NFC-Zahlung und Kriterien der Haftung im Zahlungsdiensterecht

Das Limit für einzelne kontaktlose Transaktionen ohne starke Kundenauthentifizierung (PIN oder Biometrie) ist nicht starr im Gesetzestext des BGB fixiert, sondern ergibt sich aus den technischen Regulierungsstandards der PSD2 (Delegierte Verordnung EU 2018/389). Gemäß Artikel 11 dieser Verordnung dürfen Zahlungsdienstleister auf eine SCA verzichten, wenn der Betrag der einzelnen Transaktion 50 Euro nicht übersteigt. Wichtig ist jedoch die kumulative Komponente: Die Bank muss zwingend eine PIN abfragen, wenn der Gesamtbetrag der vorangegangenen kontaktlosen Zahlungen ohne SCA 150 Euro erreicht hat oder wenn fünf aufeinanderfolgende Einzeltransaktionen ohne SCA durchgeführt wurden. Diese Schwellenwerte dienen als technischer “Sicherheitsanker”, um das Risiko bei einem Diebstahl der Karte zu begrenzen.

Für den Verbraucher bedeutet dies einen wichtigen rechtlichen Hebel. Sollte eine Bank es versäumen, nach der fünften Zahlung oder nach Überschreiten der 150-Euro-Marke eine PIN zu fordern, und wird die Karte danach weiter missbräuchlich genutzt, liegt ein Systemversagen des Zahlungsdienstleisters vor. In einem solchen Szenario entfällt selbst bei einer leichten Fahrlässigkeit des Kunden (z. B. verspätete Sperre) die Haftung des Nutzers für die über das Limit hinausgehenden Beträge. Die Beweislast dafür, dass die SCA-Regeln technisch korrekt angewandt wurden, liegt im Streitfall vollumfänglich bei der Bank. Nutzer sollten daher ihre Abrechnungen akribisch prüfen, ob mehr als fünf PIN-lose Zahlungen in Folge akzeptiert wurden, da dies die Erstattungschancen massiv erhöht.

Im Zahlungsdiensterecht ist die grobe Fahrlässigkeit der Dreh- und Angelpunkt der Haftung. Laut Rechtsprechung liegt sie vor, wenn der Karteninhaber die im Verkehr erforderliche Sorgfalt in ungewöhnlich hohem Maße verletzt und das unbeachtet gelassen hat, was im gegebenen Fall jedem hätte einleuchten müssen. Klassische Beispiele, die von Gerichten fast immer als grob fahrlässig eingestuft werden, sind das Notieren der PIN auf der Karte selbst oder auf einem Zettel im Portemonnaie sowie das unbeaufsichtigte Hinterlassen der Karte an öffentlich zugänglichen Orten. Auch das Zurücklassen der Geldbörse im sichtbaren Bereich eines geparkten Fahrzeugs (“Auto ist kein Tresor”) wird regelmäßig als besonders schwere Sorgfaltsverletzung gewertet.

Interessant ist jedoch die Bewertung bei NFC-Zahlungen. Da hier gerade keine PIN benötigt wird, kann das Notieren der PIN nicht kausal für den Schaden bei einer Kontaktlos-Zahlung sein. Die Bank muss also nachweisen, dass das bloße Abhandenkommen der Karte auf einem Verhalten beruht, das weit über eine einfache Unachtsamkeit hinausgeht. Ein kurzes Vergessen der Karte am Bezahlterminal oder das Herausrutschen aus der Tasche gilt meist nur als einfache Fahrlässigkeit, bei der die 50-Euro-Haftungsgrenze bestehen bleibt. Erst wenn massive Indizien vorliegen, dass der Nutzer seine Karte über Stunden oder Tage nicht kontrolliert hat, obwohl ein Verlustrisiko offensichtlich war, kippt die juristische Bewertung zugunsten der Bank. Jedes Detail der Aufbewahrungssituation ist hier entscheidend für die “Narrativa de Justificação”.

Dieses Szenario, oft als “Electronic Pickpocketing” bezeichnet, ist technisch möglich, aber im Jahr 2026 seltener als vermutet. Dabei nutzt ein Angreifer ein mobiles Lesegerät oder ein entsprechend präpariertes Smartphone, um das NFC-Signal der Karte in der Hosen- oder Handtasche des Opfers abzugreifen. Die dabei ausgelesenen Daten (Kartennummer und Verfallsdatum) reichen bei modernen Karten jedoch meist nicht aus, um eine vollwertige Transaktion zu klonen, da die für den Bezahlvorgang notwendigen dynamischen Sicherheitscodes (CVV/CVC) nicht per Funk übertragen werden. Dennoch gibt es spezialisierte Angriffe (Relay-Attacken), bei denen das Signal in Echtzeit an ein weit entferntes Terminal “weitergereicht” wird.

Rechtlich gesehen ist dieser Fall für den Verbraucher hochkomfortabel. Da keine physische Entwendung der Karte stattfindet, kann dem Kunden keinerlei Sorgfaltspflichtverletzung vorgeworfen werden. Ein unbemerktes Auslesen der Daten gilt juristisch als technisches Risiko des Zahlungsverfahrens, für das die Bank nach § 675u BGB vollumfänglich haftet. Der Nutzer muss lediglich belegen, dass er zum Zeitpunkt der Transaktion im Besitz der physischen Karte war und sich nicht am Ort des Terminals befand (z. B. durch Zeugen oder GPS-Daten des Handys). Banken versuchen in solchen Fällen oft, die Erstattung hinauszuzögern, doch bei einem Funkdiebstahl ohne PIN-Eingabe hat der Zahlungsdienstleister faktisch keine rechtliche Handhabe, die Zahlung vom Kunden zurückzufordern.

Mobile Wallets auf Smartphones gelten rechtlich als deutlich sicherer als physische Karten, was direkte Auswirkungen auf die Haftungssituation hat. Der Grund ist die zwingende starke Kundenauthentifizierung (SCA) für jede einzelne Transaktion. Während eine Plastikkarte “dumm” ist und auf Funkbefehle reagiert, erfordern Apple Pay und Google Pay vor der Signalfreigabe eine biometrische Verifizierung (FaceID, TouchID) oder die Eingabe des Geräte-Codes. Findet eine unautorisierte Zahlung statt, müsste der Angreifer also entweder das Gesicht/den Fingerabdruck des Nutzers gefälscht oder den Sperrcode des Handys geknackt haben. Dies setzt fast immer eine aktive Mitwirkung oder extreme Nachlässigkeit des Nutzers voraus.

Sollte es dennoch zu einem Missbrauch kommen – etwa durch eine Overlay-Attacke von Schadsoftware auf dem Smartphone –, liegt die Haftung beim Zahlungsdienstleister. Die Bank muss dem Kunden beweisen, dass er Sicherheitsmechanismen des Betriebssystems bewusst umgangen hat (z. B. durch “Jailbreaking” oder “Rooting” des Geräts). Wer sein Smartphone jedoch mit den Standard-Sicherheitsupdates betreibt und den Sperrcode nicht an Dritte weitergibt, ist faktisch von jeglicher Haftung befreit. Die Bank trägt hier das Risiko der technischen Manipulation ihrer App-Schnittstellen. Ein weiterer Vorteil: Bei Verlust des Handys können die digitalen Karten sofort über “Find my iPhone” oder das Google-Konto gesperrt werden, was die Meldekette im Vergleich zur physischen Postzustellung einer neuen Karte massiv beschleunigt.

Die gesetzliche Regelung in § 675v Abs. 1 BGB besagt, dass der Zahler im Falle einer unautorisierten Zahlung durch die Nutzung eines verlorenen oder gestohlenen Zahlungsinstruments zum Ersatz des Schadens bis zu einem Betrag von 50 Euro verpflichtet werden KANN. Dies ist jedoch kein Automatismus. Viele moderne Banken und Kreditkartengesellschaften (insbesondere bei Premium-Karten oder Fintech-Konten) werben mit einer “Null-Euro-Haftung” (Zero Liability Policy). In diesen Fällen verzichtet die Bank vertraglich auf den gesetzlichen Selbstbehalt, sofern der Kunde den Verlust unverzüglich meldet und nicht vorsätzlich handelt. Es lohnt sich daher immer, in die AGB des eigenen Kartenvertrags zu schauen, bevor man die 50 Euro als gegeben akzeptiert.

Zudem entfällt der 50-Euro-Selbstbehalt kraft Gesetzes, wenn der Zahlungsdienstleister keine starke Kundenauthentifizierung verlangt hat, obwohl er dazu verpflichtet gewesen wäre. Da kontaktlose NFC-Zahlungen unter 50 Euro explizit auf diese Authentifizierung verzichten, argumentieren einige Verbraucherschützer, dass der Selbstbehalt hier gar nicht greifen darf, wenn das Sicherheitssystem der Bank keine PIN-Abfrage erzwingt. Die Rechtsprechung ist hier noch uneinheitlich, tendiert aber dazu, den Deckel nur bei physischem Diebstahl der Karte anzuwenden, nicht bei technischem Ausspähen der NFC-Daten. In jedem Fall ist der Betrag von 50 Euro das absolute Maximum, das ein rechtstreuer Kunde vor dem Zeitpunkt der Sperre verlieren kann – jeder Cent darüber hinaus muss von der Bank erstattet werden.

Ja, die gesetzliche Vorschrift in § 675u BGB ist hier unmissverständlich und für die Banken sehr schmerzhaft: Im Falle einer unautorisierten Zahlung hat der Zahlungsdienstleister dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet wurde, dieses Konto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung befunden hätte. Diese Erstattung muss spätestens bis zum Ende des folgenden Geschäftstags erfolgen, nachdem der Bank der Vorfall gemeldet wurde. Dies ist eine Schutzmaßnahme, um die Liquidität des Kunden zu sichern, während die Bank im Hintergrund ihre Untersuchungen durchführt. Die Bank darf die Rückzahlung nur verweigern, wenn sie den begründeten Verdacht auf einen Betrug durch den Kunden selbst hat und dies der Aufsichtsbehörde (BaFin) schriftlich anzeigt.

In der Praxis versuchen viele Institute, diese Pflicht durch die Zusendung von komplizierten Fragebögen oder den Verweis auf polizeiliche Ermittlungen zu verzögern. Dies ist rechtlich nicht zulässig. Die Bank trägt das Beweisrisiko und muss zuerst zahlen, bevor sie im zweiten Schritt beweisen darf, dass der Kunde grob fahrlässig gehandelt hat und das Geld eventuell zurückgefordert werden kann. Ein versierter Anwalt wird der Bank in einem solchen Fall sofort eine kurze Frist setzen und bei Verzug direkt ein gerichtliches Mahnverfahren einleiten. Das Recht auf “Sofort-Gutschrift” ist einer der stärksten Pfeiler des modernen Verbraucherschutzes im Zahlungsverkehr.

Technisch gesehen bieten RFID-Schutzhüllen oder Portemonnaies mit integriertem Metallgewebe einen sehr wirksamen Schutz gegen das unbefugte Auslesen der Karte im Vorbeigehen (Skimming). Sie wirken wie ein Faraday’scher Käfig und blockieren die elektromagnetischen Wellen der 13,56 MHz Frequenz. Aus rechtlicher Sicht ist die Nutzung einer solchen Hülle jedoch ein zweischneidiges Schwert. Einerseits dokumentiert sie die hohe Sorgfalt des Kunden und macht den Vorwurf einer groben Fahrlässigkeit bei technischen Angriffen faktisch unmöglich. Wer seine Karte in einer Schutzhülle führt, hat nachweislich alles getan, was technisch zumutbar ist.

Andererseits ist die Nutzung einer solchen Hülle rechtlich nicht vorgeschrieben. Eine Bank kann einem Kunden nicht vorwerfen, er habe grob fahrlässig gehandelt, nur weil er keine Spezialhülle verwendet hat. Die Bank gibt die NFC-Karte als “sicheres Zahlungsmittel” heraus und muss daher selbst dafür sorgen, dass die Funkübertragung manipulationssicher ist. Dennoch empfehle ich die Nutzung aus rein praktischen Erwägungen: Wenn erst gar keine unberechtigte Buchung stattfindet, ersparen Sie sich den zeitraubenden Reklamationsprozess mit der Bank. In der Beweisführung vor einem Ombudsmann kann der Hinweis auf die dauerhafte Nutzung einer Schutzhülle zudem das Pendel bei Grenzfällen der Haftung zugunsten des Kunden ausschlagen lassen.

Wenn Sie unautorisierte Zahlungen entdecken, während die Karte noch in Ihrem Besitz ist, liegt höchstwahrscheinlich ein Fall von “Cloning” oder digitalem Datendiebstahl vor. In diesem Moment ist absolute Eile geboten. Sperren Sie die Karte sofort über die Banking-App oder die 116 116, da der Besitz der physischen Karte keine Sicherheit bietet, wenn die digitalen Daten (Token oder Kartennummer) bereits kompromittiert sind. Dokumentieren Sie die Umsätze durch Screenshots und erstellen Sie eine Liste der betroffenen Händler und Beträge. Senden Sie diese Liste zusammen mit einer formellen “Nicht-Autorisierungs-Erklärung” an Ihre Bank. Dies ist der Anker für Ihr Recht auf Erstattung.

Wichtig ist hier die Fristwahrung: Gemäß § 676b BGB müssen Sie unautorisierte Zahlungen spätestens 13 Monate nach dem Tag der Belastung melden. Ich rate jedoch dringend dazu, dies innerhalb der ersten 30 Tage zu tun, da Banken bei längerer Wartezeit oft argumentieren, der Kunde habe seine Pflicht zur regelmäßigen Konto kontrolle verletzt. Bei NFC-Zahlungen ohne PIN ist die Bank besonders in der Pflicht, da sie beweisen muss, wie der Händler die Autorisierung ohne SCA erhalten hat. Da dies bei einem Kartenbesitzer unmöglich ist, ist die Erfolgsaussicht auf volle Erstattung hier nahezu 100 %, sofern der Betroffene schnell handelt und keine falschen Angaben zum Verbleib der Karte macht.

Das hängt stark vom ausgebenden Institut ab. Viele moderne Banken ermöglichen es ihren Kunden heute, die NFC-Funktion individuell im Online-Banking oder in der App per Schieberegler ein- und auszuschalten. Dies ist die sicherste Methode für alle, die das kontaktlose Zahlen nicht nutzen möchten. Andere Banken bieten den Austausch der Karte gegen ein Modell ohne Funkchip an, oft jedoch gegen eine Gebühr. Rechtlich gesehen haben Sie keinen Anspruch darauf, dass eine Karte ohne NFC-Funktion kostenlos bereitgestellt wird, solange die Bank die Sicherheitsstandards der PSD2 erfüllt. Die Bank darf jedoch nicht argumentieren, dass Sie durch das “Nicht-Deaktivieren” einer vorhandenen Funktion ein Risiko eingegangen sind.

Wenn Ihre Bank die Deaktivierung nicht anbietet, können Sie physische Maßnahmen ergreifen, wie die bereits erwähnten Schutzhüllen. Von “do-it-yourself”-Lösungen wie dem Durchbohren der Antenne in der Karte rate ich dringend ab: Dies beschädigt meist auch den Kontakt-Chip oder macht die Karte instabil, was bei Einzug in einem Geldautomaten zu hohen Gebühren führen kann. Juristisch ist die Wahl der Technologie (NFC an oder aus) eine Komfortentscheidung. Die Haftungsschutzregeln des BGB gelten für beide Varianten gleichermaßen. Wer jedoch maximale Kontrolle wünscht, sollte zu einer Bank wechseln, die “Card Control”-Features in Echtzeit anbietet, da dies die Beweislast im Missbrauchsfall durch die sofortige Sperr-Historie massiv erleichtert.

Doppelabbuchungen bei NFC-Zahlungen kommen vor, wenn das Terminal das Signal zweimal kurz hintereinander erfasst oder der Belegdruck fehlschlägt und der Händler den Vorgang fälschlicherweise erneut startet. Technisch sollte der oben erwähnte ATC (Transaction Counter) dies verhindern, doch Softwarefehler in den Kassensystemen sind möglich. Rechtlich handelt es sich hier nicht um einen Missbrauch durch Dritte, sondern um einen Abwicklungsfehler im Rahmen eines autorisierten Grundgeschäfts. Sie haben in diesem Fall keinen primären Anspruch gegen die Bank aus § 675u BGB, sondern müssen sich zuerst an den Händler wenden, um die Rückzahlung der zu viel gezahlten Summe aus ungerechtfertigter Bereicherung (§ 812 BGB) zu fordern.

Nur wenn der Händler sich weigert oder nicht mehr existiert, kommt das Chargeback-Verfahren der Kreditkarten organisation ins Spiel. Unter dem Reason Code “Duplicate Processing” können Sie die Zweitbuchung anfechten. Dokumentieren Sie hierfür unbedingt den Kassenbeleg der ersten (erfolgreichen oder vermeintlich fehlgeschlagenen) Zahlung. Sollte die Bank das Chargeback ablehnen, bleibt die zivilrechtliche Klage gegen den Händler. Da moderne Terminals im Jahr 2026 lückenlose Logs führen, ist die Beweisführung bei Doppelbuchungen meist unproblematisch. Ein Tipp: Achten Sie beim Bezahlen immer auf das Display des Terminals; erst wenn “Zahlung erfolgt” oder “Bitte Karte entnehmen” erscheint, ist der Vorgang rechtssicher beendet.