PayPal-Sicherheitslücken: Betrugsmaschen erkennen, Käuferschutz nutzen
PayPal gilt als sicherer Zahlungsdienst, doch Betrüger passen ihre Maschen laufend an. Aktuell besonders verbreitet: gefälschte Domains, KI-geschriebene Phishing-SMS und der Missbrauch der Gastzahlung. So erkennen Sie die Betrugsmasche und holen sich Ihr Geld zurück.
PayPal selbst wurde 2026 nicht gehackt. Weitere Betrugsmaschen und Rechte rund ums Online-Banking bündelt der zugehörige Themenbereich. Was in Medienberichten oft als „PayPal-Sicherheitslücke“ bezeichnet wird, ist überwiegend Phishing und Social Engineering, bei dem Betrüger die Marke PayPal missbrauchen, ohne dass die Systeme des Zahlungsdienstes selbst kompromittiert sind. Für Betroffene macht das finanziell keinen Unterschied, entscheidend ist, welche Rechte sie in welcher Frist geltend machen können.
Abgrenzung vorab: Dieser Beitrag behandelt Betrug rund um PayPal als Zahlungsdienst. Geht es um einen Betrugsfall direkt im klassischen Online-Banking Ihrer Bank, etwa durch Phishing-Mail, Fake-Anruf oder Banking-Trojaner, erklärt der Beitrag zu Online-Banking-Betrug und Bankhaftung, wann die Bank nach § 675u BGB erstatten muss.
Welche Betrugsmaschen rund um PayPal sind 2026 aktuell?
No-Phish-Angriffe über eigene Domains. Sicherheitsforscher dokumentieren eine Masche, bei der Täter eine eigene, unauffällige Domain registrieren und darüber das echte PayPal-Portal missbrauchen, um von dort aus Zahlungsanforderungen an ihre Opfer zu versenden. Die eigentliche Zahlungsaufforderung stammt technisch tatsächlich von paypal.com, wirkt dadurch besonders vertrauenswürdig und lässt sich allein am Absender kaum als Betrug erkennen.
KI-geschriebene Phishing-SMS. Ende April 2026 wurde eine neue Welle von Phishing-SMS bekannt, deren Texte fehlerfrei formuliert sind, weil sie mit Künstlicher Intelligenz erstellt wurden. Die früher verlässlichen Warnzeichen wie holprige Grammatik oder falsche Anrede fallen damit weitgehend weg.
Missbrauch der Gastzahlung. Bei der Option „Zahlen ohne PayPal-Konto“ können Täter mit fremden IBAN-Daten Einkäufe bis zu 1.500 Euro tätigen, ohne dass die Abbuchung in der PayPal-App des Opfers erscheint. PayPal hat die Sicherheitsmaßnahmen für Gastzahlungen inzwischen verschärft, betroffen sind trotzdem weiterhin Verbraucher, die ihre Kontoauszüge nicht regelmäßig kontrollieren.
Klassisches Phishing per E-Mail. Nach wie vor verbreitet sind gefälschte E-Mails, die zur „Verifizierung“ des Kontos oder zur Bestätigung einer angeblichen Zahlung auffordern und auf nachgebaute Login-Seiten verlinken.
Woran erkennt man PayPal-Phishing?
Achten Sie auf folgende Anzeichen, auch wenn Absender oder Formulierung inzwischen täuschend echt wirken können:
- Sie werden aufgefordert, Ihr Konto zu „verifizieren“ oder eine Zahlung zu bestätigen, obwohl Sie keine Transaktion erwartet haben.
- Eine Nachricht enthält Zeitdruck („Ihr Konto wird in 24 Stunden gesperrt“) oder droht mit Konsequenzen.
- Ein Link führt zu einer Seite, deren Adresse bei genauem Hinsehen von paypal.com abweicht, etwa durch Zusätze oder eine andere Endung.
- Sie sehen Abbuchungen auf Ihrem Girokonto, die nicht in der PayPal-App auftauchen, ein typisches Anzeichen für missbrauchte Gastzahlungen.
Wenn Sie Zweifel an der Echtheit einer Nachricht haben, klicken Sie keinen enthaltenen Link an. Dieselbe Vorsicht gilt bei den aktuellen Phishing-Varianten im klassischen Online-Banking, etwa bei Quishing oder KI-geklonten Anrufer-Stimmen. Öffnen Sie stattdessen die PayPal-Website direkt über die Adresszeile oder die offizielle App und prüfen Sie dort, ob tatsächlich eine Aktion erforderlich ist.
Wann greift der PayPal-Käuferschutz?
Der Käuferschutz erstattet bei Vorliegen der Voraussetzungen den vollen Kaufpreis zuzüglich der ursprünglichen Versandkosten. Damit er greift, müssen mehrere Bedingungen erfüllt sein:
- Der Konflikt muss innerhalb von 180 Tagen nach dem Datum der Zahlung eröffnet werden.
- Zunächst ist über die Funktion „Konfliktlösungen“ der direkte Kontakt mit dem Verkäufer zu suchen, bevor ein förmlicher Antrag auf Käuferschutz gestellt werden kann.
- Das eigene PayPal-Konto darf nicht wegen eines Verstoßes gegen die Nutzungsbedingungen eingeschränkt sein.
- Der Kauf muss über PayPal abgewickelt worden sein und in der Regel einen körperlichen Artikel oder eine vergleichbare Leistung betreffen, bestimmte Kategorien sind laut den PayPal-Nutzungsbedingungen vom Käuferschutz ausgenommen.
Der Käuferschutz ist eine vertragliche Leistung von PayPal und ersetzt nicht die gesetzlichen Gewährleistungsrechte gegenüber dem Verkäufer, ergänzt sie aber in der Praxis meist wirkungsvoll, weil PayPal als Zahlungsmittler direkt eingreifen kann.
Wie bekommt man eine unberechtigte PayPal-Lastschrift zurück?
Zieht PayPal Geld per SEPA-Lastschrift von Ihrem Girokonto ein, entstehen rechtlich zwei getrennte Verhältnisse: eines zwischen Ihnen und PayPal, eines zwischen Ihnen und Ihrer Bank. Für die Rückbuchung über die Bank gelten die allgemeinen SEPA-Fristen:
- Autorisierte Lastschrift (ein gültiges Mandat lag vor, Sie wollen die Zahlung aber nicht mehr): Widerspruch ohne Angabe von Gründen innerhalb von 8 Wochen nach der Kontobelastung.
- Nicht autorisierte Lastschrift (kein gültiges Mandat, etwa nach Identitätsdiebstahl oder Kontoübernahme): Erstattung innerhalb von 13 Monaten nach der Belastung, hier müssen Sie belegen können, dass kein wirksames Mandat bestand.
Die Achtwochenfrist beginnt mit dem Tag der tatsächlichen Kontobelastung, nicht erst mit der Kenntnisnahme durch den Kontoinhaber. Wer den Zeitpunkt verpasst und eine autorisierte Zahlung zurückholen will, ist auf eine Einigung mit PayPal oder dem Verkäufer angewiesen.
Was tun, wenn Sie bereits Opfer eines PayPal-Betrugs geworden sind?
- PayPal informieren. Melden Sie den Vorfall über die Konfliktlösung oder den PayPal-Kundendienst, PayPal erstattet unautorisierte Zahlungen in vielen Fällen direkt.
- Bank kontaktieren. Prüfen Sie parallel, ob eine Rückbuchung über Ihre Bank innerhalb der SEPA-Fristen möglich ist.
- Kontoauszüge kontrollieren. Besonders bei Gastzahlungs-Missbrauch erscheinen Abbuchungen nur auf dem Girokonto, nicht in der PayPal-App.
- Beweise sichern. Screenshots der Phishing-Nachricht, der gefälschten Seite und aller Kommunikationswege dokumentieren.
- Strafanzeige erstatten. Insbesondere bei größeren Schäden oder erkennbar organisierter Kriminalität.
- Rechtlichen Rat einholen. Wenn PayPal oder die Bank eine Erstattung verweigern, lohnt sich eine anwaltliche Prüfung der konkreten Umstände.
Rechtsstand: Juli 2026.
Fragen & Antworten
Wurde PayPal 2026 gehackt?
Nein, es gibt keine belegte Sicherheitslücke in den Systemen von PayPal selbst. Aktuelle Warnungen betreffen Phishing und Social Engineering, bei dem Betrüger die Marke PayPal missbrauchen, etwa über eigens registrierte Domains oder KI-generierte Phishing-SMS.
Was ist ein No-Phish-Angriff bei PayPal?
Dabei registrieren Täter eine eigene, unauffällige Domain und nutzen das echte PayPal-Portal, um darüber Zahlungsanforderungen an ihre Opfer zu versenden. Die Nachricht stammt technisch tatsächlich von PayPal, lässt sich also nicht allein am Absender als Betrug erkennen.
Innerhalb welcher Frist muss ich den PayPal-Käuferschutz beantragen?
Der Konflikt muss innerhalb von 180 Tagen nach dem Zahlungsdatum eröffnet werden. Vorher ist über die Funktion Konfliktlösungen zunächst der direkte Kontakt mit dem Verkäufer zu suchen.
Wie lange kann ich eine PayPal-Lastschrift zurückbuchen lassen?
Bei einer autorisierten Lastschrift, die Sie sich anders überlegt haben, beträgt die Frist 8 Wochen ab Kontobelastung ohne Angabe von Gründen. Bei einer nicht autorisierten Lastschrift, etwa nach Identitätsdiebstahl, können Sie die Erstattung innerhalb von 13 Monaten verlangen, müssen dann aber das fehlende Mandat nachweisen.
Was tun bei Missbrauch der PayPal-Gastzahlung?
Kontrollieren Sie regelmäßig Ihre Girokonto-Umsätze, da missbräuchliche Gastzahlungen nicht in der PayPal-App erscheinen. Informieren Sie bei einem Fund umgehend Ihre Bank und PayPal und sichern Sie alle Belege für eine mögliche Rückbuchung oder Strafanzeige.
Hinweis: Dieser Artikel dient ausschließlich der allgemeinen rechtlichen Information und stellt keine Rechtsberatung im Einzelfall dar. Für die Beurteilung Ihrer konkreten Situation wenden Sie sich bitte direkt an Rechtsanwalt Hermann Kaufmann. Die Inanspruchnahme von Rechtsdienstleistungen setzt ein individuelles Mandatsverhältnis voraus (§ 43b BRAO).