst zur Überweisung nutzt.
Phishing-Mail und gefälschte Webseite. Eine E-Mail, die aussieht wie eine echte Nachricht Ihrer Bank, verlinkt auf eine nachgebaute Login-Seite. Wer dort seine Zugangsdaten eingibt, liefert sie direkt an die Täter.
Smishing per SMS. Die gleiche Masche per Kurznachricht, oft mit einer angeblich dringenden Sicherheitswarnung und einem Link, der zur gefälschten Seite führt.
Vishing per Telefonanruf. Ein Anrufer gibt sich als Bankmitarbeiter aus und bittet um eine TAN, angeblich zur Bestätigung einer Sicherheitsmaßnahme oder eines Systemwechsels. Manche Täter rufen mehrfach an, teils mit gefälschter Rufnummer, um Vertrauen aufzubauen, das sogenannte Call-ID-Spoofing.
Banking-Trojaner. Schadsoftware gelangt über eine präparierte Datei oder eine Sicherheitslücke auf Computer oder Smartphone, protokolliert Tastatureingaben oder täuscht einen Verbindungsabbruch vor, während sie im Hintergrund Daten abgreift. Anzeichen sind eine spürbar geringere Geschwindigkeit des Geräts, ungewöhnliche Pop-ups oder eine Weiterleitung auf unbekannte Seiten.
Pharming. Hier wird nicht der Nutzer, sondern ein DNS-Server manipuliert, sodass selbst die korrekt eingegebene Adresse auf eine gefälschte Bankseite führt.
Wann muss die Bank eine Betrugsüberweisung erstatten?
Nach § 675u BGB hat der Zahlungsdienstleister gegen den Zahler keinen Anspruch auf Ersatz seiner Aufwendungen, wenn eine Zahlung nicht autorisiert war. Er muss den Betrag unverzüglich erstatten, spätestens bis zum Ende des Geschäftstags, der auf die Meldung des nicht autorisierten Vorgangs folgt, und das Konto wieder auf den Stand bringen, den es ohne die Belastung hätte. Die Bank trägt dabei die Beweislast: Sie muss nachweisen, dass die Zahlung tatsächlich autorisiert war, oder dass Ihnen grobe Fahrlässigkeit vorzuwerfen ist.
Damit die Bank sich überhaupt auf eine Mithaftung berufen kann, muss außerdem starke Kundenauthentifizierung für den betroffenen Zahlungsvorgang vorgesehen gewesen sein. Der Bundesgerichtshof hat am 22. Juli 2025 (Az. XI ZR 107/24) klargestellt, dass es dabei allein auf die Authentifizierung des konkreten Zahlungsvorgangs ankommt, nicht auf die Authentifizierung beim Login ins Online-Banking selbst.
Was zählt als grobe Fahrlässigkeit bei Phishing?
Grobe Fahrlässigkeit liegt nach § 675v Abs. 3 BGB vor, wenn Sie Ihre Sorgfaltspflichten aus § 675l BGB in ungewöhnlich hohem Maß verletzt haben, etwa weil Sie eine TAN trotz eindeutiger Warnzeichen an einen unbekannten Anrufer weitergegeben haben. Die Hürde dafür liegt aber hoch, ein einzelner Fehler unter Zeitdruck reicht meist nicht aus.
Der BGH hat im bereits erwähnten Urteil vom 22. Juli 2025 (XI ZR 107/24) eine Kundin als grob fahrlässig eingestuft, die einem angeblichen Bankmitarbeiter am Telefon mehrfach TANs durchgegeben hatte, und zwar bei einem zweiten Anruf am Abend nach einer vorherigen Terminvereinbarung. Entscheidend war für das Gericht, dass ihr fast ein ganzer Tag Zeit geblieben war, um die ungewöhnlichen Umstände zu hinterfragen, sodass kein bloßes Augenblicksversagen mehr vorlag.
Umgekehrt hat das OLG Koblenz im April 2026 die grobe Fahrlässigkeit eines Kunden verneint, weil die Bank nicht konkret nachweisen konnte, dass er sicherheitsrelevante Daten tatsächlich aktiv weitergegeben hatte. Bloße Vermutungen der Bank reichen dafür nicht aus.
Besonders praxisrelevant ist das Urteil des OLG Dresden vom 5. Juni 2025 (Az. 8 U 1482/24): Ein Kunde hatte durch eine täuschend echte Nachricht seine Zugangsdaten preisgegeben und anschließend am Telefon Überweisungen autorisiert, die er für einen Systemwechsel hielt. Etwa 50.000 Euro gingen ins Ausland. Das Gericht bejahte zwar grobe Fahrlässigkeit auf Seiten des Kunden, sprach ihm aber dennoch 20 Prozent des Schadens zu, weil die Sparkasse selbst keine starke Kundenauthentifizierung beim Login verlangt und die auffällige Überweisung nicht gestoppt hatte. Grobe Fahrlässigkeit des Kunden schließt eine Mithaftung der Bank also nicht automatisch aus, wenn die Bank ihrerseits Sicherheitsstandards verletzt.
Wie haftet eine GmbH bei einer gefälschten Zahlungsanweisung?
Nicht jeder Fall betrifft Privatpersonen. Der BGH hatte bereits am 17. November 2020 (Az. XI ZR 294/19) über einen Fall zu entscheiden, bei dem eine GmbH über Jahre Faxanweisungen zur Autorisierung von Gehaltszahlungen nutzte. Eine Mitarbeiterin wurde durch Täuschung dazu gebracht, zwei elektronisch übermittelte und um eine nachgemachte Unterschrift ergänzte Faxanweisungen auszudrucken, selbst zu unterschreiben und an die Bank zu senden. Über zwei Millionen Euro gingen auf ein Konto in Hongkong.
Der BGH stellte klar, dass die GmbH nach § 675u BGB grundsätzlich einen Erstattungsanspruch gegen die Bank hatte, weil die Zahlung nicht wirksam autorisiert war. Allerdings hatte die Mitarbeiterin als Erfüllungsgehilfin der GmbH gegen eine vertraglich vereinbarte Sicherheitsbedingung verstoßen, nämlich dass Faxanweisungen nur mit Original-Unterschrift des Geschäftsführers gültig sind. Diese Pflichtverletzung führte im Ergebnis dazu, dass die GmbH den Schaden allein tragen musste. Der Fall zeigt, wie wichtig es ist, vereinbarte Sicherheitsverfahren bei Zahlungsanweisungen tatsächlich einzuhalten, gerade in Unternehmen mit mehreren Zeichnungsberechtigten.
Was tun, wenn Sie bereits Opfer eines Online-Banking-Betrugs geworden sind?
Handeln Sie in dieser Reihenfolge, jede Verzögerung verringert Ihre Chancen:
- Konto sofort sperren. Rufen Sie die bundesweite Sperr-Notrufnummer 116 116 an, sie ist rund um die Uhr erreichbar und sperrt Ihr Konto unabhängig von der Bank.
- Bank informieren. Melden Sie den nicht autorisierten Zahlungsvorgang unverzüglich, das setzt die Erstattungsfrist nach § 675u BGB in Gang.
- Anzeige bei der Polizei erstatten. Halten Sie Zeitpunkt, Ablauf und, soweit bekannt, Kontaktdaten der Täter fest.
- Beweise sichern. Screenshots der Phishing-Nachricht oder gefälschten Seite, Anrufprotokolle, Kontoauszüge mit den betroffenen Buchungen.
- Neue Zugangsdaten vergeben. Nutzen Sie nach der Entsperrung ausschließlich neue Passwörter und PINs.
- Rechtlichen Rat einholen. Vor allem wenn die Bank eine Erstattung mit dem Vorwurf grober Fahrlässigkeit ablehnt, lohnt sich eine anwaltliche Prüfung der konkreten Umstände.
Wie schützt man sich präventiv vor Online-Banking-Betrug?
Ein starkes, einzigartiges Passwort für das Online-Banking ist die Basis, ergänzt durch Zwei-Faktor-Authentifizierung für Log-in und Zahlungsauslösung. Wie sich die einzelnen Phishing-Varianten konkret erkennen lassen, beschreibt der Beitrag Phishing erkennen: Smishing, Vishing, Quishing und KI-Stimmen im Online-Banking im Detail. Geben Sie Zugangsdaten, PIN oder TAN niemals heraus, weder am Telefon noch per E-Mail oder SMS, denn kein Bankmitarbeiter fragt danach. Dieselbe Grundregel gilt bei Zahlungsanforderungen über PayPal, auch wenn dort die Betrugsmaschen im Detail anders aussehen. Öffnen Sie keine Links aus unerwarteten Nachrichten und geben Sie die Adresse Ihrer Bank stets selbst ein oder nutzen ein eigenes Lesezeichen. Halten Sie Betriebssystem, Banking-App und Virenschutz aktuell, und richten Sie, wo möglich, ein Überweisungslimit ein, das den maximalen Schaden im Ernstfall begrenzt.
Rechtsstand: Juli 2026.
Fragen & Antworten
Muss meine Bank eine betrügerische Überweisung immer erstatten?
Grundsätzlich ja. Nach § 675u BGB muss die Bank eine nicht autorisierte Zahlung unverzüglich erstatten und das Konto auf den ursprünglichen Stand bringen. Die Bank kann sich nur befreien, wenn sie beweist, dass Sie die Zahlung selbst autorisiert oder grob fahrlässig gegen Ihre Sorgfaltspflichten verstoßen haben.
Wann liegt grobe Fahrlässigkeit bei Phishing vor?
Grobe Fahrlässigkeit setzt eine ungewöhnlich schwere Sorgfaltspflichtverletzung voraus. Der BGH hat sie am 22.7.2025 (Az. XI ZR 107/24) bejaht, weil eine Kundin trotz fast eines Tages Bedenkzeit mehrfach TANs an einen unbekannten Anrufer weitergab. Ein einzelner Fehler unter akutem Zeitdruck reicht dagegen meist nicht aus, wie das OLG Koblenz im April 2026 bestätigt hat.
Haftet die Bank auch, wenn mir grobe Fahrlässigkeit vorgeworfen wird?
Möglich ist das. Das OLG Dresden hat am 5.6.2025 (Az. 8 U 1482/24) einer Kundin trotz bejahter grober Fahrlässigkeit 20 Prozent des Schadens zugesprochen, weil die Bank keine starke Kundenauthentifizierung beim Login verlangte und eine auffällige Überweisung nicht stoppte.
Welche Betrugsmaschen führen am häufigsten zu Online-Banking-Betrug?
Am häufigsten sind Phishing-Mails und gefälschte Webseiten, Smishing per SMS, Vishing-Anrufe angeblicher Bankmitarbeiter und Banking-Trojaner, die Tastatureingaben mitschneiden. Bei N26 kamen in der Vergangenheit zusätzlich Schwächen bei der rein digitalen Legitimationsprüfung hinzu, die es Betrügern erleichterten, Konten mit falschen Identitäten zu eröffnen.
Was sollte ich als Erstes tun, wenn mein Konto betroffen ist?
Sperren Sie Ihr Konto sofort über die bundesweite Sperr-Notrufnummer 116 116, informieren Sie unverzüglich Ihre Bank, erstatten Sie Anzeige bei der Polizei und sichern Sie Beweise wie Screenshots und Kontoauszüge. Danach lohnt sich bei einer Ablehnung der Bank eine anwaltliche Prüfung.
Hinweis: Dieser Artikel dient ausschließlich der allgemeinen rechtlichen Information und stellt keine Rechtsberatung im Einzelfall dar. Für die Beurteilung Ihrer konkreten Situation wenden Sie sich bitte direkt an Rechtsanwalt Hermann Kaufmann. Die Inanspruchnahme von Rechtsdienstleistungen setzt ein individuelles Mandatsverhältnis voraus (§ 43b BRAO).