Logo Siburg Rechtsanwalt
close
Kontakt
Verbraucherfreundliches Urteil der Kanzlei SIBURG LEGAL

Verbraucherfreundliches Urteil zu Garmin Pay: Landgericht Nürnberg-Fürth stärkt Rechte von Bankkunden bei unsicherer Authentifizierung

OnlineBanking Betrug

Zahlreiche Abbuchungen über Garmin Pay – Bank muss Betrag vollständig erstatten

Ein richtungsweisendes Urteil des Landgerichts Nürnberg-Fürth (Urteil vom 17.04.2025) bringt neue Klarheit im digitalen Zahlungsverkehr: Wer als Bankkunde Opfer einer missbräuchlichen Nutzung von Mobile-Payment-Diensten wie Garmin Pay wird, kann unter Umständen den vollen Schaden ersetzt verlangen – auch wenn die Bank eine Authentifizierung per SMS durchführt.

Die Entscheidung betrifft insbesondere die Frage, wann von einer „starken Kundenauthentifizierung“ im Sinne der europäischen Zahlungsdiensterichtlinie (PSD2) auszugehen ist – und wann eben nicht.

Der Fall: Fremde Einrichtung eines Zahlungstokens – 7.461,41 € abgebucht

Dem Kläger wurden über einen Zeitraum von wenigen Tagen mehrere hundert Zahlungen über Garmin Pay belastet – insgesamt 7.461,41 €. Hintergrund war die unberechtigte Aktivierung seiner Consorsbank-Visa-Karte in der Garmin Connect App. Der Token war auf einem Mobilgerät eingerichtet worden, wobei der Angreifer offenbar durch eine phishingartige SMS mit Zollbezug die Herausgabe des SMS-Codes erschlich.

Die Bank weigerte sich, den Betrag zu erstatten. Sie argumentierte, der Einrichtungsvorgang sei durch den Versand einer Einmal-SMS mit Code und die Verwendung des Mobiltelefons ausreichend abgesichert gewesen.

Gericht: Einrichtung des Tokens unterliegt Pflicht zur starken Authentifizierung

Das Landgericht folgte dieser Argumentation nicht. Maßgeblich sei, dass bereits die Einrichtung eines mobilen Zahlungstokens – nicht nur die spätere Transaktion – unter § 55 Abs. 1 Nr. 3 ZAG falle. Damit sei eine starke Kundenauthentifizierung erforderlich.

Diese lag hier jedoch nicht vor, weil:

  1. der vierstellige Kenncode vom Angreifer selbst gewählt wurde (und somit kein echtes Sicherheitselement war),
  2. die Kreditkartendaten allgemein zugänglich und kein exklusives Wissenselement sind,
  3. SMS und Endgerät nicht als zwei unabhängige Sicherheitsfaktoren gelten können.

Die Kombination von „SMS-Code an Mobiltelefon“ und „Besitz dieses Mobiltelefons“ genügt dem Gericht zufolge nicht den Anforderungen der PSD2, weil sie nicht unabhängig voneinander sind.

Rechtslage nach dem Zahlungsdiensteaufsichtsgesetz (ZAG) und § 675v BGB

Rechtlich entscheidend war die Anwendung von § 675v Abs. 4 Satz 1 BGB. Danach haftet der Zahler nicht für nicht autorisierte Zahlungen, wenn der Zahlungsdienstleister keine starke Kundenauthentifizierung verlangt hat. Genau dies war hier der Fall.

Wichtig: Selbst wenn der Kunde in irgendeiner Weise leichtfertig gehandelt hätte (was das Gericht ausdrücklich offenließ), wäre die Bank dennoch haftbar – allein wegen des Sicherheitsdefizits bei der Token-Einrichtung.

Folgen für die Praxis: Banken müssen Prozesse zur Token-Einrichtung überdenken

Das Urteil sendet ein klares Signal: Banken tragen die Verantwortung für die Sicherheit bei der Digitalisierung von Zahlungskarten. Prozesse, die ausschließlich auf SMS-Codes und selbstgewählte PINs setzen, genügen den gesetzlichen Anforderungen an eine starke Zwei-Faktor-Authentifizierung in vielen Fällen nicht.

Bankkunden wiederum sollten wissen:

  • Die Einrichtung eines Zahlungstokens stellt eine sicherheitsrelevante Handlung dar,
  • bei unberechtigten Abbuchungen trägt die Bank die Beweislast für die ordnungsgemäße Autorisierung,
  • eine SMS allein genügt in der Regel nicht als zweiter Authentifizierungsfaktor,
  • Erstattungsansprüche können auch ohne grobe Fahrlässigkeit des Kunden durchgesetzt werden.

Fazit: Urteil stärkt Verbraucherrechte – Klage lohnte sich

Durch die Entscheidung des LG Nürnberg-Fürth wurde ein klarer Maßstab gesetzt: Eine formale Zwei-Faktor-Authentifizierung genügt nicht, wenn die Faktoren technisch nicht unabhängig sind. Verbraucher, die Opfer von Missbrauch im Mobile-Payment-Bereich geworden sind, haben gute Chancen, ihren Schaden ersetzt zu bekommen – selbst dann, wenn sie versehentlich einen Aktivierungscode weitergegeben haben.

Sie sind betroffen?

Gerne prüfen wir Ihren Fall individuell und setzen Ihre Ansprüche konsequent durch. Als spezialisierte Kanzlei für Bankrecht und Zahlungsdiensterecht beraten wir Sie bundesweit und kompetent.

Jetzt Erstgespräch anfragen

Veröffentlich in:
, ,

Gut für Sie vernetzt

crosschevron-down linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram