Zur Haftung der Bank bei Apple-Pay-Betrugsfällen

Ein Zahlungsdienstleister haftet für nicht-autorisierte Zahlungsvorgänge, wenn er bei der Einrichtung einer digitalen Karte (z. B. für Apple Pay) nicht sicherstellt, dass diese ausschließlich auf einem Gerät des Kunden hinterlegt wird. Die Freigabe eines Auftrags mit dem bloßen Titel „Karte registrieren“ in der PushTAN-App genügt nicht den Anforderungen an eine starke Kundenauthentifizierung, da für den Kunden nicht erkennbar ist, dass er damit die Verknüpfung mit einem fremden Endgerät autorisiert.

Der Entscheidung des OLG Karlsruhe liegt folgender Sachverhalt zugrunde:

Der Kläger verlangt von der beklagten Sparkasse die Erstattung von über 42.000 Euro, die durch missbräuchliche Apple-Pay-Verfügungen von seinem Konto abgebucht werden. Unbekannte Täter verschaffen sich zuvor Zugang zu den Online-Banking-Zugangsdaten des Klägers. Um das Apple-Pay-Wallet auf ihrem eigenen Gerät nutzen zu können, initiieren die Täter die Digitalisierung der Debitkarte des Klägers. Der Kläger erhält daraufhin in seiner PushTAN-App eine Aufforderung zur Freigabe, wobei der dort angezeigte Auftrag lediglich abstrakt „Karte registrieren“ lautet. Der Kläger bestätigt diesen Auftrag, während er sich in einem geschäftlichen Meeting befindet, in der Annahme, es handele sich um eine routinemäßige Bestätigung für sein eigenes Online-Banking. Die Bank verweigert die Erstattung unter Berufung auf grobe Fahrlässigkeit des Kunden. Das Landgericht Karlsruhe gibt der Klage in erster Instanz weitgehend statt, wogegen die Beklagte Berufung einlegt.

Das Gericht entscheidet, dass die Berufung der Bank unbegründet ist und sie dem Kläger den abgebuchten Betrag erstatten muss. Die Zahlungen gelten als nicht wirksam autorisiert, da das vereinbarte Authentifizierungsverfahren für die Digitalisierung der Karte unzureichend ist. Nach den gesetzlichen Vorgaben für eine „starke Kundenauthentifizierung“ (SCA) muss eine dynamische Verknüpfung sicherstellen, dass der Zahler genau weiß, was er autorisiert. Die Anzeige „Karte registrieren“ ist hierfür zu unbestimmt und lässt für den Kläger nicht erkennen, dass die Karte auf einem fremden Mobiltelefon gespeichert werden soll. Da die Bank technisch nicht sicherstellt, dass die Karte nur auf dem Gerät des Klägers (Besitzelement) hinterlegt wird, trägt sie das Missbrauchsrisiko. Ein grob fahrlässiges Verhalten des Klägers verneint der Senat beziehungsweise lässt es dahinstehen, da die Sicherheitsarchitektur der Bank bereits grundlegende Mängel aufweist.

Hinweis: An diesem Verfahren war der Verbraucherzentrale Bundesverband (vzbv) nicht beteiligt. Gerne informiert Sie der vzbv alle vier bis sechs Wochen mit einem kostenlosen Newsletter über neue Urteile zum Verbraucherrecht.