Unser Blog

Betrug mit Apple Pay: Gericht verurteilt Bank zur Rückzahlung

LG Heilbronn, v. 02.04.2024, Az. Bm 6 O 378/23

Worum geht`s:

Im Dezember 2022 wurde ein Bankkunde Opfer eines Betrugs: Ein unbekannter Täter verschaffte sich Zugang zu seiner digitalen Sparkassenkarte und führte wenig später 32 Abbuchungen in Geschäften über die Apple-Pay-Funktion durch. Insgesamt wurden dabei über 13.000 Euro von seinem Konto abgebucht. Wie der Täter genau an die digitale Bankkarte des Klägers gelangte, bleibt unklar. Vermutlich nutzte er die bekannte Masche der Phishing-Links, die per E-Mail oder SMS verteilt werden, um an die Bankdaten des Opfers zu kommen. Weiter musste der Täter, um die digitale Karte zum Apple Pay seines Handys hinzuzufügen, die PushTan-Authentifizierung überbrücken. Ob diese erforderliche Sicherheitsstufe Täter oder vom Opfer selbst durchgeführt wurde, konnte nicht eindeutig geklärt werden. Nachdem strafrechtliche Ermittlungen erfolglos blieben, forderte der Kunde von seiner Bank die Rückzahlung des gesamten Betrags von 13.356,25 Euro.

Entscheidungsgründe:

Das Landgericht Heilbronn entschied zugunsten des Klägers und verurteilte die Bank zur Rückzahlung der gesamten geforderten Summe. Der Anspruch auf Schadensersatz des Klägers ergibt sich aus §675u S. 2 BGB, der den Kunden vor nicht autorisierten Abbuchungen schützt. Da der Kläger nachweislich weder selbst eine der Zahlungen veranlasste noch Grundsätze der Vertretung hier Anwendung finden, musste die Bank für diesen Betrugsfall haften. Die vorherige Kundenauthentifizierung durch PushTan bei der Einrichtung der Karte ist als Autorisierungsnachweis unzureichend, um eine Zustimmung zu den Zahlungen begründen zu können.

Das Gericht betonte außerdem, dass in Fällen, in denen sich der Kläger nicht auf Umstände außerhalb des Sicherungssystems berufen kann, der Anscheinsbeweis und dessen Beweislast ausschlaggeben ist. Dieser orientiert sich an der Überwindbarkeit des Sicherheitssystems. Da die Autorisierung mithilfe von PushTan aktuell auch über ein einziges Endgerät möglich ist, wäre in diesen Fällen ein Anscheinsbeweis seitens des Zahlungsdienstleisters erforderlich.

Beim vorliegenden Fall ist es, angesichts der unzweifelhaft fehlenden Einwilligung des Kunden für die Zahlungen, an den Banken, zu verhindern, dass diesen unautorisierten Aufträgen stattgegeben wird. Angesichts der Häufigkeit der Abbuchungen in kurzer Zeit, der hohen Beträge und des Versuchs des Täters, eine zweite digitale Karte hinzuzufügen, hätte die Bank die Transaktionen überprüfen müssen. Das Gericht legt die Verantwortung zur Verhinderung derartiger Betrugsfälle somit deutlich in die Hände der Zahlungsdienstleister.

Ein Gegenanspruch der Bank wegen grob fahrlässigen Verhaltens des Klägers, wie er einer Bank im Urteil desselben Gerichts von 16.05.2023 (Bm 6 O 10/23) zugesprochen wurde, wurde ausgeschlossen. Anders als in dem ähnlichen Fall aus dem Vorjahr, bei dem ein Kunde sensible Bankdaten telefonisch weitergegeben hatte, lag hier kein eindeutiger Verstoß gegen die eigene Sorgfaltspflicht des Kunden vor. Im Streitfall von 2023 hätte der Kunde trotz der Behauptung des Anrufers, er sei ein Bankmitarbeiter, zweifelsfrei bemerken müssen, dass es sich um einen betrügerischen Vorgang handelte. Im vorliegenden Fall handelte es sich jedoch nicht um einen so klaren Sorgfaltsverstoß wie bei einem Social-Engineering-Angriff.

Obwohl das Gericht es für wahrscheinlich hielt, dass der Kunde unaufmerksam die PushTan-Bestätigung selbst durchgeführt hatte, bewertete es dieses Verhalten nicht als grob fahrlässig gemäß §675v Abs. 3 Nr. 2 lit. a, b BGB. Das Gericht berücksichtigte dabei, dass Apple Pay 2022 noch nicht weit verbreitet war und der Kunde Schwierigkeiten beim Einrichten der PushTan-Autorisierung hatte. Zudem fehlten in den Onlinebedingungen der Bank Hinweise und Regelungen zum Mobile Payment und die weitreichenden und teuren Konsequenzen des einfachen Freigebens der TAN per Wischen waren für den Verbraucher kaum nachvollziehbar.

Zentrale Schlussfolgerungen:

Mit diesem rechtskräftigen Urteil sendet das LG Heilbronn eine klare Botschaft an die Banken: Sie müssen genauer hinsehen, wenn ungewöhnliche Transaktionen stattfinden, und tragen Verantwortung für den Schutz ihrer Kunden vor Betrug. Als Zahlungsdienstleister haften sie für unbefugte Transaktionen, wenn Sicherheitslücken ohne grob fahrlässiges Verschulden des Kunden ausgenutzt werden. Das Gericht empfiehlt zudem eine Verschärfung der Sicherheitsmaßnahmen für das Tan-Verfahren, etwa durch eine verpflichtende Mehr-Geräte-Autorisierung. So soll das Risiko des Missbrauchs minimiert werden.

Das Urteil des LG Heilbronn zeigt deutlich, dass Banken in der Pflicht stehen, ihre Sicherheitssysteme kontinuierlich zu verbessern und ungewöhnliche Transaktionen sorgfältig zu überwachen. Für Verbraucher ist es jedoch auch wichtig, wachsam zu bleiben, denn das Gericht macht deutlich, dass es hohe und womöglich durch die Etablierung des „Mobile Payments“ bis heute noch höhere Anforderungen an die Sorgfaltspflicht des Kunden stellt.

Das könnte Ihnen gefallen:

Betrug mit Apple Pay: Gericht verurteilt Bank zur Rückzahlung

Das könnte Ihnen auch gefallen:

Kontakt