Zu den Anforderungen an die starke Kundenauthentifizierung bei Nutzung einer digitalen Debitkarte mittels Apple Pay

Zu den Anforderungen an die starke Kundenauthentifizierung bei Nutzung einer digitalen Debitkarte mittels Apple Pay

Gericht: OLG Karlsruhe 17. Zivilsenat
Entscheidungsdatum: 23.12.2025
Aktenzeichen: 17 U 113/23
ECLI: ECLI:DE:OLGKARL:2025:1223.17U113.23.00
Dokumenttyp: Urteil

In diesem Artikel erhalten Sie eine leicht verständliche Zusammenfassung des Urteils vom Oberlandesgericht (OLG) Karlsruhe. Es geht um einen Fall, bei dem ein Bankkunde Opfer von Betrügern wurde. Die Täter nutzten „Apple Pay“, um über 42.000 Euro von seinem Konto auszugeben. Das Gericht musste entscheiden, wer für diesen Schaden haftet: der Kunde oder die Bank.

Der Hintergrund: Was ist passiert?

Ein Bankkunde bemerkte auf seinem Konto plötzlich 122 Abbuchungen, die er nicht selbst getätigt hatte. Innerhalb weniger Tage verschwanden so insgesamt 42.182,68 Euro. Die Betrüger hatten es geschafft, eine digitale Kopie seiner Bankkarte auf einem fremden Handy zu aktivieren. Dies geschah über den Dienst „Apple Pay“.

Der Kunde forderte sein Geld von der Bank zurück. Er argumentierte, dass er diese Zahlungen nie erlaubt (autorisiert) habe. Die Bank hingegen weigerte sich zu zahlen. Sie war der Meinung, der Kunde habe den Schaden selbst verschuldet, weil er den Betrügern versehentlich den Zugriff ermöglicht habe.

Das erste Urteil und die Reaktion der Bank

Das Landgericht gab dem Kunden recht. Es entschied, dass die Bank das Geld zurückzahlen muss. Die Bank war damit nicht einverstanden und ging in Berufung zum Oberlandesgericht Karlsruhe. Sie behauptete, der Kunde habe grob fahrlässig gehandelt. Er habe nämlich in seiner „PushTAN-App“ eine Anfrage mit dem Text „Registrierung Karte“ bestätigt, obwohl er selbst gar keine Karte registrieren wollte. Dies sei eine schwere Pflichtverletzung gewesen.

Die Entscheidung des Oberlandesgerichts Karlsruhe

Das Oberlandesgericht Karlsruhe hat am 23. Dezember 2025 entschieden: Die Bank muss dem Kunden den vollen Betrag erstatten. Das Gericht bestätigte damit das erste Urteil. Die Richter sahen zwar, dass der Kunde eventuell unvorsichtig war, aber das Hauptproblem lag im Sicherheitssystem der Bank.

Zu den Anforderungen an die starke Kundenauthentifizierung bei Nutzung einer digitalen Debitkarte mittels Apple Pay

Warum der Kunde nicht haften muss

Das Gesetz schützt Bankkunden in solchen Fällen besonders. Wenn eine Zahlung nicht erlaubt wurde, muss die Bank das Geld normalerweise sofort zurückgeben. Eine Ausnahme gibt es nur, wenn der Kunde „grob fahrlässig“ gehandelt hat. Doch selbst wenn der Kunde unvorsichtig war, kann die Bank keinen Schadensersatz verlangen, wenn sie selbst die gesetzlichen Sicherheitsregeln nicht streng genug eingehalten hat.

Das Problem mit der „Starken Kundenauthentifizierung“

Ein zentraler Begriff in diesem Urteil ist die „Starke Kundenauthentifizierung“. Das Gesetz verlangt, dass bei elektronischen Zahlungen zwei verschiedene Faktoren geprüft werden. Man nennt das auch Zwei-Faktor-Authentifizierung. Es müssen zwei der folgenden drei Dinge geprüft werden:

1. Wissen: Etwas, das nur Sie wissen (zum Beispiel ein Passwort).
2. Besitz: Etwas, das nur Sie haben (zum Beispiel Ihr Handy oder Ihre Karte).
3. Inhärenz: Etwas, das Sie ausmacht (zum Beispiel Ihr Fingerabdruck oder Ihr Gesichtsscan).

Wo lag der Fehler im System der Bank?

Das Gericht stellte fest, dass die Bank beim Einrichten der digitalen Karte nicht sicher genug geprüft hat, wer das neue Handy eigentlich besitzt.

• Die Betrüger starteten die Registrierung auf ihrem eigenen Handy.
• Der Kunde erhielt auf seinem Handy eine Push-Nachricht.
• Dort stand nur ganz allgemein: „Karte registrieren“.
• Die Bank konnte durch diese einfache Bestätigung nicht sicher sein, dass die Karte auf dem Handy des echten Kunden landet.

Da die Bank es technisch ermöglichte, dass eine Karte auf einem fremden Gerät landet, ohne dies klar und deutlich zu prüfen, hat sie die Regeln für die sichere Anmeldung nicht erfüllt.

Warum „Karte registrieren“ als Warnung nicht ausreicht

Die Bank warf dem Kunden vor, er hätte bei dem Text „Karte registrieren“ stutzig werden müssen. Das Gericht sah das anders. Der Text sei viel zu ungenau. Ein normaler Nutzer könne denken, dass es sich um eine Routine-Aktualisierung handelt oder um eine Bestätigung für das Online-Banking an sich.

Da der Text nicht warnte, dass die Karte auf einem neuen, fremden Gerät eingerichtet wird, konnte man dem Kunden keinen schweren Vorwurf machen.

Fazit für Sie als Bankkunde

Dieses Urteil stärkt Ihre Rechte als Verbraucher. Es macht deutlich, dass Banken ihre technischen Systeme so sicher gestalten müssen, dass Missbrauch durch Dritte verhindert wird. Wenn eine Bank es Betrügern zu einfach macht, eine Karte auf einem fremden Handy zu installieren, kann sie den Schaden später nicht einfach auf Sie abwälzen.

Trotzdem sollten Sie immer vorsichtig sein: Bestätigen Sie niemals Anfragen in einer Banking-App, wenn Sie nicht genau in diesem Moment selbst eine Aktion gestartet haben.