Wer zahlt bei leergeräumtem Konto? Rechtslage vor Wende

Wer beim Online-Banking auf eine täuschend echte Nachricht hereinfällt und danach Geld verliert, steht oft nicht nur unter Schock, sondern sofort auch in einer Haftungsdebatte. Genau hier setzt eine aktuelle Stellungnahme des EU-Generalanwalts an. 

Danach sollen Banken Opfer unautorisierter Zahlungsvorgänge grundsätzlich sofort entschädigen müssen, selbst dann, wenn sie dem Kunden grobe Fahrlässigkeit vorwerfen. 

Noch ist das kein Urteil. Sollte der Europäische Gerichtshof dieser Linie aber folgen, würde das den Alltag vieler Verbraucher spürbar verändern.

Was heute bei Online-Betrug gilt

Schon nach der derzeitigen Rechtslage ist die Sache auf dem Papier eigentlich verbraucherfreundlich. Bei einem nicht autorisierten Zahlungsvorgang muss die Bank den Betrag grundsätzlich unverzüglich erstatten bzw. zurückbuchen. 

Prof. Dr. Dennis-Kenji Kipker ist Jurist und Informatiker. Als Direktor des cyberintelligence.institute forscht und berät er international zu Cybersicherheit, digitaler Resilienz sowie IT-Recht in China und den USA. Er ist Teil unseres Experts Circle. Die Inhalte stellen seine persönliche Auffassung auf Basis seiner individuellen Expertise dar.

Gleichzeitig kann der Kunde aber haften, wenn er seine personalisierten Sicherheitsmerkmale nicht ausreichend schützt oder grob fahrlässig handelt, etwa indem er Zugangsdaten, Freigabecodes oder andere sensible Informationen an Betrüger preisgibt. 

Nicht jede erfolgreiche Authentifizierung zeigt, dass die Zahlung autorisiert war 

Genau an dieser Stelle entstehen in der Praxis viele Konflikte. Denn Banken argumentieren in Phishing-Fällen häufig, der Kunde habe Warnzeichen übersehen und deshalb selbst den Schaden mitverursacht.

Für Betroffene ist das besonders belastend, weil es oft um hohe Summen geht und die Bank die Erstattung zunächst verweigert. Juristisch ist dabei wichtig: Nicht jede erfolgreiche Authentifizierung beweist automatisch, dass eine Zahlung wirksam autorisiert war oder der Kunde grob fahrlässig gehandelt hat. 

Trotzdem erleben Verbraucher immer wieder, dass sie nach einem Angriff zunächst um ihr eigenes Geld kämpfen müssen. Das gilt vor allem dann, wenn Überweisungen sehr schnell ausgeführt werden und der wirtschaftliche Druck deshalb sofort beim Kunden landet.

Bank müsste das fahrlässige Handeln nachweisen

Die Stellungnahme aus Luxemburg verschiebt den Blickwinkel. Phishing, Smishing oder betrügerische Anrufe wären dann noch deutlicher als allgemeines Risiko des digitalen Zahlungsverkehrs zu behandeln, das zunächst von der Bank getragen werden muss. 

Die Bank müsste also erst zahlen und könnte erst danach versuchen, sich das Geld vom Kunden zurückzuholen, wenn sie dessen vorsätzliches oder grob fahrlässiges Verhalten nachweisen kann.

Für Verbraucher ein Schutzgewinn, aber kein Freifahrtschein

Das wäre mehr als eine technische Verfahrensfrage. Es ginge um die Verteilung von Zeit, Druck und wirtschaftlichem Risiko. Heute geraten Betroffene oft sofort in die Defensive. Künftig läge die erste Last stärker bei den Instituten, die Transaktionen überwachen, Muster erkennen und Sicherheitsverfahren gestalten. 

Für Verbraucher wäre das ein deutlicher Schutzgewinn, aber kein Freifahrtschein. Wer Zugangsdaten leichtfertig weitergibt oder Freigaben blind bestätigt, könnte am Ende weiterhin haften. Nur der Weg dorthin wäre ein anderer als bislang.

Worauf Verbraucher unbedingt achten sollten

Gerade deshalb bleibt die eigene Vorsicht entscheidend. Rufen Sie Ihr Online-Banking nie über Links aus E-Mails, SMS oder Messengern auf, sondern nur über die App Ihrer Bank oder ein selbst gespeichertes Lesezeichen. 

Geben Sie PIN, TAN, Passwörter oder Freigabecodes grundsätzlich niemals am Telefon, im Chat oder nach Aufforderung durch eine Nachricht weiter. Eine seriöse Bank wird solche Daten nicht auf diesem Weg abfragen.

Ebenso wichtig ist der Blick auf die konkrete Freigabe. Prüfen Sie vor jeder Bestätigung auf dem Smartphone genau Betrag, Empfänger und Anlass. Viele Angriffe funktionieren heute nicht mehr nur mit gefälschten Webseiten, sondern mit geschickt aufgebautem Zeitdruck. 

Je früher ein Angriff gemeldet wird, desto besser stehen die Chancen, weitere Abbuchungen zu stoppen

Wer in Stress gerät, bestätigt schneller das Falsche. Halten Sie zudem Smartphone und Computer aktuell, verwenden Sie starke und einmalige Passwörter, aktivieren Sie Benachrichtigungen für Kontobewegungen und prüfen Sie regelmäßig die Kontoauszüge. So fällt verdächtiger Zugriff schneller auf.

Wenn dennoch etwas passiert, zählt jede Minute. Lassen Sie Online-Banking, Karten und gegebenenfalls das Gerät sofort sperren, informieren Sie die Bank unverzüglich und dokumentieren Sie den Vorfall. 

Je früher ein Angriff gemeldet wird, desto besser stehen die Chancen, weitere Abbuchungen zu stoppen und den Schaden zu begrenzen. Die rechtliche Debatte mag sich in Zukunft zwar ändern. Die technische Grundregel bleibt jedoch dieselbe: Wer seine digitalen Kontozugänge schützt, schützt sein Geld.

Fazit: Wachsamkeit bleibt trotzdem wichtig

Sollte der Europäische Gerichtshof der Linie des Generalanwalts folgen, würde Online-Banking nicht risikofrei, aber verbraucherfreundlicher. Für Bankkunden bleibt deshalb beides wahr: mehr möglicher Rechtsschutz auf der einen Seite und unverzichtbare digitale Wachsamkeit auf der anderen.