Eine SMS, ein angeblicher Anruf der Bank, eine unscheinbare Push-Nachricht: Sekunden später sind 30.000 Euro weg. Online-Banking-Betrug ist 2026 die häufigste Form von Cyberkriminalität in Deutschland und trifft längst nicht mehr nur Senioren. Wer am Ende auf dem Schaden sitzen bleibt, hängt nicht von der Kulanz der Bank ab, sondern von zwei Paragraphen im Bürgerlichen Gesetzbuch und davon, wie schnell du nach dem Vorfall reagierst.
Die Rechtslage ist verbraucherfreundlicher, als viele denken. Der Bundesgerichtshof und mehrere Oberlandesgerichte haben in den vergangenen Jahren klargestellt: Im Zweifel haftet die Bank, nicht der Kunde. Doch es gibt Fälle, in denen du tatsächlich leer ausgehst, etwa wenn du eine TAN am Telefon weitergibst oder Push-Benachrichtigungen blind bestätigst. Dieser Beitrag erklärt, wann die Bank zahlen muss, wo deine Pflichten enden und welche Fristen über Erstattung oder Totalverlust entscheiden.
Die Grundregel: Die Bank haftet zunächst immer
Der zentrale Paragraph heißt § 675u BGB. Er sagt im Kern: Eine Zahlung, die du nicht autorisiert hast, ist für dich kostenlos. Punkt. Die Bank muss den abgebuchten Betrag unverzüglich, spätestens am nächsten Geschäftstag nach der Anzeige des Vorfalls, wieder gutschreiben. Das Konto soll wieder so aussehen, als hätte die nicht autorisierte Buchung nie stattgefunden.
Wichtig ist die Beweislastverteilung. Nicht du musst beweisen, dass du die Überweisung nicht ausgelöst hast. Die Bank muss beweisen, dass du sie autorisiert oder zumindest grob fahrlässig ermöglicht hast. Der BGH hat in seinem Grundsatzurteil vom 26. Januar 2016 (Aktenzeichen XI ZR 91/14) klargestellt, dass es im Online-Banking keinen automatischen Anscheinsbeweis zu Lasten des Kunden gibt. Allein dass eine TAN korrekt eingegeben wurde, beweist nicht, dass der Kunde sie selbst eingegeben hat.
Diese Beweislastregel ist in der Praxis entscheidend. Banken argumentieren häufig, der Kunde sei "auf Phishing reingefallen" und damit grob fahrlässig gewesen. Tatsächlich aber müssen sie konkret darlegen, welche Sorgfaltspflicht der Kunde verletzt haben soll. Allgemeine Vorwürfe wie "hätte erkennen müssen" reichen vor Gericht nicht aus.
Wann du selbst zahlen musst: § 675v BGB im Detail
Die zweite zentrale Norm ist § 675v BGB. Sie regelt die Ausnahmen, in denen Kunden doch haften. Hier gibt es eine wichtige Stufung, die viele Verbraucher nicht kennen.
Bei einfacher Fahrlässigkeit, etwa wenn dir die Karte aus der Hosentasche gestohlen wird und der Dieb sie nutzt, ist deine Haftung auf maximal 50 Euro gedeckelt. Den Rest trägt die Bank. Diese 50-Euro-Grenze gilt grundsätzlich für alle Schäden, die vor der Sperrung des Zahlungsmittels entstehen.
Anders sieht es bei grober Fahrlässigkeit oder Vorsatz aus. Dann haftest du in voller Höhe, theoretisch ohne Obergrenze. Was als grob fahrlässig gilt, ist allerdings strenger ausgelegt, als Banken es gerne darstellen. Nach ständiger Rechtsprechung muss eine "besonders schwere" Verletzung der Sorgfaltspflicht vorliegen, etwa das ungesicherte Aufschreiben der PIN auf der Karte oder die telefonische Weitergabe einer TAN an einen vermeintlichen Bankmitarbeiter.
Haftungssumme nach Verschulden
| Verschuldensgrad | Beispiel | Haftung Kunde | Haftung Bank |
|---|---|---|---|
| Keine Schuld | Phishing trotz Vorsicht, Hackerangriff auf Bank-System | 0 Euro | Voller Schaden |
| Einfache Fahrlässigkeit | Karte verloren, Dieb nutzt sie vor der Sperrung | Max. 50 Euro | Restbetrag |
| Grobe Fahrlässigkeit | TAN am Telefon weitergegeben, PIN auf Karte notiert | Voller Schaden | 0 Euro |
| Vorsatz | Bewusste Mittäterschaft, vorgetäuschter Betrug | Voller Schaden | 0 Euro |
| Nach Sperrung | Schaden nach Anzeige bei Bank oder 116 116 | 0 Euro | Voller Schaden |
Die letzte Zeile ist besonders wichtig. Sobald du den Verlust oder die Manipulation gemeldet hast, ist Schluss mit deiner Haftung. Alles, was danach passiert, muss die Bank tragen. Deshalb ist die schnelle Sperrung der wichtigste Schritt nach einem Verdacht.
Die typischen Betrugsmaschen 2026
Die Methoden der Täter haben sich professionalisiert. Reine "Nigerianische-Prinz-Mails" sind passé. Stattdessen kombinieren Kriminelle technische Tricks mit Social Engineering. Drei Szenarien dominieren 2026.
Phishing über gefälschte SMS läuft so: Du bekommst eine Nachricht, deine Push-TAN-App müsse "aktualisiert" werden, sonst werde dein Banking gesperrt. Der Link führt auf eine täuschend echte Sparkassen- oder ING-Seite. Tippst du dort deine Daten ein, übernehmen die Täter dein Konto. Oft wird der Schaden erst Stunden später bemerkt, weil die Täter die Push-Benachrichtigungen abfangen. Verwandte Maschen wie gefälschte QR-Codes auf Aufstellern und Briefen führen 2026 ebenfalls häufig auf solche Banking-Phishing-Seiten.
Push-TAN-Hijacking nutzt einen besonders perfiden Trick. Die Täter rufen dich an, geben sich als Mitarbeiter der Sicherheitsabteilung deiner Bank aus und behaupten, es habe einen Hackerangriff gegeben. Sie bitten dich, eine "Test-TAN" zu bestätigen oder eine angeblich automatisch ausgelöste Buchung zu autorisieren. In Wahrheit löst du selbst die Überweisung an die Täter aus. Das Oberlandesgericht Dresden hat 2025 entschieden, dass Sparkassen in solchen Fällen zumindest anteilig haften, wenn das pushTAN-Verfahren technisch nicht ausreichend gegen Manipulationen abgesichert war (Az. 8 U 1482/24).
SIM-Swapping ist die technisch aufwändigste Variante. Die Täter überzeugen den Mobilfunkanbieter, deine Rufnummer auf eine neue SIM-Karte zu portieren. Sobald sie deine Nummer kontrollieren, fangen sie SMS-TANs ab und können das Konto leerräumen. Diese Methode trifft vor allem Kunden mit hohen Kontoständen, weil der Aufwand für die Täter erheblich ist.
Was die Gerichte 2026 entschieden haben
Die Rechtsprechung hat sich in den vergangenen Monaten klar pro Verbraucher entwickelt. Das wichtigste Urteil stammt vom Oberlandesgericht Koblenz vom 16. April 2026 (Az. 8 U 682/24). Dort ging es um einen Kunden, dem über das pushTAN-Verfahren 56.099,91 Euro abhandengekommen waren. In erster Instanz hatte das Landgericht die Klage komplett abgewiesen und dem Kunden grobe Fahrlässigkeit vorgeworfen. Das OLG Koblenz hob das Urteil auf und sprach dem Kunden den vollen Betrag zu.
Die Begründung ist für alle Phishing-Opfer relevant: Grobe Fahrlässigkeit liegt nur dann vor, wenn die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt wird. Dass ein Kunde auf eine professionell gemachte Phishing-Seite hereinfällt, reicht dafür nicht aus. Auch die telefonische Bestätigung einer TAN ist nicht automatisch grob fahrlässig, wenn der Anrufer geschickt mit einem täuschenden Anrufer-Display und Insiderwissen arbeitet.
Auch der Bundesgerichtshof hat in mehreren Entscheidungen die Position der Verbraucher gestärkt. So genügt allein die Tatsache, dass ein Login mit korrekten Zugangsdaten erfolgt ist, nicht, um eine Autorisierung durch den Kunden zu beweisen. Banken müssen vielmehr den konkreten Beweis erbringen, dass das Sicherheitsverfahren zum Tatzeitpunkt "praktisch unüberwindbar" war. Diesen Beweis können sie in der Praxis selten führen.
Sofortmaßnahmen: Die ersten 30 Minuten zählen
Wenn du den Verdacht hast, Opfer eines Online-Banking-Betrugs zu sein, gilt eine eiserne Regel: Geschwindigkeit vor Gründlichkeit. Jede Minute, in der die Täter weitere Buchungen ausführen können, vergrößert den Schaden. Die folgende Tabelle zeigt die Reihenfolge, an die du dich halten solltest.
Sperrnummern und Sofortkontakte
| Schritt | Was tun | Wer | Wann |
|---|---|---|---|
| 1 | Konto und Karten sperren | Sperr-Notruf 116 116 (aus dem Ausland: +49 30 4050 4050) | Sofort, 24/7 |
| 2 | Bank informieren | Hausbank-Hotline | Sofort, schriftlich nachfassen |
| 3 | Polizei einschalten | Strafanzeige bei nächster Dienststelle oder online | Innerhalb 24 Stunden |
| 4 | Schriftlicher Widerspruch | E-Mail oder Einschreiben an Bank | Innerhalb 7 Tagen |
| 5 | Erstattungsforderung nach § 675u BGB | Schriftlich an Bank, Frist setzen | Innerhalb 13 Monaten |
Die Nummer 116 116 ist der zentrale Sperr-Notruf der deutschen Banken, kostenfrei aus dem deutschen Festnetz und rund um die Uhr erreichbar. Sie sperrt nicht nur Karten, sondern auch den Online-Banking-Zugang. Halte am besten deine IBAN bereit, alternativ Kontonummer und Bankleitzahl.
Der schriftliche Widerspruch ist juristisch wichtig. Eine telefonische Meldung allein reicht nicht aus, um deine Rechte zu sichern. Schick eine E-Mail oder ein Einschreiben mit dem klaren Wortlaut "Widerspruch gegen nicht autorisierte Zahlungen gemäß § 675u BGB" und liste die betroffenen Buchungen mit Datum und Betrag auf. Dieses Schreiben ist später dein Beweismittel.
Die 13-Monats-Frist: Wann dein Anspruch verfällt
Eine zentrale Falle für Betroffene ist die 13-Monats-Frist. Dein Erstattungsanspruch verjährt 13 Monate nach der Belastungsbuchung. Hast du den Vorfall bis dahin nicht gemeldet, ist das Geld endgültig weg, selbst wenn du eindeutig Opfer eines Betrugs warst.
Diese Frist überrascht viele Kunden. Wer sein Konto nicht regelmäßig prüft oder mit dem Online-Banking erst nach längerer Pause wieder anmeldet, übersieht Buchungen leicht. Spätestens wenn du eine ungewöhnliche Transaktion bemerkst, sollten alle Hebel in Bewegung gesetzt werden, denn die Uhr tickt.
Die Verbraucherzentralen empfehlen, mindestens monatlich einen Blick auf die Kontobewegungen zu werfen, gerade auch auf kleine Beträge. Manche Täter testen mit Mini-Buchungen unter zehn Euro, ob ein Konto aktiv beobachtet wird, bevor sie größere Summen abziehen.
Was Banken wirklich prüfen dürfen
Banken haben in den vergangenen Jahren ihre Sicherheitsverfahren verschärft. Verdächtige Buchungen werden algorithmisch erkannt und teilweise gestoppt. Allerdings gilt: Diese Prüfungen sind keine Pflicht aus § 675u BGB, sondern interne Risikomaßnahmen. Du kannst dich nicht darauf berufen, dass die Bank eine verdächtige Überweisung "hätte stoppen müssen".
Umgekehrt darf die Bank von dir verlangen, dass du grundlegende Sicherheitsregeln einhältst. Dazu gehören:
- Geheimhaltung von PIN, TAN, Zugangsdaten und gegebenenfalls eingerichteten Passkeys als passwortlose Login-Alternative
- Aktuelle Antiviren-Software auf dem Endgerät
- Sofortige Meldung von Auffälligkeiten oder Verlust
- Sorgfältige Prüfung jedes TAN-Bestätigungstextes vor der Freigabe
Die letzte Pflicht ist 2026 besonders relevant. Moderne TAN-Verfahren zeigen den Empfänger und Betrag im Klartext an. Wer eine TAN ohne Prüfung bestätigt, riskiert den Vorwurf grober Fahrlässigkeit. Ein Urteil des LG Saarbrücken aus dem Jahr 2024 hat klargestellt, dass das ungeprüfte Bestätigen einer TAN für eine Auslandsüberweisung an einen unbekannten Empfänger als grob fahrlässig gewertet werden kann. Moderne TAN-Verfahren zeigen den Empfänger und Betrag im Klartext an. Wer eine TAN ohne Prüfung bestätigt, riskiert den Vorwurf grober Fahrlässigkeit. Ein Urteil des LG Saarbrücken aus dem Jahr 2024 hat klargestellt, dass das ungeprüfte Bestätigen einer TAN für eine Auslandsüberweisung an einen unbekannten Empfänger als grob fahrlässig gewertet werden kann.
Wenn die Bank sich weigert: So setzt du Ansprüche durch
Es kommt regelmäßig vor, dass Banken eine Erstattung trotz klarer Rechtslage verweigern. In diesen Fällen hast du mehrere Eskalationsstufen.
Zunächst kannst du dich an die Schlichtungsstelle des jeweiligen Bankenverbands wenden. Für private Banken ist das der Ombudsmann beim Bundesverband deutscher Banken, für Sparkassen die Schlichtungsstelle des DSGV. Das Verfahren ist kostenlos und für die Bank in vielen Fällen bindend, wenn der Streitwert unter einer bestimmten Grenze liegt.
Bringt das nichts, ist die Beschwerde bei der BaFin der nächste Schritt. Die Aufsicht greift zwar nicht in Einzelfälle ein, prüft aber, ob die Bank gegen aufsichtsrechtliche Pflichten verstößt. Häufen sich Beschwerden, kann die BaFin Maßnahmen anordnen.
Letzter Schritt ist die Klage. Die Erfolgsaussichten sind in den vergangenen Jahren deutlich gestiegen. Spezialisierte Rechtsanwälte für Bankrecht arbeiten oft auf Erfolgshonorarbasis oder über Rechtsschutzversicherungen, die zu den Policen zählen, die sich für viele Haushalte tatsächlich lohnen. Wichtig ist, alle Unterlagen lückenlos zu sammeln: Kontoauszüge, Korrespondenz mit der Bank, Polizeiprotokoll und gegebenenfalls Screenshots der Phishing-Seite.
Fazit
Wer 2026 Opfer eines Online-Banking-Betrugs wird, steht keineswegs hilflos da. Das Gesetz ist klar: Bei nicht autorisierten Zahlungen muss die Bank zunächst erstatten, nicht der Kunde Schadenersatz leisten. Die Beweislast für grobe Fahrlässigkeit liegt bei der Bank, und die Hürden dafür sind hoch. Aktuelle Urteile wie das des OLG Koblenz vom April 2026 stärken die Position der Verbraucher zusätzlich.
Entscheidend bleibt das eigene Verhalten unmittelbar nach dem Vorfall. Wer schnell sperrt, schriftlich widerspricht und die 13-Monats-Frist im Blick behält, hat realistische Chancen, sein Geld zurückzubekommen. Wer zögert, telefonisch TANs weitergibt oder Buchungen ungeprüft bestätigt, riskiert dagegen den vollen Schaden. Die Kombination aus Wachsamkeit im Alltag und konsequentem Reagieren im Ernstfall ist 2026 der wichtigste Schutz vor finanziellen Totalschäden.
