1. Was ist ein „nicht autorisierter Zahlungsvorgang“?
Ein Zahlungsvorgang ist nur dann autorisiert, wenn der Zahler zugestimmt hat. Die Zustimmung muss im vereinbarten Verfahren erfolgen. Fehlt diese Zustimmung, liegt ein nicht autorisierter Zahlungsvorgang vor und besteht grundsätzlich ein Erstattungs- und Berichtigungsanspruch.
In der Praxis wird diese Frage oft am falschen Punkt diskutiert. Viele Banken verweisen früh auf „Sorgfaltspflichten“ des Kunden. Das betrifft jedoch nicht die Autorisierung selbst. Das betrifft die Haftungsebene nach § 68 ZaDiG.
2. Die Grundregel: Erstattung „unverzüglich“ nach § 67 ZaDiG 2018
Bei einem nicht autorisierten Zahlungsvorgang muss der Zahlungsdienstleister des Zahlers den abgebuchten Betrag erstatten. Die Erstattung hat „unverzüglich“ zu erfolgen. Die Bank muss das Konto berichtigen. Das Konto ist so zu stellen, als hätte es die Belastung nie gegeben.
Ausnahme: Betrugsverdacht und Meldung an die FMA: Eine Erstattung darf nur ausnahmsweise unterbleiben. § 67 Abs 2 ZaDiG nennt als Ausnahme „berechtigte Gründe“, die einen Betrugsverdacht stützen. Dann muss der Zahlungsdienstleister der FMA unverzüglich schriftlich melden. Die Systematik ist streng. Andere gesetzliche Ausnahmen sieht § 67 (in dieser Logik) nicht vor.
3. Autorisierung vs. Authentifizierung: Das wird häufig verwechselt
Viele Fälle drehen sich um Online-Banking-Sicherheitsmechanismen. Bankenseitig fällt häufig das Argument: „Die Zahlung wurde authentifiziert.“ Das ist nicht dasselbe wie „autorisiert“.
Authentifizierung bedeutet: Das System prüft, ob ein bestimmtes Verfahren eingehalten wurde. Zum Beispiel durch App-Freigabe oder TAN.
Autorisierung bedeutet: Der Zahler hat der konkreten Zahlung zugestimmt.
Eine technisch „korrekt“ durchlaufene Authentifizierung kann daher bestehen. Trotzdem kann die Zustimmung fehlen. Das ist besonders bei Social-Engineering-Angriffen relevant.
4. Fristen: „Unverzüglich“ und 13 Monate – und warum beides zählt
Viele Betroffene kennen nur die 13-Monats-Frist. Diese Frist ist wichtig. Sie ist aber nicht die einzige Anforderung.
Pflicht zur unverzüglichen Unterrichtung: Der Zahlungsdienstnutzer muss die Bank unverzüglich nach Feststellung informieren. Das ist eine subjektive Pflicht. Sie richtet sich nach den Umständen des Einzelfalls.
Die 13-Monats-Höchstfrist: Zusätzlich gilt eine objektive Höchstfrist von 13 Monaten ab Belastung. Wer später informiert, verliert grundsätzlich den Anspruch.
EuGH: Anspruch kann auch bei Meldung innerhalb von 13 Monaten verloren gehen: Der EuGH hat klargestellt: „Unverzüglich“ und „13 Monate“ sind zwei getrennte Voraussetzungen. Die 13-Monats-Frist ersetzt die unverzügliche Meldung nicht.
Das bedeutet:
Auch wenn innerhalb von 13 Monaten gemeldet wird, kann ein Anspruch verloren gehen. Das kann insbesondere dann eintreten, wenn die Verzögerung vorsätzlich oder grob fahrlässig war. Bei wiederholten Vorgängen kommt es auf die konkrete Verzögerung und die konkreten Schäden an.
Praktische Konsequenz:
Sobald ein verdächtiger Vorgang auffällt, sollte die Meldung sofort erfolgen. Zuwarten ist ein typischer Fehler.
5. Kundensorgfalt und Haftung nach § 68 ZaDiG 2018
§ 68 ZaDiG regelt die Haftung des Zahlers gegenüber dem Zahlungsdienstleister. Es geht um Schäden durch missbräuchliche Verwendung eines Zahlungsinstruments. Voraussetzung ist typischerweise eine schuldhafte Pflichtverletzung nach § 63 ZaDiG.
Leichte Fahrlässigkeit: Haftung des Bankkunden bis höchstens 50 EUR: Ist dem Zahler nur leichte Fahrlässigkeit vorwerfbar, ist die Haftung grundsätzlich begrenzt. Sie beträgt höchstens 50 EUR.
Grobe Fahrlässigkeit oder Vorsatz: Haftung des Bankkunden grundsätzlich unbeschränkt: Bei vorsätzlicher oder grob fahrlässiger Pflichtverletzung kann der Zahler grundsätzlich für den gesamten Schaden haften. Diese Abgrenzung ist häufig der Kern des Streits. Sie hängt stark vom konkreten Ablauf ab.
Wichtige Haftungsfreistellungen und Schadensteilung: Das Gesetz enthält mehrere Ausnahmen, in denen der Bankkunde trotz Pflichtverletzung einen Anspruch auf Erstttung hat. Besonders praxisrelevant ist die starke Kundenauthentifizierung.
Keine starke Kundenauthentifizierung verlangt: Wurde seitens der Bank / des Zahlungsdienstleisters keine starke Kundenauthentifizierung verlangt, kann der Zahler nach § 68 Abs 5 ZaDiG von Schadenersatz befreit sein und hat Anspruch auf Erstattung des vollständigen Betrages. Das gilt grundsätzlich auch bei grober Fahrlässigkeit.
Mitverschulden der Bank: Wenn die Bank ein Mitverschulden trifft, kann eine Schadensteilung eintreten.
Anzeige und Sperre – Zeitpunkt des Einlangens kann entscheidend sein: Bei Verlust, Diebstahl oder missbräuchlicher Verwendung ist die Anzeige unverzüglich zu erstatten. Ab Einlangen der Anzeige muss die Bank die weitere Nutzung sperren. Für die Haftungsfreistellung kann der Zeitpunkt des Einlangens maßgeblich sein.
6. Pflichten der Bank bei verdächtigen Umständen
Nicht autorisierte Vorgänge betreffen nicht nur Online-Banking. Auch klassische Fälle sind relevant, zum Beispiel Barauszahlungen oder ungewöhnliche Zahlungsaufträge.
Die Rechtsprechung zeigt, dass bei verdächtigen Umständen die Bank nicht nur formal prüfen muss. Ein bloßer Unterschriftenvergleich bei einem „traditionell“ aufgegebenen Überweisungsauftrag kann zu wenig sein. In auffälligen Konstellationen kann die Bank dazu angehalten sein Rückfragen beim Kontoinhaber zu stellen.
Für die Praxis bedeutet das, dass Verdachtsmomente bei Banken Prüfpflichten auslösen. Diese Pflichten sind für Haftung, Mitverschulden und Schadensteilung relevant.
7. Darf die Bank die Erstattung verweigern oder gegenrechnen?
Das ist ein häufiges Konfliktfeld.
Erstattung nach § 67 und Haftung nach § 68 sind unterschiedliche Ebenen: § 67 ordnet die Erstattung bei nicht autorisierten Vorgängen an. § 68 regelt, ob der Kunde der Bank Schadenersatz schuldet. Diese Logik spricht für eine Trennung.
In der Literatur wird ein „zweistufiger Ablauf“ diskutiert: Ein verbreiteter Ansatz ist, dass die Bank zuerst nach
§ 67 erstatten. Dann verfolgt die Bank allfällige Schadenersatzansprüche nach § 68 gesondert.
Daneben gibt es andere Ansichten. In der älteren Rechtsprechung wurde auch die Möglichkeit der Aufrechnung diskutiert. In der jüngeren Diskussion wird betont, dass eine sofortige „Entwertung“ der Rückbuchung problematisch sein kann.
8. Abgrenzung: Nicht jeder Betrug ist ein ZaDiG-Fall
Nicht jedes Betrugsszenario führt automatisch zu einem Anspruch nach § 67 ZaDiG.
Rechnungsbetrug und E-Mail-Spoofing
Bei Rechnungsbetrug ist die Zahlung oft vom Kunden selbst ausgelöst worden. Dann ist die Zahlung häufig „autorisiert“. Das Problem liegt daher im Grundgeschäft, etwa in der Frage, ob die Zahlung an den falschen Empfänger schuldbefreiend war bzw. ob gegen den richtigen Empfänger allenfalls Schadenersatzansprüche bestehen.
Krypto-Transfers
Bei reinen Wallet-Transfers ohne klassischen Zahlungsdienstleister können andere Regelungen greifen. Das kann außerhalb des ZaDiG liegen. Für Bankkund:innen ist das vor allem dann relevant, wenn der Vermögensabfluss nicht über ein Bankkonto, sondern über eine Wallet-Transaktion erfolgte.
9. Checkliste: Was Betroffene sofort tun sollten
Diese Schritte haben sich in der Praxis bewährt und sind für die spätere Durchsetzung oft entscheidend.
-
Karte und Online-Banking sofort sperren.
-
Unverzüglich schriftlich bei der Bank reklamieren.
-
Transaktionsdaten sichern.
Datum, Uhrzeit, Betrag, Empfänger, Referenznummer. -
Kommunikation sichern.
E-Mails, SMS, Push-Nachrichten, Screenshots, Anruflisten. -
Chronologie erstellen.
Wann wurde was bemerkt. Wann wurde was gemeldet. -
Erstattung nach § 67 ZaDiG verlangen.
Klare Formulierung. Klare Fristsetzung. -
Bei Ablehnung Begründung verlangen.
Insbesondere zu Autorisierung, Betrugsverdacht, starker Kundenauthentifizierung und grober Fahrlässigkeit.
10. FAQ
Muss mir die Bank bei nicht autorisierten Zahlungen das Geld zurück erstatten?
Bei nicht autorisierten Vorgängen gilt grundsätzlich, dass die Bank ihnen das abgebuchte Geld „unverzüglich“, spätestens bis Ende des folgenden Geschäftstags wieder gutbuchen muss. Eine Ausnahme besteht, wenn berechtigte Gründe einen Betrugsverdacht stützen und dies der FMA gemeldet wird.
Ich habe eine Überweisung mit PushTAN bestätigt. Habe ich damit meine Ansprüche gegen die Bank verloren?
Nein.
Entscheidend ist, ob eine Zustimmung zur konkreten Zahlung vorlag. Gerade Social-Engineering-Fälle sind häufig streitanfällig.
Reicht es, wenn ich innerhalb von 13 Monaten reklamiere?
Nein.
Zusätzlich ist eine unverzügliche Unterrichtung nach Feststellung erforderlich. Bei verspäteter Unterrichtung kann ein Anspruch verloren gehen.
Kann die Bank wegen „grober Fahrlässigkeit“ die Erstattung einfach ablehnen?
Das hängt von der rechtlichen Einordnung ab.
§ 67 regelt die Erstattung.
§ 68 regelt mögliche Schadenersatzansprüche der Bank.
In der Praxis ist oft zu klären, ob eine Erstattung zuerst zu erfolgen hat und wie allfällige Gegenansprüche durchgesetzt werden dürfen.
Was ist eine „starke Kundenauthentifizierung“?
Eine starke Kundenauthentifizierung ist ein Sicherheitsverfahren, bei dem die Bank mindestens zwei unabhängige Faktoren verlangt. Diese Faktoren müssen aus zwei verschiedenen Kategorien stammen: Wissen (z. B. PIN), Besitz (z. B. Smartphone/TAN-Generator) oder Biometrie (z. B. Fingerabdruck). Bei Zahlungen ist die Freigabe meist zusätzlich an Betrag und Empfänger gebunden.
Für weitere Informationen und eine Ersteinschätzung zu Ihren Ansprüchen stehen Roman Taudes und sein Team jederzeit unter office@atb.law bzw. telefonisch unter 01 39 12345 zur Verfügung.