Das LG Köln hat entschieden, dass eine Sparkasse seinem Kunden nach einem Phishing-Angriff per Call-ID Spoofing gemäß § 675u BGB den Schaden durch nicht autorisierte Zahlungsvorgänge ersetzen muss.
Aus den Entscheidungsgründen; Der Klageantrag zu 1.) ist begründet. Der Kläger hat einen Anspruch gegen die Beklagte, das bei ihr geführte Girokonto des Klägers Nr. N01 auf den Stand zu bringen, auf dem es sich ohne die Belastungen durch die nicht autorisierten Zahlungsvorgänge in Höhe von insgesamt EUR 9.933,38 am 23.09.2022 befunden hätte.
1. Nach § 675u S. 1 BGB hat der Zahlungsdienstleister (hier die Beklagte) des Zahlers (hier des Klägers) im Fall eines nicht autorisierten Zahlungsvorgangs gegen diesen keinen Anspruch auf Erstattung seiner Aufwendungen. Er ist nach § 675u S. 2 BGB verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.
2. Diese Voraussetzungen sind vorliegend erfüllt, da die streitgegenständlichen Zahlungsvorgänge nicht durch den Kläger autorisiert waren. Dies ist bereits deshalb der Fall, weil sie nicht durch den Berechtigten, nämlich den Kläger, ausgeführt worden sind; eine Stellvertretung für den Kläger ist ausgeschlossen (vgl. BGH, Urteil vom 26.01.2016 – XI ZR 91/14, BGHZ 208, 331 Rn. 58 m.w.N.). Dass der Kläger die Zahlungsvorgänge mittels ApplePay nicht selbst autorisiert hat, steht nach dem Vortrag der Parteien fest. Während die Beklagte zunächst die Autorisierung jedenfalls konkludent bestritten hat („sofern er die Freigabe einer digitalen Debitkarte nicht wissentlich veranlasst hat“, Bl. 73 d. A.), ging sie zuletzt von „durch den Betrüger vorgenommenen Zahlungen“ (Bl. 157 d. A.) aus. Jedenfalls wäre auch ein einfaches Bestreiten der Beklagten, die nach Maßgabe des § 675w BGB vorrangig im Hinblick auf den Nachweis der Authentifizierung darlegungs- und beweisbelastet ist, nicht geeignet gewesen, um den substantiierten Ausführungen des Klägers entgegenzutreten (vgl. § 138 Abs. 3 ZPO).
Die Beklagte kann dem klägerischen Anspruch auch keinen Schadensersatzanspruch gemäß § 675v BGB nach § 242 BGB entgegenhalten (sog. dolo-agit-Einwendung). Der Beklagten steht unter keinem erdenklichen rechtlichen Gesichtspunkt ein solcher Schadensersatzanspruch zu. Ein solcher Anspruch ergibt sich insbesondere nicht aus § 675v Abs. 3 Nr. 2 BGB.
Nach § 675v Abs. 3 BGB ist der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler entweder in betrügerischer Absicht gehandelt hat (§ 675v Abs. 3 Nr. 1 BGB) oder er den Schaden durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehrerer Pflichten gemäß § 675l Abs. 1 BGB (§ 675v Abs. 3 Nr. 2 a) BGB) oder einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments nach § 675l Abs. 2 BGB (§ 675v Abs. 3 Nr. 2 b) BGB) herbeigeführt hat.
Im Hinblick auf den allein in Betracht kommenden Anspruch gemäß § 675v Abs. 3 Nr. 2 BGB ist die Beklagte ihrer diesbezüglichen Darlegungs- und Beweislast nicht nachgekommen.
Grobe Fahrlässigkeit erfordert einen in objektiver Hinsicht schweren und in subjektiver Hinsicht schlechthin unentschuldbaren Verstoß gegen die Anforderungen der konkret erforderlichen Sorgfalt. Selbst ein objektiv grober Pflichtenverstoß rechtfertigt für sich noch keinen zwingenden Schluss auf ein entsprechend gesteigertes personales Verschulden (vgl. BGH, Urteil vom 26.01.2016, XI ZR 91/44, Rn. 71 m.w.N.). Dabei kommt dem Zahlungsdienstleister auch kein Anscheinsbeweis zu Gute, dass bei einem Missbrauch des Online-Bankings, wenn die Nutzung eines Zahlungsauthentifizierungsinstruments korrekt aufgezeichnet worden und die Prüfung der Authentifizierung beanstandungsfrei geblieben ist, eine konkrete grob fahrlässige Pflichtverletzung des Zahlungsdienstnutzers nach § 675v Abs. 2 BGB vorliegt (BGH, a.a.O. Rn.68).
Schon nach dem Vortrag der Beklagten fehlt es hier allerdings beim Kläger an einer grob fahrlässigen Verletzung der Pflichten eines Zahlungsdienstnutzers. Das Verhalten des Klägers ist danach jedenfalls nicht als subjektiv schlechthin unentschuldbar zu werten.
Diese Einschätzung stützt das Gericht zum einen darauf, dass sich die Täter des sog. Call-ID Spoofings bedienten. Dem Kläger wurde infolgedessen die Nummer der Beklagten angezeigt, als die Täter ihn anriefen. Für einen verständigen, langjährigen Bankkunden ist die Nutzung einer ihm bekannten Nummer mit besonderem Vertrauen verbunden. Davon, dass die Möglichkeit besteht, eine fremde Nummer zu nutzen, dürfte der Durchschnittsbürger keine Kenntnis haben. Dass dem Kläger der angebliche Mitarbeiter der Beklagten nicht bekannt war, ist für sich genommen noch kein besonders verdächtiger Umstand. In einer großen Organisation wie der der Beklagten herrscht regelmäßig eine gewisse Fluktuation bzw. es findet eine Arbeitsteilung statt, sodass die Bankkunden nicht mehr zwingend nur mit einem Mitarbeiter in Kontakt stehen.
Etwas anderes gilt auch nicht aufgrund der Bezeichnung des Auftrags in der pushTAN App als „Registrierung Karte“. Zwar gab der Anrufer vor, er wolle die Karte des Klägers entsperren, nicht registrieren. Allerdings ist die Bezeichnung „Registrierung“ derart weit, dass für den Kläger – vor allem in der Überrumpelungssituation, in der er sich befand und auch bei der durch die Beklagte mit einem Sicherheitshinweis angemahnten sorgfältigen Prüfung – überhaupt nicht erkennbar war, dass es um die Einrichtung eines Zahlungssystems auf einem mobilen Endgerät der Herstellers Apple Inc. und damit die Freigabe einer Möglichkeit zu Kontoverfügungen geht, die nur von der Verfügungsgewalt über dieses mobile Endgerät abhängt. Dabei wäre es der Beklagten ohne weiteres möglich gewesen, durch einen eindeutigen Text, insbesondere durch Verwendung eines Hinweises gerade auf ApplePay dem Kunden deutlich vor Augen zu führen, welcher Zahlungsdienst hier freigegeben werden soll, um so ersichtlich zu machen, dass es um Endgeräte eines bestimmten Herstellers und die Nutzung als Wallet, nicht einer Karte geht (vgl. LG Köln, Urteil vom 09.03.2023 - 15 O 267/22). Bei der hier vorliegenden Gestaltung konnte der Kläger den Text in der pushTAN App dem eigentlichen Vorgang nicht zuordnen. Im Übrigen ergibt sich aus der Formulierung des Warntextes, es sei „kein Auftrag“ freizugeben, der nicht „explizit beauftragt“ wurde, nach seinem natürlichen Wortsinn nicht, dass der Auftrag zwingend über die Online-Banking App erfolgt sein muss. Der Kläger durfte davon ausgehen, dass sein – vermeintlich − telefonisch erteilter „Auftrag“ diese Voraussetzungen ebenso erfülle. Der Vorgang und auch der Pflichtenverstoß des Klägers ist daher bereits nicht allein dessen Verantwortungsbereich anzulasten.
Auf die Fragen, ob eine starke Kundenauthentifizierung verlangt wurde (§ 675v Abs. 4 BGB) oder der Beklagten ein Mitverschulden anzulasten ist, kommt es insofern nicht mehr an.
II. Der Klageantrag zu 2.) ist ebenfalls begründet. Der Kläger hat gegen die Beklagte einen Anspruch auf Zahlung der vorgerichtlichen Rechtsanwaltskosten in Höhe von EUR 973,66 nebst Zinsen in Höhe von fünf Prozentpunkten seit dem 23.05.2023.
Der Anspruch auf Zahlung der vorgerichtlichen Rechtsanwaltskosten ergibt sich aus §§ 280 Abs. 1, 2, 286 BGB i.V.m. § 675u Satz 3 BGB. Die Beklagte befand sich mit der gemäß § 675u Sätze 2, 3 BGB „unverzüglich“ geschuldeten Erstattung in Verzug (vgl. OLG Celle Hinweisbeschluss v. 17.11.2020 – 3 U 122/20, BeckRS 2020, 33608 Rn. 44 ff.).
Der Zinsanspruch folgt aus §§ 291, 288 Abs. 1 BGB i.V.m. § 187 Abs. 1 BGB analog.
Das OLG Frankfurt hat entschieden, dass kein Erstattungsanspruch gegen die Bank nach einem Phishing-Angriff per SMS besteht, wenn der Kunde grob fahrlässig gehandelt hat (hier; Mehrmalige Bestätigung per PushTAN auf Anforderung eines Anrufers).
Die Pressemitteilung des Gerichts: Phishing-Angriff - Keine Haftung der Bank
Die Bank haftet nicht für einen aufgrund Phishing-Angriffs vom Kunden grob fahrlässig freigegebenen Überweisungsbetrag.
Gibt ein Kunde mittels PushTAN und Verifizierung über eine Gesichtserkennung nach einer Phishing-Nachricht die temporäre Erhöhung seines Überweisungslimits und eine anschließende Überweisung frei, handelt er grob fahrlässig. Die Bank schuldet in diesem Fall nicht die Rückerstattung des überwiesenen Betrags, bestätigte das Oberlandesgericht Frankfurt am Main mit heute veröffentlichter Entscheidung das klageabweisende Urteil des Landgerichts.
Der Kläger, Rechtsanwalt und Steuerberater in einer internationalen Sozietät, führt bei der Beklagten ein Girokonto. Online-Transaktionen bestätigt er mit dem sog. PushTAN-Verfahren. Sobald in seinem Online-Banking ein Auftrag erteilt wird, erhält er über die auf seinem Smartphone installierte PushTAN-App eine Benachrichtigung und wird zur Freigabe des Auftrags aufgefordert. Zusätzlich hat er eingestellt, dass seine Identität über die Gesichtserkennung des Smartphones bestätigt werden muss. Sein Überweisungslimit lag bei 10.000 €.
Der Kläger erhielt im September 2021 eine SMS mit dem Hinweis, dass sein Konto eingeschränkt worden sei. Es solle sich für ein neues Verfahren anmelden und hierzu einem Weblink folgen, der das Wort „Sparkasse“ enthielt. Die im Absender der SMS genannte Telefonnummer hatte die Beklagte in der Vergangenheit bereits verwendet, um den Kläger über vorrübergehende Sperrungen nach Sicherheitsvorfällen zu informieren. Der Kläger folgte dem in der SMS angegebenen Link. Anschließend wurde er von einer männlichen Person angerufen und bestätigte auf Anweisung des Anrufers seinen Angaben nach „etwas“ in der PushTAN-App der Beklagten. Am selben Tag wurde das Konto des Klägers mit einer Überweisung i.H.v. 49.999,99 € belastet und als Empfänger eine männliche Person mit Vor- und Nachnamen angegeben.
Mit seiner Klage begehrt der Kläger von der Beklagten die Gutschrift dieses Betrags. Das Landgericht hat die Klage abgewiesen. Die hiergegen gerichtete Berufung hatte auch vor dem OLG keinen Erfolg. Die Beklagte schulde im Ergebnis nicht die Gutschrift des Betrags, da der Kläger grob fahrlässig seine Pflichten verletzt habe, bestätigte das OLG die landgerichtliche Entscheidung.
Für die Limitänderung fordere die Beklagte eine starke Kundenauthentifizierung mit PIN und PushTAN. Gemäß den Aufzeichnungen der Beklagten sei am Tag der Überweisung eine PushTAN-Freigabe für ein temporäres Tageslimit von 50.000 € angefordert worden, die per Gesichtserkennung auch erteilt worden sei. Von derselben IP-Adresse aus sei nachfolgend eine PushTAN-Freigabe für die streitgegenständliche Überweisung über 49.999,99 € angefordert und ebenfalls per Gesichtserkennung erteilt worden.
Damit sei der Vortrag des Klägers, nur einmal „etwas“ in seiner PushTAN-App mittels Gesichtskennung bestätigt zu haben, nicht glaubhaft. Aufgrund der beruflichen Qualifikation des Klägers könne unterstellt werden, dass er in geschäftlichen Dingen grundsätzlich erfahren sei. Er habe auch selbst berichtet, Online-und Telefonbanking bei mehreren Instituten zu nutzen und mit den grundlegenden Funktionen von Banking- bzw. TAN-Apps vertraut zu sein. Da die Erinnerung des Klägers an Nebendetails des Ablaufs sehr ungenau gewesen seien, spreche eine sehr hohe Wahrscheinlichkeit dafür, dass auch seine Erinnerung an die Anzahl der von ihm abgegebenen PushTAN-Bestätigungen unzuverlässig sei.
Der Kläger habe durch die Bestätigung von PushTANs auf Anforderung des Anrufers hin gegen seine Verpflichtung, Sicherheitsmerkmale vor unbefugten Zugriff zu schützen, verstoßen und einem unbekannten Dritten Zugriff auf ein personalisiertes Sicherheitsmerkmal gewährt. Dadurch habe er faktisch die Kontrolle über das Authentifizierungsinstrument PushTAN in die Hände des Anrufers gelegt.
Die Freigabe einer PushTAN auf telefonischen Zuruf hin begründe den Vorwurf der groben Fahrlässigkeit in objektiver und subjektiver Hinsicht. Bei der Freigabeaufforderung werde dem Kunden grundsätzlich angezeigt, für welchen konkreten Vorgang – etwa eine Überweisung in konkreter Höhe – die TAN geschaffen wurde. “Beachtet ein Kunde diese deutlichen Hinweise nicht und erteilt die Freigabe, ohne auf die Anzeige zu achten, liegt hierin kein bloß einfach fahrlässiger Pflichtverstoß mehr“, betont das OLG, „Denn bei Nutzung einer App, die explizit der Freigabe von Finanztransaktionen dient, muss es im Allgemeinen jedem einleuchten, dass die Anzeige zur Kenntnis zu nehmen und gründlich zu prüfen ist“.
Soweit sich der Kläger auf einen atypischen Ablauf in der App berufe, auf die er durch den Klick auf den in der SMS angegebenen Link geraten sei, könne ihm nicht entgangen sein, dass sämtliche Banken seit Jahren vor so genannten Phishing-Nachrichten warnten. Diese erweckten den ersten Eindruck, von einem Zahlungsdiensteanbieter zu stammen, führten typischerweise aber zu gefälschten Websites. Dieses kriminelle Phänomen werde seit 2006 öffentlich breit diskutiert. Hier handele es sich offensichtlich um eine derartige Phishing-Nachricht. Dies habe der Kläger auch spätestens nach der Aufforderung, persönliche Sicherheitsmerkmale im Rahmen einer von ihm selbst als „atypisch“ wahrgenommenen Umgebung freizugeben, erkennen müssen. „Spätestens an diesem Punkt hätte die Überlegung ganz nahegelegen, dass er einem Betrugsversuch aufgesessen war.“
Die Entscheidung ist nicht rechtskräftig. Mit der Nichtzulassungsbeschwerde hat der Kläger die Zulassung der Revision beim BGH begehrt.
Oberlandesgericht Frankfurt am Main, Urteil vom 06.12.2023, Az. 3 U 3/23
(vorausgehend Landgericht Frankfurt am Main, Urteil vom 09.12.2022, Az. 2-25 O 41/22)
Das LG Heilbronn hat entschieden, dass das PushTAN-Verfahren ein erhöhtes Gefährdungspotential aufweist, so dass kein Anscheinsbeweis für die Autorisierung einer Zahlungsanweisung im Sinne von § 675w BGB besteht.
Aus den Entscheidungsgründen: Der Anspruch des Klägers aus § 675u S.2 BGB ist zunächst entstanden.
DievomKlägererklärteKlageänderungnachHinweisdesGerichtsistgem.§264Nr. 2ZPOzulässig.AlsRechtsfolgegewährt § 675u S. 2 BGB einen Erstattungsanspruch. „Erstattung“ ist der Oberbegriff für die Auszahlung und die Stornobuchung,
d.h. die Wertstellung in Höhe der nicht autorisierten Zahlung. Der Anspruch ist in der Regel auf Wertstellung in Höhe der nicht autorisierten Zahlung gerichtet, nicht unmittelbar auf Zahlung.
Die streitgegenständlichen Überweisungen von den Konten des Klägers waren von diesen auch nicht autorisiert. Nach der Legaldefinition des § 675j Abs. 1 S. 1 BGB ist die Autorisierung die wirksame Zustimmung des Zahlers zum Zahlungsvorgang, welche nach § 675j Abs. 1 S. 2 BGB als Einwilligung oder, sofern zwischen dem Zahler und seinem Zahlungsdienstleister zuvor vereinbart, auch als Genehmigung erteilt werden kann. Selbst eine Stellvertretung ist insoweit grundsätzlich möglich (Jungmann in: Münchener Kommentar zum BGB, 8. Aufl., § 675j Rz. 14; Berger in: Jauernig, BGB, 18. Aufl., § 675j Rz. 1; differenzierend Köndgen in: beck-online.GROSSKOMMENTAR, Stand: 01.04.2022, § 675j BGB Rz. 17 ff.; Schmalenbach in: BeckOK BGB, 62. Ed., Stand: 01.05.2022, § 675j Rz. 3).
Die vereinzelt vertretene Ansicht, dass in Fällen, in denen der Nutzer seine persönlichen Daten in die Eingabemaske einer manipulierten Webseite eingibt und sie somit unbewusst an den Angreifer weiterleitet, das Einverständnis des Nutzers zu den durch den Angreifer sodann durchgeführten Zahlungsvorgängen nach den Grundsätzen der Rechtscheinsvollmacht zuzurechnen sei (z.B. LG Darmstadt, Urteil v. 28.08.2014, Az. 28 O 36/14, juris Rz. 37 ff.), ist abzulehnen. Gleiches muss für die vorliegende Sonderform des telefonischen Abgreifens der TAN gelten. Die Grundsätze über die Duldungs- und Anscheinsvollmacht finden in Bezug auf die Zustimmung i.S.v. § 675j BGB richtigerweise keine Anwendung (BGH, Urteil v. 26.01.2016, Az. XI ZR 91/14, Rz. 55 ff.; Urteil v. 16.06.2015, Az. XI ZR 243/13, Rz. 22 ff.; Köndgen in: beck-online.GROSSKOMMENTAR, Stand: 01.04.2022, § 675j BGB Rz. 20; Schulte-Nölke in: Schulze, BGB, 11. Aufl., § 675j Rz. 2;).
Der Kläger trägt vor, dass er keine der streitgegenständlichen Überweisungen veranlasste, sondern ein unbekannter Dritter ohne sein Wissen und Wollen mit der vermeintlich für andere Maßnahmen abgefragten TAN-Nummern, entgegen der Erwartung, diese TANs seien für die Rückgängigmachung der erfolgten Überweisungen erforderlich. Dies wird von der Beklagten letztlich zugestanden, so dass es auf die Frage der Darlegungs- und Beweislast für die Autorisierung der Überweisungen - welche gemäß § 675w S. 1 BGB bei der Beklagten läge - vorliegend nicht ankommt.
Abgesehen davon gilt nach Auffassung des Gerichts, dass nicht nur das klassische PIN/TAN-Verfahren, bei dem die jeweils zu verwendende TAN vom Zahlungsdienstnutzer selbst ausgewählt werden kann, die für einen Anscheinsbeweis erforderliche sehr hohe Wahrscheinlichkeit vermissen lässt (ähnlich LG Bonn 19.12.2003 - 2 O 472/03, MMR 2004, 179, 180 = CR 2004, 218), sondern auch das vorliegend zur Anwendung kommende pushTAN-Verfahren, in dem die TAN auf dem Mobiltelefon in einem anderen Programm (App) angezeigt wird, als demjenigen, das den Bankzugang ebenfalls mittels auf demselben Smartphone installierter BankApp (SecureGo-App) vermittelt. Denn die für die Sicherheit des smsTAN-Verfahrens wesentliche Trennung der Kommunikationswege (Übermittlung des Zahlungsauftrages übers Internet am Computer und Mitteilung der TAN per SMS ans Mobiltelefon) wird damit aufgegeben, wobei der besondere Komfort dieses Verfahrens (gesamter Zahlungsvorgang ohne Zusatzgerät mit nur einem einzigen Mobilgerät) deren Verbreitung gefördert hat (vgl. insoweit Ellenberger/Bunte/Maihold, Bankrechtshandbuch Band 1 6. Aufl. 2022 Rz. 34 f und Rz.391 mit Verweisen auf wissenschaftliche Untersuchungen zum hohen Gefährdungspotential bei Verwendung nur noch zweier Apps auf einem Gerät statt Nutzung getrennter Kommunikationswege sowie Hinweisen des Bundesamts für Sicherheit in der Informationstechnik und der Schlussfolgerung, deshalb liege keine Authentifizierung aus wenigstens zwei voneinander unabhängigen Elementen i.S.v. § 1 Abs. 24 ZAG vor).
2. Der Anspruch des Klägers nach § 625u S. 2 BGB ist aber durch wirksame Aufrechnung der Beklagten wieder erloschen, § 389 BGB. Die Beklagte hat in der Klageerwiderung die Gegenforderung beziffert und in der mündlichen Verhandlung nach Hinweis des Gerichts die Aufrechnung ausdrücklich erklärt, § 388 BGB.
Die Beklagte hat nach § 675v Abs. 3 Nr. 2 lit. a), b) BGB Gegenansprüche auf Schadensersatz gegen den Kläger jeweils mindestens in Höhe dessen Erstattungsansprüche gemäß § 675u S. 2 BGB. Dabei gilt in rechtlicher Hinsicht, dass nach § 675 v Abs. 3 Nr. 2 BGB der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet ist, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler den Schaden herbeigeführt hat durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehrerer Pflichten gemäß § 675 l Absatz 1 BGB oder einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments. Eine grobe Fahrlässigkeit liegt nach allgemeinen Regeln vor bei einem objektiv schweren und subjektiv nicht entschuldbarem Verstoß gegen die Anforderungen der im Verkehr erforderlichen Sorgfalt, wenn also das außer Acht gelassen wird, was jedem hätte einleuchten müssen.
Nach § 675l Abs. 1 S. 1 BGB ist der Zahler verpflichtet, unmittelbar nach Erhalt eines Zahlungsauthentifizierungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Personalisierte Sicherheitsmerkmale sind gemäß § 1 Abs. 25 ZAG - in der hier maßgeblichen, ab 1.7.2021 geltenden Fassung - personalisierte Merkmale, die der Zahlungsdienstleister einem Zahlungsdienstnutzer zum Zwecke der Authentifizierung bereitstellt. Darunter fallen insbesondere TAN, welche einmal für die Autorisierung einer ganz bestimmten Transaktion eingesetzt werden können, dem Zahlungsdienstnutzer erst im Zusammenhang mit der jeweiligen Transaktion übermittelt werden und nur für eine kurze Zeit gültig sind. Unbefugt ist namentlich jede Verwendung, die ohne oder gegen den Willen des Inhabers des Zahlungsinstruments erfolgt und dementsprechend auf die Auslösung eines nicht autorisierten Zahlungsvorgangs gerichtet ist (Jungmann in: Münchener Kommentar zum BGB, 8. Aufl., § 675l Rz. 19). Der Kläger hatte allgemein dafür Sorge zu tragen, dass nicht dritte Personen die unkontrollierte Zugriffsmöglichkeit auf sein Online-Banking oder die Banking-App mittels Zugangsdaten und TAN bekommen und so ohne sein Wissen und Wollen Transaktionen von seinem Konto bei der Beklagten durchführen können (generell zum Sorgfaltsmaßstab beim Online-Banking und beim Mobile Banking ausführlich: Jungmann in: Münchener Kommentar zum BGB, 8. Aufl., § 675l Rz. 42 m.w.N.; s. auch Hofmann in: beck-online GROSSKOMMENTAR, Stand: 01.10.2021, § 675l Rz. 82 ff.). Die vom Zahlungsdienstnutzer geschuldeten Sorgfaltspflichten sind außerdem nach der Art des konkreten Angriffs zu bestimmen.
Beim Social Engineering wird von den Tätern die „Schwachstelle Mensch“ ausgenutzt, um auf diese Art und Weise personalisierte Sicherheitsmerkmale auszuspähen und in der Folge Zahlungen auszulösen. Diese Angriffe sind nicht ohne erhebliche Mitwirkung des Zahlungsdienstnutzers möglich. Die vom Zahlungsdienstnutzer zu erwartende angemessene Sorgfalt besteht darin, Zugangsdaten niemandem auf Nachfrage anzuvertrauen, sei es am Telefon, in E-Mails oder im Internet. Wenn sich jedem Zahlungsdienstnutzer in der entsprechenden Situation sowie dem betroffenen Zahlungsdienstnutzer ganz individuell geradezu aufdrängen musste, dass es sich nicht um einen regulären Vorgang handeln kann, ist von grober Fahrlässigkeit auszugehen. Ob der Zahlungsdienstnutzer erkennen muss, dass konkret ein Social-Engineering-Angriff stattfindet, ist stets Frage des Einzelfalls. Bezogen auf die Besonderheiten des Online-Banking liegt bei der telefonischen Weitergabe einer oder mehrerer TAN der Vorwurf einer groben Fahrlässigkeit nahe (LG Saarbrücken, Urteil vom 10.06.2022 - 1 O 394/21, BeckRS 2022, 14866; LG Köln, Urteil vom 10.09.2019 - 21 O 116/19, MMR 2020, 258; BeckOGK/Hofmann, 1.10.2021, BGB § 675l Rn. 93; Langenbucher/Bliesener/Spindler/Herresthal, 3. Aufl. 2020, 3. Kap. BGB § 675v Rn. 63; BeckOK BGB/Schmalenbach, 61. Ed. 1.2.2022, BGB § 675v Rn. 13). Insoweit ist die telefonische Weitergabe einer TAN nicht vergleichbar mit der Eingabe einer oder mehrerer TAN in eine gefälschte Eingabemaske (hierzu BGH, Urteil vom 24.04.2012 - XI ZR 96/11, NJW 2012, 2422), da sich die telefonische Weitergabe der TAN von dem üblichen Übermittlungsweg der TAN (Eingabe online) für jeden Nutzer offensichtlich unterscheidet (LG Saarbrücken, Urteil vom 9. Dezember 2022 – 1 O 181/20 –, Rn. 34 - 35, juris).
Unter Berücksichtigung aller Umstände des hiesigen Einzelfalls ist das Verhalten des Klägers nach Auffassung des erkennenden Gerichts als grob fahrlässig einzustufen.
So liegt schon ein Verstoß gegen Ziffer 7.1.(2) b 5. Spiegelstrich der vertraglich vereinbarten Sonderbedingungen für das Online-Banking vor: „Besitzelemente, wie z. B. die girocard mit TAN-Generator oder ein mobiles Endgerät, sind vor Missbrauch zu schützen, insbesondere…. – dürfen die Nachweise des Besitzelements (z. B. TAN) nicht außerhalb des Online-Banking mündlich (z. B. per Telefon) oder in Textform (z. B. per E-Mail, Messenger-Dienst) weitergegeben werden…“.
Im Ergebnis bestreitet der Kläger die von der Beklagten vorgelegten Protokolle nicht, wonach er insgesamt in einem Zeitraum von 6 Minuten telefonisch mindestens 3 unterschiedlich generierte TAN-Nummern telefonisch weitergegeben hat an eine ihm persönlich nicht bekannte Person, die noch nicht einmal unter einer dem Kläger bekannten Telefonnummer der Beklagten angerufen hat. Dabei leuchtet jedem ein, dass online-banking eben nur online erfolgt, gerade nicht telefonisch oder schriftlich, egal, wer sich am Telefon wegen angeblicher Maßnahmen meldet. Der Kläger, der eigenen Angaben zufolge schon langjährig Online-Banking bei der Beklagten nutzt, hat selbst auch keinen Fall geschildert, in dem er zuvor von einem Bankmitarbeiter telefonisch im Rahmen des Online-Bankings kontaktiert wurde. Ihm hätte also dieser Umstand besonders auffallen müssen, insbesondere aber auch der Umstand, dass ihm im Gespräch mehrere TAN abverlangt wurden, die er ja jeweils eigenständig kreieren musste. Aufgrund der in den letzten Jahren vielfach durch verschiedene Medien bekannt gewordenen Fälle ist die Erkenntnis, dass Kunden durch betrügerische Briefe und Anrufe vorgeblicher Bankmitarbeiter zur Preisgabe von Zugangsdaten zum Online-Banking veranlasst werden sollen, als allgemeines Wissen vorauszusetzen. Jedenfalls seit 2006 wurde das kriminelle Phänomen des Phishings öffentlich breit diskutiert. Der Kläger musste daher von der Möglichkeit solcher betrügerischen Vorgänge, wenn auch in unterschiedlicher Ausgestaltung, jedenfalls allgemeine Kenntnis haben. Falls nicht, wäre dies zumindest als grob fahrlässige Unkenntnis einzustufen (OLG München, Beschluss vom 22. September 2022 – 19 U 2204/22 –, juris). Hinzu kommt der Umstand, dass ausweislich der Anlage B2 dem Kläger bei Mitteilung der generierten TAN deren Verwendungszweck auf dem Smartphone-Display mitangezeigt wurde, also u.a. auch der Überweisungsbetrag und die IBAN des Empfängers. Das Bestreiten des Vortrages der Beklagten durch den Kläger mit Nichtwissen in der Replik dahingehend, ob diese Anzeige auch schon im September 2021 erfolgte, ist prozessual unbeachtlich. Es handelt sich um eine eigene Wahrnehmung des Klägers, der eigenen Angaben zufolge schon jahrelang das Online-Banking der Beklagten und die SecureGo-App nutzt, weshalb ein Bestreiten mit Nichtwissen prozessual unbeachtlich bleibt. Letztlich hat der Kläger in seiner offenen und überzeugenden Schilderung anlässlich seiner Anhörung auch eingeräumt, dass die Angaben aus der Anlage B 2 tatsächlich in der SecureGo-App bei Mitteilung der jeweiligen TAN sichtbar waren. Dann aber ist es nicht mehr nachvollziehbar, bei Anzeige der Überweisungsbeträge und der Empfänger-IBAN bei der übermittelten TAN diese mündlich an einen Dritten telefonisch zu übermitteln im Glauben daran, damit würde eine Überweisung rückgängig gemacht. Das genaue Gegenteil ergibt sich aus der Ansicht in der SecureGo-App. Bei einer Gesamtschau dieser Umstände musste sich dem Kläger daher aufdrängen, dass es sich nicht um einen regulären Vorgang, sondern nur um einen Betrug handeln konnte.
3. Eine Kürzung des Aufrechnungsanspruchs wegen eines Mitverschuldens der Beklagten scheidet aus.
Soweit der Kläger behauptet, in zeitlich engem Zusammenhang zu dem streitgegenständlichen Tatvorgang sei es nach Mitteilung einer Mitarbeiterin zu weiteren Betrugsfällen mit ähnlichem bzw. identischen Tatmuster gekommen sei, was den Verdacht bestärke, dass es ein Sicherheitsleck auf Seiten der Beklagten gegeben habe, bleibt dieser Vortrag in der Sache und der zeitlichen Einordnung (schon vor 24.9.2021, wie lange davor und ab wann der Beklagten in wie vielen Fällen bekannt) ohne Substanz und damit als Behauptung ins Blaue rechtlich ohne Belang.
Auch die Tatsache, dass die TAN-Nummern des Klägers innerhalb von einigen Minuten verwendet wurden, um insgesamt zwei Auszahlungen i.H.v. 4.989,36 € sowie 3.444,36 € vorzunehmen und der doch relativ unübliche Empfängername und die Tatsache, dass dort keinerlei Verwendungszweck angegeben war, rechtfertigt keinen Mitverschuldenseinwand etwa dahingehend, dass die Mitarbeiter der Beklagten zumindest zur telefonischen Kontaktaufnahme mit dem Kläger Veranlassung hätten sehen müssen. Im Zahlungsverkehr bestehen Warn- und Hinweispflichten der Kreditinstitute zum Schutz ihrer Kunden vor drohenden Schäden nur in Ausnahmefällen. So hat im Überweisungsverkehr ein Kreditinstitut, das aufgrund massiver Anhaltspunkte den Verdacht hegt, dass ein Kunde bei der Teilnahme am bargeldlosen Zahlungsverkehr durch eine Straftat einen anderen schädigen will, diesem gegenüber eine Warnpflicht (BGH Urteil v. 6. Mai 2008 - XI ZR 56/07, BGHZ 176, 281 Rn. 14,15). Die Bank muss aber weder generell prüfen, ob die Abwicklung eines Zahlungsverkehrsvorgangs Risiken für einen Beteiligten begründet, noch Kontobewegungen allgemein und ohne besondere Anhaltspunkte überwachen. Eine Warnpflicht besteht erst dann, wenn die Bank ohne nähere Prüfung im Rahmen der normalen Bearbeitung eines Zahlungsverkehrsvorgangs aufgrund einer auf massiven Verdachtsmomenten beruhenden objektiven Evidenz den Verdacht einer Veruntreuung schöpft (BGH, Urteil vom 24. April 2012 – XI ZR 96/11 –, Rn. 32, juris). Ohne besondere weitere Anhaltspunkte geben Überweisungen mit Auslandsberührung, der Einsatz glatter Beträge und dadurch eintretende Kontoüberziehungen einer Bank ohne nähere Prüfung keinen hinreichenden Anlass, den Verdacht einer Straftat zu schöpfen. Kreditinstitute werden im bargeldlosen Zahlungsverkehr nur zum Zweck der technisch einwandfreien, einfachen und schnellen Abwicklung tätig und haben sich schon wegen dieses begrenzten Geschäftszwecks und der Massenhaftigkeit der Geschäftsvorgänge grundsätzlich nicht um die beteiligten Interessen ihrer Kunden zu kümmern.
Das LG Köln hat entschieden, dass eine grobe Fahrlässigkeit des Bankkunden vorliegt, wenn dieser Dritten PIN und TANs für das Online-Banking mitteilt.
Aus den Entscheidungsgründen:
"Aber auch ein Anspruch des Klägers aus § 675 u Satz 2 BGB besteht nicht, weil die Beklagte diesem Anspruch – der grundsätzlich aufgrund der nicht autorisierten Überweisungen vom 07. bis 09.01.2019 besteht – einen Schadenersatzanspruch nach § 675 v Abs. 3 Nr. 2 BGB entgegenhalten kann. Mit diesem hat sie die Aufrechnung gegen die Klageforderung erklärt.
Der Kläger hat gegen die vertraglichen Sorgfalts- und Mitwirkungspflichten des Nutzers bei der Verwendung des PIN-TAN-Verfahrens, die – unwidersprochen – bereits bei Vertragsschluss zwischen ihm und der Rechtsvorgängerin der Beklagten Vertragsbestandteil waren (Anlage B 4), grob fahrlässig verstoßen (§ 675 v Abs. § Nr. 2 lit. b). Ziffer 9 lit. a) der AGB in der bei Vertragsschluss geltenden Bedingungen für die Nutzung des OnlineBanking-Angebotes der Stadtsparkasse mit PIN und TAN (bzw. Ziffer 7 der Bedingungen für das Online-Banking in der Fassung vom 13.01.2018) auferlegte dem Kläger die Pflicht, dafür Sorge zu tragen, dass keine andere Person Kenntnis von der PIN und den TANs erlangt.
Gegen diese Verpflichtung hat der Kläger verstoßen, indem er – was zumindest nach seinen Angaben im Rahmen seiner persönlichen Anhörung unstreitig ist – dem angeblichen Mitarbeiter der Beklagten L2 diejenige TAN weitergab, die es diesem ermöglichte, seine eigene Mobiltelefonnummer für die spätere Abfrage von computergenerierten TANs zu hinterlegen.
Diese vertragliche Sorgfaltspflicht verletzte der Kläger grob fahrlässig. Grob fahrlässig handelt, wer die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt, einfachste und naheliegende Überlegungen nicht anstellt und in der konkreten Situation das nicht beachtet, was sich jedem aufdrängt (MüKoBGB/Zetsche, 7. Auflage 2017, § 675 v Rn 33), wobei sich aus Erwägungsgrund 33 der ZDRL ergibt, dass die Ausgestaltung des Begriffs nationalem Recht überlassen ist (MüKoBGB/Zetsche, a.a.O.). Nach diesen Grundsätzen stellt sich das Verhalten des Klägers in der Gesamtschau als grob fahrlässig dar, wobei – wie nachfolgend aufgezeigt wird – dahin stehen kann, ob bereits der Umstand, dass der Täter die Zugangsdaten zum Online-Banking (Kennwort und PIN) erlangt hat, auf grober Fahrlässigkeit beruhte.
Dem Kläger hätte bereits auffallen müssen, dass es für ein Kreditinstitut absolut außergewöhnlich ist, dass ein angeblicher Mitarbeiter telefonisch ankündigt, ihm eine TAN zu schicken, um das bisherige Kennwort und die bisherige PIN zu ändern. Bereits dies hätte einem durchschnittlich sorgfältigen Online-Banking-Kunden Anlass zu Misstrauen und ggf. einer Vorsprache bei der Bank gegeben. Noch auffälliger und mit den Usancen im Bankverkehr unvereinbar war es, dass der Mitarbeiter sodann die telefonische Durchgabe der TAN verlangte. Bereits dieser – erste – Verstoß gegen die vertraglich vereinbarte Pflicht, die TAN an Dritte weiterzugeben, erfolgte grob fahrlässig. Jedenfalls aber verstieß der Kläger in nicht nachzuvollziehender Weise gegen die ihm obliegenden Sorgfaltspflichten, indem er Herrn L2 am 24.12.2018 eine weitere TAN durchgab, nachdem dieser angegeben hatte, er wolle nunmehr die EC-Karten des Klägers und seiner Ehefrau gegen Angriffe aus dem Ausland sichern (wobei es schon keinen Sinn ergibt, warum hierfür Einstellungen im Online-Banking-Konto vorgenommen werden mussten). Mit dieser TAN war es dem Täter möglich, eine zweite Telefonnummer für die Übermittlung von TANs zu hinterlegen. Insoweit war es aber zum einen wiederum absolut ungewöhnlich, dass ein angeblicher Mitarbeiter des Kreditinstitutes die telefonische Durchgabe einer TAN verlangte, und zum anderen hat der Kläger selbst eingeräumt, die mit der Hinterlegung der Telefonnummer verbundene, unmissverständliche Warnnachricht der Beklagten schlichtweg nicht gelesen zu haben. Darüber hinaus hat er selbst angegeben, dass er in der Folge weitere Online-Banking-Überweisungen getätigt habe, bei denen er zwischen seiner und der neu hinterlegten Telefonnummer auswählen musste. Spätestens zu diesem Zeitpunkt war ihm sogar bekannt, dass ein weiterer, ihm unbekannter Nutzer von seinem Konto Überweisungen tätigen konnte, zumindest musste sich ihm diese Erkenntnis aufdrängen. Sämtliche, vorstehend aufgeführten und jeder für sich die grobe Fahrlässigkeit begründenden Umstände werden zudem davon umklammert, dass jeglicher (!) Kontakt telefonisch stattfand und es kein einziges Schriftstück der Beklagten betreffend den angeblichen Angriff auf das klägerische Konto gab. Dass es sich bei Herrn L2 um einen psychologisch gut geschulten Täter handelte und der Betrug zulasten des Klägers perfide ausgestaltet war, entlastet ihn angesichts der Vielzahl der vorstehend aufgezählten Umstände, aufgrund deren sich ein Betrugsverdacht aufdrängen musste, und aufgrund der dazwischen liegenden Zeiträume, in denen der Kläger die jeweiligen Vorgänge hätte reflektieren können, nicht. Die Kammer ist nach der durchgeführten Anhörung auch davon überzeugt, dass der Kläger – der bis zum Renteneintritt als Kernphysiker tätig war – von zumindest überdurchschnittlicher Intelligenz ist und daher die Möglichkeit hatte, den Betrug zu seinen Lasten zu erkennen und zu verhindern.
Soweit der Kläger den Vorwurf erhebt, die Beklagte habe keine Sicherheitssysteme gegen „solche Phishing-Angriffe“, erhebt er nach dem Verständnis der Kammer den Einwand des Mitverschuldens betreffend den zur Aufrechnung gestellten Schadenersatzanspruch. Dieser Einwand geht allerdings schon deshalb ins Leere, weil der Kläger nicht Opfer eines Phishing-Angriffs wurde, sondern die schadenauslösende Handlung selbst vorgenommen hat, indem er dem Täter den Zugriff auf die Mobil-TANs ermöglichte (s.o.). Der weitere Vorwurf, die Beklagte habe das Online-Banking-Konto nicht standardmäßig so eingestellt, dass Einzelüberweisungen limitiert seien, geht bereits deshalb ins Leere, weil einerseits eine entsprechende Schadensminderungspflicht nicht erkennbar ist und andererseits der Kläger seit 2002 das Online-Banking nutzt, ohne auch nur die Einrichtung eines Limits angefragt zu haben; dass er nicht gewusst hat, dass ein solches Limit möglich ist, trägt er bereits nicht vor. Ebenso wenig bestand eine Verpflichtung der Beklagten, vor Einzelüberweisungen ins Ausland eine gesonderte Sicherheitsabfrage durchzuführen."
Das OLG Karlsruhe hat entschieden, dass die Bezeichnung eines Politikers als "Betrüger, Rechtsbrecher, Lügner, Halunke oder Gauner" im politischen Meinungskampf zulässig sein kann.
Die Entscheidung verdeutlicht abermals, dass die Zulässigkeit von Äußerungen stets in ihrem konkreten Kontext betrachtet werden müssen.
Die Pressemitteilung des OLG Karlsruhe:
"Antrag des baden-württembergischen Landesvorsitzen"den der AfD Bernd Kölmel gegen Ex-Parteimitglied auf Unterlassung von Äußerungen gescheitert
Im Rahmen des politischen Meinungskampfes kann auch die Bezeichnung des Gegners als Betrüger, Rechtsbrecher, Lügner, Halunke oder Gauner zulässig sein, sofern es sich bei diesen Äußerungen ihrem Sinn und systematischen Kontext nach um eine bewertende Stellungnahme zu einer die Öffentlichkeit bzw. eine politische Partei interessierende Frage handelt. Dies hat der 6. Zivilsenat des Oberlandesgerichts Karlsruhe entschieden.
Der Verfügungskläger (fortan: Kläger), baden- württembergischer Landesvorsitzender und Gründungsmitglied der Partei Alternative für Deutschland (AfD), hatte sich in dem einstweiligen Verfügungsverfahren dagegen gewendet, dass der Verfügungsbeklagte (fortan: Beklagter) ihn in einem an Parteimitglieder der AfD adressierten E-Mailschreiben als Betrüger, Rechtsbrecher, Halunke, Lügner und Gauner bezeichnet hat. Der Beklagte war früher selbst Mitglied der AfD. Nachdem es im Jahr 2013 zu einem Parteiausschlussverfahren kam, war er freiwillig aus der Partei ausgetreten.
Auf Antrag des Klägers hatte das Landgericht Baden-Baden dem Beklagten die beanstandeten Äußerungen untersagt (Urt. v. 29.09.2014 - Az. 4 O 128/14). Die dagegen eingelegte Berufung des Beklagten hatte Erfolg. Der 6. Zivilsenat des Oberlandesgerichts Karlsruhe ist nicht der Auffassung des Landgerichts gefolgt, wonach es sich hier um Schmähkritik handele, die ohne weitere Abwägung der betroffenen Interessen unzulässig sei. Denn eine Schmähung liege bei einer die Öffentlichkeit interessierenden Frage nur ausnahmsweise vor und sei eher auf die Privatfehde beschränkt. Wesentliches Merkmal der Schmähung sei eine das sachliche Anliegen völlig in den Hintergrund drängende persönliche Kränkung. Davon könne hier keine Rede sein. Die angegriffenen Äußerungen dürften nicht isoliert betrachtet werden, vielmehr müssten - entgegen der Auffassung des Landgerichts - auch die in der E-Mail gesetzten Links berücksichtigt werden. Dort beanstande der Beklagte den Ablauf der Wahl des Klägers auf den 3. Listenplatz der AfD bei der Europawahl sowie die Durchführung des Gründungsparteitags als fehlerhaft. Bei den Äußerungen des Beklagten handele es sich daher ihrem Sinn und systematischen Zusammenhang nach um die kritisierten parteiinternen Vorgänge zusammenfassende, bewertende Stellungnahmen. Bei der gebotenen Abwägung spreche eine Vermutung für die Zulässigkeit der beanstandeten Äußerungen, da sonst die Meinungsfreiheit, die Voraussetzung für einen freien und offenen politischen Prozess sei, in ihrem Kern betroffen wäre.
OLG Karlsruhe, Urteil vom 14.01.2015 - Az. 6 U 156/14"
Wie einem Pressebericht zu entnehmen ist, hat das LG Köln entschieden, dass die Aussage "Der Wendler ist ein Betrüger" von der Meinungsäußerungsfreiheit ( Art. 5 Abs. 1 Satz 1 GG ) gedeckt sein kann. Der Schlagersänger hatte einen Veranstalter verklagt. Dieser hatte sich entsprechend geäußert, da der Schlagersänger einen Auftritt abgebrochen hatte.