Wurde mein Konto durch Online-Banking-Betrug leergeräumt, wer muss zahlen? Ihre Bank, nicht Sie: Das Geld muss sofort zurück. Nicht autorisierte Zahlungen durch Session Hijacking, Phishing oder Trojaner begründen nach § 675u BGB einen Erstattungsanspruch, den die Bank nur bei grober Fahrlässigkeit des Kontoinhabers ablehnen darf.
Wenn Sie nach einer Online-Banking-Sitzung fremde Überweisungen entdecken, dreht sich der Streit mit der Bank oft um eine Frage: Was wussten Sie, und hätten Sie früher reagieren müssen? Im Folgenden klären wir, wie Session Hijacking, Phishing und Trojaner rechtlich eingeordnet werden, wie der Erstattungsanspruch durchgesetzt wird und was bei der Schadensmeldung gilt.
Ein Berufstätiger stellt abends fest, dass von seinem Girokonto mehrere Überweisungen ausgeführt wurden, die er weder initiiert noch bewusst freigegeben hatte. Kurz zuvor hatte er einem vermeintlichen Bankmitarbeiter am Telefon vertraut und einem Fernzugriff auf sein Gerät zugestimmt, um ein angebliches Sicherheitsproblem zu beheben. Die Unbekannten nutzten die bereits aktive, authentifizierte Banking-Sitzung, lösten Transaktionen aus und kontrollierten dabei auch die TAN-Eingabe auf dem Gerät.
Ein solcher Vorfall wirft sofort zwei Fragen auf: Was ist technisch passiert, und wer trägt rechtlich die Konsequenzen? Beide Fragen hängen enger zusammen, als die erste Reaktion der Bank vermuten lässt. Bevor klar wird, wer haftet, lohnt ein Blick darauf, wie diese Angriffe technisch ablaufen und warum die Täter oft keine Spuren hinterlassen, die auf grobe Fahrlässigkeit des Opfers hinweisen.
Was bedeutet session Hijacking, Phishing und Trojaner: Was hinter dem Angriff auf Ihr Konto steckt in der Praxis?
Bevor wir die rechtlichen Konsequenzen einordnen, müssen wir die technischen Angriffsvarianten verstehen, denn nur wer das Vokabular kennt, kann im späteren Haftungsstreit mit der Bank argumentationssicher auftreten.
Beim Session Hijacking übernehmen Täter eine bereits authentifizierte Banking-Sitzung, ohne selbst die starke Kundenauthentifizierung durchlaufen zu müssen. Das gelingt über Session-Cookie-Diebstahl durch Malware, Man-in-the-Middle-Angriffe im Heimnetz oder öffentlichen WLANs, Overlay-Attacken auf Mobile-Banking-Apps oder über Remote-Access-Software, die Kriminelle nach einem Täuschungsanruf installieren lassen.
Worauf es jetzt ankommt
Klassisches Phishing erschleicht Zugangsdaten über gefälschte Login-Seiten oder E-Mails. Session Hijacking geht weiter: Die laufende, bereits authentifizierte Sitzung wird gekapert, ohne dass der Betroffene eine erneute Anmeldung durchführt. Beim Remote-Access-Betrug geben sich Täter als Bankmitarbeiter oder IT-Support aus, überreden zur Installation einer Fernzugriffssoftware und steuern danach Gerät und laufende Banking-Session vollständig fern. In Deutschland zählt dieser Angriffsvektor seit 2022 zu den am häufigsten gemeldeten Betrugsformen im Online-Banking.
Was die Angriffsvariante für die Haftung bedeutet
Die technische Unterscheidung ist für das Haftungsargument bedeutsam: Wer in einer bereits laufenden Session ferngesteuert wird, hat nicht jede einzelne Transaktion bewusst freigegeben. Genau dieser Punkt ist der Ausgangspunkt für die gesetzliche Erstattungspflicht der Bank, die im nächsten Abschnitt entfaltet wird.
Was bedeutet § 675u BGB: Warum die Bank nicht autorisierte Zahlungen unverzüglich erstatten muss in der Praxis?
Das bedeutet für Betroffene: Der Erstattungsanspruch ist nicht von Ihrer Schuld oder Unschuld abhängig, sondern allein davon, ob die Zahlung wirksam autorisiert wurde.
Was für die Einordnung zählt
§ 675u BGB – Erstattungsanspruch bei nicht autorisierten Zahlungen
Wurde ein Zahlungsvorgang nicht autorisiert, ist der Zahlungsdienstleister nach § 675u BGB verpflichtet, den Betrag unverzüglich zu erstatten, spätestens bis zum Ende des folgenden Geschäftstages. Die Norm setzt die europäische Zahlungsdiensterichtlinie PSD2 um und gilt für alle Kreditinstitute im Europäischen Wirtschaftsraum. Ein eigenes Verschulden der Bank ist für den Anspruch nicht erforderlich.
Quelle öffnen →Entscheidend ist der Begriff nicht autorisiert: Eine Zahlung gilt nur dann als autorisiert, wenn der Kontoinhaber ihr ausdrücklich zugestimmt hat. Wer durch Täuschung dazu gebracht wird, einem Fernzugriff zuzustimmen, hat nicht den einzelnen Überweisungen selbst zugestimmt. Die Einwilligung in den Fernzugriff und die Autorisierung einer bestimmten Transaktion sind zwei verschiedene Rechtshandlungen.
Warum fehlende Autorisierung der entscheidende Begriff bleibt
Session Hijacking und Overlay-Angriffe umgehen die Autorisierung technisch. Der Kontoinhaber trifft keine bewusste Entscheidung für jede einzelne Transaktion. Das Vertrauen in einen scheinbar seriösen Bankanruf begründet keine wirksame Zahlungsfreigabe im Sinne des § 675u BGB. Die 50-Euro-Selbstbeteiligung nach § 675v BGB greift zudem nur bei verlorenen oder gestohlenen Zahlungsinstrumenten; bei Session Hijacking liegt kein verlorenes Instrument vor, der Erstattungsanspruch bleibt in der Regel ungekürzt.
Was Sie als Nächstes prüfen sollten
Doch was passiert, wenn die Bank genau das bestreitet und den Vorgang als korrekt autorisiert einstuft? An diesem Punkt setzt der entscheidende Konflikt ein.
Was bedeutet grobe Fahrlässigkeit als Bankeinwand: Wann er trägt und wann er scheitert in der Praxis?
Genau hier wird es kritisch: Die Bank beruft sich auf grobe Fahrlässigkeit und lehnt die Erstattung schriftlich ab. Der nächste Schritt hängt oft davon ab, wie Phishing-Schaden rechtlich einordnen einzuordnen ist.
Was für den nächsten Schritt zählt
Als der Berufstätige aus unserem Praxisfall die Bank kontaktierte und Erstattung nach § 675u BGB forderte, folgte postwendend ein Ablehnungsschreiben. Die Bank argumentierte, die Transaktionen seien technisch korrekt ausgeführt worden und vom Gerät des Kunden ausgegangen. Den erteilten Fernzugriff wertete sie als Indiz für grobe Fahrlässigkeit nach § 675v BGB.
Welche Unterlagen jetzt zählen
Diese Formulierung ist typisch für Bankablehnungen nach Session-Hijacking-Angriffen und klingt zunächst überzeugend, ist es rechtlich aber nicht zwingend.
Wo die Frist praktisch beginnt
Grobe Fahrlässigkeit liegt vor, wenn jemand die im Verkehr erforderliche Sorgfalt in ungewöhnlich schwerem Maß verletzt und dabei verkennt, was sich jedem hätte aufdrängen müssen. Das ist eine hohe Hürde, die Gerichte nicht leichtfertig als erfüllt ansehen. Sozial-Engineering-Angriffe sind gezielt darauf ausgelegt, täuschend echte Szenarien zu erzeugen: gefälschte Rufnummern, gestohlene Personendaten, echte Banklogos.
Was jetzt praktisch wichtig ist
Wenn Täter mit solchem Aufwand vorgehen, ist die Grenze zwischen nachvollziehbarer Reaktion und grober Unvorsichtigkeit im Einzelfall schwer zu ziehen.
Worauf Sie im Alltag achten sollten
Nach § 675w BGB muss die Bank beweisen, dass die Zahlung authentifiziert, korrekt aufgezeichnet und nicht durch einen technischen Fehler beeinträchtigt wurde. Ein technisches Ausführungsprotokoll oder ein Gerätefingerprint allein reicht für diesen Nachweis nicht aus. Wer argumentiert, eine Transaktion sei vom Endgerät des Kunden ausgegangen, hat damit noch keine wirksame Autorisierung belegt.
Bevor Sie die nächsten Schritte prüfen
Wichtig ist zuerst die Einordnung, welche Entscheidung, Frist oder Forderung tatsächlich betroffen ist. Erst danach sollte die praktische Checkliste abgearbeitet werden. Legen Sie Unterlagen, Fristen und die bisherige Kommunikation zusammen, bevor Sie den nächsten Schritt festlegen.
Bevor Sie die nächsten Schritte prüfen
Wichtig ist zuerst die Einordnung, welche Entscheidung, Frist oder Forderung tatsächlich betroffen ist. Erst danach sollte die praktische Checkliste abgearbeitet werden. Legen Sie Unterlagen, Fristen und die bisherige Kommunikation zusammen, bevor Sie den nächsten Schritt festlegen.
§ 675w BGB – Beweislast bei strittiger Autorisierung
Die Bank muss nach § 675w BGB nachweisen, dass der Zahlungsvorgang vom Zahler authentifiziert wurde, ordnungsgemäß aufgezeichnet ist und keine technischen Fehler vorlagen. Der Nachweis der technischen Ausführung allein belegt keine wirksame Willenserklärung des Kontoinhabers.
Quelle öffnen →Protokolle, Gerätefingerprints und TAN-Logs sind Indizien der Bank, aber keine abschließenden Beweise für eine wirksame Zustimmung. Wer die Bank schriftlich nach den konkreten Belegen für ihre Annahme grober Fahrlässigkeit fragt, bringt sie regelmäßig in Erklärungsnot. Damit führt der Weg direkt zu der Frage, wie schnell nach einem solchen Angriff gehandelt werden muss.
Welche Fristen gelten nach Online-Banking-Betrug: Anzeige und Erstattungsfrist
Im nächsten Schritt entscheidet sich, ob der soeben beschriebene Erstattungsanspruch auch wirklich erhalten bleibt, denn gesetzliche Fristen können ihn verwirken lassen. In der weiteren Prüfung taucht daneben häufig Phishing bei Senioren auf.
Betroffene müssen die Bank unverzüglich nach Kenntnis über nicht autorisierte Zahlungen informieren. Ansprüche aus nicht autorisierten Zahlungsvorgängen erlöschen grundsätzlich 13 Monate nach der Belastungsbuchung, wenn keine rechtzeitige Anzeige erfolgte. Wer zu lange wartet, riskiert den Verlust seines Erstattungsanspruchs, auch wenn der Betrug eindeutig war.
Die Erstattungsfrist der Bank selbst ist mit § 675u BGB auf den Ablauf des folgenden Geschäftstages nach der Anzeige festgelegt. Das bedeutet: Wer den Betrug am Montag anzeigt, hat Anspruch auf Buchung der Erstattung bis Dienstagabend. Parallel dazu empfiehlt sich die Strafanzeige bei der Polizei, die nicht nur der Strafverfolgung dient, sondern auch als Beweissicherungsdokument im Erstattungsverfahren gegenüber der Bank wirkt.
Was danach entscheidend wird
Ein Zeitstrahl hilft bei der Priorisierung: In den ersten 24 Stunden gehören Kontosperrung, Dokumentation und Anzeige gegenüber der Bank auf die Agenda. In den ersten sieben Tagen folgen die schriftliche Erstattungsaufforderung, die Strafanzeige bei der Polizei und die Sicherung aller digitalen Spuren auf dem betroffenen Gerät.
Anders sieht es aus, wenn das betroffene Gerät zwischenzeitlich zurückgesetzt oder neu aufgesetzt wurde: Dann können forensische Nachweise fehlen, was die Verhandlungsposition gegenüber der Bank spürbar erschwert.
Wo Sie genauer hinschauen sollten
Auf dieser Grundlage lässt sich nun beschreiben, welche konkreten Schritte den Erstattungsanspruch am wirksamsten sichern.
Konto gesperrt, Anzeige erstattet: So sichern Sie Ihren Erstattungsanspruch
Auf dieser Grundlage zeigte sich im Praxisfall, dass konsequentes Handeln in den ersten Stunden den entscheidenden Unterschied macht. Der Berufstätige aus unserem Eingangsbeispiel dokumentierte vollständig, erstattete Strafanzeige, forderte die Bank schriftlich zur Erstattung auf und bewahrte das betroffene Gerät unverändert auf. Für die praktische Planung kann gefälschte Onlinebanking-Loginseite entscheidend werden.
Welche Prüfung jetzt sinnvoll ist
Als die anwaltliche Prüfung ergab, dass die Bank den Gegenbeweis nach § 675w BGB nicht lückenlos führen konnte und das eingesetzte Sozial-Engineering-Muster in vergleichbaren Konstellationen von Gerichten nicht als grobe Fahrlässigkeit gewertet worden war, änderte sich die Verhandlungsgrundlage grundlegend. Die außergerichtliche Aufforderung eröffnete den Weg zur Rückbuchung.
Was in Schritt 12 zählt
Online-Banking sofort sperren lassen: Hotline der Bank oder Sperr-Notruf 116 116
Verdächtige Transaktionen dokumentieren: Datum, Betrag, Empfänger, Buchungsreferenz, Screenshots sichern
Strafanzeige bei der Polizei erstatten und Tagebuchnummer aufbewahren
Betroffenes Gerät sichern, nicht zurücksetzen oder formatieren
Schriftliche Erstattungsaufforderung an die Bank mit Verweis auf § 675u BGB
Alle Kommunikation mit der Bank schriftlich führen und vollständig archivieren
Ablehnungsschreiben der Bank nicht akzeptieren, ohne die Beweislage prüfen zu lassen
Lehnt die Bank schriftlich ab, stehen mehrere Wege offen: das anwaltliche Aufforderungsschreiben, das Ombudsmann-Verfahren beim Bundesverband der deutschen Banken oder die zivilgerichtliche Klage auf Rückzahlung nach § 675u BGB. Welcher Weg sinnvoll ist, hängt vom Schadensbetrag, der Qualität der Bankdokumentation und dem Verhalten der Bank im bisherigen Schriftverkehr ab. Das Ablehnungsschreiben ist der Beginn des Verfahrens, nicht sein Ende.
Geld durch Online-Banking-Betrug verloren? Wir prüfen Ihren Erstattungsanspruch nach § 675u BGB und setzen ihn gegenüber der Bank durch.
Rechtliche Einschätzung anfragenHäufige Fragen nach Online-Banking-Betrug
Doch was bleibt nach diesem Überblick oft unklar? Die folgenden Fragen begegnen uns in der anwaltlichen Erstberatung regelmäßig. Der nächste Schritt hängt oft davon ab, wie Bankhaftung nach Phishing einzuordnen ist.
Muss ich selbst beweisen, dass ich nicht fahrlässig war?
Nein. Nach § 675w BGB trägt die Bank die Beweislast dafür, dass ein Zahlungsvorgang ordnungsgemäß authentifiziert und autorisiert wurde. Sie müssen nicht beweisen, dass Sie sorgfältig gehandelt haben; die Bank muss beweisen, dass grobe Fahrlässigkeit auf Ihrer Seite konkret vorliegt. Bloße Vermutungen oder technische Ausführungsprotokolle reichen dafür nicht aus.
Was gilt, wenn ich eine TAN scheinbar selbst eingegeben habe?
Bei Remote-Access-Angriffen wird die TAN häufig auf einem Gerät eingegeben, das der Täter gleichzeitig steuert. Die physische Eingabe erfolgt zwar durch den Kontoinhaber, die Kontrolle über den Vorgang lag aber beim Täter. In solchen Konstellationen fehlt es an der bewussten, freiwilligen Autorisierung der einzelnen Transaktion.
Gerichte haben in vergleichbaren Fällen entschieden, dass der äußere Anschein einer TAN-Eingabe die Frage der tatsächlichen Autorisierung nicht allein beantwortet.
Hilft eine Strafanzeige bei der Erstattung durch die Bank?
Die Strafanzeige hat keinen direkten rechtlichen Einfluss auf den Erstattungsanspruch nach § 675u BGB, wirkt aber als Beweisdokument. Sie belegt den Tathergang aus Ihrer Perspektive, fixiert Datum und Uhrzeit der Entdeckung und kann im anwaltlichen Schriftverkehr mit der Bank als ergänzender Beleg herangezogen werden. Außerdem signalisiert sie der Bank, dass Sie den Vorfall ernst nehmen und rechtlich aktiv sind.
Was tun, wenn die Bank den Vorgang als technisch autorisiert einstuft?
Das ist der Standardeinwand vieler Banken bei Session-Hijacking-Fällen und knüpft direkt an den in Abschnitt 4 beschriebenen Beweislastmechanismus an. Technisch autorisiert bedeutet lediglich, dass das Bankensystem eine vollständige Transaktionskette protokolliert hat. Es bedeutet nicht, dass Sie als Kontoinhaber eine wirksame Willenserklärung abgegeben haben.
Was in Schritt 13 zählt
Fordern Sie die Bank schriftlich auf, ihre Einschätzung konkret zu begründen, und lassen Sie das Ablehnungsschreiben anwaltlich prüfen, bevor Sie es als endgültig akzeptieren.
Zusammenfassung: Ihr Erstattungsanspruch und der nächste Schritt
Daraus folgt das zentrale Ergebnis dieses Artikels: Nicht autorisierte Zahlungen durch Session Hijacking, Remote-Access-Betrug oder Trojaner begründen nach § 675u BGB einen sofortigen Erstattungsanspruch. Die Bank darf diesen Anspruch nur ablehnen, wenn sie grobe Fahrlässigkeit des Kontoinhabers konkret beweist, nicht nur behauptet. Die Beweislast liegt ausschließlich bei der Bank. Fristen sind einzuhalten: unverzügliche Anzeige nach § 676b BGB, Erstattung bis zum nächsten Geschäftstag nach § 675u BGB.
In der weiteren Prüfung taucht daneben häufig klage gegen bank nach phishing betrug auf.
Was in Schritt 12 zählt
Ein Ablehnungsbescheid ist kein rechtskräftiges Urteil, sondern der Beginn eines Verfahrens, das anwaltlich begleitet werden kann.
Was in Schritt 14 zählt
Erstattungsanspruch prüfen lassen: Wir begleiten Betroffene von der Schadensmeldung bis zur Rückbuchung.
Rechtliche Einschätzung anfragenRechtsquellen zur Einordnung
Jan-Henning Ahrens
Jan-Henning Ahrens und KWAG Rechtsanwälte beraten Mandanten insbesondere im Bankrecht, Kapitalmarktrecht, bei Anlage- und Internetbetrug sowie in wirtschaftsrechtlichen Streitigkeiten.
Mehr über die Kanzlei
