Hier ist eine leicht verständliche Zusammenfassung des Urteils des Oberlandesgerichts (OLG) Karlsruhe vom 23. Dezember 2025.
Urteil zum Online-Banking: Bank muss bei Betrug durch Apple Pay haften
In diesem Rechtsstreit ging es um eine Summe von über 42.000 Euro. Ein Bankkunde wurde Opfer von Betrügern, die seine digitale Debitkarte auf einem fremden Handy für Apple Pay registrierten. Das Gericht musste entscheiden, ob der Kunde den Schaden selbst tragen muss oder ob die Bank ihm das Geld zurückgeben muss.
Das OLG Karlsruhe entschied am 23.12.2025 (Az. 17 U 113/23), dass die Bank den vollen Betrag erstatten muss. Der Grund: Das Sicherheitsverfahren der Bank war nicht ausreichend geschützt.
Was genau war passiert?
Der Betrugsfall
Ein Unbekannter hatte es geschafft, die Bankdaten des Klägers zu erhalten. Während der Kläger in einer Besprechung mit seinem Chef abgelenkt war, erhielt er auf seinem Handy eine Nachricht seiner PushTAN-App. In der App stand lediglich der Text „Registrierung Karte“.
Der Kläger drückte (eventuell versehentlich oder im Glauben, es sei eine normale Anmeldung) auf „Freigeben“. Dadurch konnten die Betrüger die digitale Karte des Klägers auf ihrem eigenen iPhone aktivieren. In den folgenden Tagen kauften die Täter damit 122-mal ein und verursachten einen Schaden von 42.182,68 Euro.
Die Position der Bank
Die Bank wollte das Geld nicht zurückzahlen. Sie argumentierte:
Der Kunde habe grob fahrlässig gehandelt.
Er hätte die Nachricht in der App genau lesen müssen.
Er hätte bemerken müssen, dass er gerade gar keine Karte registrieren wollte.
Er habe seinen Kontostand nicht oft genug kontrolliert.
Warum die Bank trotzdem zahlen muss
Das Gericht sah das anders und gab dem Kunden recht. Hier sind die wichtigsten Gründe für diese Entscheidung:
Keine echte Erlaubnis für die Zahlungen
Das Gericht stellte fest, dass der Kläger die einzelnen 122 Einkäufe nie selbst erlaubt hat. Das Gesetz sagt: Wenn Sie eine Zahlung nicht erlauben (Autorisierung), muss die Bank Ihnen das Geld zurückerstatten. Die Freigabe der „Karten-Registrierung“ war noch keine Erlaubnis für die späteren Einkäufe.
Mängel im Sicherheitsverfahren (Starke Kundenauthentifizierung)
Dies ist der entscheidende Punkt des Urteils. Banken müssen bei digitalen Zahlungen eine sogenannte starke Kundenauthentifizierung verlangen. Das bedeutet, man muss sich durch zwei verschiedene Faktoren ausweisen (zum Beispiel: Passwort und Fingerabdruck).
Das Gericht kritisierte das Verfahren der Bank massiv:
Falsches Gerät: Die Bank konnte nicht sicherstellen, dass die digitale Karte wirklich auf dem Handy des echten Kunden landete.
Unklare Texte: Der Text „Registrierung Karte“ in der App ist zu ungenau. Ein Nutzer kann daraus nicht erkennen, dass er gerade einem fremden Handy erlaubt, mit seinem Geld zu bezahlen.
Fehlende Kontrolle: Die Bank hat beim Registrieren der Karte nicht geprüft, ob das Empfänger-Handy dem Kunden gehört.
War der Kunde „grob fahrlässig“?
Die Bank warf dem Kunden vor, er sei extrem unvorsichtig gewesen. Grobe Fahrlässigkeit liegt vor, wenn man ganz einfache Vorsichtsregeln missachtet. Das Gericht sah das hier jedoch nicht:
Ablenkung: Dass man in einem Meeting kurz auf das Handy drückt, ohne alles genau zu lesen, kann passieren. Das ist vielleicht „einfach“ fahrlässig, aber nicht „grob“.
Irreführung: Da die Bank oft Bestätigungen für das Online-Banking verlangt, durfte der Kunde denken, es handle sich um einen normalen Vorgang.
Keine Kontrollpflicht: Ein Kunde muss seinen Kontostand nicht jeden Tag prüfen. Ein Rhythmus von etwa zwei Wochen reicht laut Gericht aus.
Das bedeutet das Urteil für Sie
Wenn Sie Opfer von Online-Betrug werden, haben Sie gute Chancen, Ihr Geld zurückzubekommen – besonders wenn die Sicherheitsabfragen der Bank unklar formuliert sind oder technische Lücken aufweisen.
Wichtige Punkte für Ihre Sicherheit:
Lesen Sie jede Push-Nachricht Ihrer Bank-App extrem genau.
Geben Sie niemals Aufträge frei, die Sie nicht selbst in diesem Moment gestartet haben.
Sollten Sie ungewöhnliche Abbuchungen bemerken, lassen Sie Ihre Karte sofort sperren.
Zusammenfassung der rechtlichen Lage
Thema
Entscheidung des Gerichts
Haftung
Die Bank haftet für den Schaden.
Sicherheitsmangel
Die Registrierung bei Apple Pay war nicht sicher genug.
Verschulden
Dem Kunden wurde keine grobe Fahrlässigkeit vorgeworfen.
Erstattung
Der Kontostand muss so hergestellt werden, als hätte es die Betrugszahlungen nie gegeben.
Wegen weiterer Fragen zu diesem oder ähnlichen Fällen sollten Sie mit der Anwalts- und Notarkanzlei Krau in Hohenahr Kontakt aufnehmen.
Die auf dieser Homepage wiedergegebenen Gerichtsentscheidungen bilden einen kleinen Ausschnitt der Rechtsentwicklung über mehrere Jahrzehnte ab. Nicht jedes Urteil muss daher zwangsläufig die aktuelle Rechtslage wiedergeben.
Einige Entscheidungen stellen Mindermeinungen dar oder sind später im Instanzenweg abgeändert oder durch neue obergerichtliche Entscheidungen oder Gesetzesänderungen überholt worden.
Das Recht entwickelt sich ständig weiter. Stetige Aktualität kann daher nicht gewährleistet werden.
Die schlichte Wiedergabe dieser Entscheidungen vermag daher eine fundierte juristische Beratung keinesfalls zu ersetzen.
Für den fehlerhaften juristischen Gebrauch, der hier wiedergegebenen Entscheidungen durch Dritte außerhalb der Kanzlei Krau kann daher keine Haftung übernommen werden.
Verstehen Sie bitte die Texte auf dieser Homepage als gedankliche Anregung zur vertieften Recherche, keinesfalls jedoch als rechtlichen Rat.
Es soll auch nicht der falsche Anschein erweckt werden, als seien die veröffentlichten Urteile von der Kanzlei Krau erzielt worden. Das ist in aller Regel nicht der Fall. Vielmehr handelt es sich um einen allgemeinen Auszug aus dem deutschen Rechtsleben zur Information der Rechtssuchenden.
Benötigen Sie eine Beratung oder haben Sie Fragen?
Rufen Sie uns an oder schreiben Sie uns eine E-Mail, damit wir die grundsätzlichen Fragen klären können.
Durch die schlichte Anfrage kommt noch kein konstenpflichtiges Mandat zustande.
