Eine Bank muss einem Kunden über 42.000 Euro erstatten, die durch nicht autorisierte Zahlungsvorgänge über Apple Pay abgebucht wurden. Das Oberlandesgericht Karlsruhe wies die Berufung der Bank gegen ein vorangegangenes Urteil des Landgerichts Karlsruhe zurück. Grund für die Entscheidung war das Fehlen ausreichender Maßnahmen zur starken Kundenauthentifizierung.  

Der Fall drehte sich um eine versehentliche Freigabe des Auftrags „Karte registrieren“ in der PushTAN-App des Kunden, wodurch eine digitale Debitkarte auf einem fremden Gerät aktiviert wurde. Die Bank warf dem Kunden grobe Fahrlässigkeit vor, doch das Gericht stellte laut Haufe klar, dass die Formulierung in der App missverständlich war und der Kunde nicht verpflichtet sei, seinen Kontostand häufiger als alle zwei Wochen zu prüfen.  

Kritisch bewertete das Gericht zudem, dass die Bank im Registrierungsprozess keine sichere Authentifizierung verlangte. Auch bei den nachfolgenden 122 Transaktionen wurde keine starke Kundenauthentifizierung gefordert – ein klarer Verstoß gegen gesetzliche Anforderungen. Die Revision wurde aufgrund der grundsätzlichen Bedeutung des Falls zugelassen. 

Artikelbild: http://www.depositphotos.com