R&W Abo Buch Datenbank Veranstaltungen Betriebs-Berater
Logo ruw-online
Logo ruw-online
Suchmodus: genau  
RdZ-News
29.02.2024
RdZ-News
LG Heilbronn: Erhöhtes Gefährdungsrisiko beim pushTAN-Verfahren

LG Heilbronn, Urteil vom 16.5.2023 – Bm 6 O 10/23, 6 O 10/23

Volltext:RdZ-ONLINE RdZL2024-65-1

Leitsätze

1. Das sog. pushTAN-Verfahren, in dem die TAN auf dem Mobiltelefon in einem anderen Programm (App) angezeigt wird, als demjenigen, das den Bankzugang ebenfalls mittels auf demselben Smartphone installierter BankApp (SecureGo-App) vermittelt, weist ein erhöhtes Gefährdungspotential auf, da eine Verwendung nur noch zweier Apps auf einem Gerät statt Nutzung getrennter Kommunikationswege erfolgt; es liegt deshalb keine Authentifizierung aus wenigstens zwei voneinander unabhängigen Elementen i.S.v. § 1 Abs. 24 ZAG vor, weshalb die für die Annahme eines Anscheinsbeweises für die Autorisierung einer Zahlungsanweisung im Sinne von § 675w BGB erforderliche sehr hohe Sicherheit nicht bejaht werden kann.(Rn.27)

2. Zur groben Fahrlässigkeit bei telefonischer Weitergabe von TAN im Rahmen eines Social Engineering beim pushTAN-Verfahren im Online-Banking.(Rn.34)

 

Orientierungssätze

1. Die Grundsätze über die Duldungs- und Anscheinsvollmacht sind in Bezug auf die Zustimmung im Sinne von § 675j BGB nicht anwendbar (Anschluss BGH, Urteil vom 26. Januar 2016 - XI ZR 91/14).(Rn.25)

2. In Bezug auf das Online-Banking liegt bei der telefonischen Weitergabe einer oder mehrerer TAN der Vorwurf einer groben Fahrlässigkeit des Zahlungsdienstenutzers nahe (Anschluss LG Saarbrücken, Urteil vom 10. Juni 2022 - 1 O 394/21).(Rn.31)

§ 388 BGB, § 389 BGB, § 675j Abs 1 S 1 BGB, § 675j Abs 1 S 2 BGB, § 675l Abs 1 S

Sachverhalt

Die Parteien streiten um Erstattungsansprüche aus einem Zahlungsdienstleistungsvertrag im Zusammenhang mit einem betrügerischen Anruf (Social Engineering beim pushTAN-Verfahren) beim Online-Banking.

Der Kläger ist über einen Zahlungsdienstleistungsvertrag unter Vereinbarung der Sonderbedingungen für das Online-Banking (Anl. B 3) Kunde bei der Beklagten und nutzt deren Online-Banking-System. Dabei muss jede Überweisung, die über den Kundenaccount auf der Homepage der Beklagten gestartet wird auf der auf dem Smartphone vom Kunden installierten und von der Beklagten freigegebenen Bank-App durch eine Sicherheitsnummer (TAN) bestätigt werden (Nutzung des sog. SecureGo-Verfahrens, allgemein bekannt als pushTAN-Verfahren). Dabei handelt es sich um ein Verfahren, um Transaktionsnummern (TAN), mithin Einmalkennworte für Online-Banking-Transaktionen, direkt in der von der Bank-App getrennten, aber auf demselben Smartphone installierten SecureGo-App der Beklagten zu erhalten und dieses dann zur endgültigen Auftragsfreigabe in der BankApp einzutragen und freizugeben.

In Ziffer 7.1.(2) b 5. Spiegelstrich der Sonderbedingungen für das Online-Banking ist vereinbart: „Besitzelemente, wie z. B. die girocard mit TAN-Generator oder ein mobiles Endgerät, sind vor Missbrauch zu schützen, insbesondere…. – dürfen die Nachweise des Besitzelements (z. B. TAN) nicht außerhalb des Online-Banking mündlich (z. B. per Telefon) oder in Textform (z. B. per E-Mail, Messenger-Dienst) weitergegeben werden…“.

Am 24. September 2021 erhielt der Kläger einen Telefonanruf. Der Anrufer stellte sich als Mitarbeiter der IT-Abteilung der Beklagten vor, der Anruf erfolgte von einer Festnetznummer aus dem Bereich Heilbronn. Der vermeintliche Mitarbeiter der Beklagten teilte dem Kläger nach dessen Angaben telefonisch mit, ein Dritter habe unbefugter Weise versucht, den Kreditrahmen des Klägers auf 10.000 € zu erhöhen und zwei Zahlungen seien durch Dritte getätigt worden. Der Anrufer habe dabei vorgegeben, es würde eine TAN für die Rückführung des Kreditrahmens und jeweils eine für das Rückgängigmachen der Zahlungen benötigt werden. Der Kläger nahm an, mit einem Angestellten der Beklagten zu telefonieren und gab daher telefonisch die angeforderten TAN an den Anrufer weiter. Da ihm die ganze Angelegenheit im Nachhinein allerdings suspekt vorkam, wandte er sich am 7.10.2021 an die Filiale der Beklagten in Heilbronn, wo ihm mitgeteilt wurde, dass 2 Abhebungen i.H.v. insgesamt 8.433,72 € von seinem Girokonto stattgefunden hatten, die sofort nach Eingang bei der N-Bank verfügt wurden, weshalb ein Rückruf erfolglos blieb. Der Kläger erstattete unverzüglich Strafanzeige bei der Polizeidienststelle in N. Sodann wandte der Kläger sich an die Beklagte und bat um Übernahme des Schadens. Mit Schreiben vom 11. Januar 2022 lehnte die Beklagte eine Zahlung ab. Als Begründung führte sie an, der Kläger habe die erforderlichen Sorgfaltspflichten nicht eingehalten.

Der Kläger trägt im Wesentlichen vor,

der vermeintliche Mitarbeiter der Beklagten habe ihm telefonisch mitgeteilt, ein Dritter habe unbefugter Weise versucht, den Kreditrahmen des Klägers auf 10.000 € zu erhöhen und zwei Zahlungen seien durch Dritte getätigt worden. Nach seiner Erinnerung habe er telefonisch drei TAN-Nummern weitergegeben. Der Anrufer habe dabei vorgegeben, es würde eine TAN für die Änderung des Kreditrahmens und jeweils eine für das Rückgängigmachen der Zahlungen benötigt werden. Ein Sorgfaltspflichtverstoß seinerseits liege nicht vor. Zum einen habe er durch das TAN-Freigabeverfahren nicht erkennen können, welchen Vorgang er genau autorisieren würde. Auch das Laden von Umsatzdaten erfordere eine sechsstellige TAN. In der Banking-App der Beklagten habe zu dieser Zeit kein Rückschluss darauf gezogen werden können, wofür die TAN eingesetzt wird. Folglich sei der Kläger sich zu keinem Zeitpunkt darüber im Klaren gewesen, dass er einen Zahlungsvorgang autorisieren würde. Überdies sei er durch eine Heilbronner Festnetznummer angerufen worden. Der Anrufer habe sich als Sicherheitsbeauftragter der Beklagten ausgegeben und sei im Übrigen plausibel mit einem Anliegen an den Kläger herangetreten. Wie die Beklagte selbst vortrage, sei für die Erhöhung des Kreditrahmens bzw. des Überweisungslimits die Eingabe einer TAN erforderlich, daher werde dieses Verfahren vermutlich ebenfalls für die Herabsetzung dieses Limits gelten. Für den Kläger habe sich das durch den Täter in dem Telefonat skizzierte Vorhaben daher als vollkommen plausibel dargestellt. Aufgrund der verwendeten Telefonnummer, welche eine Ähnlichkeit mit der Telefonnummer seiner örtlichen Filiale aufgewiesen habe, habe er auch berechtigterweise davon ausgehen dürfen, dass es sich bei dem Anrufer tatsächlich um einen Mitarbeiter der Beklagten handelte. Die Screenshots, welche die Beklagte als Anlage B2 vorlege, zeigten zwar, dass in der aktuellen Version der App „VR Secure GO“ zu sehen ist, wofür die TAN genutzt wird. Der streitgegenständliche Vorfall liege allerdings fast 1,5 Jahre zurück. Es werde bestritten, dass über die Version der App, welche damals genutzt wurde, ersichtlich gewesen sei, wofür die TAN benötigt wurde.

Auch der Verweis der Beklagten auf ihre „Sonderbedingungen für das Online Banking“ gehe fehl. Ziff. 7.1 (2) (A) der Sonderbedingungen beträfen die telefonische Weitergabe von Wissenselementen, wie beispielsweise der PIN. Diese dürften nicht mündlich (z.B. telefonisch oder persönlich) mitgeteilt werden. Bei der TAN handele es sich jedoch nicht um ein solches Wissenselement im Sinne dieser Vorschrift, sondern um ein Besitzelement, siehe auch ausdrücklich Ziff. 7.1 (2) (B) der Sonderbedingungen der Beklagten. Diese Besitzelemente dürften ausweislich der Sonderbedingungen nicht außerhalb des Online-Banking mündlich oder in Textform weitergegeben werden. Mit der Begrifflichkeit Weitergabe sei hier die Mitteilung an Dritte gemeint. Somit habe der Kläger dadurch, dass er die TAN zumindest vermeintlich an einen Angestellten der Beklagten weitergab nicht gegen die Sonderbedingungen des Online Banking verstoßen.

Er habe seine Zugangsdaten in keiner Cloud o.ä. gespeichert, vielmehr habe er die sechsstellige PIN nur aus seiner Erinnerung eingegeben. Er habe die Identifizierung über biometrische Merkmale in seiner BankingApp aktiviert. Auch sonst habe er die Zugangsdaten an keine andere Person weitergegeben. Er nutze lediglich sein Smartphone für Online-Banking. Direkt nach dem vorgenannten Vorfall habe er sein Smartphone nach entsprechender Schadsoftware untersuchen lassen, Schadsoftware sei dort allerdings nicht zu erkennen gewesen. Die Möglichkeit, Zahlungsvorgänge online zu autorisieren, bestehe nur, wenn derjenige, der die Autorisierung vornimmt, Kenntnis von den Zugangsdaten des Bankkunden hat. Kenntnis von den Daten hätten die Täter des Betrugsvorgangs jedoch nicht von dem Kläger, sondern lediglich aufgrund eines Datenlecks bei der Beklagten erlangen können. Überdies habe ein Mitarbeiter der Beklagten auf Nachfrage mitgeteilt, dass es in zeitlich engem Zusammenhang zu dem streitgegenständlichen Tatvorgang zu weiteren Betrugsfällen mit ähnlichem bzw. identischen Tatmuster gekommen sei, was den Verdacht bestärke, dass es ein Sicherheitsleck auf Seiten der Beklagten gegeben habe.

Es stelle sich zudem die Frage, weshalb die Beklagte aufgrund der zeitlich eng aneinander folgenden Verfügungen innerhalb von wenigen Minuten nicht misstrauisch geworden sei und keine telefonisch Rücksprache mit dem Kläger gehalten habe. Die Tatsache, dass die TAN-Nummern des Klägers innerhalb von einigen Minuten verwendet worden sei, um insgesamt zwei Auszahlungen i.H.v. 4.989,36 € sowie 3.444,36 € vorzunehmen und der doch relativ unübliche Empfängername und die Tatsache, dass dort keinerlei Verwendungszweck angegeben worden sei, hätten die Mitarbeiter der Beklagten zumindest zur telefonischen Kontaktaufnahme mit dem Kläger veranlassen müssen.

Der Kläger beantragt (Klageschrift vom 9.1.2023),

1. die Beklagte zu verurteilen, eine Rückbuchung beim Zahlungsskonto des Klägers DE zum 24.09.2021 über insgesamt 8.433,72 € vorzunehmen,

2. die Beklagte zu verurteilen, die außergerichtlichen Anwaltskosten in Höhe von 887,03 € zu zahlen

Die Beklagte beantragt

Klagabweisung.

Sie trägt im Wesentlichen vor,

der Kläger habe weder einen Anspruch gemäß § 675 u BGB noch Schadensersatzansprüche gegen die Beklagte aufgrund der hier streitgegenständlichen Überweisungen vom 24.09.2021 in Höhe von zum einen € 4.989,36 und zum anderen in Höhe von € 3.444,36, zumal sie aus § 675 u S. 2 2. Alt. BGB nur auf Rück/Habenbuchung beim Zahlungsskonto des Klägers DE zum 24.09.2021 haften würde, nicht auf Zahlung. Die streitgegenständlichen Überweisungen vom 24.09.2021 gälten aufgrund technisch nicht manipulierbarer Beweismittel im Sinne von § 675 w BGB als autorisiert (Anscheinsbeweis), hilfsweise habe die Beklagte einen Schadensersatzanspruch in Höhe der für die Überweisungen gemachten Aufwendungen gem. § 675 v BGB Abs. 3 BGB wegen grob fahrlässigen pflichtwidrigen Verhaltens des Klägers, mit dem die Aufrechnung erklärt werde. Sie könne aufgrund der durchgeführten internen Protokollierungen der Vorgänge beweisen, dass der Kläger bei den zwei streitgegenständlichen Transaktionen die TAN selbst generiert und – dies lasse der Kläger selbst vortragen – dann an Dritte telefonisch weitergegeben habe. Die zwei Überweisungen seien ausschließlich auf eine bewusste Generierung des hier erforderlichen Zahlungsauthentifizierungsinstruments durch den Kläger zurückzuführen, indem er zwei TAN-Nummern über seine VR SecureGo App erhalten und an seinen Gesprächspartner am Telefon weitergegeben habe. Nach dem technisch nachvollziehbaren Sachverhalt spreche der Beweis des 1. Anscheins dafür, dass der Kläger die Zahlungsvorgänge autorisiert habe. Aufgrund seines Vortrags in der Klagschrift komme jedoch hinzu, dass er einem möglichen unberechtigten Dritten pflichtwidrig die Kenntniserlangung von den Zugangsdaten ermöglicht habe, und zwar insbesondere durch grob fahrlässig erfolgte Weitergabe selbst generierter TAN-Nummern. Hierbei verhalte es sich so, dass wie jede andere Bank auch die Beklagte weder das Anmeldekennwort des Klägers zur VR SecureGo App noch zu seinem Online-Banking-Account kenne oder ermitteln könne. Der Kläger habe sich nach eigenen Angaben über seine Nutzungsdaten in die bereitgestellte VR SecureGo App eingeloggt und hierüber eine TAN generiert die er dann offenbar unberechtigten Dritten zu den beiden Überweisungsvorgängen bereitgestellt habe. Insgesamt habe der Kläger ausweislich der Protokolle der VR Payment GmbH fünf TAN-Nummern telefonisch an den Betrüger herausgegeben, ohne auf den Verwendungszweck zu achten. Mit der ersten TAN-Nummer sei die erste Überweisung angestoßen worden über 4.989,36€, mit der zweiten TAN-Nummer sei über die Funktion der selbständigen Limiterhöhung das bestehende Überweisungslimit von 5.000,00 € auf 10.000,00 € für den 24.09.21 erhöht worden, danach sei die dritte TAN für die zweite Überweisung über 3.444,36 € genutzt worden, mit der vierten TAN sei eine Umbuchung des Geldes vom Flex Konto auf das Girokonto beantragt worden, was die Beklagte nicht befolgt habe, ebenso wenig den darauf erfolgten Wunsch der Erhöhung des Dispolimits, während mit der fünften TAN die PIN für das Online-Banking geändert worden sei.

Der Kunde sehe aus der bildhaften Darstellung der TAN-Bereitstellung im SecureGo-Verfahren auf seinem Smartphone klar und verständlich, wofür die bereitgestellte TAN verwendet werde (Anl. B 2), nämlich sowohl den Überweisungsbetrag, als auch den Überweisungsempfänger (bzw. dessen Kontonummer/IBAN). Hinsichtlich der vom Kläger verwendeten technischen Endgeräte habe die Beklagte wiederum keine Kenntnis und auch nicht die Möglichkeit einer technischen Nachforschung über die Umstände des Zugangs zum Online Banking durch Dritte, weshalb ausschließlich der Kläger darlegungs- und beweispflichtig sei. Hinzukomme, dass die von der Beklagten über ihr Rechenzentrum zur Autorisierung eines Zahlungsvorgangs verwendete 2-Faktor-Authentifizierung (Zahlungsauthentifizierungsinstrument) technisch praktisch nicht zu überwinden sei, sodass es unbefugten Dritten auch nicht möglich wäre, die Sicherheitsvorkehrungen zu umgehen. Sinn und Zweck der 2-Faktoren-Authentifizierung sei es, einen Überweisungsvorgang durch einen Dritten nach den in der höchstrichterlichen Rechtsprechung anerkannten Sicherheitsstandards zu unterbinden, es sei denn der Kunde selbst wirkt pflichtwidrig an der Weitergabe der Zahlungsauthentifizierungsinstrumente mit. Es verhalte sich nämlich so, dass selbst dann, wenn Nutzungsdaten des Online-Banking-Verfahrens unberechtigt an Dritte gelangen, die durch die Autorisierung im TAN-Freigabeverfahren mittels VR SecureGo App erfolgende Generierung einer TAN händisch vorgenommen wird und dann noch die Eingabe im Online-Banking-Überweisungsverfahren erforderlich ist. Diese Hürde könne nur bei einem pflichtwidrigen Mitwirken des Kunden gerissen werden. Durch die telefonische Weitergabe der TAN an den vermeintlichen Bankangestellten habe der Kläger die gemäß § 675 Abs. 1 BGB obliegende Pflicht verletzt. Nach S. 1 dieser Vorschrift ist er der Zahlungsdienstnutzer verpflichtet, unmittelbar nach Erhalt eines Zahlungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Die zu erwartende angemessene Sorgfalt bestehe insofern unter anderem darin, Zugangsdaten niemandem auf Nachfrage anzuvertrauen, sei es am Telefon, in E-Mails oder im Internet. Bei Weitergabe einer TAN am Telefon liege daher stets ein Sorgfaltspflichtverstoß vor.

Darüber hinaus habe der Kläger auch gegen die zwischen den Parteien vereinbarten Sonderbedingungen für das Online Banking (B 3) verstoßen.

Hinsichtlich des weiteren Parteivorbringens wird auf die gewechselten Schriftsätze nebst Anlagen Bezug genommen sowie auf das Protokoll der mündlichen Verhandlung vom 16.5.2023, aus dem sich auch die ausführliche Anhörung des Klägers ergibt. Der Rechtsstreit wurde durch Beschluss der Kammer vom 23.1.2023 dem Einzelrichter zur Entscheidung übertragen.

Aus den Gründen

Die zulässige Klage in der in der mündlichen Verhandlung gestellten Form hat in der Sache keinen Erfolg. Der Kläger hat keine Ansprüche aus §§ 675u S. 2, 675f BGB auf Gutschrift von insgesamt 8.433,72 € gegenüber der Beklagten.

1. Der Anspruch des Klägers aus § 675u S.2 BGB ist zunächst entstanden.

Die vom Kläger erklärte Klageänderung nach Hinweis des Gerichts ist gem. §264 Nr. 2 ZPO zulässig.Als Rechtsfolge gewährt § 675u S. 2 BGB einen Erstattungsanspruch. „Erstattung“ ist der Oberbegriff für die Auszahlung und die Stornobuchung,

d.h. die Wertstellung in Höhe der nicht autorisierten Zahlung. Der Anspruch ist in der Regel auf Wertstellung in Höhe der nicht autorisierten Zahlung gerichtet, nicht unmittelbar auf Zahlung.

Die streitgegenständlichen Überweisungen von den Konten des Klägers waren von diesen auch nicht autorisiert. Nach der Legaldefinition des § 675j Abs. 1 S. 1 BGB ist die Autorisierung die wirksame Zustimmung des Zahlers zum Zahlungsvorgang, welche nach § 675j Abs. 1 S. 2 BGB als Einwilligung oder, sofern zwischen dem Zahler und seinem Zahlungsdienstleister zuvor vereinbart, auch als Genehmigung erteilt werden kann. Selbst eine Stellvertretung ist insoweit grundsätzlich möglich (Jungmann in: Münchener Kommentar zum BGB, 8. Aufl., § 675j Rz. 14; Berger in: Jauernig, BGB, 18. Aufl., § 675j Rz. 1; differenzierend Köndgen in: beck-online.GROSSKOMMENTAR, Stand: 01.04.2022, § 675j BGB Rz. 17 ff.; Schmalenbach in: BeckOK BGB, 62. Ed., Stand: 01.05.2022, § 675j Rz. 3).

Die vereinzelt vertretene Ansicht, dass in Fällen, in denen der Nutzer seine persönlichen Daten in die Eingabemaske einer manipulierten Webseite eingibt und sie somit unbewusst an den Angreifer weiterleitet, das Einverständnis des Nutzers zu den durch den Angreifer sodann durchgeführten Zahlungsvorgängen nach den Grundsätzen der Rechtscheinsvollmacht zuzurechnen sei (z.B. LG Darmstadt, Urteil v. 28.08.2014, Az. 28 O 36/14, juris Rz. 37 ff.), ist abzulehnen. Gleiches muss für die vorliegende Sonderform des telefonischen Abgreifens der TAN gelten. Die Grundsätze über die Duldungs- und Anscheinsvollmacht finden in Bezug auf die Zustimmung i.S.v. § 675j BGB richtigerweise keine Anwendung (BGH, Urteil v. 26.01.2016, Az. XI ZR 91/14, Rz. 55 ff.; Urteil v. 16.06.2015, Az. XI ZR 243/13, Rz. 22 ff.; Köndgen in: beck-online.GROSSKOMMENTAR, Stand: 01.04.2022, § 675j BGB Rz. 20; Schulte-Nölke in: Schulze, BGB, 11. Aufl., § 675j Rz. 2;).

Der Kläger trägt vor, dass er keine der streitgegenständlichen Überweisungen veranlasste, sondern ein unbekannter Dritter ohne sein Wissen und Wollen mit der vermeintlich für andere Maßnahmen abgefragten TAN-Nummern, entgegen der Erwartung, diese TANs seien für die Rückgängigmachung der erfolgten Überweisungen erforderlich. Dies wird von der Beklagten letztlich zugestanden, so dass es auf die Frage der Darlegungs- und Beweislast für die Autorisierung der Überweisungen - welche gemäß § 675w S. 1 BGB bei der Beklagten läge - vorliegend nicht ankommt.

Abgesehen davon gilt nach Auffassung des Gerichts, dass nicht nur das klassische PIN/TAN-Verfahren, bei dem die jeweils zu verwendende TAN vom Zahlungsdienstnutzer selbst ausgewählt werden kann, die für einen Anscheinsbeweis erforderliche sehr hohe Wahrscheinlichkeit vermissen lässt (ähnlich LG Bonn 19.12.2003 - 2 O 472/03, MMR 2004, 179, 180 = CR 2004, 218), sondern auch das vorliegend zur Anwendung kommende pushTAN-Verfahren, in dem die TAN auf dem Mobiltelefon in einem anderen Programm (App) angezeigt wird, als demjenigen, das den Bankzugang ebenfalls mittels auf demselben Smartphone installierter BankApp (SecureGo-App) vermittelt. Denn die für die Sicherheit des smsTAN-Verfahrens wesentliche Trennung der Kommunikationswege (Übermittlung des Zahlungsauftrages übers Internet am Computer und Mitteilung der TAN per SMS ans Mobiltelefon) wird damit aufgegeben, wobei der besondere Komfort dieses Verfahrens (gesamter Zahlungsvorgang ohne Zusatzgerät mit nur einem einzigen Mobilgerät) deren Verbreitung gefördert hat (vgl. insoweit Ellenberger/Bunte/Maihold, Bankrechtshandbuch Band 1 6. Aufl. 2022 Rz. 34 f und Rz.391 mit Verweisen auf wissenschaftliche Untersuchungen zum hohen Gefährdungspotential bei Verwendung nur noch zweier Apps auf einem Gerät statt Nutzung getrennter Kommunikationswege sowie Hinweisen des Bundesamts für Sicherheit in der Informationstechnik und der Schlussfolgerung, deshalb liege keine Authentifizierung aus wenigstens zwei voneinander unabhängigen Elementen i.S.v. § 1 Abs. 24 ZAG vor).

2. Der Anspruch des Klägers nach § 625u S. 2 BGB ist aber durch wirksame Aufrechnung der Beklagten wieder erloschen, § 389 BGB. Die Beklagte hat in der Klageerwiderung die Gegenforderung beziffert und in der mündlichen Verhandlung nach Hinweis des Gerichts die Aufrechnung ausdrücklich erklärt, § 388 BGB.

Die Beklagte hat nach § 675v Abs. 3 Nr. 2 lit. a), b) BGB Gegenansprüche auf Schadensersatz gegen den Kläger jeweils mindestens in Höhe dessen Erstattungsansprüche gemäß § 675u S. 2 BGB. Dabei gilt in rechtlicher Hinsicht, dass nach § 675 v Abs. 3 Nr. 2 BGB der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet ist, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler den Schaden herbeigeführt hat durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehrerer Pflichten gemäß § 675 l Absatz 1 BGB oder einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments. Eine grobe Fahrlässigkeit liegt nach allgemeinen Regeln vor bei einem objektiv schweren und subjektiv nicht entschuldbarem Verstoß gegen die Anforderungen der im Verkehr erforderlichen Sorgfalt, wenn also das außer Acht gelassen wird, was jedem hätte einleuchten müssen.

Nach § 675l Abs. 1 S. 1 BGB ist der Zahler verpflichtet, unmittelbar nach Erhalt eines Zahlungsauthentifizierungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Personalisierte Sicherheitsmerkmale sind gemäß § 1 Abs. 25 ZAG - in der hier maßgeblichen, ab 1.7.2021 geltenden Fassung - personalisierte Merkmale, die der Zahlungsdienstleister einem Zahlungsdienstnutzer zum Zwecke der Authentifizierung bereitstellt. Darunter fallen insbesondere TAN, welche einmal für die Autorisierung einer ganz bestimmten Transaktion eingesetzt werden können, dem Zahlungsdienstnutzer erst im Zusammenhang mit der jeweiligen Transaktion übermittelt werden und nur für eine kurze Zeit gültig sind. Unbefugt ist namentlich jede Verwendung, die ohne oder gegen den Willen des Inhabers des Zahlungsinstruments erfolgt und dementsprechend auf die Auslösung eines nicht autorisierten Zahlungsvorgangs gerichtet ist (Jungmann in: Münchener Kommentar zum BGB, 8. Aufl., § 675l Rz. 19). Der Kläger hatte allgemein dafür Sorge zu tragen, dass nicht dritte Personen die unkontrollierte Zugriffsmöglichkeit auf sein Online-Banking oder die Banking-App mittels Zugangsdaten und TAN bekommen und so ohne sein Wissen und Wollen Transaktionen von seinem Konto bei der Beklagten durchführen können (generell zum Sorgfaltsmaßstab beim Online-Banking und beim Mobile Banking ausführlich: Jungmann in: Münchener Kommentar zum BGB, 8. Aufl., § 675l Rz. 42 m.w.N.; s. auch Hofmann in: beck-online GROSSKOMMENTAR, Stand: 01.10.2021, § 675l Rz. 82 ff.). Die vom Zahlungsdienstnutzer geschuldeten Sorgfaltspflichten sind außerdem nach der Art des konkreten Angriffs zu bestimmen.

Beim Social Engineering wird von den Tätern die „Schwachstelle Mensch“ ausgenutzt, um auf diese Art und Weise personalisierte Sicherheitsmerkmale auszuspähen und in der Folge Zahlungen auszulösen. Diese Angriffe sind nicht ohne erhebliche Mitwirkung des Zahlungsdienstnutzers möglich. Die vom Zahlungsdienstnutzer zu erwartende angemessene Sorgfalt besteht darin, Zugangsdaten niemandem auf Nachfrage anzuvertrauen, sei es am Telefon, in E-Mails oder im Internet. Wenn sich jedem Zahlungsdienstnutzer in der entsprechenden Situation sowie dem betroffenen Zahlungsdienstnutzer ganz individuell geradezu aufdrängen musste, dass es sich nicht um einen regulären Vorgang handeln kann, ist von grober Fahrlässigkeit auszugehen. Ob der Zahlungsdienstnutzer erkennen muss, dass konkret ein Social-Engineering-Angriff stattfindet, ist stets Frage des Einzelfalls. Bezogen auf die Besonderheiten des Online-Banking liegt bei der telefonischen Weitergabe einer oder mehrerer TAN der Vorwurf einer groben Fahrlässigkeit nahe (LG Saarbrücken, Urteil vom 10.06.2022 - 1 O 394/21, BeckRS 2022, 14866; LG Köln, Urteil vom 10.09.2019 - 21 O 116/19, MMR 2020, 258; BeckOGK/Hofmann, 1.10.2021, BGB § 675l Rn. 93; Langenbucher/Bliesener/Spindler/Herresthal, 3. Aufl. 2020, 3. Kap. BGB § 675v Rn. 63; BeckOK BGB/Schmalenbach, 61. Ed. 1.2.2022, BGB § 675v Rn. 13). Insoweit ist die telefonische Weitergabe einer TAN nicht vergleichbar mit der Eingabe einer oder mehrerer TAN in eine gefälschte Eingabemaske (hierzu BGH, Urteil vom 24.04.2012 - XI ZR 96/11, NJW 2012, 2422), da sich die telefonische Weitergabe der TAN von dem üblichen Übermittlungsweg der TAN (Eingabe online) für jeden Nutzer offensichtlich unterscheidet (LG Saarbrücken, Urteil vom 9. Dezember 2022 – 1 O 181/20 –, Rn. 34 - 35, juris).

Unter Berücksichtigung aller Umstände des hiesigen Einzelfalls ist das Verhalten des Klägers nach Auffassung des erkennenden Gerichts als grob fahrlässig einzustufen.

So liegt schon ein Verstoß gegen Ziffer 7.1.(2) b 5. Spiegelstrich der vertraglich vereinbarten Sonderbedingungen für das Online-Banking vor: „Besitzelemente, wie z. B. die girocard mit TAN-Generator oder ein mobiles Endgerät, sind vor Missbrauch zu schützen, insbesondere…. – dürfen die Nachweise des Besitzelements (z. B. TAN) nicht außerhalb des Online-Banking mündlich (z. B. per Telefon) oder in Textform (z. B. per E-Mail, Messenger-Dienst) weitergegeben werden…“.

Im Ergebnis bestreitet der Kläger die von der Beklagten vorgelegten Protokolle nicht, wonach er insgesamt in einem Zeitraum von 6 Minuten telefonisch mindestens 3 unterschiedlich generierte TAN-Nummern telefonisch weitergegeben hat an eine ihm persönlich nicht bekannte Person, die noch nicht einmal unter einer dem Kläger bekannten Telefonnummer der Beklagten angerufen hat. Dabei leuchtet jedem ein, dass online-banking eben nur online erfolgt, gerade nicht telefonisch oder schriftlich, egal, wer sich am Telefon wegen angeblicher Maßnahmen meldet. Der Kläger, der eigenen Angaben zufolge schon langjährig Online-Banking bei der Beklagten nutzt, hat selbst auch keinen Fall geschildert, in dem er zuvor von einem Bankmitarbeiter telefonisch im Rahmen des Online-Bankings kontaktiert wurde. Ihm hätte also dieser Umstand besonders auffallen müssen, insbesondere aber auch der Umstand, dass ihm im Gespräch mehrere TAN abverlangt wurden, die er ja jeweils eigenständig kreieren musste. Aufgrund der in den letzten Jahren vielfach durch verschiedene Medien bekannt gewordenen Fälle ist die Erkenntnis, dass Kunden durch betrügerische Briefe und Anrufe vorgeblicher Bankmitarbeiter zur Preisgabe von Zugangsdaten zum Online-Banking veranlasst werden sollen, als allgemeines Wissen vorauszusetzen. Jedenfalls seit 2006 wurde das kriminelle Phänomen des Phishings öffentlich breit diskutiert. Der Kläger musste daher von der Möglichkeit solcher betrügerischen Vorgänge, wenn auch in unterschiedlicher Ausgestaltung, jedenfalls allgemeine Kenntnis haben. Falls nicht, wäre dies zumindest als grob fahrlässige Unkenntnis einzustufen (OLG München, Beschluss vom 22. September 2022 – 19 U 2204/22 –, juris). Hinzu kommt der Umstand, dass ausweislich der Anlage B2 dem Kläger bei Mitteilung der generierten TAN deren Verwendungszweck auf dem Smartphone-Display mitangezeigt wurde, also u.a. auch der Überweisungsbetrag und die IBAN des Empfängers. Das Bestreiten des Vortrages der Beklagten durch den Kläger mit Nichtwissen in der Replik dahingehend, ob diese Anzeige auch schon im September 2021 erfolgte, ist prozessual unbeachtlich. Es handelt sich um eine eigene Wahrnehmung des Klägers, der eigenen Angaben zufolge schon jahrelang das Online-Banking der Beklagten und die SecureGo-App nutzt, weshalb ein Bestreiten mit Nichtwissen prozessual unbeachtlich bleibt. Letztlich hat der Kläger in seiner offenen und überzeugenden Schilderung anlässlich seiner Anhörung auch eingeräumt, dass die Angaben aus der Anlage B 2 tatsächlich in der SecureGo-App bei Mitteilung der jeweiligen TAN sichtbar waren. Dann aber ist es nicht mehr nachvollziehbar, bei Anzeige der Überweisungsbeträge und der Empfänger-IBAN bei der übermittelten TAN diese mündlich an einen Dritten telefonisch zu übermitteln im Glauben daran, damit würde eine Überweisung rückgängig gemacht. Das genaue Gegenteil ergibt sich aus der Ansicht in der SecureGo-App. Bei einer Gesamtschau dieser Umstände musste sich dem Kläger daher aufdrängen, dass es sich nicht um einen regulären Vorgang, sondern nur um einen Betrug handeln konnte.

3. Eine Kürzung des Aufrechnungsanspruchs wegen eines Mitverschuldens der Beklagten scheidet aus.

Soweit der Kläger behauptet, in zeitlich engem Zusammenhang zu dem streitgegenständlichen Tatvorgang sei es nach Mitteilung einer Mitarbeiterin zu weiteren Betrugsfällen mit ähnlichem bzw. identischen Tatmuster gekommen sei, was den Verdacht bestärke, dass es ein Sicherheitsleck auf Seiten der Beklagten gegeben habe, bleibt dieser Vortrag in der Sache und der zeitlichen Einordnung (schon vor 24.9.2021, wie lange davor und ab wann der Beklagten in wie vielen Fällen bekannt) ohne Substanz und damit als Behauptung ins Blaue rechtlich ohne Belang.

Auch die Tatsache, dass die TAN-Nummern des Klägers innerhalb von einigen Minuten verwendet wurden, um insgesamt zwei Auszahlungen i.H.v. 4.989,36 € sowie 3.444,36 € vorzunehmen und der doch relativ unübliche Empfängername und die Tatsache, dass dort keinerlei Verwendungszweck angegeben war, rechtfertigt keinen Mitverschuldenseinwand etwa dahingehend, dass die Mitarbeiter der Beklagten zumindest zur telefonischen Kontaktaufnahme mit dem Kläger Veranlassung hätten sehen müssen. Im Zahlungsverkehr bestehen Warn- und Hinweispflichten der Kreditinstitute zum Schutz ihrer Kunden vor drohenden Schäden nur in Ausnahmefällen. So hat im Überweisungsverkehr ein Kreditinstitut, das aufgrund massiver Anhaltspunkte den Verdacht hegt, dass ein Kunde bei der Teilnahme am bargeldlosen Zahlungsverkehr durch eine Straftat einen anderen schädigen will, diesem gegenüber eine Warnpflicht (BGH Urteil v. 6. Mai 2008 - XI ZR 56/07, BGHZ 176, 281 Rn. 14,15). Die Bank muss aber weder generell prüfen, ob die Abwicklung eines Zahlungsverkehrsvorgangs Risiken für einen Beteiligten begründet, noch Kontobewegungen allgemein und ohne besondere Anhaltspunkte überwachen. Eine Warnpflicht besteht erst dann, wenn die Bank ohne nähere Prüfung im Rahmen der normalen Bearbeitung eines Zahlungsverkehrsvorgangs aufgrund einer auf massiven Verdachtsmomenten beruhenden objektiven Evidenz den Verdacht einer Veruntreuung schöpft (BGH, Urteil vom 24. April 2012 – XI ZR 96/11 –, Rn. 32, juris). Ohne besondere weitere Anhaltspunkte geben Überweisungen mit Auslandsberührung, der Einsatz glatter Beträge und dadurch eintretende Kontoüberziehungen einer Bank ohne nähere Prüfung keinen hinreichenden Anlass, den Verdacht einer Straftat zu schöpfen. Kreditinstitute werden im bargeldlosen Zahlungsverkehr nur zum Zweck der technisch einwandfreien, einfachen und schnellen Abwicklung tätig und haben sich schon wegen dieses begrenzten Geschäftszwecks und der Massenhaftigkeit der Geschäftsvorgänge grundsätzlich nicht um die beteiligten Interessen ihrer Kunden zu kümmern.

Mangels Bestehen eines Hauptanspruchs bestehen auch die geltend gemachten Nebenansprüche des Klägers nicht.

Die Kostenentscheidung beruht auf § 91 ZPO, die Entscheidung zur vorläufigen Vollstreckbarkeit auf § 709 ZPO.

stats