Anwaltskanzlei Ferner Alsdorf - Kanzlei für moderne Strafverteidigung & IT-Recht

Anwaltskanzlei Ferner Alsdorf (Rechtsanwalt für Strafrecht & IT-Recht)

Schlagwort: Haftung bei nicht autorisierten Zahlungsvorgängen

  • Phishing-Angriff auf Apple Pay: Bank muss mangels starker Kundenauthentifizierung erstatten

    Phishing-Angriff auf Apple Pay: Bank muss mangels starker Kundenauthentifizierung erstatten

    Mit einem aktuellen Urteil des Oberlandesgerichts Karlsruhe vom 23. Dezember 2025 (Aktenzeichen 17 U 113/23) werden grundsätzliche Fragen zur Haftung bei Phishing-Angriffen auf mobile Bezahlsysteme aufgeworfen: Dabei geht es konkret um die starke Kundenauthentifizierung nach § 1 Abs. 24 ZAG und ihre praktische Umsetzung bei der Nutzung von Apple Pay.

    Das Gericht entschied, dass eine Bank ihren Kunden für nicht autorisierte Transaktionen entschädigen muss, wenn sie die Anforderungen an die Authentifizierung nicht hinreichend erfüllt. Nach langer Zeit negativer Entscheidungen für Kunden sieht man hier noch einmal hohe Hürden für Banken, wenn diese sich auf grobe Fahrlässigkeit des Kunden berufen – und wie entscheidend die technische Ausgestaltung der Sicherheitsverfahren ist.

    (mehr …)
  • Grobe Fahrlässigkeit bei Telefon-Phishing

    Grobe Fahrlässigkeit bei Telefon-Phishing

    In einer aktuellen Entscheidung zum Phishing (XI ZR 107/24) thematisiert der BGH zwei neuralgische Punkte des Zahlungsverkehrs: Einerseits konkretisiert sie die Schwelle zur groben Fahrlässigkeit des Zahlers bei der Weitergabe von TANs im Kontext eines professionell orchestrierten Telefon-Phishings. Andererseits zieht sie eine klare Trennlinie für den Anwendungsbereich des § 675v Abs. 4 S. 1 Nr. 1 BGB. Maßgeblicher Bezugspunkt der „starken Kundenauthentifizierung“ (SCA) ist ausschließlich der konkrete Zahlungsvorgang. Ob bei der bloßen Anmeldung im Online-Banking eine SCA verlangt wurde, ist dafür unerheblich.

    (mehr …)
  • Rechtsfragen zu QR-Codes

    Rechtsfragen zu QR-Codes

    Was früher ein unscheinbares Quadrat war, ist heute ein omnipräsentes Werkzeug im Alltag: Der QR-Code hat sich – beschleunigt durch die Pandemie – vom Nischenprodukt der Logistik zum digitalen Tor zwischen analoger und virtueller Welt entwickelt. Seine einfache technische Handhabbarkeit kontrastiert dabei mit einer wachsenden Komplexität rechtlicher Implikationen. In aller Kürze soll hier darauf eingegangen werden, Schwerpunkt ist dabei die Frage der Haftung bei Quishing.

    (mehr …)
  • OLG Dresden: Haftung von Bank und Bankkunde bei Phishing-Angriffen

    OLG Dresden: Haftung von Bank und Bankkunde bei Phishing-Angriffen

    Das Oberlandesgericht Dresden hat in einem aktuellen Urteil vom 5. Juni 2025 (Aktenzeichen: 8 U 1482/24) grundlegende Fragen zur Haftung von Banken und Bankkunden bei Phishing-Angriffen geklärt. Der Fall betrifft einen Bankkunden, der Opfer eines Phishing-Angriffs wurde und dabei erhebliche finanzielle Verluste erlitt. Das Gericht hatte zu entscheiden, inwieweit der Kunde für die entstandenen Schäden haftet und ob die Bank aufgrund von Sicherheitsmängeln in ihrem Online-Banking-System ebenfalls eine Mitschuld trifft.

    (mehr …)
  • Keine Haftung der Bank bei grober Fahrlässigkeit des Kunden

    Keine Haftung der Bank bei grober Fahrlässigkeit des Kunden

    Phishing und Social Engineering gehören zu den größten Sicherheitsrisiken im Onlinebanking. Das Landgericht Heidelberg (Urteil vom 13. Mai 2025, 2 O 233/24) hatte im Mai 2025 zu klären, ob eine Bank ihren Kunden für nicht autorisierte Überweisungen entschädigen muss, wenn dieser leichtfertig einen Freischaltcode an Betrüger weitergibt. Die Entscheidung setzt die bekannten Grundsätze des Zahlungsdiensterechts konsequent um und betont, wie hoch die Sorgfaltsanforderungen für Kontoinhaber im digitalen Zahlungsverkehr sind.

    (mehr …)
  • Haftung von Unternehmen bei Phishing und CEO-Fraud

    Haftung von Unternehmen bei Phishing und CEO-Fraud

    Aktuelle Rechtsprechung und juristische Maßstäbe beim CEO-Fraud: Phishing und CEO-Fraud gehören inzwischen zum traurigen Repertoire professionell organisierter Cyberkriminalität. Unternehmen werden nicht nur zur Zielscheibe, sondern zunehmend auch zum Einfallstor für Zahlungsströme, die auf Basis manipulierter Kommunikation initiiert wurden.

    Dabei stellt sich für das geschädigte Unternehmen regelmäßig die Frage: Wer trägt die Verantwortung für den Abfluss der Gelder? Ist das Unternehmen als Opfer verpflichtet, die Verluste zu tragen – oder haften Banken, Dienstleister oder gegebenenfalls sogar handelnde Mitarbeiter persönlich?

    Dieser Beitrag widmet sich der Haftungslage des Phishing- bzw. CEO-Fraud-Opfers. Dabei wird auch die verknüpfte Frage der Sicherheitsanforderungen betrachtet, insbesondere im digitalen Zahlungsverkehr und der elektronischen Kommunikation. Grundlage sind zahlreiche aktuelle Entscheidungen aus der Instanzrechtsprechung, ergänzt durch dogmatische Überlegungen und den Blick auf europarechtliche Vorgaben aus der PSD2 (Zahlungsdiensterichtlinie).

    (mehr …)
  • OLG Celle zur Haftung der Bank bei CEO-Fraud

    OLG Celle zur Haftung der Bank bei CEO-Fraud

    Das Urteil des Oberlandesgerichts Celle vom 17. November 2020 (Az. 3 U 122/20) beleuchtet die komplexen rechtlichen Aspekte im Zusammenhang mit CEO-Fraud, einer Betrugsmasche, bei der Kriminelle durch Täuschung Unternehmen und Banken zu unautorisierten Zahlungen bewegen. Das Urteil greift grundlegende Fragen zur Haftung von Zahlungsdienstleistern, zur Verantwortung von Kunden und zur gesetzlichen Risikoverteilung nach den §§ 675j, 675u und 676c BGB auf.

    (mehr …)
  • LG Köln zu Call-ID-Spoofing und grober Fahrlässigkeit

    LG Köln zu Call-ID-Spoofing und grober Fahrlässigkeit

    In seinem Urteil vom 8. Januar 2024 (22 O 43/23) hatte sich das Landgericht Köln mit den rechtlichen Implikationen eines Online-Banking-Betrugsfalls zu befassen, der durch Call-ID-Spoofing ausgelöst wurde. Kernfragen betrafen die Autorisierung von Zahlungsvorgängen, die Haftung des Bankkunden und die Sorgfaltspflichten der Bank. Die Entscheidung stellt wesentliche Maßstäbe für die Beurteilung grober Fahrlässigkeit und Verbraucherschutz im digitalen Zahlungsverkehr auf.

    (mehr …)
  • Phishing Angriff führt unbemerkt zu Apple Pay: Bank muss zahlen

    Phishing Angriff führt unbemerkt zu Apple Pay: Bank muss zahlen

    Vor dem Landgericht Köln, 15 O 267/22, wurde ein spannender Fall verhandelt, der ein weiteres Angriffsszenario aufzeigt: Bei einem Kunden erfolgten innerhalb von gut zwei Wochen 115 Einzelzahlungen in Höhe von 44.248,37 Euro per Apple Pay zu Lasten des Kontos des Klägers – wobei der Kunde (Kläger) bestritt, Apple Pay jemals genutzt zu haben.

    (mehr …)
  • Haftung bei EC-Kartenmissbrauch

    Haftung bei EC-Kartenmissbrauch

    Keine grobe Fahrlässigkeit bei gemeinsamer Aufbewahrung der EC-Karte mit hinreichend verschlüsselter Geheimzahl. In einem Streit um Erstattungsansprüche bei EC-Kartenmissbrauch gab das Amtsgericht München der Klage eines Bankkunden auf Zahlung von 1.011 EUR überwiegend statt und verurteilte die beklagte Bank zur Zahlung in Höhe von 861,00 EUR.

    (mehr …)
  • BGH zur Autorisierung von Kreditkartenzahlungen bei illegalem Online-Glücksspiel

    BGH zur Autorisierung von Kreditkartenzahlungen bei illegalem Online-Glücksspiel

    Keine Rückabwicklung über die Bank: Die Rückforderung verlorener Einsätze bei unerlaubtem Online-Glücksspiel beschäftigt nicht nur die Instanzgerichte, sondern auch zunehmend den Bundesgerichtshof. Während sich zahlreiche Klagen gegen die Anbieter selbst richten, rücken in jüngerer Zeit auch Zahlungsdienstleister ins Zentrum der Auseinandersetzung.

    Der Beschluss des XI. Zivilsenats vom 13. September 2022 (XI ZR 515/21) bringt nunmehr (erste) Klarheit in einem zentralen Punkt: Die Autorisierung von Kreditkartenzahlungen durch den Spieler bleibt auch dann wirksam, wenn sie dem Zweck dient, verbotene Online-Glücksspiele zu finanzieren. Damit ist ein zivilrechtlicher Erstattungsanspruch gegen die kartenausgebende Bank ausgeschlossen – selbst wenn das Glücksspielangebot selbst gegen den Glücksspielstaatsvertrag verstößt.

    (mehr …)

  • Darlegungs- und Beweislast für die Autorisierung eines Zahlungsvorgangs

    Die Darlegungs- und Beweislast für die Autorisierung eines Zahlungsvorgangs außerhalb des Anwendungsbereichs des § 675w BGB trägt der Zahlungsdienstleister; dies gilt unabhängig davon, ob der Zahlungsdienstleister einen Aufwendungsersatzanspruch (§ 675u Satz 1 BGB) oder der Zahler einen Erstattungsanspruch (§ 675u Satz 2 BGB) geltend macht. Das OLG Karlsruhe (17 U 823/20) hat entschieden, dass § 675v Abs. 2 BGB in der bis zum 12. Januar 2018 geltenden Fassung vom 29. Juli 2009 auch eine Autorisierung per E-Mail erfasst und die Haftung des Zahlers insoweit abschließend regelt.

    (mehr …)

  • Voraussetzungen für die Erstattung einer nicht autorisierten Zahlung aufgrund eines gefälschten Überweisungsträgers

    Zwar richtet sich der Anspruch aus § 675u Satz 2 BGB bei der Belastung eines Zahlungskontos grundsätzlich auf Wertstellung in Höhe der nicht autorisierten Zahlung. Der Zahler hat aber nicht nur dann einen Anspruch auf Auszahlung des zu Unrecht belasteten Betrages, wenn die Kontoverbindung zwischenzeitlich unter Ausgleich des Saldos aufgelöst worden ist, sondern auch dann, wenn das Konto ohne die Rückbuchung ein Guthaben aufweist oder ein nicht ausgeschöpfter Kreditrahmen besteht, so das OLG Celle (3 U 122/20).

    Der Haftungsausschluss des § 676c Nr. 1 BGB greift nicht ein, wenn dadurch die gesetzliche Risikoverteilung beim Missbrauch von Zahlungsinstrumenten (§§ 675 u, v BGB) unterlaufen würde.

    Ein dem Erstattungsanspruch aus § 675u Satz 2 BGB entgegenstehender Schadensersatzanspruch des Zahlungsdienstleisters aus § 280 Abs. 1, § 241 Abs. 2 BGB kommt bei anderen Zahlungsvorgängen als der Nutzung eines Zahlungsinstruments zur Vermeidung ansonsten entstehender Wertungswidersprüche allenfalls bei Vorsatz oder grober Fahrlässigkeit des Zahlungsdienstnutzers in Betracht.

  • Haftung des Zahlers im Falle der Ausführung eines Zahlungsvorgangs aufgrund einer gefälschten Faxanweisung durch den Zahlungsdienstleister

    Zur Frage der Haftung des Zahlers bei Ausführung eines Zahlungsvorgangs aufgrund eines gefälschten Faxauftrags des Zahlungsdienstleisters hat der Bundesgerichtshof (XI ZR 294/19) entschieden: Im Falle eines nicht autorisierten Zahlungsvorgangs, der zu einer Belastung des Zahlungskontos des Zahlers geführt hat, ist der Zahlungsdienstleister nach § 675u Satz 1, 2 Halbsatz 2 BGB verpflichtet, das Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.

    Ein Zahlungsvorgang ist autorisiert und gegenüber dem Zahler wirksam, wenn der Zahler dem Zahlungsvorgang zugestimmt hat, § 675j Abs. 1 Satz 1 BGB. Die Zustimmung nach § 675j Abs. 1 Satz 1 BGB muss tatsächlich vom Zahler stammen. Die Erklärung eines nicht vertretungsberechtigten Dritten kann dem Zahler nicht nach Rechtsscheingrundsätzen zugerechnet werden, da die Regelungen in § 675j Abs. 1, § 675u Satz 1 BGB abschließend sind. Die Zustimmung kann gemäß § 675j Absatz 1 Satz 2 BGB entweder durch Einwilligung oder, sofern zwischen dem Zahler und seinem Zahlungsdienstleister zuvor vereinbart, durch Autorisierung erfolgen. Art und Weise der Zustimmung sind zwischen Zahler und Zahlungsdienstleister zu vereinbaren, § 675j Abs. 1 Satz 3 BGB.

    Die Voraussetzungen des § 675v Abs. 2 BGB aF lagen hier vor:

    Die Leiterin der Finanzbuchhaltung der Klägerin verletzte als deren Erfüllungsgehilfin nach § 278 BGB eine Bedingung für die Nutzung des Verfahrens der „Zahlungsanweisungen per Fax“. Weil § 675v Abs. 2 BGB aF qualifizierte Anforderungen an die Haftung des Zahlers stellt, steht einer Zurechnung des Handelns der Leiterin der Finanzbuchhaltung nach § 278 BGB nicht entgegen, dass die Regelung des § 675u Satz 2 BGB nicht mittels der Grundsätze über die Rechtsscheinhaftung überspielt werden kann.

    Verletzt war hier die „Bedingung“, dass der Faxauftrag der Beklagten von der Leiterin der Finanzbuchhaltung nur insoweit weitergeleitet werden durfte, als er tatsächlich vom Geschäftsführer der Klägerin unterzeichnet war. Gegen diese Bedingung hat die Leiterin der Finanzbuchhaltung nicht nur grob fahrlässig, sondern vorsätzlich verstoßen. Nach den Feststellungen des Berufungsgerichts übermittelte sie der Beklagten wissentlich und willentlich Telefaxaufträge, die nicht die zuvor eigenhändig auf dem Telefaxauftrag angebrachte Unterschrift des Geschäftsführers trugen, sondern mit elektronisch übermittelten und durch Ausdruck reproduzierten „Unterschriften“ des Geschäftsführers versehen waren. Damit wich sie bewusst von den zwischen den Parteien zum Ausschluss des Fälschungsrisikos vereinbarten Bedingungen in Nr. 1 lit. b der „Haftungsfreistellungserklärung für Faxanweisungen“ ab.

    Der Schaden der Beklagten besteht in der Belastung mit der Verpflichtung aus § 675u Satz 2 BGB. Eine Kürzung des Anspruchs der Beklagten nach § 254 Abs. 1 BGB komme nicht in Betracht.

    Das Berufungsgericht hat zutreffend gewürdigt, dass das Handeln der Leiterin der Finanzbuchhaltung von den üblichen Zahlungsvorgängen abwich, die Beklagte diese Besonderheit erkannte und deshalb die Leiterin der Finanzbuchhaltung anregte, die Zahlungsvorgänge im Electronic-Banking-Verfahren durchzuführen. Die Würdigung des Berufungsgerichts, die Beklagte sei zu weiteren Nachforschungen nicht verpflichtet gewesen, weil die Leiterin der Finanzbuchhaltung auf den Faxanweisungen bestanden und diese vor ihrer Ausführung jeweils telefonisch bestätigt habe, begegnet keinen revisionsrechtlichen Bedenken. Die Auffassung der Revision, die gesetzliche Risikoverteilung spreche gegen eine Anwendung des § 254 Abs. 1 BGB zu Gunsten der Klägerin, geht schon deshalb fehl, weil § 675v Abs. 2 BGB aF im Falle einer vorsätzlichen Pflichtverletzung dem Nutzer grundsätzlich eine unbeschränkte Haftung für den durch die nicht autorisierte Zahlung entstandenen Schaden auferlegt. Liegen die Voraussetzungen vor, unter denen der Zahler seinem Zahlungsdienstleister nach § 675v Abs. 2 BGB aF zum Ersatz des gesamten Schadens verpflichtet ist, kann aus der gesetzlichen Risikozuweisung für das Vorliegen einer Autorisierung kein anspruchsmindernder Umstand hergeleitet werden. Eine fahrlässige Pflichtverletzung der Beklagten hat das Berufungsgericht nicht festgestellt.

    Zugleich entschied der BGH, dass eine Bank dem Anspruch eines Zahlungsdienstnutzers auf Wiedergutschrift eines unautorisiert abgebuchten Betrages den Schadensersatzanspruch §§ 675v Abs. 3 Nr. 2, 675l Abs. 1 BGB im Wege der dolo agit-Einrede entgegenhalten kann (so auch Oberlandesgericht Köln, 13 U 167/22).

  • LG Karlsruhe: CEO-Fraud und die Haftung von Zahlungsdienstleistern

    LG Karlsruhe: CEO-Fraud und die Haftung von Zahlungsdienstleistern

    Die Entscheidung des Landgerichts Karlsruhe vom 5. Juli 2018 (Az. 15 O 50/17 KfH) beleuchtet die komplexen rechtlichen Fragestellungen, die sich aus Fällen von CEO-Fraud ergeben. Dabei handelt es sich um eine betrügerische Praxis, bei der Kriminelle unter der Identität von Führungskräften Anweisungen für Geldtransfers geben. Das Urteil behandelt die Haftung von Zahlungsdienstleistern, die Anforderungen an die Autorisierung von Überweisungen und die Bedeutung von Sicherheitsmaßnahmen.

    (mehr …)