Das OLG Oldenburg hat entschieden, dass kein Anspruch gegen die Bank aus § 675u Satz 2 BGB nach einem Phishing-Vorfall besteht, wenn sich dem Kontoinhaber die betrügerische Absicht einer Phishing-E-Mail aufdrängen musste.
Die Pressemitteilungt des Gerichts: OLG Oldenburg zur Haftung einer Bank nach einem sogenannten Phishing-Vorfall
Vorsicht vor sogenannten Phishing E-Mails! Dies hat wiederum ein Fall gezeigt, den der 8. Zivilsenat des Oberlandesgerichts Oldenburg in zweiter Instanz zu entscheiden hatte.
Geklagt hatte ein Ehepaar aus dem Ammerland, von dessen Konto ein mittlerer fünfstelliger Betrag verschwunden war. Diesen Betrag verlangten die Klägerin und der Kläger von der kontoführenden Bank mit der Begründung zurück, dass die entsprechenden Zahlungsvorgänge von ihnen nicht autorisiert worden seien. Bei nicht autorisierten Zahlungsvorgängen sieht § 675u Satz 2 BGB grundsätzlich eine Erstattungspflicht des Zahlungsdienstleisters – hier also der Bank – vor.
Passiert war nach den gerichtlichen Feststellungen Folgendes: Die Ehefrau, die spätere Klägerin, hatte eines Tages im Jahr 2021 eine E-Mail erhalten, die scheinbar von dem Bankinstitut stammte, bei dem die Eheleute ihr gemeinsames Konto hatten. In dieser E-Mail wurde sie aufgefordert, binnen zwei Tagen ihre PushTAN-Registrierung zu aktualisieren, da anderenfalls eine Neuregistrierung erforderlich sein würde. Die Klägerin klickte auf den in der E-Mail angegebenen Link, der sie zu einer – wie sich später herausstellte – gefälschten Website führte. Dort gab sie zumindest ihr Geburtsdatum und die Nummer ihrer EC-Karte ein. Im Anschluss erhielt sie per SMS einen Registrierungslink für die Neuregistrierung zum PushTAN-Verfahren auf ihr Mobiltelefon. Am nächsten Tag bemerkte die Klägerin, dass durch zwei Echtzeit-Überweisungen insgesamt knapp 41.000 Euro von ihrem Gemeinschaftskonto auf ein Konto in Estland transferiert worden waren.
Das in erster Instanz zuständige Landgericht Oldenburg wies die Zahlungsklage der Eheleute gegen die Bank im Jahr 2023 ab. Zwar war das Landgericht davon überzeugt, dass die Eheleute die Zahlungsvorgänge in der Tat nicht autorisiert hatten; vielmehr seien die Überweisungen und auch die im Vorfeld erfolgte Erhöhung des Tageslimits durch unbekannte Täter ohne Wissen und Wollen der Kläger ausgelöst worden. Allerdings bestehe im Ergebnis dennoch kein Anspruch der Eheleute auf Erstattung der Zahlungsbeträge gemäß § 675u Satz 2 BGB gegen die Bank, weil diese den Eheleuten wiederum einen Schadensersatzanspruch entgegenhalten könne; denn die Ehefrau habe grob fahrlässig im Sinne von § 675v Abs. 3 Nr. 2 BGB gehandelt, was sich der Ehemann gemäß § 278 BGB zurechnen lassen müsse. Nach der durchgeführten Beweisaufnahme sei, so das Landgericht, nämlich davon auszugehen, dass die Klägerin auf der gefälschten Website nicht nur ihr Geburtsdatum und ihre EC-Karten-Nummer, sondern auch ihren Anmeldenamen und ihre PIN eingegeben habe. Laut dem gerichtlich bestellten Sachverständigen sei es weder technisch möglich noch plausibel, dass die unbekannten Täter ohne diese Angaben die Überweisungen hätten vornehmen können. Damit aber habe die Klägerin die Sorgfaltspflichten aus dem Vertrag mit der Bank grob verletzt, nach denen sie die zur Authentifizierung bereitgestellten personalisierten Merkmale vor unbefugtem Zugriff zu schützen hatte.
Auf die Berufung der Eheleute hat der 8. Zivilsenat des Oberlandesgerichts die Entscheidung des Landgerichts bestätigt. Die Klägerin hatte in ihren Anhörungen vor dem Oberlandesgericht wiederum nicht zu 100 Prozent ausschließen können, dass sie neben ihrem Geburtsdatum und ihrer EC-Karten-Nummer noch weitere Daten auf der gefälschten Website eingegeben hatte. Auch aufgrund der Ausführungen des in zweiter Instanz erneut angehörten Sachverständigen erachtete das Oberlandesgericht die Folgerung des Landgerichts, die Klägerin habe auf der gefälschten Website auch ihren Anmeldenamen und ihre PIN eingegeben, als in jeder Hinsicht plausibel. Der Senat stellte darüber hinaus eine weitere Sorgfaltspflichtverletzung der Ehefrau fest, weil diese nach dem Ergebnis der ergänzenden Beweisaufnahme auch den ihr per SMS zugeschickten Registrierungs-Link beziehungsweise den entsprechenden Registrierungs-Code für die Neuregistrierung zum PushTAN-Verfahren entweder weitergeleitet oder auf sonstige Weise an die Täter weitergegeben hatte. Zumindest dies sei als grob fahrlässig zu bewerten. Darüber hinaus hätten sich der Klägerin aus mehreren Gründen Zweifel an der Seriosität der E-Mail aufdrängen müssen; unter anderem wurden die Kläger hierin nicht namentlich adressiert, sondern mit „Sehr geehrter Kunde“ angesprochen. Außerdem enthielt die E-Mail mehrere Rechtschreibfehler. Schließlich müsse sich die Bank auch kein Mitverschulden zurechnen lassen; insbesondere sei es zum damaligen Zeitpunkt nicht geboten gewesen, in die Registrierungs-SMS einen – inzwischen von der Beklagten verwendeten – Warnhinweis aufzunehmen, wonach die SMS nicht an dritte Personen weitergeleitet werden darf.
Mithin erhalten die Kläger ihre verlorenen Gelder nicht von ihrer Bank zurück.
Die Entscheidung des Oberlandesgerichts ist rechtskräftig.
Oberlandesgericht Oldenburg, 24.04.2025 – 8 U 103/23
Das AG München hat entschieden, dass kein Anspruch auf Schadensersatz nach einer Phishing-Attacke im Zusammenhang mit dem Mastercard 3D-Secure-Verfahren besteht, wenn eine Weitergabe der SMS-Tan an Dritte erfolgte.
Die Pressemitteilung des Gerichts: Phishing bei Reisebuchung - Kein Anspruch auf Rückzahlung abgebuchter Kreditkartenbeträge
Der Ehemann der Münchner Klägerin wollte am Samstag, den 06.01.2024 für seine Ehefrau und sich eine Reise im Internet buchen. Hierzu gab er auf einer Homepage „Check24“ die Daten der Kreditkarte seiner Ehefrau ein. Kurz darauf erschien eine Mitteilung, dass ein Betrag in Höhe von 318,99 € vorgemerkt sei, ehe weitere Mitteilungen über vergleichbare Vormerkungen erschienen. Die Münchnerin veranlasste noch am selben Abend telefonisch die Sperrung der Kreditkarte. Am Montag, den 08.01.2024 sind sechs unberechtigte Abbuchungen zu je 318,99 € für Giftcards vom Konto der Klägerin erfolgt, insgesamt 1.953,29 €.
Zur Autorisierung der Transaktionen fand das Mastercard 3D-Secure-Verfahren Anwendung. Zur Aktivierung dieses Verfahrens auf einem weiteren Gerät, übersandte die beklagte Bank am 06.01.2024 eine SMS-TAN an die von der Klägerin bei der Beklagten hinterlegte Mobilfunknummer. Die an die Klägerin versandte SMS-TAN wurde dann auf dem weiteren mobilen Endgerät, auf dem auch die Banking-App freigeschaltet wurde, am 06.01.2024 eingegeben und damit das Secure-Verfahren aktiviert.
Die Münchnerin behauptete, dass sie diese Abbuchungen nicht autorisiert habe. Bei der Buchung sei sie nicht nach PIN oder Passwort gefragt worden, sie habe auch nirgendwo eine SMS-Tan eingegeben. Es sei nicht erkannt worden, dass es sich möglicherweise um eine Fake-Website handelte.
Die beklagte Bank ging davon aus, dass die Münchnerin die SMS-Tan an einen Dritten weitergegeben haben muss, da eine Freigabe der Buchungen anders technisch nicht möglich gewesen sei und verweigerte die Zahlung. Die Münchnerin verklagte die Bank daher vor dem Amtsgericht München auf Rückzahlung der 1.953,29 €.
Das Amtsgericht München wies die Klage mit Urteil vom 08.01.2025 ab. Das Gericht ging zwar davon aus, dass die Abbuchungen nicht von der Klägerin autorisiert waren, sondern von Dritten getätigt wurden. Aufgrund der Beweisaufnahme war das Gericht jedoch davon überzeugt, dass die Klägerin die SMS-Tan grob fahrlässig an Dritte weitergegeben haben muss, weshalb ein Schadensersatzanspruch der Bank gegen die Klägerin in gleicher Höhe bestehe, mit dem die Bank aufgerechnet habe. Insoweit führte es u.a. aus:
„Der Vortrag der Beklagten, dass diese in ihren Systemen feststellen konnte, dass das Mastercard 3D-Secure Verfahren per Banking App für die Kreditkarte der Klägerin am 06.01.2024 um 13:30 Uhr aktiviert wurde, und zur Aktivierung dieses Verfahrens auf dem neuen Gerät eine SMS-TAN an die im Vertrag hinterlegte Mobilfunknummer der Klägerin […] versandt wurde, wurde durch Inaugenscheinnahme des Mobiltelefons der Klägerin bestätigt. Dort befindet sich […] eine SMS vom 06.01.2024 13:29 Uhr mit dem Inhalt: „[…] ist Ihre TAN für die Aktivierung von Mastercard Identity Check vom 06.01.2024 13:44 Uhr.“ Der Eingang der SMS um 3:29 Uhr war im eingesehenen Nachrichtenverlauf […] um 13:29 Uhr dokumentiert und wird auch durch das als […] vorgelegte IT-Protokoll belegt. Der Vortrag der Klägerin, keine SMS-TAN erhalten zu haben und dass ihr Mobiltelefon nicht in die Freigabe involviert war, erwies sich damit als widerlegt.
Die Beklagte hat unbestritten vorgetragen, dass aufgrund der manuellen Eingabe einer an die Mobilfunknummer der Klägerin versandten SMS-Tan ein Fremdzugriff technisch ausgeschlossen ist. Es wurde ein neues Gerät im Online-Banking der Klägerin als Freigabeinstrument im Rahmen des 2-Faktor-Authentifizierungsverfahrens hinterlegt. Hierzu war – technisch zwingend – die Eingabe der SMS-Tan erforderlich. […] Das Gericht ist daher davon überzeugt, dass die Klägerin durch Preisgabe der SMS-Tan Dritten eine Registrierung eines Geräts ermöglicht hat, wobei die Preisgabe persönlicher Sicherheitsmerkmale an Dritte gemäß den vertraglichen Bestimmungen untersagt war. […]
Das Verhalten der Klägerin bewertet das Gericht als grob fahrlässig. Es ist eine Sache, wenn man seine Kreditkartendaten offenbart. Diese werden bei jeder Verwendung offenbart und können auch von der Karte abgelesen werden. […] Die Weitergabe eines im Rahmen einer Zwei-Faktor-Autorisierung erhaltenden Zugangscodes kann nicht damit gleichgesetzt werden. Mit dieser Weitergabe hilft der Nutzer (Kläger) die Sicherheitsarchitektur grundlegend auszuhebeln. Es muss jedem verständigen Nutzer solcher Kreditkarten klar sein, welches Risiko er mit der Weitergabe derartiger Daten schafft. Die Klägerin mag dies nicht bewusst getan haben und es mag […] auch nicht erinnerlich sein. Indessen lässt sich der Vorgang plausibel nicht anders erklären.“
Urteil des Amtsgerichts München vom 08.01.2025
Aktenzeichen: 271 C 16677/24
Das Urteil ist nicht rechtskräftig.
OLG Frankfurt
Urteil vom 22.04.2025 11 U 68/23 (Kart)
Das OLG Frankfurt hat entschieden, dass die Geltung deutschen Kartellrechts und die internationale Zuständigkeit deutscher Gerichte bei Kartellverstößen nicht durch eine Gerichtsstandsvereinbarung ausgeschlossen werden können.
Die Pressemitteilung des Gerichts: Einschränkung von Gerichtsstandsvereinbarungen bei Kartellverstößen
Der Anwendungsvorrang des deutschen Kartellrechts vor dem Recht anderer Staaten soll auch die fehlerfreie Beurteilung eines Rechtsstreits durch die Instanzen sichern. Für auf Kartellverbote gestützten Klagen kann nicht mit einer Gerichtsstandsvereinbarung die Zuständigkeit deutscher Gerichte entzogen und auf Einrichtungen von Nicht-EU-Staaten übertragen werden. Das Oberlandesgericht Frankfurt am Main (OLG) hat mit heute veröffentlichter Entscheidung die internationale Zuständigkeit des angerufenen Landgerichts Frankfurt am Main bestätigt.
Die Beklagten betreiben das VISA-Kartensystem. Die Klägerinnen sind Sparkassen. Die im Vereinigten Königreich Großbritannien und Nordirland ansässige Beklagte zu 1) untersagte es den Klägerinnen in ihren Bedingungen, von Inhabern von Zahlungskarten der Marken „VISA“ und V Pay“, die von anderen Kreditinstituten ausgestellt wurden, für Bargeldabhebungen an Geldautomaten der Klägerinnen Entgelte zu verlangen.
Nach den zwischen den Parteien 2015 jeweils geschlossenen Mitgliedschaftsvereinbarungen („Membership Deed“) unterliegen die Rechtsbeziehungen englischem Recht. Zuständig sind „ausschließlich die Gerichte in England“. Die in den USA ansässige Beklagte zu 2) erwarb 2016 alle Anteile an der Beklagten zu 1). Gemäß der Mitgliedschaftsvereinbarung endete diese mit dem Erwerb der Beklagten zu 2).
Die hiesigen 13 Klägerinnen haben vor dem Landgericht Frankfurt am Main Klage eingereicht. Sie halten das Verbot der Beklagten, Entgelte verlangen zu dürfen, für kartellrechtswidrig. Das Landgericht Frankfurt am Main hat mit Zwischenurteil u.a. seine internationale Zuständigkeit bejaht. Die hiergegen eingelegte Berufung der Beklagten hatte auch vor dem OLG keinen Erfolg.
Zu Recht sei das Landgericht von seiner internationalen Zuständigkeit ausgegangen, bestätigte der zuständige 1. Kartellsenat die angefochtene Entscheidung. Die in den Mitgliedschaftsvereinbarungen enthaltene Gerichtsstandsvereinbarung stehe der Zuständigkeit deutscher Gerichte nicht entgegen.
Die Gerichtsstandsvereinbarung sei zwar anfänglich wirksam vereinbart worden. Sie erfasse aber keine Schadensersatzansprüche ab Erwerb der Beklagten zu 1) durch die Beklagte zu 2). Die maßgebliche Regelung sei damit vielmehr außer Kraft getreten.
Es sei auch keine neue Gerichtsstandsvereinbarung für die Folgezeit geschlossen worden. Diese hätte weiterhin nach Unionsrecht der Schriftform bedurft. Entsprechender Vortrag der Beklagten hierfür fehle.
Selbst wenn eine Gerichtsstandsvereinbarung für die Folgezeit bestehen würde, erfasste diese nicht die streitgegenständlichen kartellrechtlichen Ansprüche. Lege man die streitgegenständliche Regelung nach autonomen Unionsrecht aus, erstrecke sie sich nicht auf die hier streitigen kartellrechtlichen Ansprüche. Eine Gesamtschau der maßgeblichen Unionsregelungen und der im deutschen GWB niedergelegten Regelungen zum Zweck der Kartellverbote ergebe, dass nach deutschem Recht deutsche Gerichte ausschließlich international für die vorliegende Klage zuständig seien. Die Kartellverbote im GWB (§§ 19-21) gehörten gemäß höchstrichterlicher Rechtsprechung „zu den elementaren Grundlagen der Rechtsordnung und den grundlegenden Normen des Kartellrechts“, führte der Kartellsenat aus. Keine Rechtsordnung könne es hinnehmen, „dass den staatlichen Einrichtungen, die die Einhaltung dieser Bestimmungen gewährleisten sollen, durch die Akteure - und damit unter Mitwirkung der potentiellen Deliktstäter - die Zuständigkeit entzogen und stattdessen den Einrichtungen fremder Staaten übertragen wird“, vertiefte der Senat.
Die Entscheidung ist nicht rechtskräftig. Der Senat hat wegen grundsätzlicher Bedeutung der Sache die Revision zum BGH zugelassen.
Oberlandesgericht Frankfurt am Main, Urteil vom 22.4.2025, Az. 11 U 68/23 (Kart)
(vorausgehend Landgericht Frankfurt am Main, Urteil vom 5.7.2023, Az. 2-06 O 257/21)
Der BGH hat entschieden, dass ein Verstoß des Zahlungsdienstleisters gegen das Verbot der Mitwirkung an einer Zahlung bei unerlaubtem Glücksspiel nicht zur Unwirksamkeit der der Autorisierung des Zahlers führt.
Leitsatz des BGH:
Ein Verstoß des Zahlungsdienstleisters gegen das Verbot der Mitwirkung an einer Zahlung im Zusammenhang mit unerlaubtem Glücksspiel nach § 4 Abs. 1 Satz 2 Fall 2 des Glücksspielstaatsvertrags 2011 lässt die Wirksamkeit der Autorisierung des Zahlers unberührt.
BGH, Urteil vom 19. September 2023 - XI ZR 343/22 - LG Berlin - AG Charlottenburg
Die Bundesnetzagentur hat diverse Rufnummern, die für Fake-Hotlines zum betrügerischen Erfragen von Kreditkartendaten genutzt wurden, abgeschaltet.
Die Pressemitteilung der Bundesnetzagentur: Bundesnetzagentur schaltet Fake-Hotlines ab
Die Bundesnetzagentur hat mehrere Rufnummern abgeschaltet, die für betrügerische Fake-Hotlines genutzt wurden. Dabei wurde vorgetäuscht, dass es sich um Hotlines verschiedener Fluggesellschaften handele. Die Rufnummern wurden auf gefälschten Internetseiten diverser Fluggesellschaften beworben.
"Wir gehen gegen solche Betrugsversuche vor. Vergewissern Sie sich im Zweifelsfall bei den Fluggesellschaften direkt", rät Klaus Müller, Präsident der Bundesnetzagentur.
Gefahr erheblicher Vermögensschäden
Die angeblichen Mitarbeiter der Fluggesellschaften versuchten auf den falschen Hotlines Personalausweisdaten, Kontoverbindungen und Kreditkartendaten zu erlangen. Regelmäßig wurden Betroffene dazu aufgefordert, eine Software zur Ermöglichung von Fernzugriffen herunterzuladen. Teilweise wurden Zahlungen an unbekannte Dritte ausgelöst. Der Bundesnetzagentur sind Schäden zwischen 200 Euro und 5.000 Euro bekannt.
Vorspiegelung eines Anrufs bei der tatsächlichen Hotline
Anlass für die Abschaltungen waren Beschwerden bei der Bundesnetzagentur beziehungsweisebei den Fluggesellschaften. Kunden wollten zur Umbuchung eines Fluges oder wegen Verlusts eines Gepäckstücks die Kundenhotline kontaktieren. Dabei wurden sie Opfer von Betrügern.
Die missbräuchlich genutzten Rufnummern wurden von den Tätern überwiegend unter Verstoß gegen Namens- und Markenrechte der Fluggesellschaften auf Internetseiten beworben und konnten über gängige Suchmaschinen gefunden werden.
BGH
Urteil vom 28.07.2022 I ZR 205/20
Servicepauschale
UWG § 3a; BGB § 312a Abs. 4 Nr. 1
Der BGH hat entschieden, dass eine Servicepauschale für die Bezahlung von Flugbuchungen im Internet unzulässig und wettbewerbswidrig ist, wenn keine gängige kostenlose Zahlungsweise im Sinne von § 312a Abs. 4 Nr. 1 BGB angeboten wird.
Leitsatz des BGH:
Ein Unternehmer, der Flugbuchungen im Internet anbietet, verlangt ein zusätzliches Entgelt für die Nutzung eines bestimmten Zahlungsmittels, wenn bei den von ihm vorgegebenen Einstellungen zunächst ein Preis angezeigt wird, der nur für den Fall der Zahlung mit bestimmten, nicht im Sinne des § 312a Abs. 4 Nr. 1 BGB gängigen Kreditkarten erhältlich ist, und bei Auswahl anderer Zahlungsmittel eine zusätzliche "Servicepauschale" anfällt (Fortführung von BGH, Urteil vom 24. August 2021 - X ZR 23/20, WRP 2021, 1600).
BGH, Urteil vom 28. Juli 2022 - I ZR 205/20 - OLG Hamburg - LG Hamburg
Das LG München hat entschieden, dass kein individueller Anspruch des Kreditkartenkunden gegen das Kreditkartenunternehmen auf Unterlassung rechtswidriger nicht den Vorgaben der DSGVO entsprechender Datenverarbeitung besteht.
Aus den Entscheidungsgründen:
Der Antrag auf Erlass einer einstweiligen Verfügung ist weder zulässig noch begründet.
I. Der Antrag des Verfügungsklägers erfüllt nicht die Anforderungen des in § 253 Abs. 2 Nr. 2 ZPO verankerten Bestimmtheitserfordernisses. Erforderlich ist ein bestimmter Antrag. Er muss -aus sich heraus verständlich - Art (Leistung, Feststellung, Gestaltung) und Umfang des begehrten Rechtsschutzes nennen und ist damit ein wesentliches Element zur Bestimmung des Streitgegenstandes. Nach der Rechtsprechung des Bundesgerichtshofs (vgl. BGH NJW 1999, 954; NJW 2003, 668, 669; BGH NJW 2013, 1367 Rn. 12; NJW 2016, 317 Rn. 8ff.; NJW 2016, 708 Rn. 8ff.; s. a. BGH NJW 2008, 1384, 1385) ist ein Klageantrag im Allgemeinen dann hinreichend bestimmt, wenn er den erhobenen Antrag konkret bezeichnet, dadurch den Rahmen der gerichtlichen Entscheidungsbefugnis (§ 308 ZPO) absteckt, Inhalt und Umfang der begehrten Entscheidung (§ 322 ZPO) erkennen lässt, das Risiko eines Unterliegens des Klägers nicht durch vermeidbare Ungenauigkeiten auf den Beklagten abwälzt und schließlich eine Zwangsvollstreckung aus dem Urteil ohne eine Fortsetzung des Streits im Vollstreckungsverfahren erwarten lässt. Prüfungsmaßstab für die hinreichende Bestimmtheit ist demnach immer die Eignung des Urteils für die Vollstreckung. Der Verfügungskläger beantragt, es „zu unterlassen, die Plattform Priceless Specials zu betreiben, ohne die Sicherheitsmaßnahmen des PCI DSS-Standards einzuhalten, insbesondere die Plattform beim Bekanntwerden von Sicherheitslücken weiter zu betreiben.“
Dieser Antrag ist - auch nach Abänderung des Antrags in der mündlichen Verhandlung - nicht hinreichend bestimmt, da es an einem vollstreckungsfähigen Inhalt mangelt. Das zu unterlassende Verhalten ist nicht so konkret bezeichnet, dass die Verfügungsbeklagte ihr Risiko erkennen und ihr Verhalten darauf einrichten könnte. Die Verfügungsbeklagte müsste absehen können, wann eine Vollstreckungshandlung aufgrund einer Zuwiderhandlung droht. Dies ist vorliegend nicht der Fall. Die Problematik ausreichender Bestimmtheit ist bei Unterlassungsanträgen parallel zu der Frage der Vollstreckbarkeit des jeweils geschaffenen Titels nach § 890 ZPO zu beantworten. Sowohl hinsichtlich des Antrags nach § 253 Abs. 2 Nr. 2 ZPO als auch bezogen auf § 890 Abs. 1 ZPO muss die Verfügungsbeklagte erkennen können, welche Leistung sie zu erbringen hat.
Zwar muss der Verfügungsbeklagten als potentielle Störerin grundsätzlich die Wahl zwischen mehreren Möglichkeiten der Beseitigung offen bleiben, jedoch muss durch den Antrag weiterhin dem Bestimmtheitserfordernis des § 253 Abs. 2 Nr. 2 ZPO Rechnung getragen werden. Ein unbestimmter Tenor wäre nicht vollstreckbar. Diesem Erfordernis ist der Antragsteller nicht hinreichend nachgekommen. Aus dem Antrag ist nicht hinreichend ersichtlich, welche Maßnahmen die Verfügungsbeklagte konkret zur Erfüllung ihrer Pflicht zu ergreifen hat. Ohne eine solche Konkretisierung ist für die Verfügungsbeklagte aber nicht klar, wann sie ihrer Pflicht Genüge getan hat und wann sie sich einer Haftung bzw. einer Vollstreckung aussetzen würde. Die Grenzen sind für sie in keiner Weise ersichtlich. Die ausreichende Bestimmtheit des Antrags ergibt sich auch nicht aus dem PCI DSS-Standard. Der PCI DSS enthält durchaus Anforderungen an die Sicherheitsstandards für Kreditkartendaten. Gegenstand des Antrags sind jedoch nicht bestimmte Anforderungen des PCI DSS, gegen die die Verfügungsbeklagte verstoßen haben soll und die zu dem Sicherheitsvorfall geführt haben sollen. Demzufolge fehlt es an der erforderlichen und zumutbaren Konkretisierung. Darüber hinaus ist für das Vollstreckungsgericht - auch angesichts des umfassenden Regelwerks des PCI DSS-Standards - nicht hinreichend deutlich, welche Maßnahmen zu welchem Zeitpunkt von der Verfügungsbeklagten veranlasst werden müssten.
II.
Des Weiteren fehlt vorliegendem Antrag das Rechtsschutzbedürfnis, da der Verfügungskläger die Möglichkeit hat, der maschinellen Verarbeitung seiner Daten durch die Verfügungsbeklagte zu widersprechen und die Vertragsbindung hinsichtlich seiner Kreditkarte zu beenden. Nach Ansicht des Gerichts kann der Verfügungskläger mit den Ausführungen, dass die „Hau doch ab, wenn's dir nicht passt!“-Argumentation der Verfügungsbeklagten der Tatsache nicht gerecht werde, dass der Verfügungskläger ein Interesse daran haben dürfe, die Vorzüge des Bonusprogramms der Verfügungsbeklagten weiterhin zu nutzen und dass es allein Aufgabe der Verfügungsbeklagten sei, die gesetzlich vorgesehenen Maßnahmen zu ergreifen, um eine sichere Verarbeitung der Daten des Verfügungsklägers zu gewährleisten, nicht durchdringen. Seitens des Gerichts kann schon nicht nachvollzogen werden, weshalb der Verfügungskläger, der der Verfügungsbeklagten als seiner Vertragspartnerin offensichtlich nicht mehr das nötige Vertrauen entgegenbringt, dass diese die hohen Sicherheitsstandards einhält, trotzdem die Vertragsbeziehungen aufrechterhalten will. Unabhängig davon ist zwingende Prozessvoraussetzung ein allgemeines Rechtsschutzinteresse oder Rechtsschutzbedürfnis, d.h. ein schutzwürdiges Interesse an der gerichtlichen Geltendmachung des eingeklagten Rechts. Das Rechtsschutzbedürfnis kann fehlen, wenn das verfolgte Begehren auf einem einfacheren Weg zu erlangen ist (BGH NJW-RR 2010, 19). Dies ist vorliegend der Fall: Die Möglichkeit, der maschinellen Verarbeitung seiner Daten zu widersprechen und die Vertragsbindung hinsichtlich seiner Kreditkarte zu beenden, wäre der einfachere Weg für den Verfügungskläger, seine Bedenken im Hinblick auf die Verarbeitung seiner personenbezogenen Daten auszuräumen. Mit diesem schnelleren und billigeren Mittel des Rechtsschutzes lässt sich vergleichbar sicher oder wirkungsvoll das erforderliche Rechtsschutzziel - der Schutz der Daten des Verfügungsklägers - herbeiführen.
III.
Darüber hinaus ist der Antrag auch unbegründet. Begründet ist der Antrag auf Erlass einer einstweiligen Verfügung, wenn der Verfügungskläger einen Verfügungsanspruch und einen Verfügungsgrund schlüssig behauptet und glaubhaft macht. Ein Verfügungsgrund liegt vor, wenn durch die Änderung eines bestehenden Zustands die Verwirklichung eines Rechts des Antragstellers vereitelt oder wesentlich erschwert werden könnte. Es kommt darauf an, ob Umstände vorliegen, die nach dem Urteil eines objektiven, vernünftigen Menschen befürchten lassen, dass die Anspruchsverwirklichung durch die Veränderung der gegebenen Umstände vereitelt oder wesentlich erschwert werden könnte. In Betracht kommt etwa eine bevorstehende Rechtsverletzung. Glaubhaft gemacht werden Verfügungsanspruch und Verfügungsgrund nach § 294 ZPO. Der erforderliche Grad an Gewissheit ist bereits erreicht, wenn sich aus dem Vortrag des Antragstellers die überwiegende Wahrscheinlichkeit dafür ergibt, dass sie zutrifft (BGH NJW 03, 3558).
1. Vorliegend fehlt es bereits an einem Verfügungsanspruch. Das Recht auf Unterlassung rechtswidriger Datenverarbeitung ist nicht als solches in der Datenschutz-Grundverordnung verankert. Diese konkretisiert zwar das primärrechtlich verbürgte Recht auf Schutz persönlicher Daten, aber eben nur, soweit sie die Ausprägungen dieses Rechts normiert. Die bloße verordnungswidrige Datenverarbeitung stellt gerade noch keine Rechtsverletzung dar (vgl. hierzu Kreßeydow, Europäische Datenschutzverordnung 2. Auflage 2018, Rn. 10 ff.; BeckOK Datenschutzrecht, Wolff/Brink, Art. 82 Rn. 11 f.; Spindler/Schuster, Recht der elektronischen Medien, 4. Auflage 2019, Rn. 7 ff.).
Ein Anspruch aus § 1004 BGB ist nicht hinreichend glaubhaft gemacht. Voraussetzung des Unterlassungsanspruchs ist das Vorliegen einer Beeinträchtigungsgefahr. Diese ist entweder Wiederholungsgefahr, wenn es in der Vergangenheit bereits zu einer Beeinträchtigung gekommen ist, oder Erstbegehungsgefahr, wenn aufgrund objektiver Umstände eine erstmalige Beeinträchtigung unmittelbar bevorsteht. Nach dem Vortrag des Verfügungsklägers lässt sich vorliegend eine Glaubhaftmachung weder im Hinblick auf eine Wiederholungs- noch auf eine Erstbegehungsgefahr ableiten. Bereits nach dem Vortrag des Verfügungsklägers ist es in der Vergangenheit nicht zu einer vollendeten Beeinträchtigung gekommen, demzufolge eine Vermutung der Wiederholungsgefahr schon nicht in Betracht kommt. Des Weiteren hat die Verfügungsbeklagte hinreichend dargelegt und glaubhaft gemacht, welche Maßnahmen sie nach Bekanntwerden des Vorfalls ergriffen hat. Dass diese Maßnahmen unzureichend wären, zeigt der Verfügungkläger nicht auf - insbesondere auch nicht, was seitens der Verfügungsbeklagten noch veranlasst wäre. Die Verfügungsbeklagte hat glaubhaft gemacht, dass die streitgegenständliche Plattform nicht mehr in Betrieb ist (Anlage AG 22). Daran ändert auch der Umstand nicht, dass sie unstreitig zwischenzeitlich wieder kurzfristig über die Internetseite der „…“ online war. Die Verfügungsbeklagte hat diese für einen begrenzten Zeitraum bestehende Erreichbarkeit mit der forensischen Untersuchung und diesbezüglichen IT-Checks erklärt. Eine Wiederholung des streitgegenständlichen Datenlecks würde voraussetzen, dass sich die Verfügungsbeklagte nicht nur entscheidet, dass die Plattform wieder online gestellt wird, sondern auch, dass die Plattform unverändert wieder online stellt, ohne irgendwelchen weiteren Sicherheitsmaßnahmen zu ergreifen. Das Vorliegen einer Wiederholungsgefahr ergibt sich auch nicht aus dem Vortrag des Verfügungsklägers, dass die Internetseite „Priceless Specials“ bereits unter einer anderen URL wieder erreichbar sei. Die Verfügungsbeklagte hat in diesem Zusammenhang glaubhaft gemacht, dass es sich hierbei um eine reine Testumgebung ohne Zugriff auf personenbezogene Daten von „Priceless Specials“-Nutzern handelt. Der Verfügungskläger konnte auf Nachfrage des Gerichts im Rahmen der mündlichen Verhandlung insbesondere schon keine Angaben dazu machen, ob unter der von ihm genannten URL eine Anmeldung mit seinen bisherigen Login-Daten möglich ist.
2. Darüber hinaus steht dem Verfügungskläger auch kein Verfügungsgrund zu.
Ein Verfügungsgrund besteht nach § 935 ZPO, wenn zu besorgen ist, dass durch eine Veränderung des bestehenden Zustandes die Verwirklichung des Rechtes einer Partei vereitelt oder wesentlich erschwert werden könnte (sog. Sicherungsverfügung) bzw. nach § 940 ZPO, wenn in Bezug auf ein streitiges Rechtsverhältnis die Regelung zur Abwendung wesentlicher Nachteile oder zur Verhinderung drohender Gewalt oder aus anderen Gründen nötig erscheint (sog. Regelungsverfügung). Über den Wortlaut der §§ 935, 940 ZPO hinaus lässt die Rechtsprechung jedoch ausnahmsweise eine sog. Leistungs- oder Befriedigungsverfügung zu, deren Inhalt auf die (vollständige oder teilweise) Befriedigung des Verfügungsanspruchs gerichtet ist.
Um eine solche geht es dem Verfügungskläger hier, da sein als Unterlassungsantrag formuliertes Begehren nicht lediglich auf eine zukünftige Untätigkeit der Verfügungsbeklagten, sondern auf ein Verhalten gerichtet ist, welches den Nichteintritt einer aus Sicht des Antragstellers (erneut) drohenden Beeinträchtigung seines Allgemeinen Persönlichkeitsrechts bewirkt, insbesondere die Vornahme von (im Einzelnen nicht konkretisierten) Sicherungsmaßnahmen. Dabei geht es dem Verfügungskläger offensichtlich nicht um eine Hilfestellung bei der Eindämmung der aus dem bereits erfolgten Datenverlust resultierenden Gefahren und auch nicht um die Abwehr einer sich konkret abzeichnenden Wiederholungsgefahr. Inhaltlich stellt dies nichts anderes dar als das Begehren einer ordnungsgemäßen Vertragsdurchführung in ihrer gesamten Weite.
Eine Leistungsverfügung kann aber ganz generell nur in engen Ausnahmefällen zugelassen werden, weil sie letztlich über den gesetzlichen Wortlaut der §§ 935, 940 ZPO hinausgeht und dabei im Rahmen eines nur summarischen Verfahrens dem Verfügungskläger bereits all das gewährt, was er auch nach Durchführung eines Hauptsacheverfahrens erreichen könnte. Um diese strengen Voraussetzungen zu erfüllen, muss der Verfügungskläger im Einzelfall darlegen und glaubhaft machen, dass er derart dringend auf die sofortige Erfüllung seines Leistungsanspruchs angewiesen ist und andernfalls derart erhebliche wirtschaftliche Nachteile erleiden würde, dass ihm ein Zuwarten, soweit nach Art des Anspruchs überhaupt möglich, oder eine Verweisung auf die spätere Geltendmachung von Schadensersatzansprüchen nach Wegfall des ursprünglichen Erfüllungsanspruchs nicht zumutbar ist (Zöller/Vollkommer, ZPO, 32. Aufl., § 940 Rn 6 m. w. N.). Dabei ist nicht nur die Frage zu stellen, ob die geschuldete Leistung nur innerhalb eines bestimmten Zeitraums vorgenommen werden kann und die rechtzeitige Erwirkung eines (Hauptsache-)Titels im Klageverfahren für diesen bestimmten Zeitraum nicht möglich ist. Vielmehr muss insgesamt eine Interessenabwägung durchgeführt werden, da dem Interesse des Verfügungsklägers an der Gewährung effektiven Rechtsschutzes vielfach das nicht weniger schutzwürdige Interesse der Verfügungsbeklagten gegenübersteht, nicht in einem mit nur eingeschränkten Erkenntnis- und Beweismöglichkeiten ausgestalteten summarischen Verfahren zu einer Erfüllung des umstrittenen Anspruchs verpflichtet zu werden. Der Erlass einer auf endgültige Anspruchsbefriedigung gerichteten einstweiligen Verfügung kommt somit allein dann in Betracht, wenn der dem Verfügungskläger aus der Nichterfüllung drohende Schaden außer Verhältnis zu demjenigen Schaden steht, der der Verfügungbeklagten aus der sofortigen Erfüllung droht.
Diese strengeren Voraussetzungen für den Erlass einer Leistungsverfügung hat der Verfügungskläger jedoch weder hinreichend dargelegt, noch glaubhaft gemacht. Es ist nicht erkennbar, warum er derart dringend auf die sofortige Erfüllung seines Leistungsanspruchs angewiesen sein soll und andernfalls derart erhebliche wirtschaftliche Nachteile erleiden würde, dass ihm ein Zuwarten oder eine Verweisung auf die spätere Geltendmachung von Schadensersatzansprüchen nach Wegfall des ursprünglichen Erfüllungsanspruchs nicht zumutbar ist. Dass die Verfügungsbeklagte sensible personenbezogene Daten des Verfügungsklägers mit einem erheblichen Missbrauchspotential verarbeite und bei Fortdauer der Datenverarbeitung weitere unbefugte Zugriffe auf die Nutzerdatenbank zu befürchten seien, reicht als Begründung dafür, dass ein weiteres Zuwarten nicht zumutbar ist, nicht aus, zumal der Verfügungskläger schon auf der Ebene der Wiederholungsgefahr eine solche nicht glaubhaft machen konnte. Natürlich ist die Verfügungsbeklagte gegenüber dem Verfügungskläger und den anderen Bonusprogramm-Teilnehmern verpflichtet, für die Sicherheit deren Daten Sorge zu tragen, wenn sie diese verarbeitet. Sicherungsmaßnahmen im einstweiligen Rechtsschutz sind aber nur möglich, wenn konkrete Möglichkeiten zur Sicherung bekannt sind, um ein erneutes Datenleck zu vermeiden. Der Verfügungskläger hat schon nicht dargelegt, dass die Einhaltung der Sicherheitsmaßnahmen des PCI DSS-Standards ein neues Datenleck vermeiden würde.
Das LG Düsseldorf hat entschieden, dass der Teilnehmer an einem unzulässigen Online-Glücksspiel hat keinen Anspruch auf Erstattung seiner Verluste aus Einsätzen gegen Kreditkartenunternehmen, über welches dieser seine Einsätze bezahlt hat.
Die zulässige Klage ist nicht begründet. Der Kläger hat unter keinem rechtlichen Gesichtspunkt einen Anspruch gegen die Beklagte auf Erstattung seiner Verluste aus Einsätzen bei Online-Glücksspielen.
I. Der Kläger kann seine Ansprüche nicht aus § 280 BGB wegen Verletzung einer Nebenpflicht aus dem Kreditkartenvertrag herleiten.
1. Wenn das Vertragsunternehmen ordnungsgemäße Belastungsbelege einreicht, darf das Kreditkartenunternehmen die Zahlung an das Vertragsunternehmen grundsätzlich für erforderlich halten, ohne zu prüfen, ob dem Vertragsunternehmen eine wirksame Forderung gegen den Karteninhaber zusteht (BGH, Urteil vom 24. September 2002 – XI ZR 420/01 –, juris Rn. 18).
Soweit der Bundesgerichtshof in einem Fall Kontrollpflichten des Kreditkartenunternehmens angenommen hat, betraf dies zum einen das Verhältnis zwischen Aquirer und Vertragsunternehmen, zum anderen lag der Entscheidung ein besonderer Fall zugrunde, in dem ein Besteller unter Ausnutzung des besonders für Missbrauch anfälligen Mailorderverfahrens mit mehreren Kreditkarten zahlte (BGH, Urteil vom 13.01.2004 – XI ZR 479/02). Diese Konstellation lässt sich nicht ohne weiteres auf den vorliegenden Fall übertragen. Demgegenüber hat der Bundesgerichtshof nachfolgend nochmals bekräftigt, dass nur in Ausnahmefällen Warn- und Hinweispflichten der Kreditinstitute zum Schutz ihrer Kunden vor drohenden Schäden bestehen können (BGH, Urteil vom 06. Mai 2008 – XI ZR 56/07 –, juris Rn. 14). Danach hat ein Kreditinstitut, das aufgrund massiver Anhaltspunkte den Verdacht hegt, dass ein Kunde bei der Teilnahme am bargeldlosen Zahlungsverkehr durch eine Straftat einen anderen schädigen will, diesem gegenüber eine Warnpflicht (BGH, Urteil vom 06. Mai 2008 – XI ZR 56/07 – juris, Rn. 15).
2. Derartige massive oder offensichtliche Anhaltspunkte lagen hier nicht vor.
Das Landgericht München hat dazu in einem vergleichbaren Fall ausgeführt, das Kreditkartenunternehmen sei nicht verpflichtet gewesen, die genutzten Glücksspielangebote mit der „WHITE-LIST“ der deutschen Bundesländer abzugleichen, um eine evtl. Illegalität zu erkennen. Ein solcher Prüfaufwand gehe über die normale Bearbeitung der Zahlungsvorgänge hinaus und oblag dem Kreditkartenunternehmen gerade nicht. Dieses habe vielmehr von einem rechtstreuen Verhalten des Beklagten ausgehen können und habe nicht mit einem evtl. Verstoß gegen § 285 StGB rechnen müssen. Überdies erscheine eine Überprüfung auch kaum möglich, da zunächst nicht erkennbar ist, von wo aus der Kreditkarteninhaber die Glücksspielangebote angenommen hat und welche Spiele er tatsächlich gespielt hat. Im Ausland ist nämlich eine Vielzahl von Glücksspielangeboten legal. Ebenso wenig sei erkennbar, ob jedes einzelne vom Beklagten wahrgenommene Spiel tatsächlich unerlaubtes Glücksspiel darstellt (LG München I, Urteil vom 28. Februar 2018 – 27 O 11716/17 –, Rn. 30 - 32, juris; bestätigt durch OLG München Verfügung vom 06. Februar 2019 – 19 U 793/18.
Die Kammer schließt sich dieser Argumentation an. Insbesondere wird die White List (Anlage B 7) ständig aktualisiert und ist zudem unstreitig nicht immer vollständig. Ferner ergaben sich für die Beklagte auch nicht aus dem für die Transaktion verwandten Merchant Category Code (MCC) zwingende Anhaltspunkte dafür, dass es sich um illegales Glücksspiel handelte (so aber AG Leverkusen, Urteil vom 19.02.2019, 26 C 46/18, Anlage L 9). Der MCC-Code mit der Nr. 7995 erfasst nämlich auch legale Glücksspielangebote wie Sportwetten und staatliche Lotterien (vgl. Liste der MCC Anlage B 5). Diese Problematik ergibt sich im Übrigen auch aus dem vom Kläger auszugsweise vorgelegten Ergebnisprotokoll zur Konferenz der Chefs der Staats- und Senatskanzleien der Länder vom 21.02.2019 (Protokoll S. 6, Anlage L 8), wo hervorgehoben wird, dass gerade die Vermischung von legalen und illegalen Angeboten unter derselben Dachmarke die Trennbarkeit in der Praxis erschwert. Anders mag der Fall zu beurteilen sein, wenn ein Zahlungsdienstleister ein Online-Bezahlsystem speziell für Glücksspiel- und Wettanbieter zur Verfügung stellt und auf seiner Internetseite zudem noch auf solche Anbieter verlinkt (so AG Wiesbaden, Urteil vom 16.06.2017, 92 C 4323/16, Anlage L 10).
II. Der Kläger hat gegen die Beklagte auch keine Kondiktionsansprüche aus § 812 Abs. 1 S. 1, 1. Alt. BGB.
1. Der Kläger beruft sich ohne Erfolg darauf, die Beklagte habe sein Konto nicht mit den für illegales Online-Glücksspiel aufgewandten Kartenumsätzen belasten dürfen, da ihr insoweit wegen rechtsmissbräuchlicher Inanspruchnahme des Klägers kein Aufwendungsersatzanspruch zugestanden habe.
Der zwischen den Parteien geschlossene Kreditkartenvertrag ist als Zahlungsdiensterahmenvertrag im Sinne des § 675 f I BGB zu qualifizieren (BGH Urteil vom 23.10.2014, IX ZR 290/13). Dadurch wird der Kreditunternehmer verpflichtet, die Verbindlichkeiten des Karteninhabers bei Vertragsunternehmen zu tilgen. Kommt er dieser Verpflichtung nach, so steht ihm ein Aufwendungsersatzanspruch gegen den Karteninhaber nach §§ 675 c Abs. 1, 670 BGB zu (BGH, Urteil vom 24. September 2002 – IX ZR 420/01 –, juris Rn. 10).
Damit ist zunächst einmal unerheblich, dass die Transaktionen dem illegalen Glücksspiel dienten. Dies hat für die Wirksamkeit des Kreditkartenvertrags und des damit einhergehenden Anspruchs der Klägerin keine Auswirkungen. Etwaige Einwendungen aus dem Valutaverhältnis kann der
Die Zahlung des Kreditkartenunternehmens an das Vertragsunternehmen ist allerdings ausnahmsweise dann keine Aufwendung, die das Kreditkartenunternehmen für erforderlich halten darf, wenn das Vertragsunternehmen das Kreditkartenunternehmen rechtsmissbräuchlich in Anspruch nimmt (vgl. BGH, Urteil vom 16. April 2002 - XI ZR 375/00). Dann ist das Kreditkartenunternehmen zur Zahlungsverweigerung nicht nur berechtigt, sondern aufgrund des Geschäftsbesorgungsvertrages mit dem Karteninhaber auch verpflichtet. Da das Vertragsunternehmen mit der Unterzeichnung des Belastungsbelegs durch den Karteninhaber einen abstrakten Zahlungsanspruch aus § 780 BGB gegen das Kreditkartenunternehmen erwirbt mit der Folge, daß diesem Anspruch - ähnlich wie beim Akkreditiv - Einwendungen aus dem Valutaverhältnis, vorbehaltlich abweichender vertraglicher Vereinbarungen, nicht entgegengehalten werden können, liegt eine rechtsmissbräuchliche Inanspruchnahme des Kreditkartenunternehmens nur vor, wenn das Vertragsunternehmen seine formale Rechtsposition ersichtlich treuwidrig ausnutzt. Das ist nur dann der Fall, wenn offensichtlich oder liquide beweisbar ist, dass dem Vertragsunternehmen eine Forderung aus dem Valutaverhältnis gegen den Karteninhaber nicht zusteht (BGH, Urteil vom 24. September 2002 – XI ZR 420/01 –, BGHZ 152, 75-83, juris Rn. 19).
Ein solcher evidenter Mangel im Valutaverhältnis war für die Beklagte hier gerade nicht erkennbar. Die vorstehenden Ausführungen zu etwaigen Kontrollpflichten für Kreditkartenunternehmen gelten insoweit entsprechend.
2. Ein Aufwendungsersatzanspruch der Beklagten scheitert auch nicht an der Nichtigkeit der Zahlungsautorisierung durch den Kläger. Die Autorisierungen sind nicht nichtig gemäß § 134 BGB i.V.m. § 4 Abs. 1 S. 2, Abs. 5 GlüStV.
Das Oberlandesgericht München (Verfügung vom 06. Februar 2019 – 19 U 793/18 –, Rn. 6, juris) hat dazu folgendes ausgeführt: „Zwar stellt die Erweiterung in § 4 Abs. 1 S. 2 des Glücksspielstaatsvertrages klar, dass auch die Mitwirkung an Zahlungen im Zusammenhang mit unerlaubtem Glücksspiel verboten ist. Allerdings ist nach den Erläuterungen zum Glücksspielstaatsvertrag die Regelung des § 4 Abs. 1 S. 2 im Zusammenhang mit den Überwachungsbefugnissen der Glücksspielaufsicht in § 9 zu sehen und erweitert die Möglichkeiten der Inanspruchnahme Dritter als verantwortliche Störer, soweit sie zuvor auf die unerlaubte Mitwirkung an verbotenem Glücksspiel hingewiesen wurden (Erläuterungen zum GlüStV, Stand: 7. Dezember 2011, S. 17). Die Regelung in § 9 Abs. 1 Satz 3 Nr. 4 dient - so die Motive - der Klarstellung und Konkretisierung von § 4 Abs. 1 Satz 2. Danach können die am Zahlungsverkehr Beteiligten, insbesondere die Kredit- und Finanzdienstleistungsinstitute einschließlich E-Geld-Institute (Nr. 4) im Wege einer dynamischen Rechtsverweisung als verantwortliche Störer herangezogen werden, sofern ihnen zuvor die Mitwirkung an unerlaubten Glücksspielangeboten von der Glücksspielaufsichtsbehörde mitgeteilt wurde. Dies setzt voraus, dass der Veranstalter oder Vermittler des unerlaubten Glücksspielangebotes zuvor vergeblich - insbesondere wegen eines Auslandsbezuges - in Anspruch genommen wurde (Erläuterungen zum GlüStV, Stand: 7. Dezember 2011, S. 32).“
Dem schließt sich die Kammer vorbehaltlos an. Aus den Erläuterungen zu § 4 Abs. 1 GlüStV (Anlage B 12, dort S. 17) folgt, dass die Regelungen in § 4 und § 9 im Zusammenhang zu sehen sind (ebenso LG Berlin, Urteil vom 16.04.2019, 37 O 367/18, Anlage B 16; Bolay/Pfütze in Streinz/Liesching/Hambach, Kommentar zum Glücks- und Gewinnspielrecht in den Medien, § 4 Rn. 50, Anlage B 6). Wie in dem vom Oberlandesgericht München entschiedenen Fall ist auch hier nicht ersichtlich, dass das Kreditkartenunternehmen vor Begleichung der entstandenen Forderungen einen derartigen Hinweis durch die Glücksspielaufsicht erhalten hätte oder, dass die Beklagte positiv wusste, dass diese Forderungen auf Einsätzen beim Glücksspiel beruhen.
Ergänzend nimmt die Kammer dabei auch auf die dem Urteil des Oberlandesgericht München zugrunde liegende Entscheidung des Landgerichts München I Bezug, in der es ausführt: „Überdies ist der Schutzzweck gem. § 1 des GlüStV, das Entstehen von Glücksspielsucht und Wettsucht zu verhindern und den natürlichen Spieltrieb der Bevölkerung in geordnete und überwachte Bahnen zu lenken und sicher zu stellen, dass u.a. die mit Glücksspielen verbundene Folge- und Begleitkriminalität abgewehrt wird. Dieses Ziel werde geradezu torpediert, wenn davon auszugehen wäre, dass eine Nichtigkeit der Autorisierung von Zahlungsvorgängen vorläge. Dann würde das in der Regel gutgläubige Kreditinstitut auf den Aufwendungen sitzenbleiben und dem Spieler sozusagen einen Freibrief erteilt, weil der verspielte Einsatz sogleich von der Bank erstattet würde und der Spieler keine finanziellen Einbußen oder Risiken eingehen würde. Der Spieler könnte unter diesen Umständen Glücksspiel ohne jegliches finanzielle Risiko ausführen. Es könnte vielmehr ein bösgläubiger Teilnehmer am Glücksspiel, der sich letztendlich nach § 285 StGB strafbar macht, gutgläubige Zahlungsinstitute für rechtswidrige Aktivitäten einspannen“ (LG München I, Urteil vom 28. Februar 2018 – 27 O 11716/17 –, Rn. 27, juris).
III.
Schließlich steht dem Beklagten auch kein Schadensersatzanspuch gemäß § 823 Abs. 2 BGB i.V.m. § 4 Abs. 1 S. 2 GlüStV zu.
Zur Vermeidung von Wiederholungen wird dazu vollumfänglich auf vorstehende Ausführungen Bezug genommen.
PSD 2: BaFin ermöglicht Erleichterungen bei Kundenauthentifizierung
Zahlungsdienstleister mit Sitz in Deutschland dürfen Kreditkartenzahlungen im Internet ab dem 14. September 2019 vorerst auch ohne Starke Kundenauthentifizierung ausführen. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) wird dies zunächst nicht beanstanden. Sie will damit Störungen bei Internet-Zahlungen verhindern und einen reibungslosen Übergang auf die neuen Anforderungen der Zweiten Zahlungsdiensterichtlinie (Payment Services Directive 2 – PSD 2) ermöglichen.
Ab dem 14. September 2019 ist bei Online-Zahlungen eine starke Kundenauthentifizierung notwendig. Diese soll das Einkaufen im Internet sicherer machen. Bei Kreditkartenzahlungen reicht es dann nicht mehr aus, lediglich die Kreditkartennummer und Prüfziffer einzugeben. Kunden müssen zusätzlich beispielsweise eine Transaktionsnummer (TAN), die zuvor an ihr Mobiltelefon gesendet wurde, und außerdem ein Passwort nennen.
Nach Einschätzung der BaFin sind die kartenausgebenden Zahlungsdienstleister in Deutschland auf die neuen Anforderungen vorbereitet. Anders sieht dies bei den Unternehmen aus, die Kreditkartenzahlungen im Internet als Zahlungsempfänger nutzen. Bei ihnen besteht nach wie vor erheblicher Anpassungsbedarf. Damit Verbraucher und Unternehmen dennoch weiterhin online mit der Kreditkarte bezahlen können, wird die BaFin für Kreditzahlungen im Internet vorübergehend nicht auf einer Starken Kundenauthentifizierung bestehen. Diese Möglichkeit hatte die Europäische Bankenaufsichtsbehörde (EBA) den nationalen Aufsehern eingeräumt. Das bereits heute bei Internetzahlungen übliche Sicherheitsniveau bleibt erhalten. Zivilrechtliche Haftungsregelungen, etwa zwischen dem Kreditkarteninhaber und dem Zahlungsdienstleister, bleiben von der Maßnahme unberührt, so dass für Verbraucher und andere Zahler im Internet kein Nachteil entsteht.
Die Erleichterungen sind zeitlich befristet. Wann sie auslaufen, wird die BaFin festlegen, nachdem sie die Markteilnehmer konsultiert und sich mit der EBA und den nationalen europäischen Aufsichtsbehörden abgestimmt hat. In der Zwischenzeit erwartet die BaFin, dass alle Beteiligten ihre Infrastrukturen so schnell wie möglich so anpassen, dass diese in den gesetzlich vorgesehenen Fällen eine Starke Kundenauthentifizierung ermöglichen. Dazu sind konkrete Migrationspläne zu erarbeiten. Die Erleichterungen betreffen ausschließlich Kreditkartenzahlungen im Internet.
Hintergrund zur PSD2
Die PSD 2 verpflichtet Zahlungsdienstleister, ab dem 14. September 2019 eine Starke Kundenauthentifizierung durchzuführen, wenn der Zahler einen elektronischen Zahlungsvorgang auslöst. Die Vorgaben gelten in der gesamten Europäischen Union.
Bei der Starken Kundenauthentifizierung werden zwei voneinander unabhängige Elemente verwendet. Diese müssen aus zwei der drei Kategorien Wissen, Besitz und Inhärenz stammen. Beispiele dafür sind ein Passwort (Wissen), ein Mobiltelefon (Besitz) oder ein persönlicher Fingerabdruck (Inhärenz).
Die Vorgaben zur Starken Kundenauthentifizierung gelten auch bei Kreditkartenzahlungen im Internet. Die bislang übliche Authentifizierung über die Eingabe von Kreditkartennummer und Prüfziffer erfüllt die neuen Vorgaben nicht. Vielmehr sind auch hier zusätzlich zwei Elemente aus den erwähnten Kategorien zu verwenden. Ausnahmen von den neuen Anforderungen sind eng begrenzt und betreffen beispielsweise bestimmte Kleinbetragszahlungen.
In Ausgabe 3/2018, S. 18 der Zeitschrift Internet World Business erschien ein Beitrag von Rechtsanwalt Marcus Beckmann mit dem Titel "Schluss mit Zuschlägen - Keine Zusatzentgelte für Zahlung per Überweisung, Lastschrift und Kreditkarte".
