Skip to content

Missbrauch von Apple-Pay mit Hilfe einer erschlichenen PushTAN-Freigabe

Dreiste Betrüger erbeuten über 13.000 Euro per Apple Pay, indem sie sich als Bankmitarbeiter ausgeben und eine PushTAN erschleichen. Doch das Landgericht Heilbronn stellt sich auf die Seite des Opfers und verurteilt die Bank zur Rückzahlung des gesamten Betrags. Das Urteil zeigt: Banken müssen genauer hinschauen, wenn ungewöhnliche Transaktionen stattfinden.

Das Wichtigste: Kurz & knapp

  • Es ging darum, dass ein Kläger Rückzahlungen für unbefugte Apple-Pay-Transaktionen forderte.
  • Die Zahlungen wurden durch eine manipulierte PushTAN-Freigabe ermöglicht, bei der Kriminelle sensible Daten erlangten.
  • Die Hauptschwierigkeit bestand darin, nachzuweisen, dass die Zahlungen ohne Einwilligung des Klägers erfolgten.
  • Das Gericht entschied zugunsten des Klägers und verurteilte die Beklagte zur Rückzahlung des gesamten Betrags.
  • Das Gericht begründete seine Entscheidung damit, dass die Freigabe der Zahlungen durch unrechtmäßige Manipulation der Sicherheitsmechanismen erfolgte.
  • Die Entscheidung bestätigt, dass Finanzinstitute für unbefugte Transaktionen haften, wenn Sicherheitslücken ausgenutzt werden.
  • Die Kläger müssen keine Verantwortung übernehmen, wenn sie nachweislich Opfer eines Betrugs wurden.
  • Das Urteil stärkt die Position der Verbraucher bei Auseinandersetzungen um digitale Zahlungsbetrugsfälle.
  • Betroffenen wird empfohlen, bei unbefugten Transaktionen sofort rechtliche Schritte einzuleiten.
  • Die Entscheidung signalisiert auch, dass Banken ihre digitalen Sicherheitssysteme kontinuierlich verbessern müssen.

Gericht: Bank haftet für Missbrauch von Apple Pay durch Betrüger

Apple Pay bietet eine bequeme Möglichkeit, kontaktlos mit dem Smartphone zu bezahlen. Doch die Technik birgt auch Risiken. So kann es vorkommen, dass Kriminelle sich Zugang zu einem Apple-Pay-Account verschaffen und mit gestohlenen oder erschlichenen Daten unbefugt Zahlungen tätigen. Ein beliebtes Vorgehen ist dabei die Erlangung einer sogenannten PushTAN-Freigabe. Diese dient eigentlich der zusätzlichen Sicherheitsabsicherung, kann jedoch manipuliert werden, indem Kriminelle an sensible Daten des Nutzers gelangen und diesen dazu bringen, die Freigabe unbeabsichtigt zu erteilen.

Dieser Betrug kann für die Opfer gravierende Folgen haben. Sie haben nicht nur mit finanziellen Verlusten zu kämpfen, sondern müssen sich mit aufwendigen Rückabwicklungen und der Regulierung von Schäden befassen. Auch die psychische Belastung, die durch solche Ereignisse entsteht, ist nicht zu unterschätzen. In einem aktuellen Fall hat ein Gericht nun ein Urteil gefällt, das wichtige Erkenntnisse über den Umgang mit solchen Betrugsfällen bietet.

Opfer von Apple-Pay-Betrug? Wir helfen Ihnen!

Sie wurden Opfer eines Betrugs mit Apple Pay? Sie sind nicht allein! Unsere erfahrenen Anwälte für Bank- und Finanzrecht kennen die rechtlichen Fallstricke und setzen sich für Ihre Rechte ein. Wir bieten Ihnen eine unverbindliche Ersteinschätzung Ihres Falls und zeigen Ihnen Ihre Handlungsoptionen auf. Zögern Sie nicht und kontaktieren Sie uns noch heute. Ihr erster Schritt zum Rechtsschutz beginnt hier!

Ersteinschätzung anfordern

Der Fall vor Gericht


Apple-Pay-Missbrauch durch erschlichene PushTAN-Freigabe

Apple-Pay-Betrug
(Symbolfoto: everythingpossible – 123rf.com) Bank muss Rückzahlung von durch erschlichene PushTAN-Freigabe erfolgten Apple-Pay-Betrug leisten.

Die Entscheidung des Landgerichts Heilbronn befasst sich mit einem Fall von Kontomissbrauch mittels Apple Pay, bei dem Betrüger durch eine erschlichene PushTAN-Freigabe unberechtigt Zahlungen vom Konto des Klägers vornehmen konnten.

Der Kläger ist Privatkunde bei der beklagten Bank und nutzt dort sein Girokonto samt Online-Banking. Am 13.12.2022 kam es zu mehreren unberechtigten Abbuchungen in Höhe von insgesamt 13.356,25 Euro von seinem Konto. Diese erfolgten über Apple Pay bzw. die dafür genutzte digitale SparkassenCard.

Die Betrüger gingen dabei wie folgt vor: Sie kontaktierten den Kläger telefonisch und gaben sich als Bankmitarbeiter aus. Unter dem Vorwand, seine Kontoverbindung aktualisieren zu müssen, brachten sie den Kläger dazu, eine PushTAN für die Freischaltung von Apple Pay freizugeben. Mit dieser Freigabe konnten die Täter dann Apple Pay für das Konto des Klägers aktivieren und die unberechtigten Zahlungen vornehmen.

Rückforderung der Bank abgelehnt – Klage auf Rückzahlung erfolgreich

Der Kläger forderte umgehend die Rückbuchung der Beträge von der Bank. Diese lehnte dies jedoch ab und verwies darauf, dass der Kläger die Zahlungen durch Freigabe der PushTAN autorisiert habe.

Daraufhin erhob der Kläger Klage vor dem Landgericht Heilbronn und machte einen Zahlungs- bzw. Rückbuchungsanspruch geltend. Das Gericht gab der Klage in vollem Umfang statt und verurteilte die Bank zur Rückzahlung des gesamten abgebuchten Betrags nebst Zinsen.

Entscheidungsgründe: Keine wirksame Autorisierung der Zahlungen

In seiner Begründung führt das Gericht aus, dass die streitigen Zahlungen nicht wirksam autorisiert waren. Zwar hat der Kläger tatsächlich eine PushTAN freigegeben, allerdings nicht für die konkreten Zahlungsvorgänge, sondern lediglich für die vermeintliche Aktualisierung seiner Kontodaten.

Die Bank hätte erkennen müssen, dass hier kein üblicher Zahlungsvorgang vorlag. Insbesondere die Häufung der Abbuchungen innerhalb kurzer Zeit sowie die ungewöhnlich hohen Beträge hätten Anlass zur Überprüfung geben müssen.

Das Gericht sah auch kein grob fahrlässiges Verhalten des Klägers, das eine Haftung seinerseits begründen würde. Zwar sei die Herausgabe von Sicherheitsmerkmalen grundsätzlich als grob fahrlässig anzusehen. Im vorliegenden Fall sei dem Kläger aber zugute zu halten, dass die Betrüger sehr professionell vorgingen und er keinen Anlass hatte, an der Identität der angeblichen Bankmitarbeiter zu zweifeln.

Bedeutung für Bankkunden und Finanzinstitute

Das Urteil stärkt die Position von Bankkunden im Falle von Phishing-Attacken und ähnlichen Betrugsmaschen. Es macht deutlich, dass Banken eine Sorgfaltspflicht bei der Überprüfung ungewöhnlicher Transaktionen trifft. Gleichzeitig werden aber auch die Grenzen des Kundenschutzes aufgezeigt – ein leichtfertiger Umgang mit Sicherheitsmerkmalen kann durchaus zur Mithaftung führen.

Für Finanzinstitute bedeutet die Entscheidung, dass sie ihre Sicherheitssysteme und Überwachungsmechanismen weiter verbessern müssen, um verdächtige Transaktionsmuster frühzeitig zu erkennen. Auch bei der Kundenaufklärung über Betrugsrisiken sind verstärkte Anstrengungen nötig.

Betroffene Kunden sollten im Schadensfall umgehend ihre Bank kontaktieren, Anzeige erstatten und gegebenenfalls rechtliche Hilfe in Anspruch nehmen. Das Urteil zeigt, dass eine gerichtliche Klärung durchaus erfolgversprechend sein kann.

Die Schlüsselerkenntnisse


Das Urteil verdeutlicht die erweiterte Sorgfaltspflicht von Banken bei ungewöhnlichen Transaktionen, selbst wenn eine PushTAN-Freigabe vorliegt. Es zeigt, dass Banken verdächtige Transaktionsmuster erkennen und überprüfen müssen. Gleichzeitig wird die Verantwortung der Kunden für den sorgfältigen Umgang mit Sicherheitsmerkmalen betont. Die Entscheidung stärkt den Verbraucherschutz bei Phishing-Attacken, sofern der Kunde nicht grob fahrlässig gehandelt hat.


Was bedeutet das Urteil für Sie?

Sind Sie Opfer eines ähnlichen Betrugsfalls geworden, bei dem Sie durch Täuschung zur Freigabe einer TAN oder eines anderen Sicherheitsmerkmals verleitet wurden? Dann stärkt dieses Urteil Ihre Position gegenüber Ihrer Bank. Es zeigt, dass Banken eine erhöhte Sorgfaltspflicht haben und verdächtige Transaktionen genauer prüfen müssen. Wurde Ihr Geld unberechtigt abgebucht, müssen Sie dies nicht einfach hinnehmen. Kontaktieren Sie Ihre Bank und bestehen Sie auf Rückbuchung. Lehnt die Bank ab, können Sie sich auf dieses Urteil berufen und gegebenenfalls rechtliche Schritte einleiten. Sie haben gute Chancen, Ihr Geld zurückzuerhalten.


FAQ – Häufige Fragen

Sie sind Opfer eines Apple-Pay-Betrugs geworden und fühlen sich im Rechtssystem verloren? Diese FAQ dient dazu, Ihnen wichtige Antworten rund um den Betrug, Ihre Rechte und Möglichkeiten zu geben. Hier finden Sie verständliche Erklärungen zu den gängigsten Fragen und konkrete Handlungsempfehlungen, damit Sie sich im Falle eines Betrugsfalls besser zurechtfinden.


Was soll ich tun, wenn ich verdächtige Abbuchungen von meinem Konto bemerke?

Bei verdächtigen Abbuchungen vom Konto ist schnelles Handeln geboten. Die betroffene Person sollte umgehend ihre Bank kontaktieren und den Vorfall melden. Dies kann telefonisch über die Hotline oder persönlich in einer Filiale erfolgen. Die Bank wird dann die verdächtigen Transaktionen prüfen und gegebenenfalls sperren.

Parallel dazu empfiehlt es sich, alle Zahlungskarten und den Online-Banking-Zugang vorsorglich zu sperren. So lässt sich weiterer potenzieller Schaden verhindern. Die meisten Banken bieten hierfür spezielle Notfall-Rufnummern an, die rund um die Uhr erreichbar sind.

Eine detaillierte Dokumentation der verdächtigen Vorgänge ist ratsam. Dazu gehören Datum, Uhrzeit, Betrag und Empfänger der fraglichen Abbuchungen. Diese Informationen sind für die weitere Aufklärung durch die Bank und eventuell die Strafverfolgungsbehörden wichtig.

In vielen Fällen ist es sinnvoll, zusätzlich Anzeige bei der Polizei zu erstatten. Dies gilt insbesondere, wenn ein Betrug oder Identitätsdiebstahl vermutet wird. Die polizeiliche Anzeige kann die Chancen erhöhen, unrechtmäßig abgebuchte Beträge zurückzuerhalten.

Besondere Vorsicht ist bei der Nutzung mobiler Bezahlsysteme wie Apple Pay geboten. Hier können Betrüger unter Umständen durch manipulierte PushTAN-Freigaben unberechtigt Zahlungen auslösen. Nutzer sollten daher stets kritisch prüfen, ob sie tatsächlich eine Zahlung freigeben möchten, bevor sie eine PushTAN bestätigen.

Nach der Meldung an die Bank sollte die betroffene Person die weiteren Kontobewegungen aufmerksam beobachten. Treten erneut verdächtige Transaktionen auf, ist eine sofortige Information an die Bank wichtig.

Zur Vorbeugung künftiger Vorfälle empfiehlt sich eine Überprüfung und gegebenenfalls Aktualisierung aller Sicherheitseinstellungen für das Online-Banking. Dazu gehört die Verwendung starker, einzigartiger Passwörter sowie die Aktivierung zusätzlicher Sicherheitsfunktionen wie Zwei-Faktor-Authentifizierung.

Ein regelmäßiger Blick auf die Kontoauszüge hilft, ungewöhnliche Abbuchungen frühzeitig zu erkennen. Je schneller verdächtige Vorgänge gemeldet werden, desto größer sind die Chancen auf eine erfolgreiche Rückabwicklung unrechtmäßiger Transaktionen.

zurück


Welche Rechte habe ich als Bankkunde bei unberechtigten Abbuchungen?

Bankkunden haben bei unberechtigten Abbuchungen umfassende Rechte, die ihnen einen weitreichenden Schutz bieten. Das Zahlungsdiensteaufsichtsgesetz (ZAG) und das Bürgerliche Gesetzbuch (BGB) regeln die Ansprüche der Betroffenen gegenüber ihrer Bank.

Bei Feststellung einer nicht autorisierten Zahlung müssen Kunden ihre Bank unverzüglich informieren. Die Bank ist dann verpflichtet, den abgebuchten Betrag spätestens bis zum Ende des folgenden Geschäftstages zu erstatten. Dies gilt unabhängig davon, ob die Bank den Vorgang bereits aufgeklärt hat oder nicht.

Für die Rückbuchung einer Lastschrift haben Kunden grundsätzlich eine Frist von acht Wochen nach der Abbuchung, ohne dass sie Gründe angeben müssen. Bei einer nicht autorisierten Lastschrift, also wenn kein gültiges SEPA-Lastschriftmandat vorlag, verlängert sich diese Frist sogar auf 13 Monate.

Die Bank darf eine Erstattung nur verweigern, wenn sie nachweisen kann, dass der Kunde die Zahlung autorisiert hat oder grob fahrlässig mit seinen Zugangsdaten umgegangen ist. Die Beweislast liegt dabei bei der Bank. Selbst bei leichter Fahrlässigkeit des Kunden muss die Bank den Schaden ersetzen.

Ein besonderes Augenmerk liegt auf dem Schutz vor Missbrauch bei digitalen Zahlungsmethoden. Bei der Nutzung von Diensten wie Apple Pay müssen Banken besondere Sicherheitsvorkehrungen treffen. Die bloße Freigabe einer Transaktion per PushTAN reicht nicht aus, um die Haftung auf den Kunden abzuwälzen. Banken sind verpflichtet, verdächtige Transaktionsmuster zu erkennen und gegebenenfalls einzugreifen.

Kunden sollten ihre Kontoauszüge regelmäßig prüfen und verdächtige Abbuchungen sofort ihrer Bank melden. Im Streitfall können sie sich an die Schlichtungsstelle der Deutschen Bundesbank oder die BaFin wenden. Bei Verdacht auf Betrug ist zudem eine Anzeige bei der Polizei ratsam.

Die Rechte der Bankkunden sind stark ausgeprägt, um das Vertrauen in den bargeldlosen Zahlungsverkehr zu stärken. Dennoch müssen Kunden sorgfältig mit ihren Zugangsdaten umgehen und ihre Konten regelmäßig überprüfen, um im Ernstfall schnell reagieren zu können.

zurück


Wie kann ich mich vor Betrug durch PushTAN-Freigaben schützen?

Um sich vor Betrug durch PushTAN-Freigaben zu schützen, sind mehrere Vorsichtsmaßnahmen zu beachten. Zunächst ist es wichtig, die PushTAN-App ausschließlich auf einem separaten Gerät zu installieren, das nicht für das Online-Banking verwendet wird. Dies erschwert es Betrügern erheblich, gleichzeitig Zugriff auf beide Komponenten zu erlangen.

Bei der Nutzung des PushTAN-Verfahrens sollten die angezeigten Transaktionsdaten in der App stets sorgfältig überprüft werden. Insbesondere Empfänger und Betrag müssen genau kontrolliert werden, bevor eine Freigabe erfolgt. Stimmen diese Angaben nicht mit dem beabsichtigten Auftrag überein, ist von einer Freigabe abzusehen.

Ein weiterer wichtiger Schutz besteht darin, niemals TANs oder andere Zugangsdaten telefonisch oder per E-Mail preiszugeben. Seriöse Banken fordern ihre Kunden nicht zur Herausgabe solcher sensiblen Informationen auf. Daher sollten entsprechende Anfragen grundsätzlich ignoriert und die Bank umgehend darüber informiert werden.

Die Sicherheit des verwendeten Smartphones spielt ebenfalls eine zentrale Rolle. Es empfiehlt sich, das Betriebssystem und alle installierten Apps regelmäßig zu aktualisieren, um bekannte Sicherheitslücken zu schließen. Zudem sollte eine zuverlässige Antiviren-Software installiert und aktiv genutzt werden, um Schadsoftware frühzeitig zu erkennen.

Besondere Vorsicht ist bei unbekannten Links oder Dateianhängen geboten. Diese können Malware enthalten, die es Betrügern ermöglicht, das Gerät zu kompromittieren. Daher sollten solche Links oder Anhänge niemals geöffnet werden, wenn ihre Herkunft nicht zweifelsfrei vertrauenswürdig ist.

Ein sicheres, einzigartiges Passwort für den Zugang zur PushTAN-App ist unerlässlich. Dieses sollte regelmäßig geändert und nicht für andere Dienste verwendet werden. Die Nutzung eines Passwort-Managers kann dabei helfen, komplexe und individuelle Passwörter für verschiedene Dienste zu verwalten.

Bei der Nutzung öffentlicher WLAN-Netzwerke ist äußerste Zurückhaltung geboten. Diese Netzwerke sind oft unzureichend gesichert und ermöglichen es Angreifern, den Datenverkehr abzufangen. Für Online-Banking-Aktivitäten sollte daher ausschließlich eine sichere, private Internetverbindung genutzt werden.

Es ist ratsam, die Kontoauszüge regelmäßig und gründlich zu prüfen. Ungewöhnliche oder nicht autorisierte Transaktionen können so frühzeitig erkannt werden. Bei Auffälligkeiten sollte umgehend die Bank kontaktiert werden, um mögliche betrügerische Aktivitäten zu melden und weitere Schäden zu verhindern.

Die Bank bietet in der Regel die Möglichkeit, Benachrichtigungen für Kontobewegungen einzurichten. Diese Funktion sollte aktiviert werden, um zeitnah über alle Transaktionen informiert zu werden. So können ungewöhnliche Aktivitäten schnell erkannt und gegebenenfalls gestoppt werden.

Besondere Aufmerksamkeit ist geboten, wenn unerwartete Änderungen im Online-Banking-Prozess auftreten. Werden plötzlich zusätzliche oder ungewöhnliche Schritte bei der Anmeldung oder Transaktionsfreigabe verlangt, könnte dies auf einen Betrugsversuch hindeuten. In solchen Fällen sollte der Vorgang abgebrochen und die Bank kontaktiert werden.

zurück


Was muss meine Bank tun, wenn ich einen Apple-Pay-Betrug melde?

Bei einer Meldung eines Apple-Pay-Betrugs muss die Bank umgehend aktiv werden und verschiedene Maßnahmen ergreifen. Zunächst ist die Bank verpflichtet, das betroffene Konto unverzüglich zu sperren, um weitere unbefugte Zugriffe und Transaktionen zu verhindern. Dies dient dem Schutz des Kunden vor weiteren finanziellen Schäden.

Die Bank muss den gemeldeten Betrugsfall gründlich untersuchen. Dazu gehört die Überprüfung aller verdächtigen Transaktionen und die Analyse der Umstände, unter denen diese stattgefunden haben. Hierbei wird besonders auf ungewöhnliche Zahlungsmuster oder Abweichungen vom üblichen Nutzungsverhalten des Kunden geachtet.

Im Rahmen ihrer Sorgfaltspflicht ist die Bank gehalten, alle relevanten Informationen und Beweise zu sichern. Dies umfasst Transaktionsdaten, Zeitstempel und gegebenenfalls Verbindungsdaten. Diese Informationen können für spätere rechtliche Schritte oder polizeiliche Ermittlungen von Bedeutung sein.

Die Bank muss den Kunden umfassend über den Stand der Untersuchung informieren und ihn über die nächsten Schritte in Kenntnis setzen. Dazu gehört auch die Beratung des Kunden hinsichtlich möglicher Schutzmaßnahmen, um zukünftige Betrugsfälle zu verhindern.

Eine wichtige Pflicht der Bank besteht darin, unbefugte Abbuchungen rückgängig zu machen und das Konto des Kunden wieder auf den Stand zu bringen, auf dem es sich ohne den Betrugsvorfall befunden hätte. Dies gilt, sofern dem Kunden keine grobe Fahrlässigkeit nachgewiesen werden kann.

Die Bank ist verpflichtet, mit den Strafverfolgungsbehörden zu kooperieren, falls der Kunde Anzeige erstattet. Sie muss alle relevanten Informationen zur Verfügung stellen, die zur Aufklärung des Betrugsfalles beitragen können.

Zusätzlich muss die Bank Maßnahmen ergreifen, um die Sicherheit des Apple-Pay-Systems zu verbessern. Dies kann die Implementierung zusätzlicher Authentifizierungsschritte oder die Überarbeitung bestehender Sicherheitsprotokolle umfassen.

Die Bank sollte dem Kunden Unterstützung bei der Neueinrichtung sicherer Zugangsdaten anbieten. Dies beinhaltet die Ausgabe neuer Karten, die Änderung von PINs und die Aktualisierung von Sicherheitseinstellungen für das Online-Banking und mobile Zahlungsdienste.

Es liegt in der Verantwortung der Bank, den Kunden über mögliche Entschädigungsansprüche zu informieren und ihn bei der Geltendmachung dieser Ansprüche zu unterstützen. Dies kann die Bereitstellung von Formularen oder die Hilfe bei der Dokumentation des entstandenen Schadens umfassen.

Abschließend muss die Bank interne Prozesse überprüfen und gegebenenfalls anpassen, um ähnliche Betrugsfälle in Zukunft besser verhindern zu können. Dies kann die Schulung von Mitarbeitern, die Verbesserung von Frühwarnsystemen oder die Anpassung von Risikobewertungsverfahren beinhalten.

zurück


Kann ich die Bank für Verluste haftbar machen, die durch einen Apple-Pay-Betrug entstanden sind?

Die Haftung der Bank für Verluste durch Apple-Pay-Betrug hängt von verschiedenen Faktoren ab. Grundsätzlich ist die Bank nach § 675u BGB verpflichtet, nicht autorisierte Zahlungsvorgänge rückgängig zu machen und den Kontostand wiederherzustellen. Dies gilt auch für Betrugsfälle mit Apple Pay.

Entscheidend ist, ob der Bankkunde grob fahrlässig gehandelt hat. Hat er beispielsweise seine Zugangsdaten leichtfertig preisgegeben oder auf eine Phishing-Mail reagiert, kann die Bank die Haftung ablehnen. Die Beweislast für grobe Fahrlässigkeit liegt jedoch bei der Bank.

Betroffene sollten den Betrugsfall umgehend ihrer Bank melden und Anzeige bei der Polizei erstatten. Eine detaillierte Dokumentation des Vorfalls ist wichtig. Dazu gehören Zeitpunkt, Art und Umfang der unautorisierten Transaktionen sowie alle Kommunikation mit der Bank.

Die Bank muss innerhalb von maximal 10 Tagen den Betrag erstatten oder begründen, warum sie dies ablehnt. Lehnt die Bank eine Erstattung ab, können Betroffene Beschwerde bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) einreichen. Auch der Gang zum Ombudsmann der privaten Banken ist möglich.

Führen diese Schritte nicht zum Erfolg, bleibt der Klageweg. Hier empfiehlt sich anwaltliche Unterstützung. Ein Rechtsanwalt kann die Erfolgsaussichten einschätzen und die Ansprüche gerichtlich durchsetzen. Die Kosten dafür können durch eine Rechtsschutzversicherung gedeckt sein.

Betroffene sollten bedenken, dass die Bank möglicherweise versuchen wird, ihnen grobe Fahrlässigkeit nachzuweisen. Daher ist es wichtig, alle Sicherheitshinweise der Bank zu beachten und vorsichtig mit sensiblen Daten umzugehen. Die Verwendung aktueller Antiviren-Software und regelmäßige Updates des Betriebssystems können helfen, solche Vorwürfe zu entkräften.

Bei der Geltendmachung von Ansprüchen ist Hartnäckigkeit gefragt. Banken lehnen Erstattungen häufig zunächst ab, lenken aber oft ein, wenn Kunden ihre Rechte kennen und diese konsequent einfordern. Eine gute Dokumentation und sachliche Argumentation erhöhen die Erfolgschancen erheblich.

Für künftige Transaktionen sollten Betroffene ihre Sicherheitseinstellungen überprüfen und gegebenenfalls anpassen. Viele Banken bieten zusätzliche Sicherheitsoptionen wie Transaktionslimits oder Zwei-Faktor-Authentifizierung an. Diese können das Risiko weiterer Betrugsfälle minimieren.

Die rechtliche Lage bei Apple-Pay-Betrug ist komplex und entwickelt sich ständig weiter. Aktuelle Gerichtsurteile können die Rechtsprechung beeinflussen. Daher ist es ratsam, sich im konkreten Fall juristisch beraten zu lassen, um die individuellen Erfolgsaussichten zu klären.

zurück


Glossar – Fachbegriffe kurz erklärt

  • PushTAN: Eine PushTAN ist ein digitaler Transaktionscode, der per Push-Nachricht auf ein Smartphone gesendet wird, um Banktransaktionen zu autorisieren. Im Gegensatz zur klassischen TAN per SMS bietet sie erhöhte Sicherheit, da die Nachricht verschlüsselt und an ein spezifisches Gerät gesendet wird. Bei korrekter Nutzung schützt sie vor Phishing, da Transaktionsdetails in der App angezeigt werden. Im vorliegenden Fall wurde die PushTAN jedoch durch geschickte Täuschung zweckentfremdet.
  • Phishing: Phishing bezeichnet betrügerische Versuche, sensible Daten wie Passwörter oder TANs zu erlangen, oft durch gefälschte E-Mails oder Websites. Im aktuellen Fall nutzten die Täter eine fortgeschrittene Form des „Voice Phishing“, indem sie sich telefonisch als Bankmitarbeiter ausgaben. Phishing-Attacken werden zunehmend raffinierter und zielen darauf ab, Sicherheitsmechanismen wie PushTAN zu umgehen. Banken und Kunden müssen daher besonders wachsam sein.
  • Sorgfaltspflicht der Bank: Banken haben eine gesetzliche Pflicht, angemessene Sicherheitsmaßnahmen zum Schutz ihrer Kunden zu ergreifen. Dies umfasst die Überwachung von Transaktionen auf verdächtige Muster und die Implementierung effektiver Authentifizierungsmethoden. Im vorliegenden Fall wurde die Bank zur Rückzahlung verurteilt, da sie ihrer Sorgfaltspflicht bei der Überprüfung der ungewöhnlichen Transaktionen nicht ausreichend nachgekommen war.
  • Grobe Fahrlässigkeit: In Bankgeschäften bezeichnet grobe Fahrlässigkeit ein Verhalten, das deutlich von der üblichen Sorgfalt abweicht, z.B. die Weitergabe von PINs oder TANs. Im Urteil wurde dem Kläger keine grobe Fahrlässigkeit vorgeworfen, da die Betrüger sehr professionell vorgingen. Dies ist bedeutsam, da grobe Fahrlässigkeit die Haftung des Kunden begründen kann. Die Bewertung hängt vom Einzelfall ab und berücksichtigt die Umstände der Täuschung.
  • Apple Pay: Apple Pay ist ein digitales Zahlungssystem, das kontaktloses Bezahlen mit Apple-Geräten ermöglicht. Es gilt als sicher, da es Tokenisierung und biometrische Authentifizierung nutzt. Der Fall zeigt jedoch, dass auch fortschrittliche Systeme durch Social Engineering angreifbar sind. Die unrechtmäßige Aktivierung von Apple Pay ermöglichte hier Zugriff auf das Bankkonto, was die Notwendigkeit mehrschichtiger Sicherheitskonzepte unterstreicht.
  • Rückbuchungsanspruch: Ein Rückbuchungsanspruch erlaubt Bankkunden, nicht autorisierte Abbuchungen rückgängig zu machen. Er basiert auf §§ 675u, 675w BGB und verpflichtet Banken, unberechtigt abgebuchte Beträge zu erstatten. Im Urteil wurde dieser Anspruch bestätigt, da die Zahlungen trotz PushTAN-Freigabe als nicht autorisiert galten. Dies stärkt den Verbraucherschutz bei komplexen Betrugsszenarien und betont die Verantwortung der Banken bei der Transaktionsüberprüfung.

Wichtige Rechtsgrundlagen


  • § 675j BGB (Zahlungsdiensterahmenvertrag): Dieser Paragraph regelt die Rechte und Pflichten von Zahlungsdienstleistern (wie Banken) und Zahlungsdienstnutzern (wie Bankkunden) bei der Nutzung von Zahlungsdiensten wie Apple Pay. Im vorliegenden Fall wurde geprüft, ob die Bank ihrer Sorgfaltspflicht bei der Überprüfung der Transaktionen nachgekommen ist und ob der Kläger durch die Freigabe der PushTAN seine Zahlungen wirksam autorisiert hat.
  • § 675l BGB (Haftung des Zahlungsdienstnutzers): Dieser Paragraph bestimmt die Haftung des Zahlungsdienstnutzers bei nicht autorisierten Zahlungsvorgängen. Im konkreten Fall wurde entschieden, dass der Kläger nicht für den Missbrauch von Apple Pay haftet, da er die PushTAN nicht für die konkreten Zahlungsvorgänge freigegeben hatte.
  • § 130 BGB (Anfechtung von Willenserklärungen): Dieser Paragraph ermöglicht die Anfechtung von Willenserklärungen, die aufgrund von Irrtümern oder Täuschungen abgegeben wurden. Im vorliegenden Fall könnte der Kläger argumentieren, dass er die PushTAN aufgrund einer Täuschung durch die Betrüger freigegeben hat und somit seine Autorisierung der Zahlungen anfechten kann.
  • § 823 BGB (Schadensersatzpflicht): Dieser Paragraph regelt die Haftung für Schäden, die durch unerlaubte Handlungen verursacht wurden. Im konkreten Fall wurde geprüft, ob die Bank für den Schaden des Klägers durch den nicht autorisierten Zugriff auf sein Konto haftet, da sie möglicherweise ihre Sorgfaltspflicht bei der Überprüfung der Transaktionen verletzt hat.
  • § 263 StGB (Betrug): Dieser Paragraph stellt den Betrug unter Strafe. Im vorliegenden Fall haben die Betrüger durch Vorspiegelung falscher Tatsachen (Identität als Bankmitarbeiter) den Kläger zur Freigabe der PushTAN gebracht und somit eine Straftat begangen.

Das vorliegende Urteil

LG Heilbronn – Az.: Bm 6 O 378/23 – Urteil vom 02.04.2024

1. Die Beklagte wird verurteilt an den Kläger 13.356, 25 € nebst Zinsen hieraus i.H.v. 5 Prozentpunkten über dem Basiszinssatz seit dem 14.12.2022 zu bezahlen.

2. Die Beklagte wird verurteilt an den Kläger 75,74 € nebst Zinsen hieraus i.H.v. 5 Prozentpunkten über dem Basiszinssatz seit dem 30.12.2022 zu bezahlen.

3. Die Beklagte wird verurteilt an den Kläger weitere 1.134,55 € brutto nebst Zinsen hieraus i.H.v. 5 Prozentpunkten über dem Basiszinssatz seit dem 01.07.2023 zu bezahlen.

4. Die Beklagte trägt die Kosten des Rechtsstreits.

5. Das Urteil ist gegen Sicherheitsleistung in Höhe von 110 % des jeweils zu vollstreckenden Betrags vorläufig vollstreckbar.

Beschluss

Der Streitwert wird auf 13.356,25 € festgesetzt.

Tatbestand

Der Kläger macht gegen die Beklagte einen Zahlungs- bzw. Rückbuchungsanspruch wegen Zahlungen mittels Apple-Pay bzw. der dafür genutzten digitalen SparkassenCard geltend.

Der Kläger ist Privatkunde bei der Beklagten in C. und führt dort sein Girokonto und verwendet auch das Onlinebanking.

Lesen Sie jetzt weiter…

Insoweit haben die Parteien die Bedingungen für das Online-Banking Stand 14.9.2019 der Beklagten vereinbart, in denen es u.a. heißt:

„7.3 Prüfung der Auftragsdaten mit von der Sparkasse angezeigten Daten

Die Sparkasse zeigt dem Teilnehmer die von ihr empfangenen Auftragsdaten (z. B. Betrag, Kontonummer des Zahlungsempfängers, Wertpapierkennnummer) über das gesondert vereinbarte Gerät des Teilnehmers an (z. B. mittels mobilem Endgerät, Chipkartenlesegerät mit Display). Der Teilnehmer ist verpflichtet, vor der Bestätigung die Übereinstimmung der angezeigten Daten mit den für den Auftrag vorgesehenen Daten zu prüfen.“

Unter Verwendung einer digitalen Sparkassenkarte (Apple Pay) wurden in verschiedenen Ladengeschäften in Hamburg zwischen dem 5.12 und dem 8.12.2022 mehrere Sachgüter bzw. Gutscheine gekauft, die zu 32 Abbuchungen in Höhe von insgesamt 13.356,25 E vom Girokonto des Klägers geführt haben (K 1). Die Übernahme des Schadens wurde von der Beklagten abgelehnt.

Der Kläger trägt im Wesentlichen vor, er habe das Konto bei der Beklagten zum 28.02.2024 gekündigt und dieses befinde sich im Haben, weshalb ein Zahlungsanspruch bestehe. Die digitale Sparkassenkarte sei ohne sein Wissen erstellt worden und habe sich nie in seiner Verfügungsgewalt befunden, die Geschäftsvorgänge seien von einem unbekannten Täter vorgenommen und von ihm am Samstag, 10.12.2022 bemerkt und am 12.12.2022 der Kundenberaterin bei der Beklagten gemeldet worden. im Zuge dieses Gesprächs sei er darauf hingewiesen worden, dass eine digitalisierte Version seiner EC-Karte am 18.10.2022 für den Zahlungsdienst Apple Pay erstellt worden sei, wovon er das erste Mal Kenntnis erlangt habe. Auf Anraten habe er bei der Polizei C Anzeige erstattet. Auszugsweise werde in dem mittlerweile wegen Nichtermittelbarkeit der Täter eingestellten Ermittlungsverfahren ausgeführt:

„Seit März 2022 bietet die Sparkasse ihren Kunden die Möglichkeit über ihr Homebanking Portal eine digitale EC/Debitkarte zu generieren. Hierzu wird nach dem Login im Kundenportal zur Erstellung lediglich eine TAN-nummer benötigt. Im Anschluss kann die Karte in Mobilgeräten über die App „Mobiles Bezahlen“ (Android) oder ein Wallet (Apple) eingepflegt und genutzt werden. Die Karte besitzt eine eigene Kartennummer und verfügt grundsätzlich über einen Verfügungsrahmen von 5.000 € pro Tag. Nach hiesiger Kenntnis bietet die Sparkasse diesen Service bislang exklusiv an.

Betrüger haben sich dieses neue Feature zunutze gemacht, indem Sie die Zugangsdaten von Bankkunden mittels Phishing ausspähen und damit solche Karten generieren. Die Phishing Links werden per E-Mail oder SMS verteilt und führt zu einer, der originalen Anmeldeseite des Homebanking Portals der Sparkasse nachempfundenen Eingabemaske. Im Unterschied zu digitalen Kreditkarten können digitale EC-Karten nur an Kartenterminals in den Geschäften vor Ort und nicht im Internet eingesetzt werden. Der Täter oder eine von ihm beauftragte Person muss somit zwingend persönlich in Erscheinung treten. Bei den bereits bekannt gewordenen Fällen gingen die Täter überwiegend Tankstellen und Drogeriefilialen an, um sich dort Guthabenkarten zu kaufen.“

Der Kläger ist der Auffassung, sein spätestens zum 13.12.2022 fälliger Anspruch ergebe sich aus § 675u BGB, da die Zahlungen nicht autorisiert seien. Ihm sei nicht bekannt, eine push-tan-Nachricht zur Freischaltung der Karte mit dem Texthinweis „digitale Karte für Apple Pay abrufen. Aktuelle Phishing Warnung: Nach Freigabe sind Zahlungen mit der Karte sofort möglich. Sicherheitshinweise beachten und bei Zweifeln abbrechen“ bestätigt zu haben. Die Log Dateien der Sparkasse zeigten am 18.10.2022 eine Registrierung einer Karte bei Apple Pay in der Zeit von 13:30 — 13:32 Uhr, wobei der Übermittler des Auftrags der Benutzer mit der dem Kläger zugeordneten Benutzerkennung 4010522181 gewesen sein soll, deren Erstellung und Autorisierung durch ihn nie erfolgt sei. Es sei davon auszugehen, dass die Täter die Bestätigung per pushTAN selbst ausgeführt hätten. Dies wäre technisch möglich, wenn die Täter auch Zugriff auf das Handy des Klägers erlangt hätten. Zudem gehe es nicht um die Eingabe einer TAN, sondern um eine Freigabe durch Wischen des Freigabe-Buttons (Swipe-Button). Der Kläger könne sich an einen solchen Vorgang nicht erinnern, da es einem Menschen nicht möglich sei, sich an Vorgänge zu erinnern, die nicht geschehen seien. Die Log-Dateien der Sparkasse zeigten am 18.10.2022 um 23:12 Uhr zudem den weiteren, ebenfalls nicht vom Kläger autorisierten Versuch der Registrierung einer zweiten Karte bei Apple Pay, was die Beklagte jedenfalls zu einer Nachfrage hätte veranlassen müssen. Er vermute, dass seine Zugangsdaten zum Onlinebanking seitens der Täter unbemerkt durch Hacking bzw. mittels Phishing erlangt worden seien. In der Regel sei zur Freischaltung der Bankkarte ein weiterer Angriff erforderlich, der oft in Form eines sog. Social-Engineering-Angriffes erfolge mittels eines Anrufs und Verschleierns der wahren Identität bzw. Vorgabe jemand anderes zu sein. Selbst wenn der Kläger aus Unaufmerksamkeit eine Bestätigung der push-Benachrichtigung herbeigeführt hätte, sei dieses Mitverschulden auf ein Mindestmaß begrenzt. Die Hinweistexte der push-Benachrichtigungen seien in minimaler Textgröße geschrieben. Der Hinweistext mache nur 19 % der Bildschirmoberfläche aus; die Textzeile mit dem essentiellen Hinweis, dass eine Überweisung oder ein „Auftrag“ freigegeben werde, sogar nur 2% (K 7). Des Weiteren habe er zum Zeitpunkt der Erstellung auf Anraten seiner Bankberaterin erst zum 18.08.2022 von der Verwendung von chipTAN auf pushTAN gewechselt, wegen Problemen mehrfach wieder auf chipTAN umgestellt und erst zum 07.10.2022 eine funktionierende pushTAN Verbindung eingerichtet bekommen. Durch die seitens der Beklagten bereitgestellte Log-Informationen über den Auftrag vom 18.10.2022, 13:32 Uhr zur Erstellung einer digitalen Sparkassen Karte könne der Beweis, dass der Kläger die Erstellung der digitalen Sparkasse autorisiert hat, nicht geführt werden. Für Betrüger sei es heutzutage ein leichtes, sich auf das Endgerät eines Nutzers zu schalten, push-Nachrichten zu verzögern, zu löschen, auszulösen oder diese textlich zu verändern.

Er selbst habe sich zu den Auszahlungszeitpunkten als Lehrer mit den regulären Unterrichtsstunden in C, aber nie in Hamburg befunden.

Erst aufgrund mangelhafter interner Sicherheitsrichtlinien und unter Verstoß gegen die Kontrollpflichten nach § 25h Abs. (1) KWG i.V.m. § 6 GwG sei die wiederholte Abbuchung der Beträge überhaupt erst ermöglicht worden. Nach Kontaktaufnahme mit der Beklagten wegen eines verdächtigen möglichen Pishing-Anrufs Mitte Juli 2022 habe er seinen Computer auf Schadstoffsoftware überprüfen lassen und nach negativem Ergebnis (Rechnung Fa. S K 8) sei das Online-Banking wieder freigeschaltet worden. Dies habe nicht erfolgen dürfen ohne Ausstellung einer neuen Bankkarte und eines neuen Passwortes. Des Weiteren hätte durch das Risikomanagement und die internen Sicherungsmaßnahmen der Sparkasse eine Abbuchung der Beträge verhindert werden müssen. Die Abbuchungen vom Girokonto vom 05.12.2022 in verschiedenen R-Märkten in Hamburg seien sehr auffälliger Natur gewesen. Zu nennen seien hier zunächst die Geldabhebungen um 12:21 Uhr über 359,09€, um 15:24 Uhr über 450,00 €, um 15:27 Uhr und um 15:28 Uhr im demselben R Markt nacheinander 100,00€, um 15:45 Uhr eine weitere Abhebung von 500,00€, um 16:20 Uhr weitere 460,00€ und um 16:45 Uhr die letzte Abhebung des Tages in Höhe von 450,79€, an diesem Tag in den Rewe Märkten insgesamt also 2.579,42 €. Einem Algorithmus oder einem zur Kontrolle der Zahlungsvorgänge eingesetzter aufmerksamer Mitarbeiter der Sparkasse hätte diese Auffälligkeiten problemlos ausmachen können. Die im Bankensektor eingesetzten Sicherheitsstandards seine bei der Beklagten trotz gesetzlicher Verpflichtung anscheinend nicht oder nur unzureichend vorhanden bzw. hätten in diesem Fall versagt. Entweder hätte die Karte sofort gesperrt oder der Kläger zumindest von einem Mitarbeiter der Bank angerufen werden müssen, um nachzufragen, ob er sich an Schultagen, an denen er sich in der Schule aufzuhalten hat, ausnahmsweise in Hamburg aufhält. Die Abhebungen hätten zu Geschäftszeiten der Bank stattgefunden, weshalb ein solches Vorgehen jederzeit möglich gewesen wäre. Das gleiche gelte für die Abhebungen in den R Märkten am 6.12.2020 i.H.v. 100,00 € um 15:00 Uhr, 324,50€ um 13:22 Uhr und 500,00€ um 12:58 Uhr sowie die Abhebungen im K Hamburg vom 07.12.2022 i.H.v. 100,00€ um 15:40 Uhr und um 15:15 Uhr. Er habe sich nach den Abhebungen und Zahlungen vom 05.12.2022 bereits in Höhe von 1.594,27 € tief in seinem Dispokredit befunden. Spätestens ab dem Zeitpunkt, an dem ein Kunde seinen Dispositionsrahmen sprengt, hätte eine Kontrollfunktion bei der Beklagten Alarm schlagen müssen. Dennoch seine die Abhebung bzw. Zahlung von hohen Beträgen wie z.B. die Zahlungen im S vom 06.12.2022 um 11:40 Uhr, i.H.v. 1.230,00 € oder die Zahlung kurz darauf ebenfalls im S um 13:40 Uhr i.H.v. 1.200,00 € und dem A.Hamburg i.H.v. 700 € sowie Abhebungen bzw. Zahlungen am 07.12.2022 nochmals im A.Hamburg i.H.v. 1.250,00 € bis zur völligen Ausschöpfung des Dispositionsrahmens möglich gewesen.

Die Beklagte könne zudem nicht nach § 675v Abs. (1) oder (3) BGB mit einem Schadensersatzanspruch aufrechnen, da diese pflichtwidrig keine starke Kundenauthentifizierung gemäß § 1 Abs. (2) ZAG verlangt habe. Es greife somit das Haftungsprivileg des § 675v Abs. (4) Nr. 1 BGB. Aufgrund der nicht erfolgten Zurückversetzung des Kontos auf den vorherigen Stand seien ihm als Verzugsschaden zu ersetzende Zinsen i.H.v. 75,47 € angefallen (K 9). Er sei zur Inanspruchnahme der Dienste der Klägervertreter aufgrund von Zahlungsverzug der Beklagten berechtigt und könne die entstandenen Kosten der Rechtsverfolgung von 1.134,55 € brutto (Gegenstandswert: 13.431,72 €) geltend machen.

Der Kläger beantragt (Klage vom 6.11.2023):

1. Die Beklagte wird verurteilt an den Kläger 13.356, 25 € nebst Zinsen hieraus i.H.v. 5 Prozentpunkten über dem Basiszinssatz seit dem 14.12.2022 zu bezahlen.

2. Die Beklagte wird verurteilt an den Kläger 75,74 € nebst Zinsen hieraus i.H.v. 5 Prozentpunkten über dem Basiszinssatz seit dem 30.12.2022 zu bezahlen.

3. Die Beklagte wird verurteilt an den Kläger weitere 1.134,55 € brutto nebst Zinsen hieraus i.H.v. 5 Prozentpunkten über dem Basiszinssatz seit dem 01.07.2023 zu bezahlen.

Die Beklagte beantragt, die Klage abzuweisen, und trägt dazu im Wesentlichen vor, sie würde allenfalls auf Rückbuchung haften. Zuletzt hat sie bestätigt, dass die Kontenverbindung erloschen ist. Die streitgegenständlichen Zahlungsvorgänge vom 5.12. bis 08.12.2022 gälten aufgrund technisch nicht manipulierbarer Beweismittel im Sinne von § 675w BGB als autorisiert, nachdem der Kläger die Digitalisierung seiner Sparkassencard selbst im Bezahldienst Apple Pay am 18.10.2022 vorgenommen habe, nachdem er diese digitale Sparkassenkarte generiert habe. Der Kläger könne sich sowohl wegen der erfolgten Autorisierung im Sinne von § 675w BGB als auch wegen grob fahrlässiger Verletzung seiner Pflichten im Rahmen des Online-Bankings nicht auf eine Erstattungspflicht der Beklagten gemäß § 675u BGB berufen. Soweit er betrügerische Handlungen vortrage, die zu den Zahlungsvorgängen geführt haben sollen, sei der Betrug aufgrund seines grob fahrlässigen Verhaltens überhaupt erst möglich gewesen, nachdem er die digitale Sparkassenkarte selbst generiert und einem möglichen unberechtigten Dritten pflichtwidrig deren Kenntniserlangung ermöglicht habe. Aus den technischen Protokollen könne entnommen werden, dass die Digitalisierung der Sparkassen-Card des Klägers in Apple Pay am 18.10.2022 um 13:32 Uhr erfolgte. Die übermittelte Anlage B 1 enthalte zunächst die Daten zum Online-Banking-Vertrag mit dem Kläger, im Anschluss hieran die Legitimationsmedien und danach die zwischen Ende Juli und Ende November durch den Kläger erteilten Aufträge, die ausnahmslos über die Push-TAN-Verbindung mit seinem Handy vorgenommen worden seien, u.a. eben auch die Digitalisierung der Sparkassen-Card am 18.10.2022 um 13.32 Uhr. Diese vom Kläger erfolgte Freigabe der Digitalisierung über die S-Push-TAN-App entspreche den gesetzlichen Vorgaben der 2-Faktor-Authentifizierung. Aus dem Protokoll könne weiter entnommen werden, dass der Kläger mit dem eingesetzten biometrischen Merkmal die Digitalisierung der Sparkassen-Card auf Apple Pay freigegeben habe, nachdem er mit folgendem Visualisierungstext über den Inhalt der Freigabe unterrichtet worden sei:

Digitale Karte für Apple Pay abrufen Aktuelle Phishing-Warnung: Nach Freigabe sind Zahlungen mit der Karte sofort möglich. Sicherheitshinweise beachten und bei Zweifeln abbrechen!

Diese Freigabe könne dem Kläger auch direkt und zweifelsfrei zugeordnet werden über die diesem allein zugeordnete Legitimations-ID. Bei der Freigabe über die S-Push-TAN-App werde eine 16-stellige Legitimations-ID dokumentiert, die vorliegend gelautet habe: 4…. Über diese S-Push-TAN-App und die damit verbundenen Legitimations-ID habe der Kläger bereits vor dem 18.10.2022 mehrfach Transaktionen freigegeben, die er nicht reklamiert habe. Es sei zwingend davon auszugehen, dass die Digitalisierung durch den Kläger selbst erfolgte, da nur er über die mit seinem Handy verbundenen Legitimations-ID verfüge und bei der Freigabe über dieses Handy eine (oder mehrere) TANs eingeben müsse. Die einzelnen Zahlungsvorgänge seien damit autorisiert. Das S-Push-TAN-Verfahren sei ein im Zahlungsverkehr eingesetztes sicheres Authentifizierungsverfahren, dessen Sicherungssystem technisch praktisch nicht zu überwinden sei, so dass es Unbefugten auch nicht möglich sei, die Sicherheitsvorkehrungen zu umgehen. Wenn die Zahlungsvorgänge von einem mobilen Endgerät eines Dritten erfolgt sein sollten und/oder dieser Dritte die Digitalisierung der Sparkassen-Card auf diesem mobilen Endgerät vorgenommen hätten, sei dies nur infolge des grob fahrlässigen, gar leichtfertigen Verhaltens des Klägers möglich gewesen. Es bestehe die technische Notwendigkeit, dass die durch die Autorisierung im TAN-Freigabeverfahren mittels S-Push-TAN-Verfahren erfolgende Generierung einer TAN händisch vorgenommen wird und dann noch die Eingabe im entsprechenden Transaktionsverfahren – hier der Digitalisierung der Sparkassen-Card – erforderlich ist. Dies bedeute, der Kläger habe mit Sicherheit die Digitalisierung der Sparkassen-Card selbst und händisch vorgenommen. Bei dem Kläger hätten alle Warnsignale aufleuchten müssen bei dem Hinweis auf die Freigabe von Apple Pay. Der Kunde sei aufgrund der vereinbarten Bedingungen für das Online-Banking, dort gemäß der Z. 7.1 und der Z. 7.3 verpflichtet, die Authentifizierungselemente zu schützen und vor der Freigabebestätigung die Übereinstimmung der angezeigten Daten mit den für den Auftrag vorgesehenen Daten zu prüfen. Der Kläger habe ganz offensichtlich grob pflichtwidrig gehandelt, wenn er behaupte, er habe die Digitalisierung seiner Sparkassen-Card niemals vorgenommen, gleichzeitig jedoch nachgewiesen werden könne, dass der oben zitierte Visualisierungstext am 18.10.2022 auf seinem Handy erschienen sei und er im Nachgang hierzu noch eine TAN eingegeben habe, um die digitale SparkassenCard freizugeben, zumal er selbst ein Android-Handy verwende.

Deshalb stünden der Beklagten, falls das Gericht nicht von vorneherein zu einer ordnungsgemäßen Autorisierung der Zahlungsvorgänge gelange, ersatzweise Schadensersatzansprüche gemäß §§ 675 v Abs. 3, 675 l BGB i.V.m. Z. 10.2.1 (3) der Bedingungen für das Online-Banking zu in Höhe der 32 Zahlungsvorgänge und damit der Klagforderung, mit denen die Aufrechnung erklärt werde.

Hinsichtlich des weiteren Parteivorbringens wird auf die gewechselten Schriftsätze nebst Anlagen Bezug genommen. Der Kläger wurde im Termin mündlich angehört.

Entscheidungsgründe

Die zulässige Klage ist vollständig begründet. Dabei bedarf es keiner weiteren sachverständigen Feststellungen zur Frage, ob der Kläger selbst die Freigabe der Sparkassencard für die Teilnahme am Apple-Pay-Verfahren mittels push-TAN-Verfahren freigegeben hat. Denn selbst wenn man zu Gunsten der Beklagten davon ausgeht, dass der Kläger die Freigabe von Apple-Pay für die Sparkassen-Card selbst durch das s-TAN-push-Verfahren freigegeben hat, stellen sich die mittels Apple-Pay veranlassten Zahlungen als nicht autorisiert dar, sodass er gem. § 675 u S. 2 BGB einen Erstattungsanspruch hat. Mangels grober Fahrlässigkeit steht der Beklagten auch kein aufrechenbarer Schadensersatzanspruch gem. § 675v Abs. 3 Nr. 2 lit. a), b) BGB zu. Im Einzelnen:

1. Allgemeines

Zunächst ist zu den streitgegenständlichen Zahlungsvorgängen mittels Apple Pay folgendes zur allgemeinen Funktionsweise und dem besseren Verständnis vorauszuschicken (siehe Bundesamt für Sicherheit in der Informationstechnik BSI, Broschüre „Sicher zahlen Im E-Commerce, abrufbar: https://www.bsi.bund.de/dok/15083192):

Apple Pay ist eine Technologielösung für Banken, um ihren Kunden die Möglichkeit zu bieten, in Geschäften kontaktlos mit Bezahlkarten der Bank des Kunden über Near Field Communication (NFC) am Zahlungsterminal (POS), oder im Internet (E-Commerce) zu bezahlen. In beiden Fällen muss die Transaktion vom Konsumenten biometrisch (durch Touch ID oder Face ID) oder über den Passcode des Smartphones bestätigt werden. Kunden verwenden immer die von der Bank ausgegebenen Karten, um Zahlungen über den Apple Pay Service zu tätigen, und alle Transaktionen werden vom Kartenaussteller authentifiziert. Am POS hält der Kunde das mobile Apple Endgerät an das Zahlungsterminal. Auch im E-Commerce wird Apple Pay inzwischen oft als Bezahlart angeboten. Hier wird die Transaktion über das Internet von der Bank des Kunden authentifiziert. In beiden Fällen muss die Transaktion durch Touch ID bzw. Face ID oder den Passcode des Smartphones bestätigt werden. Beteiligt sich die Bank des Kunden an Apple Pay, wird zur Aktivierung von Apple Pay die Debit- oder Kreditkarte dieser Bank vom Kunden als Token in einem Chip, dem „Secure Element” verarbeitet und gespeichert. Dabei handelt es sich um ein besonders abgesichertes Hardware Element im Endgerät, das in diesem Kontext ähnlich zu einem Chip auf einer Karte agiert. Der Kunde kann diesen Prozess direkt über die mobile App seiner Bank oder durch Hinzufügen seiner Kartendaten bei der Einrichtung seines neuen Geräts oder über die Wallet-App initiieren. Die Bank führt dann eine Identitätsprüfung durch, bevor die Karte für den Dienst freigeschaltet wird. Dieser Prozess kann von Bank zu Bank variieren. In der Regel werden die Authentisierungsmittel des Online-Bankings genutzt. Sensitive Daten der hinterlegten Debit- oder Kreditkarte werden im Smartphone nicht gespeichert. Stattdessen erzeugt die Bank des Kunden neue Daten für das Gerät („Tokenisierung“), die es der Bank ermöglichen, das Smartphone der hinterlegten Karte zuzuordnen. Diese Daten werden im „Secure Element” verarbeitet und gespeichert. Das Smartphone erzeugt aus den Daten im Secure Element einen für den Kunden nicht sichtbaren dynamischen Authentifizierungscode. Dieser Code wird bei der Zahlung an die Bank übermittelt und ermöglicht es der Bank, den Kunden anhand des Eigentums am Gerät zu authentifizieren. Der Händler erhält von Apple Pay keine Kundendaten, sondern nur die Information, dass die Zahlung erfolgt ist. Zahlungen über Apple Pay werden unabhängig vom Zahlungsbetrag immer über zwei unabhängige Elemente authentifiziert: Zum einen über das Smartphone („Besitz”), zum anderen über Touch ID bzw. Face ID („Inhärenz”) oder Geräte-Passcode („Wissen”). Um im Geschäft zu bezahlen, hält der Kunde das Smartphone an das Terminal und authentifiziert sich mit Touch ID bzw. Face ID. Selbst wenn ein Betrüger das Smartphone stiehlt, kann er keine Zahlung freigeben, da er nicht über die an die Touch ID bzw. an die Face ID gekoppelten biometrischen Merkmale des Kunden verfügt. Außerdem kann ein Betrüger das Smartphone nicht unbemerkt über die NFC-Schnittstelle kontaktieren und eine Zahlung auslösen („Relay-Angriffe“), da die Authentifizierung mittels Touch ID bzw. Face ID nicht vorgenommen wurde.

Es handelt sich also um eine Form des sog. „Mobile Payments“, in dem eine kontaktlose Zahlung im Nahbereich eingeleitet wird mithilfe eines mobilen Endgerätes (Smartphone, im Rahmen von Apple Pay einem I-Phone), auf dem ein Zahlungsmittel mittels Token in einem „Secure-Element“ gespeichert ist und das über eine Funktechnologie verfügt (NFC, Bluetooth Low Energy etc.). Die physische Karte bzw. die Kartendaten werden also durch das NFC-fähige Endgerät substituiert (virtuelle Karte).

2.

Der Kläger hat einen Anspruch aus §§ 675u S. 2, 675f BGB auf Zahlung von insgesamt 13.356,25 € gegenüber der Beklagten.

a.

Der Anspruch des Klägers aus § 675u S.2 BGB ist zunächst entstanden.

aa)

Als Rechtsfolge gewährt § 675u S. 2 BGB einen Erstattungsanspruch. „Erstattung“ ist der Oberbegriff für die Auszahlung und die Stornobuchung, d.h. die Wertstellung in Höhe der nicht autorisierten Zahlung. Der Anspruch ist in der Regel auf Wertstellung in Höhe der nicht autorisierten Zahlung gerichtet, nicht unmittelbar auf Zahlung. Im vorliegenden Fall hat der Kläger die Geschäftsbeziehung unstreitig zum 28.2.2024 gekündigt, so dass – unabhängig vom Urteil des OLG Stuttgart vom 8.2.2023 -9 U 200/22, Rz. 30 – jedenfalls ein Zahlungsanspruch besteht, da eine Stornobuchung nicht mehr möglich ist.

bb)

Zunächst ist festzustellen, dass der Anwendungsbereich der Vorschriften der §§ 675 c ff. BGB eröffnet ist. Nach der Rechtsprechung des EuGHs (BKR 2021, 234 ff.) ist auch die NFC-Funktion einer Zahlungskarte als Zahlungsinstrument zu qualifizieren.

cc)

Die streitgegenständlichen einzelnen Zahlungsvorgänge mittels Apple Pay waren vom Kläger nicht autorisiert. Nach der Legaldefinition des § 675j Abs. 1 S. 1 BGB ist die Autorisierung die wirksame Zustimmung des Zahlers zum Zahlungsvorgang, welche nach § 675j Abs. 1 S. 2 BGB als Einwilligung oder, sofern zwischen dem Zahler und seinem Zahlungsdienstleister zuvor vereinbart, auch als Genehmigung erteilt werden kann. Selbst eine Stellvertretung ist insoweit grundsätzlich möglich (Jungmann in: Münchener Kommentar zum BGB, 8. Aufl., § 675j Rz. 14; Berger in: Jauernig, BGB, 18. Aufl., § 675j Rz. 1; differenzierend Köndgen in: beck-online.GROSSKOMMENTAR, Stand: 01.04.2022, § 675j BGB Rz. 17 ff.; Schmalenbach in: BeckOK BGB, 62. Ed., Stand: 01.05.2022, § 675j Rz. 3).

Die vereinzelt vertretene Ansicht, dass in Fällen, in denen der Nutzer seine persönlichen Daten in die Eingabemaske einer manipulierten Webseite eingibt und sie somit unbewusst an den Angreifer weiterleitet, das Einverständnis des Nutzers zu den durch den Angreifer sodann durchgeführten Zahlungsvorgängen nach den Grundsätzen der Rechtscheinsvollmacht zuzurechnen sei (z.B. LG Darmstadt, Urteil v. 28.08.2014, Az. 28 O 36/14, juris Rz. 37 ff.), ist abzulehnen. Gleiches muss für die vorliegende Sonderform der Verschaffung von Kreditkartendaten durch einen Pishing-Angriff und deren Freischaltung für Apple-Pay durch eine erschlichene PushTAN gelten. Die Grundsätze über die Duldungs- und Anscheinsvollmacht finden in Bezug auf die Zustimmung i.S.v. § 675j BGB richtigerweise keine Anwendung (BGH, Urteil v. 26.01.2016, Az. XI ZR 91/14, Rz. 55 ff.; Urteil v. 16.06.2015, Az. XI ZR 243/13, Rz. 22 ff.; Köndgen in: beck-online. GROSSKOMMENTAR, Stand: 01.04.2022, § 675j BGB Rz. 20; Schulte-Nölke in: Schulze, BGB, 11. Aufl., § 675j Rz. 2;).

Der Kläger trägt vor, dass er keine der streitgegenständlichen Zahlungen veranlasste, sondern ein unbekannter Dritter ohne sein Wissen und Wollen in Hamburg mit Hilfe eines I-Phones und Apple Pay, während er in C seinem Beruf als Lehrer nachgegangen sei. Dies wird von der Beklagten, die zwar zu diesem Sachverhalt keine eigene Kenntnis haben kann, aber schon nicht substantiiert bestritten. Vielmehr steht für das Gericht nach der Parteianhörung in Verbindung mit den weiteren tatsächlichen Umständen fest (§ 286 ZPO), dass er weder im gegenständlichen Zeitraum weder selbst in Hamburg war noch ein entsprechend autorisiertes I-Phone mit der Zurverfügungstellung etwaiger starker Authentifizierungsmerkmale an eine dritte Person ausgehändigt hat, die davon Gebrauch gemacht hat: Neben der glaubhaften Schilderung des Klägers, der im Übrigen einen durch und durch glaubwürdigen Eindruck hinterlassen hat, sprechen für die Schilderung des Klägers schon, dass er nach dem Bemerken der Abhebungen am Samstag dem 10.12.2022 gleich am Montag den 12.10.2022 unbestritten bei einer Sachbearbeiterin der Beklagten gemeldet hat und auf deren Anregung hin zeitnah bei der Polizei Strafanzeige gestellt hat. Interessant ist zudem, dass sich aus der polizeilichen Ermittlungsnotiz ohne weiteres entnehmen lässt, dass es sich um keinen Einzelfall handelt. So heißt es darin:  „Betrüger haben sich dieses neue Feature zunutze gemacht, indem Sie die Zugangsdaten von Bankkunden mittels Phishing ausspähen und damit solche Karten generieren.“ , d.h. es handelt sich offensichtlich um keinen Einzelfall. Schließlich kommt hinzu, dass sich aus den vorgelegten Transaktionsdaten ergibt, dass der Kläger das PushTAN Verfahren erst ab Juli 2022 versucht hatte, in Benutzung zu nehmen, bezeichnenderweise aber für ein Andoid-Smartphoe (vgl. Anl. B 1 und die dortigen Eintragungen), was sich wiederum mit den Angaben des Klägers deckt, wonach er kein I-Phone benutzte. Schließlich hat der Kläger unwidersprochen vorgetragen, mit der Beklagten im Juli 2022 wegen eines möglichen Pishing-Anrufs in Kontakt gestanden zu haben und daraufhin seinen Computer auf Schadstoffsoftware habe überprüfen lassen, was er durch Vorlage einer entsprechenden Quittung ebenfalls unter Beweis gestellt hat.

Insoweit hilft der Beklagten auch die für die Autorisierung der Zahlungsvorgänge geltende Regelung des § 675w S. 1 BGB nicht weiter:

Es mag zwar sein, dass die Beklagte damit die jeweils vor jedem Zahlungsvorgang erfolgte Prüfung der jeweiligen starken Kundenauthentifizierung mittels zweier Elemente i.S.v. §§ 675 c Abs. 3 BGB, § 1 Abs. 24 ZAG nachweisen kann: So ist nach Art 9 Abs. 2 VO EU 2018/839 (Geltung seit 14.9.2019, Verordnung über technische Regulierungsstandards für eine starke Kundenauthentifizierung etc…, sog. Regulary Technical Standards (RTS)) grundsätzlich auch die Verwendung eines sog. Mehrzweckgerätes möglich. Die Beklagte hat mit den vorgelegten Transaktionsunterlagen auch nachgewiesen das sog Besitzelement (Besitz des Smartphones mit der darauf hinterlegten „virtuellen Karte“) und entweder das Element der Inhärenz (FaceID etc.) oder Wissenselement (Entsperrungscode für das Smartphone).

Wie in § 675 w Satz 3 BGB geregelt, reicht dies aber nicht notwendigerweise für den Nachweis der Autorisierung aus. Der angesprochene mögliche Anscheinsbeweis für eine Autorisierung ist nach Überzeugung des Gerichts anhand der obigen Feststellungen jedenfalls erschüttert. Da sich der Kläger mit Erfolg auf außerhalb des Sicherungssystems (einzelner konkreter Zahlungsvorgang mittels Apple Pay) liegende Umstände berufen kann, kommt es auf die sonst in entsprechenden Verfahren vom BGH formulierten (BGH NJW 2016, 2024 f.) entscheidungserheblichen Frage für die Bejahung eines Anscheinsbeweises nicht an, nämlich ob das zur Verwendung gekommene Sicherheitssystem praktisch unüberwindbar ist und ob der Anscheinsbeweis bei Zahlungsabwicklung nur über ein einziges mobiles Endgerät generell ausscheidet (Hoffmann/Haupert/Freiling ZHR 2017, 780 f.; siehe auch Linardatos in Münchner Kommentar zum HGB, 5. Aufl. 2023 Online-Banking Rz. 256 ff.).  Es geht nach dem Parteivortrag gerade nicht um eine Kompromittierung/Ausnutzung einer technischen Sicherheitslücke bei Verwendung des Smartphones im Rahmen der jeweiligen NFC-Zahlung, sondern um einen Missbrauch im Vorfeld der einzelnen Zahlungsvorgänge, nämlich bei Installation der virtuellen Karte auf einem Smartphone mit Hilfe ggf. mittels Pishing erlangter Daten und der Aktivierung dieser virtuellen Karte mit Hilfe einer „erschlichenen“ PushTAN-Freigabe.

Daran zeigt sich aber auch die besondere Risikobehaftung des Vorgangs der Einrichtung u.a. von Apple Pay: Mit einer einmal missbräuchlich erfolgten „Scharfstellung“ der mit erbeuteten Daten installierten virtuellen Kreditkarte auf einem fremden Smartphone eines Dritten kann dieser prinzipiell jederzeit und an jedem Ort mit Hilfe eines einzigen Mehrzweckendgerätes, mit dem alleine dann alle erforderlichen starken Kundenauthentifizierungsmerkmale erfüllt werden können, ohne Kenntnis des Konteninhabers (bzw. erst nach dem Erscheinen und Entdecken der entsprechenden Buchungen auf dem Konto) Zahlungen vornehmen. Diesem Umstand trägt im Übrigen auch Art 9 Abs. RTS Rechnung, der bei der Verwendung sog. Mehrzweckgeräte gesonderte Sicherheitsmaßnahmen zur Risikominderung vor dessen missbräuchlicher Verwendung postuliert.

3.

Der Anspruch des Klägers nach § 625u S. 2 BGB ist auch nicht durch wirksame Aufrechnung der Beklagten wieder erloschen, § 389 BGB.

Die Beklagte hat in der Klageerwiderung die Gegenforderung beziffert und die Aufrechnung ausdrücklich erklärt, § 388 BGB.

Die Beklagte hat nach § 675v Abs. 3 Nr. 2 lit. a), b) BGB keine Gegenansprüche auf Schadensersatz gegen den Kläger jeweils mindestens in Höhe dessen Erstattungsansprüche gemäß § 675u S. 2 BGB. Dabei gilt in rechtlicher Hinsicht, dass nach § 675 v Abs. 3 Nr. 2 BGB der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet ist, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler den Schaden herbeigeführt hat durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehrerer Pflichten gemäß § 675 l Absatz 1 BGB oder einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments. Eine grobe Fahrlässigkeit liegt nach allgemeinen Regeln vor bei einem objektiv schweren und subjektiv nicht entschuldbarem Verstoß gegen die Anforderungen der im Verkehr erforderlichen Sorgfalt, wenn also das außer Acht gelassen wird, was jedem hätte einleuchten müssen.

Nach § 675 l Abs. 1 S. 1 BGB ist der Zahler verpflichtet, unmittelbar nach Erhalt eines Zahlungsauthentifizierungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Personalisierte Sicherheitsmerkmale sind gemäß § 1 Abs. 25 ZAG – in der hier maßgeblichen, ab 1.7.2021 geltenden Fassung – personalisierte Merkmale, die der Zahlungsdienstleister einem Zahlungsdienstnutzer zum Zwecke der Authentifizierung bereitstellt. Darunter fallen insbesondere TAN, welche einmal für die Autorisierung einer ganz bestimmten Transaktion eingesetzt werden können, dem Zahlungsdienstnutzer erst im Zusammenhang mit der jeweiligen Transaktion übermittelt werden und nur für eine kurze Zeit gültig sind. Gleiches muss für die Freigabe einer sog. PushTAN im Wege des bloßen Wischens (Swipen) gelten, um die es hier geht.

Unbefugt ist namentlich jede Verwendung, die ohne oder gegen den Willen des Inhabers des Zahlungsinstruments erfolgt und dementsprechend auf die Auslösung eines nicht autorisierten Zahlungsvorgangs gerichtet ist (Jungmann in: Münchener Kommentar zum BGB, 8. Aufl., § 675l Rz. 19). Der Kläger hatte allgemein dafür Sorge zu tragen, dass nicht dritte Personen die unkontrollierte Zugriffsmöglichkeit auf sein Online-Banking oder die Banking-App mittels Zugangsdaten und TAN bekommen und so ohne sein Wissen und Wollen Transaktionen von seinem Konto bei der Beklagten durchführen können (generell zum Sorgfaltsmaßstab beim Online-Banking und beim Mobile Banking ausführlich: Jungmann in: Münchener Kommentar zum BGB, 8. Aufl., § 675l Rz. 42 m.w.N.; s. auch Hofmann in: beck-online GROSSKOMMENTAR, Stand: 01.10.2021, § 675l Rz. 82 ff.). Die vom Zahlungsdienstnutzer geschuldeten Sorgfaltspflichten sind außerdem nach der Art des konkreten Angriffs zu bestimmen.

Die Beweisregel des § 675 w BGB zum Nachweis einer Pflichtverletzung nach § 675 l Abs. 1 oder eines grob fahrlässigen Verstoßes gegen Bedingungen für die Nutzung des Zahlungsinstruments greift nach Auffassung des Gerichts hier schon deshalb nicht, weil es bei der Aktivierung der virtuellen Karte auf dem I-Phone im Rahmen der beabsichtigten Nutzung von Apple Pay nicht um einen Zahlungsvorgang i.S.v. § 675 w BGB geht, was aber Tatbestandsvoraussetzung für die Anwendung dieser Norm ist: Gem. §§ 675c, 675f Abs. 4 BGB ist Zahlungsvorgang jede Bereitstellung, Übermittlung oder Abhebung eines Geldbetrages, unabhängig von der zugrundeliegenden Rechtsbeziehung zwischen Zahler und Zahlungsempfänger. Gemeint ist damit ein tatsächlicher Geldfluss (Grüneberg-Sprau § 675f BGB Rz. 18 mit Verweis auf BT-Drs 16/11643 S. 102; Ellenberger/Bunte 6. Aufl. 2022, Bankrechtshandbuch Rz. 386 zu § 33 im Zusammenhang mit § 675v Abs. 4 BGB, dort auch LG Nürnberg-Fürth Urt. v. 25.Mai 2023 – 6 O 5996/22 nach juris). An einem solchen Geldfluss respektive Zahlungsvorgang fehlt es indessen bei der Freischaltung der virtuellen Karte auf dem I-Phone im Rahmen von Apple Pay. Dabei handelt es sich lediglich um eine Tätigkeit im Vorfeld eines späteren Zahlungsvorgangs.

Das hindert aber nicht einen Rückgriff auf das allgemeine Institut des Anscheinsbeweises: § 675w BGB, der im Bereich des Zahlungsvorgangs den Anscheinsbeweis besonderen Ausprägungen unterwirft, entfaltet außerhalb seines Anwendungsbereiches keine Sperrwirkung dahingehend, dass die Annahme eines Anscheinsbeweises generell ausscheidet (vgl. BGH NJW 2016, 2024 ff; Ellenberger/Bunte a.a.O. § 33 Rz. 174 ff.; MüKo zum HGB a.a.O Rz. 251 ff.).

Insofern beruft sich die Beklagte insbesondere auf einen Verstoß gegen Ziffer 10.3. i.V.m.7.3. ihrer vereinbarten Bedingungen für das Online-Banking Stand 14.9.2019, in denen es heißt:

„7.3 Prüfung der Auftragsdaten mit von der Sparkasse angezeigten Daten

Die Sparkasse zeigt dem Teilnehmer die von ihr empfangenen Auftragsdaten (z. B. Betrag, Kontonummer des Zahlungsempfängers, Wertpapierkennnummer) über das gesondert vereinbarte Gerät des Teilnehmers an (z. B. mittels mobilem Endgerät, Chipkartenlesegerät mit Display). Der Teilnehmer ist verpflichtet, vor der Bestätigung die Übereinstimmung der angezeigten Daten mit den für den Auftrag vorgesehenen Daten zu prüfen.“

Beim Social Engineering/Pishing/Pharming wird von den Tätern die „Schwachstelle Mensch“ ausgenutzt, um auf diese Art und Weise personalisierte Sicherheitsmerkmale auszuspähen und in der Folge Zahlungen auszulösen. Diese Angriffe sind nicht ohne erhebliche Mitwirkung des Zahlungsdienstnutzers möglich. Die vom Zahlungsdienstnutzer zu erwartende angemessene Sorgfalt besteht darin, Zugangsdaten niemandem auf Nachfrage anzuvertrauen, sei es am Telefon, in E-Mails oder im Internet. Wenn sich jedem Zahlungsdienstnutzer in der entsprechenden Situation sowie dem betroffenen Zahlungsdienstnutzer ganz individuell geradezu aufdrängen musste, dass es sich nicht um einen regulären Vorgang handeln kann, ist von grober Fahrlässigkeit auszugehen. Ob der Zahlungsdienstnutzer erkennen muss, dass konkret ein Social-Engineering-Angriff stattfindet, ist stets Frage des Einzelfalls. Bezogen auf die Besonderheiten des Online-Banking liegt bei der telefonischen Weitergabe einer oder mehrerer TAN der Vorwurf einer groben Fahrlässigkeit nahe (LG Saarbrücken, Urteil vom 10.06.2022 – 1 O 394/21, BeckRS 2022, 14866; LG Köln, Urteil vom 10.09.2019 – 21 O 116/19, MMR 2020, 258; BeckOGK/Hofmann, 1.10.2021, BGB § 675l Rn. 93; Langenbucher/Bliesener/Spindler/Herresthal, 3. Aufl. 2020, 3. Kap. BGB § 675v Rn. 63; BeckOK BGB/Schmalenbach, 61. Ed. 1.2.2022, BGB § 675v Rn. 13). Insoweit ist die telefonische Weitergabe einer TAN nicht vergleichbar mit der Eingabe einer oder mehrerer TAN in eine gefälschte Eingabemaske (hierzu BGH, Urteil vom 24.04.2012 – XI ZR 96/11, NJW 2012, 2422), da sich die telefonische Weitergabe der TAN von dem üblichen Übermittlungsweg der TAN (Eingabe online) für jeden Nutzer offensichtlich unterscheidet (LG Saarbrücken, Urteil vom 9. Dezember 2022 – 1 O 181/20 –, Rn. 34 – 35, juris).

Unter Berücksichtigung aller Umstände des hiesigen Einzelfalls ist das Verhalten des Klägers nach Auffassung des erkennenden Gerichts im Ergebnis jedenfalls nicht als grob fahrlässig einzustufen. Die Regeln des Anscheinsbeweises sind auf den Nachweis der subjektiven Voraussetzungen grober Fahrlässigkeit grundsätzlich dann nicht anwendbar, wenn es sich – wie hier – um ein individuelles Versagen handelt. Dieser Grundsatz gilt auch, wenn der Missbrauch des Online-Bankings auf einem Umstand aus der Sphäre des Zahlungsdienstnutzers beruht. Denn ein objektiv grober Pflichtenverstoß rechtfertigt für sich allein noch nicht den Schluss auf ein gesteigertes personales Fehlverhalten, selbst wenn dieses in vergleichbaren Fällen häufig vorliegen sollte. Zwar ist der Anscheinsbeweis zum Nachweis grober Fahrlässigkeit grundsätzlich zulässig, wenn damit lediglich die Annahme eines bestimmten tatsächlichen Verhaltens gestützt werden soll und dieses erst in einem weiteren Schritt rechtlich als grob fahrlässig bewertet wird. Im Falle eines Missbrauchs des Online-Bankings gibt es aber keine Erfahrungssätze, die auf ein bestimmtes typisches Fehlverhalten des Zahlungsdienstnutzers hinweisen würden. Die Vielzahl von Authentifizierungsverfahren, die sich zum Teil erheblich im Sicherungskonzept und in dessen Ausgestaltung unterscheiden, können jeweils auf unterschiedliche Weise angegriffen werden, wozu wiederum verschiedene Pflichtverletzungen des Zahlungsdienstnutzers beitragen können, sodass – anders als bei Nutzung von Zahlungskarten an Geldautomaten ein Missbrauch des Online-Bankings nicht auf ein bestimmtes Verhalten des Zahlungsdienstnutzers hinweist, das sodann als grob fahrlässig eingeordnet werden könnte (BGH NJW 2016, 2024 Rz. 70 ff. nach juris).

Der Kläger bestreitet bereits die Durchführung der Freigabe der PushTAN auf seinem Android-Smartphone für Apple Pay mittels Swipe und vermutet insoweit bereits eine Manipulation von außen ohne jede eigene Mitwirkung.

Auch wenn das Gericht das infolge des zeitlich nachfolgend in Anl. B 1 dokumentierten Versuchs der weiteren Kartenfreischaltung für Apple Pay (erste erfolgreiche Kartenregistrierung für Apple Pay am 18.10.2022 13.32 Uhr, fehlgeschlagener weiterer Versuch vom 18.10.2022 um 23.12 Uhr) nicht für sehr plausibel hält (bei einem vom Kläger offensichtlich vermuteten Man-in-the-Middle-Angriff, der gerade für Telefone mit dem Betriebssystem Android bekannt geworden ist, wo offenbar SIM-Karten der Mobiltelefone dupliziert und SMS darauf umgeleitet wurden, denkbar dann auch für gesendete PushTAN), da dann auch der zweite Kartenfreischaltversuch Erfolg gehabt hätte, bedarf dies keiner weiteren sachverständigen Abklärung: denn auch den Vortrag der Beklagten als zutreffend unterstellt, der Kläger habe die PushTAN zur Freischaltung der virtuellen Karte auf einem I-Phone für Apple Pay freigeschaltet, rechtfertigt dies unter den vorliegenden Gesamtumständen nicht den Vorwurf der groben Fahrlässigkeit.

Es geht gerade nicht um eine telefonische oder sonstige bewusste Weitergabe einer TAN an eine dritte Person: Bei einer solchen Vorgehensweise geht das Gericht in Übereinstimmung mit zahlreichen anderen Gerichten davon aus, dass eine solche, erkennbar außerhalb des Internetmediums online-banking liegende Verhaltensweise, vor der mittlerweile weitflächig und wiederholt ausdrücklich gewarnt wird, grob fahrlässig ist, weil jedem einleuchten muss, dass eine solche Vorgehensweise gegen die erforderliche Sorgfalt verstößt. Ein solch eindeutiger und klarer Sorgfaltsverstoß liegt aber nicht vor. Zwar schreibt 7.3. der Onlinebedingungen eine Prüfung der auf ein Smartphone übermittelten Daten vor Freigabe vor. Auch ist der Beklagten zuzugestehen, dass dem Kläger hätte auffallen müssen, dass ihm  – seinen Vortrag unterstellt, er habe weder ein I-Phone noch Apple Pay für seine Kreditkarte bei der Beklagten über die entsprechende Wallet beantragt  – hätte auffallen müssen, dass er mit der PushTAN-Freigabe trotz des Hinweises Digitale Karte für Apple Pay abrufen Aktuelle Phishing-Warnung: Nach Freigabe sind Zahlungen mit der Karte sofort möglich. Sicherheitshinweise beachten und bei Zweifeln abbrechen! durch Wischen eine digitale Karte für Apple Pay freischaltet mit der Möglichkeit der sofortigen Nutzung, obwohl er eine solche nicht beantragt hat.

Andererseits ist zu berücksichtigen, dass es sich bei Apple Pay im Jahre 2022 noch nicht um eine allgemein verbreitete Zahlungsart gehandelt hat, zumal unstreitig ist, dass die Beklagte erst im März 2022 ihren Kunden die Möglichkeit bot, über ihr Homebanking-Portal eine digitale EC/Debitkarte zu generieren. Auch ist unstreitig und wird durch die vorgelegte Anlage B1 belegt, dass der Kläger erst zum 18.08.2022 von der Verwendung von chipTAN auf pushTAN gewechselt hat, wegen Problemen mehrfach wieder auf chipTAN umgestellt und erst zum 07.10.2022 eine funktionierende pushTAN Verbindung eingerichtet bekommen hat. Die angeforderte Freigabe erfolgte bereits am 18.10.2022. Damit kann festgestellt werden, dass der Kläger im Umgang mit dem für ihn neuen PushTAN Verfahren keineswegs vertraut war und es auch im Vorfeld verschiedenste (fehlgeschlagene) Versuche von Zahlungsfreigaben gegeben hat. Schließlich kann nicht unberücksichtigt bleiben, dass die vereinbarten Onlinebedingungen der Beklagten aus dem Jahre 2019 stammen, also einem Zeitpunkt, zu dem die Beklagte die Möglichkeit der Generierung einer virtuellen Kreditkarte für Apple Pay noch gar nicht zur Verfügung stellte. Dementsprechend sah 7.3. der Onlinebedingungen als Beispiel auch nur die Prüfung der Daten wie Betrag, Kontonummer des Zahlungsempfängers, Wertpapierkennnummer vor. Die gesamten vorhergehenden, sehr ausführlichen und konkreten Verhaltensvorgaben unter Ziff. 7 Der Onlinebedingungen befassten sich dementsprechend in keiner Weise mit einer möglichen Freischaltung digitaler Kreditkarten. Der allgemein gehaltene Hinweis in der Push-Nachricht auf eine Pishing-Warnung war allgemein gehalten und nicht aussagekräftig: Der Hinweis, dass nach Freigabe sofort Zahlungen möglich sind, weist auf die Verwendungsmöglichkeit der virtuellen Kreditkarte auf einem Smartphone im Rahmen von Apple Pay hin, enthält aber insbesondere keine für einen Verbraucher nachvollziehbaren Hinweis darauf, dass er ggf. überprüfen soll, ob er selbst tatsächlich die Kreditkarte auf seinem I-Phone für Apple Pay hinterlegt hat und bereits insoweit Pishing-Vorfälle möglich sind. Die Möglichkeit und der tatsächlich erfolgte Missbrauch bei der Erstellung der virtuellen Kreditkarten auf dem Smartphone war jedenfalls 2022 keinesfalls Allgemeingut oder Gegenstand großer öffentlicher Warnhinweise. Hinzu kommt, dass es für den Verbraucher wenig nachvollziehbar ist, dass mit Hilfe abgefischter Kreditkartendaten alleine durch eine per Wischen freizugebende TAN eine virtuelle Kreditkarte freigegeben wird, die dann vom jeweiligen Mehrzweckendgerätebesitzer (Besitzer des I-Phone) unter Benutzung einer starken Kundenauthentifizierung ohne Kenntnis des Kunden verwendet werden kann. Diese Gesamtumstände berücksichtigend vermag das Gericht allenfalls eine normale Fahrlässigkeit in der Person des Klägers festzustellen, nicht aber eine grobe Fahrlässigkeit.

4.

Lediglich ergänzend weist das Gericht darauf hin, dass zumindest auch eine Kürzung des Aufrechnungsanspruchs wegen eines Mitverschuldens der Beklagten nach § 254 BGB naheliegend wäre:

Zwar bestehen im Zahlungsverkehr Warn- und Hinweispflichten der Kreditinstitute zum Schutz ihrer Kunden vor drohenden Schäden nur in Ausnahmefällen. So hat im Überweisungsverkehr ein Kreditinstitut, das aufgrund massiver Anhaltspunkte den Verdacht hegt, dass ein Kunde bei der Teilnahme am bargeldlosen Zahlungsverkehr durch eine Straftat einen anderen schädigen will, diesem gegenüber eine Warnpflicht (BGH Urteil v. 6. Mai 2008 – XI ZR 56/07, BGHZ 176, 281 Rn. 14,15). Die Bank muss aber weder generell prüfen, ob die Abwicklung eines Zahlungsverkehrsvorgangs Risiken für einen Beteiligten begründet, noch Kontobewegungen allgemein und ohne besondere Anhaltspunkte überwachen. Eine Warnpflicht besteht erst dann, wenn die Bank ohne nähere Prüfung im Rahmen der normalen Bearbeitung eines Zahlungsverkehrsvorgangs aufgrund einer auf massiven Verdachtsmomenten beruhenden objektiven Evidenz den Verdacht einer Veruntreuung schöpft (BGH, Urteil vom 24. April 2012 – XI ZR 96/11 –, Rn. 32, juris). Ohne besondere weitere Anhaltspunkte geben Überweisungen mit Auslandsberührung, der Einsatz glatter Beträge und dadurch eintretende Kontoüberziehungen einer Bank ohne nähere Prüfung keinen hinreichenden Anlass, den Verdacht einer Straftat zu schöpfen. Kreditinstitute werden im bargeldlosen Zahlungsverkehr nur zum Zweck der technisch einwandfreien, einfachen und schnellen Abwicklung tätig und haben sich schon wegen dieses begrenzten Geschäftszwecks und der Massenhaftigkeit der Geschäftsvorgänge grundsätzlich nicht um die beteiligten Interessen ihrer Kunden zu kümmern.

Im vorliegenden Fall der Nutzung von Apple Pay mithilfe einer dafür zur Verfügung gestellten digitalen Kreditkarte hält das Gericht indessen durchaus weitergehende Pflichten des Kreditinstituts für gegeben: Der Umstand, dass alleine durch eine PushTAN-Freigabe mittels Wipe eine virtuelle Kreditkarte auf einem Smartphone freigeschaltet werden kann für den dann jeweiligen Besitzer dieses Smartphones, der alleine damit für alle künftigen Zahlungsvorgänge mit Apple Pay über eine starke Kundenauthentifizierung verfügt (Besitzelement: Smartphone, Inhärenz: Face-ID oder vergleichbares) verdeutlicht die besondere Gefahrenlage für einen Missbrauchsangriff wie den vorliegenden. Dies gebietet, wie das im Übrigen auch Art. 2, 3 RTS vorschreiben, dass die Zahlungsdienstleister bei kontaktlosen Zahlungen im Präsenzgeschäft Transaktionsüberwachungsmechanismen unter Beachtung der risikobasierten Faktoren einzubeziehen haben unter Einschluss auch einer ungewöhnlichen Nutzung des Geräts oder der Software unter Analyse von Zahlungsvorgängen, die für den Zahlungsdienstenutzer im Rahmen einer normalen Verwendung der personalisierten Sicherheitsmerkmale typisch sind. Auch diese aufsichtsrechtlichen Pflichten strahlen auf das zivilrechtliche Pflichtenprogramm aus (Linardatos, BKR 2021, 665 ff (S. 675 unter IV.4.). Dafür, dass die im Vergleich zur vorherigen Nutzung im Online-Banking oder im sonstigen Zahlungsverkehr gravierend abweichende Anzahl und Häufung sowie Umfang der Auszahlungsvorgänge durch die Beklagte mit einem wirksamen Programm überwacht wurde, das die sich ergebenden Auffälligkeiten überprüft, ist weder dargetan noch ersichtlich oder hat ersichtlich nicht funktioniert. Vielmehr hat die Beklagte dargestellt, dass im Jahre 2022 bei ihr bezüglich von Kartentransaktionen mit „Apple-Pay“ keine Transaktionsüberwachungen der IT-Dienstleister der Beklagten bezogen auf das „Apple-Pay“ Zahlungsinstrument, sondern – wie auch in allen anderen Geldtransaktionsfällen – bezogen auf Zahlungsvorgänge vom jeweils streitgegenständlichen Konto des Kunden bestanden habe. Die Implementierung eines solch effektiven Systems ist aber schon deshalb erforderlich, weil die Beklagte offensichtlich nicht verbindlich geregelt hatte, dass der Kunde von erfolgten Zahlungen mittels Apple-Pay zeitnah Push-Mitteilungen auf sein für das Online-Banking freigeschaltete Smartphone und auf allen seinen Endgeräten erhält und somit dem Kläger als Kunden nicht die Möglichkeit eröffnet war, auf etwaige nicht von ihm autorisierte Zahlungen mittels Apple-Pay zeitnah zu reagieren.

Die Verpflichtung zum Ersatz des Verzugsschadens ergibt sich aus § 286 BGB, ebenso die Verpflichtung zur Erstattung der vorgerichtlichen Rechtsanwaltskosten.

Die Kostenentscheidung beruht auf § 91 ZPO, die Entscheidung zur vorläufigen Vollstreckbarkeit auf § 709 ZPO.

 


Hinweis: Informationen in unserem Internetangebot dienen lediglich Informationszwecken. Sie stellen keine Rechtsberatung dar und können eine individuelle rechtliche Beratung auch nicht ersetzen, welche die Besonderheiten des jeweiligen Einzelfalles berücksichtigt. Ebenso kann sich die aktuelle Rechtslage durch aktuelle Urteile und Gesetze zwischenzeitlich geändert haben. Benötigen Sie eine rechtssichere Auskunft oder eine persönliche Rechtsberatung, kontaktieren Sie uns bitte.

Soforthilfe vom Anwalt!

Jetzt Hilfe vom Anwalt!

Rufen Sie uns an um einen Beratungstermin zu vereinbaren oder nutzen Sie unser Kontaktformular für eine unverbindliche Beratungsanfrage bzw. Ersteinschätzung.

Ratgeber und hilfreiche Tipps unserer Experten.

Lesen Sie weitere interessante Urteile.

Unsere Kontaktinformationen.

Rechtsanwälte Kotz GbR

Siegener Str. 104 – 106
D-57223 Kreuztal – Buschhütten
(Kreis Siegen – Wittgenstein)

Hier finden Sie uns!

Telefon: 02732 791079
(Tel. Auskünfte sind unverbindlich!)
Telefax: 02732 791078

E-Mail Anfragen:
info@ra-kotz.de
ra-kotz@web.de

zum Kontaktformular

Ersteinschätzungen nur auf schriftliche Anfrage per Anfrageformular.

Rechtsanwalt Hans Jürgen Kotz
Fachanwalt für Arbeitsrecht

Rechtsanwalt und Notar Dr. Christian Kotz
Fachanwalt für Verkehrsrecht
Fachanwalt für Versicherungsrecht
Notar mit Amtssitz in Kreuztal

Über uns

Bürozeiten:
MO-FR: 8:00-18:00 Uhr
SA & außerhalb der Bürozeiten:
nach Vereinbarung

Für Besprechungen bitten wir Sie um eine Terminvereinbarung!

Das sagen Kunden über uns
Unsere Social Media Kanäle

 

Termin vereinbaren

02732 791079

Bürozeiten:
Mo-Fr: 08:00 – 18:00 Uhr

Kundenbewertungen & Erfahrungen zu Rechtsanwälte Kotz. Mehr Infos anzeigen.

Ersteinschätzung

Wir analysieren für Sie Ihre aktuelle rechtliche Situation und individuellen Bedürfnisse. Dabei zeigen wir Ihnen auf, wie in Ihren Fall sinnvoll, effizient und möglichst kostengünstig vorzugehen ist.

Fragen Sie jetzt unverbindlich nach unsere Ersteinschätzung und erhalten Sie vorab eine Abschätzung der voraussichtlichen Kosten einer ausführlichen Beratung oder rechtssichere Auskunft.

Aktuelle Jobangebote


Stand: 25.06.2024

Rechtsanwaltsfachangestellte (n) / Notarfachangestellte(n) (m/w/d) in Vollzeit

 

jetzt bewerben

 


 

Juristische Mitarbeiter (M/W/D)

als Minijob, Midi-Job oder in Vollzeit.

 

mehr Infos