EU beschließt historische Haftungswende bei Betrug

Die EU hat eine historische Finanzreform beschlossen: Banken und Tech-Konzerne müssen künftig gemeinsam für Schäden durch Betrug zahlen. Das beendet die bisherige Praxis, bei der Opfer oft auf ihren Verlusten sitzen blieben.

Ende der „Opfer-sind-selbst-schuld“-Mentalität

Das neue Zahlungsdienste-Regulierungspaket (PSR) schreibt erstmals eine „geteilte Haftung“ vor. Es zielt vor allem auf den massenhaften Authorized Push Payment (APP)-Betrug, bei dem Kunden durch Trickbetrüger zu Überweisungen manipuliert werden. Bislang verweigerten Banken hier oft Erstattungen mit dem Argument, der Kunde habe die Zahlung selbst autorisiert.

„Diese Gesetzgebung markiert das Ende der Kultur, dem Opfer die Schuld zu geben“, kommentierte die Europäische Verbraucherorganisation (BEUC). „Verbraucher, die von hochprofessionellen Betrügern hereingelegt werden, müssen nicht länger finanziell ruiniert werden.“

CEO‑Fraud und Phishing-Angriffe führen inzwischen zu hohen finanziellen Schäden bei Unternehmen und Verbrauchern. Ein kostenloses Anti‑Phishing‑Paket bietet eine praxisnahe 4‑Schritte-Anleitung, erklärt aktuelle Hacker‑Methoden, psychologische Angriffsmuster und wie Sie gefälschte Zahlungsaufforderungen sowie Social‑Engineering-Angriffe zuverlässig erkennen. Mit konkreten Checklisten und sofort umsetzbaren Präventionsmaßnahmen – ideal für IT‑Verantwortliche, Banken und Entscheider. Gratis Anti‑Phishing‑Paket jetzt herunterladen

Die neuen Regeln sehen zwei zentrale Pflichten vor:
1. Erstattungsgarantie bei Identitätsdiebstahl: Banken müssen Kunden entschädigen, die auf „Spoofing“-Angriffe hereinfallen – etwa wenn Betrüger gefälschte Bank-Mitarbeiter-Rufnummern nutzen. Voraussetzung ist, dass der Kunde den Vorfall bei Polizei und Bank meldet.
2. Haftung für Tech-Giganten: In einer weltweiten Premiere werden große Online-Plattformen wie Meta, TikTok und Google finanziell haftbar, wenn sie betrügerische Inhalte nicht entfernen. Führt eine gefälschte Werbeanzeige auf einer Plattform zu einem Betrug, kann diese zur Kostenerstattung an die Bank des Opfers verpflichtet werden.

Tech-Konzerne werden in die Pflicht genommen

Die Einbeziehung der Technologieplattformen ist ein großer Erfolg für die europäische Bankenbranche. Diese hatte lange argumentiert, nicht allein für Betrug aufhalten zu müssen, der auf unregulierten digitalen Plattformen entsteht.

„Der Finanzsektor ist die letzte Verteidigungslinie, aber er kann nicht die einzige sein“, so der irische Bankenverband (BPFI). Die neuen Regeln würden die Rolle der digitalen „Torwächter“ endlich anerkennen.

Plattformen müssen künftig die Legitimität von Werbetreibenden im Finanzbereich überprüfen. Lässt eine Plattform eine betrügerische Anzeige durchrutschen, die zu einem Schaden führt, muss sie dafür geradestehen. Dies soll Anreize schaffen, die Flut von betrügerischen „Investment“-Anzeigen in sozialen Medien schneller zu löschen.

Pflicht zur „Verifikation des Zahlungsempfängers“

Neben den Entschädigungsregeln führt die PSR eine wichtige präventive Maßnahme ein: Alle Zahlungsdienstleister in der Eurozone müssen einen Verifikation des Zahlungsempfängers (Verification of Payee, VoP)-Service für alle Überweisungen anbieten.

Dieses System prüft automatisch, ob die eingegebene IBAN zum Namen des Kontoinhabers passt. Bei einer Abweichung muss der Überweisende gewarnt werden, bevor die Transaktion abgeschlossen wird. Versäumt es eine Bank, diesen Service anzubieten, und ein Kunde wird betrogen, trägt die Bank die volle Haftung für den Verlust.

Lange Übergangsfrist bis zur Umsetzung

Die Reaktion der Tech-Branche fällt verhalten aus. Der Branchenverband CCIA hatte zuvor gewarnt, unklare Haftungsfragen könnten Innovationen behindern. Der finale Gesetzestext belässt die strengen Haftungsklauseln für Plattformen jedoch bei.

Für Verbraucher ist die Umsetzung der entscheidende Punkt. Der politische Beschluss wurde zwar bereits Ende November gefasst und in der vergangenen Woche final verabschiedet, die technische Umsetzung wird Zeit brauchen. Rechtsexperten rechnen mit einer Übergangsfrist von 18 bis 24 Monaten. Die verbindlichen Erstattungsgarantien könnten somit erst 2027 in Kraft treten. Viele große Banken werden ihre Richtlinien jedoch voraussichtlich schon früher freiwillig anpassen, um Reputationsschäden zu vermeiden.

Europa geht über britisches Vorbild hinaus

Die EU folgt mit ihrem Schritt dem aggressiven regulatorischen Kurs Großbritanniens. Die britische Aufsichtsbehörde (PSR) führte bereits im Oktober 2024 verbindliche Erstattungsregeln für APP-Betrug ein, gedeckelt auf 85.000 Pfund. Das EU-Modell geht jedoch weiter, indem es Tech-Plattformen explizit ins regulatorische Netz zieht. Viele Analysten sehen in diesem „Shared Responsibility“-Ansatz bereits den neuen globalen Goldstandard für Betrugsbekämpfung.

„Europa sendet eine klare Botschaft“, kommentierte ein Cybersicherheitsexperte. „Wer an den Werbeeinnahmen von Betrügern profitiert, wird auch für die Schäden aufkommen müssen.“

Nun liegt der Fokus auf der Europäischen Bankenaufsichtsbehörde (EBA), die die technischen Standards für den Betrugsdaten-Austausch ausarbeiten muss. Für europäische Verbraucher bleibt vorerst ein vorsichtiger Optimismus: Hilfe ist unterwegs, und die Tage, an denen sie die volle Last digitaler Verbrechen tragen mussten, sind gezählt.

PS: Sie möchten nicht warten, bis der Schaden passiert? Der kostenfreie Report zum Anti‑Phishing‑Paket zeigt branchenspezifische Verteidigungsstrategien gegen Phishing und CEO‑Fraud, erläutert aktuelle Täuschungsmethoden und gibt praktische Handlungsschritte für Bankmitarbeiter, IT‑Teams und Privatkunden. Sofort downloaden und Schutzmaßnahmen umsetzen. Jetzt Anti‑Phishing‑Guide sichern