PayPal-Abbuchung nicht autorisiert? Ihre Rechte nach BGB

Veröffentlicht am von

Plötzlich fehlen mehrere tausend Euro auf dem Konto. Die E-Mail von PayPal kam spät abends. Die Zahlung haben Sie nie veranlasst. Trotzdem behauptet der Zahlungsdienstleister, alles sei ordnungsgemäß verlaufen.

Dieses Szenario erleben immer mehr Menschen. Die gute Nachricht: Das Gesetz steht auf Ihrer Seite – und zwar deutlicher, als viele denken.

Der typische Fall: Hohe Abbuchungen trotz sofortiger Meldung

Ein Kontoinhaber erhält spät am Abend E-Mails über angeblich durchgeführte PayPal-Transaktionen. Jede Zahlung beträgt mehrere tausend Euro. Er hat diese Zahlungen nicht veranlasst.

Sofort reagiert er: Er meldet den Vorfall an PayPal und ändert sein Passwort. PayPal kündigt eine Prüfung an. Wenige Tage später die ernüchternde Antwort: Ein unbefugter Zugriff sei nicht feststellbar.

Bei genauerer Durchsicht seiner Kontoauszüge entdeckt der Betroffene eine weitere, kleinere Zahlung vom selben Tag. Auch diese hat er nicht autorisiert. Der angebliche Zahlungsempfänger ist weder telefonisch noch per E-Mail erreichbar.

Der Gesamtschaden beträgt mehr als 10.000 €.

Wer ist zuständig – PayPal oder Ihre Bank?

Viele Betroffene sind zunächst verunsichert: Gegen wen sollen sie vorgehen? Die Antwort hängt davon ab, wie die Zahlung technisch abgewickelt wurde.

PayPal als Zahlungsdienstleister

PayPal ist ein zugelassener Zahlungsdienstleister und unterliegt den Vorschriften der §§ 675c ff. BGB. Wenn Ihr PayPal-Konto nicht genügend Guthaben aufweist, zieht PayPal das Geld per SEPA-Lastschrift von Ihrem Bankkonto oder über Ihre Kreditkarte ein.

Dadurch entstehen zwei getrennte Rechtsverhältnisse:

  • Zwischen Ihnen und PayPal: Wurde die Zahlung über PayPal autorisiert?
  • Zwischen Ihnen und Ihrer Bank oder Sparkasse: War die Lastschrift oder Kreditkartenabbuchung berechtigt?

Ihre Bank als kontoführendes Institut

Wenn PayPal per SEPA-Basislastschrift Geld von Ihrem Girokonto abbucht, haben Sie gegenüber Ihrer Bank eigenständige Rechte. Gemäß § 675x Abs. 2 BGB können Sie bei SEPA-Basislastschriften ohne Angabe von Gründen die Erstattung des belasteten Betrags verlangen.

Wichtig: Dieser Erstattungsanspruch ist ausgeschlossen, wenn Sie ihn nicht innerhalb von acht Wochen ab dem Zeitpunkt der Belastung geltend machen (§ 675x Abs. 4 BGB).

Praxistipp: Handeln Sie schnell. Bei SEPA-Basislastschriften können Sie innerhalb von acht Wochen ohne Begründung die Rückbuchung verlangen. Ihre Bank muss das Geld dann zurückbuchen. Bei Kreditkartenabbuchungen gelten andere Fristen – prüfen Sie Ihre Kreditkartenbedingungen oder lassen Sie sich beraten.

Das Gesetz schützt Sie: Der Grundsatz der Autorisierung

Rechtlicher Dreh- und Angelpunkt beim Zahlungsverkehr ist § 675j BGB. Danach ist ein Zahlungsvorgang gegenüber dem Zahler nur wirksam, wenn dieser ihm zugestimmt hat – die sogenannte Autorisierung (vgl. Bundesgerichtshof (BGH), Urteil vom 16.06.2015, Az. XI ZR 243/13, Rn. 23).

Das ist der zentrale Schutz für alle Bankkunden und Nutzer von Zahlungsdiensten: Ohne Ihre Zustimmung darf kein Geld von Ihrem Konto abfließen.

Was passiert bei nicht autorisierten Zahlungen?

Fehlt die Autorisierung, ist der Zahlungsvorgang gegenüber dem Zahler unwirksam. Dem Zahlungsdienstleister steht kein Aufwendungsersatzanspruch zu, den er dem Konto belasten dürfte.

§ 675u BGB regelt die Folgen klar:

Im Fall eines nicht autorisierten Zahlungsvorgangs hat der Zahlungsdienstleister gegen den Zahler keinen Anspruch auf Erstattung seiner Aufwendungen. Er ist verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten. Sofern der Betrag einem Zahlungskonto belastet worden ist, muss der Zahlungsdienstleister dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.

Diese Erstattungspflicht ist unverzüglich zu erfüllen – spätestens bis zum Ende des Geschäftstags, der auf den Tag der Anzeige folgt.

Wer muss was beweisen?

Die Beweislast liegt grundsätzlich beim Zahlungsdienstleister – also bei PayPal oder Ihrer Bank.

§ 675w BGB normiert Mindestanforderungen an den Beweis: Der Zahlungsdienstleister muss nachweisen, dass eine Authentifizierung erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht sowie nicht durch eine Störung beeinträchtigt wurde. Diesen Nachweis erbringt er regelmäßig durch Vorlage der aufgezeichneten Protokolle (vgl. BGH, Urteil vom 05.03.2024, Az. XI ZR 107/22, Rn. 37 ff.).

Eine bloße Behauptung von PayPal, es habe keinen unbefugten Zugriff gegeben, reicht nicht aus. Der Zahlungsdienst muss konkret nachweisen, dass Sie die Zahlung tatsächlich autorisiert haben.

Gibt es einen Anscheinsbeweis gegen Sie?

Der BGH hat in seinem Grundsatzurteil vom 26.01.2016, Az. XI ZR 91/14, klargestellt:

Ein Anscheinsbeweis für die Autorisierung kommt nur in Betracht, wenn die praktische Unüberwindbarkeit des eingesetzten Sicherungssystems sowie dessen ordnungsgemäße Anwendung und fehlerfreie Funktion im konkreten Einzelfall festgestellt wird.

Einen Anscheinsbeweis für eine grob fahrlässige Pflichtverletzung des Zahlers lehnt der BGH dagegen ab. Es gebe keine Erfahrungssätze, die auf ein bestimmtes typisches Fehlverhalten des Zahlungsdienstnutzers hinweisen würden.

Das bedeutet für Sie: Nur weil Ihre Zugangsdaten verwendet wurden, heißt das nicht automatisch, dass Sie fahrlässig gehandelt haben.

Wann haften Sie selbst?

In bestimmten Fällen kann der Zahlungsdienstleister von Ihnen Schadensersatz verlangen. Das setzt aber voraus, dass Sie selbst Pflichten vorsätzlich oder grob fahrlässig verletzt haben.

Grobe Fahrlässigkeit als Voraussetzung

Gemäß § 675v Abs. 3 BGB kann der Zahlungsdienstleister dem Erstattungsanspruch einen Schadensersatzanspruch entgegenhalten, wenn der nicht autorisierte Zahlungsvorgang auf eine vorsätzliche oder grob fahrlässige Sorgfaltspflichtverletzung des Zahlungsdienstnutzers zurückzuführen ist.

Die maßgeblichen Sorgfaltspflichten ergeben sich aus § 675l Abs. 1 BGB: Der Zahlungsdienstnutzer hat alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen.

Was gilt als grobe Fahrlässigkeit?

In der Praxis führen vor allem zwei Verhaltensweisen zur Bejahung grober Fahrlässigkeit durch die Gerichte:

Die Preisgabe von Zugangsdaten im Rahmen von Phishing-Angriffen

Die mangelnde Kontrolle der angezeigten Auftragsdaten vor der Freigabe einer Transaktion

Gerade die abschließende Kontrolle der Zahlungsdaten stellt den zentralen Schutz vor einer Kompromittierung des Zahlungsauftrags dar (vgl. BGH, Urteil vom 22.07.2025, Az. XI ZR 107/24.

Aber: Nicht jeder Fehler ist grob fahrlässig. Die Gerichte müssen stets die konkreten Umstände des Einzelfalls prüfen.

Der Schutz durch starke Kundenauthentifizierung

Gemäß § 675v Abs. 4 S. 1 Nr. 1 BGB ist der Zahler nicht zum Schadensersatz verpflichtet, wenn der Zahlungsdienstleister keine starke Kundenauthentifizierung (etwa Zwei-Faktor-Authentifizierung) verlangt hat.

Das bedeutet: Hat PayPal oder Ihre Bank bei der fraglichen Transaktion keine starke Kundenauthentifizierung verlangt, können Sie nicht haftbar gemacht werden – selbst wenn Sie fahrlässig gehandelt hätten. Eine Ausnahme gilt nur bei betrügerischer Absicht des Zahlers.

Wichtige Einschränkung: Der BGH hat mit Urteil vom 22.07.2025, Az. XI ZR 107/24, entschieden, dass es für den Ausschluss des Schadensersatzanspruchs darauf ankommt, ob für die konkrete schadensverursachende Transaktion eine starke Kundenauthentifizierung verlangt wurde – nicht darauf, ob die Anmeldung im Online-Banking durch eine solche geschützt war.

Besonderheit bei PayPal: Der Käuferschutz und seine Grenzen

PayPal bietet einen eigenen Käuferschutz an. Dieser ist aber rechtlich streng vom gesetzlichen Schutz zu unterscheiden.

Der BGH hat in zwei Urteilen vom 22.11.2017, Az. VIII ZR 83/16 und VIII ZR 213/16, klargestellt:

Bei einer Zahlung mittels PayPal wird dem Käufer nicht das Recht eingeräumt, diese von sich aus rückgängig zu machen. Die Erstattung des Kaufpreises nach Gewährung von PayPal-Käuferschutz gründet sich vielmehr auf eine besondere Dienstleistungsabrede zwischen PayPal und dem Käufer. Dabei ist nicht dem Käufer, sondern allein PayPal die Befugnis eingeräumt, eigenständig zu entscheiden, ob der Kaufpreis erstattet wird oder nicht.

Wichtig: Auch wenn PayPal Ihren Antrag auf Käuferschutz ablehnt, bleiben Ihre gesetzlichen Ansprüche nach §§ 675u, 675x BGB bestehen. Der PayPal-Käuferschutz ist ein zusätzliches Angebot. Er ist aber kein Ersatz für Ihre gesetzlichen Rechte.

Phishing und Social Engineering: Die häufigsten Betrugsmaschen

Betrüger werden immer raffinierter. Auch wenn Betroffene unter erheblichem Druck standen, prüfen die Gerichte genau, ob tatsächlich grobe Fahrlässigkeit vorlag. Die Umstände des Einzelfalls sind entscheidend. Dazu zwei typische Szenarien aus der aktuellen Rechtsprechung:

Szenario 1: Der gefälschte Bankanruf

Aus dem Sachverhalt des BGH-Urteils vom 22.07.2025, Az. XI ZR 107/24:

„Die Klägerin erhielt einen Telefonanruf. Auf dem Display wurde die Telefonnummer der Beklagten angezeigt und die Anruferin stellte sich als Mitarbeiterin der Beklagten vor. Sie erkundigte sich, was denn bei der Klägerin ‚los sei‘. Daraufhin erklärte die Anruferin, dass die Installation eines neuen Sicherheitsprogramms erforderlich sei. In diesem Zusammenhang nannte die Anruferin auch den Namen der für die Kläger zuständigen Sachbearbeiterin.“

Szenario 2: Die vorgetäuschte Rückbuchung

Aus einem typischen Sachverhalt (nach Heidel/Pauly, AnwaltFormulare, 11. Aufl. 2025):

Der Anrufer gab vor, missbräuchliche Überweisungen stornieren zu können. In Wahrheit hatte er sich mit zuvor erbeuteten Zugangsdaten im Online-Banking angemeldet und selbst eine Überweisung eingestellt. In der pushTAN-App wurde dem Betroffenen der vom Anrufer eingestellte Überweisungsauftrag angezeigt. Da er die Auftragsdaten in der Aufregung nicht mehr prüfte, betätigte er den Schiebeschalter – in der Annahme, einer Rückbuchung zuzustimmen.

Muss Ihre Bank verdächtige Transaktionen erkennen?

Viele Betroffene fragen sich: Hätte meine Bank die ungewöhnliche Zahlung nicht stoppen müssen?

Die Antwort ist nach geltendem Recht eindeutig: Nein. Eine Bank oder ein anderer Zahlungsdienstleister muss weder generell prüfen, ob die Abwicklung eines Zahlungsvorgangs Risiken für den Beteiligten begründet, noch Kontobewegungen allgemein und ohne besondere Anhaltspunkte überwachen (vgl. Heidel/Pauly, AnwaltFormulare, 11. Aufl. 2025, § 8 Rn. 81).

Sie können Ihrer Bank daher grundsätzlich nicht vorwerfen, dass sie eine ungewöhnlich hohe Zahlung nicht von sich aus gestoppt hat.

Gilt das auch für Klarna, Google Pay und Apple Pay?

Ja. Die §§ 675c–676c BGB regeln sämtliche Zahlungsvorgänge weitgehend abschließend und unterscheiden im Grundsatz nicht nach den einzelnen Formen des bargeldlosen Zahlungsverkehrs.

Die Legaldefinition des Zahlungsinstruments (§ 1 Abs. 20 ZAG) ist bewusst technologieneutral. Erfasst werden die Unterzeichnung eines Überweisungsträgers ebenso wie der Einsatz von Zahlungskarten, Smartphones und Smartwatches sowie Online-Banking mit PIN und TAN.

Das bedeutet: Ob Sie PayPal, Klarna, Google Pay oder Apple Pay nutzen – Ihre gesetzlichen Rechte bei nicht autorisierten Zahlungen sind dieselben.

Übersicht: Aktuelle Rechtsprechung zum Online-Banking-Betrug und Zahlungsverkehrsrecht

_ BGH, Urteil vom 16.06.2015, Az. XI ZR 243/13

Thema: Autorisierung als Dreh- und Angelpunkt

Kernaussage: Ohne Autorisierung kein Aufwendungsersatzanspruch des Zahlungsdienstleisters; Nichtleistungskondiktion gegen den Zahlungsempfänger

_ BGH, Urteil vom 26.01.2016, Az. XI ZR 91/14

Thema: Anscheinsbeweis bei Online-Banking

Kernaussage: Anscheinsbeweis für Autorisierung nur bei festgestellter praktischer Unüberwindbarkeit des Sicherungssystems; kein Anscheinsbeweis für grobe Fahrlässigkeit des Zahlers

_ BGH, Urteile vom 22.11.2017, Az. VIII ZR 83/16 und VIII ZR 213/16

Thema: PayPal-Käuferschutz und Erfüllungswirkung

Kernaussage: Erfüllungswirkung entfällt nicht rückwirkend bei Rückbuchung durch PayPal-Käuferschutz; PayPal entscheidet eigenständig über Erstattung

_ BGH, Urteil vom 17.11.2020, Az. XI ZR 294/19

Thema: Dolo-agit-Einrede bei § 675v Abs. 3 BGB

Kernaussage: Schadensersatzanspruch des Zahlungsdienstleisters kann dem Erstattungsanspruch im Wege der Dolo-agit-Einrede entgegengehalten werden

_ BGH, Urteil vom 05.03.2024, Az. XI ZR 107/22

Thema: Beweislast bei streitiger Autorisierung

Kernaussage: Zahlungsdienstleister trägt die Beweislast für die Autorisierung unabhängig davon, ob ein Zahlungsinstrument mit personalisierten Sicherheitsmerkmalen eingesetzt wurde

_ BGH, Urteil vom 22.07.2025, Az. XI ZR 107/24

Thema: Phishing und starke Kundenauthentifizierung

Kernaussage: Zur groben Fahrlässigkeit bei Phishing; Schadensersatzanspruch nicht nach § 675v Abs. 4 S. 1 Nr. 1 BGB ausgeschlossen, wenn für die konkrete Überweisung eine starke Kundenauthentifizierung verlangt wurde

_ OLG Bremen, Urteil vom 30.08.2024, Az. 1 U 32/24

Thema: Auslegung der Autorisierung

Kernaussage: Autorisierung als empfangsbedürftige Willenserklärung; Fehlvorstellungen über den Anlass berühren die Wirksamkeit nicht; Anfechtung bei Inhaltsirrtum möglich

Ihre Handlungsoptionen: Schritt für Schritt

Sofortmaßnahmen

  • Zugangsdaten ändern: Ändern Sie sofort Ihr PayPal-Passwort und die Passwörter aller verknüpften E-Mail-Konten.
  • Zahlungsmittel sperren: Lassen Sie verknüpfte Kreditkarten und Bankkonten vorsorglich sperren.
  • Beweise sichern: Speichern Sie alle E-Mails, Screenshots der Transaktionen und die gesamte Kommunikation mit PayPal.

Meldung an PayPal

  • Melden Sie den Vorfall über das PayPal-Konfliktlösungscenter.
  • Dokumentieren Sie Datum und Uhrzeit Ihrer Meldung.
  • Fordern Sie schriftlich die Erstattung der nicht autorisierten Beträge.

Meldung an Ihre Bank oder Sparkasse

  • Informieren Sie Ihre Bank über die unberechtigten Abbuchungen.
  • Bei SEPA-Basislastschriften: Verlangen Sie innerhalb von acht Wochen die Rückbuchung (§ 675x Abs. 2, 4 BGB).
  • Lassen Sie sich die Meldung schriftlich bestätigen.

Strafanzeige erstatten

  • Erstatten Sie Strafanzeige bei der Polizei wegen Computerbetrugs (§ 263a StGB).
  • Die Anzeige dokumentiert den Vorfall und kann für spätere Verfahren wichtig sein.
  • Widerspruch bei Ablehnung

Wenn PayPal oder Ihre Bank die Erstattung ablehnt:

  • Widersprechen Sie schriftlich und begründet.
  • Verweisen Sie auf Ihre gesetzlichen Rechte nach § 675u BGB.
  • Fordern Sie konkrete Nachweise, dass Sie die Zahlung autorisiert haben (§ 675w BGB).

Beschwerde bei der BaFin

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ist die zuständige Aufsichtsbehörde für Zahlungsdienstleister. Eine Beschwerde dort kann zusätzlichen Druck ausüben, ersetzt aber nicht die zivilrechtliche Durchsetzung Ihrer Ansprüche.

Warum lehnen Zahlungsdienstleister Erstattungen oft ab?

In der Praxis lehnen PayPal und andere Zahlungsdienstleister Erstattungsanträge zunächst häufig mit standardisierten Begründungen ab. Typische Formulierungen sind:

  • „Wir konnten keinen unbefugten Zugriff feststellen.“
  • „Die Transaktion wurde ordnungsgemäß autorisiert.“
  • „Unsere Sicherheitssysteme haben keine Auffälligkeiten erkannt.“

Diese Ablehnungen sind oft nicht das letzte Wort. Sie basieren häufig auf automatisierten Prüfungen, die den Einzelfall nicht ausreichend berücksichtigen. Eine rechtliche Prüfung und konsequente Durchsetzung Ihrer Ansprüche lohnt sich in vielen Fällen.

Fristen beachten!

Frist 1: Rückbuchung von SEPA-Basislastschriften

  • Frist: 8 Wochen
  • Fristbeginn: Zeitpunkt der Belastung des betreffenden Zahlungsbetrags
  • Rechtsgrundlage: § 675x Abs. 4 BGB
  • Thema: Rückbuchung von SEPA-Basislastschriften ohne Begründung

Frist 2: Meldung nicht autorisierter Zahlungsvorgänge

  • Frist: 13 Monate
  • Fristbeginn: Tag der Belastung mit einem nicht autorisierten oder fehlerhaft ausgeführten Zahlungsvorgang
  • Rechtsgrundlage: § 676b Abs. 2 BGB
  • Thema: Meldung nicht autorisierter Zahlungsvorgänge; danach ist der Anspruch auf Wiedergutschrift ausgeschlossen

Handeln Sie daher zügig. Die Fristen werden auf den Tag genau berechnet. Insbesondere die 13-Monats-Frist ist eine rechtsvernichtende Einwendung – nach ihrem Ablauf verlieren Sie Ihren Erstattungsanspruch unwiderruflich.

Fazit: Ihre Rechte sind stärker, als Sie denken

Das deutsche Zahlungsverkehrsrecht schützt Sie als Verbraucher umfassend vor nicht autorisierten Zahlungen. Die wichtigsten Punkte:

✅ Ohne Ihre Zustimmung keine Zahlung: Jeder Zahlungsvorgang erfordert Ihre Autorisierung (§ 675j BGB).

✅ Beweislast beim Zahlungsdienstleister: PayPal, Klarna oder Ihre Bank müssen nachweisen, dass Sie die Zahlung autorisiert haben (§ 675w BGB).

✅ Erstattungspflicht: Bei nicht autorisierten Zahlungen muss der Zahlungsdienstleister Ihnen das Geld unverzüglich zurückerstatten (§ 675u BGB).

✅ Eingeschränkte Haftung: Selbst bei Missbrauch Ihrer Zugangsdaten haften Sie nur bei grober Fahrlässigkeit (§ 675v Abs. 3 BGB).

✅ Schutz durch starke Authentifizierung: Wurde keine Zwei-Faktor-Authentifizierung verlangt, können Sie grundsätzlich nicht haftbar gemacht werden (§ 675v Abs. 4 BGB).

Lassen Sie sich von einer ersten Ablehnung nicht entmutigen. Ihre gesetzlichen Ansprüche bestehen unabhängig davon, was PayPal oder ein anderer Zahlungsdienstleister behauptet.

Wir unterstützen Sie

Sind Sie von unberechtigten PayPal-Abbuchungen oder Zahlungen über andere Dienste betroffen? Gerne prüfen wir Ihren Fall und setzen Ihre Ansprüche durch. In einem persönlichen Beratungsgespräch analysieren wir Ihre Situation und zeigen Ihnen die besten Handlungsoptionen auf.

 

© RA Stefan Loebisch | Kontakt

 

Ähnliche Artikel

  1. PayPal und Vorratsdatenspeicherung: Vorsicht Weihnachts-Phishing
  2. Verbot von Zahlart-Gebühren in Kraft getreten
  3. Neues Gesetz: Verbot von Zahlungsgebühren ab Januar 2018
  4. Media Work GmbH und maps-routenplaner.net: Zwischenbericht
  5. Google, Android, WLAN-Passwort: Bericht auf heise online