Haftet ein Bankkunde für Schäden aus nicht autorisierten Apple-Pay-Zahlungen, wenn die Bank bei der Registrierung der digitalen Debitkarte nicht sichergestellt hat, dass das iPhone tatsächlich dem Kunden zuzuordnen ist?
Hiermit hat sich das Oberlandesgericht Karlsruhe mit Urteil vom 23. Dezember 2025 (Az. 17 U 113/23) befasst.
Sachverhalt
Der Kläger stellte im April 2022 fest, dass innerhalb weniger Tage 122 nicht autorisierte Zahlungen in Höhe von insgesamt 42.182,68 EUR von seinem Konto abgebucht worden waren. Die Abbuchungen erfolgten über eine digitale Debitkarte, die unbekannte Täter mittels Apple Pay auf einem fremden iPhone eingerichtet hatten. Die Täter hatten sich offenbar zunächst Zugang zum Online-Banking des Klägers verschafft. Sodann initiierten sie über die App auf einem fremden Mobiltelefon die Registrierung einer digitalen Debitkarte für Apple Pay. Dieser Vorgang erforderte eine Freigabe in der PushTAN-App des Klägers. Der Kläger gab an, während eines Meetings mit seinem Vorgesetzten möglicherweise versehentlich einen mit „Registrierung Karte“ bezeichneten Auftrag in seiner PushTAN-App freigegeben zu haben, ohne den Inhalt dieser Meldung bewusst wahrgenommen zu haben. Anschließend tätigten die Täter über das auf ihrem Gerät eingerichtete Apple Pay die streitgegenständlichen Zahlungen an verschiedenen Verkaufsstellen.
Die beklagte Bank verweigerte die Erstattung des Betrages und berief sich auf einen Gegenanspruch aus § 675v Abs. 3 Nr. 2 BGB. Der Kläger habe grob fahrlässig gehandelt, indem er den Freigabeauftrag bestätigt habe, obwohl ihm hätte auffallen müssen, dass er keinen entsprechenden Auftrag erteilt hatte. Das Landgericht Karlsruhe gab der Klage statt. Die Berufung der beklagten Bank blieb erfolglos.
Die Entscheidung des OLG Karlsruhe
Das Oberlandesgericht bestätigte den Anspruch des Klägers auf Gutschrift der Belastungen und wies die Berufung der Beklagten zurück.
Zunächst stellte das Gericht klar, dass die 122 Zahlungsvorgänge nicht autorisiert waren. Eine Autorisierung erfordere die vollständige Einhaltung des vertraglich vereinbarten Authentifizierungsverfahrens nach § 675j Abs. 1 Satz 3 BGB. Nach den Vertragsbedingungen für die digitale Debitkarte erfolge die Autorisierung durch Heranführen des mobilen Endgeräts an ein Kontaktlos-Terminal unter zusätzlicher Verwendung biometrischer Merkmale oder eines Entsperrcodes. Diese Voraussetzungen seien vom Kläger unstreitig nicht erfüllt worden.
Auch die etwaige Freigabe des Auftrags „Karte registrieren“ in der PushTAN-App ersetze nicht die Autorisierung der einzelnen Zahlungsvorgänge. Eine derartige vorgelagerte Pauschalzustimmung sehe das vereinbarte Verfahren nicht vor.
Nach Auffassung des Gerichts konnte die beklagte Bank dem Kläger auch keinen Schadensersatzanspruch entgegenhalten. Dies verneinte der Senat unter Verweis auf § 675v Abs. 4 Satz 1 Nr. 1 BGB. Nach dieser Vorschrift ist der Zahler nicht zum Schadensersatz verpflichtet, wenn der Zahlungsdienstleister für den streitgegenständlichen Zahlungsvorgang keine starke Kundenauthentifizierung im Sinne des § 1 Abs. 24 ZAG verlangt hat. Das Gericht stellte fest, dass die beklagte Bank diese Anforderung nicht erfüllt hatte.
Nach der Legaldefinition des § 1 Abs. 24 ZAG erfordert eine starke Kundenauthentifizierung mindestens zwei voneinander unabhängige Elemente aus den Kategorien Wissen, Besitz oder Inhärenz (also etwas, das der Nutzer ist). Die Parteien hatten als Besitzelement die digitale Debitkarte auf dem mobilen Endgerät des Karteninhabers und als zweiten Faktor biometrische Merkmale oder den Entsperrcode vereinbart. Der Senat erkannte an, dass eine in einem Wallet wie Apple Pay gespeicherte tokenisierte Zahlungskarte grundsätzlich als Besitzelement fungieren kann.
Das entscheidende Defizit sah das Gericht jedoch im Registrierungsverfahren für die digitale Debitkarte. Nach europarechtlichen Vorgaben müsse der Zahlungsdienstleister sicherstellen, dass nur der Zahlungsdienstnutzer den personalisierten Sicherheitsmerkmalen zugeordnet werde. Die Beklagte habe nicht ausreichend gewährleistet, dass die digitale Debitkarte auf einem Mobiltelefon im Besitz des Klägers gespeichert wurde. Das Einloggen in die App habe lediglich die Kenntnis der Zugangsdaten erfordert, ohne Verifizierung des verwendeten Geräts als vertrauenswürdig. Auch die anschließende Freigabe in der PushTAN-App habe keinen hinreichenden Rückschluss auf den Besitz des Klägers an dem Gerät ermöglicht, auf dem die digitale Debitkarte tatsächlich gespeichert wurde. Die allgemeine Formulierung „Karte registrieren“ lasse nicht sicher erkennen, dass damit die Speicherung einer digitalen Debitkarte auf einem Mobiltelefon verbunden sei. Erst recht habe der Kläger nicht davon ausgehen müssen, dass die Speicherung auf einem anderen als dem für die Freigabe verwendeten Mobiltelefon erfolge.
Da die Zuordnung des Besitzelements nicht ordnungsgemäß sichergestellt war, konnte die Beklagte nach Auffassung des Gerichts auch nicht davon ausgehen, dass bei Auslösung der Zahlungsvorgänge biometrische Merkmale des Klägers zum Einsatz kamen. Ob der Kläger durch die unterstellte Freigabe des Auftrags „Karte registrieren“ grob fahrlässig gehandelt habe, konnte nach alledem dahinstehen.
Das OLG Karlsruhe ließ die Revision zum BGH wegen grundsätzlicher Bedeutung zu.
(OLG Karlsruhe, Urteil vom 23. Dezember 2025, Az. 17 U 113/23)