In den vergangenen Monaten wurden in Deutschland zahlreiche ADAC-Karteninhaber Opfer von Betrugsfällen, bei denen es zu unautorisierten Abbuchungen über die Solarisbank kam. Während der ADAC von massiven Phishing-Angriffen spricht, wird in Medienberichten auch ein mögliches Datenleck bei der Solarisbank diskutiert. Für die Betroffenen stellt sich nun die entscheidende Frage: Wer haftet und wann besteht ein Anspruch auf Erstattung bei Pishing?
Die Antwort liefert ein Blick ins Bürgerliche Gesetzbuch (BGB), das die PSD2-Richtlinie (EU) 2015/2366 in deutsches Recht umgesetzt hat. Die Vorschriften sind klar – und sie bieten betroffenen Kunden wirksamen Schutz.
Erstattung bei nicht autorisierten Zahlungen – § 675u, § 675v BGB
Rechtsgrundlage:
§ 675u BGB: Eine Zahlung gilt nur dann als autorisiert, wenn der Zahler ihr zugestimmt hat.
§ 675v Abs. 1 BGB: Liegt keine Autorisierung vor, muss der Zahlungsdienstleister (z. B. Solarisbank) den Betrag unverzüglich zurückerstatten.
Die Frist für die Einmeldung einer nicht autorisierten Zahlung beim Zahlungsdienstleister beträgt gemäß § 675v Abs. 1 Satz 2 BGB:
13 Monate ab dem Tag der Belastung des Kontos
– vorausgesetzt, der Zahlungsdienstleister hat den Zahler ordnungsgemäß über die Zahlung informiert (z. B. über Kontoauszug, Onlinebanking)
Frist für die Rückerstattung:
Die Erstattung muss “unverzüglich” erfolgen – das bedeutet ohne schuldhaftes Zögern, in der Regel innerhalb von 1–2 Bankarbeitstagen, nachdem der Zahlungsdienstleister über die unautorisierte Transaktion informiert wurde.
Haftung des Karteninhabers:
a) Selbstbeteiligung bis 50 Euro:
Der Zahler haftet max. 50 €, wenn:
eine Zahlung aufgrund Verlusts, Diebstahls oder Missbrauchs des Zahlungsinstruments erfolgt ist, und
der Missbrauch vor Sperrung des Zahlungsinstruments stattfand.
b) Volle Haftung bei grober Fahrlässigkeit:
Die 50-Euro-Grenze entfällt, wenn:
der Zahler grob fahrlässig Zugangsdaten preisgibt z. B. auf einer offensichtlich gefälschten Webseite seine gesamten Kreditkartendaten eingibt.
oder Warnungen seiner Bank ignoriert.
Jedoch: Einfache Eingabe von Daten nach Phishing gilt NICHT als Zustimmung im Sinne von § 675u BGB.
Nach der Reklamation – Prüfpflicht der Bank
Die Bank darf die Erstattung verweigern, wenn:
sie beweisen kann, dass die Zahlung korrekt authentifiziert und vom Kunden autorisert wurde, z. B. durch 2-Faktor-Authentifizierung (Art. 64, 97 PSD2),
oder dass grobe Fahrlässigkeit vorliegt.
Beweislast: Grundsätzlich trägt die Bank die Beweislast für die Autorisierung – nicht der Kunde!
Zusammenfassend unserer Empfehlungen für betroffene Kunden:
Betroffene sollten folgende Schritte unternehmen:
Unverzügliche Sperrung der Kreditkarte von der Solarisbank verlangen.
Anzeige bei der Polizei: Eine Strafanzeige dokumentiert den Vorfall offiziell und kann bei der Durchsetzung von Ansprüchen hilfreich sein.
Schriftliche Reklamation bei der Bank: Fordern Sie die Erstattung der unrechtmäßigen Abbuchungen schriftlich und setzen Sie eine angemessene Frist.
Und abschließend der wohl wichtigste Rat:
Lassen Sie sich nicht abwimmeln, seien Sie hartnäckig und bestehen Sie auf Ihrem Recht! Die Bank muss Ihnen beweisen, dass Sie grob fahrlässig gehandelt haben, nicht umgekehrt!
