§§ 675u, 675v BGB, SCA/PSD2), praktische Handlungsempfehlungen für Unternehmen und Verbraucher.">
Immer häufiger werden Girokonten per Telefon, gefälschter E‑Mail oder über manipulierte Freigabe‑Apps leergeräumt. Wer haftet, wenn Dritte per Apple Pay, kontaktloser Debitkarte oder Echtzeitüberweisung Geld vom Konto abziehen? Das Landgericht Köln hat in einem typischen Fall entschieden, dass die Bank den vollen Schaden ersetzen muss. Dieser Beitrag erklärt den Sachverhalt, die rechtlichen Grundlagen, die Begründung des Gerichts (Az. 22 O 43/22) und zeigt, welche Konsequenzen daraus für Verbraucher, Selbständige und kleine Unternehmen entstehen.
Im entschiedenen Fall vor dem Landgericht Köln (Az. 22 O 43/22) wurde ein Kontoinhaber Opfer eines ausgefeilten Social‑Engineering‑Angriffs. Ein Unbekannter rief den Kunden an, manipulierte die Anzeige der Rufnummer (Call‑ID‑Spoofing) und gab sich als Mitarbeiter der kontoführenden Sparkasse aus. Unter dem Vorwand einer Vorsichtsmaßnahme erklärte der Anrufer, Konto und Karte vorsorglich gesperrt zu haben und bot an, die Karte zu entsperren. Zur „Entsperrung“ forderte er den Kontoinhaber auf, eine in der pushTAN‑App auftauchende Freigabe mit dem Hinweis „Registrierung Karte“ zu bestätigen. Das Opfer gab die Freigabe frei; in Wahrheit autorisierte es damit die Registrierung einer digitalen Debitkarte auf dem Gerät des Täters. Innerhalb weniger Tage wurden über Apple Pay mehr als 14.000 Euro abgebucht. Die Sparkasse erstattete zunächst 4.000 Euro, verweigerte dann eine vollständige Regulierung. Das Gericht musste klären: War der Kunde grob fahrlässig oder haftet die Bank gemäß § 675u Satz 2 BGB für nicht autorisierte Zahlungsvorgänge?
Die zivilrechtliche Haftung bei unautorisierten Zahlungsvorgängen richtet sich in Deutschland primär nach dem Bürgerlichen Gesetzbuch und ergänzenden europäischen Vorgaben. § 675u Satz 2 BGB verpflichtet den Zahlungsdienstleister, dem Zahler den Betrag unverzüglich zu erstatten, wenn eine Zahlung nicht vom Kunden autorisiert wurde. Der zentrale Rechtsgedanke ist einfach: Hat der Kunde einen Zahlungsvorgang nicht autorisiert, muss die Bank den Schaden ausgleichen.
Gleichzeitig sieht § 675v BGB Ausnahmen vor: Bei Vorsatz oder grober Fahrlässigkeit des Kunden kann dieser den Schaden selbst tragen. Die Definition der groben Fahrlässigkeit ist restriktiv; sie verlangt einen schwerwiegenden Verstoß gegen im Verkehr erforderliche Sorgfaltspflichten. Banken müssen diesen Nachweis führen, wenn sie eine Haftung des Kunden geltend machen wollen.
Auf EU‑Ebene ist mit der Zahlungsdiensterichtlinie (PSD2) die sogenannte Starke Kundenauthentifizierung (SCA) eingeführt worden. Kernpunkt der SCA ist die Verwendung von mindestens zwei unabhängigen Authentifizierungsfaktoren aus den Kategorien Wissen, Besitz und Inhärenz. In Deutschland ist diese Pflicht über das Zahlungsdienstaufsichtsgesetz und bankinterne Umsetzungsvorgaben konkretisiert. Erbringt die Bank keine SCA, kann sie sich nicht auf die vollständige Haftung des Kunden berufen; in bestimmten Konstellationen führt ein Verstoß der Bank zur (Mit‑)Haftung gegenüber dem Kunden.
Das Landgericht Köln gab dem Kläger in vollem Umfang Recht und verurteilte die Sparkasse dazu, den vollen Betrag von 14.000 Euro zurückzuzahlen. Das Gericht stützte seine Entscheidung auf § 675u Satz 2 BGB: Die angefochtenen Abbuchungen waren nicht vom Kontoinhaber autorisiert. Entscheidend war, dass der Kläger die Einzelzahlungen per Apple Pay nicht selbst freigegeben hatte. Auch eine vorher erfolgte Freigabe in der pushTAN‑App für den Auftragstext „Registrierung Karte“ sei keine Autorisierung der späteren Zahlungen gewesen.
Das Gericht untersuchte nacheinander die wesentlichen Verteidigungsansprüche der Bank: Erstens, ob der Kläger die Zahlungen autorisiert hatte; zweitens, ob dem Kläger grobe Fahrlässigkeit vorzuwerfen ist; drittens, ob die Bank selbst Mindestanforderungen an die Darstellung von Freigabetexten erfüllt hat.
Zunächst stellte das Gericht klar, dass die vom Kläger bestätigte Nachricht mit dem Text „Registrierung Karte“ in der pushTAN‑App nicht hinreichend konkret sei, um als Autorisierung für spätere Zahlungen zu gelten. In einer überrumpelnden Telefonsituation könne ein durchschnittlicher Kunde nicht erwarten, dass „Registrierung“ die Anlage eines neuen Zahlungssystems — also die Aktivierung einer digitalen Debitkarte auf einem fremden Gerät — bedeutet. Der Kläger habe die einzelnen Apple‑Pay‑Zahlungen weder selbst autorisiert noch ausgeführt.
Zum Vorwurf der groben Fahrlässigkeit führte das Gericht aus, dass der Kläger als langjähriger Kunde berechtigterweise darauf vertrauen durfte, dass die auf dem Display seines Handys angezeigte Nummer tatsächlich von seiner Sparkasse stammte. Die technische Möglichkeit des Call‑ID‑Spoofings sei dem Durchschnittsbürger nicht geläufig. Der Kunde habe daher nicht in solcher Weise seine Sorgfaltspflichten verletzt, dass grobe Fahrlässigkeit angenommen werden könne.
Schließlich kritisierte das Gericht die Bank selbst: Die Verwendung des unbestimmten Freigabetexts „Registrierung Karte“ sei nicht ausreichend deutlich, um dem Kunden klar zu machen, was freigegeben werde. Die Richter empfahlen, in entsprechenden Freigabetexten einen eindeutigeren Hinweis zu verwenden — beispielsweise einen konkreten Verweis auf Apple Pay oder auf die Einrichtung eines neuen Zahlungssystems —, damit Kunden vor einer Freigabe genau wüssten, welche Funktion sie autorisieren.
Die Rechtsprechung zu Fällen von Online‑Banking‑Betrug ist vielfältig und differenziert. Einige Gerichte entschieden verbraucherfreundlich und verurteilten Banken zur Erstattung, wenn der Kontoinhaber die Zahlungen nicht selbst autorisiert hatte und keine grobe Fahrlässigkeit vorlag. Beispiele sind das Landgericht Darmstadt, Urteil vom 31.01.2025 (Az. 2 O 190/24), und das Landgericht Hannover vom 30.01.2025 (Az. 4 O 62/24). Beide Gerichte sahen in den konkreten Umständen keinen Nachweis grober Fahrlässigkeit der Kunden und verurteilten die Institute zur Rückerstattung.
Andere Entscheidungen sind restriktiver. Das Oberlandesgericht Dresden (Az. 8 U 1482/24) bewertete das Verhalten eines Kunden in einer Fallkonstellation als so gefährlich unvorsichtig, dass es dort grobe Fahrlässigkeit annahm und die Haftung des Kunden begründete; dieses Urteil betonte zugleich, dass Banken ihre Authentifizierungsverfahren ordnungsgemäß ausgestalten müssen. In einem weiteren Beispiel verneinten Landgerichte in einzelnen Fällen die Erstattung, wenn der Kunde deutlich gegen die Warnhinweise der Bank verstoßen hatte oder mehrere unplausible Freigaben vorgenommen wurden (vgl. Landgericht Göttingen, 4 O 338/22; Oberlandesgericht Braunschweig, 4 U 439/23). Diese unterschiedlichen Entscheidungen zeigen: Die Einordnung als grobe Fahrlässigkeit hängt stark vom Einzelfall ab. Entscheidende Kriterien sind die Plausibilität des Telefonats, die Verständlichkeit des App‑Hinweises, die Professionalität der Betrugsmasche und das Verhalten des Kunden.
Die Entscheidung des Landgerichts Köln stärkt die Rechte der Kontoinhaber: Banken müssen dafür sorgen, dass Freigabetexte und Abläufe so eindeutig sind, dass auch überrumpelte Kunden erkennen können, was sie autorisieren. Für Verbraucher und kleine Unternehmen bedeutet das konkret: Eine bloße, allgemein gehaltene Freigabe in der pushTAN‑App darf nicht die Grundlage für die Verweigerung einer Erstattung sein, wenn danach unautorisierte Zahlungen erfolgen. Die Folge ist, dass Banken ihre App‑Texte präziser formulieren und Abläufe übersichtlicher gestalten sollten, um Haftungsrisiken zu verringern.
Gleichzeitig verdeutlicht die Rechtsprechung: Kunden dürfen sich nicht in alle Situationen passiv verhalten. In Fällen, in denen eindeutige Warnhinweise der Bank missachtet werden oder mehrfach unplausible Freigaben erfolgen, droht die Annahme grober Fahrlässigkeit. Unternehmen und Selbständige sollten daher Ihre internen Prozesse schärfen: Bei sensiblen Konten sind zusätzliche Schutzmechanismen sinnvoll, Kontenlimits und tägliche Alarmmeldungen können Schaden begrenzen, und die schnelle Sperrung nach ungewöhnlichen Bewegungen ist entscheidend.
Wenn Sie Opfer eines Online‑Banking‑Betrugs werden, ist schnelles, strukturiertes Handeln entscheidend. Zunächst muss das Konto sofort gesperrt werden; informieren Sie umgehend Ihre Bank über die offiziellen Kontaktkanäle. Dokumentieren Sie alle relevanten Informationen: Bildschirmfotos, verdächtige SMS, Anruflisten, Zeitpunkte der Freigaben und alle Buchungsdetails. Erstatten Sie Anzeige bei der Polizei und bewahren Sie elektronische Beweismittel auf.
Setzen Sie die Bank schriftlich (am besten per E‑Mail mit Eingangsbestätigung oder per Einschreiben) darüber in Kenntnis, welche Buchungen nicht von Ihnen autorisiert wurden, und fordern Sie die Wiedergutschrift des Kontos gemäß § 675u BGB. Geben Sie der Bank eine angemessene Frist zur Prüfung; wenn diese nicht reagiert oder die Forderung ablehnt, dokumentieren Sie die Korrespondenz. Bei zögerlichem Verhalten der Bank empfiehlt es sich, rechtlichen Rat in Anspruch zu nehmen und den Fall professionell prüfen zu lassen. In vielen Fällen lässt sich auf Prozess‑ oder Vergleichsebene eine vollständige Rückerstattung erreichen.
Die Entscheidung des Landgerichts Köln sendet ein deutliches Signal an Kreditinstitute: Sicherheit ist nicht nur eine Frage der Technik, sondern auch der Informations‑ und Darstellungsqualität für den Kunden. Banken sollten folgende Maßnahmen prüfen und umsetzen: Erstens, konkrete und eindeutig verständliche Freigabetexte in Authentifizierungs‑Apps, die klar benennen, welche Zahlungsdienste oder Geräte freigeben werden (z. B. „Registrierung Apple Pay — Speicherung einer digitalen Debitkarte auf einem neuen Gerät“). Zweitens, zusätzliche Bestätigungsabfragen bei ungewöhnlichen Änderungen wie Limitanhebungen oder der Registrierung eines neuen Authentifizierungsgeräts. Drittens, verbesserte Detektion ungewöhnlicher Aktivität und kürzere Meldeketten innerhalb der Institute, damit auffällige Buchungen schnell gestoppt werden können. Viertens, verstärkte Aufklärungskampagnen: Kunden müssen über Spoofing, Smishing und Social Engineering ernsthaft aufgeklärt und regelmäßig erinnert werden.
Das LG Köln (Az. 22 O 43/22) stellt klar: Banken haften grundsätzlich für nicht vom Kunden autorisierte Zahlungsvorgänge. Eine allgemeine Freigabe wie „Registrierung Karte“ in einer pushTAN‑App reicht nicht aus, um später zahlreiche Abbuchungen zu legitimieren; die Bank muss ihre Kunden klar informieren und Sicherheitsabläufe so gestalten, dass Missverständnisse ausgeschlossen werden. Für Verbraucher und kleine Unternehmen bedeutet das: Schnell reagieren, dokumentieren und notfalls rechtliche Schritte prüfen lassen. Für Banken heißt es: Prozesse und Kommunikation überdenken und die Nutzererfahrung so gestalten, dass Authentifizierungen transparent und nachvollziehbar sind.
Wenn Sie von einem Online‑Banking‑Betrug betroffen sind oder Ihre Bank sich weigert, eine berechtigte Rückforderung zu erfüllen, bietet LEGAL SMART schnelle, pragmatische Unterstützung. Wir prüfen Ihren Fall auf Erfolgsaussichten, formulieren die rechtssichere Aufforderung an die Bank und begleiten Sie, falls nötig, gerichtlich. Kontaktieren Sie LEGAL SMART für eine unverbindliche Ersteinschätzung — wir kennen die Fallstricke und wissen, wie Gerichte die Haftung bewerten.
Rechtsanwalt Guido Kluck LL.M. ist Partner der Kanzlei LEGAL SMART am Standort Berlin. Er ist Ansprechpartner für das Recht der neuen Medien sowie für die Bereiche Wettbewerbsrecht, Markenrecht, Urheberrecht, IT-Recht, Vertragsrecht und das Datenschutzrecht (DSGVO).
ÜBER DIESEN AUTOR ARTIKEL VON DIESEM AUTOREine einzige vermeintliche Service-E-Mail, ein Klick auf einen Link, ein scheinbar […]
Buchen Sie direkt online Ihren Termin für eine kostenlose Erstberatung. Der für Sie zuständige Rechtsanwalt wird Sie dann zu dem von Ihnen ausgewählten Termin anrufen.
LEGAL SMART beantwortet rechtliche Fragen auch per WhatsApp. Schreiben Sie uns einfach an und stellen Sie Ihre Frage. Antworten gibt es anschließend direkt auf Ihr Handy.
Viele Fragen lassen sich mit einem Profi in einem kurzen Gespräch rechtssicher klären. Mit der LEGAL SMART Anwaltshotline steht Ihnen unser Anwaltsteam für Ihre Fragen zur Verfügung. Bundesweite Beratung über die kostenlose Anwaltshotline unter 030 - 62 93 77 980.
Lassen Sie sich umfassend und invidiuell beraten zu Ihrer rechtlichen Frage. Fast 85% aller rechtlichen Probleme lassen sich bereits mit der anwaltlichen Erstberatung klären.
Mit einer alle Bereiche berücksichtigenden Prüfung erhalten Sie den besten Schutz für Ihre Marke und können Ihre eigene Marke in jeder Hinsicht einsetzen
Mit der EU Marke ist Ihre Marke europaweit geschützt und sichert Sie und Ihre Marke vor parallelen Marken in anderen europäischen Staaten. Nutzen Sie jetzt Ihre Chance auf Ihre EU Marke
LEGAL SMART ist die Legal Tech Kanzlei für wirtschaftsrechtliche Themen. Durch konsequente Prozessoptimierung interner und externer Prozesse bieten wir neue Lösungen für verschiedene Fragestellungen. So ist das Recht für jeden zugänglich; schnell, digital und trotzdem mit der Expertise und Kompetenz einer erfahrenen Wirtschaftsrechtskanzlei. Denn Legal Tech ist mehr als nur der Einsatz von Technologie. Legal Tech ist die Bereitstellung juristischer Kompetenz.