Unbemerkt via Apple Pay 42.000 EUR abgebucht – haftet die Bank?

Bank muss über 42.000 EUR erstatten

In einem aktuellen Urteil hat das OLG Karlsruhe die Berufung einer Bank gegen ein Urteil des LG Karlsruhe zurückgewiesen. Die Bank wurde verpflichtet, dem Kläger über 42.000 EUR zu erstatten, die durch nicht autorisierte Zahlungsvorgänge über Apple Pay abgebucht wurden. Das Gericht stellte fest, dass die Bank keine ausreichenden Maßnahmen zur starken Kundenauthentifizierung getroffen hatte.

Hintergrund: Freigabe versehentlich erteilt

Der Kläger hatte versehentlich, während eines Meetings mit seinem Chef,  in der PushTAN-App einen Auftrag mit der Bezeichnung „Karte registrieren“ freigegeben, ohne zu bemerken, dass dadurch eine digitale Debitkarte auf einem fremden Gerät aktiviert wurde. Dies führte zu insgesamt 122 nicht autorisierten Zahlungsvorgängen. Die Bank argumentierte, der Kläger habe grob fahrlässig gehandelt, indem er die Freigabe erteilte und seinen Kontostand nicht regelmäßig kontrollierte.

Bank sah bei ihrem Kunden ein grob fahrlässiges Verhalten 

Dabei argumentierte die Bank, der Kunde habe grob fahrlässig gehandelt. Angesichts des Erhalts einer unerwarteten Push-TAN-Benachrichtigung hätte er in besonderem Maße stutzig werden müssen. Ihm hätte sich aufdrängen müssen, dass er überhaupt keinen Auftrag erteilt habe. Der Bankkunde habe die Digitalisierung der Karte über sein Freigabe-Medium, die PushTAN-App, autorisiert. Darin sei ihm der Hinweis auf die Digitalisierung der Karte angezeigt worden.

Keine grobe Fahrlässigkeit des Kunden

Das Gericht sah jedoch kein grobes Verschulden des Klägers. Es stellte klar, dass die allgemeine Formulierung „Karte registrieren“ in der App für den Kläger nicht eindeutig erkennen ließ, dass er eine digitale Debitkarte auf einem fremden Gerät freigibt. Der Kläger habe die Freigabe versehentlich während eines Meetings erteilt, was angesichts der Ablenkung subjektiv entschuldbar sei. Zudem sei der Kläger nicht verpflichtet gewesen, seinen Kontostand häufiger als alle zwei Wochen zu kontrollieren.

Fehlende starke Kundenauthentifizierung

Das OLG Karlsruhe betonte, dass die Bank keine ausreichenden Maßnahmen getroffen hatte, um sicherzustellen, dass die digitale Debitkarte ausschließlich auf einem Gerät des Klägers gespeichert wird. Die Anforderungen an eine starke Kundenauthentifizierung gemäß § 675u BGB und § 1 Abs. 24 ZAG wurden nicht erfüllt. Insbesondere wurde das Besitzelement und die biometrischen Merkmale des Klägers nicht hinreichend überprüft.

Nach den zugrunde liegenden Bedingungen für die digitale Debit-Card mit individualisiertem Authentifizierungsverfahren erfolge die Autorisierung eines konkreten Zahlungsvorganges „mit dem Einsatz der digitalen Debitkarte durch Heranführen des mobilen Endgeräts mit der digitalen Debitkarte an ein Kontaktlos-Terminal bzw. im Online-Handel durch Bestätigung der Bezahlanwendung. Dazu ist laut Bedingungen zusätzlich die Verwendung der biometrischen Merkmale des Karteninhabers oder die Eingabe des Entsperrcodes des Geräts jeweils mit auf dem mobilen Endgerät vorhandenen Funktionen erforderlich.

Freigabe des Auftrags „Karte registrieren“ autorisiert nicht einzelne Zahlungen 

Der Bankkunde hab unstreitig nicht die einzelnen Kartenzahlungen durch Heranführen des mobilen Endgeräts mit der digitalen Debitkarte an ein Kontaktlos-Terminal oder im Online-Handel durch Bestätigung der Bezahlanwendung veranlasst. Entgegen der Auffassung seiner Bank habe er durch die Freigabe des Auftrags „Karte registrieren“ in seiner PushTAN-App nicht die einzelnen Transaktionen autorisiert. Zudem ist die Bank kontoführender Zahlungsdienstleister. Es kann dahinstehen, ob Apple Pay bei den Zahlungsvorgängen als Zahlungsauslösedienstleister iSd § 1 Abs. 33 ZAG fungiert hat.

Die Bank wiederum habe für die Auslösung der Zahlungsvorgänge – die 122 Überweisungen – keine starke Kundenauthentifizierung verlangt. Bei dem Registrierungsverfahren für die digitale Debitkarte habe sie nicht ausreichend sichergestellt, dass nur der Kläger den Besitz an der digitalen Debitkarte erlange. Dieses Versäumnis habe sich bei den einzelnen Zahlungsvorgängen unmittelbar fortgesetzt. 

Revision wegen grundsätzlicher Bedeutung zugelassen

Die Revision wurde zugelassen, da hinsichtlich des Ausschlusses des Schadensersatzanspruchs aus § 675v Abs. 3 BGB gemäß § 675v Abs. 4 Satz 1 Nr. 1 BGB, die Frage, welche Anforderungen an das „Verlangen“ einer starken Kundenauthentifizierung durch Zahlungsdienstleister zu stellen sind, über den Einzelfall hinausgehend grundsätzliche Bedeutung hat.