Mit einem aktuellen Urteil des Oberlandesgerichts Karlsruhe vom 23. Dezember 2025 (Aktenzeichen 17 U 113/23) werden grundsätzliche Fragen zur Haftung bei Phishing-Angriffen auf mobile Bezahlsysteme aufgeworfen: Dabei geht es konkret um die starke Kundenauthentifizierung nach § 1 Abs. 24 ZAG und ihre praktische Umsetzung bei der Nutzung von Apple Pay.
Das Gericht entschied, dass eine Bank ihren Kunden für nicht autorisierte Transaktionen entschädigen muss, wenn sie die Anforderungen an die Authentifizierung nicht hinreichend erfüllt. Nach langer Zeit negativer Entscheidungen für Kunden sieht man hier noch einmal hohe Hürden für Banken, wenn diese sich auf grobe Fahrlässigkeit des Kunden berufen – und wie entscheidend die technische Ausgestaltung der Sicherheitsverfahren ist.
Versehentlicher Klick mit weitreichenden Folgen
Der Kläger, ein Kunde der beklagten Bank, wurde Opfer eines Phishing-Angriffs. Unbekannte Täter registrierten seine Debitkarte in einem fremden Apple-Pay-Konto, nachdem sie sich Zugriff auf sein Online-Banking verschafft hatten. Der entscheidende Schritt gelang ihnen durch eine PushTAN-Benachrichtigung mit dem unspezifischen Hinweis „Karte registrieren“, die der Kläger während eines Gesprächs mit seinem Vorgesetzten versehentlich freigab. In der Folge wurden 122 nicht autorisierte Zahlungen in Höhe von über 42.000 Euro getätigt. Die Bank verweigerte die Erstattung mit der Begründung, der Kläger habe grob fahrlässig gehandelt, indem er die Benachrichtigung ohne Prüfung bestätigte.
Das Landgericht Karlsruhe gab dem Kläger recht und verurteilte die Bank zur Rückerstattung. Die Berufung der Bank scheiterte nun ebenfalls vor dem OLG Karlsruhe. Das Gericht stellte klar, dass die Bank die Anforderungen an die starke Kundenauthentifizierung nicht erfüllt hatte und daher nach § 675u BGB haften muss.
Starke Authentifizierung ist das zentrale Kriterium
Das Urteil dreht sich um zwei zentrale Rechtsfragen: Erstens, ob die streitgegenständlichen Transaktionen autorisiert waren, und zweitens, ob die Bank eine starke Kundenauthentifizierung im Sinne des Zahlungsdiensterichtslinienumsetzungsgesetzes (ZAG) verlangt hatte. Beide Punkte entschied das OLG Karlsruhe zugunsten des Klägers.
Die Autorisierung eines Zahlungsvorgangs setzt nach § 675j Abs. 1 BGB voraus, dass das vereinbarte Authentifizierungsverfahren vollständig eingehalten wird. Hier war zwischen den Parteien vereinbart, dass für Zahlungen mit der digitalen Debitkarte sowohl der Besitz des Mobilgeräts (Besitzelement) als auch biometrische Merkmale oder ein Entsperrcode (Inhärenz) erforderlich sind. Das Gericht stellte jedoch fest, dass die Bank nicht ausreichend sichergestellt hatte, dass die digitale Karte tatsächlich auf dem Gerät des Klägers gespeichert wurde. Die Freigabe der Registrierung über die PushTAN-App reichte dafür nicht aus, da die Benachrichtigung „Karte registrieren“ keinen klaren Bezug zum Besitzelement herstellte. Der Kläger konnte daher nicht erkennen, dass er die Speicherung der Karte auf einem fremden Gerät ermöglichte.
Entscheidend war zudem, dass die Bank für die streitgegenständlichen Transaktionen keine starke Kundenauthentifizierung verlangt hatte. Nach § 675v Abs. 4 BGB entfällt eine Schadensersatzpflicht des Kunden, wenn der Zahlungsdienstleister die Authentifizierung nicht ordnungsgemäß durchführt. Da die Bank die Zuordnung der digitalen Karte zum richtigen Gerät nicht hinreichend überprüft hatte, scheiterte ihr Einwand der groben Fahrlässigkeit. Selbst wenn der Kläger die PushTAN-Benachrichtigung unachtsam bestätigt hatte, war dies nicht ursächlich für das Versagen des Authentifizierungssystems.
Das OLG Karlsruhe betonte, dass die Bank als Zahlungsdienstleisterin die technische und organisatorische Verantwortung trägt, sicherzustellen, dass die Authentifizierungselemente unabhängig und zuverlässig sind. Die bloße Freigabe eines unspezifischen Registrierungsauftrags genügt diesen Anforderungen nicht. Damit folgte das Gericht einer strengen Auslegung der RTS-Verordnung (EU 2018/389), die für elektronische Kartenzahlungen eine zweifaktorielle Authentifizierung vorschreibt.
Nutzerfreundlichkeit vs. Sicherheit bei PushTAN-App
Letztlich ging es im Kern darum, ob der Kläger durch die Bestätigung der PushTAN-Benachrichtigung grob fahrlässig handelte. Das Gericht verneinte dies mit Verweis auf die unklare Formulierung der Benachrichtigung. Während die Bank argumentierte, der Kläger hätte bei einer „Registrierung Karte“-Meldung stutzig werden müssen, sah das OLG Karlsruhe darin keine ausreichende Warnung. Der Kläger konnte die Meldung als Routineverifizierung für das Online-Banking missverstehen, zumal die Bank selbst gelegentlich ähnliche Abfragen für Login-Zwecke nutzt.
Interessant ist hier die Abwägung zwischen Nutzerfreundlichkeit und Sicherheit: Je komplexer Authentifizierungsverfahren gestaltet werden, desto höher ist die Gefahr von Fehlbedienungen. Das Gericht machte deutlich, dass Banken ihre Kunden nicht mit unklaren Benachrichtigungen überfordern dürfen, wenn sie sich später auf deren Sorgfaltspflichten berufen wollen. Die Bank hätte entweder eine präzisere Beschreibung des Vorgangs liefern oder zusätzliche Sicherheitsabfragen implementieren müssen.
Banken in der Pflicht
Hier wird deutlich, dass Banken bei der Gestaltung ihrer Authentifizierungsverfahren mit äußerster Sorgfalt vorgehen müssen. Die starke Kundenauthentifizierung stellt nicht nur eine aufsichtsrechtliche Vorgabe dar, sondern bildet auch eine zivilrechtliche Haftungsgrenze. Überraschung: Wenn Banken ihre Systeme nicht ausreichend gegen Phishing-Angriffe absichern, können sie sich nicht auf ein mögliches Fehlverhalten ihrer Kunden berufen. Und während bei klassischem Online-Banking über die Erfahrung der letzten 20 Jahre eigentlich alles nahezu austariert ist, ist es mit Mobile Payment wohl bislang nicht so weit her.
Gleichwohl sollte man PushTAN-Benachrichtigungen immer kritisch prüfen, auch im eigenen Interesse und besonders, wenn sie unerwartet eintreffen; ein Verfahren wie das vorliegende – auch wenn erfolgreich – muss unendlich viel Nerven und schlaflose Nächte kosten. Auch wenn das Gericht in diesem Fall keine grobe Fahrlässigkeit annahm, bleibt natürlich die Frage, wie lange Gerichte derartige Versehen noch als entschuldbar betrachten werden und wie viele andere Gerichte die Auffassung teilen. Mit zunehmender Verbreitung digitaler Bezahlsysteme steigen halt auch die Anforderungen an die Sorgfalt der Nutzer. Und solche Mitteilungen „mal schnell“ abzuhaken in in einer Situation wie einem Meeting ist wohl wirklich nicht der geeignete Weg.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
- EuGH klärt Verantwortlichkeit juristischer Personen bei Geldwäscheverstößen - 11. Februar 2026
- Studie: KI als Berater scheitert am Menschen - 10. Februar 2026
- Fehlerhafte Durchsuchung hindert Beschlagnahme nicht - 10. Februar 2026
