Kontakt

Apple Pay / Google Pay Betrug: Warum Banken trotz PushTAN-Freigabe oft haften müssen

Haben Betrüger Ihr Konto leergeräumt, nachdem Sie eine vermeintlich harmlose PushTAN-Anfrage bestätigt haben? Ein aktuelles Urteil des Oberlandesgerichts (OLG) Karlsruhe macht vielen Bankkunden Hoffnung. Das Gericht entschied, dass eine Bank über 42.000 Euro zurückzahlen muss – obwohl der Kunde die Registrierung der Karte für die Betrüger selbst freigegeben hatte.

Haben Betrüger Ihr Konto leergeräumt, nachdem Sie eine vermeintlich harmlose PushTAN-Anfrage bestätigt haben? Ein aktuelles Urteil des Oberlandesgerichts (OLG) Karlsruhe macht vielen Bankkunden Hoffnung. Das Gericht entschied, dass eine Bank über 42.000 Euro zurückzahlen muss – obwohl der Kunde die Registrierung der Karte für die Betrüger selbst freigegeben hatte.

Der Sachverhalt: 122 Abbuchungen in wenigen Tagen

Ein Bankkunde erhielt während eines geschäftlichen Meetings eine Benachrichtigung in seiner PushTAN-App. Der angezeigte Auftrag lautete lediglich: „Registrierung Karte“. In der Annahme, es handele sich um eine Routine-Aktualisierung seines Online-Bankings, bestätigte er den Auftrag. Was er jedoch nicht wusste, war die Tatsache, dass die Betrüger seine Daten bereits im Vorfeld ausgespäht hatten und seine Freigabe nutzten, um seine Kreditkarte auf einem fremden Smartphone für Apple Pay zu aktivieren. Innerhalb weniger Tage führten die Täter 122 Zahlungen durch und verursachten einen Schaden von insgesamt 42.182,68 Euro.

Das Urteil: Bank muss den Schaden voll erstatten

Die Bank weigerte sich, den Schaden zu ersetzen. Sie argumentierte, der Kunde habe grob fahrlässig gehandelt, da er einen Auftrag freigegeben habe, den er nicht selbst ausgelöst hatte. Das OLG Karlsruhe (Urteil vom 23.11.2023, Az. 2 O 312/22) folgte dieser Argumentation jedoch nicht und verurteilte die Bank zur vollständigen Erstattung. Die wichtigsten Entscheidungsgründe:

1. Fehlende „starke Kundenauthentifizierung“ (SCA): Das Gericht stellte fest, dass die Bank bei den späteren Zahlungen keine ausreichende Identitätsprüfung verlangt hatte. Da die Karte auf dem Handy der Betrüger installiert war, fehlte das Element des „Besitzes“ aufseiten des echten Kunden.
2. Unzureichende Transparenz der PushTAN: Die Meldung „Registrierung Karte“ ist zu abstrakt. Für einen Kunden ist daraus nicht unmittelbar ersichtlich, dass er damit die Installation seiner Karte auf einem fremden Gerät autorisiert. Die Bank hätte präziser formulieren müssen, um vor einem Missbrauch zu warnen.
3. Keine grobe Fahrlässigkeit: Dass der Kunde die Freigabe während eines Meetings (einer Ablenkungssituation) erteilte, wertete das Gericht allenfalls als leichte Fahrlässigkeit. Das reicht nicht aus, um die Haftung komplett auf den Kunden abzuwälzen (§ 675v BGB).

Was bedeutet das für Betroffene von Phishing und Apple Pay / Google Pay Betrug?

Dieses Urteil ist ein Meilenstein für den Verbraucherschutz im Online-Banking. Es zeigt, dass Banken sich nicht einfach auf das Argument der „groben Fahrlässigkeit“ zurückziehen können, wenn ihre eigenen Sicherheitssysteme (SCA) Lücken aufweisen. Wenn die bankeigenen Sicherheitsverfahren und Hinweistexte unpräzise sind, trägt die Bank das Risiko für unautorisierte Zahlungen gemäß § 675u BGB.

  • Transparenzpflicht: Die Bank muss dem Kunden klar anzeigen, was genau er autorisiert (z.B. „Karte auf neuem Gerät X registrieren“ statt nur „Karte registrieren“).
  • Sicherheitsmängel: Wenn das Verfahren der Bank es zulässt, dass Kriminelle mit einer einzigen Freigabe volle Kontrolle über die digitale Karte erhalten, ohne dass weitere Sicherheitsfaktoren greifen, haftet die Bank.

Fazit: Kämpfen lohnt sich

Wenn Ihre Bank Ihnen die Erstattung nach einem Kartenbetrug verweigert, sollten Sie dies nicht ungeprüft hinnehmen. Oft sind die Sicherheitsverfahren der Institute nicht so wasserdicht, wie diese behaupten.

Sollten auch Sie von einem Kreditkartenbetrug betroffen sein, können Sie sich direkt und unkompliziert über unsere digitale Mandatsannahme – abrufbar unter https://dima.steinbock-partner.de/allgemeine-mandatsannahme – vertrauensvoll an uns wenden.

Alternativ können Sie uns jedoch auch direkt kontaktieren, um einen persönlichen oder auch einen Telefon-Termin zu vereinbaren oder um uns sonstige Fragen zu stellen. Als Full Service-Kanzlei deckt die Beratung von Steinbock & Partner nicht nur die gesamte Bandbreite des IT-Rechts sowie Datenschutzrechts ab, sondern auch die Vertretung von Mandanten in Gerichtsverfahren.

Wir freuen uns auf Ihre Kontaktaufnahme – telefonisch unter der 0931-22222 oder per E-Mail an info@steinbock-partner.de.

Domenic Ipta
Domenic Ipta Rechtsanwalt
Steinbock & Partner - Logo
Eine starke Unterstützung, wann immer Sie sie brauchen. Komplette Rechts- und Steuerberatung für Ihre Bedürfnisse. Zertifiziert nach DIN EN ISO 9001:2015
Standorte
© 2026 Steinbock & Partner. Alle Rechte vorbehalten.
Cookie-Einwilligung
Kontaktieren Sie uns
Wir freuen uns Sie persönlich kennenzulernen.
info@steinbock-partner.de