Unberechtigte Konto-Abbuchungen: SEPA-Rückgaberecht 2026

Weitere Anbieter im Überblick:
Übersicht aller BaFin-, FCA- und FINMA-Warnungen 2026

Unberechtigte Konto-Abbuchungen Rückgabe SEPA: Die jüngste Verbrauchermitteilung der Aufsicht rückt eine verstärkte Welle nicht autorisierter SEPA-Lastschriften und Card-Not-Present-Belastungen in den Fokus der Verbraucherschutzbehörden. Betroffene verfügen über gesetzlich verankerte Rückgaberechte nach §§ 675u, 675x und 676b BGB — doch nur wer die geltenden Fristen kennt und zügig handelt, kann seinen Erstattungsanspruch vollständig durchsetzen.

Im Nachgang zu großflächigen Phishing- und Vishing-Kampagnen sowie kompromittierten Händler-Anbindungen häufen sich Fälle, in denen Verbraucherinnen und Verbraucher Abbuchungen auf ihren Kontoauszügen entdecken, die sie nie veranlasst haben. Dabei handelt es sich entweder um SEPA-Lastschriften ohne gültiges Mandat oder um Kartenzahlungen, die über gestohlene Kartendaten ausgeführt wurden. Die Bundesanstalt für Finanzdienstleistungsaufsicht hat auf diese Entwicklung mit einer Verbraucherwarnung reagiert und fordert Kontoinhaber auf, ihre Auszüge systematisch zu prüfen und berechtigte Rückforderungen unverzüglich geltend zu machen. Das Datum 22.05.2026 markiert dabei den Zeitpunkt, zu dem die Aufsichtsbehörde die erhöhte Betrugsaktivität öffentlich kommuniziert hat.

Die aktuelle Lage ist vielschichtig: Neben klassischen Lastschriftbetrügereien, bei denen Täter gestohlene IBAN-Daten für nicht autorisierte SEPA-Einzüge nutzen, nehmen sogenannte Card-on-File-Angriffe zu. Dabei werden bei Online-Händlern oder Zahlungsabwicklern gespeicherte Kartendaten abgegriffen und für Card-Not-Present-Transaktionen (CNP) ohne physische Kartenpräsenz verwendet. Für Verbraucher ist in beiden Szenarien wichtig zu wissen, dass das deutsche Zahlungsrecht eine klare Systematik der Haftungsverteilung und der Rückgabefristen vorsieht, die — konsequent angewandt — zu einer vollständigen Wiedergutschrift führt.

Welche Fristen gelten für SEPA-Lastschrift-Rückgabe?

Bei einem wirksam erteilten SEPA-Mandat besteht nach § 675x Abs. 2 und 4 BGB ein Erstattungsanspruch ohne Begründung innerhalb von acht Wochen ab Kontobelastung. Fehlt dagegen ein gültiges Mandat oder wurde die Abbuchung ohne jede Autorisierung vorgenommen, verlängert sich die Anzeigefrist gemäß § 676b Abs. 2 BGB auf 13 Monate nach Belastungsdatum. Diese Fristenunterscheidung ist in der Praxis entscheidend, denn Betroffene betrügerisch veranlasster, unautorisierter Abbuchungen profitieren regelmäßig von der längeren Schutzfrist.

Die acht-Wochen-Frist des § 675x BGB greift im SEPA-Basislastschriftverfahren (SDD Core) immer dann, wenn ein Lastschriftmandat tatsächlich erteilt wurde, der abgebuchte Betrag aber den Erwartungen des Zahlers nicht entspricht oder die Rückgabe ohne Begründung erfolgt. Die Zahlstelle — also die Bank des Zahlers — ist verpflichtet, den vollständigen Zahlungsbetrag innerhalb von zehn Geschäftstagen nach Eingang des Erstattungsverlangens zu erstatten oder die Ablehnung schriftlich zu begründen (§ 675x Abs. 5 BGB). Lehnt die Bank die Erstattung innerhalb der gesetzlichen Frist ab, hat sie den Zahler gleichzeitig auf die Beschwerdemöglichkeiten bei der BaFin und bei einschlägigen Schlichtungsstellen hinzuweisen. Im SEPA-Firmenlastschriftverfahren (SDD B2B) gilt das bedingungslose Rückgaberecht nach § 675x Abs. 3 BGB jedoch nur eingeschränkt: Haben Zahler und Zahlungsdienstleister vereinbart, dass der genaue Betrag vorab mitgeteilt wird und der Zahler der Abbuchung vorab zustimmt, entfällt der Anspruch auf die acht-Wochen-Erstattung.

Die 13-Monats-Frist des § 676b Abs. 2 BGB ist die stärkere Schutzregel bei echter Nicht-Autorisierung. Sie setzt voraus, dass der Zahlungsdienstleister den Zahler ordnungsgemäß über die Transaktion informiert hat; anderenfalls beginnt die Frist erst mit dem Tag der tatsächlichen Unterrichtung zu laufen. Dieser fristauslösende Mechanismus ist in der Praxis bedeutsam: Wer seine Kontoauszüge selten abruft oder Buchungsdetails nur unvollständig eingesehen hat, kann unter Umständen argumentieren, dass die 13-Monats-Frist noch nicht zu laufen begonnen hat. Bei nicht autorisierten Zahlungen greift ergänzend § 675u BGB, der die Bank zur unverzüglichen Rückerstattung verpflichtet — spätestens bis zum Ende des Geschäftstags, der auf den Tag folgt, an welchem dem Zahlungsdienstleister die fehlende Autorisierung angezeigt wurde oder er auf andere Weise davon Kenntnis erlangt hat.

Ein weiterer rechtlicher Aspekt betrifft den Fristbeginn: Nach dem Wortlaut des § 676b Abs. 2 Satz 2 BGB beginnt die 13-Monats-Frist nur zu laufen, wenn der Zahlungsdienstleister den Zahler über die den Zahlungsvorgang betreffenden Angaben gemäß Artikel 248 §§ 7, 10 oder § 14 EGBGB unterrichtet hat. Fehlt diese ordnungsgemäße Information — etwa weil Kontoauszüge nicht oder nicht vollständig bereitgestellt wurden — ist für den Fristbeginn der Tag der Unterrichtung maßgeblich. Betroffene, die von einer Abbuchung erst durch Dritte oder mit erheblicher Verzögerung erfahren, sollten diesen Umstand dokumentieren.

SEPA-Mechanik: Mandat, Autorisierung und Gläubiger-Kennung

Das SEPA-Lastschriftverfahren (Single Euro Payments Area Direct Debit) basiert seit seiner Einführung im Juli 2012 auf dem Prinzip der doppelten Ermächtigung: Der Zahler erteilt dem Zahlungsempfänger ein schriftliches Mandat zum Lastschrifteinzug und genehmigt seiner eigenen Bank gleichzeitig die Buchung. Ohne dieses Mandat ist jede Kontobelastung per SEPA-Lastschrift technisch und rechtlich nicht autorisiert — unabhängig davon, ob die einreichende Bank das Vorliegen eines Mandats behauptet.

Die Mandatsvergabe erfolgt entweder in Papierform mit physischer Unterschrift oder, im digitalen Kontext, durch eine nachweisbare elektronische Einwilligung. Die BaFin hat frühzeitig klargestellt, dass Online-Mandate ohne qualifizierte elektronische Signatur von Banken akzeptiert werden dürfen, ohne dass dies automatisch zur Wirksamkeit des Mandats führt — der Zahler kann die Einwilligung bestreiten, wenn er kein entsprechendes Mandat erteilt hat. Daraus folgt: Der bloße Einzug über SEPA-Lastschrift beweist nicht, dass ein wirksames Mandat vorliegt.

• SDD Core (SEPA-Basislastschrift): Das für Verbraucher relevante Standardverfahren. Die Mandatsbasis ist eine schriftliche oder digital nachgewiesene Einwilligung. Der Zahlungsempfänger vergibt eine eindeutige Mandatsreferenz, die bei jeder Abbuchung im Kontoauszug erscheint. Das Rückgaberecht ohne Begründung besteht innerhalb von acht Wochen; ohne Mandat gelten 13 Monate.
• SDD B2B (SEPA-Firmenlastschrift): Ausschließlich zwischen Unternehmen. Die Bank des Zahlers prüft das Mandat bereits vor der Belastung auf Übereinstimmung mit der eingereichten Zahlung. Eine bedingungslose Rückgabe in acht Wochen ist vertraglich ausschließbar; nicht autorisierte Transaktionen unterliegen jedoch ebenfalls der 13-Monats-Schutzfrist nach § 676b BGB.
• Gläubiger-Identifikationsnummer (Gläubiger-ID): Jeder Lastschrift-Einreicher trägt eine länderspezifisch vergebene Kennung, die auf dem Kontoauszug sichtbar ist. Sie ermöglicht die eindeutige Identifikation des Einreichers. Gläubiger-IDs unbekannter Unternehmen oder solcher, die mit dem gewöhnlichen Kaufverhalten des Kontoinhabers nicht in Einklang stehen, sind ein Warnsignal. Banken sind auf Verlangen verpflichtet, die Gläubiger-ID für weitere Einzüge zu sperren (Blacklisting).
• Mandatsreferenz: Die eindeutige Kennnummer des einzelnen Lastschriftmandats. Erscheint auf dem Kontoauszug eine Mandatsreferenz, die der Kontoinhaber nicht zuordnen kann, ist davon auszugehen, dass kein wirksames Mandat vorliegt oder ein fremdes Mandat missbraucht wird.
• IBAN-Bestätigung und Mandatsprüfung: Die Zahlstelle ist technisch verpflichtet, die IBAN des belasteten Kontos und die Mandatsdaten auf Übereinstimmung zu prüfen. In der aktuellen Betrugswelle wird dieser Kontrollmechanismus durch automatisierte Masseneinreichung bei schwach prüfenden Zahlstellen unterlaufen. Täter reichen dabei über kompromittierte oder missbräuchlich genutzte Gläubiger-IDs Dutzende von Lastschriften gleichzeitig ein, oft in moderaten Beträgen zwischen 89 und 150 Euro, um die Aufmerksamkeitsschwelle der Betroffenen zu unterlaufen.

Die Vorab-Ankündigungspflicht (Pre-Notification) des Gläubigers spielt ebenfalls eine Rolle: Nach den SEPA-Regelwerken ist der Zahlungsempfänger verpflichtet, Betrag und Termin der Abbuchung mindestens 14 Tage im Voraus anzukündigen, sofern keine kürzere Frist vereinbart wurde. Eine fehlende oder fehlerhafte Pre-Notification ist zwar nicht per se ein Anfechtungsgrund für die Abbuchung, kann aber als Indiz für ein nicht ordnungsgemäß erteiltes Mandat gewertet werden und stärkt die Rückgabeposition des Zahlers.

Wann haftet die Bank nach § 675u BGB?

Die Bank haftet bei einem nicht autorisierten Zahlungsvorgang verschuldensunabhängig und ist nach § 675u BGB verpflichtet, den abgebuchten Betrag unverzüglich zu erstatten und das Konto auf den Stand vor der Belastung zurückzusetzen — mit Wertstellung zum ursprünglichen Belastungsdatum. Die Frist beträgt spätestens bis zum Ende des Geschäftstags, der auf den Tag der Anzeige folgt. Diese Pflicht gilt ohne Ansehen der Schadenshöhe und umfasst auch Folgekosten wie Überziehungszinsen, die infolge der unberechtigten Belastung entstanden sind.

Die Erstattungspflicht besteht unabhängig davon, ob die Bank den Betrug selbst hätte verhindern können. Sie entfällt nur in gesetzlich eng geregelten Ausnahmefällen: Wenn der Zahler arglistig gehandelt hat oder den Zahlungsvorgang durch grob fahrlässiges Verhalten ermöglicht hat — etwa durch die leichtfertige Weitergabe von PIN, TAN oder IBAN an unbekannte Dritte auf Phishing-Seiten oder am Telefon — kann die Bank Regress nehmen. Der bloße Betrugsverdacht gegen den Zahler berechtigt die Bank jedoch nicht zur einseitigen Ablehnung: § 675u BGB Satz 4 verpflichtet die Bank, bei einem an eine zuständige Behörde gemeldeten Betrugsverdacht dennoch unverzüglich zu prüfen und zu erstatten, sobald sich der Verdacht nicht bestätigt.

Umstritten ist in der Praxis, unter welchen Umständen grobe Fahrlässigkeit auf Seiten des Zahlers anzunehmen ist. Die Rechtsprechung hat insoweit differenziert: Das Öffnen einer Phishing-E-Mail und die Eingabe von Zugangsdaten auf einer täuschend echten Nachbau-Website kann als grobe Fahrlässigkeit eingestuft werden, wenn die Warnzeichen offensichtlich waren. Umgekehrt entfällt der Grobe-Fahrlässigkeit-Vorwurf, wenn die Phishing-Seite auch für einen sorgfältigen Nutzer nicht erkennbar war oder wenn die Täter über Vishing-Anrufe mit falscher Bankidentität vorgingen. Nach den Erfahrungen der Verbraucherzentralen tragen Banken in solchen Auseinandersetzungen die Beweislast für ein qualifiziertes Mitverschulden des Zahlers — reichen sie keinen substanziellen Nachweis ein, bleibt § 675u BGB uneingeschränkt anwendbar.

Bei Card-Not-Present-Transaktionen ist die Rechtslage strukturell ähnlich: Eine Kartenzahlung, bei der der tatsächliche Karteninhaber keine Genehmigung erteilt hat, ist nicht autorisiert im Sinne von § 675j BGB. Die Haftungsregel des § 675u BGB greift daher ebenso. Umstritten ist lediglich, ob die Nutzung eines bei einem Online-Händler gespeicherten Kartendatensatzes durch einen Dritten als nicht autorisierte Zahlung oder als Frage der Datensicherheitspflichten des Händlers einzuordnen ist — in der Regel haftet jedoch zunächst die kartenemittierende Bank und klärt Regressfragen intern.

Kriterium	8-Wochen-Frist (§ 675x BGB)	13-Monate-Frist (§ 676b BGB)
Anwendungsbereich	Autorisierter SEPA-Basislastschrift-Einzug (SDD Core) mit gültigem Mandat	Nicht autorisierter oder fehlerhaft ausgeführter Zahlungsvorgang — kein Mandat, gefälschtes Mandat oder Mandat widerrufen
Begründungspflicht	Keine — Rückgabe ohne Angabe von Gründen möglich (§ 675x Abs. 2 BGB)	Keine Begründung erforderlich; Anzeige der Nicht-Autorisierung genügt (§ 676b Abs. 1 BGB: unverzügliche Unterrichtung)
Voraussetzung auf Bankseite	Ordnungsgemäße Vorabanmeldung (Pre-Notification) durch Gläubiger; wirksames Mandat liegt vor	Ordnungsgemäße Information des Zahlers über die Transaktion (Kontoauszug); fehlt diese, beginnt Frist erst ab Unterrichtung
Fristbeginn	Tag der Kontobelastung	Tag der Kontobelastung, sofern ordnungsgemäß unterrichtet; sonst Tag der tatsächlichen Unterrichtung
SDD B2B anwendbar?	Nur wenn kein vertraglicher Ausschluss nach § 675x Abs. 3 BGB vereinbart	Ja, auch bei Firmenlastschrift anwendbar — nicht autorisierte Transaktionen sind stets erstattungsfähig
Card-Not-Present	Nicht direkt anwendbar (Kartenzahlung folgt eigenem Rechtsregime)	§§ 675j, 675u BGB analog: fehlende Autorisierung löst unverzügliche Erstattungspflicht aus
Erstattungsfrist der Bank	10 Geschäftstage nach Eingang des Erstattungsverlangens (§ 675x Abs. 5 BGB)	Unverzüglich, spätestens Ende des nächsten Geschäftstags nach Anzeige (§ 675u BGB Satz 3)
Rechtsfolge bei unberechtigter Verweigerung	Schlichtungsstelle; ggf. Zahlungsklage; Hinweispflicht der Bank auf Beschwerdewege (§ 675x Abs. 5 BGB)	Beschwerde BaFin (§§ 4a, 4b, 6 FinDAG); Schlichtung Bundesbank; Schadensersatzklage §§ 675u, 280 BGB

Welche Pflichten hat die Bank bei verdächtigen Buchungsmustern?

Banken und Zahlungsdienstleister unterliegen im Rahmen ihres aufsichtsrechtlichen Risikomanagements der Pflicht, ungewöhnliche Transaktionsmuster zu erkennen und gegebenenfalls zu unterbrechen. Dazu zählen Buchungen in ungewöhnlicher Tageszeit, mehrere Lastschriften durch dieselbe Gläubiger-ID in kurzem Abstand, die Einrichtung neuer Zahlungsmittel unmittelbar vor hohen Kontoverfügungen sowie Buchungen durch Gläubiger-IDs, die dem Nutzungsprofil des Kontoinhabers offensichtlich nicht entsprechen.

Die BaFin hat auf Grundlage von §§ 4a und 6 FinDAG die Befugnis, gegenüber Kreditinstituten Maßnahmen zur Beseitigung verbraucherschutzrelevanter Missstände anzuordnen. Ein Missstand liegt nach der einschlägigen Verwaltungspraxis dann vor, wenn ein erheblicher, dauerhafter oder wiederholter Verstoß gegen Verbraucherschutzgesetze festgestellt wird — also etwa wenn eine Bank systematisch Hinweise auf nicht autorisierte Transaktionen ignoriert oder Erstattungsansprüche pauschal und ohne substantiierte Begründung ablehnt. Beschwerden bei der BaFin entfalten zwar keine unmittelbare Schadensersatzwirkung zugunsten des einzelnen Verbrauchers, verstärken aber die aufsichtsrechtliche Kontrolle der betroffenen Bank und können zu Anordnungen führen, die das Risikomanagement der Bank verbessern.

Zusätzlich trifft Banken eine Pflicht zur aktiven Verdachtsmeldung: Nach dem GwG sind Banken verpflichtet, Transaktionen, die auf Geldwäsche oder Betrug hindeuten, der Financial Intelligence Unit (FIU) zu melden. Bei einem kompromittierten Empfängerkonto kann die betroffene Bank außerdem versuchen, die Gutschrift auf dem Empfängerkonto noch aufzuhalten — eine Maßnahme, die nach Erfahrungen der Verbraucherzentralen jedoch nur bei schnellem Handeln innerhalb weniger Stunden nach der Überweisung erfolgreich ist.

Konkret empfiehlt die jüngste BaFin-Warnung folgende präventive Maßnahmen, die Kontoinhaber ihrerseits umsetzen sollten:

• Monatliche Kontrolle aller Kontoauszüge und Abgleich mit tatsächlich erteilten Lastschriftmandaten — idealerweise unter Nutzung einer Mandatsübersicht, die viele Banken im Online-Banking bereitstellen
• Sofortige schriftliche Beanstandung unbekannter Buchungen per Online-Banking-Widerspruchsfunktion oder E-Mail/Fax mit ausdrücklichem Hinweis auf fehlende Mandatserteilung
• Blacklisting der Gläubiger-ID bei der Hausbank: Einmal gesperrte Gläubiger-IDs werden für weitere Einzüge von derselben Kennung blockiert
• Prüfung eigener Datenlecks über Dienste wie HaveIBeenPwned.com oder den Identity Leak Checker des Hasso-Plattner-Instituts: Gestohlene Kontodaten zirkulieren oft im Darknet, bevor sie für unberechtigte Abbuchungen genutzt werden
• Aktivierung starker Kundenauthentifizierung (Strong Customer Authentication, SCA) für alle digitalen Zahlungskanäle sowie regelmäßige Überprüfung aktiver Zahlungsauslösedienste im Online-Banking
• Skepsis gegenüber unerwarteten Telefonanrufen, die angeblich von der eigenen Bank stammen und nach TAN, PIN oder IBAN fragen — seriöse Mitarbeitende von Banken fragen niemals telefonisch nach diesen Daten

Phishing, Vishing und Card-on-File-Missbrauch als Auslöser der aktuellen Welle

Die aktuelle Welle unberechtigter Abbuchungen ist nach Einschätzung von Verbraucherschützern und Sicherheitsforschern eng mit Datenlecks und gezielten Angriffen auf Verbraucherdaten verbunden. Täter operieren über mehrere Einfallstore: Phishing-E-Mails, die Kontozugangsdaten oder IBAN-Daten unter dem Deckmantel angeblicher Banknachrichten abgreifen; Vishing-Anrufe (Voice-Phishing), bei denen sich Kriminelle als Bankmitarbeitende ausgeben und die Preisgabe von TAN-Codes oder Zahlungsdaten erwirken; sowie Card-on-File-Missbrauch, bei dem gespeicherte Kartendaten aus kompromittierten Händler-Systemen oder Payment-Service-Providern für Card-Not-Present-Transaktionen ohne physische Kartenpräsenz verwendet werden.

Bei CNP-Transaktionen authentifiziert sich der vermeintliche Karteninhaber nicht physisch, sondern ausschließlich über Kartennummer, Ablaufdatum und CVC. Gelangen diese Daten in falsche Hände — durch Datenlecks bei Online-Händlern, durch Skimming-Angriffe auf digitale Bezahlformulare (sogenanntes Magecart-Skimming) oder durch Phishing-Seiten — können Täter Kartentransaktionen auslösen, ohne die physische Karte zu besitzen. Für Betroffene ist die Rechtslage in diesen Fällen klar: Eine solche Transaktion ist nicht autorisiert im Sinne des § 675j BGB und löst die Erstattungspflicht nach § 675u BGB aus. Die Beweislast für eine tatsächlich erteilte Autorisierung oder ein grobes Verschulden des Karteninhabers liegt allein bei der Bank.

Besonders heimtückisch ist dabei die Kombination aus Datenleck und nachgelagerter Phishing-Kampagne: Täter beschaffen sich im ersten Schritt Kontoverbindungsdaten aus einem Datenleck und nutzen diese im zweiten Schritt für gezielte Phishing-Anrufe, bei denen sie das Vertrauen des Opfers durch die korrekte Ansprache mit Namen und Kontonummer gewinnen. Dieses zweigliedrige Muster erschwert die Erkennung erheblich, weil die erste Hälfte der Attacke — der Datenleckdaten-Kauf — spurlos für den Betroffenen verläuft. Verbraucherzentralen beobachten diese Entwicklung seit mehreren Jahren und empfehlen dringend, die Weitergabe sensibler Kontodaten auch bei vermeintlich bekannten Anrufern konsequent zu verweigern.

„Unberechtigte SEPA-Lastschriften — also ohne Mandat — können Sie bis zu 13 Monate nach der Belastung zurückgeben. Wichtig ist, dass Sie regelmäßig einmal im Monat Ihre Kontoauszüge auf Richtigkeit überprüfen.“

— Verbraucherzentrale Deutschland, SEPA-Lastschriftverfahren

Phishing-Kampagnen operieren in der Regel mit gefälschten Absenderadressen und optisch täuschend echten Nachrichtenvorlagen. Typische Merkmale sind Zeitdruck-Formulierungen wie „Ihr Konto wird gesperrt“, Aufforderungen zur Eingabe von Kontodaten auf externen Links sowie angebliche Bestätigungsanfragen zu neuen Zahlungsmandaten. Wer telefonisch kontaktiert wird und zur Nennung von IBAN, TAN oder Zugangsdaten aufgefordert wird, befindet sich in einem Vishing-Szenario. Seriöse Bankmitarbeitende fragen niemals telefonisch nach vertraulichen Zugangsdaten.

Welche Schritte sind nach einer unberechtigten Abbuchung sinnvoll?

Nach dem Entdecken einer unberechtigten Abbuchung zählt in erster Linie schnelles, dokumentiertes Handeln. Der Erstattungsanspruch nach § 675u BGB verpflichtet die Bank zur unverzüglichen Rückbuchung, sobald die fehlende Autorisierung angezeigt wurde — die aktive Geltendmachung durch den Kontoinhaber ist jedoch in jedem Fall erforderlich. Schriftliche Kommunikation mit der Bank hat gegenüber telefonischen Gesprächen erhebliche Beweisvorteile, da Gesprächsinhalte am Telefon kaum nachweisbar sind.

Wenn die Hausbank eine Erstattung ablehnt oder nicht innerhalb der gesetzlichen Fristen reagiert, stehen anwaltliche Eskalation, BaFin-Beschwerde und Schlichtungsverfahren als gestaffelte Optionen zur Verfügung. Das Schlichtungsverfahren bei der Deutschen Bundesbank (als Auffangschlichtungsstelle für Zahlungsdienste nach § 14 Abs. 1 UKlaG) ist für Verbraucher gebührenfrei und in der Regel innerhalb von drei Monaten abgeschlossen. Alternativ steht je nach Bankzugehörigkeit der Bankenombudsmann (private Banken), der VÖB-Ombudsmann (öffentliche Banken) oder die Schlichtungsstelle der Sparkassen-Finanzgruppe zur Verfügung.

Die BaFin-Beschwerde nach §§ 4a, 4b, 6 FinDAG ersetzt nicht den zivilrechtlichen Anspruch, ergänzt ihn jedoch wirkungsvoll: Die Aufsichtsbehörde prüft, ob aufsichtsrechtliche Maßnahmen gegen die Bank erforderlich sind, und leitet das Beschwerdeschreiben in der Regel an die Bank weiter. Gleichzeitig gilt: Eine BaFin-Beschwerde hemmt keine zivilrechtlichen Fristen. Betroffene sollten daher parallele Ansprüche nie allein auf das aufsichtsrechtliche Verfahren stützen, sondern zivilrechtliche Fristen — insbesondere die regelmäßige Verjährungsfrist von drei Jahren nach § 195 BGB — selbstständig überwachen.

Für Fälle, in denen die Bank die Erstattung mit dem Hinweis auf grobes Verschulden des Zahlers verweigert, ist anwaltliche Unterstützung besonders wertvoll. Ein auf Bank- und Zahlungsrecht spezialisierter Anwalt kann die von der Bank vorgelegten Sicherheitsprotokolle und Transaktionsdaten auf Lücken prüfen, die Beweislastverteilung nach § 675w BGB zugunsten des Mandanten nutzen und notfalls Schadensersatzansprüche nach §§ 675u, 280 BGB geltend machen. Nach den Erfahrungen der Verbraucherzentralen können Betrugsopfer ihre Ansprüche in einer erheblichen Zahl der Fälle nur mit anwaltlicher Unterstützung vollständig durchsetzen, wenn Banken die Haftung unter Verweis auf Mitverschulden ablehnen.

Praktische Schritte nach unberechtigter Konto-Abbuchung

1. Kontoauszug sichern: Screenshot oder Ausdruck der betreffenden Buchung, einschließlich Gläubiger-ID, Mandatsreferenz, Betrag und Buchungsdatum als Beweissicherung. Je mehr Buchungsdetails dokumentiert sind, desto belastbarer ist die Rückgabeposition.
2. Sofortige schriftliche Beanstandung bei der Bank: Per Online-Banking-Widerspruchsfunktion oder schriftlich per E-Mail/Fax mit ausdrücklichem Hinweis: „Kein SEPA-Mandat erteilt“ beziehungsweise „Zahlung nicht autorisiert“ — damit greift die 13-Monate-Frist statt der 8-Wochen-Frist. Auf eine Antwortfrist von zehn Geschäftstagen gemäß § 675x Abs. 5 BGB hinweisen.
3. Gläubiger-ID sperren lassen: Die Hausbank beauftragen, die betreffende Gläubiger-Identifikationsnummer für zukünftige Einzüge zu blockieren (Blacklisting). Dieser Schritt verhindert Folgeabbuchungen durch denselben Betrüger-Einreicher.
4. Strafanzeige bei der Polizei: Online über die Onlinewache des jeweiligen Bundeslandes. Möglichst detaillierte Sachverhaltsdarstellung mit Buchungsbelegen. Das erhaltene Aktenzeichen unverzüglich an die Bank weiterleiten — es stärkt die eigene Rechtsposition erheblich, weil es die Anzeigepflicht nach § 676b Abs. 1 BGB dokumentiert.
5. Datenleck prüfen: Eigene E-Mail-Adresse und soweit möglich die IBAN auf Diensten wie HaveIBeenPwned.com oder dem Identity Leak Checker des Hasso-Plattner-Instituts prüfen. Bei Verdacht auf kompromittierte Zugangsdaten unverzüglich alle Passwörter für Banking, E-Mail und Online-Konten ändern und Zwei-Faktor-Authentifizierung aktivieren.
6. Dreiwochenfrist setzen: Der Bank schriftlich eine Frist von drei Wochen zur vollständigen Gutschrift einräumen, mit ausdrücklicher Angabe, dass die Gutschrift mit Wertstellung zum Belastungsdatum erfolgen soll. Damit wird sichergestellt, dass eventuell angefallene Überziehungszinsen durch die rückwirkende Buchung eliminiert werden.
7. Anwaltliche Eskalation bei Ablehnung: Lehnt die Bank die Erstattung ab oder reagiert sie nicht fristgerecht, empfiehlt sich die Einschaltung einer auf Bank- und Zahlungsrecht spezialisierten Kanzlei. Anwaltliche Begleitung ist besonders dann sinnvoll, wenn die Bank auf grob fahrlässiges Verhalten des Kontoinhabers verweist, ohne diesen Vorwurf zu belegen.
8. BaFin-Beschwerde einreichen: Über das Online-Beschwerdeformular der BaFin unter Angabe des Aktenzeichens der Polizei und der schriftlichen Bankkommunikation. Rechtsgrundlage: §§ 4a, 4b, 6 FinDAG. Hinweis: Die BaFin erstattet keine individuellen Schadenssummen, kann aber aufsichtsrechtliche Maßnahmen gegen die Bank einleiten und verstärkt so den Druck auf die Bank.
9. Schlichtungsstelle einschalten: Bei fortdauernder Ablehnung: Antrag bei der zuständigen Schlichtungsstelle. Als Auffanglösung ist die Schlichtungsstelle der Deutschen Bundesbank zuständig (E-Mail: schlichtung@bundesbank.de, Telefon: 069 9566-33232). Das Verfahren ist vollständig schriftlich, für Verbraucher gebührenfrei und dauert im Durchschnitt drei Monate.
10. Klageverfahren als letzter Schritt: Ist auch der Schlichterspruch nicht akzeptabel oder lehnt die Bank ihn ab, bleibt der ordentliche Rechtsweg. Klagen auf Basis von § 675u BGB i.V.m. § 280 BGB können auch auf Schadensersatz für Zinsausfälle, Mahnkosten und Inkassobriefe erweitert werden. Die regelmäßige Verjährungsfrist nach § 195 BGB beträgt drei Jahre ab Ende des Jahres, in dem der Anspruch entstanden ist und der Betroffene Kenntnis erlangte.

Quellen und weiterführende Informationen

• Verbraucherzentrale: Bezahlen im SEPA-Lastschriftverfahren — Rückgaberechte und Verbrauchertipps
• Verbraucherzentrale: Kreditkartenbetrug und Kontobetrug — Sofortmaßnahmen und Rechtsdurchsetzung
• § 675u BGB — Haftung des Zahlungsdienstleisters für nicht autorisierte Zahlungsvorgänge (gesetze-im-internet.de)
• § 675x BGB — Erstattungsanspruch bei autorisiertem Zahlungsvorgang, 8-Wochen-Frist (gesetze-im-internet.de)
• § 676b BGB — Anzeige nicht autorisierter Zahlungsvorgänge, 13-Monats-Frist (gesetze-im-internet.de)
• FinDAG — Finanzdienstleistungsaufsichtsgesetz, §§ 4a, 4b, 6 (gesetze-im-internet.de)
• Deutsche Bundesbank — Schlichtungsstelle für Zahlungsdienste (schlichtung@bundesbank.de)
• Deutsche Bundesbank — Tätigkeitsbericht der Schlichtungsstelle 2024 (PDF)

Verfasst von Rechtsanwältin Anna O. Orlowa, LL.M. · REXUS Rechtsanwaltsgesellschaft mbH, Stuttgart · Fachgebiete Bank- und Kapitalmarktrecht, Cybercrime, Asset Recovery, eWpG, MiCAR.

Vollständige Übersicht:
Alle BaFin-, FCA-, FINMA- und FMA-Warnungen 2026 im Vergleich