Apple Pay & Google Pay Betrug: Wenn Fremde Ihre Karte digitalisieren

Wie Betrüger Ihre Karte in ihrer eigenen Wallet hinterlegen – und warum die Bank den Schaden in vielen Fällen ersetzen muss

Auf Ihrem Kontoauszug tauchen kontaktlose Zahlungen an Tankstellen oder im Supermarkt auf, obwohl Ihr Smartphone die ganze Zeit bei Ihnen lag? Dann könnten Betrüger Ihre Karte in ihrer eigenen Wallet hinterlegt haben. Beim Apple Pay & Google Pay Betrug digitalisieren Fremde Ihre Kartendaten auf ihrem eigenen Gerät und zahlen auf Ihre Kosten. Die gute Nachricht: In vielen Fällen muss Ihre Bank den Schaden erstatten. Entscheidend ist, dass Sie schnell und richtig reagieren. Dieser Beitrag erklärt die Masche, die Warnsignale und Ihre Rechte.

Was steckt hinter dem Apple Pay & Google Pay Betrug?

Um mit Apple Pay oder Google Pay zu bezahlen, muss eine Karte zunächst digitalisiert, also in der Wallet eines Geräts hinterlegt werden. Genau hier setzt die Betrugsmasche an: Nicht Sie hinterlegen die Karte, sondern Fremde digitalisieren Ihre Kartendaten in ihrer eigenen Wallet auf ihrem eigenen Smartphone. Anschließend bezahlen sie damit kontaktlos – und die Beträge werden von Ihrem Konto abgebucht. Für Sie sind diese Zahlungen zunächst nicht erkennbar, weil sie nicht über Ihr eigenes Gerät laufen.

Damit das gelingt, benötigen die Täter zweierlei: Ihre Kartendaten und eine Bestätigung der Digitalisierung über Ihr Freigabe-Medium, also Ihre Banking- oder PushTAN-App oder einen per SMS versandten Code. Beides verschaffen sie sich durch Täuschung. Die Kartendaten stammen häufig aus Phishing-Nachrichten, gefälschten Bankseiten oder Datenlecks; die Freigabe erschleichen die Täter, indem sie sich als Bank ausgeben.

Das Tückische daran: Ihr eigenes Smartphone war zu keinem Zeitpunkt aus der Hand. Trotzdem ist Ihre Karte plötzlich auf einem fremden Gerät aktiv, und die ersten Abbuchungen erfolgen oft innerhalb von Minuten – nicht selten räumlich weit von Ihrem Wohnort entfernt. Viele Betroffene bemerken den Apple Pay Betrug mit fremder Karte erst, wenn das Konto bereits spürbar belastet ist. Genau deshalb ist es wichtig, die Mechanik zu verstehen und Freigaben kritisch zu prüfen.

Betroffen sind sowohl Apple Pay als auch Google Pay sowie vergleichbare Wallets der Banken selbst. Das Grundmuster ist stets dasselbe: Nicht das Bezahlsystem als solches ist unsicher, sondern die Täter missbrauchen die Einrichtung, indem sie die nötige Freigabe erschleichen.

Besonders gefährlich ist die Masche, weil sie die üblichen Grenzen kontaktloser Zahlungen umgeht. Während bei der physischen Karte nach mehreren Zahlungen oder ab einem bestimmten Betrag die PIN verlangt wird, gelten Zahlungen über eine eingerichtete Wallet als verifiziert. Die Täter können dadurch in kurzer Zeit zahlreiche Beträge abbuchen, ohne jeweils erneut eine Bestätigung zu benötigen.

So funktioniert der Wallet-Provisioning-Trick Schritt für Schritt

Im ersten Schritt beschaffen sich die Täter Ihre Daten. Über eine Phishing-SMS oder -E-Mail, die täuschend echt nach Ihrer Bank aussieht, werden Sie auf eine gefälschte Seite gelockt und geben dort Kartennummer, Zugangsdaten oder weitere Informationen ein. Schon damit ist die Grundlage für den Missbrauch gelegt.

Im zweiten Schritt versuchen die Täter, Ihre Karte in ihrer Wallet zu hinterlegen. Die Bank löst dafür eine Identitätsprüfung aus und verlangt eine Freigabe über Ihr Sicherheitsverfahren – etwa eine Bestätigung in der PushTAN-App oder die Eingabe eines per SMS versandten Codes. Dieser Schritt soll eigentlich sicherstellen, dass nur Sie selbst die Karte digitalisieren.

Im dritten Schritt erschleichen sich die Täter genau diese Freigabe. Sie rufen an oder schreiben und geben sich als Bankmitarbeiter aus, sprechen von einer angeblichen „Sicherheitsprüfung“ und bringen Sie dazu, die Push-Benachrichtigung zu bestätigen oder den SMS-Code durchzugeben. Häufig ist der angezeigte Auftrag bewusst unklar formuliert, etwa nur als „Registrierung Karte“, sodass Sie die Tragweite nicht erkennen.

Im vierten Schritt ist die Karte auf dem fremden Gerät aktiv. Von nun an können die Täter kontaktlos in Geschäften zahlen oder Geld abheben, bis das Konto leergeräumt oder die Karte gesperrt ist. Weil die Zahlungen technisch über eine scheinbar legitime Wallet laufen, fallen sie zunächst nicht weiter auf.

Welches Sicherheitsverfahren die Täter ausnutzen, hängt von Ihrer Bank ab. Mal wird die Freigabe über die App verlangt, mal über einen per SMS versandten Aktivierungscode. In beiden Fällen ist der Hebel derselbe: Die Täter müssen Sie dazu bringen, eine Bestätigung zu erteilen, deren wahre Bedeutung – die Aktivierung Ihrer Karte auf einem fremden Gerät – Sie nicht erkennen. Genau deshalb ist die verständliche Beschreibung der Freigabe so wichtig.

Häufig wird der Druck durch einen scheinbar offiziellen Anruf erhöht. Die Täter setzen Rufnummern-Manipulation ein, sodass auf dem Display die echte Nummer Ihrer Bank erscheint. In dem Gespräch werden Sie gebeten, eine soeben versandte Freigabe zu bestätigen, angeblich um einen Betrug abzuwehren. Tatsächlich autorisieren Sie damit die Karteneinrichtung der Täter.

Woran Sie den Apple Pay Betrug mit fremder Karte erkennen

Einige Anzeichen deuten auf einen Missbrauch Ihrer Karte über eine fremde Wallet hin. Schon eines dieser Warnsignale sollte Sie aufmerksam machen:

• Unerwartete Freigabeanfrage: In Ihrer Banking- oder PushTAN-App erscheint eine Freigabe mit unklarem Text wie „Registrierung Karte“ oder „Karte hinzufügen“, die Sie nicht selbst ausgelöst haben.
• SMS-Code ohne Anlass: Sie erhalten einen Bestätigungscode zur angeblichen Sicherheitsprüfung, obwohl Sie keine Aktion vorgenommen haben.
• Druck durch angebliche Bankmitarbeiter: Ein Anruf oder eine Nachricht drängt Sie, eine Freigabe zu bestätigen oder einen Code zu nennen.
• Kontaktlose Zahlungen von fremden Orten: Auf dem Kontoauszug erscheinen Zahlungen an Orten, an denen Sie nicht waren – häufig in schneller Folge.
• Abbuchungen trotz griffbereitem Gerät: Es wird gezahlt, obwohl Ihr Smartphone und Ihre physische Karte die ganze Zeit bei Ihnen waren.

Bestätigt sich der Verdacht, zählt jede Minute. Lassen Sie die Karte sofort sperren und gehen Sie die weiteren Schritte konsequent durch, die wir unten beschreiben. Je früher die unbefugte Wallet entfernt wird, desto geringer ist der mögliche Schaden.

Prüfen Sie im Verdachtsfall sofort, ob in Ihrer Banking-App ein zusätzliches, Ihnen unbekanntes Gerät für mobiles Bezahlen hinterlegt ist. Viele Apps zeigen verbundene Wallets oder Geräte an. Finden Sie dort einen fremden Eintrag, ist das ein deutliches Zeichen für eine unbefugte Kartendigitalisierung.prüfen, bevor Sie weitere Schritte unternehmen. Unsere Kanzlei steht Ihnen bundesweit zur Verfügung.

Warum die Bank in vielen Fällen erstatten muss

Bei den Abbuchungen handelt es sich um Zahlungen, die Sie nicht autorisiert haben. Für solche nicht autorisierten Zahlungsvorgänge gilt § 675u BGB: Die Bank ist grundsätzlich verpflichtet, den belasteten Betrag unverzüglich zu erstatten, spätestens bis zum Ende des Geschäftstags, der auf die Anzeige des nicht autorisierten Vorgangs folgt. Eine Zustimmung zu den einzelnen Zahlungen haben Sie nie erteilt. Damit liegt der rechtliche Ausgangspunkt klar zugunsten des Kunden.

Entscheidend ist außerdem die Beweislast. Nach § 675w BGB muss die Bank nachweisen, dass ein Zahlungsvorgang autorisiert wurde. Die bloße Nutzung eines Sicherheitsverfahrens genügt dafür nicht. Hinzu kommt: Die Einrichtung der digitalen Karte ist nach der Rechtsprechung selbst noch kein Zahlungsvorgang. Maßgeblich ist, ob die einzelnen späteren Zahlungen autorisiert waren – und das waren sie nicht.

Eine wichtige Rolle spielt die Transparenzpflicht der Bank. Sie muss Ihnen klar anzeigen, was Sie mit einer Freigabe tatsächlich bestätigen – etwa „Karte auf neuem Gerät registrieren“ statt eines nichtssagenden „Registrierung Karte“. Sind die Hinweistexte unpräzise oder weist das Sicherheitsverfahren Lücken auf, trägt die Bank das Risiko für den entstandenen Schaden.

Banken berufen sich gegenüber Betroffenen mitunter darauf, der Kunde habe den Zahlungen durch die Freigabe zugestimmt. Eine wirksame Zustimmung im Sinne des § 675j BGB setzt jedoch voraus, dass sich die Erklärung gerade auf die konkreten Zahlungsvorgänge bezieht. Eine durch Täuschung erschlichene Freigabe zur Karteneinrichtung ist keine solche Zustimmung. Der bloße Einsatz einer starken Kundenauthentifizierung ersetzt die fehlende Autorisierung ebenfalls nicht.

Hinzu kommt, dass auch Banken eigene Schutzpflichten treffen. Mehrere Gerichte haben beanstandet, dass Institute auffällige Zahlungsmuster nicht erkannt oder keine wirksame Überwachung und Benachrichtigung bei ungewöhnlichen Transaktionen vorgehalten haben. Versäumt die Bank solche Sicherungen, stärkt das den Erstattungsanspruch der Betroffenen zusätzlich.

Diese Linie bestätigt auch die Rechtsprechung. Das OLG Karlsruhe entschied am 23. November 2023 zugunsten eines Kunden, dessen Karte über eine unklar formulierte Freigabe auf einem fremden Smartphone aktiviert worden war; der Schaden von rund 42.000 Euro war von der Bank zu erstatten. In dieselbe Richtung gehen das LG Heilbronn (Urteil vom 2. April 2024) und das LG Lübeck (Urteil vom 3. Januar 2024), die eine Haftung der Bank trotz erteilter Freigabe bejaht haben, weil die Kunden von einer legitimen Sicherheitsanfrage ausgehen durften.

Wann die Bank ausnahmsweise nicht erstatten muss

Die Erstattungspflicht ist nicht grenzenlos. Haben Sie Ihre Sorgfaltspflichten grob fahrlässig verletzt, kann die Bank nach § 675v BGB einen Schadensersatzanspruch geltend machen und mit Ihrem Erstattungsanspruch verrechnen. Eine grobe Fahrlässigkeit kommt etwa in Betracht, wenn Sie Zugangsdaten bewusst und ohne jeden Anlass an Dritte weitergeben oder eindeutige Warnhinweise ignorieren.

Allerdings liegt die Hürde hoch. Allein die Eingabe von Daten auf einer täuschend echten Phishing-Seite oder die versehentliche Bestätigung einer unklar beschriebenen Freigabe reicht nach der Rechtsprechung in vielen Fällen nicht aus, um grobe Fahrlässigkeit anzunehmen. Auch hier gilt: Die Beweislast für ein grob fahrlässiges Verhalten trägt nach § 675w BGB die Bank, nicht Sie. Pauschale Vorwürfe der Bank, Sie hätten Ihre Daten nicht sorgfältig verwahrt, genügen daher nicht.

Wichtig ist die Abgrenzung zwischen leichter und grober Fahrlässigkeit. Nur ein besonders schwerer, schlechthin unentschuldbarer Sorgfaltsverstoß führt zur Haftung des Kunden. Wer in einer Alltagssituation – etwa abgelenkt während der Arbeit – eine unklar beschriebene Freigabe bestätigt, handelt nach der Rechtsprechung häufig nur leicht fahrlässig. Das genügt nicht, um den Erstattungsanspruch entfallen zu lassen.

Ob im Einzelfall grobe Fahrlässigkeit vorliegt, hängt von den konkreten Umständen ab – etwa davon, wie die Freigabe in der App beschrieben war und in welcher Situation sie erfolgte. Lassen Sie eine ablehnende Reaktion Ihrer Bank deshalb nicht unwidersprochen, sondern anwaltlich prüfen. Oft genügt bereits ein fundiertes anwaltliches Schreiben, um die Bank zur Erstattung zu bewegen.

Sofortmaßnahmen nach einem Apple Pay oder Google Pay Betrug

Wenn Sie nicht autorisierte Zahlungen entdecken, sollten Sie ohne Verzögerung handeln. Die folgenden Schritte sind entscheidend:

• Karte sofort sperren: Lassen Sie Karte und Wallet umgehend über Ihre Bank oder den Sperr-Notruf 116 116 sperren.
• Weitere Freigaben stoppen: Bestätigen Sie keine weiteren Push-Anfragen, geben Sie keine Codes durch und ändern Sie Ihre Zugangsdaten.
• Beweise sichern: Sichern Sie Kontoauszüge, die betroffenen Abbuchungen, erhaltene SMS, den Verlauf der Freigabeanfragen und Screenshots verdächtiger Nachrichten.
• Strafanzeige erstatten: Eine Anzeige bei der Polizei ist wichtig und ermöglicht später die Einsicht in die Ermittlungsakte.
• Erstattung schriftlich verlangen: Fordern Sie die Bank schriftlich und unter ausdrücklichem Verweis auf § 675u BGB zur Erstattung auf und setzen Sie eine Frist.
• Keine Rückhol-Angebote annehmen: Reagieren Sie nicht auf vermeintliche Dienste, die gegen Vorkasse eine Rückholung versprechen.

Prüfen Sie zudem, ob weitere Karten oder Konten betroffen sind, und beobachten Sie Ihre Umsätze in den folgenden Wochen aufmerksam. Wurden auch Zugangsdaten preisgegeben, sollten Sie sämtliche betroffenen Passwörter ändern. Bewahren Sie den gesamten Schriftverkehr mit der Bank geordnet auf, da er für die Durchsetzung Ihres Anspruchs entscheidend ist.

Je schneller Sie den Vorfall melden, desto besser. Wie auch beim klassischen Online-Banking-Betrug gilt: Eine unverzügliche Anzeige des nicht autorisierten Vorgangs ist die Grundlage für Ihren Erstattungsanspruch. Reagiert die Bank ablehnend, sollten Sie Ihre Ansprüche nicht aufgeben. Eine ablehnende Antwort der Bank ist nicht das letzte Wort.

Wann lohnt sich anwaltliche Beratung beim Apple Pay & Google Pay Betrug?

Anwaltliche Beratung ist vor allem dann sinnvoll, wenn Ihre Bank die Erstattung verweigert oder Ihnen grobe Fahrlässigkeit vorwirft. Gerade die Frage, ob die Freigabeanzeige hinreichend transparent war und ob ein grob fahrlässiges Verhalten vorliegt, ist juristisch anspruchsvoll und entscheidet über den Erfolg Ihres Anspruchs. Als erfahrene Anwälte im Bank- und Kapitalmarktrecht prüfen wir den Ablauf der Kartendigitalisierung, die Sicherheitsverfahren Ihrer Bank und Ihre Erstattungsansprüche aus § 675u BGB. Wir setzen Ihre Ansprüche gegenüber der Bank durch und bereiten – wo nötig – eine Strafanzeige gegen die Täter vor. Wie ein Anwalt für Finanzbetrug vorgeht, lässt sich in einem Erstgespräch klären. Da der Betrug technisch dem Internetbetrug nahesteht, kommt es auf eine sorgfältige Beweissicherung an. Ein frühzeitiges Erstgespräch hilft, die richtigen Schritte gegenüber der Bank einzuleiten und Fristen zu wahren.

Fazit: Schnell handeln und den Erstattungsanspruch durchsetzen

Beim Apple Pay & Google Pay Betrug hinterlegen Fremde Ihre Karte in ihrer eigenen Wallet und zahlen auf Ihre Kosten – ausgelöst durch eine erschlichene Push- oder SMS-Freigabe. Für die dadurch entstandenen, nicht autorisierten Zahlungen muss die Bank nach § 675u BGB grundsätzlich aufkommen, und die Beweislast für eine Autorisierung oder grobe Fahrlässigkeit liegt bei ihr. Gerichte haben Banken bereits mehrfach zur Erstattung verurteilt, wenn die Freigabe unklar beschrieben war. Wer die Karte sofort sperrt, Beweise sichert, Strafanzeige erstattet und die Erstattung schriftlich unter Verweis auf § 675u BGB verlangt, schafft die beste Grundlage – und sollte eine ablehnende Haltung der Bank nicht unwidersprochen hinnehmen. Mit einer sorgfältigen Dokumentation und einer klaren Geltendmachung stehen die Chancen gut, das Geld zurückzuerhalten.

Kanzlei Dr. Araujo Kurth – Ihr Partner im Bank- und Kapitalmarktrecht

Die Kanzlei Dr. Araujo Kurth berät und vertritt Mandanten bundesweit im Bank- und Kapitalmarktrecht. Rechtsanwalt Dr. Michel de Araujo Kurth M.A. verfügt über langjährige Erfahrung im Bankwesen und in der anwaltlichen Praxis und hat sich auf die Vertretung von Mandanten in bank- und kapitalmarktrechtlichen Streitigkeiten spezialisiert.

Wenn Sie rechtliche Unterstützung benötigen, stehen wir Ihnen jederzeit zur Verfügung. Kontaktieren Sie uns für ein unverbindliches Erstgespräch – telefonisch, per E-Mail oder über das Kontaktformular auf unserer Website.

FAQs – Häufig gestellte Fragen zum Apple Pay & Google Pay Betrug