04202 / 6 38 37 – 0 · info@rechtsanwaltkaufmann.de · Mo – Fr 9:00–12:30 / 14:30–17:30
Bank- und Kapitalmarktrecht

Sparkasse Betrug: Aktuelle Maschen und wann die Bank haften muss

Fake-Anruf der angeblichen Sparkassen-Sicherheitsabteilung, S-pushTAN-Betrug oder Phishing-SMS: Sparkassen-Kunden geraten aktuell ins Visier organisierter Betrüger. Was die Sparkassen und das LKA warnen, wann Sie Ihr Geld nach § 675u BGB zurückbekommen und wie Sie gegen die Sparkasse vorgehen.

Titelbild: Sparkasse Betrug: Aktuelle Maschen und wann die Bank haften muss

Sparkassen warnen aktuell verstärkt vor einer zweistufigen Betrugsmasche: Zuerst kommt eine Phishing-Mail oder SMS mit einer angeblichen Sicherheitswarnung, dann ein Anruf eines vermeintlichen Mitarbeiters der Sparkassen-Sicherheitsabteilung. Wird dabei eine Zahlung ohne Ihre Zustimmung ausgelöst, muss die Sparkasse nach § 675u BGB grundsätzlich erstatten. Ob das im Einzelfall gelingt, hängt von der Frage der groben Fahrlässigkeit ab, und genau hier hat sich die Rechtsprechung seit 2024 spürbar ausdifferenziert.

Einordnung vorab: Dieser Beitrag behandelt die Sparkassen-Spezifika. Die allgemeine Haftungssystematik nach § 675u/675v BGB, unabhängig vom konkreten Institut, erklärt der Grundlagenbeitrag Online-Banking-Betrug: Wann die Bank haftet und Ihr Geld erstatten muss. Wie Sie eine Phishing-Nachricht überhaupt erkennen, bevor es zum Schaden kommt, zeigt der Ratgeber Phishing erkennen: Smishing, Vishing, Quishing und KI-Stimmen im Online-Banking.

Welche Betrugsmaschen treffen Sparkassen-Kunden aktuell besonders häufig?

Sparkassen selbst warnen auf ihren Sicherheitsseiten und über den Verband für Sicherheit im Internet vor einem wiederkehrenden Muster Sparkassen selbst warnen, wie unser Themenüberblick zu Online-Banking-Betrug zeigt, auf ihren Sicherheitsseiten und über den Verband für Sicherheit im Internet vor einem wiederkehrenden Muster: Eine E-Mail oder SMS meldet ein angeblich ablaufendes Sicherheitszertifikat, eine verdächtige Anmeldung oder eine nötige Datenprüfung und verlinkt auf eine nachgebaute Login-Seite. Wer dort Zugangsdaten eingibt, wird häufig kurz danach telefonisch kontaktiert.

Der Fake-Anruf der Sparkassen-Sicherheitsabteilung. Der Anrufer gibt sich als Mitarbeiter der Sicherheitsabteilung oder eines Sicherheitsteams aus und behauptet, es gebe verdächtige Kontobewegungen oder eine nötige Systemumstellung über die S-pushTAN-App. Die angezeigte Rufnummer kann dabei täuschend echt aussehen, weil die Täter sie per Call-ID-Spoofing fälschen. Ziel ist entweder die Freigabe eines fremden Geräts als vertrauenswürdig oder die TAN-Bestätigung einer vom Betrüger selbst ausgelösten Überweisung.

S-pushTAN-Aktualisierungsnachricht. Eine gefälschte Nachricht im Namen der Sparkasse behauptet, die pushTAN-Registrierung laufe ab oder müsse wegen eines Systemwechsels neu bestätigt werden. Wer den entsprechenden Auftrag in der App freigibt, registriert in Wahrheit das Gerät der Täter für sein eigenes Konto.

Phishing-SMS mit angeblicher Steuerrückerstattung oder Sicherheitswarnung. Eine Kurznachricht kombiniert einen finanziellen Anreiz oder eine Drohkulisse mit einem Link zur gefälschten Login-Seite.

Die Sparkassen betonen dabei unmissverständlich: Kein echter Mitarbeiter fragt am Telefon, per SMS oder E-Mail nach Zugangsdaten, TAN oder einer Neuregistrierung des pushTAN-Verfahrens. Jede solche Aufforderung ist ein Betrugssignal, unabhängig davon, wie professionell der Anruf wirkt oder welche Rufnummer im Display erscheint.

Wann muss die Sparkasse eine Betrugsüberweisung erstatten?

Nach § 675u BGB hat der Zahlungsdienstleister gegen den Zahler keinen Anspruch auf Ersatz seiner Aufwendungen, wenn eine Zahlung nicht autorisiert war, und muss den Betrag unverzüglich erstatten. Die Beweislast liegt bei der Sparkasse: Sie muss nachweisen, dass die Zahlung tatsächlich autorisiert war oder dass Sie grob fahrlässig gegen Ihre Sorgfaltspflichten aus § 675l BGB verstoßen haben.

Hier prallen in der Praxis zwei Argumentationslinien aufeinander. Die Sparkasse verweist meist auf Transaktionsprotokolle, die eine ordnungsgemäße Autorisierung über die pushTAN-App zeigen, und beruft sich auf den sogenannten Anscheinsbeweis: Läuft ein Zahlungssystem nachweislich fehlerfrei, wird zunächst vermutet, dass auch der konkrete Vorgang ordnungsgemäß ablief. Diese Vermutung ist aber keine unwiderlegliche Tatsache. Sie kann erschüttert werden, wenn Sie einen atypischen Geschehensablauf darlegen, etwa eine nachvollziehbare Täuschung durch einen gefälschten Anruf mit echter Bank-Nummer im Display. Eine bloße Behauptung reicht dafür allerdings nicht, die Umstände der Täuschung müssen konkret geschildert werden.

Was zeigt die aktuelle Rechtsprechung zu Sparkassen-Betrugsfällen?

Die Gerichte urteilen seit 2024 spürbar einzelfallbezogener als früher, mehrere Entscheidungen zeigen beide Richtungen.

LG Köln, Urteil vom 8.1.2024 (Az. 22 O 43/22): Ein Sparkassenkunde erhielt einen Anruf, bei dem durch Call-ID-Spoofing die echte Nummer seiner Sparkasse im Display erschien. Der angebliche Mitarbeiter behauptete, das Konto sei gesperrt, und bat um Freigabe eines Auftrags mit der unklaren Bezeichnung „Registrierung Karte“ in der pushTAN-App. Dadurch luden die Täter eine digitale Debitkarte auf ihr eigenes Gerät und hoben 14.000 Euro ab. Das Gericht verneinte grobe Fahrlässigkeit: Der Kunde durfte auf die angezeigte, echte Bank-Nummer vertrauen, die Sparkasse hätte die Freigabe-Anfrage klarer bezeichnen können.

OLG Oldenburg, Urteil vom 24.4.2025 (Az. 8 U 103/23): Ein Ehepaar erhielt eine gefälschte E-Mail zur angeblichen Aktualisierung der PushTAN-Registrierung. Die Ehefrau klickte den Link, gab auf der nachgebauten Seite Geburtsdatum, EC-Kartennummer, Anmeldename und PIN ein. Am Folgetag gingen rund 41.000 Euro nach Estland. Das Gericht bejahte grobe Fahrlässigkeit: Die E-Mail enthielt mehrere Rechtschreibfehler und die unpersönliche Anrede „Sehr geehrter Kunde“, beides hätte Zweifel wecken müssen. Der Erstattungsanspruch entfiel vollständig.

OLG Dresden, Urteil vom 5.6.2025 (Az. 8 U 1482/24): Ein Sparkassenkunde fiel auf eine Phishing-Mail herein, gab Zugangsdaten preis und bestätigte anschließend telefonisch zwei betrügerische Aufträge über die S-pushTAN-App. Rund 49.400 Euro wurden abgehoben. Das Gericht bejahte zwar grobe Fahrlässigkeit, sprach dem Kunden aber trotzdem 20 Prozent des Schadens zu (rund 9.900 Euro), weil die Sparkasse selbst beim Login keine starke Kundenauthentifizierung verlangte und damit gegen europäische Sicherheitsvorgaben verstieß. Grobe Fahrlässigkeit auf Kundenseite schließt eine Mithaftung der Bank also nicht automatisch aus. Das Urteil ist nicht rechtskräftig; die Revision ist beim Bundesgerichtshof anhängig (Az. XI ZR 71/25).

LG Frankenthal, Urteil vom 24.10.2024 (Az. 7 O 154/24): Bei einer selbst autorisierten Echtzeitüberweisung, die der Kunde im Rahmen einer Betrugsmasche eigenhändig freigegeben hatte, verneinte das Gericht eine Rückerstattungspflicht der Bank. Die Entscheidung zeigt: Sobald die Autorisierung selbst nicht in Zweifel steht, hilft § 675u BGB nicht mehr weiter, dann kommt allenfalls ein Anfechtungs- oder Schadensersatzweg gegen die Täter selbst in Betracht.

Wie gehen Sie praktisch gegen die Sparkasse vor, wenn sie die Erstattung ablehnt?

  1. Schriftliche Forderung an die Sparkasse. Fordern Sie die Erstattung unter Berufung auf § 675u BGB und setzen Sie eine Frist. Verlangen Sie zugleich Einsicht in die Transaktionsprotokolle, aus denen die Sparkasse ihre Behauptung der Autorisierung ableitet.
  2. Schlichtungsstelle des Deutschen Sparkassen- und Giroverbands (DSGV) anrufen. Das Verfahren ist für Sie kostenlos, die Ombudspersonen müssen die Befähigung zum Richteramt haben und sind unabhängig. Eine schriftliche Beschwerde richten Sie zunächst an die Kundenbeschwerdestelle der Sparkasse, bei erfolgloser Klärung an die Schlichtungsstelle in Berlin.
  3. BaFin-Beschwerde einreichen. Die BaFin kann über das Online-Beschwerdeformular kontaktiert werden. Sie ist aber nur für die kollektive Finanzaufsicht zuständig und trifft keine Entscheidung in Ihrem konkreten Einzelfall, eine BaFin-Meldung kann aber aufsichtsrechtlichen Druck erzeugen, wenn ein Institut systematisch Sicherheitsstandards verletzt.
  4. Klage vor dem zuständigen Amts- oder Landgericht. Bleibt die Sparkasse bei ihrer Ablehnung, ist die Klage der nächste Schritt, hier zeigt sich nach der aktuellen Rechtsprechung, ob der Vorwurf der groben Fahrlässigkeit tatsächlich trägt oder ob die Sparkasse selbst Sicherheitspflichten verletzt hat.

Was sollten Sie unmittelbar nach einem Sparkassen-Betrugsfall tun?

Sperren Sie Ihr Konto sofort über die bundesweite Sperr-Notrufnummer 116 116, informieren Sie unverzüglich Ihre Sparkasse und erstatten Sie Anzeige bei der Polizei. Sichern Sie Beweise wie Screenshots der Phishing-Nachricht, Anrufprotokolle und Kontoauszüge mit den betroffenen Buchungen. Vergeben Sie nach der Entsperrung ausschließlich neue Zugangsdaten. Erst danach lohnt sich der Blick auf die konkreten Erfolgsaussichten einer Erstattungsforderung.

Rechtsstand: Juli 2026.

Fragen & Antworten

Welche Betrugsmasche nutzen Täter aktuell besonders häufig gegen Sparkassen-Kunden?

Sparkassen warnen aktuell vor einer zweistufigen Masche: eine Phishing-Mail oder SMS mit angeblicher Sicherheitswarnung, gefolgt von einem Anruf einer vorgeblichen Sparkassen-Sicherheitsabteilung, die zur S-pushTAN-Freigabe drängt. Die angezeigte Rufnummer kann dabei per Call-ID-Spoofing gefälscht sein.

Muss die Sparkasse eine Betrugsüberweisung immer erstatten?

Grundsätzlich ja, nach § 675u BGB muss die Sparkasse eine nicht autorisierte Zahlung unverzüglich erstatten und trägt dafür die Beweislast. Sie kann sich nur befreien, wenn sie eine tatsächliche Autorisierung oder grobe Fahrlässigkeit nach § 675v Abs. 3 BGB nachweist.

Wann liegt grobe Fahrlässigkeit bei einem Sparkassen-Betrugsfall vor?

Das hängt stark vom Einzelfall ab. Das OLG Oldenburg hat grobe Fahrlässigkeit bejaht, weil eine Phishing-Mail Rechtschreibfehler und die unpersönliche Anrede 'Sehr geehrter Kunde' enthielt (24.4.2025, Az. 8 U 103/23). Das LG Köln hat sie dagegen verneint, weil der Kunde auf eine echte, angezeigte Bank-Rufnummer vertrauen durfte (8.1.2024, Az. 22 O 43/22).

Haftet die Sparkasse auch bei grober Fahrlässigkeit des Kunden mit?

Das ist möglich. Das OLG Dresden hat einem Kunden trotz bejahter grober Fahrlässigkeit 20 Prozent des Schadens zugesprochen, weil die Sparkasse selbst keine starke Kundenauthentifizierung beim Login verlangte (5.6.2025, Az. 8 U 1482/24).

Wie gehe ich vor, wenn die Sparkasse eine Erstattung ablehnt?

Setzen Sie zunächst eine schriftliche Frist unter Berufung auf § 675u BGB. Bleibt die Sparkasse bei der Ablehnung, hilft die kostenlose Schlichtungsstelle des Deutschen Sparkassen- und Giroverbands, alternativ eine BaFin-Beschwerde oder die Klage vor Gericht.

Hinweis: Dieser Artikel dient ausschließlich der allgemeinen rechtlichen Information und stellt keine Rechtsberatung im Einzelfall dar. Für die Beurteilung Ihrer konkreten Situation wenden Sie sich bitte direkt an Rechtsanwalt Hermann Kaufmann. Die Inanspruchnahme von Rechtsdienstleistungen setzt ein individuelles Mandatsverhältnis voraus (§ 43b BRAO).

Profile & Bewertungen