Hinsichtlich der Möglichkeit einer Rückerstattung eines von Ihrer Kreditkarte abgebuchten Betrags stellt sich zunächst die Frage, ob Sie die gegenständliche Zahlung freigegeben haben oder nicht, d.h. ob Sie einen Auftrag zur Zahlung an Ihr Kreditkartenunternehmen erteilt haben.
Wenn Sie eine die Zahlung bzw. Abbuchung eines bestimmten Betrags von Ihrer Kreditkarte freigegeben ("autorisiert") haben, kommt Ihnen grundsätzlich kein Anspruch auf Rückerstattung des abgebuchten Betrags gegenüber Ihrem Kreditkartenanbieter zu. Selbst wenn Sie in betrügerischer Weise zur Freigabe einer Zahlung (via 2-Faktor-Authentifizierung) verleitet wurden, haben Sie keinen Anspruch auf Rückerstattung des strittigen Betrags. Denn der Kreditkartenanbieter hat Ihren Auftrag auf Ausführung der Zahlung ausgeführt und sich dabei auch Ihrer Identität mittels mittels starker Kundenauthentifizierung versichert. In bestimmten Fällen (z. B. keine Lieferung der bezahlten Ware, Lieferung von Markenfälschungen usw.) werden aber auch bei der Freigabe der Zahlung Rückerstattungen ("Chargebacks") vorgenommen ("Kann ich eine Kreditkartenzahlung rückbuchen lassen?").
Beispiel: Erich wird Opfer eines Phishing-Angriffs, infolge dessen ein Phishing-Täter Zugriff auf Erichs Online-Banking bekommt. In einem Telefonat mit Erich gibt sich der Phishing-Täter als Bankmitarbeiter aus und erklärt, dass widerrechtlich Abbuchungen von Erichs Konto vorgenommen worden seien; Erich müsse nun seinen Anweisungen folgen, um diese widerrechtlichen Abbuchungen rückgängig zu machen. Dabei bringt er Erich dazu, im Hintergrund vom Phishing-Täter angelegte Überweisungen in Höhe von € 27.650,- freizugeben. Erich hat keinen Anspruch auf Rückerstattung, weil er die Überweisungen selbst nach Zwei-Faktor-Authentifizierung autorisiert hat (siehe 7 Ob 95/24g).
Wenn Sie eine Zahlung allerdings gar nicht freigegeben (autorisiert) haben, muss Ihnen Ihr Kreditkartenanbieter den strittigen Betrag nach § 67 Abs 1 Zahlungsdienstegesetz 2018 (ZaDiG 2018) unverzüglich zurückerstatten. Eine Ausnahme von dieser Pflicht zur unverzüglichen Rückerstattung (Berichtigung des Kontostands) besteht nach § 67 Abs 3 ZaDiG 2018 nur dann, wenn Sie in betrügerischer Weise daran mitgewirkt haben, dass Ihr Kreditkartenanbieter die von Ihnen nicht autorisierte Zahlung ausführt (eher unwahrscheinlich).
Ungeachtet der Pflicht Ihres Kreditkartenanbietes zur unverzüglichen Rückerstattung gemäß § 67 Abs 1 ZaDiG 2018 (siehe oben) müssen Sie am Ende die Belastung Ihres Kreditkartenkontos akzeptieren, wenn Sie eine nicht autorisierte Zahlung durch eine grob fahrlässige Verletzung Ihrer Sorgfaltspflichten gemäß § 63 Abs 3 ZaDiG 2018 ermöglicht haben. In diesem Fall darf der Kreditkartenanbieter – nach der unverzüglichen Rückerstattung bzw. Berichtigung des Kontos – Ihr Kreditkartenkonto mit dem strittigen Betrag belasten, wenn er nach einer Prüfung zum Ergebnis gekommen war, dass Sie durch eine grob fahrlässige Verletzung Ihrer Sorgfaltspflichten zur missbräuchlichen Abbuchung beigetragen haben. Bei einer leicht fahrlässigen Sorgfaltspflichtverletzung darf Ihr Kreditkartenanbieter Ihr Konto hingegen mit maximal € 50,- belasten (§ 68 Abs 1 ZaDiG 2018).
Wann eine leichte und wann grobe Fahrlässigkeit vorliegt, kann jeweils nur im Einzelfall beurteilt werden. Nach der Rechtsprechung handelt grob fahrlässig, wer im täglichen Leben die erforderliche Sorgfalt gröblich aus Unbekümmertheit oder Leichtfertigkeit außer Acht lässt bzw. wer nicht beachtet, was unter den gegebenen Umständen jedem einleuchten musste. Grobe Fahrlässigkeit ist somit bei schlechthin unentschuldbaren Pflichtverletzungen gegeben, die das gewöhnliche Maß an alltäglich vorkommenden, nie ganz vermeidbaren Fahrlässigkeitshandlungen des täglichen Lebens ganz erheblich übersteigen.
Beispiel: Anton wird von einer akzentfrei Deutsch sprechenden Frau angerufen, die sich als Angestellte seiner Bank ausgibt und Anton dazu auffordert, ihr aufgrund einer notwendigen Datenaktualisierung den ihm soeben per SMS übermittelten TAN-Code bekannt zu geben. Durch Weitergabe dieses TAN-Codes kann eine Überweisung über € 12.880,- von Antons Konto ausgelöst werden. Anton verletzt seine Sorgfaltspflichten in grob fahrlässiger Weise, weil ein Durchschnitts-Onlinebanker einem unbekannten Dritten einen TAN-Code nicht mitteilen würde (siehe 9 Ob 48/18a).
In einem bestimmten Fall darf Ihr Kreditkartenunternehmen Ihr Konto aber jedenfalls nicht mit der betreffenden Zahlung belasten. Das Kreditkartenunternehmen muss Ihnen – selbst wenn Sie grob fahrlässig gehandelt haben – jedenfalls den Betrag zurückerstatten, wenn die Zahlung nicht mittels einer starken Kundenauthentifizierung (2-Faktor-Authentifizierung) autorisiert wurde (§ 68 Abs 5 ZaDiG 2018). Wenn eine unerlaubte Zahlung also etwa nur durch eine Eingabe der Kreditkartendaten getätigt oder (in einem Laden) durch eine gefälschte Unterschrift autorisiert wurde, muss Ihnen das Kreditkartenunternehmen diese Zahlung zurückerstatten., selbst wenn Sie sehr unvorsichtig gewesen sein sollten.
Beispiel: Martin gibt seine Kreditkartendaten auf einer offensichtlich unsicheren Webseite ein. Kriminelle fangen auf dieser Website die Daten ab und tätigen damit online Bestellungen. Dafür müssen sie nur die Kreditkartendaten eingeben, da das Kreditkartenunternehmen keine „starke Kundenauthentifizierung“ fordert. Martin bekommt die abgebuchten Beträge zurückgebucht, selbst wenn er die Kreditkartendaten leichtfertig auf der unsicheren Website eingegeben hat.
Auch wiederkehrende Kreditkartenzahlungen müssen durch eine starke Kundenauthentifizierung autorisiert werden. Dabei muss das Kreditkartenunternehmen nur für die erste Abbuchung eine starke Kundenauthentifizierung verlangen. Sind die allgemeinen Anforderungen an eine starke Kundenauthentifizierung erfüllt, darf das Kreditkartenunternehmen bei Auslösen der nachfolgenden Zahlungen der Zahlungsserie von der Vorgabe einer starken Kundenauthentifizierung absehen (Art 14 der Delegierten Verordnung (EU) 2018/389). Da die auf die erste Zahlung folgenden Zahlungen aber nicht mittels starker Kundenauthentifizierung autorisiert werden, müssen diese Abbuchungen – wenn Sie eine Autorisierung dieser Zahlungen bestreiten – jedenfalls zurückerstattet werden. Denn Ihr Kreditkartenanbieter kann Ihnen in diesem Fall keine grobe Fahrlässigkeit entgegenhalten (§ 68 Abs 5 ZaDiG 2018).
Wenn Sie bestreiten, eine ausgeführte Zahlung autorisiert zu haben, muss Ihr Kreditkartenunternehmen nachweisen, dass 1. der Zahlungsvorgang authentifiziert war, 2. ordnungsgemäß aufgezeichnet und verbucht wurde und 3. nicht durch einen technischen Fehler oder eine andere Störung des Systems des Kreditkartenunternehmens beeinträchtigt wurde (§ 66 Abs 1 ZaDiG 2018). Allein der Nachweis der Nutzung der Kreditkarte reicht als Beweis Ihre Autorisierung des Zahlungsvorgangs nicht aus; Ihr Kreditkartenunternehmen müsste in diesem Fall weitere unterstützende Beweismittel vorlegen, um Ihre Autorisierung des Zahlungsvorgangs oder ein grobe fahrlässige Verletzung Ihrer Sorgfaltspflichten nachzuweisen (§ 66 Abs 3 ZaDiG 2018). Ansonsten müsste das Kreditkartenunternehmen den Betrag zurückerstatten und gegebenenfalls in einem Gerichtsverfahren den vollen Beweis für seinen Schadenersatzanspruch gegen Sie erbringen.
Weitere Fragen und Antworten?
Sie suchen weitere Fragen und Antworten (FAQs) zum Thema "Bezahlen im Internet"? Sie haben eine andere Frage?
Letzte Änderung: 12.11.2025
Probleme beim Warenkauf
Widerruf und Rückgabe
Abo-Fallen
Bezahlen im Internet
Reisen und Tickets
Mein Bild im Netz
Datenschutzrecht
Urheberrecht und Abmahnungen
Online-Bewertungen
Hass im Netz & Social Media