Autorisierung eines ungewollten Zahlungsvorgangs bei Online-Banking

➔ Zum vorliegenden Urteil Az.: 8 U 760/22 | Schlüsselerkenntnis | FAQ  | Hilfe anfordern

Kunde verliert über 7.500 Euro durch Online-Banking-Betrug

Im digitalen Zeitalter haben wir heutzutage viele Möglichkeiten, Zahlungen bequem online zu tätigen. Allerdings kann es dabei durchaus vorkommen, dass ungewollte Zahlungsvorgänge autorisiert werden. Dies kann schwerwiegende rechtliche Konsequenzen nach sich ziehen. Es ist daher wichtig, die rechtlichen Grundlagen zu kennen und die eigenen Rechte als Verbraucher zu verstehen. In diesem Beitrag werden wir zunächst die allgemeinen Regelungen zum Online-Banking beleuchten, um dann einen konkreten Gerichtsfall zu analysieren, der diese Thematik näher beleuchtet.

✔ Der Fall vor dem Oberlandesgericht Dresden

Hier ist mein Vorschlag für den gewünschten journalistischen Artikel über das Urteil des OLG Dresden:

Ungewollte Kontoverifizierung führt zu unberechtigter Überweisung von über 7.500 Euro

Eine Klägerin aus Sachsen hat durch eine scheinbare Kontoverifizierung unbeabsichtigt eine Überweisung von 7.572,60 Euro an einen Unbekannten ausgelöst. Das Oberlandesgericht Dresden hat nun entschieden, dass die Klägerin trotz fehlender Autorisierung des Zahlungsvorgangs keinen Anspruch auf Wiedergutschrift des Betrags durch ihre Sparkasse hat, da sie grob fahrlässig gehandelt habe.

Täuschend echte Aufforderung zur Verifizierung führt zur Überweisung

Am 2. November 2020 wurde die Klägerin beim Online-Banking mit ihrer Sparkasse dazu aufgefordert, ihr Konto durch Überweisung eines Centbetrags zu verifizieren. Der Betrag würde angeblich nicht vom Konto abgebucht. Da solche Verifizierungen von der Sparkasse in regelmäßigen Abständen durchgeführt werden, dachte sich die Klägerin nichts dabei und führte die Überweisung per ChipTAN-Verfahren durch.

Einen Monat später stellte sie fest, dass 7.572,60 Euro an einen ihr unbekannten Stefan P. überwiesen worden waren. Die Sparkasse lehnte eine Rückerstattung ab, da sich die Klägerin nach ihrer Ansicht grob fahrlässig verhalten habe, indem sie die Auftragsdaten bei Eingabe der TAN nicht überprüft habe.

Gericht: Keine Autorisierung, aber grob fahrlässiges Handeln

Das OLG Dresden stellte fest, dass die Klägerin die Überweisung tatsächlich nicht autorisiert hatte. Durch eine Schadsoftware auf ihrem Computer sei eine täuschend echte Verifizierungsaufforderung der Sparkasse simuliert worden.

Dennoch habe die Klägerin grob fahrlässig gegen ihre Sorgfaltspflichten verstoßen, indem sie vor Eingabe der per ChipTAN-Generator erstellten TAN nicht die ihr auf dem Display angezeigten Überweisungsdaten mit den gewünschten Daten abglich. Dies stelle einen Verstoß gegen die vereinbarten Bedingungen für das Online-Banking dar.

Darüber hinaus habe die Klägerin die auf der Website der Sparkasse enthaltenen Sicherheitshinweise missachtet, die ausdrücklich vor der Eingabe von PIN und TAN für „Testüberweisungen“ warnen. Aufgrund ihrer langjährigen Erfahrung mit Online-Banking hätte ihr auffallen müssen, dass die Aufforderung zur Verifizierung völlig unüblich war.

Schadenersatz der Sparkasse verhindert Rückzahlung

Da die Klägerin somit den Schaden grob fahrlässig verursacht habe, stehe der Sparkasse ein Schadenersatzanspruch gegen sie in voller Höhe des überwiesenen Betrags zu. Diesen Anspruch könne die Sparkasse dem Anspruch der Klägerin auf Wiedergutschrift entgegenhalten. Die Klage auf Rückzahlung der 7.572,60 Euro wurde daher abgewiesen.

Das Urteil zeigt, wie wichtig höchste Vorsicht bei ungewöhnlichen Aufforderungen im Online-Banking ist. Selbst erfahrene Nutzer können Opfer von Betrugsmaschen werden und haften dann unter Umständen selbst für die Folgen, wenn sie grundlegende Sicherheitsregeln missachten. Eine sorgfältige Prüfung aller Auftragsdaten vor Freigabe durch TAN-Eingabe ist unerlässlich.

✔ FAQ – Häufige Fragen

Unberechtigte Online-Banküberweisung – Antworten auf Ihre dringendsten Fragen

Haben Sie sich jemals ungewollt an einer Überweisung beteiligt gefühlt? Bei diesem sensiblen Thema haben viele Leser Fragen. Unsere FAQ-Sektion bietet Ihnen wertvolle Einblicke und Hintergrundinformationen, die Ihnen helfen, die Zusammenhänge zu verstehen. Erfahren Sie mehr über Ihre Rechte, Pflichten und Handlungsmöglichkeiten in Fällen einer unberechtigten Online-Banküberweisung.

Nutzen Sie diese Gelegenheit, um sich detailliert über dieses wichtige Thema zu informieren. Unsere Experten haben die relevanten rechtlichen Grundlagen für Sie zusammengestellt, damit Sie sicher durch mögliche Fallstricke navigieren können. Lassen Sie sich von dieser Thematik nicht verunsichern – informieren Sie sich jetzt!

Was sind meine Rechte als Bankkunde bei einer unberechtigten Online-Überweisung?

Als Bankkunde haben Sie bei einer unberechtigten Online-Überweisung bestimmte Rechte gegenüber Ihrer Bank. Diese ergeben sich aus dem Zahlungsdiensterecht, insbesondere der Zahlungsdiensterichtlinie (ZDR) der Europäischen Union und deren Umsetzung in deutsches Recht.

Zunächst einmal ist es wichtig, dass Sie den Verlust oder Diebstahl Ihrer Zahlungskarte oder die missbräuchliche Verwendung Ihrer Zugangsdaten umgehend bei Ihrer Bank melden. Sobald die Bank von dem Missbrauch Kenntnis erlangt, haftet sie für alle danach erfolgten Schäden, sofern Sie nicht grob fahrlässig oder vorsätzlich gehandelt haben.

Wurde eine unbefugte Online-Überweisung von Ihrem Konto durchgeführt, können Sie von der Bank grundsätzlich die Erstattung des abgebuchten Betrags verlangen. Voraussetzung ist, dass Sie den Zahlungsvorgang nicht autorisiert haben und auch nicht in betrügerischer Absicht gehandelt haben.

Die Bank muss den Betrag unverzüglich, spätestens aber bis zum Ende des nächsten Geschäftstags, auf Ihr Konto zurückbuchen. Sollte die Bank den Betrag nicht erstatten, obwohl die Voraussetzungen erfüllt sind, können Sie gerichtlich gegen die Bank vorgehen.

Es gibt jedoch Ausnahmen von der Erstattungspflicht. So haftet der Kunde bis zu einem Betrag von 50 Euro für Schäden aus nicht autorisierten Zahlungsvorgängen, wenn die Schädigung durch Verlust oder Diebstahl der Zahlungskarte verursacht wurde und der Kunde seine Sorgfaltspflichten verletzt hat.

Insbesondere müssen Sie Ihre Zahlungskarte sicher aufbewahren und Ihre Zugangsdaten geheim halten. Wenn Sie grob fahrlässig gehandelt haben, indem Sie Ihre Zugangsdaten ungesichert aufgeschrieben oder an Dritte weitergegeben haben, können Sie sogar in vollem Umfang für den entstandenen Schaden haften.

Wichtig ist auch, dass Sie den Zahlungsvorgang unverzüglich nach Feststellung bei der Bank rügen. Tun Sie dies nicht, gilt der Zahlungsvorgang als von Ihnen genehmigt.

Zusammenfassend haben Sie als Bankkunde bei einer unberechtigten Online-Überweisung weitreichende Rechte. Die Bank muss den Betrag in der Regel erstatten, sofern Sie nicht grob fahrlässig gehandelt haben. Beachten Sie aber auch Ihre eigenen Sorgfaltspflichten, um Missbrauch zu vermeiden.

Welche Pflichten habe ich als Online-Banking-Nutzer, um mich vor unberechtigten Überweisungen zu schützen?

Als Online-Banking-Nutzer haben Sie verschiedene Pflichten, um sich vor unberechtigten Überweisungen zu schützen. Dazu gehören insbesondere:

• Sorgfältiger Umgang mit Zugangsdaten: Ihre Zugangsdaten wie Benutzernamen, Passwörter und TANs müssen geheim gehalten und vor dem Zugriff Dritter geschützt werden. Sie dürfen weder notiert noch an Dritte weitergegeben werden. Verwenden Sie sichere, komplexe Passwörter und ändern Sie diese regelmäßig.
• Nutzung eines aktuellen Virenschutzprogramms: Ihr Endgerät für das Online-Banking sollte mit einem aktuellen Virenschutzprogramm ausgestattet sein, um sich vor Schadsoftware zu schützen, die Ihre Zugangsdaten ausspähen könnte.
• Regelmäßige Überprüfung der Kontoauszüge: Kontrollieren Sie Ihre Kontoauszüge sorgfältig und zeitnah auf unberechtigte Abbuchungen. Melden Sie verdächtige Vorgänge umgehend Ihrer Bank.
• Vorsicht bei Phishing-Mails und -Websites: Klicken Sie nicht auf Links in E-Mails oder SMS, die angeblich von Ihrer Bank stammen. Rufen Sie Ihre Bank-Website nicht über solche Links auf, sondern geben Sie die Adresse manuell ein. Geben Sie Zugangsdaten nur auf der offiziellen Bank-Website ein.
• Nutzung sicherer Geräte und Verbindungen: Führen Sie Online-Banking-Transaktionen nur von sicheren, vertrauenswürdigen Geräten und Internetverbindungen durch. Vermeiden Sie öffentliche WLAN-Hotspots.
• Unverzügliche Sperrung bei Verlust oder Diebstahl: Melden Sie den Verlust oder Diebstahl Ihrer Zugangsdaten oder Geräte sofort Ihrer Bank, damit diese das Online-Banking sperren kann.

Durch diese Maßnahmen können Sie das Risiko von Online-Banking-Betrug deutlich reduzieren und Ihre Pflichten als sorgfältiger Kunde erfüllen. Beachten Sie, dass bei grob fahrlässigem Verhalten Ihre Bank im Schadensfall möglicherweise nicht für entstandene Verluste aufkommen muss.

Wann gilt eine Online-Überweisung als autorisiert und welche Folgen hat eine fehlende Autorisierung?

Eine Online-Überweisung gilt dann als autorisiert, wenn der Kontoinhaber ihr ausdrücklich zugestimmt hat. Dies kann durch Verwendung personalisierter Sicherheitsmerkmale wie PIN und TAN erfolgen. Ohne diese Autorisierung ist die Überweisung unwirksam.

Wurde eine Überweisung ohne Autorisierung des Kontoinhabers durchgeführt, hat dieser grundsätzlich einen Anspruch auf Rückgängigmachung gegenüber seiner Bank. Die Bank muss den Betrag unverzüglich erstatten und das Konto wieder auf den Stand bringen, auf dem es sich ohne die nicht autorisierte Buchung befunden hätte.

Allerdings kann der Kontoinhaber grob fahrlässig gehandelt und damit zum Missbrauch beigetragen haben. In diesem Fall kann die Bank von einer Erstattung absehen. Ob grobe Fahrlässigkeit vorliegt, hängt von den Umständen des Einzelfalls ab, insbesondere von den technischen Fähigkeiten und Erfahrungen des Kunden.

Die Bank muss im Streitfall beweisen, dass der Kunde die Überweisung autorisiert hat. Gelingt ihr dieser Nachweis nicht, haftet sie für den Schaden. Wurde die Überweisung über einen Zahlungsauslösedienst getätigt, trifft diese Beweislast den kontoführenden Zahlungsdienstleister.

Was bedeutet „grobe Fahrlässigkeit“ im Zusammenhang mit Online-Banking und welche Konsequenzen hat sie?

Grobe Fahrlässigkeit im Online-Banking liegt vor, wenn der Kontoinhaber in besonders schwerem Maße gegen seine Sorgfaltspflichten verstößt. Dies kann der Fall sein, wenn er seine Zugangsdaten an Dritte weitergibt oder gegen vertragliche Sicherheitsbestimmungen verstößt.

Wird eine Überweisung aufgrund grober Fahrlässigkeit des Kunden getätigt, muss die Bank den entstandenen Schaden nicht ersetzen. Der Kunde bleibt dann auf seinem Verlust sitzen. Allerdings muss die Bank im Streitfall beweisen, dass der Kunde grob fahrlässig gehandelt hat.

Ob grobe Fahrlässigkeit vorliegt, hängt von den Umständen des Einzelfalls ab. Entscheidend sind, ob sich der Kunde in einer Überrumpelungssituation befand und ob die Täuschung für ihn erkennbar war. Auch seine technischen Fähigkeiten und Erfahrungen spielen eine Rolle.

Wurde eine Überweisung ohne Autorisierung des Kunden getätigt, hat dieser grundsätzlich einen Anspruch auf Rücküberweisung des Betrags. Nur wenn grobe Fahrlässigkeit vorliegt, kann die Bank die Erstattung verweigern. Der Kunde muss dann den Schaden selbst tragen.

Welche Schritte sollte ich unternehmen, wenn ich Opfer einer unberechtigten Online-Überweisung geworden bin?

Wenn Sie Opfer einer unberechtigten Online-Überweisung geworden sind, sollten Sie umgehend folgende Schritte unternehmen:

Informieren Sie sofort Ihre Bank und lassen Sie das Konto sperren. Geben Sie mehrfach falsche Zugangsdaten ein, um das Online-Banking schnell zu sperren. Melden Sie den Vorfall auch über die kostenlose Sperr-Hotline 116 116.

Erstatten Sie Anzeige bei der Polizei. Auch wenn die Täter meist nicht ermittelt werden, dokumentiert die Anzeige, dass eine nicht autorisierte Überweisung vorlag. Erstellen Sie zudem ein Gedächtnisprotokoll mit allen relevanten Informationen.

Löschen Sie verdächtige E-Mails nicht, da sie als Beweismittel dienen können. Überprüfen Sie genau, ob es sich um eine Phishing-Mail handelt, die Sie auf eine gefälschte Website gelockt hat.

Ändern Sie umgehend Ihre Online-Banking-Zugangsdaten. Sollten die Betrüger bereits Zugriff haben, müssen Sie die Kontrolle über Ihr Konto wiederherstellen.

Kontrollieren Sie Ihre Kontoauszüge regelmäßig, um weitere unberechtigte Abbuchungen zu entdecken. Nutzen Sie dafür digitale Angebote wie das Elektronische Postfach oder die Sparkassen-App.

Wenn Geld abgeflossen ist, haben Sie grundsätzlich einen Anspruch auf Erstattung gegenüber Ihrer Bank. Diese muss den Betrag unverzüglich zurückerstatten. Nur bei grober Fahrlässigkeit kann die Bank die Erstattung verweigern.

Sollte Ihre Bank nicht kooperativ sein, holen Sie sich anwaltliche Unterstützung. Eine Rechtsschutzversicherung kann die Kosten dafür übernehmen. Mit Hilfe eines Anwalts können Sie Ihren Anspruch auf Rücküberweisung des Betrags durchsetzen.

§ Relevante Rechtsgrundlagen des Urteils

• § 675j BGB (Einwilligung und Genehmigung): Dieser Paragraph regelt die Voraussetzungen für die Autorisierung von Zahlungsvorgängen durch den Zahlungspflichtigen. Eine Überweisung ist nur dann wirksam, wenn der Kontoinhaber sie autorisiert hat, beispielsweise durch Eingabe einer TAN. Im vorliegenden Fall könnte die Klägerin argumentieren, dass sie den Zahlungsvorgang nicht autorisiert hat.
• § 675v BGB (Haftung des Zahlungsdienstnutzers für nicht autorisierte Zahlungsvorgänge): Hier wird festgelegt, unter welchen Bedingungen der Kunde für unautorisierte Zahlungsvorgänge haftet. Der Kunde haftet in der Regel nur bis zu einem Betrag von 50 EUR, es sei denn, er hat grob fahrlässig gehandelt. Im Fall der Klägerin wird zu klären sein, ob sie grob fahrlässig gehandelt hat.
• PSD2 (Zweite Zahlungsdiensterichtlinie der EU): Diese Richtlinie sieht strenge Sicherheitsstandards für Online-Banking vor, darunter die starke Kundenauthentifizierung. Sie legt fest, dass Banken ihren Kunden im Fall von unautorisierten Transaktionen schnell und transparent Ersatz leisten müssen. Im konkreten Fall könnte geprüft werden, ob die Sicherheitsvorkehrungen der Bank den Anforderungen der PSD2 entsprechen.
• § 280 BGB (Schadensersatz wegen Pflichtverletzung): Dieser Paragraph kann relevant sein, wenn der Bank eine Pflichtverletzung vorgeworfen wird. Beispielsweise, wenn sie ihrer Verpflichtung zur Sicherstellung der Authentizität einer Transaktion nicht nachgekommen ist. In diesem Fall wird überprüft, ob die Bank ihre Sorgfaltspflicht verletzt hat.
• § 676c BGB (Rückerstattung bei nicht autorisierten Zahlungsvorgängen): Dieser Paragraph regelt die Rückerstattungspflicht der Bank bei nicht autorisierten Zahlungsvorgängen. Die Bank muss dem Kunden den belasteten Betrag unverzüglich und in voller Höhe zurückerstatten, sofern der Kunde den Zahlungsvorgang nicht autorisiert hat.
• Art. 248 EGBGB (Fahrplan zur Zahlungsdiensterichtlinie): Dieser Artikel enthält detaillierte Informationspflichten der Banken gegenüber ihren Kunden, besonders im Hinblick auf Sicherheitsmaßnahmen und Haftungsregelungen. Im konkreten Fall ist zu prüfen, ob die Bank ihre Informationspflichten gegenüber der Klägerin eingehalten hat.
• § 826 BGB (Sittenwidrige vorsätzliche Schädigung): Diese Bestimmung kommt in Betracht, wenn sich nachweisen lässt, dass die Bank oder ein Dritter die Klägerin vorsätzlich und in sittenwidriger Weise geschädigt hat. Sollte der Missbrauch des Kontos auf Betrug zurückzuführen sein, könnte dies relevant werden.

⇓ Das vorliegende Urteil vom Oberlandesgericht Dresden

OLG Dresden – Az.: 8 U 760/22 – Urteil vom 13.10.2022

1. Die Berufung der Klägerin gegen das Urteil des Landgerichts Chemnitz vom 04.04.2022 – 6 O 550/21 wird zurückgewiesen.

2. Die Kosten des Berufungsverfahrens hat die Klägerin zu tragen.

3. Dieses Urteil und das angefochtene Urteil des Landgerichts Chemnitz vom 04.04.2022 – 6 O 550/21 sind ohne Sicherheitsleistung vorläufig vollstreckbar.

4. Die Revision wird nicht zugelassen.

Beschluss:

Der Streitwert wird auf 7.572,60 EUR festgesetzt.

Gründe

I.

Die Klägerin begehrt von der beklagten Sparkasse die Gutschrift eines Geldbetrages von 7.572,60 EUR, mit welchem ihr bei der Beklagten geführtes Girokonto (IBAN DE00 0000 0000 0000 0000 83) aufgrund einer Überweisung auf das Konto eines ihr unbekannten Dritten belastet wurde. Darüber hinaus beansprucht sie die Erstattung vorgerichtlicher Anwaltskosten nebst Zinsen.

Die Klägerin unterhält bei der Beklagten das vorbezeichnete Girokonto und nutzt seit ca. neun Jahren das Online-Banking im ChipTAN-Verfahren.

Bei Anwendung des ChipTAN-Verfahrens muss sich der Nutzer mit seinem Anmeldenamen und seiner PIN in sein Online-Banking-Konto einloggen, dort den Überweisungsauftrag erstellen, den danach automatisch generierten sogenannten Flickercode mit einem externen Chipkarten-Lesegerät, dem TAN-Generator, in den die Chipkarte eingesteckt wird, abscannen und dann auf diesem die nacheinander erscheinende IBAN des Empfängerkontos sowie den Überweisungsbetrag jeweils mit der Taste „OK“ bestätigen sowie zuletzt die danach vom Chipkarten-Lesegerät angezeigte TAN im entsprechenden Feld auf der Website eingeben. Im Falle der Nutzung einer nicht für das Konto freigeschalteten Karte wird eine falsche TAN erzeugt, die zur Ablehnung der Überweisung führt.

Die Beklagte führt quartalsweise eine Sicherheitsabfrage durch Abfrage einer TAN durch. Diese erfolgt durch Anzeige eines Codes, der mit dem Lesegerät abgescannt und erst bei Bestätigung der Übereinstimmung des Codes mit dem auf dem Lesegerät angezeigten Startcode zum nächsten Schritt führt. Die Abfrage wird jeweils 14 Tage vorher durch eine Mitteilung im Online-Banking-Konto angekündigt, zusätzlich läuft ein Countdown bis zum Verifizierungstermin. Die letzte solche Sicherheitsabfrage vor der streitgegenständlichen Überweisung erfolgte am 30.10.2020.

Am 02.11.2020 erschien beim Einloggen in das Online-Banking-Konto der Klägerin ein zwischengeschaltetes Feld mit der Aufforderung „jetzt verifizieren“ durch Überweisung eines Centbetrages, der angeblich nicht vom Konto abgehen sollte. Die Klägerin wurde direkt zur TAN-Eingabe weitergeleitet, musste dafür ihre Karte in das Lesegerät einstecken und schließlich die generierte TAN auf ihrem Rechner eingeben und bestätigen. Nach eigenen Angaben führte sie dies durch, ohne sich hierbei viel zu denken.

Am 03.12.2020 stellte die Klägerin fest, dass am 02.11.2020 ein Betrag von 7.572,60 EUR auf das Konto mit der IBAN DE00 0000 0000 0000 0000 25 (Kontoinhaber: S…… P……) überwiesen worden war.

Am selben Tage teilte die Klägerin der Beklagten telefonisch mit, dass sie diese 7.572,60 EUR nicht selbst überwiesen habe, und erstattete bei der Polizeidirektion Chemnitz, Polizeirevier Chemnitz-Südwest, Strafanzeige.

In dem daraufhin eingeleiteten Ermittlungsverfahren stellten die Beamten Schadprogramme auf dem Rechner der Klägerin fest, die eine sogenannte „Echtzeitmanipulation“ (Man-in-the-Middle-Attacke) ermöglichten.

Mit Verfügung vom 20.10.2021 stellte die Staatsanwaltschaft Chemnitz das unter dem Aktenzeichen 890 UJs 1091/21 gegen Unbekannt wegen Computerbetrugs in Tateinheit mit dem Ausspähen von Daten geführte Ermittlungsverfahren nach § 170 Abs. 2 StPO ein. Das wegen Geldwäsche geführte Ermittlungsverfahren gegen S……-I…… P…… wurde zuständigkeitshalber an die Staatsanwaltschaft Köln abgegeben. Diese teilte gegenüber der Staatsanwaltschaft Chemnitz unter dem Aktenzeichen 921 Js 123/21 am 23.03.2022 mit, dass Hintermänner der Geldwäsche bislang nicht hätten ermittelt werden können und unaufgefordert nachberichtet werde, sollte sich dies ändern.

Mit Schreiben vom 22.12.2020 teilte die Beklagte der Klägerin mit, dass sie aufgrund des von der Klägerin geschilderten Schadensfalls davon ausgehe, dass die Klägerin sich grob fahrlässig verhalten habe, indem sie Auftragsdaten bei der TAN-Erzeugung im ChipTAN-Verfahren nicht überprüft habe. Aufgrund dieses grob fahrlässigen Verhaltens sei die Beklagte gemäß § 675v Abs. 3 Nr. 2 BGB nicht verpflichtet, den Schaden zu übernehmen.

Mit außergerichtlichem Anwaltsschreiben vom 25.02.2021 forderte die Klägerin die Beklagte unter Fristsetzung bis 08.03.2021 zur Rückübertragung des überwiesenen Betrages von 7.572,60 EUR auf.

Die Beklagte lehnte dies mit Antwortschreiben vom 05.03.2021, auf das wegen der Einzelheiten verwiesen wird, gegenüber den Prozessbevollmächtigten der Klägerin erneut ab.

Die Klägerin trägt vor, sie habe sich am Vormittag des 02.11.2020 erfolgreich mit ihrem Konto bei der Beklagten online eingeloggt. Auf der täuschend echt wirkenden Seite sei eine vorbereitete Überweisung über einen geringen Centbetrag, dessen konkrete Höhe sie nicht mehr nennen könne, erschienen. Darunter habe der Satz gestanden, dass diese Überweisung der Verifizierung ihres Kontos diene und nicht von ihrem Konto abgebucht werde. Da in regelmäßigen Abständen tatsächlich Verifizierungen von der Beklagten verlangt würden und dies auch bei Zahlungsdiensten wie PayPal üblich sei, habe die Klägerin die Überweisung mittels TAN durchgeführt. Anschließend sei sie normal auf die Startseite der Beklagten weitergeleitet worden. Die Mitarbeiter Herr A…… und Frau K…… der Beklagten hätten mitgeteilt, dass am Nachmittag des 02.11.2020 und am Abend des 03.11.2020 Aktivitäten im Online-Banking der Klägerin vorgelegen hätten. Zu diesen Zeiten sei die Klägerin aber nicht online gewesen. Die Überweisung sei an eine der Klägerin unbekannte Person namens S…… P…… getätigt worden, der sein Konto für derartige Zwecke aus Unwissenheit zur Verfügung gestellt habe.

Die Klägerin ist der Auffassung, die Überweisung sei von ihr nicht autorisiert worden. Es könne ihr auch nicht der Vorwurf der groben Fahrlässigkeit gemacht werden, da die Internetpräsenz original nachgebildet gewesen sei. Es sei zu berücksichtigen, dass die Beklagte die mit dem Online-Banking verbundenen Risiken selbst schaffe und auch beherrschen müsse, indem sie tatsächliche Überprüfungen durchführe.

Die Beklagte ist der Klage entgegengetreten und hat sich auf den Standpunkt gestellt, die Klägerin habe die Überweisung von 7.572,60 EUR freigegeben, indem sie sowohl die Kontodaten als auch den Überweisungsbetrag nacheinander bestätigt und den Auftrag mit der erzeugten TAN durch Eingabe dieser abgeschlossen habe. Die Klägerin hätte angesichts des ihr unbekannten Empfängerkontos sowie eines Geldbetrags, den sie nicht habe überweisen wollen, bei sorgfältiger Prüfung den Vorgang abbrechen müssen. Da sie diese Prüfung offenbar nicht durchgeführt habe, müsse sie sich grobe Fahrlässigkeit im Sinne von § 675v Abs. 3 Nr. 2 BGB entgegenhalten lassen. Nach § 675l Abs. 1 BGB sei sie zudem verpflichtet gewesen, alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Anders als noch außergerichtlich bestreite die Beklagte im Rechtsstreit, dass die Klägerin nicht selbst den Betrag von 7.572,60 EUR an den Empfänger überwiesen habe. Denn es sei nicht anders möglich, als dass die Klägerin den beschriebenen Ablauf mit den einzelnen Bedienschritten – Eingabe von Anmeldename und PIN, Erstellen eines Überweisungsauftrags mit Eingabe des Betrages und der IBAN des Empfängers, Erzeugen der TAN mit der Sparkassencard und dem TAN-Generator, nach Anzeige der Auftragsdaten Bestätigung von Empfängerkonto und Überweisungsbetrag und schließlich Eingabe der erzeugten TAN zur Freigabe des Auftrags – vollzogen habe, um die Überweisung zu bewirken. Soweit sich die Klägerin darauf berufe, dass auch andere Zahlungsdienstleister wie PayPal sich dieses Sicherungsverfahrens bedienten, sei dies zum einen Ausdruck dafür, dass es ein vom Gesetzgeber vorgegebenes Sicherungsverfahren sei, zum anderen sei jedoch beispielsweise bei dem entsprechenden Verifizierungsverfahren von PayPal keine Überweisung auf ein Konto eines Dritten vorzunehmen, sondern eine TAN nach Anmeldung im PayPal-Konto sofort einzugeben, ohne dass hier eine Überweisung stattfinde. Demgegenüber habe die Klägerin nach eigenem Vorbringen eine betrügerisch veranlasste Überweisung eines Centbetrages auf ein fremdes Konto vorgenommen. Die Beklagte bestreite die Bestätigung von lediglich einem Centbetrag, da dann das Girokonto ansonsten auch nur mit diesem geringen Betrag belastet worden wäre.

Das Landgericht hat die Klage mit einem der Klägerin am 12.04.2022 zugestellten Urteil vom 04.04.2022 abgewiesen. Zur Begründung hat es ausgeführt, der Klägerin stehe ein Erstattungsanspruch gemäß § 675u Satz 2 BGB nicht zu, da die Klägerin den Zahlungsvorgang autorisiert habe. Ein nicht autorisierter Zahlungsvorgang liege dann vor, wenn er ohne wirksame Zustimmung des Zahlers ausgeführt werde. Diese Voraussetzung sei vorliegend nicht erfüllt. Aufgrund der Funktionsweise des ChipTAN-Verfahrens sei es praktisch ausgeschlossen, dass die streitgegenständliche Überweisung nicht von der Klägerin autorisiert worden sei. Für die Auslösung des Auftrags habe zwingend die Originalkarte eingesetzt werden müssen und hätten die Überweisungsdaten im Lesegerät bestätigt werden müssen. Die Verwendung einer falschen Karte hätte zur Ablehnung der Überweisung durch das System geführt. Da im Display des Empfangsgeräts für die TAN, hier im Chipkartenlesegerät, der manipulierte Zahlungsauftrag erscheine und somit bekannt werden würde, spreche der erste Anschein dafür, dass die Klägerin den Zahlungsvorgang durch Nutzung ihrer Zugangsdaten, Original EC-Karte und Bestätigung auf dem Lesegerät autorisiert habe. Dieser Anscheinsbeweis sei nach der Rechtsprechung des Bundesgerichtshofs für Online-Banking-Bezahlsysteme mit einem so hohen Sicherheitsstandard, dass das System als praktisch unüberwindbar anzusehen sei, anwendbar. Hierzu zähle das ChipTAN-Verfahren aufgrund der mehrstufigen Auftragsfreigabe und der sogenannten 2-Faktor-Authentifizierung. Der Anscheinsbeweis greife insbesondere bei einer Verletzung von Sorgfaltspflichten aus dem Zahlungsdienstvertrag und bei nicht vorgenommener Kontrolle von Empfänger, Betrag und Startcode entgegen den Bedingungen für das Online-Banking.

Die Klägerin habe den Anscheinsbeweis nicht zu entkräften vermocht. Sie habe in der mündlichen Verhandlung erklärt, den Anweisungen der Verifizierungsaufforderung gefolgt zu sein, ihre Karte in das Lesegerät eingesteckt und schließlich den Vorgang mit Eingabe der TAN bestätigt zu haben. Soweit sie sich nicht erinnere, welches Empfängerkonto und welcher Betrag ihr auf dem Lesegerät angezeigt worden sei und sie lediglich darauf verweise, die Daten in der Regel gründlich zu überprüfen, sei dies angesichts der beschriebenen Funktionsweise des ChipTAN-Verfahrens unerheblich. Mit ihrer Bestätigung habe sie den Auftrag autorisiert.

Ob eine Manipulation durch Betrüger in der Art, dass die Autorisierung entfiele, möglich sei, könne dahinstehen. Denn etwaige Ansprüche der Klägerin seien durch die als Aufrechnung mit Gegenansprüchen der Beklagten aus § 675v Abs. 3 Nr. 2b BGB zu verstehende Einwendung der Beklagten, die Klägerin habe grob fahrlässig gehandelt, gemäß § 389 BGB erloschen. Der Beklagten stehe ihrerseits ein Schadenersatzanspruch gegen die Klägerin gemäß § 675v Abs. 3 Nr. 2b BGB zu. Danach sei der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der aufgrund eines nicht autorisierten Zahlungsvorgangs entstanden sei, wenn er diesen durch grob fahrlässige Verletzung einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsauthentifizierungsinstruments herbeigeführt habe. Die Klägerin habe die Bedingungen für das Online-Banking verletzt, indem sie entgegen Ziffer 7.2 die Sicherheitshinweise auf der Website der Beklagten nicht beachtet habe und entgegen Ziffer 7.3 vor der Bestätigung die Übereinstimmung der im Lesegerät angezeigten Daten mit den Auftragsdaten nicht überprüft habe. In ihren Sicherheitshinweisen informiere die Beklagte über die gesetzlich vorgeschriebene, alle 90 Tage erfolgende TAN-Abfrage und warne unmittelbar im Anschluss davor, die PIN und TAN für „Testüberweisungen“ oder sonstige angeblichen „Überprüfungen“ einzugeben. Die Kenntnisnahme dieser Sicherheitshinweise war für die Klägerin, die für das Online-Banking ohnehin im Internet unterwegs sei und die Online-Bankingseite der Beklagten nutze, ohne weiteres möglich und gemäß Ziffer 7.2 der Vertragsbedingungen verpflichtend.

Ferner habe die Klägerin gegen Ziffer 7.3 verstoßen. Aufgrund der technischen Ausgestaltung des ChipTAN-Verfahrens sei die Bestätigung des im Lesegerät angezeigten Empfängerkontos und Zahlungsbetrags vor Erzeugung der TAN zwingend notwendig und ausgeschlossen, dass diese Daten nicht entsprechend dem ausgelösten Zahlungsauftrag angezeigt werden. Danach sei davon auszugehen, dass die Klägerin diese Daten ohne verpflichtende Überprüfung vorgenommen habe. Dies sei als grob fahrlässig einzuordnen. Dies gelte insbesondere, weil die Klägerin das ChipTAN-Verfahren schon seit neun Jahren nutze und ihr aufgefallen sei, dass die Aufforderung zur Verifizierung und deren Ablauf anders als üblich waren. Außerdem seien auf dem Laptop der Klägerin Viren gefunden worden. Den Einsatz eines aktuellen Virenschutzprogramms habe die Klägerin zum streitgegenständlichen Zeitpunkt nicht belegen können. Mangels Hauptanspruch stünden der Klägerin auch keine Ansprüche auf Erstattung vorgerichtlicher Rechtsanwaltskosten und Zinsen zu.

Hiergegen wendet sich die Klägerin mit ihrer am 25.04.2022 beim Oberlandesgericht Dresden eingegangenen und am Montag, dem 13.06.2022, begründeten Berufung.

Die Klägerin rügt, das Landgericht habe sich zu Unrecht auf einen Anscheinsbeweis gestützt, da es keinen typischen Lebenssachverhalt festgestellt habe. Das Landgericht habe verkannt, dass die Beklagte selbst von einer Phishingseite ausgegangen sei und damit von betrügerischen Handlungen. Es sei daher nicht zu erklären, wie das Landgericht noch eine Autorisierung annehmen könne, wenn unstreitig betrügerische Handlungen abgelaufen seien. Ferner habe das Landgericht keine konkreten Feststellungen zur praktischen Unüberwindbarkeit des von der Beklagten angewandten Sicherheitssystems getroffen. Die Beklagte habe den Nachweis einer Autorisierung schon nicht behauptet, erst recht nicht geführt. Sie habe keinen Vortrag dazu geleistet, welche Vorgänge mit welchen technischen Hintergründen vorliegend abgelaufen seien. Ferner habe das Landgericht der Klägerseite zu Unrecht aufgebürdet, den fehlerhaft angenommenen Anscheinsbeweis erschüttern zu müssen, also alle technischen Hintergründe, die die Beklagte ihrerseits schaffe, aufzuklären.

Zu Unrecht prüfe das Gericht das Vorliegen grober Fahrlässigkeit, auf die es bei der vom Landgericht angenommenen Autorisierung des Zahlungsvorganges gar nicht mehr ankomme. Ferner habe das Landgericht die subjektiven Komponenten der groben Fahrlässigkeit nicht geprüft. Es müsse sich um einen unentschuldbaren Verstoß handeln. Selbst ein objektiv grober Pflichtverstoß rechtfertige für sich noch keinen zwingenden Schluss auf ein entsprechend gesteigertes personales Verschulden. Das Landgericht treffe keine Unterscheidung zwischen Fahrlässigkeit und grober Fahrlässigkeit. Auch die Annahme eines konkreten Verstoßes sei nicht nachvollziehbar. Erst recht habe das Landgericht nicht begründet, weshalb die im Verkehr erforderliche Sorgfalt in ungewöhnlich hohem Maße verletzt worden sein soll und es jedem hätte einleuchten sollen, wann seine Bank entsprechende Verifizierungen durchführe. Der Kunde solle plötzlich dafür verantwortlich sein, dass er sich etwa nicht in seinem Kalender eintrage, wann es zur Abfrage gekommen sei und es werde ihm aufgebürdet, seine Bank womöglich zu fragen, ob sich dies irgendwann einmal ändere oder ob es ggf. neue Richtlinien zu den Zahlungsdiensten, die auch ein Fachanwalt kaum noch überblicken könne, gebe. Andere Banken würden niemals PIN oder TAN zu eigenen Zwecken abfragen. Das mache die Beklagte anders und setze damit ein Einfallstor für Betrugshandlungen, die gerichtsbekannt nur Sparkassen und Volksbanken beträfen. Ferner habe das Landgericht übergangen, dass nach Vortrag der Klägerin am 02.11.2020 nachmittags und am 03.11.2020 abends Aktivitäten im Online-Banking vorgelegen hätten, obwohl die Klägerin gar nicht eingeloggt gewesen sei. Entsprechende Aufklärung und Vortrag der Beklagten hierzu sei nicht erfolgt.

Die Klägerin beantragt, unter Abänderung der Entscheidung des Landgerichts Chemnitz vom 04.04.2022, die Beklagte zu verpflichten, 7.572,60 EUR dem Girokonto der Klägerin DE00 0000 0000 0000 0000 83 gutzuschreiben sowie vorgerichtliche Rechtsanwaltskosten in Höhe von 729,23 EUR an die Klägerin zu zahlen, zuzüglich Zinsen in Höhe von fünf Prozentpunkten über dem jeweiligen Basiszinssatz seit Rechtshängigkeit.

Die Beklagte beantragt, die Berufung der Klägerin zurückzuweisen.

Die Beklagte verteidigt das angefochtene Urteil unter Ergänzung und Vertiefung ihres erstinstanzlichen Vorbringens.

Sie trägt vor, von dem Konto der Klägerin als Zahlungsdienstnutzer bei der Beklagten als Zahlungsdienstleister sei am 02.11.2020, um 08:41 Uhr, ein Betrag in Höhe von 7.572,60 EUR auf ein inländisches Konto mit der IBAN DE00 0000 0000 0000 0000 25 überwiesen worden. Zu diesem Zeitpunkt sei ein Endgerät mit der Kommunikationsadresse 00.00.000.00/00005 im Online-Banking-Account der Klägerin eingeloggt gewesen. Die Überweisung sei im sogenannten ChipTAN-Verfahren nach Eingabe der Nutzerdaten der Klägerin, also Anmeldename und PIN, sowie mit Hilfe der im Besitz der Klägerin befindlichen Sparkassenkarte und der ihr übermittelten TAN …… durchgeführt worden.

Die Klägerin sei zuvor beim Online-Banking-Login nach dem Einloggen zu einer Überweisung zwecks Verifizierung aufgefordert worden. Sie habe die Auftragsdaten, die ihr danach im Chipkartenlesegerät angezeigt worden seien, nicht geprüft, jedoch zweimal mit der Taste „OK“ bestätigt. Die ihr dann auf dem Chipkartenlesegerät angezeigte TAN habe sie auf der ihr angezeigten Website eingegeben. Dies ergebe sich aus den eigenen Einlassungen der Klägerin, insbesondere im Termin zur mündlichen Verhandlung vor dem Landgericht am 15.03.2022. Auf dem Rechner der Klägerin habe sich eine Schadsoftware befunden, die nach dem eigenen Vortrag der Klägerin wohl eine täuschend echte Fake-Seite der Sparkasse aufgebaut und zu einer Verifizierung aufgefordert habe. Demgegenüber ergebe sich kein Anhaltspunkt dafür, dass das System der Beklagten selbst überwunden worden wäre oder sonst nicht ordnungsgemäß funktioniert hätte. Ohne jeden solchen Anhaltspunkt und angesichts des oben beschriebenen erwiesenen Ablaufs habe darüber auch kein Beweis erhoben werden müssen. Es gebe keine Umstände, die darauf hindeuteten, dass die Beklagte Opfer eines Hackerangriff geworden sei bzw. dass ihre Infrastruktur für die Täuschung genutzt worden sei. Andererseits habe sich auf dem Rechner der Klägerin unstreitig eine Schadsoftware befunden und habe die Klägerin die ihr übermittelte TAN in eine Maske eingegeben. Für den fraglichen Zeitraum – November und Dezember 2020 – lägen keinerlei Informationen über einen Angriff auf das Rechenzentrum der Beklagten vor. Die Klägerin habe keine Umstände vorgetragen, welche für einen nicht autorisierten Zahlungsvorgang sprechen und welche außerhalb des Sicherheitssystems der Beklagten als Zahlungsdienstleister lägen. Auch im November und Dezember 2020 habe das von der Beklagten verwendete System den gesetzlichen Anforderungen entsprochen, insbesondere jenen für die Ausführung von elektronischen Zahlungsaufträgen, und habe ordnungsgemäß funktioniert. Anhand des vorgelegten Transaktionsprotokolls (Anlage B5) könne festgestellt werden, dass die Überweisung durch eine TAN freigegeben worden sei und dass die Beklagte nicht Opfer eines Hackerangriffs geworden sei und nicht ihre Infrastruktur für die Täuschung benutzt worden sei.

Im Übrigen seien die rechtlichen Wertungen des Landgerichts nicht zu beanstanden. Bei dem Schadprogramm „Testüberweisung“ handele es sich um einen typischen Angriff durch Schadsoftware auf dem Rechner des Kunden. Die Klägerin verkenne den Begriff des autorisierten Zahlungsvorgangs und meine, weil sie Opfer von Betrügern mit Einsatz von Schadsoftware geworden und von den Betrügern getäuscht worden sei, liege keine Autorisierung vor. Das sei falsch, weil Autorisierung die Erklärung des Einverständnisses mit dem Zahlungsvorgang als tatsächliches Ereignis durch den berechtigten Nutzer darstelle. Eine Autorisierung fehle nur dann, wenn der Nutzer keine Zustimmung zu dem Zahlungsvorgang im Sinne des § 675j Abs. 1 Satz 1, Satz 2 BGB erteilt habe. Die Zustimmung werde mit Eingabe der TAN erteilt, wie es die Klägerin ausgeführt habe. Indem die Klägerin die ihr zugesandte TAN in die Überweisungsmaske eingegeben habe, habe sie objektiv erklärt, dass sie einer Überweisung des angegebenen Geldbetrages auf das angegebene Konto zustimme. Dass diese Erklärung mittels einer zwischengeschalteten Person bzw. Computersystemen übermittelt worden sei, stehe dem nicht entgegen. Insofern sei eine solche Person lediglich als Bote anzusehen, da diese die von der Klägerin selbst abgegebene Erklärung durch Eingabe der TAN unverfälscht und unverändert an die Beklagte weitergegeben habe. Für die Zurechnung dieser Erklärung zur Klägerin komme es nicht darauf an, ob der Zahlungsauftrag von einer dritten Person übermittelt worden sei.

Ebenso sei die Beurteilung des Landgerichts, die Klägerin habe grob fahrlässig gehandelt, rechtlich zutreffend. Die Klägerin sei ihrer Verpflichtung nicht nachgekommen, vor der Bestätigung der Überweisung die Übereinstimmung der angezeigten Daten mit den für die Transaktion vorgesehenen Daten zu prüfen. Dies sei grob fahrlässig, zumal der Zahlungsvorgang außerhalb einer von der Klägerin selbst geplanten Transaktion gestanden habe und damit ein gänzlich unüblicher Vorgang im Online-Banking der Klägerin gewesen sei, der diese hätte misstrauisch machen müssen. Im Rahmen der alle 90 Tage stattfindenden Verifizierung finde keine Überweisung, auch nicht eines Cent-Betrages, auf ein drittes Konto statt. Bei einem solchen Vorgang würden vielmehr auf dem Chipkarten-Lesegerät keinerlei Auftragsdaten angezeigt. Dementsprechend stehe der Beklagten gegen die Klägerin ein Schadenersatzanspruch in gleicher Höhe gemäß § 675v Abs. 3 Nr. 2b BGB zu, wollte man zu dem Ergebnis gelangen, dass die Klägerin den Auftrag nicht autorisiert habe, was rechtlich abwegig sei. Diesen Schadenersatzanspruch könne die Beklagte einem etwaigen Anspruch auf Wiedergutschrift mit Erfolg entgegenhalten.

Der Senat hat die Ermittlungsakte der Staatsanwaltschaft Chemnitz 890 UJs 1091/21 informatorisch beigezogen. Darüber hinaus hat der Senat die Parteien am 29.08.2022 darauf hingewiesen, dass im – hier vorliegenden – Fall einer streitigen Autorisierung des Zahlungsvorgangs der Zahlungsdienstleister nach § 675w Satz 1 BGB nachzuweisen habe, dass eine Authentifizierung erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht sowie nicht durch eine Störung beeinträchtigt wurde. Ferner wurde der Beklagten aufgegeben, bis spätestens 15.09.2022 die Authentifizierung des Zahlungsvorgangs in Gestalt einer ordnungsgemäßen störungsfreien Aufzeichnung und Verbuchung zu belegen, wobei sie insbesondere die (HBCI-)Transaktionsprotokolle und die TAN-Listen vom 02. und 03.11.2020 vorzulegen und im Einzelnen zu erläutern habe. Mit Schriftsatz vom 08.09.2022 hat die Beklagte ergänzende Unterlagen zu dem Zahlungsvorgang (TAN-Liste B8, Vertragsdaten der Klägerin B6, Einzelbuchungsnachweis B9, Auszug aus dem Zahlungsverkehr-Tagesgesamtprotokoll B10) vorgelegt und erläutert.

Der Senat hat beide Parteien im Termin zur mündlichen Verhandlung vom 29.09.2022 ergänzend angehört. Wegen des Ergebnisses der Anhörung wird auf die Sitzungsniederschrift (eA 47 bis 53) verwiesen.

Zur Ergänzung des Sach- und Streitstandes wird auf die zwischen den Parteien gewechselten Schriftsätze nebst Anlagen und die Sitzungsniederschrift des Landgerichts vom 15.03.2022 (GA 48 bis 52) Bezug genommen.

II.

Die zulässige, insbesondere form- und fristgerecht eingelegte und begründete Berufung der Klägerin bleibt im Ergebnis ohne Erfolg.

Zwar hat die Klägerin die streitgegenständliche Überweisung von 7.572,60 EUR nicht autorisiert, so dass ihr im Ausgangspunkt gemäß § 675u Satz 2 BGB gegen die Beklagte ein Anspruch auf Wiedergutschrift des Betrages auf ihrem Girokonto zusteht (unten Ziffer II.1). Die Beklagte kann diesem Anspruch jedoch mit Erfolg einen gegenläufigen Schadenersatzanspruch gegen die Klägerin aus § 675v Abs. 3 Nr. 2b) BGB entgegenhalten, da der Klägerin im Zusammenhang mit dem Zahlungsvorgang eine grob fahrlässige Verletzung von Pflichten aus dem Onlinebanking-Vertrag zur Last fällt (unten Ziffer II.2). Im Ergebnis hat daher das Landgericht die Klage zu Recht auch hinsichtlich der geltend gemachten Erstattung von außergerichtlichen Anwaltskosten abgewiesen (unten Ziffer II.3).

Im Einzelnen:

1.

Der Klägerin steht zunächst aus § 675u Satz 2 BGB ein Anspruch gegen die Beklagte darauf zu, ihrem Girokonto den Betrag von 7.572,60 EUR wieder gutzuschreiben, dessen Überweisung an einen unbekannten Dritten (S…… P……) die Klägerin nicht autorisiert hat.

a) Ein Zahlungsvorgang ist nach § 675j Abs. 1 Satz 1 BGB gegenüber dem Zahler nur wirksam, wenn er diesem zugestimmt hat (Autorisierung). Fehlt es an einer Autorisierung durch den Zahler (hier: die Klägerin), so steht dem Zahlungsdienstleister kein Aufwendungsersatzanspruch aus §§ 675c Satz 1, 670 BGB und dementsprechend kein Erstattungsanspruch nach § 675u Satz 1 BGB zu; vielmehr hat er dem Zahler den Zahlbetrag gemäß § 675u Satz 2 BGB unverzüglich zu erstatten und das Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.

Die Zustimmung kann entweder als Einwilligung oder als Genehmigung erteilt werden, wobei die Art und Weise der Zustimmung zwischen dem Zahler und seinem Zahlungsdienstleister zu vereinbaren sind. Insbesondere kann vereinbart werden, dass die Zustimmung mittels eines bestimmten Zahlungsinstruments erteilt werden kann (§ 675j Abs. 1 Sätze 2 bis 4 BGB). Nach h.M. handelt es sich bei der Zustimmung um eine einseitige, empfangsbedürftige Willenserklärung (vgl. MüKoHGB/Linardatos, 4. Aufl. 2019, K, Rn. 57; Grüneberg/Sprau, BGB, 81. Aufl., § 675j Rn. 3, m.w.N.; Zahrte, BKR 2016, 315, 316).

b) Der Senat erachtet es für unzulässig, die Frage der Autorisierung mit der Begründung offenzulassen, ein etwaiger Anspruch aus § 675u Satz 2 BGB sei jedenfalls durch Aufrechnung der Beklagten mit einem Schadenersatzanspruch aus § 675v Abs. 3 Nr. 2 BGB erloschen (§ 389 BGB) – so das Landgericht hilfsweise in der angegriffenen Entscheidung – oder die Beklagte könne dem Anspruch des Klägers wegen unzulässiger Rechtsausübung gemäß § 242 BGB (im Wege der dolo-agit-Einrede) einen entsprechenden Schadenersatzanspruch entgegenhalten. Denn zum einen kommt ein Schadenersatzanspruch der Beklagten aus § 675v BGB nur im Falle eines nicht autorisierten Zahlungsvorgangs in Betracht, zum anderen hat der Bundesgerichtshof jedenfalls einem Anscheinsbeweis auf der alternativen Grundlage, der Zahlungsdienstnutzer habe entweder den Zahlungsvorgang autorisiert oder aber grob fahrlässig gegen seine Pflichten aus § 675l BGB verstoßen, eine Absage erteilt (BGH, Urt. v. 21.01.2016 – XI ZR 91/14, Rn. 70 ff.; ebenso Maihold: in: Ellenberger/Bunte, Bankrechtshandbuch, 6. Aufl. 2022, § 33 Rn. 173). Denn dabei würde es sich um zwei nicht nur unterschiedliche, sondern häufig sogar gegenläufige Erfahrungssätze handeln (Maihold: in: Ellenberger/Bunte, Bankrechtshandbuch, 6. Aufl. 2022, § 33 Rn. 173).

c) Nach allgemeinen Grundsätzen trägt ein Zahlungsdienstnutzer, der – wie die Klägerin – einen Anspruch auf Wiedergutschrift nach § 675u Satz 2 BGB geltend macht, die Darlegungs- und Beweislast dafür, dass er den in Rede stehende Zahlungsvorgang nicht autorisiert hat (vgl. Senat, Urt. v. 21.06.2018 – 8 U 1586/17, Rn. 39 f., juris; Grüneberg/Sprau, BGB, 81. Aufl., § 675u Rn. 8; § 675w Rn. 6). Diese Grundsätze werden jedoch durch die Regelung in § 675w BGB überlagert und modifiziert. Ist nämlich die Autorisierung eines ausgeführten Zahlungsvorgangs streitig, hat der Zahlungsdienstleister nach § 675w Satz 1 BGB nachzuweisen, dass eine Authentifizierung erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht sowie nicht durch eine Störung beeinträchtigt wurde (vgl. OLG Karlsruhe, Urt. v. 12.04.2022 – 17 U 823/20, juris).

Der Wortlaut des § 675w BGB unterscheidet strikt zwischen Authentifizierung und Autorisierung: Hat der Zahlungsdienstleister die Anforderungen für eine Authentifizierung gemäß § 675w Satz 2 BGB erfüllt, so ist hiermit „nicht notwendigerweise“ auch die Autorisierung der Zahlung durch den berechtigten Nutzer gemäß § 675j Abs. 1 Satz 1 BGB nachgewiesen (§ 675w Satz 3 Nr. 1 BGB). Umgekehrt ist der Nachweis der Autorisierung gescheitert, wenn der Zahlungsdienstleister die ordnungsgemäße Authentifizierung des Vorgangs nicht darlegen und beweisen kann (§ 675w Satz 1 BGB). Mit dem Begriff der Autorisierung ist die Zustimmung des Zahlers zum Zahlungsvorgang gemäß § 675j Abs. 1 BGB gemeint. Unter Authentifizierung ist die technische und formalisierte Überprüfung der Identitätsbehauptung des Zahlers zu verstehen. Hierzu hat der Zahlungsdienstleister vor allem die personalisierten Sicherheitsmerkmale zu überprüfen (MüKoHGB/Linardatos, 4. Aufl. 2019, K, Rn. 233). Eine Authentifizierung ist erfolgt, wenn der Zahlungsdienstleister die Nutzung eines bestimmten Zahlungsinstruments, einschließlich seiner personalisierten Sicherheitsmerkmale, mit Hilfe eines Verfahrens überprüft hat. Dabei steht die Ausgestaltung des Authentifizierungsverfahrens im Organisationsermessen des Zahlungsdienstleisters (Senat, Urt. v. 06.02.2014 – 8 U 1218/13, Rn. 52, m.w.N.; BeckOK BGB, Hau/Poseck/Schmalenbach, 62. Edition, Stand 01.05.2022, § 675w Rn. 10).

aa) Der Frage der Authentifizierung hat das Landgericht keine genügende Beachtung geschenkt. Es ist vielmehr von einer Autorisierung des Zahlungsvorgangs ausgegangen, obwohl die Beklagte erstinstanzlich die ordnungsgemäße Authentifizierung des Vorgangs nicht dargetan und belegt hat. Auf der Grundlage des Erkenntnisstandes des Landgerichts hätte eine Autorisierung des Zahlungsvorgangs nach den vorgenannten Ausführungen ohne weitere Prüfung bereits mangels Authentifizierung des Vorgangs verneint werden bzw. ein Hinweis auf den fehlenden Nachweis einer Authentifizierung gegeben werden müssen. Erstmals im Berufungsverfahren hat die Beklagte hierzu die Anlage B5 vorgelegt. Darüber hinaus hat die Beklagte auf den vom Senat nachgeholten Hinweis ergänzende Unterlagen zur Akte gereicht. Mit dem ergänzenden Sachvortrag nebst Unterlagen kann die Beklagte in der Berufungsinstanz noch gehört werden, weil das Landgericht Fragen der Authentifizierung erkennbar für unerheblich gehalten hat (§ 531 Abs. 2 Satz 1 Nr. 1 ZPO) und entsprechende Hinweise nach § 139 Abs. 1 ZPO bereits in erster Instanz geboten gewesen wären.

bb) Die von der Beklagten im Berufungsrechtszug vorgelegten Unterlagen belegen, dass eine Authentifizierung, d.h. eine technische und formalisierte Überprüfung der Nutzung des Zahlungsinstruments einschließlich personalisierter Sicherungsinstrumente durch die Klägerin, erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht sowie nicht durch eine Störung beeinträchtigt wurde (§ 675w Satz 1 BGB):

Ausweislich der von der Beklagten als „Transaktionsprotokoll“ bezeichneten Anlage B5 wurde mit der Legitimations-Identifikationsnummer (Legitimations-ID) 0000000000000002 um 08:41 Uhr unter Verwendung der ChipTAN …… die Überweisung eines Betrages von 7.572,60 EUR an einen Stefan P., Empfänger IBAN DE00 0000 0000 0000 000025, veranlasst. Auf dem entsprechenden Protokoll, auf das wegen der Einzelheiten Bezug genommen wird (Anlage B5, Anlagenheft Beklagte in der E-Akte), heißt es außerdem „Der Auftrag wurde entgegengenommen“. Ferner enthält die Anlage eine Kommunikationsadresse (00.00.000.00/00005) und eine Übermittlernummer bzw. Benutzerkennung (0000000007).

Bei diesem Protokoll handelt es sich ausweislich der Erläuterungen der vom Vorstand der Beklagten bevollmächtigten Spezialistin für Betrugsfälle N…… H…… im Termin zur mündlichen Verhandlung vor dem Senat – ebenso wie bei den weiter vorgelegten Unterlagen – um einen nativen Ausdruck aus der EDV der Beklagten, der nicht nachträglich aufbereitet oder verändert wurde. In der ergänzend vorgelegten TAN-Liste (Anlage B8) ist der Zahlungsvorgang vom 02.11.2020 hiermit korrespondierend ebenfalls um 8.41 Uhr unter Dokumentation der Verwendung der ChipTAN …… erfasst und (störungsfrei) aufgezeichnet. Der Zahlungsvorgang ist als sogenannte Echtzeitüberweisung dokumentiert, wie sich aus dem Kürzel „DKIPC“ erschließt. Dies hat die vom Vorstand der Beklagten bevollmächtigte Spezialistin für Betrugsfälle Herzog im Termin zur mündlichen Verhandlung anschaulich erläutert. Die Angaben decken sich mit den in der Anlage B5 enthaltenen Aufzeichnungen, in welchen gleichfalls erwähnt wird, dass ein Echtzeitüberweisung unter Verwendung der ChipTAN …… stattgefunden hat. Soweit die vorgelegte TAN-Liste nur Aufzeichnungen im Zeitraum 16.09.2019 bis einschließlich 02.11.2020 und insbesondere keine solchen zum Folgetag, dem 03.11.2020, umfasst, ist dies unschädlich, da sich aus dem im Ermittlungsverfahren vorgelegten Kontoauszug (Beiakte Bl. 5 f.) ergibt, dass vom Konto der Klägerin am 03.11.2020 und auch in der Folgezeit keine Überweisungen auf ein anderes Konto vorgenommen wurden (dokumentiert sind hier lediglich Kartenzahlungen, Lastschriften, Bargeldauszahlungen und Überweisungsgutschriften auf dem Konto der Klägerin). Dies steht vollständig im Einklang mit den Angaben der Klägerin, die vor dem Senat geschildert hat, die Sparkassenseite nach dem 02.11.2020 erstmalig wieder am 03.12.2020 aufgesucht zu haben. Dementsprechend wäre – worauf die Beklagte zutreffend hinweist – auch nicht zu erwarten, dass die TAN-Liste Aufzeichnungen zum 03.11.2020 enthält. Hinzu kommt, dass die Beklagte widerspruchsfrei dokumentiert hat, dass für die Klägerin als sogenannte Vertragswerte die Benutzerkennung 0000000007 und die Legitimations-ID 0000000000000002 hinterlegt sind (Anlage B6). Beide Kenndaten stimmen mit den in der Anlage B5 dokumentierten überein und lassen sich zweifelsfrei der Klägerin zuordnen. Ergänzend hat die Beklagte einen Auszug aus dem Zahlungsverkehr-Tagesgesamtprotokoll vom 02.11.2020 als Anlage B10 vorgelegt, die sie auf Seite 5 des Schriftsatzes vom 08.09.2022 und in der mündlichen Verhandlung vor dem Senat erläutert hat. In der Gesamtschau belegen die vorgelegten und erläuterten Unterlagen, dass eine Authentifizierung erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht sowie nicht durch eine Störung beeinträchtigt wurde (vgl. § 675w Satz 1 BGB). Die Beklagte hat die Nutzung des Zahlungsinstruments einschließlich seiner personalisierten Sicherheitsmerkmale überprüft und konnte die Klägerin anhand der verwendeten Legitimations-ID und Benutzerkennung sowie der unter Nutzung ihrer Original-Sparkassenkarte generierten TAN als Zahlungsdienstnutzerin identifizieren. Ergänzend hat die Klägerin auf Frage des Senats bestätigt, ihre Sparkassenkarte zu jeder Zeit selbst in ihrem Besitz gehabt zu haben.

cc) Mit dieser Authentifizierung nach § 675w Satz 1 BGB stehen allerdings lediglich die Grund- bzw. Mindestvoraussetzungen für die Anwendung eines Anscheinsbeweises für eine ordnungsgemäße Autorisierung des Zahlungsvorgangs durch die Klägerin fest (vgl. Schnauder/Beesch, jurisPR-BKR 4/2019 Anm. 4, juris, S. 5, m.w.N.). Kann der Zahlungsdienstleister einen in technischer Hinsicht störungsfreien Zahlungsvorgang nachweisen, so spricht für die Autorisierung durch den Zahlungsdienstnutzer eine gewisse Vermutung, die jedoch nach § 675w Satz 3 BGB „allein nicht notwendigerweise“ zum Nachweis der Autorisierung ausreicht. Dies bedeutet, dass an den bloßen Nachweis der Authentifizierung durch Verwendung von PIN und TAN nicht die unwiderlegliche Vermutung geknüpft werden darf, der Zahler habe selbst die Zahlung autorisiert oder für sie nach § 675v BGB einzustehen. § 675w Satz 3 BGB erfordert vielmehr die Berücksichtigung der Gesamtumstände des Einzelfalls im Rahmen richterlicher Beweiswürdigung gemäß § 286 ZPO. Dieser beweisrechtliche Vorbehalt des Gesetzes schließt nach der Rechtsprechung des Bundesgerichtshofs (BGH, Urt. v. 26.01.2016 – XI ZR 91/14, Rn. 24, juris) die Anwendung der Grundsätze des Anscheinsbeweises auch beim Online-Banking nicht von vornherein aus, weil damit weder eine zwingende Beweisregel noch eine Beweisvermutung oder gar eine Beweislastumkehr begründet wird. Vielmehr wird ein Anscheinsbeweis bereits dadurch erschüttert, dass der Prozessgegner atypische Umstände des Einzelfalls darlegt und im Fall des Bestreitens nachweist, welche die ernsthafte, ebenfalls in Betracht kommende Möglichkeit einer anderen Ursache nahelegen. § 675w Satz 3 BGB begrenzt den Beweiswert einer schlichten Dokumentation des technischen Authentifizierungsvorgangs, um den Zahlungsdienstnutzer, der weder den Authentifizierungsvorgang technisch gestalten noch dessen korrekte Funktion im Einzelfall überblicken kann, nicht über § 675v Abs. 1 BGB hinaus mit den Risiken eines Missbrauchs technischer Authentifizierungsinstrumente zu belasten. Deshalb dürfen die Grundsätze des Anscheinsbeweises im Zahlungsdiensterecht beim Einsatz technischer Authentifizierungsinstrumente nicht so gehandhabt werden, dass sie bei Vorliegen allein der in § 675w Satz 3 BGB genannten technischen Merkmale aus praktischer Sicht einer Beweislastumkehr gleichkommen (BGH, a.a.O., Rn. 26, m.w.N.). Aus diesem Grunde erachtet der Bundesgerichtshof für die Anwendung der Grundsätze des Anscheinsbeweises allein die korrekte Aufzeichnung der Nutzung des Zahlungsauthentifizierungsinstruments nicht als ausreichend. Vielmehr müssen dessen allgemeine praktische Sicherheit und die Einhaltung des Sicherheitsverfahrens im konkreten Einzelfall feststehen. Zudem bedarf die Erschütterung des Anscheinsbeweises nicht zwingend der Behauptung und gegebenenfalls des Nachweises technischer Fehler des dokumentierten Authentifizierungsverfahrens (BGH, a.a.O., Rn. 27). Voraussetzung für die Anwendung des Anscheinsbeweises ist das Erreichen eines technischen Schutzniveaus, bei dem auf Grundlage aktueller Erkenntnisse die allgemeine praktische Unüberwindbarkeit des konkret eingesetzten Sicherungsverfahrens und dessen Beachtung im konkreten Einzelfall feststehen (vgl. BGH, a.a.O., Rn. 27 ff., 28, 32). An dieser Rechtslage hat die Umsetzung der Zweiten Zahlungsdiensterichtlinie (Richtlinie (EU) 2015/2366 über Zahlungsdienste im Binnenmarkt vom 25.11.2015 – ZDLR II) nichts geändert (Omlor, BKR 2019, 105, 110; Linardatos, NJW 2017, 2145, 2150; Hofmann, BKR 2018, 62, 68 f.; Beesch, jurisPR-BKR 11/2019 Anm. 1).

dd) Gemessen an diesen Maßstäben – allgemeine praktische Unüberwindbarkeit des eingesetzten Sicherungssystems, ordnungsgemäße Anwendung dieses Sicherheitssystems und dessen korrekte Funktion im Einzelfall (vgl. Meinhold, in: Ellenberger/Bunte, Bankrechtshandbuch, 6. Aufl. 2022, § 33 Rn. 181) – gilt Folgendes:

(1) Das hier zur Anwendung gelangte ChipTAN-Verfahren, auf welches sich die Parteien verständigt haben, ist im Ausgangspunkt ein Sicherungsverfahren, das nach bislang bekannt gewordenen Erkenntnissen grundsätzlich (noch) als unüberwindbar gilt (vgl. BGH, Urt. v. 26.01.2016, XI ZR 91/14, Rn. 35; MüKoHGB/Linardatos, K, 4. Aufl. 2019, Rn. 251; Maihold, in: Ellenberger/Bunte, Bankrechtshandbuch, 6. Aufl. 2022, § 33 Rn. 37 f.; Beesch, jurisPR-PKR 11/2019, Anm. 1). Dies liegt darin begründet, dass – wie das Landgericht zutreffend ausgeführt hat – bei Verwendung einer dynamischen TAN ein hohes Sicherheitsniveau durch die sichere Abschottung eines spezialisierten Chipkartenlesers (TAN-Generators) von dem möglicherweise kompromittierten Rechner erreicht wird, so dass es sich weitgehend ausschließen lässt, dass ein Angreifer durch Infizierung allein des vom Nutzer für das Online-Banking eingesetzten Geräts (Desktop-Rechner, Notebook, Tablet etc.) einen Zahlungsauftrag verfälschen oder gar auslösen kann, ohne dass dies spätestens bei Kontrolle der empfangenen TAN durch Kunde bzw. Bank auffällt (Maihold, in: Ellenberger/Bunte, Bankrechtshandbuch, 6. Aufl. 2022, § 33 Rn. 37 f.; ausführlich zum ChipTAN-Verfahren: Hoeren/Kairies, ZBB 2015, 35 ff.).

(2) Der Anscheinsbeweis ist allerdings erschüttert, wenn der Beweisgegner Tatsachen darlegt und ggf. zur vollen Überzeugung des erkennenden Gerichts beweist, die die ernsthafte, ebenfalls in Betracht kommende Möglichkeit einer anderen Ursache nahelegen.

Danach muss der Zahlungsdienstnutzer zur Erschütterung des Anscheinsbeweises keinen konkreten und erfolgreichen Angriff gegen das Authentifizierungsinstrument beweisen, sondern nur solche Umstände, die gegen die Autorisierung durch ihn und für ein missbräuchliches Eingreifen eines Dritten sprechen. Diese Anforderungen kann der Zahler auch dadurch erfüllen, dass er außerhalb des Sicherheitssystems des Zahlungsdienstleisters liegende Indizien, die für einen nicht autorisierten Zahlungsvorgang sprechen, substantiiert darlegt und bei Bestreiten nachweist (BGH, Urt. v. 26.01.2016 – XI ZR 91/14, Rn. 48).

(a) Die Klägerin hat erheblichen Sachvortrag dazu gehalten, dass der streitgegenständliche Zahlungsvorgang durch missbräuchliches Eingreifen eines Dritten manipuliert war.

Sie hat dargetan, dass sie am Vormittag des 02.11.2020 auf der vermeintlichen Website der Beklagten zur Überweisung eines Cent-Betrages, der angeblich nicht von ihrem Konto abgebucht werde, aufgefordert worden sei, um sich zu verifizieren. Hierzu habe sie mit dem Kartenlesegerät, in das sie ihre Karte eingesteckt habe, eine TAN generieren und in das vorgesehene Feld eingeben müssen. Erst dann sei sie auf die Online-Banking-Seite weitergeleitet worden und habe einen Kontoauszug abrufen können. Der überwiesene Betrag an den ihr unbekannten Empfänger sei nicht direkt sichtbar gewesen. Ein so hoher Betrag wäre ihr auch sofort ins Auge gesprungen. Die Polizei habe im Nachgang festgestellt, dass sich – trotz installierten Virenscanners – eine Schadsoftware auf dem Laptop der Klägerin befunden habe.

(b) Die Beklagte bestreitet nicht, dass der Zahlungsempfänger S…… P…… der Klägerin unbekannt ist (GA 38). Darüber hinaus geht sie selbst davon aus, dass Betrüger vor dem Zahlungsvorgang vom 02.11.2020 mit Hilfe einer auf dem Rechner der Klägerin installierten Schadsoftware ihre Zugangsdaten (Anmeldename, PIN) ausspähten und diese Daten dann bei der Manipulation verwendeten, indem sie sich damit Zugang zum Online-Banking-Account der Klägerin verschafften und dort den Auftrag generierten, den die Klägerin anschließend mit Hilfe ihres TAN-Generators freigegeben habe. Dies steht auch im Einklang mit dem Ermittlungsergebnis der Ermittlungsgruppe Cybercrime, die nach Untersuchung des Rechners der Klägerin von einer schadsoftwaregesteuerten Echtzeitmanipulation in Gestalt einer „Man-in-the-Middle-Attacke“ ausgeht, was bedeute, dass die Manipulation direkt bei der Geschädigten erfolgt sei und somit eine „Überweisungs-IP“ der Geschädigten zu sehen sei (Beiakte Bl. 91/92). Die Annahme einer Echtzeitmanipulation – und dementsprechend einer Echtzeitüberweisung deckt sich wiederum mit der Angabe des für Echtzeitüberweisungen stehenden Kürzel „DKIPC“ in der TAN-Liste, die gegenüber den sonstigen Kürzeln in der TAN-Liste aus dem Rahmen fällt.

Die Beklagte verwahrt sich lediglich gegen eine rechtliche Bewertung des missbräuchlichen Eingriffs in das Online-Banking dahin, dass die Klägerin den streitgegenständlichen Zahlungsvorgang nicht autorisiert habe. Denn die Klägerin müsse im Rahmen des zur Anwendung gelangten ChipTAN-Verfahrens ihre eigene Sparkassenkarte verwendet und die ihr auf dem Kartenlesegerät angezeigten Daten, namentlich die IBAN des Zahlungsempfängers und den Überweisungsbetrag, jeweils mit einem „OK“ bestätigt haben. Hierin liege eine Autorisierung des Zahlungsvorgangs i.S. von § 675j Abs. 1 BGB.

(c) In Rechtsprechung und Schrifttum ist umstritten, ob von Dritten unter Nutzung eines Zahlungsauthentifizierungsinstruments einschließlich seiner personalisierten Sicherheitsmerkmale veranlasste Zahlungsvorgänge dem Zahler nach den Grundsätzen der Anscheinsvollmacht zugerechnet werden können (vgl. BGH, Urt. v. 26.01.2016 – XI ZR 91/14, Rn. 56, m.w.N.; MüKoHGB/Linardatos, K, 4. Aufl. 2019, Rn. 60). Die Frage ist im Online-Banking besonders relevant, da beim erfolgreichen Ausspähen der Authentifizierungsdaten ein Dritter typischerweise „unter fremdem Namen“ handelt, nämlich unter demjenigen des berechtigten Nutzers. In diesem Fall sind die §§ 164 ff. BGB analog anwendbar, so dass ein Rückgriff auf allgemeine Rechtsscheinsgrundsätze naheliegend erscheint (MüKoHGB/Linardatos, K, 4. Aufl. 2019, Rn. 60).

(aa) Höchstrichterlich ist die Frage für die vorliegende Fallkonstellation noch nicht abschließend entschieden. Allerdings äußerte der Bundesgerichtshof in einer Entscheidung aus 2016 in einem obiter dictum mit Blick auf das zahlungsdiensterechtliche Haftungsregime systematische Bedenken (BGH, Urt. v. 26.01.2016 – XI ZR 91/14, Rn. 57 ff.) und hat dies in einer weiteren Entscheidung bekräftigt (vgl. BGH, Urt. v. 17.11.2020 – XI ZR 294/19, Rn. 13). Die Auffassung, ein Kontoinhaber müsse Zahlungsaufträge, die ein Dritter unter missbräuchlicher Verwendung eines Authentifizierungsinstruments erteilt hat, nach Rechtsscheingrundsätzen gegen sich gelten lassen, wenn ihm das Handeln des Nichtberechtigten bekannt war oder er es hätte erkennen können, sei mit den nach § 675e Abs. 1 BGB im Grundsatz abschließenden Regelungen in § 675j Abs. 1 Satz 4, § 675u Satz 1 BGB nicht zu vereinbaren. Denn nach dem zwischen Bank und Kunde geschlossenen Vertrag sei bei Nutzung eines – gemäß § 675l BGB ohnehin geheim zu haltenden – personalisierten Zahlungsauthentifizierungsinstruments eine Bevollmächtigung Dritter ausnahmslos ausgeschlossen. Zudem sei der in § 675v Abs. 2 BGB (a.F.) festgelegte Grundsatz, dass der Kontoinhaber für einen nicht autorisierten Zahlungsvorgang nur bei Vorsatz oder grober Fahrlässigkeit einzustehen habe, berührt, wenn daneben dessen Haftung nach den Regeln eines Handelns unter fremdem Namen auch für einfache Fahrlässigkeit in Betracht käme (BGH, Urt. v. 26.01.2016 – XI ZR 91/14, Rn. 58, m.w.N.).

(bb) Gleichwohl wurde und wird zum Teil im Schrifttum und in der instanzgerichtlichen Rechtsprechung im Falle schadsoftwaregestützter Manipulationen eine Zahlungsautorisierung unter bestimmten Voraussetzungen und mit verschiedenen Begründungsansätzen – vornehmlich nach den Grundsätzen der Anscheinsvollmacht – bejaht (vgl. LG Darmstadt, Urt. v. 28.08.2014 – 28 O 36/14 für einen Man-in-the-Middle-Angriff (Schadsoftware mit Freischaltungstrojaner) im Smart-TAN-plus-Verfahren; OLG Schleswig-Holstein, Beschl. v. 19.07.2010 – 3 W 47/10, Rn. 3 für die Weitergabe von Zugangsdaten wie Kontonummer, online-PIN, nicht verbrauchter TAN an einen Dritten; KG, Urt. v. 29.11.2010 – 26 U 159/09, Rn. 35 für eine angeblich fehlgeschlagene Anmeldung und Aufforderung zur Eingabe von vier unverbrauchten TAN für Login; OLG Köln, Beschl. v. 21.03.2016 – 13 U 223/15 und (vorangehend) LG Köln, 16.10.2015 – 30 O 330/14 für sogenannte Testüberweisungen (durch Freischaltungs-Trojaner); zustimmend: Zahrte, BKR 2016, 315,316 f.; so auch LG Bonn, Urt. v. 11.10.2016 – 17 O 30/15; offen gelassen bei schadsoftwaregesteuerter Testüberweisung: OLG Oldenburg, Beschl. v. 28.06.2018 – 8 U 163/17, dort über § 675v Abs. 2 Nr. 2 BGB (a.F.) unter Annahme grober Fahrlässigkeit gelöst; ähnlich AG Bonn, Urt. v. 15.04.2014 – 109 C 223/13). Letztlich wird die rechtliche Einordnung stark von den Einzelumständen der jeweiligen Fallgestaltung geprägt. Eine differenzierte Betrachtung ist angesichts der Vielzahl unterschiedlich ansetzender und verschieden wirkender missbräuchlicher Eingriffe in das Online-Banking auch geboten.

(cc) Anstelle einer Anwendung von Rechtsscheingrundsätzen auf missbräuchliche Eingriffe eines Dritten im Online-Banking wird teilweise eine Differenzierung danach vorgeschlagen, ob durch Auslegung des Verhaltens des Zahlers gemäß §§ 133, 157 BGB analog die Abgabe einer Zustimmungserklärung festgestellt werden kann (MüKoHGB/Linardatos, K, 4. Aufl. 2019, Rn. 65). Danach kommt es darauf an, ob der Zahler beim jeweils problematischen Zahlungsvorgang im Bewusstsein der eingetretenen Rechtsfolge, folglich mit Erklärungsbewusstsein, gehandelt hat (MüKoHGB/Linardatos, K, 4. Aufl. 2019, Rn. 65).

Zu Recht weist Linardatos (a.a.O.) darauf hin, dass die Ansicht, eine Autorisierung läge immer vor, wenn der Zahler infolge einer Täuschung selbst gehandelt hat, unzutreffend sein dürfte (so aber Köbrich, VuR 2015, 9, 11). Denn damit würde entgegen §§ 675u, 675v BGB das Missbrauchsrisiko pauschal dem Zahler zugewiesen, obwohl primärer Träger eines solchen Risikos der Zahlungsdienstleister ist (Linardatos, a.a.O.).

So handelt etwa bei einem sogenannten Rücküberweisungs-Trojaner, bei dem der Zahler unter Mitteilung einer angeblich versehentlich auf sein Konto erfolgten Überweisung (Gutschrift) aufgefordert wird, einen bestimmten Betrag auf ein bestimmtes Empfängerkonto (zurück) zu überweisen, mit entsprechendem Erklärungsbewusstsein und mit einem auf die konkrete Überweisung gerichteten Geschäftswillen. Im Irrtum ist er nur über die zugrunde liegenden Motive. Aus diesem Grunde ist bei dieser Fallgestaltung von einer Zahlungsautorisierung auszugehen (so auch OLG Brandenburg, Urt. v. 31.01.2018 – 13 U 5/17, Rn 37 ff.; AG Köln, Urt. v. 26.06.2013 – 119 C 143/13, Rn. 14; Zahrte, BKR 2016, 315, 316). Zu dieser Fallgruppe werden zuweilen auch die sogenannten Test- oder Probeüberweisungsfälle gezählt (vgl. OLG Köln, Beschl. v. 21.03.2016 – 13 U 223/15 und (vorangehend) LG Köln, 16.10.2015 – 30 O 330/14; Zahrte, BKR 2016, 315, 316; MüKoHGB/Linardatos, K, 4. Aufl. 2019, Rn. 66), da – ähnlich wie bei den Rücküberweisungsfällen – ein auf Vornahme einer Überweisung gerichteter Geschäftswille und damit eine Autorisierung anzunehmen sei.

Anders liegt es bei einem Freischaltungs-Trojaner, durch den der Zahler aufgefordert wird, zur Freischaltung seines Konto-Zugangs bzw. Verifizierung seiner Kontoberechtigung eine aktuelle TAN einzugeben, während im Hintergrund eine Überweisung initiiert wird. Hier könnte man die Autorisierung bezweifeln, da der Kunde gar kein entsprechendes Erklärungsbewusstsein hat, sondern gleichsam über die rechtliche Qualität seines Tuns irrt (vgl. Zahrte, BKR 2016, 315, 316, m.w.N.; MüKoHGB/Linardatos, K, 4. Aufl. 2019, Rn. 67). Nach Linardatos ist dem Zahler – anders als bei den Rücküberweisungs- (und Testüberweisungs-)fällen – in diesem Fall nicht bewusst, dass er eine Überweisung veranlasst. Er agiere vielmehr in dem Glauben, er würde lediglich seinen Konto-Zugang freischalten oder den Fortbestand seiner Kontoberechtigung bestätigen (MüKoHGB/Linardatos, K, 4. Aufl. 2019, Rn. 67).

Die vorliegende Fallgestaltung liegt in gewisser Weise zwischen den beiden Erscheinungsformen eines Rücküberweisungs- und eines Freischaltungs-Trojaners. Anders als bei einer Aufforderung zur Rücküberweisung eines bestimmten Betrages an einen bestimmten Zahlungsempfänger handelte die Klägerin hier keinesfalls in dem Bewusstsein, den Betrag von 7.572,60 EUR an einen Herrn Stefan P. bzw. auf sein Konto bei der Kreissparkasse Köln zu überweisen. Nach Darstellung der Klägerin hatte sie – trotz Erscheinens einer ihr vorgegebenen Überweisungsmaske, die eine Überweisung eines ihr nicht mehr ganz konkret erinnerlichen Centbetrages an „Max Mustermann“ auswies – keinen auf Vornahme eines Geldtransfers gerichteten Erklärungswillen. Denn die Klägerin hat unwidersprochen vorgetragen, im Zusammenhang mit der Aufforderung zur „Testüberweisung“ eines Centbetrages sei zugleich der Hinweis erschienen, dieser werde nicht von ihrem Konto abgebucht, da die „Überweisung“ nur der Verifizierung diene. An Plausibilität gewinnt diese der Klägerin in Erinnerung gebliebene Aussage durch die Angabe von „Max Mustermann“ als Empfänger der Überweisung. Denn es entspricht der Lebenserfahrung, dass eine solche Namensbezeichnung mit ganz hoher Wahrscheinlichkeit zu Demonstrationszwecken und nicht zur Bezeichnung einer real existierenden Person Verwendung findet. Danach handelte die Klägerin – anders als der Kunde in dem vom Oberlandesgericht Köln behandelten Fall einer Testüberweisung (vgl. OLG Köln, Beschl. v. 21.03.2016 – 13 U 223/15 und (vorangehend) LG Köln, 16.10.2015 – 30 O 330/14) – genauso wie bei einem sogenannten Freischaltungs-Trojaner nicht in dem Bewusstsein, eine Überweisung zu tätigen, sondern lediglich in der Absicht, ihre Kontoberechtigung nachzuweisen bzw. zu bestätigen. Eine Autorisierung des Zahlungsvorgangs durch die Klägerin ist daher im Streitfall zu verneinen, ohne dass es darauf ankommt, ob Testüberweisungsfälle, bei denen zwar eine Überweisung, aber nicht die tatsächlich initiierte, sondern die eines geringen Betrages zur Kontoverifizierung bewirkt werden soll, generell wie Rücküberweisungsfälle, bei denen der Wille auf die tatsächlich bewirkte Überweisung gerichtet ist, oder wie Fälle, in denen ein Freischaltungs-Trojaner, der ohne Überweisungsaufforderung lediglich zur TAN-Generierung und -Eingabe auffordert, zum Einsatz gelangte, zu behandeln sind.

Wegen des – verdeckt ablaufenden – Missbrauchs ist unter den vorliegenden Einzelfallumständen eine Autorisierung zu verneinen (wie hier wohl auch: Maihold in: Ellenberger/Bunte, Bankrechtshandbuch, 6. Aufl. 2022, § 33 Rn. 361, Rn. 263; Omlor, EWiR 2014, 701, 702 – Anm. zu LG Darmstadt, Urt. v. 28.08.2014 – 28 O 36/14, die annehmen, dass ein verfälschter Zahlungsauftrag zwar nicht zu einer Autorisierung führe, aber, sofern der Bankkunde die abschließende Kontrolle der Zahlungsdaten unterlasse, eine Pflichtverletzung darstelle, die im Falle grober Fahrlässigkeit zur Haftung des Kunden nach § 675v Abs. 3 BGB führe; vgl. auch OLG Oldenburg, Beschl. v. 28.06.2018 und vom 21.08.2018 – 8 U 163/17; LG Frankfurt, Urt. v. 04.06.2020 – 2-02 O 271/19).

2.

Dem der Klägerin mangels Autorisierung des Zahlungsvorgangs zustehenden Anspruch aus § 675u Satz 2 BGB steht allerdings ein Schadenersatzanspruch der Beklagten gegen die Klägerin aus § 675v Abs. 3 Nr. 2b BGB in gleicher Höhe entgegen, den die Beklagte der Klägerin gemäß § 242 BGB nach Treu und Glauben erfolgreich entgegenhalten kann, so dass die Klägerin im Ergebnis eine Wiedergutschrift des Überweisungsbetrages von 7.527,60 EUR nicht verlangen kann. Besteht ein Schadensersatzanspruch des Zahlungsdienstleisters, kann in Höhe des Anspruchs eine Gutschrift nach § 675u Satz 2 BGB gemäß den Grundsätzen von Treu und Glauben verweigert werden (vgl. BGH, Urt. v. 17.11.2020 – XI ZR 294/19, Rn. 25; BGH, Urt. v. 05.10.2004 – XI ZR 210/03).

a) Soweit das Landgericht hilfsweise von einer Aufrechnung ausgegangen ist, scheidet diese mangels Gleichartigkeit der einander gegenüber stehenden Ansprüche aus; die Klägerin macht nämlich vorliegend nur den Anspruch auf Gutschrift, nicht auf Auszahlung geltend.

b) Ein Schadenersatzanspruch der Beklagten gegen die Klägerin aus § 675v Abs. 3 Nr. 2 BGB, gerichtet auf Ersatz des gesamten Schadens, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist (nicht lediglich auf Ersatz von 50 EUR, vgl. Abs. 1), besteht dann, wenn der Zahler den Schaden durch grob fahrlässige Verletzung a) einer oder mehrerer Pflichten gemäß § 675l Abs. 1 BGB oder b) einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments herbeigeführt hat.

aa) Ein Schadenersatzanspruch aus § 675v Abs. 3 Nr. 2a BGB scheidet aus.

Anhaltspunkte dafür, dass der Klägerin ein Zahlungsinstrument abhanden gekommen ist, sind weder dargetan noch ersichtlich. Nach dem durch Vorlage entsprechender Unterlagen untermauerten Vortrag der Beklagten ist der streitgegenständliche Zahlungsvorgang durch die Originalkarte der Klägerin mit ihrer Legitimations-ID vorgenommen worden, ohne dass die Klägerin vorträgt, zeitweilig oder dauerhaft nicht in deren Besitz gewesen zu sein. Ebenso wenig steht in Rede, dass die Klägerin die missbräuchliche Nutzung des Online-Banking-Accounts durch einen unbefugten Dritten der Beklagten verspätet angezeigt hat.

bb) Allerdings steht der Beklagten gegen die Klägerin ein Schadenersatzanspruch gemäß § 675v Abs. 3 Nr. 2b BGB wegen eines grob fahrlässigen Verstoßes der Klägerin gegen mehrere Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments zu.

(1) Da die Zahlungsdiensterichtlinie die Ausgestaltung des Begriffs der groben Fahrlässigkeit dem einzelstaatlichen Recht überlässt (Erwägungsgrund Nr. 33 Richtlinie 2007/64/EG vom 13.11.2007 über Zahlungsdienste im Binnenmarkt), kann an die bisherige Rechtsprechung angeknüpft werden. Danach liegt grobe Fahrlässigkeit vor, wenn die im Verkehr erforderliche Sorgfalt in ungewöhnlich grobem Maße verletzt worden ist und auch ganz nahe liegende Überlegungen nicht angestellt worden sind oder das nicht beachtet worden ist, was im konkreten Fall jedem hätte einleuchten müssen (BGH, Urt. v. 23.09.2008 – XI ZR 253/07, Rn. 34, m.w.N.). Zu beachten ist jedoch, dass anders als bei einfacher Fahrlässigkeit, die nach einem ausschließlich objektiven Pflichtenmaßstab beurteilt wird, bei grober Fahrlässigkeit auch subjektive, in der Individualität des jeweils Handelnden begründete Umstände zu berücksichtigen sind (BGH, Urt. v. 26.01.2016 – XI ZR 91/14, Rn. 73; Maihold in: Ellenberger/Bunte, Bankrechtshandbuch, 6. Aufl. 2022, § 33 Rn. 246). Selbst ein objektiv grober Pflichtverstoß rechtfertigt für sich noch keinen zwingenden Schluss auf ein entsprechend gesteigertes personales Verschulden (BGH, Urt. v. 26.01.2016 – XI ZR 91/14, Rn. 73, m.w.N.). Den Teilnehmer am Online-Banking muss vielmehr nicht nur aus objektiver Sicht, sondern auch subjektiv ein schlechthin unentschuldbares Versagen bei der Befolgung ihm erkennbarer Pflichten treffen (Maihold in: Ellenberger/Bunte, Bankrechtshandbuch, 6. Aufl. 2022, § 33 Rn. 246).

In den nicht selten komplexen und wegen ihrer großen Vielfalt nicht von jedem ohne weiteres zu überblickenden Online-Banking-Verfahren können auch die Unerfahrenheit oder Unbeholfenheit des Kunden grobe Fahrlässigkeit ausschließen. Zu beachten sind deswegen individuelle Kenntnisse, technische Erfahrung und praktische Gewandtheit des konkreten Teilnehmers am Online-Banking (Maihold in: Ellenberger/Bunte, Bankrechtshandbuch, 6. Aufl. 2022, § 33 Rn. 247).

(3) Gemessen an diesen Maßstäben lassen sich zwei objektiv schwerwiegende Pflichtverstöße der Klägerin identifizieren, die unter Berücksichtigung der individuellen Kenntnisse und Fähigkeiten der Klägerin sowie ihrer Erfahrungen und Kompetenzen im Bereich Online-Banking auch in subjektiver Hinsicht nicht mehr als entschuldbar angesehen werden können.

(a) Noch keine – im Streitfall kausal gewordene – gravierende Pflichtverletzung der Klägerin ist allerdings im Zusammenhang mit einem mangelnden Schutz ihres Computers vor Viren, Würmern und Schadsoftware festzustellen.

Soweit sich die Beklagte darauf beruft, die Klägerin habe nicht hinreichend dargelegt, das genutzte System durch technische Maßnahmen gegen das Ausspähen der Sicherheitsmerkmale gesichert und durch ein aktuell gehaltenes Antivirenprogramm geschützt zu haben, gehört die Nutzung eines in angemessenen Abständen aktualisierten Antivirenprogramms allgemein zu den Mindestanforderungen, die an die Absicherung eines Rechners zu stellen sind, denn laufend aktualisierte Virenscanner können ihnen bekannte und ggf. auch neu auftauchende Schadprogramme (Computerviren, Computerwürmer und Trojaner sowie sog. unerwünschte Programme) entdecken, deren Aktivitäten blockieren und diese Schädlinge isolieren (Maihold in: Ellenberger/Bunte, Bankrechtshandbuch, 6. Aufl. 2022, § 33 Rn. 340, 341). Die Nichtbeachtung ist als grob fahrlässig einzustufen; allerdings ist die Kausalität zwischen fehlendem oder unzureichendem Virenschutz und einer nicht autorisierten Kontoverfügung nicht einfach festzustellen, da Schadprogramme einen üblichen und angemessen aktualisierten Virenscanner durchaus überwinden können (Maihold, a.a.O., Rn. 345, 354). Es ist daher regelmäßig als ausreichend anzusehen, wenn der Bankkunde – ebenso wie bei der Firewall, mit der gegenwärtig nahezu alle Router, die die Verbindung zwischen einem privaten Netzwerk und dem Internet herstellen, ausgestattet sind (Maihold, a.a.O., Rn. 350) – eine vorkonfigurierte automatische Updatefunktion nicht aussetzt und die vorgesehenen Aktivierungsprogramme nicht ändert (Maihold in: Ellenberger/Bunte, Bankrechtshandbuch, 6. Aufl. 2022, § 33 Rn. 354, 355). Dass die Klägerin vorhandene Update- und Schutzfunktionen nicht ausgesetzt hat, hat sie in ihrer Anhörung durch den Senat glaubhaft bestätigt, ohne dass die Beklagte ihren Ausführungen insoweit entgegen getreten wäre. Allein der Umstand, dass der PC eines Geschädigten – wie hier der Computer der Klägerin – einem Trojaner-Angriff unterlag, begründet noch kein Indiz dafür, dass er kein oder kein ausreichendes Virenschutzprogramm benutzt hat (vgl. KG, Urt. v. 29.11.2010 – 26 U 159/09, Rn. 67 m.w.N.; LG Oldenburg, Urt. v. 15.01.2016 – 8 O 1454; Kümpel/Mülbert/Früh/Seyfried, Bankrecht und Kapitalmarktrecht, 6. Aufl. 2022, Recht der Zahlungsdienste, Rn. 4.599).

(b) Eine Nichtbeachtung der Empfehlung, auf die Protokollbezeichnung https:// und das in der Fußzeile des Browsers angezeigte dazugehörige Symbol (beides Zeichen einer geschützten SSL-Verbindung) zu achten, ist ebenfalls nicht als grob fahrlässig einzustufen, da dies eine gewisse Vertrautheit mit der Browsertechnik und den Besonderheiten unterschiedlicher Übertragungsprotokolle voraussetzt, über die nicht nur die Klägerin, sondern viele Bankkunden nicht verfügen. Zudem täuschen fortgeschrittene Angriffsmethoden den Nutzer auch insoweit, als sie die Adresszeile entsprechend manipulieren, über das genannte Symbol eine Grafik legen, die Statuszeile vorübergehend ausblenden oder schlicht zu dem von ihnen betriebenen Server ebenfalls eine SSL-Verbindung aufbauen (vgl. Maihold in: Ellenberger/Bunte, Bankrechtshandbuch, 6. Aufl. 2022, § 33 Rn. 295, m.w.N.; MüKoBGB/Zetzsche, 8. Aufl. 2020, § 675v Rn. 55). Die Beklagte hat sich daher insoweit zu Recht nicht auf ein grob fahrlässiges Versäumnis der Klägerin berufen.

(c) Ein objektiv schwerwiegender Pflichtverstoß der Klägerin liegt allerdings darin, dass die Klägerin – entgegen Ziffer 7.3 der nach den unangegriffenen Feststellungen des Landgerichts in den Vertrag mit der Beklagten einbezogenen Vertragsbedingungen – vor der Bestätigung des Zahlungsauftrags die Übereinstimmung der ihr auf dem Chipkarten-Lesegerät (TAN-Generator) angezeigten Daten, namentlich der IBAN des Kontos des Zahlungsempfängers und des Überweisungsbetrages mit den für den Auftrag vorgesehenen Daten nicht überprüft hat.

Hierbei handelt es sich um eine objektiv sachlich gerechtfertigte und zugleich verhältnismäßige Pflicht. Denn in Authentifizierungsverfahren, in denen wie im vorliegend zur Anwendung gelangten ChipTAN-Verfahren das Authentifizierungselement (regelmäßig eine TAN), mit dem der Zahlungsauftrag abschließend freigegeben wird, an dessen Inhalt gebunden ist, stellt die abschließende Kontrolle der Zahlungsdaten den zentralen Schutz vor einer Kompromittierung des Zahlungsauftrags dar. Wegen der Verknüpfung der abschließenden Freigabe ausschließlich mit den angezeigten Daten des tatsächlich auszuführenden (Zahlungs-)Auftrags ist nach gegenwärtigem Stand der Technik eine Verfälschung der Auftragsdaten nach deren Freigabe durch den Kunden für die Bank erkennbar und würde bei korrekter Implementierung des Verfahrens zur Ablehnung des Zahlungsvorgangs führen. Werden hingegen die Inhalte des Zahlungsauftrags bereits vor abschließender Freigabe durch den Kunden durch den Zugriff eines Dritten verfälscht, kann der Kunde dies bei einer sorgfältigen Prüfung der ihm übermittelten Zahlungsdaten erkennen und seinerseits den Zahlungsauftrag abbrechen. Unterlässt der Bankkunde diese abschließende Kontrolle der Zahlungsdaten, stellt dies eine schwerwiegende Pflichtverletzung dar, die im Falle auch subjektiv festzustellender grober Fahrlässigkeit zur Haftung des Kunden nach § 675v Abs. 3 BGB führt (Maihold in: Ellenberger/Bunte, Bankrechtshandbuch, 6. Aufl. 2022, § 33 Rn. 361, Rn. 263; Omlor, EWiR 2014, 701, 702). Für die geforderte Überprüfung der Integrität der (Zahlungs-)Daten kann der Kunde diese unschwer am jeweils zum Empfang dieser Daten vorgesehenen Gerät ablesen, mit den gewünschten (Zahlungs-)Daten abgleichen und im Falle einer Differenz von einer anschließenden Freigabe des (Zahlungs-)Auftrags absehen. Verletzt ein Kunde diese selbstverständliche Pflicht, so wird er im Regelfall auch grob fahrlässig handeln (vgl. OLG Oldenburg, Beschl. v. 28.06.2018 – 8 U 163/17, Rn. 10; LG Frankfurt, Urt. v. 04.06.2020 – 2-02 O 271/19; AG Bonn, Urt. v. 15.04.2014 – 109 C 223/13). Die abschließende Kontrolle der (Zahlungs-)Daten vor deren endgültigen Freigabe gehört – ebenso wie etwa die Kontrolle vor Unterschrift unter einen zuvor ausgefüllten Überweisungsträger – zu den jedermann bekannten Grundpflichten im Zahlungsverkehr (Maihold in: Ellenberger/Bunte, Bankrechtshandbuch, 6. Aufl. 2022, § 33 Rn. 362). Denn die Kontenbelastung kann beim ChipTAN-Verfahren nur durch eine Person erfolgen, die im Besitz der Bankkarte ist (vgl. auf Grundlage eines eingeholten Sachverständigengutachtens LG Bonn, Urt. v. 11.10.2016 – 17 O 30/15, Rn. 37, 38).

(d) Diese Kontrolle der ihr vor Freigabe des Auftrags durch die mit ihrer Original-Sparkassenkarte generierte TAN angezeigten Daten (IBAN des Empfängers und Betrag) hat die Klägerin in ihr auch subjektiv vorwerfbarer Weise grob fahrlässig vernachlässigt.

Die Klägerin konnte zur Frage, welche Daten ihr auf dem Display des TAN-Generators vor Generierung der TAN und deren Eingabe auf dem Rechner angezeigt wurden, weder vor dem Landgericht noch im Rahmen ihrer Anhörung vor dem Senat konkrete Angaben machen. Sie erklärte lediglich, dass sie regelmäßig die ihr angezeigten Daten abgleiche und äußerte weiter die Vermutung, dass ihr ein über 7.000 EUR liegender Betrag ins Auge gesprungen wäre. Allerdings weist das vorliegend zur Anwendung gelangte ChipTAN-Verfahren die technische Eigenart und Beschaffenheit auf, dass die für den jeweiligen Vorgang generierte TAN ausschließlich auf den betreffenden Vorgang zugeschnitten ist und nur für diesen und keinen anderen mit Erfolg verwendet werden und eine Freigabe bewirken kann. Die von der Klägerin mit Hilfe ihrer Original-Sparkassenkarte auf dem Kartenlesegerät generierte TAN kann daher bei Eingabe auf dem Rechner ausschließlich die Freigabe desjenigen Vorgangs bewirken, der auch auf dem Display des TAN-Generators angezeigt wird. Gerade diese technische Eigenart bedingt neben der Abschottung des zusätzlich verwendeten Kartenlesegeräts von dem im Einzelfall möglicherweise kompromittierten Rechner das hohe Sicherheitsniveau des ChipTAN-Verfahrens. Die durch Einscannen des Flickercodes mittels Sparkassenkarte generierte TAN eignet sich ausschließlich zur Freigabe des tatsächlich zur Ausführung anstehenden Auftrags, dessen Daten in dem Flickercode enthalten sind. Ausschließlich dessen Daten werden dem Zahlungsdienstnutzer auf dem TAN-Generator angezeigt, so dass der Kunde durch Kontrolle der Daten vor Freigabe des Auftrags dessen Ausführung abbrechen und verhindern kann, wenn es sich dabei nicht um den gewünschten Vorgang handelt. Die Missachtung der unter Ziffer 7.3 der vereinbarten Bedingungen zum Online-Banking übernommene Verpflichtung des Bankkunden zur Abgleichung der ihm am TAN-Generator angezeigten Daten mit den Daten des tatsächlich gewünschten Vorgangs, stellt sich danach als ein Kardinalfehler dar, der die Schutzmechanismen und das grundsätzlich hohe Sicherheitsniveau des ChipTAN-Verfahrens ins Leere laufen lässt.

Dem steht nicht entgegen, dass nach den Angaben der vom Vorstand der Beklagten bevollmächtigten Sicherheitsexpertin Herzog im Termin zur mündlichen Verhandlung nicht ausgeschlossen ist, dass der in der Anlage B5 im Zusammenhang mit dem Zahlungsauftrag wiedergegebene Visualisierungstext „Sie haben eine Echtzeitüberweisung erfasst: Überprüfen Sie die Richtigkeit der letzten 10 Zeichen der IBAN des Empfängers bei dem Institut „KR SPK KOELN“ und bestätigen diese mit der Taste „OK“. Überprüfen Sie die Richtigkeit des „Betrags“ und bestätigen diesen mit der Taste „OK“, der bei regelgerechtem Verlauf einer Überweisung grundsätzlich auf dem Computer des Zahlungsdienstnutzers angezeigt wird, möglicherweise aufgrund einer Schadsoftware überblendet oder verdeckt war. Denn anders als die Anzeige auf dem Rechner der Klägerin konnte der Angreifer mittels Schadsoftware nicht die vom Dateninhalt des Flickercodes für den tatsächlich zur Ausführung gelangten Auftrag abhängige und bestimmte Anzeige von Daten auf dem – mit dem Rechner nicht verbundenen – TAN-Generator beeinflussen oder manipulieren. Ein solcher Fall ist bislang weder in der Literatur noch in der Rechtsprechung bekannt geworden oder beschrieben worden. Vielmehr wird allgemein auch im allerneuesten Schrifttum weiterhin das aus den dargelegten Gründen hohe Sicherheitsniveau des ChipTAN-Verfahrens und dessen aufgrund der oben dargestellten Merkmale bestehende praktische Unüberwindbarkeit zugrunde gelegt (Maihold, in: Ellenberger/Bunte, Bankrechtshandbuch, 6. Aufl. 2022, § 33 Rn. 37 f.).

Die Klägerin war aufgrund ihrer individuellen Kenntnisse und Fähigkeiten ohne weiteres in der Lage, die Bedeutung der Datenkontrolle vor einer abschließenden Freigabe durch Eingabe der generierten TAN in ihren Rechner intellektuell zu erfassen und nach dieser Einsicht zu handeln. Sie betreibt nach eigenen Angaben bereits seit rund neun Jahren Online-Banking und war mit den entsprechenden Abläufen vertraut. Auch die Vornahme von Überweisungen war ihr geläufig. Aufgrund der darin ebenfalls erlangten Routine war ihr bewusst, dass sie stets die IBAN des Zahlungsempfängers und den Überweisungsbetrag durch Betätigen der OK-Taste zu bestätigen hatte und die generierte TAN für den konkreten ihr auf dem TAN-Generator angezeigten Vorgang auf dem Rechner eingab. Im Unterschied zu einem solchen Überweisungsvorgang waren ihr als Nutzerin des Online-Bankings der Beklagten auch die Abläufe bei einem hiervon zu unterscheidenden turnusmäßig stattfindendem Verifizierungsvorgang vertraut. Es konnte im Rahmen der Anhörung der Klägerin auch nicht festgestellt werden, dass bei ihr die notwendige Sensibilität für Sicherheitsaspekte beim Online-Banking unterentwickelt oder nicht hinreichend ausgeprägt gewesen wären. So beschrieb die Klägerin dem Senat einen höchst sensiblen und verständigen Umgang mit verdächtigen Mails und darin enthaltenen Links und Anlagen. Soweit die Klägerin einen Abgleich der ihr angezeigten Daten vor Freigabe mittels von ihr generierter TAN verabsäumte, liegt darin auch ein subjektiv unentschuldbarer Verstoß gegen bestehende Sorgfaltspflichten. Dies gilt auch unter Berücksichtigung des Umstandes, dass die Klägerin wegen des Hinweises darauf, der Centbetrag werde nicht tatsächlich von ihrem Konto abgebucht, vielmehr diene der Vorgang lediglich zur Kontenverifizierung, nicht mit der Veranlassung einer Überweisung rechnete, insbesondere eine solche nicht selbst geplant hatte. Denn ihr war jedenfalls bewusst, dass ein Abgleich der angezeigten Daten mit den tatsächlich gewollten Datenübermittlungen vor Freigabe mit der generierten TAN zwingend erforderlich und geboten war.

(e) Dieser gravierende Verstoß der Klägerin gegen ihr auferlegte Sorgfaltspflichten wiegt umso schwerer, als darin zugleich ein Verstoß gegen Ziffer 7.2 der Vertragsbedingungen zum Online-Banking liegt. Danach hat die Klägerin die Sicherheitshinweise der Beklagten auf ihrer Online-Banking-Seite zu beachten. Auf dieser Website warnt die Beklagte ausweislich des als Anlage B2 vorgelegten Ausdrucks ausdrücklich davor, PIN und TAN für „Testüberweisungen“ oder sonstige angebliche „Überprüfungen“ einzugeben. Dieser Warnhinweis findet sich unter der eindringlichen, fett gedruckten Überschrift „Gehen Sie vorsichtig mit Ihrer PIN und TAN um“. Darüber hinaus wird dieser Hinweis ausdrücklich der Situation gegenübergestellt, dass die Beklagte routinemäßig alle 90 Tage die Eingabe einer TAN beim Login ins Online-Banking fordert, was ihr aufgrund der neuen EU-Richtlinie PSD 2 abverlangt werde. Zutreffend hat das Landgericht ausgeführt, dass sich die Abläufe einer turnusmäßigen TAN-Eingabe beim Login völlig anders darstellen, als bei einer Testüberweisung eines Centbetrages, zu der der Kunde zwecks angeblicher „Verifizierung“, also „Überprüfung“ aufgefordert werde. Das ChipTAN-Verfahren gilt gerade im Hinblick darauf, dass der Kunde den Zahlungsauftrag vor seiner Freigabe genau anhand seines separaten Chipkartenlesegerätes verfolgen und überprüfen kann und diese Daten sogar einzeln bestätigen muss, bis zum heutigen Tag als sicher. Es stellt sich daher als leichtfertig dar, von dieser Überprüfung des zu beauftragenden Zahlungsvorgangs keinen Gebrauch zu machen. Ein auch subjektiv unentschuldbares Versagen der Klägerin kann nach allem nicht verneint werden.

3.

Im Hinblick auf die fehlende Begründetheit des geltend gemachten Hauptsacheanspruchs steht der Klägerin auch kein Anspruch auf Erstattung außergerichtlicher Anwaltskosten aufgrund Verzugs oder auf allgemeiner schadenersatzrechtlicher Grundlage (§ 280 Abs. 1 BGB) zur Seite.

III.

Die Kostenentscheidung beruht auf § 97 Abs. 1 ZPO. Der Ausspruch zur vorläufigen Vollstreckbarkeit folgt aus §§ 708 Nr. 10, 711, 713 ZPO.

Die Zulassung der Revision ist gemäß § 543 Abs. 2 ZPO nicht geboten, da die Entscheidung auf einer Bewertung von Einzelumständen beruht.