LG Heilbronn: PushTAN-Verfahren weist erhöhtes Gefährdungspotential auf so dass kein Anscheinsbeweis für die Autorisierung einer Zahlungsanweisung im Sinne von § 675w BGB besteht
LG Heilbronn
Urteil vom 16.05.2023
Bm 6 O 10/23
Das LG Heilbronn hat entschieden, dass das PushTAN-Verfahren ein erhöhtes Gefährdungspotential aufweist, so dass kein Anscheinsbeweis für die Autorisierung einer Zahlungsanweisung im Sinne von § 675w BGB besteht.
Aus den Entscheidungsgründen:
Der Anspruch des Klägers aus § 675u S.2 BGB ist zunächst entstanden.
DievomKlägererklärteKlageänderungnachHinweisdesGerichtsistgem.§264Nr. 2ZPOzulässig.AlsRechtsfolgegewährt § 675u S. 2 BGB einen Erstattungsanspruch. „Erstattung“ ist der Oberbegriff für die Auszahlung und die Stornobuchung,
d.h. die Wertstellung in Höhe der nicht autorisierten Zahlung. Der Anspruch ist in der Regel auf Wertstellung in Höhe der nicht autorisierten Zahlung gerichtet, nicht unmittelbar auf Zahlung.
Die streitgegenständlichen Überweisungen von den Konten des Klägers waren von diesen auch nicht autorisiert. Nach der Legaldefinition des § 675j Abs. 1 S. 1 BGB ist die Autorisierung die wirksame Zustimmung des Zahlers zum Zahlungsvorgang, welche nach § 675j Abs. 1 S. 2 BGB als Einwilligung oder, sofern zwischen dem Zahler und seinem Zahlungsdienstleister zuvor vereinbart, auch als Genehmigung erteilt werden kann. Selbst eine Stellvertretung ist insoweit grundsätzlich möglich (Jungmann in: Münchener Kommentar zum BGB, 8. Aufl., § 675j Rz. 14; Berger in: Jauernig, BGB, 18. Aufl., § 675j Rz. 1; differenzierend Köndgen in: beck-online.GROSSKOMMENTAR, Stand: 01.04.2022, § 675j BGB Rz. 17 ff.; Schmalenbach in: BeckOK BGB, 62. Ed., Stand: 01.05.2022, § 675j Rz. 3).
Die vereinzelt vertretene Ansicht, dass in Fällen, in denen der Nutzer seine persönlichen Daten in die Eingabemaske einer manipulierten Webseite eingibt und sie somit unbewusst an den Angreifer weiterleitet, das Einverständnis des Nutzers zu den durch den Angreifer sodann durchgeführten Zahlungsvorgängen nach den Grundsätzen der Rechtscheinsvollmacht zuzurechnen sei (z.B. LG Darmstadt, Urteil v. 28.08.2014, Az. 28 O 36/14, juris Rz. 37 ff.), ist abzulehnen. Gleiches muss für die vorliegende Sonderform des telefonischen Abgreifens der TAN gelten. Die Grundsätze über die Duldungs- und Anscheinsvollmacht finden in Bezug auf die Zustimmung i.S.v. § 675j BGB richtigerweise keine Anwendung (BGH, Urteil v. 26.01.2016, Az. XI ZR 91/14, Rz. 55 ff.; Urteil v. 16.06.2015, Az. XI ZR 243/13, Rz. 22 ff.; Köndgen in: beck-online.GROSSKOMMENTAR, Stand: 01.04.2022, § 675j BGB Rz. 20; Schulte-Nölke in: Schulze, BGB, 11. Aufl., § 675j Rz. 2;).
Der Kläger trägt vor, dass er keine der streitgegenständlichen Überweisungen veranlasste, sondern ein unbekannter Dritter ohne sein Wissen und Wollen mit der vermeintlich für andere Maßnahmen abgefragten TAN-Nummern, entgegen der Erwartung, diese TANs seien für die Rückgängigmachung der erfolgten Überweisungen erforderlich. Dies wird von der Beklagten letztlich zugestanden, so dass es auf die Frage der Darlegungs- und Beweislast für die Autorisierung der Überweisungen - welche gemäß § 675w S. 1 BGB bei der Beklagten läge - vorliegend nicht ankommt.
Abgesehen davon gilt nach Auffassung des Gerichts, dass nicht nur das klassische PIN/TAN-Verfahren, bei dem die jeweils zu verwendende TAN vom Zahlungsdienstnutzer selbst ausgewählt werden kann, die für einen Anscheinsbeweis erforderliche sehr hohe Wahrscheinlichkeit vermissen lässt (ähnlich LG Bonn 19.12.2003 - 2 O 472/03, MMR 2004, 179, 180 = CR 2004, 218), sondern auch das vorliegend zur Anwendung kommende pushTAN-Verfahren, in dem die TAN auf dem Mobiltelefon in einem anderen Programm (App) angezeigt wird, als demjenigen, das den Bankzugang ebenfalls mittels auf demselben Smartphone installierter BankApp (SecureGo-App) vermittelt. Denn die für die Sicherheit des smsTAN-Verfahrens wesentliche Trennung der Kommunikationswege (Übermittlung des Zahlungsauftrages übers Internet am Computer und Mitteilung der TAN per SMS ans Mobiltelefon) wird damit aufgegeben, wobei der besondere Komfort dieses Verfahrens (gesamter Zahlungsvorgang ohne Zusatzgerät mit nur einem einzigen Mobilgerät) deren Verbreitung gefördert hat (vgl. insoweit Ellenberger/Bunte/Maihold, Bankrechtshandbuch Band 1 6. Aufl. 2022 Rz. 34 f und Rz.391 mit Verweisen auf wissenschaftliche Untersuchungen zum hohen Gefährdungspotential bei Verwendung nur noch zweier Apps auf einem Gerät statt Nutzung getrennter Kommunikationswege sowie Hinweisen des Bundesamts für Sicherheit in der Informationstechnik und der Schlussfolgerung, deshalb liege keine Authentifizierung aus wenigstens zwei voneinander unabhängigen Elementen i.S.v. § 1 Abs. 24 ZAG vor).
2. Der Anspruch des Klägers nach § 625u S. 2 BGB ist aber durch wirksame Aufrechnung der Beklagten wieder erloschen, § 389 BGB. Die Beklagte hat in der Klageerwiderung die Gegenforderung beziffert und in der mündlichen Verhandlung nach Hinweis des Gerichts die Aufrechnung ausdrücklich erklärt, § 388 BGB.
Die Beklagte hat nach § 675v Abs. 3 Nr. 2 lit. a), b) BGB Gegenansprüche auf Schadensersatz gegen den Kläger jeweils mindestens in Höhe dessen Erstattungsansprüche gemäß § 675u S. 2 BGB. Dabei gilt in rechtlicher Hinsicht, dass nach § 675 v Abs. 3 Nr. 2 BGB der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet ist, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler den Schaden herbeigeführt hat durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehrerer Pflichten gemäß § 675 l Absatz 1 BGB oder einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments. Eine grobe Fahrlässigkeit liegt nach allgemeinen Regeln vor bei einem objektiv schweren und subjektiv nicht entschuldbarem Verstoß gegen die Anforderungen der im Verkehr erforderlichen Sorgfalt, wenn also das außer Acht gelassen wird, was jedem hätte einleuchten müssen.
Nach § 675l Abs. 1 S. 1 BGB ist der Zahler verpflichtet, unmittelbar nach Erhalt eines Zahlungsauthentifizierungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Personalisierte Sicherheitsmerkmale sind gemäß § 1 Abs. 25 ZAG - in der hier maßgeblichen, ab 1.7.2021 geltenden Fassung - personalisierte Merkmale, die der Zahlungsdienstleister einem Zahlungsdienstnutzer zum Zwecke der Authentifizierung bereitstellt. Darunter fallen insbesondere TAN, welche einmal für die Autorisierung einer ganz bestimmten Transaktion eingesetzt werden können, dem Zahlungsdienstnutzer erst im Zusammenhang mit der jeweiligen Transaktion übermittelt werden und nur für eine kurze Zeit gültig sind. Unbefugt ist namentlich jede Verwendung, die ohne oder gegen den Willen des Inhabers des Zahlungsinstruments erfolgt und dementsprechend auf die Auslösung eines nicht autorisierten Zahlungsvorgangs gerichtet ist (Jungmann in: Münchener Kommentar zum BGB, 8. Aufl., § 675l Rz. 19). Der Kläger hatte allgemein dafür Sorge zu tragen, dass nicht dritte Personen die unkontrollierte Zugriffsmöglichkeit auf sein Online-Banking oder die Banking-App mittels Zugangsdaten und TAN bekommen und so ohne sein Wissen und Wollen Transaktionen von seinem Konto bei der Beklagten durchführen können (generell zum Sorgfaltsmaßstab beim Online-Banking und beim Mobile Banking ausführlich: Jungmann in: Münchener Kommentar zum BGB, 8. Aufl., § 675l Rz. 42 m.w.N.; s. auch Hofmann in: beck-online GROSSKOMMENTAR, Stand: 01.10.2021, § 675l Rz. 82 ff.). Die vom Zahlungsdienstnutzer geschuldeten Sorgfaltspflichten sind außerdem nach der Art des konkreten Angriffs zu bestimmen.
Beim Social Engineering wird von den Tätern die „Schwachstelle Mensch“ ausgenutzt, um auf diese Art und Weise personalisierte Sicherheitsmerkmale auszuspähen und in der Folge Zahlungen auszulösen. Diese Angriffe sind nicht ohne erhebliche Mitwirkung des Zahlungsdienstnutzers möglich. Die vom Zahlungsdienstnutzer zu erwartende angemessene Sorgfalt besteht darin, Zugangsdaten niemandem auf Nachfrage anzuvertrauen, sei es am Telefon, in E-Mails oder im Internet. Wenn sich jedem Zahlungsdienstnutzer in der entsprechenden Situation sowie dem betroffenen Zahlungsdienstnutzer ganz individuell geradezu aufdrängen musste, dass es sich nicht um einen regulären Vorgang handeln kann, ist von grober Fahrlässigkeit auszugehen. Ob der Zahlungsdienstnutzer erkennen muss, dass konkret ein Social-Engineering-Angriff stattfindet, ist stets Frage des Einzelfalls. Bezogen auf die Besonderheiten des Online-Banking liegt bei der telefonischen Weitergabe einer oder mehrerer TAN der Vorwurf einer groben Fahrlässigkeit nahe (LG Saarbrücken, Urteil vom 10.06.2022 - 1 O 394/21, BeckRS 2022, 14866; LG Köln, Urteil vom 10.09.2019 - 21 O 116/19, MMR 2020, 258; BeckOGK/Hofmann, 1.10.2021, BGB § 675l Rn. 93; Langenbucher/Bliesener/Spindler/Herresthal, 3. Aufl. 2020, 3. Kap. BGB § 675v Rn. 63; BeckOK BGB/Schmalenbach, 61. Ed. 1.2.2022, BGB § 675v Rn. 13). Insoweit ist die telefonische Weitergabe einer TAN nicht vergleichbar mit der Eingabe einer oder mehrerer TAN in eine gefälschte Eingabemaske (hierzu BGH, Urteil vom 24.04.2012 - XI ZR 96/11, NJW 2012, 2422), da sich die telefonische Weitergabe der TAN von dem üblichen Übermittlungsweg der TAN (Eingabe online) für jeden Nutzer offensichtlich unterscheidet (LG Saarbrücken, Urteil vom 9. Dezember 2022 – 1 O 181/20 –, Rn. 34 - 35, juris).
Unter Berücksichtigung aller Umstände des hiesigen Einzelfalls ist das Verhalten des Klägers nach Auffassung des erkennenden Gerichts als grob fahrlässig einzustufen.
So liegt schon ein Verstoß gegen Ziffer 7.1.(2) b 5. Spiegelstrich der vertraglich vereinbarten Sonderbedingungen für das Online-Banking vor: „Besitzelemente, wie z. B. die girocard mit TAN-Generator oder ein mobiles Endgerät, sind vor Missbrauch zu schützen, insbesondere…. – dürfen die Nachweise des Besitzelements (z. B. TAN) nicht außerhalb des Online-Banking mündlich (z. B. per Telefon) oder in Textform (z. B. per E-Mail, Messenger-Dienst) weitergegeben werden…“.
Im Ergebnis bestreitet der Kläger die von der Beklagten vorgelegten Protokolle nicht, wonach er insgesamt in einem Zeitraum von 6 Minuten telefonisch mindestens 3 unterschiedlich generierte TAN-Nummern telefonisch weitergegeben hat an eine ihm persönlich nicht bekannte Person, die noch nicht einmal unter einer dem Kläger bekannten Telefonnummer der Beklagten angerufen hat. Dabei leuchtet jedem ein, dass online-banking eben nur online erfolgt, gerade nicht telefonisch oder schriftlich, egal, wer sich am Telefon wegen angeblicher Maßnahmen meldet. Der Kläger, der eigenen Angaben zufolge schon langjährig Online-Banking bei der Beklagten nutzt, hat selbst auch keinen Fall geschildert, in dem er zuvor von einem Bankmitarbeiter telefonisch im Rahmen des Online-Bankings kontaktiert wurde. Ihm hätte also dieser Umstand besonders auffallen müssen, insbesondere aber auch der Umstand, dass ihm im Gespräch mehrere TAN abverlangt wurden, die er ja jeweils eigenständig kreieren musste. Aufgrund der in den letzten Jahren vielfach durch verschiedene Medien bekannt gewordenen Fälle ist die Erkenntnis, dass Kunden durch betrügerische Briefe und Anrufe vorgeblicher Bankmitarbeiter zur Preisgabe von Zugangsdaten zum Online-Banking veranlasst werden sollen, als allgemeines Wissen vorauszusetzen. Jedenfalls seit 2006 wurde das kriminelle Phänomen des Phishings öffentlich breit diskutiert. Der Kläger musste daher von der Möglichkeit solcher betrügerischen Vorgänge, wenn auch in unterschiedlicher Ausgestaltung, jedenfalls allgemeine Kenntnis haben. Falls nicht, wäre dies zumindest als grob fahrlässige Unkenntnis einzustufen (OLG München, Beschluss vom 22. September 2022 – 19 U 2204/22 –, juris). Hinzu kommt der Umstand, dass ausweislich der Anlage B2 dem Kläger bei Mitteilung der generierten TAN deren Verwendungszweck auf dem Smartphone-Display mitangezeigt wurde, also u.a. auch der Überweisungsbetrag und die IBAN des Empfängers. Das Bestreiten des Vortrages der Beklagten durch den Kläger mit Nichtwissen in der Replik dahingehend, ob diese Anzeige auch schon im September 2021 erfolgte, ist prozessual unbeachtlich. Es handelt sich um eine eigene Wahrnehmung des Klägers, der eigenen Angaben zufolge schon jahrelang das Online-Banking der Beklagten und die SecureGo-App nutzt, weshalb ein Bestreiten mit Nichtwissen prozessual unbeachtlich bleibt. Letztlich hat der Kläger in seiner offenen und überzeugenden Schilderung anlässlich seiner Anhörung auch eingeräumt, dass die Angaben aus der Anlage B 2 tatsächlich in der SecureGo-App bei Mitteilung der jeweiligen TAN sichtbar waren. Dann aber ist es nicht mehr nachvollziehbar, bei Anzeige der Überweisungsbeträge und der Empfänger-IBAN bei der übermittelten TAN diese mündlich an einen Dritten telefonisch zu übermitteln im Glauben daran, damit würde eine Überweisung rückgängig gemacht. Das genaue Gegenteil ergibt sich aus der Ansicht in der SecureGo-App. Bei einer Gesamtschau dieser Umstände musste sich dem Kläger daher aufdrängen, dass es sich nicht um einen regulären Vorgang, sondern nur um einen Betrug handeln konnte.
3. Eine Kürzung des Aufrechnungsanspruchs wegen eines Mitverschuldens der Beklagten scheidet aus.
Soweit der Kläger behauptet, in zeitlich engem Zusammenhang zu dem streitgegenständlichen Tatvorgang sei es nach Mitteilung einer Mitarbeiterin zu weiteren Betrugsfällen mit ähnlichem bzw. identischen Tatmuster gekommen sei, was den Verdacht bestärke, dass es ein Sicherheitsleck auf Seiten der Beklagten gegeben habe, bleibt dieser Vortrag in der Sache und der zeitlichen Einordnung (schon vor 24.9.2021, wie lange davor und ab wann der Beklagten in wie vielen Fällen bekannt) ohne Substanz und damit als Behauptung ins Blaue rechtlich ohne Belang.
Auch die Tatsache, dass die TAN-Nummern des Klägers innerhalb von einigen Minuten verwendet wurden, um insgesamt zwei Auszahlungen i.H.v. 4.989,36 € sowie 3.444,36 € vorzunehmen und der doch relativ unübliche Empfängername und die Tatsache, dass dort keinerlei Verwendungszweck angegeben war, rechtfertigt keinen Mitverschuldenseinwand etwa dahingehend, dass die Mitarbeiter der Beklagten zumindest zur telefonischen Kontaktaufnahme mit dem Kläger Veranlassung hätten sehen müssen. Im Zahlungsverkehr bestehen Warn- und Hinweispflichten der Kreditinstitute zum Schutz ihrer Kunden vor drohenden Schäden nur in Ausnahmefällen. So hat im Überweisungsverkehr ein Kreditinstitut, das aufgrund massiver Anhaltspunkte den Verdacht hegt, dass ein Kunde bei der Teilnahme am bargeldlosen Zahlungsverkehr durch eine Straftat einen anderen schädigen will, diesem gegenüber eine Warnpflicht (BGH Urteil v. 6. Mai 2008 - XI ZR 56/07, BGHZ 176, 281 Rn. 14,15). Die Bank muss aber weder generell prüfen, ob die Abwicklung eines Zahlungsverkehrsvorgangs Risiken für einen Beteiligten begründet, noch Kontobewegungen allgemein und ohne besondere Anhaltspunkte überwachen. Eine Warnpflicht besteht erst dann, wenn die Bank ohne nähere Prüfung im Rahmen der normalen Bearbeitung eines Zahlungsverkehrsvorgangs aufgrund einer auf massiven Verdachtsmomenten beruhenden objektiven Evidenz den Verdacht einer Veruntreuung schöpft (BGH, Urteil vom 24. April 2012 – XI ZR 96/11 –, Rn. 32, juris). Ohne besondere weitere Anhaltspunkte geben Überweisungen mit Auslandsberührung, der Einsatz glatter Beträge und dadurch eintretende Kontoüberziehungen einer Bank ohne nähere Prüfung keinen hinreichenden Anlass, den Verdacht einer Straftat zu schöpfen. Kreditinstitute werden im bargeldlosen Zahlungsverkehr nur zum Zweck der technisch einwandfreien, einfachen und schnellen Abwicklung tätig und haben sich schon wegen dieses begrenzten Geschäftszwecks und der Massenhaftigkeit der Geschäftsvorgänge grundsätzlich nicht um die beteiligten Interessen ihrer Kunden zu kümmern.
Den Volltext der Entscheidung finden Sie hier:
Urteil vom 16.05.2023
Bm 6 O 10/23
Das LG Heilbronn hat entschieden, dass das PushTAN-Verfahren ein erhöhtes Gefährdungspotential aufweist, so dass kein Anscheinsbeweis für die Autorisierung einer Zahlungsanweisung im Sinne von § 675w BGB besteht.
Aus den Entscheidungsgründen:
Der Anspruch des Klägers aus § 675u S.2 BGB ist zunächst entstanden.
DievomKlägererklärteKlageänderungnachHinweisdesGerichtsistgem.§264Nr. 2ZPOzulässig.AlsRechtsfolgegewährt § 675u S. 2 BGB einen Erstattungsanspruch. „Erstattung“ ist der Oberbegriff für die Auszahlung und die Stornobuchung,
d.h. die Wertstellung in Höhe der nicht autorisierten Zahlung. Der Anspruch ist in der Regel auf Wertstellung in Höhe der nicht autorisierten Zahlung gerichtet, nicht unmittelbar auf Zahlung.
Die streitgegenständlichen Überweisungen von den Konten des Klägers waren von diesen auch nicht autorisiert. Nach der Legaldefinition des § 675j Abs. 1 S. 1 BGB ist die Autorisierung die wirksame Zustimmung des Zahlers zum Zahlungsvorgang, welche nach § 675j Abs. 1 S. 2 BGB als Einwilligung oder, sofern zwischen dem Zahler und seinem Zahlungsdienstleister zuvor vereinbart, auch als Genehmigung erteilt werden kann. Selbst eine Stellvertretung ist insoweit grundsätzlich möglich (Jungmann in: Münchener Kommentar zum BGB, 8. Aufl., § 675j Rz. 14; Berger in: Jauernig, BGB, 18. Aufl., § 675j Rz. 1; differenzierend Köndgen in: beck-online.GROSSKOMMENTAR, Stand: 01.04.2022, § 675j BGB Rz. 17 ff.; Schmalenbach in: BeckOK BGB, 62. Ed., Stand: 01.05.2022, § 675j Rz. 3).
Die vereinzelt vertretene Ansicht, dass in Fällen, in denen der Nutzer seine persönlichen Daten in die Eingabemaske einer manipulierten Webseite eingibt und sie somit unbewusst an den Angreifer weiterleitet, das Einverständnis des Nutzers zu den durch den Angreifer sodann durchgeführten Zahlungsvorgängen nach den Grundsätzen der Rechtscheinsvollmacht zuzurechnen sei (z.B. LG Darmstadt, Urteil v. 28.08.2014, Az. 28 O 36/14, juris Rz. 37 ff.), ist abzulehnen. Gleiches muss für die vorliegende Sonderform des telefonischen Abgreifens der TAN gelten. Die Grundsätze über die Duldungs- und Anscheinsvollmacht finden in Bezug auf die Zustimmung i.S.v. § 675j BGB richtigerweise keine Anwendung (BGH, Urteil v. 26.01.2016, Az. XI ZR 91/14, Rz. 55 ff.; Urteil v. 16.06.2015, Az. XI ZR 243/13, Rz. 22 ff.; Köndgen in: beck-online.GROSSKOMMENTAR, Stand: 01.04.2022, § 675j BGB Rz. 20; Schulte-Nölke in: Schulze, BGB, 11. Aufl., § 675j Rz. 2;).
Der Kläger trägt vor, dass er keine der streitgegenständlichen Überweisungen veranlasste, sondern ein unbekannter Dritter ohne sein Wissen und Wollen mit der vermeintlich für andere Maßnahmen abgefragten TAN-Nummern, entgegen der Erwartung, diese TANs seien für die Rückgängigmachung der erfolgten Überweisungen erforderlich. Dies wird von der Beklagten letztlich zugestanden, so dass es auf die Frage der Darlegungs- und Beweislast für die Autorisierung der Überweisungen - welche gemäß § 675w S. 1 BGB bei der Beklagten läge - vorliegend nicht ankommt.
Abgesehen davon gilt nach Auffassung des Gerichts, dass nicht nur das klassische PIN/TAN-Verfahren, bei dem die jeweils zu verwendende TAN vom Zahlungsdienstnutzer selbst ausgewählt werden kann, die für einen Anscheinsbeweis erforderliche sehr hohe Wahrscheinlichkeit vermissen lässt (ähnlich LG Bonn 19.12.2003 - 2 O 472/03, MMR 2004, 179, 180 = CR 2004, 218), sondern auch das vorliegend zur Anwendung kommende pushTAN-Verfahren, in dem die TAN auf dem Mobiltelefon in einem anderen Programm (App) angezeigt wird, als demjenigen, das den Bankzugang ebenfalls mittels auf demselben Smartphone installierter BankApp (SecureGo-App) vermittelt. Denn die für die Sicherheit des smsTAN-Verfahrens wesentliche Trennung der Kommunikationswege (Übermittlung des Zahlungsauftrages übers Internet am Computer und Mitteilung der TAN per SMS ans Mobiltelefon) wird damit aufgegeben, wobei der besondere Komfort dieses Verfahrens (gesamter Zahlungsvorgang ohne Zusatzgerät mit nur einem einzigen Mobilgerät) deren Verbreitung gefördert hat (vgl. insoweit Ellenberger/Bunte/Maihold, Bankrechtshandbuch Band 1 6. Aufl. 2022 Rz. 34 f und Rz.391 mit Verweisen auf wissenschaftliche Untersuchungen zum hohen Gefährdungspotential bei Verwendung nur noch zweier Apps auf einem Gerät statt Nutzung getrennter Kommunikationswege sowie Hinweisen des Bundesamts für Sicherheit in der Informationstechnik und der Schlussfolgerung, deshalb liege keine Authentifizierung aus wenigstens zwei voneinander unabhängigen Elementen i.S.v. § 1 Abs. 24 ZAG vor).
2. Der Anspruch des Klägers nach § 625u S. 2 BGB ist aber durch wirksame Aufrechnung der Beklagten wieder erloschen, § 389 BGB. Die Beklagte hat in der Klageerwiderung die Gegenforderung beziffert und in der mündlichen Verhandlung nach Hinweis des Gerichts die Aufrechnung ausdrücklich erklärt, § 388 BGB.
Die Beklagte hat nach § 675v Abs. 3 Nr. 2 lit. a), b) BGB Gegenansprüche auf Schadensersatz gegen den Kläger jeweils mindestens in Höhe dessen Erstattungsansprüche gemäß § 675u S. 2 BGB. Dabei gilt in rechtlicher Hinsicht, dass nach § 675 v Abs. 3 Nr. 2 BGB der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet ist, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler den Schaden herbeigeführt hat durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehrerer Pflichten gemäß § 675 l Absatz 1 BGB oder einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments. Eine grobe Fahrlässigkeit liegt nach allgemeinen Regeln vor bei einem objektiv schweren und subjektiv nicht entschuldbarem Verstoß gegen die Anforderungen der im Verkehr erforderlichen Sorgfalt, wenn also das außer Acht gelassen wird, was jedem hätte einleuchten müssen.
Nach § 675l Abs. 1 S. 1 BGB ist der Zahler verpflichtet, unmittelbar nach Erhalt eines Zahlungsauthentifizierungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Personalisierte Sicherheitsmerkmale sind gemäß § 1 Abs. 25 ZAG - in der hier maßgeblichen, ab 1.7.2021 geltenden Fassung - personalisierte Merkmale, die der Zahlungsdienstleister einem Zahlungsdienstnutzer zum Zwecke der Authentifizierung bereitstellt. Darunter fallen insbesondere TAN, welche einmal für die Autorisierung einer ganz bestimmten Transaktion eingesetzt werden können, dem Zahlungsdienstnutzer erst im Zusammenhang mit der jeweiligen Transaktion übermittelt werden und nur für eine kurze Zeit gültig sind. Unbefugt ist namentlich jede Verwendung, die ohne oder gegen den Willen des Inhabers des Zahlungsinstruments erfolgt und dementsprechend auf die Auslösung eines nicht autorisierten Zahlungsvorgangs gerichtet ist (Jungmann in: Münchener Kommentar zum BGB, 8. Aufl., § 675l Rz. 19). Der Kläger hatte allgemein dafür Sorge zu tragen, dass nicht dritte Personen die unkontrollierte Zugriffsmöglichkeit auf sein Online-Banking oder die Banking-App mittels Zugangsdaten und TAN bekommen und so ohne sein Wissen und Wollen Transaktionen von seinem Konto bei der Beklagten durchführen können (generell zum Sorgfaltsmaßstab beim Online-Banking und beim Mobile Banking ausführlich: Jungmann in: Münchener Kommentar zum BGB, 8. Aufl., § 675l Rz. 42 m.w.N.; s. auch Hofmann in: beck-online GROSSKOMMENTAR, Stand: 01.10.2021, § 675l Rz. 82 ff.). Die vom Zahlungsdienstnutzer geschuldeten Sorgfaltspflichten sind außerdem nach der Art des konkreten Angriffs zu bestimmen.
Beim Social Engineering wird von den Tätern die „Schwachstelle Mensch“ ausgenutzt, um auf diese Art und Weise personalisierte Sicherheitsmerkmale auszuspähen und in der Folge Zahlungen auszulösen. Diese Angriffe sind nicht ohne erhebliche Mitwirkung des Zahlungsdienstnutzers möglich. Die vom Zahlungsdienstnutzer zu erwartende angemessene Sorgfalt besteht darin, Zugangsdaten niemandem auf Nachfrage anzuvertrauen, sei es am Telefon, in E-Mails oder im Internet. Wenn sich jedem Zahlungsdienstnutzer in der entsprechenden Situation sowie dem betroffenen Zahlungsdienstnutzer ganz individuell geradezu aufdrängen musste, dass es sich nicht um einen regulären Vorgang handeln kann, ist von grober Fahrlässigkeit auszugehen. Ob der Zahlungsdienstnutzer erkennen muss, dass konkret ein Social-Engineering-Angriff stattfindet, ist stets Frage des Einzelfalls. Bezogen auf die Besonderheiten des Online-Banking liegt bei der telefonischen Weitergabe einer oder mehrerer TAN der Vorwurf einer groben Fahrlässigkeit nahe (LG Saarbrücken, Urteil vom 10.06.2022 - 1 O 394/21, BeckRS 2022, 14866; LG Köln, Urteil vom 10.09.2019 - 21 O 116/19, MMR 2020, 258; BeckOGK/Hofmann, 1.10.2021, BGB § 675l Rn. 93; Langenbucher/Bliesener/Spindler/Herresthal, 3. Aufl. 2020, 3. Kap. BGB § 675v Rn. 63; BeckOK BGB/Schmalenbach, 61. Ed. 1.2.2022, BGB § 675v Rn. 13). Insoweit ist die telefonische Weitergabe einer TAN nicht vergleichbar mit der Eingabe einer oder mehrerer TAN in eine gefälschte Eingabemaske (hierzu BGH, Urteil vom 24.04.2012 - XI ZR 96/11, NJW 2012, 2422), da sich die telefonische Weitergabe der TAN von dem üblichen Übermittlungsweg der TAN (Eingabe online) für jeden Nutzer offensichtlich unterscheidet (LG Saarbrücken, Urteil vom 9. Dezember 2022 – 1 O 181/20 –, Rn. 34 - 35, juris).
Unter Berücksichtigung aller Umstände des hiesigen Einzelfalls ist das Verhalten des Klägers nach Auffassung des erkennenden Gerichts als grob fahrlässig einzustufen.
So liegt schon ein Verstoß gegen Ziffer 7.1.(2) b 5. Spiegelstrich der vertraglich vereinbarten Sonderbedingungen für das Online-Banking vor: „Besitzelemente, wie z. B. die girocard mit TAN-Generator oder ein mobiles Endgerät, sind vor Missbrauch zu schützen, insbesondere…. – dürfen die Nachweise des Besitzelements (z. B. TAN) nicht außerhalb des Online-Banking mündlich (z. B. per Telefon) oder in Textform (z. B. per E-Mail, Messenger-Dienst) weitergegeben werden…“.
Im Ergebnis bestreitet der Kläger die von der Beklagten vorgelegten Protokolle nicht, wonach er insgesamt in einem Zeitraum von 6 Minuten telefonisch mindestens 3 unterschiedlich generierte TAN-Nummern telefonisch weitergegeben hat an eine ihm persönlich nicht bekannte Person, die noch nicht einmal unter einer dem Kläger bekannten Telefonnummer der Beklagten angerufen hat. Dabei leuchtet jedem ein, dass online-banking eben nur online erfolgt, gerade nicht telefonisch oder schriftlich, egal, wer sich am Telefon wegen angeblicher Maßnahmen meldet. Der Kläger, der eigenen Angaben zufolge schon langjährig Online-Banking bei der Beklagten nutzt, hat selbst auch keinen Fall geschildert, in dem er zuvor von einem Bankmitarbeiter telefonisch im Rahmen des Online-Bankings kontaktiert wurde. Ihm hätte also dieser Umstand besonders auffallen müssen, insbesondere aber auch der Umstand, dass ihm im Gespräch mehrere TAN abverlangt wurden, die er ja jeweils eigenständig kreieren musste. Aufgrund der in den letzten Jahren vielfach durch verschiedene Medien bekannt gewordenen Fälle ist die Erkenntnis, dass Kunden durch betrügerische Briefe und Anrufe vorgeblicher Bankmitarbeiter zur Preisgabe von Zugangsdaten zum Online-Banking veranlasst werden sollen, als allgemeines Wissen vorauszusetzen. Jedenfalls seit 2006 wurde das kriminelle Phänomen des Phishings öffentlich breit diskutiert. Der Kläger musste daher von der Möglichkeit solcher betrügerischen Vorgänge, wenn auch in unterschiedlicher Ausgestaltung, jedenfalls allgemeine Kenntnis haben. Falls nicht, wäre dies zumindest als grob fahrlässige Unkenntnis einzustufen (OLG München, Beschluss vom 22. September 2022 – 19 U 2204/22 –, juris). Hinzu kommt der Umstand, dass ausweislich der Anlage B2 dem Kläger bei Mitteilung der generierten TAN deren Verwendungszweck auf dem Smartphone-Display mitangezeigt wurde, also u.a. auch der Überweisungsbetrag und die IBAN des Empfängers. Das Bestreiten des Vortrages der Beklagten durch den Kläger mit Nichtwissen in der Replik dahingehend, ob diese Anzeige auch schon im September 2021 erfolgte, ist prozessual unbeachtlich. Es handelt sich um eine eigene Wahrnehmung des Klägers, der eigenen Angaben zufolge schon jahrelang das Online-Banking der Beklagten und die SecureGo-App nutzt, weshalb ein Bestreiten mit Nichtwissen prozessual unbeachtlich bleibt. Letztlich hat der Kläger in seiner offenen und überzeugenden Schilderung anlässlich seiner Anhörung auch eingeräumt, dass die Angaben aus der Anlage B 2 tatsächlich in der SecureGo-App bei Mitteilung der jeweiligen TAN sichtbar waren. Dann aber ist es nicht mehr nachvollziehbar, bei Anzeige der Überweisungsbeträge und der Empfänger-IBAN bei der übermittelten TAN diese mündlich an einen Dritten telefonisch zu übermitteln im Glauben daran, damit würde eine Überweisung rückgängig gemacht. Das genaue Gegenteil ergibt sich aus der Ansicht in der SecureGo-App. Bei einer Gesamtschau dieser Umstände musste sich dem Kläger daher aufdrängen, dass es sich nicht um einen regulären Vorgang, sondern nur um einen Betrug handeln konnte.
3. Eine Kürzung des Aufrechnungsanspruchs wegen eines Mitverschuldens der Beklagten scheidet aus.
Soweit der Kläger behauptet, in zeitlich engem Zusammenhang zu dem streitgegenständlichen Tatvorgang sei es nach Mitteilung einer Mitarbeiterin zu weiteren Betrugsfällen mit ähnlichem bzw. identischen Tatmuster gekommen sei, was den Verdacht bestärke, dass es ein Sicherheitsleck auf Seiten der Beklagten gegeben habe, bleibt dieser Vortrag in der Sache und der zeitlichen Einordnung (schon vor 24.9.2021, wie lange davor und ab wann der Beklagten in wie vielen Fällen bekannt) ohne Substanz und damit als Behauptung ins Blaue rechtlich ohne Belang.
Auch die Tatsache, dass die TAN-Nummern des Klägers innerhalb von einigen Minuten verwendet wurden, um insgesamt zwei Auszahlungen i.H.v. 4.989,36 € sowie 3.444,36 € vorzunehmen und der doch relativ unübliche Empfängername und die Tatsache, dass dort keinerlei Verwendungszweck angegeben war, rechtfertigt keinen Mitverschuldenseinwand etwa dahingehend, dass die Mitarbeiter der Beklagten zumindest zur telefonischen Kontaktaufnahme mit dem Kläger Veranlassung hätten sehen müssen. Im Zahlungsverkehr bestehen Warn- und Hinweispflichten der Kreditinstitute zum Schutz ihrer Kunden vor drohenden Schäden nur in Ausnahmefällen. So hat im Überweisungsverkehr ein Kreditinstitut, das aufgrund massiver Anhaltspunkte den Verdacht hegt, dass ein Kunde bei der Teilnahme am bargeldlosen Zahlungsverkehr durch eine Straftat einen anderen schädigen will, diesem gegenüber eine Warnpflicht (BGH Urteil v. 6. Mai 2008 - XI ZR 56/07, BGHZ 176, 281 Rn. 14,15). Die Bank muss aber weder generell prüfen, ob die Abwicklung eines Zahlungsverkehrsvorgangs Risiken für einen Beteiligten begründet, noch Kontobewegungen allgemein und ohne besondere Anhaltspunkte überwachen. Eine Warnpflicht besteht erst dann, wenn die Bank ohne nähere Prüfung im Rahmen der normalen Bearbeitung eines Zahlungsverkehrsvorgangs aufgrund einer auf massiven Verdachtsmomenten beruhenden objektiven Evidenz den Verdacht einer Veruntreuung schöpft (BGH, Urteil vom 24. April 2012 – XI ZR 96/11 –, Rn. 32, juris). Ohne besondere weitere Anhaltspunkte geben Überweisungen mit Auslandsberührung, der Einsatz glatter Beträge und dadurch eintretende Kontoüberziehungen einer Bank ohne nähere Prüfung keinen hinreichenden Anlass, den Verdacht einer Straftat zu schöpfen. Kreditinstitute werden im bargeldlosen Zahlungsverkehr nur zum Zweck der technisch einwandfreien, einfachen und schnellen Abwicklung tätig und haben sich schon wegen dieses begrenzten Geschäftszwecks und der Massenhaftigkeit der Geschäftsvorgänge grundsätzlich nicht um die beteiligten Interessen ihrer Kunden zu kümmern.
Den Volltext der Entscheidung finden Sie hier: