Banken unter Druck: Neue Betrugswelle testet Haftungsregeln

Deutschlands Banken stehen vor einer Welle von Erstattungsansprüchen. Eine neue Generation von Android-Schadsoftware und raffinierte WhatsApp-Betrügereien führen zu einem rasanten Anstieg unautorisierter Überweisungen – und stellen die Haftungsfrage nach Paragraf 675u BGB neu.

Die letzten Tage des Jahres 2025 brachten eine koordinierte Attacke auf mobile Bankkunden. Am heutigen Dienstag, dem 30. Dezember, warnten die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und Cybersicherheitsexperten vor einer neuen, hochgefährlichen Schadsoftware für Android-Geräte. Diese tarnt sich in nützlichen Apps und kann Bankzugangsdaten abfangen sowie die Zwei-Faktor-Authentifizierung umgehen. Parallel dazu fluten Betrüger die Messenger-Dienste: Unter dem Vorwand, in Not zu sein, geben sie sich als Familienmitglieder aus und fordern dringende Geldtransfers. Auch PayPal-Konten sind im Visier der Kriminellen.

Für die Rechtsabteilungen der Banken stellt diese technologische Eskalation eine immense Herausforderung dar. § 675u BGB schreibt vor, dass Kunden für nicht autorisierte Zahlungen „unverzüglich“ entschädigt werden müssen. Die Raffinesse der neuen Angriffsmethoden wirft jedoch eine zentrale Frage auf: Wo endet die Sorgfaltspflicht des Kunden und wo beginnt die Sicherungsverpflichtung der Bank?

Passend zum Thema: Viele Android-Nutzer übersehen diese 5 grundlegenden Sicherheitsmaßnahmen, mit denen sich genau die beschriebenen Schadprogramme und WhatsApp-Betrugsmaschen abwehren lassen. Der kostenlose Ratgeber erklärt in klaren Schritt‑für‑Schritt-Anleitungen, wie Sie Ihr Gerät gegen versteckte Malware härten, WhatsApp sicher konfigurieren und Online-Banking schützen – ganz ohne teure Zusatz-Apps. Ideal für alle, die ihr Konto und PayPal-Konto absichern wollen. Gratis-Sicherheitspaket für Android herunterladen

Die Gretchenfrage: Was ist „grobe Fahrlässigkeit“?

Die Haftung bei Phishing-Schäden folgt in Deutschland einem strengen Mechanismus. Grundsätzlich muss die Bank den abgebuchten Betrag erstatten. Eine Ausnahme gilt nur, wenn der Kunde grob fahrlässig gehandelt hat – etwa, indem er seine TAN an Dritte weitergab. Jahrelang nutzten Banken diese Klausel für pauschale Erstattungsablehnungen.

Doch die Rechtslage hat sich 2025 entscheidend gewandelt. Die Definition der groben Fahrlässigkeit wurde durch höchstrichterliche Urteile enger gefasst. Die Beweislast für die Banken ist deutlich gestiegen.

BGH-Urteil schützt Opfer professioneller Betrugsmaschen

Maßgeblich ist ein Grundsatzurteil des Bundesgerichtshofs (BGH) vom Juli 2025 (XI ZR 107/24). Der BGH differenzierte zwischen grober Fahrlässigkeit und einem entschuldbaren „Augenblicksversagen“.

Ein Kunde, der auf eine perfekt inszenierte Betrugsmasche hereinfällt – etwa einen Anruf von der gefälschten Nummer seiner Bank unter hohem Druck –, handelt demnach nicht automatisch grob fahrlässig. Diese Rechtsprechung ist für die aktuelle Malware-Welle entscheidend. Installiert ein Kunde unwissentlich eine Schadsoftware, die ein legitimes Bank-Update vortäuscht, wird es für die Institute schwer, grobe Fahrlässigkeit nachzuweisen.

Teilhaftung auch bei Kundenverschulden möglich

Die Komplexität für die Banken erhöht ein weiteres Urteil. Das Oberlandesgericht (OLG) Dresden entschied im Juni 2025 (8 U 1482/24), dass Banken auch dann teilweise haften können, wenn der Kunde fahrlässig war – vorausgesetzt, die eigenen Sicherheitssysteme der Bank waren mangelhaft.

Im konkreten Fall trug die Bank 20 Prozent der Haftung, weil ihre Systeme auffällige Transaktionsmuster nicht erkannt hatten. Diese Präzedenz bedeutet ein erhebliches Compliance-Risiko. Versagen die Betrugserkennungssysteme einer Bank bei den typischen Mustern der neuen Malware-Angriffe, muss sie womöglich einen Teil des Schadens tragen.

Ausblick 2026: Strengere Beweispflicht und mehr Rechtsstreite

Die Entwicklungen zum Jahreswechsel deuten auf eine Verschärfung des „Katz-und-Maus-Spiels“ zwischen Betrügern und Banken hin. Experten erwarten für das erste Quartal 2026 folgende Konsequenzen:

1. Höhere Beweisanforderungen: Banken müssen detaillierte technische Protokolle vorlegen, um zu beweisen, dass eine Transaktion tatsächlich vom Kunden und nicht von Schadsoftware autorisiert wurde.
2. Angepasste Betrugserkennung: Der Druck auf Banken wächst, Echtzeit-Monitoringsysteme einzuführen, die spezifische Merkmale von Fernzugriffen durch Malware erkennen.
3. Mehr Rechtsstreitigkeiten: Durch das OLG-Dresden-Urteil zur Teilhaftung werden mehr Kunden abgelehnte Erstattungsanträge anfechten. Die Zahl außergerichtlicher Vergleiche und Klagen dürfte steigen.

Der einzige gangbare Weg für Banken in diesem Hochrisikoumfeld ist die strikte Einhaltung der sofortigen Erstattungspflicht aus § 675u BGB – gepaart mit einer rigorosen, einzelfallbezogenen Prüfung des Fahrlässigkeitsvorwurfs. Pauschale Ablehnungen werden vor Gericht kaum noch Bestand haben.

PS: Diese 5 Maßnahmen machen Ihr Android spürbar sicherer – und viele Nutzer setzen sie nicht um. Der kompakte Gratis‑Ratgeber zeigt praxisnah, wie Sie Ihr Smartphone gegen Schadsoftware härten, WhatsApp-Betrugsversuche erkennen und Online-Banking sowie PayPal-Transaktionen zuverlässig absichern. Inklusive Checkliste und leicht umsetzbaren Einstellungen, die keine Zusatzkosten verursachen. Jetzt kostenloses Android-Sicherheits-Paket sichern