Bankenhaftung: Europa verschärft Regeln gegen Betrug

Während Großbritannien seine Aufsicht bündelt, setzt die EU auf strengere Haftung und zieht auch Tech-Konzerne in die Pflicht. Gleichzeitig könnten US-Gerichte den Trend globalisieren.

Großbritannien bündelt Aufsicht nach Erfolgen

Die britische Regierung hat heute einen Plan zur Verschmelzung der Zahlungsaufsicht PSR mit der Finanzmarktaufsicht FCA vorgelegt. Ziel ist eine zentralere Durchsetzung der Pflicht zur Rückerstattung bei Betrug. Hintergrund sind messbare Erfolge: Im ersten vollen Jahr bis Herbst 2025 erstatteten Banken und Zahlungsfirmen rund 200 Millionen Euro an Opfer von Push Payment-Betrug. In 88 Prozent der berechtigten Fälle gab es eine Entschädigung – ein deutlicher Anstieg.

Millionen Deutsche nutzen täglich Online-Banking per Smartphone – ohne diesen Schutz ist das gefährlich. Experten warnen: Wer diese 5 Maßnahmen nicht kennt, riskiert Datenverlust und finanzielle Schäden. 5 Schutzmaßnahmen jetzt entdecken

Das aktuelle System mit einer Obergrenze von etwa 100.000 Euro funktioniert schnell: 82 Prozent der Ansprüche wurden innerhalb von fünf Werktagen bearbeitet. Nur in drei Prozent der Fälle lehnten Institute die Zahlung mit Verweis auf grobe Fahrlässigkeit der Kunden ab. Die Hürde dafür bleibt hoch. Die neue Aufsichtsstruktur soll dieses Modell nun evaluieren und weiterentwickeln.

EU macht Banken mit Namensprüfung haftbar

Im Euroraum hat eine Regelung die Haftungsfrage bereits grundlegend verändert: Seit dem 9. Oktober 2025 ist die Verification of Payee (VoP) verpflichtend. Banken müssen prüfen, ob der Name des Empfängers zur IBAN passt, bevor eine Überweisung ausgeführt wird. Unterlassen sie diese Prüfung oder versagt das System, trägt das Institut die Haftung für den entstandenen Schaden.

Diese Regelung ist Teil der EU-Instant-Überweisungsverordnung. Für Anbieter außerhalb des Euroraums gilt eine längere Frist bis Juli 2027. Zudem wird mit der Zahlungsdiensterichtlinie PSD3 die Haftung für Banken weiter ausgeweitet. Sie haften künftig, wenn sie keine angemessenen Betrugspräventionsmechanismen implementiert haben. Ein zentraler Punkt: die Pflicht zur Rückerstattung bei „Impersonation Fraud“, wo sich Betrüger als Bankmitarbeiter ausgeben.

Gerichte definieren „grobe Fahrlässigkeit“ neu

Wann Kunden grob fahrlässig handeln, bleibt eine Grauzone. Der deutsche Bundesgerichtshof (BGH) urteilte im Juli 2025, dass die mehrfache Weitergabe von TAN-Nummern über Tage hinweg grobe Fahrlässigkeit darstellen kann. Im konkreten Fall ging es um einen Schaden von über 35.000 Euro durch Call-ID-Spoofing.

Doch der BGH schränkte ein: Ein „Augenblicksversagen“ unter massivem psychischen Druck oder bei hochgradiger Manipulation muss nicht automatisch grob fahrlässig sein. In einem weiteren Urteil im März 2026 betonte das Gericht, dass die chipTAN-Verfahren trotz fehlender Namensanzeige auf dem Generator als sicher gelten. Die Hauptverantwortung für die Kontrolle der Empfängerdaten liege beim Kunden bei der Eingabe – vorausgesetzt, die Bank hat ihre Sicherheitspflichten erfüllt.

KI-gesteuerter Betrug stellt neue Herausforderungen

Die verschärfte Haftung trifft auf eine neue Welle raffinierter Betrugsmethoden. Sicherheitsexperten warnen vor einer Explosion KI-gestützter Angriffe. Deepfake-Stimmen, die Vorstände oder Bankangestellte täuschend echt imitieren, machen „CEO-Fraud“ zur wachsenden Gefahr. Ein Unternehmen verlor Ende 2025 so 220.000 Euro.

CEO-Fraud: Warum selbst erfahrene Mitarbeiter auf gefälschte Chef-E-Mails hereinfallen. Ein kostenloser Report zeigt, welche psychologischen Tricks Hacker gezielt in deutschen Unternehmen einsetzen. Anti-Phishing-Paket gratis herunterladen

Unter PSD3 verschiebt sich die Beweislast bei solchen „autorisierten“ Betrugsüberweisungen. Banken müssen künftig nachweisen, dass sie ausreichende Warnungen ausgesprochen und risikobasierte Blockiermaßnahmen ergriffen haben. Der Fokus liegt auf der Verhinderung anomaler, hochvolumiger Transfers.

Geteilte Verantwortung: Druck auf Tech-Konzerne wächst

Die aktuelle Regulierung zielt auf ein Multi-Sektor-Haftungsmodell ab. Nicht nur Banken und Kunden, auch Telekommunikationsanbieter und Social-Media-Plattformen sollen in die Pflicht genommen werden. Britische Banken fordern lautstark, dass Tech-Firmen für Betrügereien haften, die auf ihren Plattformen entstehen.

Die EU-Vereinbarung zur PSR enthält bereits Klauseln, die Online-Plattformen haftbar machen können, wenn sie betrügerische Inhalte nicht löschen. Dieses Modell der geteilten Verantwortung soll Betrug an der Quelle bekämpfen. Die gemeinsame Überprüfung von FCA und PSR im zweiten Quartal 2026 wird diese mögliche Ausweitung der Erstattungspflicht intensiv diskutieren.

Ausblick: Globale Harmonisierung zeichnet sich ab

Für Banken beginnt eine Phase intensiver technischer Anpassungen. Die Europäische Bankenaufsichtsbehörde (EBA) wird noch im zweiten Quartal ihren Umsetzungsfahrplan vorlegen. Verhaltensbiometrie und Echtzeit-Risikobewertung werden Schlüssel sein, um die PSD3-Standards zu erfüllen.

Ein Urteil in den USA könnte den Trend globalisieren. Ein Berufungsgericht verhandelt diese Woche über einen Präzedenzfall gegen Citibank. Sollte es entscheiden, dass Überweisungen unter den gleichen Verbraucherschutz fallen wie andere elektronische Transfers, könnten US-Banken zu Rückerstattungsmodellen wie in Europa gezwungen werden. Für globale Bankengruppen würde dies eine weltweit harmonisierte Betrugsbekämpfung bedeuten – in einer Welt, in der „autorisiert“ nicht länger automatisch „nicht erstattungsfähig“ heißt.

de | boerse | 69232620 |