OLG Karlsruhe zur Haftung der Bank bei Apple Pay- und Google Pay-Betrug

Push-TAN bestätigt – und trotzdem Anspruch auf Erstattung?

Mit Urteil vom 23. Dezember 2025 (Az. 17 U 113/23) hat das Oberlandesgericht Karlsruhe eine für Bankkunden äußerst bedeutsame Entscheidung zum Online-Banking-Betrug getroffen. Im Mittelpunkt stand die Frage, ob eine Bank auch dann haften muss, wenn der Kunde eine Push-TAN bestätigt hat – allerdings ohne klar erkennen zu können, wofür diese Freigabe konkret gilt.

Gerade bei Betrugsfällen im Zusammenhang mit Apple Pay und Google Pay hat das Urteil erhebliche praktische Relevanz. Denn häufig argumentieren Banken: „Sie haben doch die TAN bestätigt.“ Das OLG Karlsruhe stellt nun klar, dass dies nicht automatisch eine wirksame Autorisierung bedeutet.

Der Sachverhalt: Digitale Kartenregistrierung durch Dritte

Im entschiedenen Fall verschafften sich unbekannte Täter Zugriff auf die Online-Banking-Zugangsdaten eines Bankkunden. Anschließend registrierten sie dessen Debitkarte in einer eigenen Wallet-Umgebung, um sie über Apple Pay nutzen zu können.

Der Kunde erhielt auf seinem Smartphone eine Push-TAN-Aufforderung mit einem allgemeinen Hinweis wie „Karte registrieren“. Ein konkreter Bezug – etwa zu einem bestimmten Gerät oder zu einer digitalen Wallet eines Dritten – war daraus nicht ersichtlich. In der Annahme, es handele sich um einen üblichen Vorgang, bestätigte der Kunde die TAN.

In der Folge kam es zu erheblichen Abbuchungen. Die Bank verweigerte die Erstattung mit dem Argument, der Kunde habe die maßgebliche Autorisierung selbst erteilt.

Die zentrale Rechtsfrage: Wann liegt eine wirksame Autorisierung vor?

Nach den §§ 675u, 675v BGB ist eine Bank grundsätzlich verpflichtet, nicht autorisierte Zahlungsvorgänge zu erstatten. Dreh- und Angelpunkt ist daher die Frage, ob überhaupt eine „Autorisierung“ vorliegt.

Das Oberlandesgericht Karlsruhe hat hierzu deutlich gemacht:

Eine starke Kundenauthentifizierung – etwa durch Push-TAN – genügt nur dann den gesetzlichen Anforderungen, wenn der Kunde klar und eindeutig erkennen kann, welchen konkreten Vorgang er freigibt.

Ist der Zweck der Freigabe für den durchschnittlichen Bankkunden nicht hinreichend transparent, fehlt es an einer wirksamen Autorisierung.

Unklare Push-TAN bedeutet keine wirksame Zustimmung

Nach Auffassung des Gerichts reichte der Hinweis „Karte registrieren“ nicht aus, um dem Kunden deutlich zu machen, dass seine Karte auf einem fremden Gerät digitalisiert und künftig für Zahlungen genutzt werden sollte.

Gerade bei der Einbindung von Karten in mobile Bezahlsysteme wie Apple Pay oder Google Pay handelt es sich um einen besonders sensiblen Vorgang. Wird eine Karte in einer fremden Wallet hinterlegt, eröffnet dies unmittelbare Zugriffsmöglichkeiten auf das Konto.

Fehlt es an einer eindeutigen Information über Art, Umfang und Kontext der Freigabe, kann die Bestätigung per Push-TAN rechtlich unwirksam sein. Die Folge: Die anschließenden Belastungen gelten als nicht autorisiert – und die Bank ist zur Erstattung verpflichtet.

Bedeutung für Opfer von Online-Banking-Betrug

Das Urteil hat weitreichende Auswirkungen auf zahlreiche Betrugsfälle im Bereich:

• Online-Banking-Betrug
• Phishing und Social Engineering
• Missbrauch von Push-TAN-Verfahren
• unbefugte Registrierung von Karten bei Apple Pay oder Google Pay

In der anwaltlichen Praxis zeigt sich immer wieder, dass Banken pauschal auf eine bestätigte TAN verweisen und Ansprüche zurückweisen. Das OLG Karlsruhe differenziert jedoch:

Nicht jede bestätigte TAN ist automatisch eine wirksame Zustimmung. Entscheidend ist, ob der Kunde in der konkreten Situation erkennen konnte, was er tatsächlich freigibt.

Gute Argumente für eine Rückforderung gegen die Bank

Wenn Sie Opfer eines Apple-Pay- oder Google-Pay-Betrugs geworden sind, lohnt sich eine rechtliche Prüfung insbesondere dann, wenn:

• die Push-TAN-Nachricht keinen klaren Hinweis auf die konkrete Nutzung enthielt,
• kein Bezug zu einem bestimmten Gerät oder Wallet erkennbar war,
• Sie über den tatsächlichen Zweck der Freigabe getäuscht wurden,
• die Bank sich allein auf die formale TAN-Bestätigung beruft.

Das Urteil des OLG Karlsruhe stärkt die Position geschädigter Bankkunden erheblich. Es zeigt, dass Banken hohe Anforderungen an Transparenz und Sicherheit ihrer Authentifizierungsverfahren erfüllen müssen.

Fazit: Push-TAN bestätigt heißt nicht automatisch „selbst schuld“

Die Entscheidung vom 23. Dezember 2025 (Az. 17 U 113/23) macht deutlich:

Bei Online-Banking-Betrug im Zusammenhang mit Apple Pay oder Google Pay kommt es entscheidend darauf an, ob der Kunde die Tragweite seiner Push-TAN-Bestätigung erkennen konnte.

War die Freigabeaufforderung unklar oder missverständlich, bestehen realistische Chancen, das verlorene Geld von der Bank zurückzufordern.

Wenn Sie von einem vergleichbaren Fall betroffen sind – insbesondere nach einer unerwarteten Push-TAN-Bestätigung und anschließenden Abbuchungen über Apple Pay oder Google Pay – sollte der Vorgang zeitnah rechtlich geprüft werden. In vielen Fällen bestehen deutlich bessere Erfolgsaussichten, als Betroffene zunächst vermuten.

Ihre Ansprechpartnerin bei Online-Banking-Betrug/Kreditkartenmissbrauch

Als Fachanwältin für Bank- und Kapitalmarktrecht mit langjähriger Berufserfahrung vertrete ich bundesweit Mandantinnen und Mandanten, die Opfer von Kreditkartenmissbrauch, Online-Banking-Betrug, Push-TAN-Missbrauch sowie Apple-Pay- oder Google-Pay-Betrug geworden sind.

Ich prüfe für Sie, ob ein Anspruch auf Rückerstattung gegen Ihre Bank besteht, übernehme die außergerichtliche Korrespondenz und setze Ihre Rechte – wenn erforderlich – auch gerichtlich durch.

Sie können direkt einen Termin zur kostenlosen Ersteinschätzung vereinbaren. In diesem Gespräch klären wir, wie Ihre Erfolgsaussichten stehen und welche nächsten Schritte sinnvoll sind.