Anforderungen an die starke Kundenauthentifizierung bei Nutzung einer digitalen Debitkarte mittels Apple Pay
OLG Karlsruhe v. 23.12.2025 - 17 U 113/23
Der Sachverhalt:
Der Kläger begehrte von der beklagten Bank die Erstattung ohne Autorisierung abgebuchter Beträge im Zeitraum vom 11.-20.4.2022 i.H.v. rund 42.182 €. Die Beklagte forderte vom Kläger Schadensersatzansprüche in gleicher Höhe. Das LG hat der Klage mit Ausnahme der Zinsforderung stattgegeben. Dem Kläger stehe gem. §§ 675 f, 675u BGB ein Anspruch auf Gutschrift zu. Maßgeblich sei, ob der einzelne Zahlungsvorgang autorisiert worden sei, auf die Einrichtung des Bezahlverfahrens vor der ersten Transaktion komme es in diesem Zusammenhang nicht an.
Der Beklagten stehe kein Gegenanspruch aus § 675v Abs. 3 Nr. 2 BGB zu. Der Kläger habe nicht grob fahrlässig gegen seine Pflichten aus § 675l Abs 1 Satz 1 BGB oder den AGB der Beklagten verstoßen. Er habe allenfalls leicht fahrlässig das Bezahlverfahren Apple-Pay über die PushTAN-App auf seinem iPhone für das fremde iPhone des unbekannten Täters während eines Meetings mit seinem Chef und damit in einer besonderen Situation mit Ablenkungspotential versehentlich freigegeben, ohne dies zu bemerken und zu realisieren. Ein dahingehendes Erklärungsbewusstsein habe er nicht gehabt, möge er auch den Freigabe-Button versehentlich berührt oder gedrückt haben.
Hiergegen wandte sich die Beklagte mit ihrer Berufung. Der Kläger habe seine Pflicht, im PushTAN-Verfahren die zusammen mit der TAN übermittelten Daten des Auftrags daraufhin zu überprüfen, ob sie mit dem ausgelösten Auftrag übereinstimmten, grob fahrlässig verletzt. Er hätte angesichts des Erhalts der PushTAN-Benachrichtigung "aus dem Nichts" in besonderem Maße stutzig werden müssen. Ihm hätte sich in eklatanter Weise aufdrängen müssen, dass er überhaupt keinen Auftrag erteilt habe.
Das OLG hat die Berufung der Beklagten zurückgewiesen. Allerdings wurde wegen grundsätzlicher Bedeutung die Revision zum BGH zugelassen.
Die Gründe:
Der Kläger hatte die einzelnen Kartenzahlungen durch Heranführen des mobilen Endgeräts mit der digitalen Debitkarte an das Kontaktlos-Terminal oder im Online-Handel durch Bestätigung der Bezahlanwendung nicht veranlasst. Entgegen der Auffassung der Beklagten hatte er durch die - unterstellte - Freigabe des Auftrags "Karte registrieren" in seiner PushTAN-App nicht die einzelnen Transaktionen autorisiert (vgl. OLG Brandenburg, Urt. v. 15.1.2025 - 4 U 32/24). Eine derartige vorgelagerte Autorisierung sahen die vereinbarten Bedingungen nicht vor.
Die Beklagte ist kontoführender Zahlungsdienstleister. Unerheblich war daher, ob Apple Pay bei den hier in Rede stehenden Zahlungsvorgängen als Zahlungsauslösedienstleister i.S.d. § 1 Abs. 33 ZAG fungiert hatte, da die Beklagte gem. § 675u Satz 5 BGB auch in diesem Fall die Pflichten aus § 675u Satz 2 BGB trafen. Beklagte ist daher nach § 675u Satz 2 Hs. 2 BGB dazu verpflichtet, das Zahlungskonto des Klägers wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch die nicht autorisierten Zahlungsvorgänge befunden hätte.
Die Beklagte konnte gegenüber dem Anspruch des Klägers aus § 675u Satz 2 BGB weder wirksam mit einem Schadensersatzanspruch nach § 675v Abs. 3 Nr. 2 BGB aufrechnen noch ihm das Bestehen eines solchen Anspruchs nach § 242 BGB entgegenhalten. Der Anspruch des Klägers auf Gutschrift aus § 675u Satz 2 BGB war nicht wegen der von der Beklagten erklärten Aufrechnung mit einem Schadensersatzanspruch nach § 675v Abs. 3 Nr. 2 BGB erloschen, § 389 BGB. Denn es fehlte bereits an einer Gleichartigkeit der gegenüber stehenden Leistungen, § 387 BGB.
Auch wenn § 675u Satz 1 und 2 BGB Ansprüche des Zahlungsdienstleisters ausschließt, die als Folge einer fehlenden Autorisierung in der Sache darauf gerichtet sind, dem Zahlungsdienstleister einen Anspruch auf Erstattung seiner Aufwendungen gegen den Zahler zu gewähren, können gleichwohl bei fehlender Autorisierung Schadensersatzansprüche des Zahlungsdienstleisters gegen den Zahler bestehen, selbst wenn sie wirtschaftlich vollständig an die Stelle des nach § 675u Satz 1 BGB entfallenden Aufwendungsersatzanspruchs treten. Besteht ein Schadensersatzanspruch des Zahlungsdienstleisters, kann letzterer in Höhe dieses Anspruchs die Erfüllung des Anspruchs des Zahlers aus § 675u Satz 2 BGB gemäß den Grundsätzen von Treu und Glauben verweigern (BGH, Urt. v. 22.7.2025 - XI ZR 107/24).
Der Beklagten stand gegen den Kläger aber kein Anspruch auf Schadensersatz aus § 675v Abs. 3 Nr. 2 BGB zu. Der Kläger war gem. § 675v Abs. 4 Satz 1 Nr. 1 BGB nicht zum Schadensersatz verpflichtet, weil die Beklagte für die Auslösung der streitgegenständlichen Zahlungsvorgänge eine starke Kundenauthentifizierung i.S.d. § 1 Abs. 24 ZAG nicht verlangt hatte. Hinsichtlich des Ausschlusses des Schadensersatzanspruchs aus § 675v Abs. 3 BGB gem. § 675v Abs. 4 Satz 1 Nr. 1 BGB stellte sich über den vorliegenden Einzelfall hinaus aber die klärungsbedürftige Frage, welche Anforderungen an das "Verlangen" einer starken Kundenauthentifizierung durch den Zahlungsdienstleister zu stellen sind, weshalb die Revision zugelassen wurde.
Mehr zum Thema:
Aufsatz
Ole Böger
Aktuelle Entwicklungen zu Betrug und Missbrauch im Online-Banking
WM 2025, 1872
Beratermodul WM / WuB Wirtschafts- und Bankrecht
WM und WuB in einem Modul: Die WM Zeitschrift für Wirtschafts- und Bankrecht informiert wöchentlich aktuell und umfassend im Rechtsprechungsteil über Urteile und Beschlüsse der Gerichte. Start-Abo: 3 Monate nutzen, nur 2 Monate zahlen! Komfortabel, vergünstigt, flexibel.
Start-Abo 3 Monate (1 Monat gratis)
Landesrechtsprechung Baden-Württemberg
Der Kläger begehrte von der beklagten Bank die Erstattung ohne Autorisierung abgebuchter Beträge im Zeitraum vom 11.-20.4.2022 i.H.v. rund 42.182 €. Die Beklagte forderte vom Kläger Schadensersatzansprüche in gleicher Höhe. Das LG hat der Klage mit Ausnahme der Zinsforderung stattgegeben. Dem Kläger stehe gem. §§ 675 f, 675u BGB ein Anspruch auf Gutschrift zu. Maßgeblich sei, ob der einzelne Zahlungsvorgang autorisiert worden sei, auf die Einrichtung des Bezahlverfahrens vor der ersten Transaktion komme es in diesem Zusammenhang nicht an.
Der Beklagten stehe kein Gegenanspruch aus § 675v Abs. 3 Nr. 2 BGB zu. Der Kläger habe nicht grob fahrlässig gegen seine Pflichten aus § 675l Abs 1 Satz 1 BGB oder den AGB der Beklagten verstoßen. Er habe allenfalls leicht fahrlässig das Bezahlverfahren Apple-Pay über die PushTAN-App auf seinem iPhone für das fremde iPhone des unbekannten Täters während eines Meetings mit seinem Chef und damit in einer besonderen Situation mit Ablenkungspotential versehentlich freigegeben, ohne dies zu bemerken und zu realisieren. Ein dahingehendes Erklärungsbewusstsein habe er nicht gehabt, möge er auch den Freigabe-Button versehentlich berührt oder gedrückt haben.
Hiergegen wandte sich die Beklagte mit ihrer Berufung. Der Kläger habe seine Pflicht, im PushTAN-Verfahren die zusammen mit der TAN übermittelten Daten des Auftrags daraufhin zu überprüfen, ob sie mit dem ausgelösten Auftrag übereinstimmten, grob fahrlässig verletzt. Er hätte angesichts des Erhalts der PushTAN-Benachrichtigung "aus dem Nichts" in besonderem Maße stutzig werden müssen. Ihm hätte sich in eklatanter Weise aufdrängen müssen, dass er überhaupt keinen Auftrag erteilt habe.
Das OLG hat die Berufung der Beklagten zurückgewiesen. Allerdings wurde wegen grundsätzlicher Bedeutung die Revision zum BGH zugelassen.
Die Gründe:
Der Kläger hatte die einzelnen Kartenzahlungen durch Heranführen des mobilen Endgeräts mit der digitalen Debitkarte an das Kontaktlos-Terminal oder im Online-Handel durch Bestätigung der Bezahlanwendung nicht veranlasst. Entgegen der Auffassung der Beklagten hatte er durch die - unterstellte - Freigabe des Auftrags "Karte registrieren" in seiner PushTAN-App nicht die einzelnen Transaktionen autorisiert (vgl. OLG Brandenburg, Urt. v. 15.1.2025 - 4 U 32/24). Eine derartige vorgelagerte Autorisierung sahen die vereinbarten Bedingungen nicht vor.
Die Beklagte ist kontoführender Zahlungsdienstleister. Unerheblich war daher, ob Apple Pay bei den hier in Rede stehenden Zahlungsvorgängen als Zahlungsauslösedienstleister i.S.d. § 1 Abs. 33 ZAG fungiert hatte, da die Beklagte gem. § 675u Satz 5 BGB auch in diesem Fall die Pflichten aus § 675u Satz 2 BGB trafen. Beklagte ist daher nach § 675u Satz 2 Hs. 2 BGB dazu verpflichtet, das Zahlungskonto des Klägers wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch die nicht autorisierten Zahlungsvorgänge befunden hätte.
Die Beklagte konnte gegenüber dem Anspruch des Klägers aus § 675u Satz 2 BGB weder wirksam mit einem Schadensersatzanspruch nach § 675v Abs. 3 Nr. 2 BGB aufrechnen noch ihm das Bestehen eines solchen Anspruchs nach § 242 BGB entgegenhalten. Der Anspruch des Klägers auf Gutschrift aus § 675u Satz 2 BGB war nicht wegen der von der Beklagten erklärten Aufrechnung mit einem Schadensersatzanspruch nach § 675v Abs. 3 Nr. 2 BGB erloschen, § 389 BGB. Denn es fehlte bereits an einer Gleichartigkeit der gegenüber stehenden Leistungen, § 387 BGB.
Auch wenn § 675u Satz 1 und 2 BGB Ansprüche des Zahlungsdienstleisters ausschließt, die als Folge einer fehlenden Autorisierung in der Sache darauf gerichtet sind, dem Zahlungsdienstleister einen Anspruch auf Erstattung seiner Aufwendungen gegen den Zahler zu gewähren, können gleichwohl bei fehlender Autorisierung Schadensersatzansprüche des Zahlungsdienstleisters gegen den Zahler bestehen, selbst wenn sie wirtschaftlich vollständig an die Stelle des nach § 675u Satz 1 BGB entfallenden Aufwendungsersatzanspruchs treten. Besteht ein Schadensersatzanspruch des Zahlungsdienstleisters, kann letzterer in Höhe dieses Anspruchs die Erfüllung des Anspruchs des Zahlers aus § 675u Satz 2 BGB gemäß den Grundsätzen von Treu und Glauben verweigern (BGH, Urt. v. 22.7.2025 - XI ZR 107/24).
Der Beklagten stand gegen den Kläger aber kein Anspruch auf Schadensersatz aus § 675v Abs. 3 Nr. 2 BGB zu. Der Kläger war gem. § 675v Abs. 4 Satz 1 Nr. 1 BGB nicht zum Schadensersatz verpflichtet, weil die Beklagte für die Auslösung der streitgegenständlichen Zahlungsvorgänge eine starke Kundenauthentifizierung i.S.d. § 1 Abs. 24 ZAG nicht verlangt hatte. Hinsichtlich des Ausschlusses des Schadensersatzanspruchs aus § 675v Abs. 3 BGB gem. § 675v Abs. 4 Satz 1 Nr. 1 BGB stellte sich über den vorliegenden Einzelfall hinaus aber die klärungsbedürftige Frage, welche Anforderungen an das "Verlangen" einer starken Kundenauthentifizierung durch den Zahlungsdienstleister zu stellen sind, weshalb die Revision zugelassen wurde.
Aufsatz
Ole Böger
Aktuelle Entwicklungen zu Betrug und Missbrauch im Online-Banking
WM 2025, 1872
Beratermodul WM / WuB Wirtschafts- und Bankrecht
WM und WuB in einem Modul: Die WM Zeitschrift für Wirtschafts- und Bankrecht informiert wöchentlich aktuell und umfassend im Rechtsprechungsteil über Urteile und Beschlüsse der Gerichte. Start-Abo: 3 Monate nutzen, nur 2 Monate zahlen! Komfortabel, vergünstigt, flexibel.
Start-Abo 3 Monate (1 Monat gratis)