Zahlungsanspruch bei nicht autorisierten Apple-Pay-Transaktionen

In einer bemerkenswerte Entscheidung hat sich das Landgericht Heilbronn (Bm 6 O 378/23) mit der Frage befasst, unter welchen Voraussetzungen eine Bank für nicht autorisierte Zahlungen über Apple-Pay haftet.

Der Kläger, ein Bankkunde, verlangte die Erstattung von insgesamt 13.356,25 Euro, die durch -Angriffe unrechtmäßig von seinem Konto abgebucht wurden. Das Urteil wirft ein Schlaglicht auf die Schnittstelle zwischen Verbraucherrechten und den technischen Sicherheitsvorkehrungen moderner Zahlungssysteme und hat potenziell weitreichende Auswirkungen auf die Praxis des Zahlungsverkehrs.

Sachverhalt

Der Kläger, ein Kunde der beklagten Bank, nutzte für seine Transaktionen die digitale SparkassenCard in Verbindung mit Apple-Pay. Im Dezember 2022 kam es zu mehreren unautorisierten Abbuchungen von seinem Konto. Diese Transaktionen, die sich auf einen Gesamtbetrag von über 13.000 Euro beliefen, wurden von Angreifern durch Phishing und die missbräuchliche Nutzung einer PushTAN-App ermöglicht.

Der Kläger argumentierte, dass er keine Zustimmung zu den Transaktionen gegeben habe und verlangte von der Bank die Rückerstattung der abgebuchten Beträge. Die Beklagte lehnte dies ab, unter Verweis auf ein angeblich fahrlässiges Verhalten des Klägers, das zu dem beigetragen habe.


Kurzüberblick über die rechtlichen Themen

1. Beweislast bei nicht autorisierten Transaktionen

Zentraler Punkt der Entscheidung war die Anwendung von § 675w BGB, der die Beweisregel für Pflichtverletzungen regelt. Das Gericht stellte fest, dass die Norm nicht greift, da die Einrichtung der digitalen Karte auf dem Smartphone des Klägers keinen Zahlungsvorgang im Sinne von § 675w BGB darstellt. Die Beklagte konnte somit nicht beweisen, dass der Kläger seine Sorgfaltspflichten verletzt hatte.

2. Keine grobe Fahrlässigkeit des Klägers

Das LG Heilbronn lehnte den Vorwurf der groben Fahrlässigkeit ab, den die Bank gegen den Kläger erhoben hatte. Das Verhalten des Klägers – das Eingeben seiner Daten auf einer manipulierten Webseite – sei zwar unvorsichtig gewesen, reiche jedoch nicht aus, um eine grobe Fahrlässigkeit im Sinne des § 675l Abs. 1 BGB anzunehmen. Entscheidend war, dass der Kläger den Social-Engineering-Angriff nicht erkennen konnte.

3. Verletzung von Sicherheitsanforderungen durch die Bank

Eine weitere Facette der Entscheidung betrifft die mangelnden Sicherheitsvorkehrungen seitens der Bank. Das Gericht rügte die fehlende Implementierung eines effektiven Transaktionsüberwachungssystems. Die Bank hatte es versäumt, ihren Kunden zeitnahe Push-Benachrichtigungen über Apple-Pay-Zahlungen zu schicken. Dadurch war der Kläger nicht in der Lage, unautorisierte Transaktionen rechtzeitig zu erkennen und zu stoppen.

4. Zurechnung einer Rechtscheinsvollmacht

Das Gericht verwarf die Argumentation, dass die Angreifer auf Grundlage einer Rechtscheinsvollmacht handelten. Es stellte klar, dass eine solche Zurechnung nicht infrage kommt, wenn die Daten des Kunden durch Täuschung erlangt wurden.


Digitale Geldkarte als Angriffsmittel

Die Entscheidung des Landgerichts beleuchtet einen aktuellen und praxisrelevanten Sachverhalt: die Haftung von Banken bei unautorisierten Zahlungen im digitalen Zahlungsverkehr mittels virtueller Karten.

Der Fall dreht sich um das Vorgehen von Angreifern, die durch Social-Engineering-Methoden sensible erlangten, und die Frage, inwieweit Kunden für den Missbrauch dieser Daten verantwortlich gemacht werden können. Im Mittelpunkt steht dabei die Abgrenzung zwischen einer zumutbaren der Kunden und der Verantwortung der Banken, effektive Sicherheitsvorkehrungen zu implementieren.

Vorgehensweise der Angreifer

Die Angreifer nutzten eine klassische, aber oft unterschätzte Methode des Cyberbetrugs: das . Dabei wurde der Kläger über eine manipulierte Webseite dazu verleitet, persönliche Zugangsdaten preiszugeben. Diese Art des Betrugs basiert nicht auf technischen Schwächen des Zahlungssystems, sondern auf der gezielten Ausnutzung menschlicher Fehlbarkeit. Der Kläger, der auf der Webseite keine Verdachtsmomente erkannte, gab seine Daten ein. Die Angreifer verschafften sich so die nötigen Informationen, um die digitale SparkassenCard des Klägers mit einem Smartphone zu verknüpfen. Daraufhin führten sie eine Reihe von Zahlungen mittels Apple-Pay durch, ohne dass der Kläger hiervon unmittelbar Kenntnis erlangte.

Besonders perfide an diesem Vorgehen ist, dass die Betrüger die PushTAN-Technologie der Bank nutzten, die eigentlich der Sicherheit dienen soll. Sie umgingen diese Sicherheitsmaßnahme durch die erfolgreiche Täuschung des Kunden und die Nutzung der erlangten Daten, was den Missbrauch effektiv tarnte. Dieses Szenario verdeutlicht die hohe Effizienz von Social-Engineering-Angriffen, die weder technische Versiertheit noch großen Aufwand erfordern.

Betrachtung des Social Engineerings

Das Gericht widmet sich ausführlich dem Thema Social Engineering, da es für die rechtliche Beurteilung zentral ist, ob der Kläger grob fahrlässig handelte, indem er auf die manipulierte Webseite hereinfiel. Social Engineering beschreibt Methoden, die auf die Manipulation von Menschen abzielen, um sensible Informationen zu erhalten oder bestimmte Handlungen auszulösen. Es geht nicht darum, technische Barrieren zu überwinden, sondern psychologische Schwächen auszunutzen – beispielsweise durch die Nachahmung einer vertrauenswürdigen Institution oder die Erzeugung eines zeitlichen Drucks.

Im vorliegenden Fall stellte das Gericht fest, dass das Verhalten des Klägers nicht als grob fahrlässig einzustufen war. Es berücksichtigte dabei, dass Social-Engineering-Angriffe oft so geschickt konzipiert sind, dass selbst aufmerksame Nutzer sie nicht unmittelbar als solche erkennen können. Das Gericht betonte, dass die Beurteilung einer möglichen Fahrlässigkeit stets einzelfallbezogen erfolgen müsse und hierbei auch die Art des Angriffs sowie die Fähigkeit des Durchschnittsverbrauchers zur Erkennung eines Betrugs berücksichtigt werden sollten.

Bewertung der Verantwortung der Bank

Neben der Beurteilung des Verhaltens des Klägers untersuchte das Gericht die Rolle der Bank. Dabei kam es zu dem Schluss, dass die Beklagte grundlegende Pflichten zur Sicherung der Transaktionssicherheit verletzt hatte. Insbesondere kritisierte das Gericht, dass die Bank es versäumt hatte, ein effektives System zur Überwachung und Benachrichtigung über Zahlungen mittels Apple-Pay zu implementieren. So wurden keine automatisierten Push-Benachrichtigungen an den Kläger gesendet, die ihn zeitnah über die unautorisierten Transaktionen informiert hätten. Diese Unterlassung erschwerte es dem Kläger, rechtzeitig zu reagieren und weitere Schäden zu verhindern.

Das Gericht führte aus, dass von modernen Zahlungssystemen erwartet werden müsse, dass sie derartige Angriffe nicht nur technisch erschweren, sondern auch durch zusätzliche Mechanismen für Transparenz und Kontrolle sorgen. Die bloße Existenz von Sicherheitsmechanismen wie der PushTAN-Technologie genüge nicht, wenn diese nicht so umgesetzt werden, dass Kunden in die Lage versetzt werden, zeitnah auf verdächtige Aktivitäten zu reagieren.

Zahlungsanspruch bei nicht autorisierten Apple-Pay-Transaktionen - Rechtsanwalt Ferner

Das Urteil unterstreicht, wie wichtig es ist, die Grenzen der Fahrlässigkeit in einem digitalen Umfeld klar zu definieren. Kunden können nicht uneingeschränkt für Angriffe haftbar gemacht werden, die sie aufgrund von Täuschungsmanövern nicht erkennen konnten. Gleichzeitig mahnt die Entscheidung aber Banken und Zahlungsdienstleister an, den Schutz vor solchen Angriffen zu verbessern und ihre Kunden aktiv in die Sicherung der Konten einzubinden.

Fazit

Die Entscheidung des LG Heilbronn stärkt die Rechte von Bankkunden und setzt hohe Maßstäbe an die Sicherheitsvorkehrungen von Zahlungsdienstleistern. Das Gericht betonte, dass moderne Zahlungssysteme wie Apple-Pay nicht nur innovativ, sondern auch umfassend sicher gestaltet sein müssen, um die Interessen der Kunden zu wahren.

Für Verbraucher bedeutet das Urteil eine Absicherung gegen unautorisierte Transaktionen. Gleichzeitig werden Banken dazu angehalten, ihre internen Sicherheitsprotokolle zu überarbeiten und transparentere Maßnahmen zu implementieren. Diese Entscheidung könnte auch langfristig den Standard für die Haftung bei Zahlungssystemen im virtuellen Umfeld prägen.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft. Ich bin Softwareentwickler, in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.