Autorisierung eines ungewollten Zahlungsvorgangs bei Online-Banking

Kontroverse um Online-Banking: Autorisierung oder Missbrauch?

Das Urteil befasst sich mit einem Fall von Online-Banking-Betrug, bei dem ein Kläger eine Überweisung von 24.291,49 Euro an einen Unbekannten nicht autorisiert hat. Das Gericht entscheidet, dass die Bank einen Teil des Schadens tragen muss, da sie den vom Kläger gewünschten Verfügungslimit von 1.000 Euro nicht berücksichtigt hat. Jedoch wird auch ein Mitverschulden des Klägers festgestellt, da er die für das Online-Banking erforderliche Sorgfalt nicht ausreichend beachtet hat.

Weiter zum vorliegenden Urteil Az.: 8 U 578/22  >>>

Verantwortung und Haftung bei Online-Banking-Transaktionen: Rechtsfragen und -folgen

Im digitalen Zeitalter, in dem Finanztransaktionen größtenteils online abgewickelt werden, erlangen Fragen der Autorisierung und Sicherheit im Online-Banking besondere Bedeutung. Dies betrifft insbesondere die Rechtslage bei ungewollten Zahlungsvorgängen, die eine Schnittstelle zwischen Bankrecht, Verbraucherschutz und IT-Sicherheit darstellen. Gerade in Fällen, in denen Nutzer des Online-Bankings behaupten, bestimmte Transaktionen nicht autorisiert zu haben, stehen die rechtlichen Aspekte der Haftungsverteilung zwischen Bank und Kunde im Mittelpunkt.

Entscheidungen wie die des OLG Dresden tragen wesentlich zur Klärung dieser komplexen Rechtsfragen bei. Sie beleuchten, unter welchen Umständen ein Kunde für einen unautorisierten Zahlungsvorgang haftet und inwiefern die Bank Verantwortung übernehmen muss. Zentrale Aspekte sind dabei die Beweislastverteilung, die Anwendung personalisierter Sicherheitsmerkmale und die Frage, inwieweit Nutzer für die Sicherheit ihrer Zugangsdaten verantwortlich sind.

Die folgenden Ausführungen gehen auf die Details eines konkreten Urteils ein und erörtern, wie das Gericht die jeweiligen Verantwortlichkeiten und Haftungen von Kläger und Bank bewertet hat. Dies bietet wertvolle Einblicke in die rechtlichen Herausforderungen, die sich im Kontext des Online-Bankings ergeben, und illustriert die Bedeutung einer sorgfältigen Handhabung von Online-Transaktionen sowohl für Verbraucher als auch für Finanzinstitute.

Ursprung des Rechtsstreits: Der Fall eines unautorisierten Online-Banking-Vorgangs

Ein bemerkenswerter Rechtsstreit, der die Sicherheit von Online-Banking-Transaktionen betrifft, beschäftigte kürzlich das OLG Dresden. Im Zentrum stand die Frage der Autorisierung eines hohen Geldtransfers. Der Kläger, ein Kunde der Sparkasse, hatte festgestellt, dass ein Betrag von 24.291,49 Euro von seinem Konto abgebucht worden war. Er behauptete, diese Überweisung nicht autorisiert zu haben. Der Fall wirft ein Schlaglicht auf die Risiken und Herausforderungen, die mit dem Online-Banking verbunden sind.

Die Entwicklung des Konflikts: Vertragsgestaltung und vermeintliche Transaktion

Der Kläger, bereits Inhaber einer SparkassenCard, hatte die Teilnahme am Online-Banking mit einem Tageslimit von 1.000 Euro beantragt. Später unterzeichnete er jedoch einen Rahmenvertrag, der kein solches Limit vorsah. Dieser Aspekt des Vertrags wurde zum Dreh- und Angelpunkt des Falls. Die Kontobewegungen zeigten, dass der Kläger mehrere Transaktionen tätigte, die das anfänglich gewünschte Limit überschritten. Die umstrittene Überweisung erfolgte schließlich ohne sein Wissen und seine Zustimmung, wie er behauptete.

Technische Aspekte und potenzieller Betrug

Der Kläger berichtete, dass er aufgefordert wurde, eine Testzahlenfolge im Online-Banking-Portal einzugeben, was unüblich erschien. Dieses Vorgehen deutet auf eine mögliche Phishing-Attacke hin. Ein Experte bestätigte die Ungewöhnlichkeit dieses Vorgangs und die Möglichkeit eines Betrugs. Obwohl die Überweisung technisch einwandfrei erschien und die Authentifizierung mit der SparkassenCard des Klägers stattfand, legten die Umstände nahe, dass der Kläger Opfer eines Online-Betrugs geworden sein könnte.

Gerichtliche Entscheidung und Haftungsfragen

Das Landgericht Leipzig gab der Klage des Kunden teilweise statt und verurteilte die Bank, einen Teil des Betrags zurückzuzahlen. Dabei wurde berücksichtigt, dass der Kläger möglicherweise grob fahrlässig gehandelt hatte. Das OLG Dresden bestätigte diese Entscheidung teilweise, modifizierte sie jedoch hinsichtlich der Höhe der Entschädigung. Die Entscheidung des Gerichts spiegelt die Komplexität der Haftungsfragen im digitalen Zahlungsverkehr wider und hebt die Bedeutung der Sicherheitsmaßnahmen sowohl seitens der Banken als auch der Kunden hervor.

Weiterführende Implikationen und Präzedenzfall

Dieses Urteil des OLG Dresden ist in mehrfacher Hinsicht bedeutsam. Es unterstreicht die Notwendigkeit stärkerer Sicherheitsvorkehrungen im Online-Banking und einer klareren Kommunikation zwischen Banken und Kunden bezüglich der Vertragsbedingungen. Für die Finanzbranche könnte es als Präzedenzfall für ähnliche Fälle dienen und damit die Art und Weise beeinflussen, wie Banken und Kunden Online-Banking-Transaktionen in Zukunft handhaben.

Das vorliegende Urteil

OLG Dresden – Az.: 8 U 578/22 – Urteil vom 06.04.2023

I. Die Anschlussberufung des Klägers gegen das Urteil des Landgerichts Leipzig vom 24.02.2022 – 04 O 1118/21 wird zurückgewiesen.

II. Auf die Berufung der Beklagten wird das Urteil des Landgerichts Leipzig vom 24.02.2022 – 04 O 1118/21 im Kostenpunkt aufgehoben und insgesamt wie folgt neu gefasst:

1. Die Beklagte wird verurteilt, dem bei der Beklagten geführten Girokonto des Klägers mit der Kontonummer 0000000003, einen Betrag in Höhe von 6.072,87 Euro zzgl. Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz seit dem 07.04.2021 wieder gutzuschreiben.

2. Im Übrigen wird die Klage abgewiesen.

III. Die weitergehende Berufung der Beklagten wird zurückgewiesen.

IV. Von den Kosten beider Instanzen haben der Kläger 3/4 und die Beklagte 1/4 zu tragen.

V. Dieses Urteil und das Urteil des Landgerichts Leipzig vom 24.02.2022 – 04 O 1118/21, soweit es durch das vorliegende Senatsurteil bestätigt wird, sind ohne Sicherheitsleistung vorläufig vollstreckbar.

VI. Die Revision wird nicht zugelassen.

Beschluss:

Der Streitwert des Berufungsverfahrens wird auf 24.291,49 Euro festgesetzt.

Gründe

A.

Der Kläger begehrt von der beklagten Sparkasse die Gutschrift, hilfsweise Auszahlung, eines Geldbetrages von 24.291,49 Euro, der von dem bei der Beklagten geführten Girokonto des Klägers mit der Kontonummer 0000000003 auf das Konto eines dem Kläger unbekannten Dritten überwiesen wurde, ohne dass der Kläger diesen Zahlungsvorgang autorisiert habe.

Der Kläger, der bereits Inhaber einer SparkassenCard der Beklagten war, beantragte bei der Beklagten ausweislich einer von dieser erteilten Bestätigung (Anlage K 3) die Freischaltung für das Online-Banking mit ChipTAN, wobei er angab, dass für die von ihm im Online-Banking ausgelösten Aufträge je Kalendertag ein Höchstbetrag von 1.000 Euro gelten sollte.

In der Folge kam es am 11./13.04.2016 zum Abschluss einer Rahmenvereinbarung über die Teilnahme am Online-Banking (Anlage B 4). Unter der mit „Verfügungslimite“ überschriebenen Ziffer 5 der vom Kläger unterzeichneten Vertragsurkunde ist als Tageslimit für das Online-Banking „EUR unbegrenzt“ eingetragen. Ausweislich einer vom Kläger gesondert unterzeichneten Empfangsbestätigung vom 11.04.2016 wurden ihm jeweils ein Exemplar der Information zum Onlinebanking einschließlich einer Widerrufsbelehrung, der Rahmenvereinbarung über die Teilnahme am Online-Banking inkl. der benannten Bedingungen (Anlage B 6) und der Allgemeinen Geschäftsbedingungen ausgehändigt.

Benötigen Sie Hilfe in einem ähnlichen Fall? Schildern Sie uns jetzt in unserem Kontaktformular Ihren Sachverhalt und fordern unsere Ersteinschätzung an.

In der Folge fanden zahlreiche Kontenbewegungen statt, darunter auch Belastungen des Kontos des Klägers mit oberhalb von 1.000 Euro liegenden Überweisungsbeträgen, insbesondere wie folgt:

Datum Betrag in Euro

08.08.2019 9.000,00

09.08.2019 11.680,59

23.08.2019 1.595,00

02.12.2019 2.000,00

06.01.2020 2.000,00

20.02.2020 1.500,00

12.05.2020 1.335,21

18.05.2020 27.289,35

Am 09.12.2020 kam es um 12:01 Uhr zu einer Überweisung eines Betrages von 24.291,49 Euro zulasten des Kontos des Klägers an einen Herrn V… G….

Darüber hinaus erfolgte am selben Tag um 12:06 Uhr eine vom Kläger zugunsten seines Zahnarztes veranlasste Überweisung in Höhe von 2.083,03 Euro.

Am selben Tag (09.12.2020) führten eine Mitarbeiterin der Beklagten und der Kläger ein Telefonat über einen „höheren Geldbetrag“, über den verfügt worden sei, wobei die Einzelheiten zum Zustandekommen und Inhalt des Gesprächs zwischen den Parteien streitig sind.

Das Konto des Klägers wurde mit den beiden genannten Geldbeträgen belastet.

Am 10.12.2020 meldete der Kläger der Beklagten den Vorfall. In der Schadensmeldung (Anlage K 4 zur Berufungserwiderung) wurde festgehalten, dass das Girokonto des Klägers am 09.12.2020, 17.02 Uhr, gesperrt gewesen sei, laut „Protokoll“ durch den Kläger, der diesbezüglich aber nichts veranlasst habe. Wegen der weiteren Einzelheiten, insbesondere zu dem vom Kläger mitgeteilten Sachverhalt, wird auf die Anlage K 4 Bezug genommen.

Am 11.12.2020 erstattete der Kläger bei der Polizeidirektion Leipzig eine Strafanzeige (Anlage B 8). Der die Anzeige aufnehmende Polizeibeamte legte den vom Kläger geschilderten Sachverhalt schriftlich wie folgt nieder: „Der Geschädigte begab sich auf die Internetseite der Sparkasse Leipzig und wollte eine Transaktion durchführen. Die Seite öffnete sich und er wurde aufgefordert, die Zahlenfolge 1, 2, 3, 4, 5 einzugeben, dies tat er nicht; er brach den Vorgang ab. Begab sich erneut auf die Seite der Sparkasse und wurde abermals aufgefordert, diese Zahlenfolge als Test einzugeben. Im guten Glauben, dass es sich um einen Test handelt, bestätigte er nun die Zahlenfolge. Im Nachgang wurde dem Geschädigten von seinem Konto gegen seinen Willen und ohne Autorisierung 24.291,49 € auf ein fremdes Konto transferiert.“

Am selben Tag (11.12.2020) schloss der Kläger mit der Beklagten eine neue Rahmenvereinbarung über das Online-Banking, die unter Ziffer 5 ein Tageslimit von 3.000 Euro vorsah (Anlage B 5; Anlage B 1).

Mit Einstellungsverfügung vom 12.03.2021 stellte die Staatsanwaltschaft Ansbach das dort zuletzt unter dem Aktenzeichen 1076 Js 1561/21 wegen Geldwäsche geführte Ermittlungsverfahren gegen V… G… gemäß § 170 Abs. 2 StPO ein (Anlage B 9). Zum Sachverhalt heißt es dort: „Der Geschädigte F… R… K… begab sich, wohl auf Grund einer fingierten E-Mail, vermeintlich auf die Webseite der Sparkasse Leipzig, wo er zwei Mal aufgefordert wurde, eine Testzahlenfolge einzugeben, dem er beim zweiten Mal auch nachkam.“

Der Kläger forderte die Beklagte mit außergerichtlichem Anwaltsschreiben vom 19.03.2021 unter Fristsetzung bis 06.04.2021 vergeblich zur Erstattung des Betrages von 24.291,49 Euro auf.

Der Kläger behauptet, er habe die Überweisung an V… G… nicht autorisiert und auch keine Pflichten gegenüber der Beklagten verletzt. Die Beklagte habe ihm eine Rahmenvereinbarung zum Online-Banking übersandt, die entgegen seinem Antrag kein Tageslimit von 1.000 Euro enthielt, sondern unbegrenzte Zahlungen zuließ. Diese habe er im Vertrauen auf das beantragte Tageslimit unterzeichnet; auch habe die Beklagte in der Folge bei höheren Überweisungen stets mit ihm telefonisch Rücksprache gehalten, so dass er davon ausgegangen sei, die gewollte Begrenzung der Höhe der pro Tag grundsätzlich möglichen Verfügungen sei in Kraft.

Die Beklagte tritt der Klage entgegen und macht geltend, der Kläger habe die in Rede stehende Überweisung mit seiner Legitimations-ID autorisiert. Sicherheitsmängel bei der Beklagten lägen nicht vor. Der Kläger habe im Zusammenhang mit der Zahlung grob fahrlässig gehandelt. Die Beklagte habe um 13:41 Uhr durch ihre Mitarbeiterin K… N… zu der Überweisung vom 09.12.2020 Nachfrage gehalten. Der Kläger habe gesagt, es handle sich um eine Überweisung an seinen Zahnarzt. Sie habe sinngemäß nachgefragt, es gehe um rund 24.000 Euro, ob dies so richtig sei. Der Kläger habe dies bestätigt, woraufhin das kurze Telefonat beendet worden sei. Die Rahmenvereinbarung zum Online-Banking sei – aus nicht mehr nachvollziehbaren Gründen – letztlich ohne Vereinbarung eines Tageslimits zustande gekommen; dies habe der Kläger so unterzeichnet. Erst nach dem Vorfall sei eine neue Rahmenvereinbarung mit einem Tageslimit von 3.000 Euro geschlossen worden.

Das Landgericht hat der Klage durch Urteil vom 24.02.2022 teilweise stattgegeben und die Beklagte verurteilt, das Zahlungskonto mit der Kontonummer 0000000003 wieder auf den Stand zu bringen, auf dem sich die Zahlungskonten des Klägers ohne Belastung (mit) der nicht autorisierten Zahlung in Höhe von 12.145,74 Euro zzgl. Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz seit dem 07.04.2021 befunden hätten. Im Übrigen hat es die Klage abgewiesen. Zur Begründung hat es ausgeführt, dem Kläger stehe ein – vom Kläger in erster Linie verfolgter – Zahlungsanspruch unter keinem rechtlichen Gesichtspunkt zu. Ein Anspruch auf Gutschrift stehe dem Kläger gemäß § 675u Satz 2 BGB grundsätzlich zu, da der Zahlungsvorgang nicht vom Kläger autorisiert worden sei. Allerdings habe die Beklagte ihrerseits gegen den Kläger aus § 675v Abs. 3 Nr. 2b) BGB Anspruch auf Schadenersatz, da der Kläger grob fahrlässig gegen seine Pflichten verstoßen habe. Er habe gewusst oder jedenfalls wissen müssen, dass die Beklagte ihn nicht zur Eingabe von Zahlungsdaten, PIN oder TAN auffordere. Die Eingabe der Testzahlenfolge sei daher grob fahrlässig und stelle sich für den eingetretenen Schaden als mitursächlich dar. Umgekehrt stehe dem Kläger gegen die Beklagte ein Schadenersatzanspruch gemäß § 280 BGB unter dem Gesichtspunkt einer Nebenpflichtverletzung zur Seite, da sie den vom Kläger beantragten Höchstbetrag von 1.000 Euro pro Tag in dem ihm übersandten Rahmenvertrag nicht berücksichtigt habe. Gleichwohl sei die Haftung des Klägers nicht auf 1.000 Euro begrenzt, da ein mitwirkendes Verschulden des Klägers zur Unterzeichnung des kein Tageslimit enthaltenden Rahmenvertrages geführt habe. Die Kammer erachte bei Abwägung dieser Gesamtumstände eine Mithaftung der Beklagten im Umfang von 50 % für angemessen und ausreichend. Zinsen seien unter Berücksichtigung des Anwaltsschreibens vom 19.03.2021 aus § 288 Abs. 1 BGB gerechtfertigt.

Gegen dieses ihr am 28.02.2022 zugestellte Urteil wendet sich die Beklagte mit ihrer am 24.03.2022 beim Oberlandesgericht Dresden eingegangenen und nach Verlängerung der Berufungsbegründungsfrist bis zum 27.05.2022 am 16.05.2022 begründeten Berufung. Die Beklagte hält das Urteil, soweit der Klage stattgegeben wurde, für dogmatisch fehlerhaft. Verfehlt bejahe das Landgericht einen Anspruch des Klägers gegen die Beklagte gemäß § 675u Satz 2 BGB. Wie die Beklagte unter Vorlage des HBCI-Transaktionsprotokolls (Anlage B 2) und der Einzelüberweisungsübersichten (Anlage B 3) vorgetragen habe, sei die Überweisung am 09.12.2020 über 24.291,49 Euro technisch beanstandungsfrei unter Einsatz einer mit der Original-SparkassenCard des Klägers (Nr. 0000000088) generierten TAN und unter der Legitimations-ID (0000000000000036) erfolgt. Kurz danach habe der Kläger – ohne dies zu monieren – eine weitere Überweisung von 2.083,03 Euro unter derselben Legitimations-ID (0000000000000036) und wieder unter Verwendung einer mit der Original-SparkassenCard des Klägers (Nr. 0000000088) erzeugten TAN veranlasst. Damit spreche ein Anscheinsbeweis dafür, dass der Kläger beide Überweisungen durch eigenes Bestätigen der Buchung nach Generieren der TAN mit seiner Original SparkassenCard gemäß § 675j Abs. 1 Satz 4 BGB autorisiert habe und der Beklagten gegen den Kläger ein Aufwendungsersatzanspruch nach §§ 675c Satz 1, 670 BGB zustehe. Im Ausgangspunkt noch zutreffend habe das Landgericht aber einen Schadenersatzanspruch der Beklagten aus § 675v Abs. 3 Nr. 2b) BGB bejaht, weil der Kläger grob fahrlässig gegen seine Sorgfaltspflichten verstoßen habe. Es bestehe jedoch entgegen der Auffassung des Landgerichts kein Schadenersatzanspruch des Klägers gegen die Beklagte, da der Kläger die Rahmenvereinbarung gemäß Anlage B 4 ohne Tageslimit selbst unterzeichnet habe. Damit fehle es an einer zweiseitigen Vereinbarung eines Verfügungshöchstbetrages pro Tag. Dementsprechend habe der Kläger auch in der Vergangenheit mehrfach über Geldbeträge verfügt, die oberhalb von 1.000 Euro lagen.

Die Beklagte beantragt, das Urteil des Landgerichts Leipzig, Aktenzeichen: 04 O 1118/21, verkündet am 24.02.2022, abzuändern, soweit der Klage stattgegeben wurde und die Klage – auch insoweit – abzuweisen.

Der Kläger beantragt, die Berufung zurückzuweisen, hilfsweise, die Beklagte zu verurteilen, an den Kläger 12.145,74 EUR zzgl. Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz ab Rechtshängigkeit zu zahlen.

Ferner beantragt der Kläger im Wege der Anschlussberufung, das Urteil des Landgerichts Leipzig vom 24.02.2022, Az. 04 O 1118/21, (teilweise) abzuändern und die Beklagte zu verurteilen, das Girokonto des Klägers Nr. 0000000003 auf den Stand zu bringen, auf dem es sich ohne die Belastung des Betrages von 24.291,49 EUR vom 09.12.2020 befinden würde, hilfsweise, das Urteil des Landgerichts Leipzig vom 24.02.2022, Az. 04 O 1118/21, (teilweise) abzuändern und die Beklagte zu verurteilen, an den Kläger 24.291,49 EUR zzgl. Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz ab Rechtshängigkeit zu zahlen.

Der Kläger verteidigt das angefochtene Urteil, soweit der Klage stattgegeben wurde. Dem Kläger stehe aus § 675u Abs. 1 BGB ein Anspruch auf Wiedergutschrift (hilfsweise Zahlung) zu, da er die Überweisung des streitgegenständlichen Betrages nicht autorisiert habe. Insoweit könne sich die Beklagte auch nicht erfolgreich auf einen Anscheinsbeweis berufen. An der TAN-Liste (Anlage B 10) falle auf, dass in der Spalte „Geschäftsvorfall“ bei der streitgegenständlichen Überweisung ein anderes Kürzel („DKIPC“) als bei der 4 Minuten später erfolgten Überweisung an den Zahnarzt und bei fast allen anderen Zahlungsvorgängen angegeben sei („HKCCS“). Darüber hinaus habe es nach der Aussage einer Mitarbeiterin der Beklagten an dem Tag der streitigen Überweisung gegen 17:00 Uhr noch mehrere fehlgeschlagene Einlog-Versuche ins Online-Banking des Klägers gegeben, die zu einer Sperre des Online-Banking des Klägers geführt hätten. Da diese nicht vom Kläger gestammt hätten, seien vermutlich noch einmal die Kriminellen am Werke gewesen, die schon am Mittag die streitgegenständliche Überweisung ausgeführt hätten.

Das Landgericht habe allerdings zu Unrecht angenommen, der Beklagten stehe ein Schadenersatzanspruch nach § 675v Abs. 3 BGB zu, weil der Kläger wohl aufgrund einer fingierten E-Mail vermeintlich auf der Webseite der Beklagten eine Testzahlenfolge eingegeben habe. Der Kläger habe keine Phishing-E-Mail erhalten. Er sei am 09.12.2020 direkt auf die Webseite der Beklagten gegangen und habe sich in das Online-Banking eingeloggt. Erst danach sei er aufgefordert worden, die Ziffern 1, 2, 3, 4, 5 einzugeben. Da dem Kläger dies „spanisch“ vorgekommen sei, habe er sich wieder ausgeloggt, den Rechner neu gestartet und sich dann wieder ins Online-Banking eingeloggt. Nachdem er wieder aufgefordert worden sei, Zahlen einzugeben, habe der Kläger sich wieder ausgeloggt und seinen Rechner mit dem Anti-Viren-Programm Kaspersky geprüft, wobei keine Auffälligkeiten angezeigt worden seien. Der Kläger habe angenommen, es sei alles in Ordnung und habe sich anschließend wieder eingeloggt und die Zahlenfolge eingegeben. Danach habe er die Überweisung an seinen Zahnarzt problemlos vornehmen können. Eine weitere Überweisung habe der Kläger nicht generiert. Er sei dann in die Buchungsübersicht gegangen, wo nur die Überweisung der 2.083,03 Euro aufgeführt gewesen sei. Dem Kläger falle daher kein – grob fahrlässiger – Pflichtverstoß zur Last. Er habe nie angegeben, aufgrund einer Phishing-Mail auf die (vermeintliche) Webseite der Beklagten gelangt zu sein. Der Kläger habe den Vorhalt des Landgerichts in der mündlichen Verhandlung vor Aufregung nicht richtig verstanden und von seinem früheren Prozessbevollmächtigen das Sitzungsprotokoll nicht erhalten, weshalb ihm der Fehler nicht schon früher aufgefallen sei. Es könne sich außerdem schon deshalb nicht um eine gefälschte Internetseite gehandelt haben, weil der Kläger nach der Eingabe seiner Log-in-Daten die Überweisung über 2.083,03 Euro habe ausführen können. Schließlich handele es sich bei der Eingabe der Ziffernfolge 1, 2, 3, 4, 5 um keinen Pflichtverstoß, weil es sich dabei nicht um ein Sicherungsmerkmal (Benutzer-ID, PIN, TAN) handele.

Das Landgericht Leipzig habe richtig erkannt, dass dem Kläger gegen die Beklagte ein Schadenersatzanspruch nach § 280 Abs. 1 BGB zustehe, weil die Beklagte das von ihm gewünschte Limit von 1.000 Euro nicht eingerichtet habe. Die Beklagte habe dem Kläger mit Schreiben vom 21.01.2016 (Anlage K 5 zur Berufungsbegründung) empfohlen, sein Konto auf das Kontomodell GiroDirekt mit Online-Banking umzustellen. Am 06.04.2016 habe der Kläger in diesem Zusammenhang mit der Mitarbeiterin der Beklagten W… telefoniert und den Wunsch geäußert, dass beim Online-Banking aus Sicherheitsgründen ein Limit von 1.000 Euro eingerichtet werde. Frau W… habe erklärt, der Kläger könne alles selber auf der Homepage der Beklagten beantragen. Nachdem der Kläger dort alles eingegeben habe, habe er von der Mitarbeiterin der Beklagten Toste per E-Mail unter anderem die „Bestätigung“ über den Antrag auf Einrichtung des Limits von 1.000 Euro, welche bereits als Anlage K 3 vorgelegt worden sei, erhalten. Danach habe er per Post die Rahmenvereinbarung über die Teilnahme am Online-Banking (Anlage B 4) erhalten und unterschrieben. Wegen des Eintrages „ZV-Tageslimit Online-Banking EUR unbegrenzt“ habe sich der Kläger telefonisch bei der Beklagten erkundigt, ob das Limit von 1.000 Euro berücksichtigt sei und habe hierzu eine Bestätigung mit der Anmerkung erhalten, er habe das durch die „Bestätigung“ ja „schwarz auf weiß“. Dieses Limit sei vom Kläger weder ausdrücklich noch konkludent durch die Vornahme höherer Überweisungen aufgehoben worden, denn die Beklagte habe immer angerufen, wenn der Kläger eine höhere Überweisung vorgenommen habe, insbesondere auch bei den von der Beklagten auf Seite 7 und 8 der Berufungsbegründung genannten Verfügungen über 9.000 Euro, 11.680 Euro und 2.083,03 Euro. Der Vortrag der Beklagten zur telefonischen Nachfrage am 09.12.2020 sei allerdings unzutreffend. Auf dem Festnetz sei in Abwesenheit ein Anruf mit einer dem Kläger nicht bekannten Rufnummer eingegangen. Er habe diese Nummer dann zurückgerufen. Es habe sich jemand von der Beklagten gemeldet und gefragt, ob der Kläger eine höhere Überweisung von seinem Konto vorgenommen habe. Der Kläger habe gesagt, dass er eine Rechnung seines Zahnarztes bezahlt habe. Die Mitarbeiterin der Beklagten habe daraufhin sinngemäß erklärt, dann sei sie froh, dass alles in Ordnung sei und habe das Gespräch beendet. Über einen konkreten Betrag sei entgegen der Behauptung der Beklagten nicht gesprochen worden.

Der Rechner des Klägers sei ferner durch das Antivirenprogramm Sophos-Anti-Virus und Kaspersky (ausreichend) geschützt.

Die Beklagte beantragt, die Anschlussberufung des Klägers zu verwerfen, hilfsweise zurückzuweisen.

Maßgeblich seien die vom erstinstanzlichen Gericht festgestellten Tatsachen. Neue Angriffs- und Verteidigungsmittel könne der Kläger nicht wirksam geltend machen. Die engen Voraussetzungen des § 531 Abs. 2 ZPO seien weder gegeben noch entgegen § 524 Abs. 3 Satz 2 ZPO i. V. m. § 520 Abs. 3 Satz 2 Nr. 4 ZPO dargetan. Schon deshalb sei die Anschlussberufung als unzulässig zu verwerfen.

Soweit der Kläger nunmehr in Abrede stelle, über eine E-Mail auf die (vermeintliche) Internetseite der Beklagten gelangt zu sein, müsse er sich an den Ausführungen in der Einstellungsverfügung der Staatsanwaltschaft Ansbach festhalten lassen, die dem Kläger im Termin zur mündlichen Verhandlung vor dem Landgericht durch den Kammervorsitzenden vorgehalten vom Kläger bestätigt worden seien. Es werde bestritten und sei auch nicht glaubhaft, dass der Kläger die nicht gerade komplexe Frage des Vorsitzenden missverstanden habe; ebenso werde bestritten, dass er das Protokoll des Landgerichts nicht erhalten habe. Der Kläger hätte im Übrigen in beiden Fällen auch nachfragen können.

Ebenso verspätet erfolge der Hinweis bezüglich der verwendeten Kürzel in der mit erstinstanzlichem Schriftsatz der Beklagten vom 03.01.2022 vorgelegten TAN-Liste Anlage B 10. Ungeachtet der Verspätung könne der Kläger daraus nichts für sich herleiten.

Neu und unbeachtlich sei auch das Vorbringen zu einem angeblichen – mangels Nennung des Mitarbeiters nicht näher einlassungsfähigen – Telefonat nach Abschluss der Rahmenvereinbarung zum Onlinebanking. Sofern – anders als in der Rahmenvereinbarung vom 11.04.2016 (Anlage B 4) – ein Online-Banking-Limit vereinbart sei, wirke dieses als absolute technische Sperre, d.h. Überweisungen, die das Limit übersteigen, würden nicht angenommen und sofort maschinell – ohne vorherige Rücksprache – abgewiesen werden.

Unabhängig davon, ob ein Online-Banking-Limit vereinbart sei, erfolge bei jeder Überweisung, die angenommen und ordnungsgemäß autorisiert werde, nachgelagert eine weitere maschinelle Prüfung auf etwaige Auffälligkeiten. Soweit eine Transaktion nach dieser Prüfung auffällig sei, werde diese zunächst angehalten und erst nach Rücksprache mit dem Kontoinhaber ausgeführt (so hier bei der streitgegenständlichen Überweisung). Ein Bezug zu einem etwaigen Limit bestehe nicht. Im Rahmen dieser nachgelagerten Prüfung seien hier nur zwei Überweisungen als auffällig markiert und angehalten worden: Die streitgegenständliche Überweisung über 24.291,49 Euro und die Überweisung vom 08.08.2019 über 9.000 Euro. Nach telefonischer Freigabe durch den Kläger (Telefonat mit Frau N… bezüglich der 24.291,49 Euro und mit der ehemaligen Mitarbeiterin der Beklagten, Frau K… W… bezüglich der 9.000 Euro) sei die jeweils ordnungsgemäß autorisierte Überweisung dann ausgeführt worden. Die anderen Überweisungen seien hingegen nicht auffällig gewesen, so dass es keine gesonderten Rücksprachen mit dem Kläger gegeben habe.

Im Übrigen ergänzt und vertieft die Beklagte ihr erstinstanzliches Vorbringen.

Der Senat hat die Ermittlungsakten der Staatsanwaltschaft Leipzig 652 Js 3283/21 (= Staatsanwaltschaft Ansbach 1071 Js 893/21) und der Staatsanwaltschaft Ansbach 1076 Js 1561/21 informatorisch beigezogen.

Zudem hat der Senat die Parteien zu den Abläufen im Zusammenhang mit den Überweisungen vom 09.12.2020 persönlich angehört. Ferner hat der Senat ein schriftliches Gutachten und ein Ergänzungsgutachten des Sachverständigen Dr.-Ing. M… C… eingeholt und den Sachverständigen ergänzend zur Erläuterung seiner Gutachten im Termin zur mündlichen Verhandlung vom 16.03.2023 angehört. Darüber hinaus hat der Senat auf der Grundlage des Beweisbeschlusses vom 04.01.2023, auf den wegen der Einzelheiten Bezug genommen wird, die Zeugen Martina K… und M… K… vernommen. Die Beklagte hat nachfolgend auf eine Vernehmung der Zeuginnen K… W… (zum Beweisthema Ziffer III.2) und K… N… (zum Beweisthema Ziffer III.1) verzichtet. Wegen des Beweisergebnisses wird auf die Sitzungsniederschriften des Senats vom 25.08.2022 und 16.03.2023 sowie die Gutachten vom 04.01.2023 und vom 11.02.2023 Bezug genommen.

Zur Ergänzung des Sach- und Streitstandes wird auf die zwischen den Parteien gewechselten Schriftsätze nebst Anlagen sowie die Sitzungsniederschrift des Landgerichts vom 19.01.2022 (GA 119 bis 121) verwiesen.

B.

Die zulässige, insbesondere form- und fristgerecht eingelegte und begründete Berufung der Beklagten hat teilweise Erfolg. Dagegen erweist sich die statthafte und auch im Übrigen zulässige Anschlussberufung des Klägers als unbegründet.

I.

Die Berufung der Beklagten ist begründet, soweit das Landgericht dem Kläger eine höhere Kontogutschrift als 6.072,87 Euro zzgl. Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz seit dem 07.04.2021 zuerkannt hat.

Zwar hat der Kläger die streitgegenständliche Überweisung von 24.291,49 Euro nicht autorisiert, so dass ihm im Ausgangspunkt gemäß § 675u Satz 2 BGB gegen die Beklagte ein Anspruch auf Wiedergutschrift des Betrages auf seinem Girokonto zusteht (unten Ziffer I.1). Die Beklagte kann diesem Anspruch jedoch mit Erfolg einen gegenläufigen – aufgrund eigenen Mitverschuldens gemäß § 254 BGB um ein Viertel geschmälerten – Schadenersatzanspruch gegen den Kläger aus § 675v Abs. 3 Nr. 2b) BGB entgegenhalten, da dem Kläger im Zusammenhang mit dem Zahlungsvorgang eine grob fahrlässige Verletzung von Pflichten aus dem Onlinebanking-Vertrag zur Last fällt (unten Ziffer I.2).

1.

Dem Kläger steht zunächst aus § 675u Satz 2 BGB ein Anspruch gegen die Beklagte darauf zu, seinem Girokonto den Betrag von 24.291,49 Euro wieder gutzuschreiben, dessen Überweisung an einen unbekannten Dritten (V… G…) der Kläger nicht autorisiert hat.

Im Ergebnis der durchgeführten Beweisaufnahme ist der Senat davon überzeugt, dass der Kläger der am 09.12.2020 erfolgten Zahlung von 24.291,49 Euro willentlich weder im Rahmen des Online-Bankings noch im Rahmen eines Telefonats mit der Mitarbeiterin K… N… der Beklagten zugestimmt hat.

a) Ein Zahlungsvorgang ist nach § 675j Abs. 1 Satz 1 BGB gegenüber dem Zahler nur wirksam, wenn er diesem zugestimmt hat (Autorisierung). Fehlt es an einer Autorisierung durch den Zahler (hier: den Kläger), so steht dem Zahlungsdienstleister kein Aufwendungsersatzanspruch aus §§ 675c Satz 1, 670 BGB und dementsprechend kein Erstattungsanspruch nach § 675u Satz 1 BGB zu; vielmehr hat er dem Zahler den Zahlbetrag gemäß § 675u Satz 2 BGB unverzüglich zu erstatten und das Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.

Die Zustimmung kann entweder als Einwilligung oder als Genehmigung erteilt werden, wobei die Art und Weise der Zustimmung zwischen dem Zahler und seinem Zahlungsdienstleister zu vereinbaren sind. Insbesondere kann vereinbart werden, dass die Zustimmung mittels eines bestimmten Zahlungsinstruments erteilt werden kann (§ 675j Abs. 1 Sätze 2 bis 4 BGB). Nach h.M. handelt es sich bei der Zustimmung um eine einseitige, empfangsbedürftige Willenserklärung (vgl. MüKoHGB/Linardatos, 4. Aufl. 2019, K, Rn. 57; Grüneberg/Grüneberg, BGB, 82. Aufl., § 675j Rn. 3, m.w.N.; Zahrte, BKR 2016, 315, 316).

Nach allgemeinen Grundsätzen trägt ein Zahlungsdienstnutzer, der – wie der Kläger – einen Anspruch auf Wiedergutschrift nach § 675u Satz 2 BGB geltend macht, die Darlegungs- und Beweislast dafür, dass er den in Rede stehende Zahlungsvorgang nicht autorisiert hat (vgl. Senat, Urt. v. 21.06.2018 – 8 U 1586/17, Rn. 39 f., juris; Grüneberg/Sprau, BGB, 81. Aufl., § 675u Rn. 8 und § 675w Rn. 6). Diese Grundsätze werden jedoch durch die Regelung in § 675w BGB überlagert und modifiziert. Ist nämlich die Autorisierung eines ausgeführten Zahlungsvorgangs streitig, hat der Zahlungsdienstleister nach § 675w Satz 1 BGB nachzuweisen, dass eine Authentifizierung erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht sowie nicht durch eine Störung beeinträchtigt wurde (vgl. OLG Karlsruhe, Urt. v. 12.04.2022 – 17 U 823/20, juris; so jetzt auch Grüneberg/Grüneberg, BGB, 82. Aufl., § 675u Rn. 5).

Der Wortlaut des § 675w BGB unterscheidet strikt zwischen Authentifizierung und Autorisierung: Hat der Zahlungsdienstleister die Anforderungen für eine Authentifizierung gemäß § 675w Satz 2 BGB erfüllt, so ist hiermit „nicht notwendigerweise“ auch die Autorisierung der Zahlung durch den berechtigten Nutzer gemäß § 675j Abs. 1 Satz 1 BGB nachgewiesen (§ 675w Satz 3 Nr. 1 BGB). Umgekehrt ist der Nachweis der Autorisierung gescheitert, wenn der Zahlungsdienstleister die ordnungsgemäße Authentifizierung des Vorgangs nicht darlegen und beweisen kann (§ 675w Satz 1 BGB). Mit dem Begriff der Autorisierung ist die Zustimmung des Zahlers zum Zahlungsvorgang gemäß § 675j Abs. 1 BGB gemeint. Unter Authentifizierung ist die technische und formalisierte Überprüfung der Identitätsbehauptung des Zahlers zu verstehen. Hierzu hat der Zahlungsdienstleister vor allem die personalisierten Sicherheitsmerkmale zu überprüfen (MüKoHGB/Linardatos, 4. Aufl. 2019, K, Rn. 233). Eine Authentifizierung ist erfolgt, wenn der Zahlungsdienstleister die Nutzung eines bestimmten Zahlungsinstruments, einschließlich seiner personalisierten Sicherheitsmerkmale, mit Hilfe eines Verfahrens überprüft hat. Dabei steht die Ausgestaltung des Authentifizierungsverfahrens im Organisationsermessen des Zahlungsdienstleisters (Senat, Urt. v. 06.02.2014 – 8 U 1218/13, Rn. 52, m.w.N., juris; Senat, Urt. v. 13.10.2022 – 8 U 760/22, Umdruck S. 13; BeckOK BGB, Hau/Poseck/Schmalenbach, 62. Edition, Stand 01.05.2022, § 675w Rn. 10).

aa) Die von der Beklagten vorgelegten Unterlagen belegen, dass eine Authentifizierung, d.h. eine technische und formalisierte Überprüfung der Nutzung des Zahlungsinstruments einschließlich personalisierter Sicherungsinstrumente durch den Kläger, erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht sowie nicht durch eine Störung beeinträchtigt wurde (§ 675w Satz 1 BGB).

Ausweislich des von der Beklagten vorgelegten Transaktionsprotokolls (Anlage B 2) und der Einzelüberweisungsübersicht (Anlage B 3) wurde mit der Legitimations-Identifikationsnummer (Legitimations-ID) 0000000000000036 am 09.12.2020 um 12:01:45 Uhr der Zahlungsauftrag einschließlich Visualisierung erfasst und unter Verwendung der ChipTAN … um 12:02:08 Uhr die Überweisung eines Betrages von 24.291,49 Euro an einen V… G.., Empfänger IBAN DE0000000000000000000040, veranlasst. Auf dem entsprechenden Protokoll, auf das wegen der Einzelheiten Bezug genommen wird (Anlage B 3/Rückseite), heißt es außerdem „Der Auftrag wurde entgegengenommen“. Ferner enthält die Anlage eine Kommunikationsadresse (00.00.00.00/00063) und eine Übermittlernummer bzw. Benutzerkennung (0000000082).

Bei diesem Protokoll handelt es sich ausweislich der überzeugenden Ausführungen des Sachverständigen Dr.-Ing. C… in seinem Gutachten vom 04.01.2023 (dort Seite 12) um eine verkürzte Darstellung der bei den Transaktionen durchgeführten Einzelschritte der Kommunikation zwischen Bankserver und Nutzer-PC. Zwar fehlen den Protokollen Details. Die zur Verfügung gestellten verkürzten Protokolle können ausweislich des vorgenannten Gutachtens aber nur dann erzeugt werden, wenn es keine Fehler oder technische Probleme gegeben hat. Insofern kann, so der Sachverständige weiter, davon ausgegangen werden, dass die Transaktionen störungsfrei ausgeführt wurden. In der ergänzend vorgelegten TAN-Liste (Anlage B 10) ist der Zahlungsvorgang vom 09.12.2020 hiermit korrespondierend um 12:02:18 Uhr unter Dokumentation der Verwendung der ChipTAN 479820 erfasst und aufgezeichnet. Entgegen der Auffassung des Klägers spricht die dokumentierte Zeitspanne zwischen Auftragserfassung und Freischaltung der TAN nicht gegen eine regelgerechte Authentifizierung. Dies hat der Sachverständige Dr.-Ing. C… im Termin zur mündlichen Verhandlung vom 16.03.2023 anschaulich erläutert. Der Zahlungsvorgang ist als sogenannte Echtzeitüberweisung dokumentiert, wie sich aus dem Kürzel „DKIPC“ erschließt. Die Angaben decken sich mit den in der Anlage B 2 enthaltenen Aufzeichnungen, in welchen gleichfalls erwähnt wird, dass eine Echtzeitüberweisung unter Verwendung der ChipTAN 479820 in Rede steht. Hinzu kommt, dass die Beklagte widerspruchsfrei dokumentiert hat, dass für den Kläger die Übermittlungs-Nummer bzw. Benutzerkennung 0065387182 hinterlegt ist (Anlage B 4) und bei beiden Überweisungen vom 09.12.2020, der unstreitig vom Kläger bewirkten Überweisung von 2.083,03 Euro an seinen Zahnarzt und der Überweisung von 24.291,49 Euro an V… G…, jeweils diese Kennung und die Legitimations-ID 0000000000000036 protokolliert sind. Beide Kenndaten stimmen mit den in der Anlage B 3 dokumentierten überein und lassen sich zweifelsfrei dem Kläger zuordnen. In der Gesamtschau belegen die vorgelegten und erläuterten Unterlagen, dass eine Authentifizierung erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht sowie nicht durch eine Störung beeinträchtigt wurde (vgl. § 675w Satz 1 BGB). Die Beklagte hat die Nutzung des Zahlungsinstruments einschließlich der personalisierten Sicherheitsmerkmale überprüft und konnte den Kläger anhand der verwendeten Legitimations-ID und Benutzerkennung sowie der unter Nutzung seiner Original-Sparkassenkarte generierten TAN als Zahlungsdienstnutzer identifizieren. Gegen den Einsatz der Original-Sparkassenkarte des Klägers durch Dritte spricht auch, dass dieser sie unstreitig willentlich und wissentlich nur wenige Minuten nach dem in Rede stehenden Zahlungsvorgang bei der Überweisung an seinen Zahnarzt selbst verwendet hat. Der Kläger hat auch nicht geltend gemacht, seine Original-Sparkassenkarte im Dezember 2020 zu irgend einem Zeitpunkt vermisst oder an einen Dritten herausgegeben zu haben.

bb) Mit dieser Authentifizierung nach § 675w Satz 1 BGB stehen allerdings lediglich die Grund- bzw. Mindestvoraussetzungen für die Anwendung eines Anscheinsbeweises für eine ordnungsgemäße Autorisierung des Zahlungsvorgangs durch den Kläger fest (vgl. Schnauder/Beesch, jurisPR-BKR 4/2019 Anm. 4, juris, S. 5, m.w.N.). Kann der Zahlungsdienstleister einen in technischer Hinsicht störungsfreien Zahlungsvorgang nachweisen, so spricht für die Autorisierung durch den Zahlungsdienstnutzer eine gewisse Vermutung, die jedoch nach § 675w Satz 3 BGB „allein nicht notwendigerweise“ zum Nachweis der Autorisierung ausreicht. Dies bedeutet, dass an den bloßen Nachweis der Authentifizierung durch Verwendung von PIN und TAN nicht die unwiderlegliche Vermutung geknüpft werden darf, der Zahler habe selbst die Zahlung autorisiert oder für sie nach § 675v BGB einzustehen. § 675w Satz 3 BGB erfordert vielmehr die Berücksichtigung der Gesamtumstände des Einzelfalls im Rahmen richterlicher Beweiswürdigung gemäß § 286 ZPO. Gleichwohl ist nach der Rechtsprechung des Bundesgerichtshofs (BGH, Urt. v. 26.01.2016 – XI ZR 91/14, Rn. 24, juris) eine Anwendung der Grundsätze des Anscheinsbeweises beim Online-Banking nicht von vornherein ausgeschlossen, weil ein Anscheinsbeweis weder eine zwingende Beweisregel noch eine Beweisvermutung oder gar eine Beweislastumkehr begründet. Vielmehr wird ein Anscheinsbeweis bereits dadurch erschüttert, dass der Prozessgegner atypische Umstände des Einzelfalls darlegt und im Fall des Bestreitens nachweist, welche die ernsthafte, ebenfalls in Betracht kommende Möglichkeit einer anderen Ursache nahelegen. § 675w Satz 3 BGB begrenzt den Beweiswert einer schlichten Dokumentation des technischen Authentifizierungsvorgangs, um den Zahlungsdienstnutzer, der weder den Authentifizierungsvorgang technisch gestalten noch dessen korrekte Funktion im Einzelfall überblicken kann, nicht über § 675v Abs. 1 BGB hinaus mit den Risiken eines Missbrauchs technischer Authentifizierungsinstrumente zu belasten. Deshalb dürfen die Grundsätze des Anscheinsbeweises im Zahlungsdiensterecht beim Einsatz technischer Authentifizierungsinstrumente nicht so gehandhabt werden, dass sie bei Vorliegen allein der in § 675w Satz 3 BGB genannten technischen Merkmale aus praktischer Sicht einer Beweislastumkehr gleichkommen (BGH, a.a.O., Rn. 26, m.w.N.). Aus diesem Grunde erachtet der Bundesgerichtshof für die Anwendung der Grundsätze des Anscheinsbeweises allein die korrekte Aufzeichnung der Nutzung des Zahlungsauthentifizierungsinstruments nicht als ausreichend. Vielmehr müssen dessen allgemeine praktische Sicherheit und die Einhaltung des Sicherheitsverfahrens im konkreten Einzelfall feststehen. Zudem bedarf die Erschütterung des Anscheinsbeweises nicht zwingend der Behauptung und gegebenenfalls des Nachweises technischer Fehler des dokumentierten Authentifizierungsverfahrens (BGH, a.a.O., Rn. 27). Voraussetzung für die Anwendung des Anscheinsbeweises ist das Erreichen eines technischen Schutzniveaus, bei dem auf Grundlage aktueller Erkenntnisse die allgemeine praktische Unüberwindbarkeit des konkret eingesetzten Sicherungsverfahrens und dessen Beachtung im konkreten Einzelfall feststehen (vgl. BGH, a.a.O., Rn. 27 ff., 28, 32). An dieser Rechtslage hat die Umsetzung der Zweiten Zahlungsdiensterichtlinie (Richtlinie (EU) 2015/2366 über Zahlungsdienste im Binnenmarkt vom 25.11.2015 – ZDLR II) nichts geändert (Omlor, BKR 2019, 105, 110; Linardatos, NJW 2017, 2145, 2150; Hofmann, BKR 2018, 62, 68 f.; Beesch, jurisPR-BKR 11/2019 Anm. 1).

cc) Gemessen an diesen Maßstäben – allgemeine praktische Unüberwindbarkeit des eingesetzten Sicherungssystems, ordnungsgemäße Anwendung dieses Sicherheitssystems und dessen korrekte Funktion im Einzelfall (vgl. Meinhold, in: Ellenberger/Bunte, Bankrechtshandbuch, 6. Aufl. 2022, § 33 Rn. 181) – gilt Folgendes:

(1) Das hier zur Anwendung gelangte ChipTAN-Verfahren, auf welches sich die Parteien verständigt haben, ist im Ausgangspunkt ein Sicherungsverfahren, das nach bislang bekannt gewordenen Erkenntnissen grundsätzlich (noch) als unüberwindbar gilt (vgl. BGH, Urt. v. 26.01.2016, XI ZR 91/14, Rn. 35; MüKoHGB/Linardatos, K, 4. Aufl. 2019, Rn. 251; Maihold, in: Ellenberger/Bunte, Bankrechtshandbuch, 6. Aufl. 2022, § 33 Rn. 37 f.; Beesch, jurisPR-PKR 11/2019, Anm. 1). Dies liegt darin begründet, dass bei Verwendung einer dynamischen TAN ein hohes Sicherheitsniveau durch die sichere Abschottung eines spezialisierten Chipkartenlesers (TAN-Generators) von dem möglicherweise kompromittierten Rechner erreicht wird, so dass es sich weitgehend ausschließen lässt, dass ein Angreifer durch Infizierung allein des vom Nutzer für das Online-Banking eingesetzten Geräts (Desktop-Rechner, Notebook, Tablet etc.) einen Zahlungsauftrag verfälschen oder gar auslösen kann, ohne dass dies spätestens bei Kontrolle der empfangenen TAN durch Kunde bzw. Bank auffällt (Maihold, in: Ellenberger/Bunte, Bankrechtshandbuch, 6. Aufl. 2022, § 33 Rn. 37 f.; ausführlich zum ChipTAN-Verfahren: Hoeren/Kairies, ZBB 2015, 35 ff.). Im Einklang hiermit hat auch der Sachverständige C… in seinem Gutachten vom 04.01.2023 bestätigt, dass es sich bei dem am 09.12.2020 genutzten ChipTAN-Verfahren um ein praktisch unüberwindbares System handelt. Die einzig vorstellbare realistische Methode, mit der das Verfahren ausgehebelt werden könne, sei die fehlende Kontrolle von Transaktionsdaten durch den Benutzer.

(2) Der Anscheinsbeweis ist allerdings erschüttert, wenn der Beweisgegner Tatsachen darlegt und ggf. zur vollen Überzeugung des erkennenden Gerichts beweist, die die ernsthafte, ebenfalls in Betracht kommende Möglichkeit einer anderen Ursache nahelegen.

Danach muss der Zahlungsdienstnutzer zur Erschütterung des Anscheinsbeweises keinen konkreten und erfolgreichen Angriff gegen das Authentifizierungsinstrument beweisen, sondern nur solche Umstände, die gegen die Autorisierung durch ihn und für ein missbräuchliches Eingreifen eines Dritten sprechen. Diese Anforderungen kann der Zahler auch dadurch erfüllen, dass er außerhalb des Sicherheitssystems des Zahlungsdienstleisters liegende Indizien, die für einen nicht autorisierten Zahlungsvorgang sprechen, substantiiert darlegt und bei Bestreiten nachweist (BGH, Urt. v. 26.01.2016 – XI ZR 91/14, Rn. 48). So liegt der Fall hier.

(a) Der Kläger hat erheblichen Sachvortrag dazu gehalten, dass der streitgegenständliche Zahlungsvorgang durch missbräuchliches Eingreifen eines Dritten manipuliert war.

Er hat dargetan, dass er in der Mittagszeit des 09.12.2020 auf der (vermeintlichen) Website der Beklagten mehrfach aufgefordert worden sei, zu Testzwecken die Zahlenfolge 1, 2, 3, 4, 5 einzugeben. Auch ein Herunterfahren des Computers, ein Betätigen des Suchlaufs seines Virenscanners und ein Wiederaufruf der Sparkassenseite hätten nicht geholfen; vielmehr sei er auch ein zweites und drittes Mal aufgefordert worden, die Zahlenfolge 1, 2, 3, 4, 5 einzugeben, bis er schließlich dieser Aufforderung gefolgt sei und in der Folge die gewünschte Überweisung an seinen Zahnarzt habe vornehmen können. Anschließend sei auch nur diese Überweisung sichtbar gewesen; die nur kurze Zeit vorher erfolgte Überweisung an den ihm unbekannten Zahlungsempfänger V… G… sei ihm in der Kontoübersicht nicht sogleich angezeigt worden.

(b) Die Beklagte bestreitet nicht, dass der Zahlungsempfänger V… G… dem Kläger unbekannt ist. Darüber hinaus geht sie selbst davon aus, dass die Zugangsdaten des Klägers ausgespäht worden sein könnten und er – nach Ansicht der Beklagten wohl durch eine fingierte E-Mail bzw. Phishing-Mail (vgl. u.a. Schriftsatz vom 01.07.2022, Seite 5) – auf eine gefälschte Website der Sparkasse gelockt worden sein könnte. Dies steht in Übereinstimmung mit den Ermittlungsergebnissen der Staatsanwaltschaften Leipzig und Ansbach, die aufgrund der Sachverhaltsschilderungen des Klägers davon ausgegangen sind, dass sich auf dem vom Kläger verwendeten Rechner, Schadsoftware befunden hat, durch die Zugangsdaten des Klägers ausgespäht worden sind, um betrügerische Geldtransaktionen direkt über den Computer des Klägers auszuführen (vgl. etwa Schlussbericht PD Leipzig vom 05.01.2021), und deshalb gegen V… G… wegen des Verdachts der Geldwäsche und des Computerbetrugs ermittelt haben. Ebenso hat der vom Senat beauftragte Sachverständige Dr.-Ing. C… zwei gewichtige Indizien dafür identifiziert, dass sich der Kläger zum Zeitpunkt der streitgegenständlichen Geldtransaktion nicht auf der Website der Beklagten, sondern auf einer Phishing-Seite befunden hat und der Zahlungsvorgang dementsprechend von Dritten manipuliert wurde. So bildet die Aufforderung, eine Zahlenfolge (1, 2, 3, 4, 5) einzugeben, auch wenn der Bezug zum Online-Banking mittels ChipTAN und speziell zur streitgegenständlichen Transaktion unklar sei, aus Sicht des für das Sachgebiet „Systeme und Anwendungen der Informationsverarbeitung, insbesondere der IT-Sicherheit“ öffentlich bestellten und vereidigten Sachverständigen C… ein starkes Indiz dafür, dass sich der Kläger nicht auf der Website der Beklagten, sondern auf einer manipulierten Seite befunden hat, weil auf der Originalseite der Beklagten niemals die Eingabe einer solchen Zahlenfolge verlangt werden würde (vgl. Gutachten vom 04.01.2023, Seite 16 Mitte). Darüber hinaus kann nach den Ausführungen des Gutachters der – in der TAN-Liste (Anlage B 10) und dem Transaktionsprotokoll (Anlage B 2) mit dem Kürzel DKIPC dokumentierte – Versuch einer Echtzeitüberweisung als Indiz dafür gewertet werden, dass der Kläger die strittige Überweisung nicht wissentlich durchgeführt hat, sondern einem Angriff zum Opfer gefallen ist (vgl. Seite 12 a.E. des Gutachtens vom 04.01.2023). Denn es sei üblich, dass Angreifer mit Echtzeit-Überweisungen arbeiten, da dann die Zeitspanne zur Rücküberweisung „gestohlener Beträge“ schrumpfe.

(c) Soweit die Beklagte ungeachtet des danach zur Überzeugung des Senats feststehenden missbräuchlichen Eingriffs in das Online-Banking in ihrer rechtlichen Bewertung davon ausgeht, dass der Kläger den streitgegenständlichen Zahlungsvorgang selbst autorisiert habe, vermag der Senat dem nicht beizutreten.

Die Beklagte trägt vor, der Kläger müsse im Rahmen des zur Anwendung gelangten ChipTAN-Verfahrens seine eigene Sparkassenkarte verwendet und die ihm auf dem Kartenlesegerät angezeigten Daten, namentlich die IBAN des Zahlungsempfängers und den Überweisungsbetrag, jeweils mit einem „OK“ bestätigt haben. Hierin liege eine Autorisierung des Zahlungsvorgangs i.S. von § 675j Abs. 1 BGB.

(aa) In Rechtsprechung und Schrifttum ist umstritten, ob von Dritten unter Nutzung eines Zahlungsauthentifizierungsinstruments einschließlich seiner personalisierten Sicherheitsmerkmale veranlasste Zahlungsvorgänge dem Zahler nach den Grundsätzen der Anscheinsvollmacht zugerechnet werden können (vgl. BGH, Urt. v. 26.01.2016 – XI ZR 91/14, Rn. 56, m.w.N.; MüKoHGB/Linardatos, K, 4. Aufl. 2019, Rn. 60). Die Frage ist im Online-Banking besonders relevant, da beim erfolgreichen Ausspähen der Authentifizierungsdaten ein Dritter typischerweise „unter fremdem Namen“ handelt, nämlich unter demjenigen des berechtigten Nutzers. In diesem Fall sind die §§ 164 ff. BGB analog anwendbar, so dass ein Rückgriff auf allgemeine Rechtsscheinsgrundsätze naheliegend erscheint (MüKoHGB/Linardatos, K, 4. Aufl. 2019, Rn. 60).

(1) Höchstrichterlich ist die Frage für die vorliegende Fallkonstellation noch nicht abschließend entschieden. Allerdings äußerte der Bundesgerichtshof in einer Entscheidung aus 2016 in einem obiter dictum mit Blick auf das zahlungsdienstrechtliche Haftungsregime systematische Bedenken (BGH, Urt. v. 26.01.2016 – XI ZR 91/14, Rn. 57 ff.) und hat dies in einer weiteren Entscheidung bekräftigt (vgl. BGH, Urt. v. 17.11.2020 – XI ZR 294/19, Rn. 13). Die Auffassung, ein Kontoinhaber müsse Zahlungsaufträge, die ein Dritter unter missbräuchlicher Verwendung eines Authentifizierungsinstruments erteilt hat, nach Rechtsscheingrundsätzen gegen sich gelten lassen, wenn ihm das Handeln des Nichtberechtigten bekannt war oder er es hätte erkennen können, sei mit den nach § 675e Abs. 1 BGB im Grundsatz abschließenden Regelungen in § 675j Abs. 1 Satz 4, § 675u Satz 1 BGB nicht zu vereinbaren. Denn nach dem zwischen Bank und Kunde geschlossenen Vertrag sei bei Nutzung eines – gemäß § 675l BGB ohnehin geheim zu haltenden – personalisierten Zahlungsauthentifizierungsinstruments eine Bevollmächtigung Dritter ausnahmslos ausgeschlossen. Zudem sei der in § 675v Abs. 2 BGB (a.F.) festgelegte Grundsatz, dass der Kontoinhaber für einen nicht autorisierten Zahlungsvorgang nur bei Vorsatz oder grober Fahrlässigkeit einzustehen habe, berührt, wenn daneben dessen Haftung nach den Regeln eines Handelns unter fremdem Namen auch für einfache Fahrlässigkeit in Betracht käme (BGH, Urt. v. 26.01.2016 – XI ZR 91/14, Rn. 58, m.w.N.).

(2) Gleichwohl wurde und wird zum Teil im Schrifttum und in der instanzgerichtlichen Rechtsprechung im Falle schadsoftwaregestützter Manipulationen eine Zahlungsautorisierung unter bestimmten Voraussetzungen und mit verschiedenen Begründungsansätzen – vornehmlich nach den Grundsätzen der Anscheinsvollmacht – bejaht (vgl. LG Darmstadt, Urt. v. 28.08.2014 – 28 O 36/14 für einen Man-in-the-Middle-Angriff (Schadsoftware mit Freischaltungstrojaner) im Smart-TAN-plus-Verfahren; OLG Schleswig-Holstein, Beschl. v. 19.07.2010 – 3 W 47/10, Rn. 3 für die Weitergabe von Zugangsdaten wie Kontonummer, online-PIN, nicht verbrauchter TAN an einen Dritten; KG, Urt. v. 29.11.2010 – 26 U 159/09, Rn. 35 für eine angeblich fehlgeschlagene Anmeldung und Aufforderung zur Eingabe von vier unverbrauchten TAN für Login; OLG Köln, Beschl. v. 21.03.2016 – 13 U 223/15 und (vorangehend) LG Köln, 16.10.2015 – 30 O 330/14 für sogenannte Testüberweisungen (durch Freischaltungs-Trojaner); zustimmend: Zahrte, BKR 2016, 315,316 f.; so auch LG Bonn, Urt. v. 11.10.2016 – 17 O 30/15; offen gelassen bei schadsoftwaregesteuerter Testüberweisung: OLG Oldenburg, Beschl. v. 28.06.2018 – 8 U 163/17, dort über § 675v Abs. 2 Nr. 2 BGB (a.F.) unter Annahme grober Fahrlässigkeit gelöst; ähnlich AG Bonn, Urt. v. 15.04.2014 – 109 C 223/13). Letztlich wird die rechtliche Einordnung stark von den Einzelumständen der jeweiligen Fallgestaltung geprägt. Eine differenzierte Betrachtung ist angesichts der Vielzahl unterschiedlich ansetzender und verschieden wirkender missbräuchlicher Eingriffe in das Online-Banking auch geboten (Senat, Urt. v. 13.10.2022 – 8 U 760/22, Umdruck S. 20).

(3) Anstelle einer Anwendung von Rechtsscheingrundsätzen auf missbräuchliche Eingriffe eines Dritten im Online-Banking wird teilweise eine Differenzierung danach vorgeschlagen, ob durch Auslegung des Verhaltens des Zahlers gemäß §§ 133, 157 BGB analog die Abgabe einer Zustimmungserklärung festgestellt werden kann (MüKoHGB/Linardatos, K, 4. Aufl. 2019, Rn. 65). Danach kommt es darauf an, ob der Zahler beim jeweils problematischen Zahlungsvorgang im Bewusstsein der eingetretenen Rechtsfolge, folglich mit Erklärungsbewusstsein, gehandelt hat (MüKoHGB/Linardatos, K, 4. Aufl. 2019, Rn. 65).

Zu Recht weist Linardatos (a.a.O.) darauf hin, dass die Ansicht, eine Autorisierung läge immer vor, wenn der Zahler infolge einer Täuschung selbst gehandelt hat, unzutreffend sein dürfte (so aber Köbrich, VuR 2015, 9, 11). Denn damit würde entgegen §§ 675u, 675v BGB das Missbrauchsrisiko pauschal dem Zahler zugewiesen, obwohl primärer Träger eines solchen Risikos der Zahlungsdienstleister ist (Linardatos, a.a.O.).

So handelt etwa bei einem sogenannten Rücküberweisungs-Trojaner, bei dem der Zahler unter Mitteilung einer angeblich versehentlich auf sein Konto erfolgten Überweisung (Gutschrift) aufgefordert wird, einen bestimmten Betrag auf ein bestimmtes Empfängerkonto (zurück) zu überweisen, mit entsprechendem Erklärungsbewusstsein und mit einem auf die konkrete Überweisung gerichteten Geschäftswillen. Im Irrtum ist er nur über die zugrunde liegenden Motive. Aus diesem Grunde ist bei dieser Fallgestaltung von einer Zahlungsautorisierung auszugehen (so auch OLG Brandenburg, Urt. v. 31.01.2018 – 13 U 5/17, Rn. 37 ff.; AG Köln, Urt. v. 26.06.2013 – 119 C 143/13, Rn. 14; Zahrte, BKR 2016, 315, 316; Grüneberg/Grüneberg, 82. Aufl., § 675j Rn. 3). Zu dieser Fallgruppe werden zuweilen auch die sogenannten Test- oder Probeüberweisungsfälle gezählt (vgl. OLG Köln, Beschl. v. 21.03.2016 – 13 U 223/15 und (vorangehend) LG Köln, 16.10.2015 – 30 O 330/14; Zahrte, BKR 2016, 315, 316; MüKoHGB/Linardatos, K, 4. Aufl. 2019, Rn. 66), da – ähnlich wie bei den Rücküberweisungsfällen – ein auf Vornahme einer Überweisung gerichteter Geschäftswille und damit eine Autorisierung anzunehmen sei.

Anders liegt es bei einem Freischaltungs-Trojaner, durch den der Zahler aufgefordert wird, zur Freischaltung seines Konto-Zugangs bzw. Verifizierung seiner Kontoberechtigung eine aktuelle TAN einzugeben, während im Hintergrund eine Überweisung initiiert wird. Hier könnte man die Autorisierung bezweifeln, da der Kunde gar kein entsprechendes Erklärungsbewusstsein hat, sondern gleichsam über die rechtliche Qualität seines Tuns irrt (vgl. Zahrte, BKR 2016, 315, 316, m.w.N.; MüKoHGB/Linardatos, K, 4. Aufl. 2019, Rn. 67). Nach Linardatos ist dem Zahler – anders als bei den Rücküberweisungs- (und Testüberweisungs-)Fällen – bei dieser Konstellation nicht bewusst, dass er eine Überweisung veranlasst. Er agiere vielmehr in dem Glauben, er würde lediglich seinen Konto-Zugang freischalten oder den Fortbestand seiner Kontoberechtigung bestätigen (MüKoHGB/Linardatos, K, 4. Aufl. 2019, Rn. 67).

(bb) Die vorliegende Fallgestaltung ähnelt – auch wenn der Kläger hierzu wenig Einzelheiten mitteilt und sogar die Eingabe einer TAN negiert, obwohl die Eingabe einer solchen unter Verwendung der Legitimationsdaten des Klägers im Transaktionsprotokoll, im Einzelüberweisungsnachweis und in der TAN-Liste (Anlagen B 2, B 3 und B 10), wie oben dargelegt, schlüssig und widerspruchsfrei dokumentiert ist – am meisten der Sachlage bei einem sog. Freischaltungs-Trojaner. Anders als bei einer Aufforderung zur Rücküberweisung eines bestimmten Betrages an einen bestimmten Zahlungsempfänger handelte der Kläger keinesfalls in dem Bewusstsein, den Betrag von 24.291,49 Euro an einen Herrn V… G… bzw. auf dessen Konto bei der DKB zu überweisen. Nach Darstellung des Klägers hatte er – abgesehen von der wenig später bewusst vorgenommenen Zahnarztüberweisung – nicht die Absicht, eine (andere oder weitere) Finanztransaktion zu tätigen. Vielmehr beabsichtigte er auf der vermeintlichen Website der Beklagten, als er der Aufforderung zur Eingabe einer bestimmten Zahlungsfolge nachkam, die Freischaltung seiner Online-Kontofunktionen, um anschließend die Überweisung an seinen Zahnarzt vornehmen zu können. Eine Autorisierung der Zahlung an V… G… durch den Kläger im Wege des im Rahmenvertrag vereinbarten Zahlungsinstruments (ChipTAN-Verfahren) kann daher im Streitfall nicht angenommen werden. Wegen des – verdeckt ablaufenden – Missbrauchs ist unter den vorliegenden Einzelfallumständen eine Autorisierung zu verneinen (vgl. OLG München, Urt. v. 22.09.2022 – 19 U 2204/22, Rn. 79, juris; Senat, Urt. v. 13.10.2022, Umdruck S. 21; wohl auch: Maihold in: Ellenberger/Bunte, Bankrechtshandbuch, 6. Aufl. 2022, § 33 Rn. 361, Rn. 263; Omlor, EWiR 2014, 701, 702 – Anm. zu LG Darmstadt, Urt. v. 28.08.2014 – 28 O 36/14, die annehmen, dass ein verfälschter Zahlungsauftrag zwar nicht zu einer Autorisierung führe, aber, sofern der Bankkunde die abschließende Kontrolle der Zahlungsdaten unterlasse, eine Pflichtverletzung darstelle, die im Falle grober Fahrlässigkeit zur Haftung des Kunden nach § 675v Abs. 3 BGB führe; vgl. auch OLG Oldenburg, Beschl. v. 28.06.2018 und vom 21.08.2018 – 8 U 163/17; LG Frankfurt, Urt. v. 04.06.2020 – 2-02 O 271/19). Ebenso geht der Sachverständige C… in seinem Gutachten vom 04.01.2023 davon aus, dass der Kläger die streitgegenständliche Überweisung nicht wissentlich und bewusst veranlasst oder freigegeben hat, sondern einem Angriff zum Opfer gefallen ist (Gutachten Seite 12 „unfreiwillige Mitwirkung“, „nicht wissentlich durchgeführt“). Bei dieser Sachlage kann nicht von einer Autorisierung des Vorgangs im ChipTAN-Verfahren ausgegangen werden, sofern man – wie der Senat (Urt. v. 13.10.2022, Umdruck S. 19 bis 21) – im Einklang mit der Rechtsprechung des Bundesgerichtshofs (BGH, Urt. v. 26.01.2016 – XI ZR 91/14, Rn. 57 ff.; BGH, Urt. v. 17.11.2020 – XI ZR 294/19, Rn. 13, juris) und des Oberlandesgerichts München (Urt. v. 22.09.2022 – 19 U 2204/22, Rn. 79, juris) eine Zurechnung nach Rechtsscheingrundsätzen verneint.

b) Der Kläger hat die Überweisung von 24.291,49 Euro an V… G… auch nicht nachträglich fernmündlich im Rahmen seines Telefonats vom 09.12.2020 mit der Bankmitarbeiterin K… N… gemäß § 675j Abs. 1 Satz 2 BGB autorisiert.

Dabei kann dahinstehen, ob die Parteien, wie in § 675j Abs. 1 Satz 3 BGB vorausgesetzt, vor dem Zahlungsvorgang – ggf. konkludent – vereinbart haben, dass neben einer Autorisierung im ChipTAN-Verfahren und trotz Fehlens einer entsprechenden Regelung im Rahmenvertrag und in den Bedingungen für das Online-Banking eine Autorisierung auch durch nachträgliche telefonische Zustimmung (Genehmigung) des Klägers als Zahlungsdienstnutzer möglich ist (vgl. Grüneberg/Grüneberg, BGB, 82. Aufl. § 675j Rn. 4).

Denn die hierfür darlegungs- und beweisbelastete Beklagte hat nicht nachgewiesen, dass der Kläger in Kenntnis des Umstandes, dass es um die Überweisung eines Betrages von mehr als 24.000 Euro geht, seine Zustimmung zu der Finanztransaktion erteilt hat. Abgesehen davon, dass der Senat ein solches Szenario nach allgemeiner Lebenswahrscheinlichkeit für höchst unwahrscheinlich erachtet, haben die vom Kläger gegenbeweislich angebotenen Zeugen Ma… K… und M… K… im Termin zur mündlichen Verhandlung vom 16.03.2023, zu welchem die von der Beklagten benannte Zeugin K… N… krankheitsbedingt verhindert war, zu erscheinen, glaubhaft ausgesagt, dass es in dem – kurzen – Telefonat vom 09.12.2020 nur allgemein um einen „höheren“ oder „größeren“ Betrag gegangen sei, ohne dass die Größenordnung (von mehr als 24.000 Euro) näher umschrieben worden sei. Außerdem hat der Kläger nach übereinstimmender Aussage der Zeugen im Zusammenhang mit der Bestätigung der Überweisung eines „höheren Betrages“ von der Zahlung an seinen Zahnarzt gesprochen. Unter diesen Umständen lässt sich die fernmündliche Zustimmungserklärung des Klägers nicht mit der gebotenen Eindeutigkeit und Klarheit der Überweisung von mehr als 24.000 Euro an den Zahlungsempfänger V… G… zuordnen, zumal die Zahnarztüberweisung von etwas mehr als 2.000 Euro durch die Nennung des akademischen Grades „Dipl. Stom.“ identifizierbar war. Auf die Vernehmung der Zeugin K… N… in einem anzuberaumenden Fortsetzungstermin hat die Beklagte auf Anfrage des Senats im Nachgang verzichtet.

2.

Hat danach der Kläger die Zahlung von 24.291,49 Euro weder mittels Zahlungsinstrument (im ChipTAN-Verfahren) noch nachträglich durch fernmündliche Genehmigung autorisiert, steht ihm gegen die Beklagte im Ausgangspunkt ein Anspruch aus § 675u Satz 2 BGB auf Wiedergutschrift des Betrages von 24.291,49 Euro zu. Dem kann die Beklagte allerdings gemäß § 242 BGB nach den Grundsätzen von Treu und Glauben im Wege der dolo-agit-Einrede mit Erfolg einen – wegen eigenen Mitverschuldens der Beklagten um ein Viertel geschmälerten – Schadenersatzanspruch aus § 675v Abs. 3 Nr. 2b BGB in Höhe von 18.218,62 Euro entgegenhalten, mit der Folge, dass der Kläger eine Gutschrift nur noch im Umfang von 6.072,87 Euro verlangen kann. Besteht ein Schadenersatzanspruch des Zahlungsdienstleisters, kann in Höhe des Anspruchs eine Gutschrift nach § 675u Satz 2 BGB gemäß den Grundsätzen von Treu und Glauben verweigert werden (vgl. BGH, Urt. v. 17.11.2020 – XI ZR 294/19, Rn. 25, juris; BGH, Urt. v. 05.10.2004 – XI ZR 210/03, juris).

a) Ein Schadenersatzanspruch aus § 675v Abs. 3 Nr. 2 BGB der Beklagten gegen den Kläger ist abweichend von den Absätzen 1 und 2 der Vorschrift grundsätzlich gerichtet auf Ersatz des gesamten Schadens, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist (nicht lediglich auf Ersatz von 50 Euro, vgl. Abs. 1), wenn der Zahler den Schaden durch grob fahrlässige Verletzung einer oder mehrerer Pflichten gemäß § 675l Abs. 1 BGB oder einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments herbeigeführt hat.

aa) Ein Schadenersatzanspruch aus § 675v Abs. 3 Nr. 2a BGB scheidet aus.

Anhaltspunkte dafür, dass dem Kläger ein Zahlungsinstrument abhanden gekommen ist, sind weder dargetan noch ersichtlich. Nach dem durch die Transaktionslisten und Einzelüberweisungsnachweise untermauerten Vortrag der Beklagten ist der streitgegenständliche Zahlungsvorgang durch die Original SparkassenCard des Klägers mit seiner Legitimations-ID vorgenommen worden, ohne dass der Kläger vorträgt, zeitweilig oder dauerhaft nicht in deren Besitz gewesen zu sein. Ebenso wenig steht in Rede, dass der Kläger die missbräuchliche Nutzung des Online-Banking Accounts durch einen unbefugten Dritten der Beklagten verspätet angezeigt hat. Denn der Kläger hat den von ihm nicht autorisierten Zahlungsvorgang am 10.12.2020 gegenüber der Beklagten gemeldet (Anlage K 4) und am 11.12.2020 Strafanzeige erstattet sowie einen neuen Rahmenvertrag mit der Beklagten einschließlich Vereinbarung eines Verfügungslimits von 3.000 Euro abgeschlossen.

bb) Allerdings steht der Beklagten gegen den Kläger ein Schadenersatzanspruch gemäß § 675v Abs. 3 Nr. 2b BGB wegen eines grob fahrlässigen Verstoßes des Klägers gegen die Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments zu.

(1) Einen Verstoß gegen eine oder mehrere Bedingungen des Online-Bankings hat die Beklagte darzulegen und zu beweisen. Dabei kommt ihr ein Anscheinsbeweis nur in den Grenzen des § 675w Satz 3 und Satz 4 BGB zugute, d.h. allein die Aufzeichnung einer störungsfreien Nutzung des Zahlungsinstruments reicht für sich genommen noch nicht aus, ferner muss die Beklagte unterstützende Beweismittel vorlegen, um Betrug, Vorsatz oder grobe Fahrlässigkeit des Zahlungsdienstenutzers nachzuweisen.

(2) Da die Zahlungsdiensterichtlinie die Ausgestaltung des Begriffs der groben Fahrlässigkeit dem einzelstaatlichen Recht überlässt (Erwägungsgrund Nr. 33 Richtlinie 2007/64/EG vom 13.11.2007 über Zahlungsdienste im Binnenmarkt), kann an die bisherige Rechtsprechung angeknüpft werden. Danach liegt grobe Fahrlässigkeit vor, wenn die im Verkehr erforderliche Sorgfalt in ungewöhnlich grobem Maße verletzt worden ist und auch ganz nahe liegende Überlegungen nicht angestellt worden sind oder das nicht beachtet worden ist, was im konkreten Fall jedem hätte einleuchten müssen (BGH, Urt. v. 23.09.2008 – XI ZR 253/07, Rn. 34, m.w.N., juris). Zu beachten ist jedoch, dass anders als bei einfacher Fahrlässigkeit, die nach einem ausschließlich objektiven Pflichtenmaßstab beurteilt wird, bei grober Fahrlässigkeit auch subjektive, in der Individualität des jeweils Handelnden begründete Umstände zu berücksichtigen sind (BGH, Urt. v. 26.01.2016 – XI ZR 91/14, Rn. 73, juris; Maihold in: Ellenberger/Bunte, Bankrechtshandbuch, 6. Aufl. 2022, § 33 Rn. 246). Selbst ein objektiv grober Pflichtverstoß rechtfertigt für sich noch keinen zwingenden Schluss auf ein entsprechend gesteigertes personales Verschulden (BGH, Urt. v. 26.01.2016 – XI ZR 91/14, Rn. 73, m.w.N.). Den Teilnehmer am Online-Banking muss vielmehr nicht nur aus objektiver Sicht, sondern auch subjektiv ein schlechthin unentschuldbares Versagen bei der Befolgung ihm erkennbarer Pflichten treffen (Maihold in: Ellenberger/Bunte, Bankrechtshandbuch, 6. Aufl. 2022, § 33 Rn. 246).

In den nicht selten komplexen und wegen ihrer großen Vielfalt nicht von jedem ohne weiteres zu überblickenden Online-Banking-Verfahren können deswegen auch die Unerfahrenheit oder Unbeholfenheit des Kunden grobe Fahrlässigkeit ausschließen. Zu beachten sind deswegen individuelle Kenntnisse, technische Erfahrung und praktische Gewandtheit des konkreten Teilnehmers am Online-Banking (Maihold in: Ellenberger/Bunte, Bankrechtshandbuch, 6. Aufl. 2022, § 33 Rn. 247).

(3) Gemessen an diesen Maßstäben lässt sich jedenfalls ein objektiv schwerwiegender Pflichtverstoß des Klägers identifizieren, der unter Berücksichtigung der individuellen Kenntnisse, Erfahrungen, Fähigkeiten und Kompetenzen des Klägers betreffend das Online-Banking und die Nutzung des Internets bei sensiblen Zahlungsvorgängen auch in subjektiver Hinsicht nicht mehr als entschuldbar angesehen werden kann.

(a) Ein objektiv schwerwiegender Pflichtverstoß des Klägers liegt darin, dass er entgegen Ziffer 7.4 der in den Online-Banking-Rahmenvertrag einbezogenen Allgemeinen Geschäftsbedingungen der Beklagten, die Übereinstimmung der mitgeteilten Zahlungsinformationen (hier: IBAN des Zahlungsempfängers, Bankinstitut und Zahlungsbetrag) ganz offenbar vor der abschließenden Freigabe des Zahlungsauftrags nicht überprüft hat.

(aa) Bei der dem Zahlungsdienstnutzer unter Ziffer 7.4 auferlegten Kontrollpflicht handelt es sich um eine objektiv sachlich gerechtfertigte und zugleich verhältnismäßige Pflicht. Denn in Authentifizierungsverfahren wie dem ChipTAN-Verfahren, in denen das Authentifizierungselement (TAN), mit dem der Zahlungsauftrag abschließend freigegeben wird, an dessen Inhalt gebunden ist, stellt die abschließende Kontrolle der Zahlungsdaten den zentralen Schutz vor einer Kompromittierung des Zahlungsauftrags dar. Wegen der Verknüpfung der abschließenden Freigabe ausschließlich mit den angezeigten Daten des Zahlungsauftrags wäre – nach gegenwärtigem Stand der Technik – eine Verfälschung der Auftragsdaten nach deren Freigabe durch den Kunden für die Bank erkennbar und würde bei korrekter Implementierung des Verfahrens zur Ablehnung des Zahlungsvorgangs führen. Sind hingegen die Inhalte des Zahlungsauftrags bereits vor abschließender Freigabe durch den Kunden durch den Zugriff eines Dritten verfälscht worden, kann der Kunde dies bei einer sorgfältigen Prüfung der ihm übermittelten Zahlungsdaten erkennen und seinerseits den Zahlungsauftrag abbrechen. Unterlässt der Bankkunde diese abschließende Kontrolle der Zahlungsdaten, führt das nach den oben dargelegten Erwägungen bei einem manipulierten oder untergeschobenen Zahlungsauftrag zwar nicht zu einer Autorisierung, stellt aber eine Pflichtverletzung dar, die im Falle grober Fahrlässigkeit zur Haftung des Kunden nach § 675v Abs. 3 BGB führt (Maihold in: Ellenberger/Bunte, Bankrechtshandbuch, 6. Aufl. 2022, § 33 Rn. 361, Rn. 263; Omlor, EWiR 2014, 701, 702). Zum Zweck der geforderten Überprüfung der Integrität der Auftragsdaten (Auftragsdaten, Verifizierungsdaten) kann der Kunde diese unschwer am jeweils zum Empfang dieser Daten vorgesehenen Gerät ablesen, mit den tatsächlich gewünschten Daten abgleichen und im Falle einer Differenz von einer anschließenden Freigabe des Zahlungsauftrags absehen. Verletzt ein Kunde diese selbstverständliche Pflicht, so handelt er im Regelfall auch grob fahrlässig (vgl. OLG Oldenburg, Beschl. v. 28.06.2018 – 8 U 163/17, Rn. 10, juris, zu grob fahrlässigen Freigaben vgl. ferner LG Frankfurt, Urt. v. 04.06.2020 – 2-02 O 271/19, juris; AG Bonn, Urt. v. 15.04.2014 – 109 C 223/13, juris; vgl. ferner zu sog. Testüberweisungen (Freischaltungs-Trojaner, wobei der Kunde – anders als beim sog. Rücküberweisungs-Trojaner, bei dem der Kunde eine vermeintliche (Rück-)Überweisung von versehentlich überwiesenen Beträgen auslöst, nicht den Willen hat, eine Überweisung auszulösen: OLG Köln, Beschl. v. 21.03.2016 – 13 U 223/15, juris und (vorangehend) LG Köln, 16.10.2015 – 30 O 330/14, juris: dort wurden bereits die Autorisierung des Zahlungsvorgangs und ein Anspruch auf Wiedergutschrift nach § 675u Satz 2 BGB bejaht; zustimmend: Zahrte, BKR 2016, 315,316 f.; so auch LG Bonn, Urt. v. 11.10.2016 – 17 O 30/15, juris). Die abschließende Kontrolle der Auftragsdaten vor deren endgültiger Freigabe gehört – ebenso wie etwa die Kontrolle vor Unterschrift unter einen zuvor ausgefüllten Überweisungsträger – zu den jedermann bekannten Grundpflichten im Zahlungsverkehr (Maihold in: Ellenberger/Bunte, Bankrechtshandbuch, 6. Aufl. 2022, § 33 Rn. 362).

(bb) Soweit der Kläger vorträgt, außer für die Überweisung an seinen Zahnarzt keine TAN generiert und freigegeben zu haben, nimmt der Senat ihm dies im Ergebnis der eingeholten sachverständigen Beratung nicht ab.

Zweifel an der Sachdarstellung des Klägers ergeben sich bereits daraus, dass er auf die Frage des Senats im Termin zur mündlichen Verhandlung vom 25.08.2022, ob er (am 09.12.2020) unter Umständen zweimal eine TAN generiert und mit OK bestätigt habe, auch wenn ihm nicht bewusst gewesen sei, damit eine Überweisung durchzuführen, geantwortet hat, das könne „eigentlich“ nicht sein. Damit hat er seinen die TAN-Eingabe strikt negierenden schriftsätzlichen Vortrag zumindest leicht relativiert. Ferner hat er bei seiner Anhörung eingeräumt, aufgrund der mehrfachen Aufforderung, die Zahlenfolge 1, 2, 3, 4, 5 einzugeben, „nervös“ geworden zu sein. Dies lässt es als denkbar erscheinen, dass der Kläger, um möglichst rasch zu seinem Ziel – Veranlassung der Überweisung an seinen Zahnarzt – zu gelangen, auch eine TAN generiert und eingegeben hat, ohne den Anzeigen auf dem Display des TAN-Generators die gebotene Aufmerksamkeit zu schenken. Weitere Bedenken gegen den Vortrag des Klägers, keine TAN generiert und eingegeben zu haben, ergeben sich auf Grundlage der in Rechtsprechung und Schrifttum beschriebenen Funktionsweise des – allgemein als sicher geltenden – ChipTAN-Verfahrens, wonach im Rahmen einer sog. 2-Faktor-Authorisierung die TAN auf einem gesonderten, nicht mit dem Internet verbundenen und daher durch Schadsoftware nicht kompromittierbaren Gerät, dem TAN-Generator, unter Verwendung der SparkassenCard des Nutzers für einen bestimmten, im Display dieses Geräts angezeigten Auftrag erzeugt werde und die Sicherheit des ChipTAN-Verfahrens zum einen darauf beruhe, dass bei Eingabe der TAN in den Rechner nur der dem Nutzer zuvor angezeigte (Zahlungs-)Auftrag zur Ausführung gelangt und zum anderen darauf, dass die eingegebene TAN bankenintern überprüft und abgeglichen wird mit einer vom Bankserver unabhängig davon selbst erzeugten TAN und der Auftrag nur im Falle einer Identitätsfeststellung zur Ausführung gelangt (vgl. Maihold in: Ellenberger/Bunte, Bankrechtshandbuch, 6. Aufl. 2022, § 33 Rn. 37f.; ausführlich zum ChipTAN-Verfahren: Hoeren/Kairies, ZBB 2015, 35 ff.).

Letztlich ist der Senat aufgrund der durchgeführten Beweisaufnahme überzeugt davon, dass die in Rede stehende Überweisung von 24.291,49 Euro an V… G… im ChipTAN-Verfahren nicht hätte durchgeführt werden können, wenn nicht der Kläger mit dem TAN-Generator und seiner SparkassenCard eine TAN generiert und auf seinem Rechner eingegeben hat, wobei er zugleich auch die ihm auf dem Display des TAN-Generators angezeigten Daten, nämlich die letzten zehn Stellen der IBAN, das Bankinstitut des Empfängers und den überwiesenen Betrag durch Betätigen der „OK“-Taste bestätigt haben muss.

Der Sachverständige C… hat ausgeführt, dass die von der Beklagten vorgelegten Transaktionsprotokolle nur dann erzeugt werden können, wenn es keine Fehler oder technische Probleme gegeben hat. Ausweislich dieser Protokolle sowie der hiermit übereinstimmenden TAN-Liste wurde für die streitgegenständliche Überweisung die sechsstellige TAN 8888888 benutzt. Die Einzelüberweisungsnachweise enthalten den Vermerk „STATUS=0000 VERF=CTN“ der ohne einen störungsfreien Ablauf nicht generiert worden wäre. Sowohl der Einzelüberweisungsnachweis betreffend die Zahnarztüberweisung als auch der die streitgegenständliche Überweisung betreffende Einzelüberweisungsnachweis enthalten den Vermerk „Der Auftrag wurde entgegengenommen“. Beide Transaktionen wurden nach den Feststellungen des Sachverständigen mit dem Browser Firefox unter Windows 10 von der IP-Adresse 00.00.00.60 ausgeführt, wobei diese IP-Adresse zum Adressraum des Internet-Providers Telefonica gehört. Dies deckt sich vollständig mit den von der Polizeidirektion Leipzig, Abt. IUK-Kriminalität, im polizeilichen Schlussbericht vom 05.01.2021 zusammengefassten Feststellungen. Erst am Abend des 09.12.2020 ist es um 17.11 Uhr zu einem weiteren Login von der – abweichenden – IP-Adresse 00.00.000.38 gekommen, die zum Festnetzanschluss der Vodafone NRW GmbH gehört. Zu diesem Zeitpunkt war der Kläger nach eigenen Angaben nicht an seinem Rechner zum Online-Banking angemeldet. Aus der unveränderten IP-Adresse bei der streitgegenständlichen Überweisung und bei der unstreitig vom Kläger getätigten Zahnarztüberweisung hat der Sachverständige im Gutachten vom 04.01.2023 geschlossen, dass beide Überweisungen vom PC des Klägers aus durchgeführt wurden. Diese Ausführungen hat der Sachverständige auf Frage des Klägers durch nähere Erläuterungen zum sog. CG-NAT-Verfahren ergänzt, das von einigen Providern (ohne Einflussnahme der Beklagten) eingesetzt werde, um die durch rege Kundennutzung inzwischen entstandene Knappheit von Netzwerkadressen zu überwinden, wobei durch bestimmte Ports sichergestellt werde, dass die Antwortdatenpakete den richtigen privaten, im Internet nicht gerouteten IP-Adressen zugeordnet werden. Die jeweilige Portnummer werde dabei durch das Betriebssystem festgelegt, ohne dass der Anwender hierauf Einfluss habe. Öffne ein Anwender mehrere Browserfenster, erhalte jedes Fenster eine eigene Portnummer. Hierdurch erklärt sich, weshalb bei ein und demselben Anwender nach der identischen IP-Adresse (hier: 00.00.00.60) hinter dem Schrägstrich (slash) bei verschiedenen Aufträgen durchaus unterschiedliche Portnummern (hier: 00031 bzw. 00063) stehen können. Ferner hat der Sachverständige festgestellt, dass die Legitimations-ID bei beiden Transaktionen identisch war, was bedeute, dass bei beiden Transaktionen zuvor eine korrekte Anmeldung (mit Benutzername und Passwort) beim Online-Banking erfolgt war. Darüber hinaus kam bei beiden Transaktionen die Original-Sparkassen-Card des Klägers zum Einsatz, die dementsprechend auch vom Bankserver akzeptiert wurde.

Im Rahmen einer Gesamtanalyse hat der Sachverständige C… auf der Grundlage seines Fachwissens sowie unter Analyse der Methoden des Online-Bankings, insbesondere des verwendeten ChipTAN-Verfahrens, und Bewertung der vorliegenden Daten unter Berücksichtigung von bislang aufgetretenen und bekannt gewordenen Sicherheitslücken, Fehlfunktionen, Manipulationsmöglichkeiten und Angriffsszenarien sicher und eindeutig festgestellt, es sei „technisch ausgeschlossen, dass am 09.12.2020 die Überweisung eines Betrages von 24.291,49 Euro zulasten des Girokontos des Klägers an einen Herrn V… G… stattgefunden hat, ohne dass der Kläger mit Hilfe eines Kartenlesegeräts und seiner Sparkassenkarte eine TAN generiert und auf seinem Rechner eingegeben hat und ohne dass dem Kläger im Display seines TAN-Generators die zweite Hälfte der IBAN des Empfängerkontos und der genannte Überweisungsbetrag angezeigt und vom Kläger jeweils mit „OK“ bestätigt worden sind.“

Dieses Ergebnis hat der Sachverständige C… zusätzlich dadurch plausibilisiert, dass es nicht möglich ist, eine Karte, die wie die SparkassenCard mit EMV-Chip ausgestattet ist, zu kopieren. Aus einem EMV-Chip ließen sich einige Daten auslesen; der Schlüssel zur Berechnung der TAN gehöre aber nicht dazu. Er könne nur in den Chip geschrieben, nicht aber ausgelesen werden.

Das Resultat der sachverständigen Analyse und Bewertung steht vollends im Einklang mit den bislang in Rechtsprechung und Schrifttum bekannt gewordenen Erkenntnissen und wird durch die von der Beklagten vorgelegten Unterlagen gestützt. So hat beispielsweise das Landgericht Bonn ebenfalls nach Einholung eines Sachverständigengutachtens festgestellt, dass die Kontenbelastung beim ChipTAN-Verfahren nur durch eine Person erfolgen kann, die im Besitz der Bankkarte ist (LG Bonn, Urt. v. 11.10.2016 – 17 O 30/15, Rn. 37, 38). Dafür, dass eine entsprechende Visualisierung der letztlich getätigten Überweisung (Erscheinen der IBAN des Empfängers V… G… und des Betrages) erfolgt ist, spricht die Einzelübersicht gemäß Anlage B 3 (= GA 47/R), die ebenso wie die Einzelübersicht zu der vom Kläger unstreitig ausgelösten Überweisung an seinen Zahnarzt einen entsprechenden Visualisierungstext mit der Bitte um Freigabe per TAN erkennen lässt und letztlich die Entgegennahme des Auftrags dokumentiert. Soweit dort – anders als bei der Überweisung an den Zahnarzt des Klägers, wo es heißt „Auftrag empfangen – Bitte TAN eingeben“ – an der korrespondierenden Stelle vermerkt ist „Echtzeit nicht möglich. Ausführung als Standard-Überweisung“, hält es der Sachverständige C… für möglich, dass die Mitteilung zur Nichtausführbarkeit der Echtzeitüberweisung die andere Nachricht verdeckt hat. Dies ändert aber nichts daran, dass dem Kläger ein Abgleich der zur Ausführung anstehenden Überweisungsdaten (IBAN des Empfängers bei dem Institut Deutsche Kredit Bank und Überweisungsbetrag) mit dem tatsächlich Gewollten (nach Angabe des Klägers Verifizierung bzw. Freigabe seines Online-Banking-Accounts, um letztlich die Überweisung an seinen Zahnarzt vornehmen zu können) möglich gewesen wäre und er tatsächlich zur Überprüfung der IBAN des Empfängers, des Kreditinstituts und auch des Betrags aufgefordert wurde (vgl. sichtbaren Visualisierungstext gemäß Anlage B 3/Rückseite).

Im Übrigen ist der Sachverständige auch nach Überprüfung der Entgegenhaltungen des Klägers bei dem gefundenen Ergebnis geblieben. Insbesondere gibt es trotz ständiger Weiterentwicklung von Cyberangriffen in ihren mannigfaltigen Erscheinungsformen nach wie vor keine greifbaren Anhaltspunkte dafür, dass es gelungen wäre, die Überprüfung der vom Bankkunden übermittelten TAN durch einen im Inneren des Bankensystems angesiedelten Bankserver, der hiervon unabhängig selbst eine TAN generiert und mit der übermittelten abgleicht, zu kompromittieren. Die vom Kläger im Schriftsatz vom 27.02.2023 erstmals beispielhaft angeführten Attacken auf Online-Banking-Systeme betreffen nach den überzeugenden Ausführungen des Sachverständigen C… entweder Angriffe, die beim Zahlungsdienstnutzer, hier also dem Kläger, ansetzen (vor allem im Rahmen eines sog. Social Engineerings, bei dem die Schwachstelle Mensch mit dem Ziel eines Abgreifens von Daten und deren missbräuchlicher Verwendung ausgenutzt wird) oder solche Angriffe auf das Bankensystem, welche nur punktuell und vordergründig erfolgreich waren, ohne die Sicherheitsbereiche des Instituts zu berühren, die für die Generierung und Abgleichung der TAN mit der vom Nutzer übermittelten verantwortlich sind. Darüber hinaus betraf keines der behaupteten Szenarien die beklagte Sparkasse. Es kann daher auf sich beruhen, ob dieses neue und – worauf die Beklagte zutreffend hinweist – weitgehend nur in Kursivschrift wiedergegebene, mit den Worten „der Kläger lässt vortragen“ in den Rechtsstreit eingeführte Vorbringen des Klägers im Berufungsrechtszug überhaupt noch berücksichtigungsfähig und wirksam eingebracht ist (vgl. hierzu BGH, Urt. v. 19.10.1988 – IVb ZR 5/88; BGH, Urt. v. 29.10.1997 – VIII ZR 141/97; BGH, Beschl. v. 24.01.2008 – IX ZB 258/05; BVerwG, Beschl. v. 16.02.1988 – 4 B 29/88; Verwaltungsgerichtshof Baden-Württemberg, Beschl. v. 28.01.2019 – 4 S 17/19, sämtlich juris).

(b) Der unterlassene Abgleich der dem Kläger unzweifelhaft auf dem Display seines TAN-Generators angezeigten Transaktionsdaten (IBAN des Empfängers, Bankinstitut, Betrag) erweist sich im vorliegenden Einzelfall auch als subjektiv unentschuldbar.

Der vom Senat angehörte Kläger hat seine Medien- bzw. Internet- und IT-Kompetenz, also seine Fähigkeiten, sich im Internet und mit der modernen Technik zu bewegen, als gut eingeschätzt. Er war intellektuell und aufgrund seiner Ausbildung in der Lage, bei gehöriger Aufmerksamkeit die Bedeutung der TAN-Eingabe und -Freigabe zu erkennen und die Anzeigen auf dem Display des TAN-Generators richtig zu deuten. Dies schließt der Senat – neben dem im Rahmen der mündlichen Verhandlung gewonnenen persönlichen Eindruck – daraus, dass der Kläger, auch wenn er am 09.12.2020 nicht mehr im aktiven Berufsleben stand, zuvor als Programmierer tätig war und angabegemäß auch seinem Sohn, der nach einem Hochschulstudium gerade seinen Abschluss als „Master of Science IT“ absolviert hat, weiterhin in IT-Fragen als Ansprechpartner unterstützend zur Seite steht. Darüber hinaus war der Kläger, der zur Zeit des Vorfalls schon seit mehr als viereinhalb Jahren am Online-Banking der Sparkasse teilnahm, mit den entsprechenden Abläufen gut vertraut. Er hat dem Senat die einzelnen Schritte zur Tätigung einer Überweisung einschließlich der Anzeigen im Display des Kartenlesegeräts und der Bestätigung der Daten mit der „OK“-Taste im Termin vom 25.08.2022 flüssig und detailliert beschrieben. Damit korrespondierend hat der Kläger am 09.12.2020 auch bemerkt, dass sich die Abläufe anders als sonst üblich darstellten. Die wiederholte Aufforderung zur Eingabe der Zahlenfolge 1, 2, 3, 4, 5 kam ihm „spanisch“ vor. Gleichwohl hat er – im dritten Anlauf und angabegemäß nach Überprüfung mit Virensuchprogrammen – ohne zuvor Rücksprache mit der beklagten Sparkasse zu halten Online-Banking-Schritte vollzogen und dabei entsprechende Bestätigungen auf dem TAN-Generator erteilt sowie Eingaben in seinem Rechner getätigt. Dabei hat er die Kontrolle des ihm vor Freigabe des Auftrags durch die mit seiner SparkassenCard generierte TAN angezeigten Daten (IBAN, Institut, Betrag) in ihm vorwerfbarer Weise grob fahrlässig vernachlässigt. Die Missachtung der unter Ziffer 7.4 der vereinbarten Bedingungen zum Online-Banking übernommenen Verpflichtung des Sparkassenkunden zur Abgleichung der ihm am TAN-Generator angezeigten Daten mit den Daten des tatsächlich gewünschten Vorgangs, stellt sich als ein Kardinalfehler dar, der die Schutzmechanismen und das grundsätzlich hohe Sicherheitsniveau des ChipTAN-Verfahrens ins Leere laufen lässt.

(c) Angesichts des vorgenannten grob fahrlässigen Verstoßes gegen Ziffer 7.4 der vereinbarten Online-Banking-Bedingungen kann im Ergebnis dahinstehen, ob dem Kläger noch weitere grob fahrlässige Pflichtverletzungen i.S. von § 675v Abs. 3 Nr. 2b BGB zur Last fallen.

Die von der Beklagten angeführten weiteren Pflichtverletzungen, etwa ein Verstoß gegen Ziffer 7.1 der Online-Banking-Bedingungen, soweit es dem Kläger erkennbar gewesen sein sollte, dass er sich auf einer gefälschten Website befunden habe, oder sofern er sich tatsächlich, wie vom Landgericht angenommen, über eine fingierte E-Mail auf diese Seite begeben haben sollte, stehen bislang weder fest noch käme ihnen gegenüber der festgestellten grob fahrlässigen Verletzung von Ziffer 7.4 der Bedingungen ein weitergehendes Gewicht zu. Gleiches gilt für einen von der Beklagten behaupteten Verstoß gegen Ziffer 9 des Rahmenvertrages vom 11./13.04.2016 (Unterlassung der Verwendung und regelmäßigen Aktualisierung geeigneter Schutzprogramme wie Firewall- und Antivirenprogramme) und die behauptete Missachtung von Warnhinweisen auf der Homepage der Beklagten.

c) Der danach dem Grunde nach bestehende gegenläufige Anspruch der Beklagten gegen den Kläger gemäß § 675v Abs. 3 Nr. 2b) BGB auf Schadenersatz ist nicht wegen Überschreitung eines vertraglich vereinbarten Verfügungslimits ausgeschlossen oder etwa auf 1.000 Euro beschränkt.

aa) Allerdings kann der Kläger der beklagten Sparkasse nach allgemeinen Regeln den Mitverschuldenseinwand nach § 254 BGB entgegenhalten, insbesondere kann der Schadenersatz, den der Bankkunde zu leisten hat, durch ein für das Online-Banking vereinbartes Verfügungslimit reduziert sein. Ein solcher auf das konkrete Zahlungsinstrument bezogene Verfügungsrahmen dient unter anderem dem Schutz des Bankkunden, da damit auch in dessen Interesse der durch missbräuchliche Nutzung des Online-Bankings mögliche Schaden begrenzt werden soll. Kann der Angreifer über ein solches zwischen den Parteien des Online-Banking-Vertrags vereinbartes Limit dieses Zahlungsinstruments hinaus verfügen, so ist der Pflichtverstoß des Kreditinstituts jedenfalls für diesen höheren Schaden ursächlich geworden (vgl. BGH, Urt. v. 29.11.2011 – XI ZR 370/10, Rn. 27; Maihold in: Ellenberger/Bunte, Bankrechtshandbuch, 6. Aufl. 2022, § 33 Rn. 380, 381).

bb) Dem Kläger ist es aber nicht gelungen, eine wirksame Vereinbarung des behaupteten Verfügungslimits von 1.000 Euro nachzuweisen.

(1) Bei der vom Kläger vorgelegten Anlage K 3 handelt es sich lediglich um eine schriftliche Bestätigung der beklagten Sparkasse bezüglich des Eingangs eines Antrags des Klägers auf Zugang zum ChipTAN-Verfahren im Online-Banking, in welchem der Kläger für die von ihm im Online-Banking ausgelösten Aufträge die Geltung eines Höchstbetrags von 1.000 Euro begehrt.

(2) Zeitlich nachfolgend kam es zwischen den Parteien zum Abschluss der Rahmenvereinbarung vom 11./13.04.2016, in der unter Ziffer 5 ein „ZV-Tageslimit Online-Banking EUR unbegrenzt“ eingetragen ist. Nach allgemeinen Grundsätzen ist die zeitlich jüngste Dokumentation für den Vertragsinhalt maßgebend. Übereinstimmend damit heißt es unter Ziffer 5 am Ende auch „Etwaige früher vereinbarte Verfügungslimite erlöschen hiermit.“ Darüber hinaus ist zu berücksichtigen, dass es sich bei dem Antrag des Klägers, der in der Anlage K 3 dokumentiert ist, lediglich um eine einseitige Erklärung des Klägers als Antragsteller handelt.

(3) Soweit der Kläger in der Berufungsinstanz völlig neu vorträgt, er habe die Beklagten nach Erhalt der Rahmenvereinbarung gemäß Anlage B 4 angerufen und sich nach dem Verfügungslimit erkundigt, wobei ihm gesagt worden sei, er habe das Limit ja „schwarz auf weiß“, steht diese behauptete Äußerung eines Mitarbeiters der Beklagten dem Inhalt der Rahmenvereinbarung entgegen, die ausdrücklich diese Vereinbarung gegenüber früheren Vereinbarungen als maßgebend erklärt. Darüber hinaus hat die Beklagte berechtigt darauf verwiesen, dass der Vortrag des Klägers, den sie nur allgemein bestreiten könne, für sie nicht näher einlassungsfähig ist, da der Kläger die Person seines Gesprächspartners nicht benennt und auch keine zeitliche Eingrenzung bezüglich des behaupteten Telefonats vornimmt. Auch auf diesen Einwand hin hat der Kläger seinen diesbezüglichen Vortrag nicht präzisiert. Schließlich steht einer Berücksichtigung dieses erstmaligen Vorbringens in der Berufungsinstanz auch § 531 Abs. 2 Satz 1 Nr. 3 ZPO entgegen. Es ist als grob nachlässig zu bewerten, dass der Kläger nicht schon in erster Instanz entsprechenden Vortrag gehalten hat, nachdem die Beklagte die Vereinbarung eines Verfügungslimits bestritten hat.

(4) Die Parteien haben sich auch nicht im Nachhinein durch konkludentes Verhalten auf ein bestimmtes Verfügungslimit verständigt.

Grundsätzlich ist die Vereinbarung eines Verfügungslimits, worauf die Beklagte zutreffend verweist, gemäß § 675k Abs. 1 BGB formlos möglich.

Der Kläger macht geltend, er sei davon ausgegangen, dass das von ihm gewünschte Verfügungslimit von 1.000 Euro in Kraft gesetzt sei, weil die Beklagte ihn stets vor Ausführungen höherer Überweisungen telefonisch kontaktiert und um gesonderte Freigabe gebeten habe. Dieser Sachverhalt könnte im Ausgangspunkt für eine konkludente Vereinbarung eines Verfügungslimits sprechen, auch wenn die Beklagte bei der Vereinbarung eines Verfügungslimits grundsätzlich eine technische Sperre einrichtet, die eine sofortige und vollständige Zurückweisung von höheren Zahlungsaufträgen bewirkt, ohne dass Mitarbeiter den Sparkassenkunden telefonisch kontaktieren. Der Kläger hat ihn aber nicht zu beweisen vermocht.

Die vom Kläger hierfür benannten Zeugen Ma… und M… K… haben zwar geschildert, dass es zu Anrufen der Sparkasse beim Kläger im Zusammenhang mit der Überweisung von „höheren Geldbeträgen“ gekommen sei. Auf Nachfrage konnten sie aber nur zwei konkrete Beispiele für solche Anrufe benennen, nämlich einen Anruf im Zusammenhang mit einer Überweisung von rund 10.000 Euro an einen Freund des Klägers in Spanien und einen weiteren Anruf vom 09.12.2020 betreffend eine höhere (Zahnarzt-)Überweisung. Dies deckt sich insofern mit dem Vortrag der Beklagten, als diese ausführt, sie habe mit dem Kläger nur zwei Telefonate im Zusammenhang mit höheren Überweisungen geführt, das eine sei von der Mitarbeiterin W… geführt worden und habe eine Überweisung von 9.000 Euro am 08.08.2019 (nach Spanien) betroffen, das andere habe die Mitarbeiterin N… zur streitgegenständlichen Überweisung vom 09.12.2020 geführt. Beide Telefonate seien allerdings nicht durch das Überschreiten eines angeblichen Verfügungslimits veranlasst gewesen, sondern dadurch, dass eine maschinelle Prüfung nach vorab festgelegten, im einzelnen dargelegten Kriterien Auffälligkeiten ergeben habe. Bei dieser Sachlage kann die konkludente Vereinbarung eines Verfügungslimits in Höhe von 1.000 Euro nicht festgestellt werden. Hierzu fehlt es an der hinreichend deutlichen Erkennbarkeit eines entsprechenden regelmäßigen Musters oder Prinzips, wonach bei sämtlichen Überweisungen oberhalb von 1.000 Euro telefonisch beim Kläger Rücksprache gehalten werde. Die Beklagte hat schriftsätzlich beispielhaft die auf Seite 3 dieses Urteils aufgeführten weiteren acht Überweisungen von Beträgen oberhalb von 1.000 Euro im Zeitraum vom 09.08.2019 bis 09.12.2020 vorgetragen, zu denen die Zeugen Ma… und M… K… eine telefonische Rücksprache mit dem Kläger nicht bekunden konnten.

d) Der gegenläufige Schadenersatzanspruch gemäß § 675v Abs. 3 Nr. 2b) BGB der Beklagten gegen den Kläger wegen grob fahrlässiger Pflichtverletzung ist allerdings dennoch wegen eines an der Schadenentstehung mitwirkenden Verschuldens der Beklagten gemäß § 254 BGB geschmälert.

Der Kläger kann der Beklagten nach allgemeinen Grundsätzen (vgl. Maihold in: Ellenberger/Bunte, Bankrechtshandbuch, 6. Aufl. 2022, § 33 Rn. 380) unter den vorliegenden Gegebenheiten auch ohne eine zweiseitige Vereinbarung eines Verfügungslimits mit Erfolg ein Mitverschulden nach § 254 BGB entgegenhalten, weil sie, wie das Landgericht zu Recht festgestellt hat, entgegen dem ausdrücklichen, in Anlage K 3 dokumentierten Wunsch des Klägers diesem einen Rahmenvertrag ohne Festlegung eines Verfügungslimits an der hierfür vorgesehen Stelle unter Ziffer 5 übersandt und unterbreitet hat, ohne dass sie für dieses Abweichen vom Antrag des Klägers einen triftigen Grund benennen konnte. Dies stellt im Zusammenhang mit der Anbahnung des Online-Banking-Rahmenvertrags eine Schadenersatzansprüche auslösende fahrlässige vorvertragliche Nebenpflichtverletzung i.S. von § 311 Abs. 2 Nr. 1, § 241 Abs. 2, § 280 Abs. 1 BGB dar.

aa) Die Beklagte hätte dem Kläger gar keinen Online-Banking-Rahmenvertrag ohne das von ihm beantragte Verfügungslimit von 1.000 Euro antragen dürfen. Hierbei handelt es sich um eine schuldhafte Pflichtverletzung der Beklagten; die Verschuldensvermutung des § 280 Abs. 1 Satz 2 BGB hat sie nicht zu widerlegen vermocht. Die Beklagte hat lediglich ausgeführt, die Gründe für diese Vorgehensweise seien nicht mehr „rekonstruierbar“.

bb) Dieser Verstoß ist auch schadensursächlich geworden. Hätte nämlich die Beklagte – wie der Kläger hätte erwarten können – das von ihm gewünschte Verfügungslimit von 1.000 Euro in den Rahmenvertrag aufgenommen und vereinbarungsgemäß mittels einer technischen Sperre abgesichert, dass Verfügungen oberhalb von 1.000 Euro nicht ausgeführt werden, so wäre es nicht zu der streitgegenständlichen Überweisung von 24.291,49 Euro an V… G… gekommen. Der Kläger durfte im Ausgangspunkt darauf vertrauen, dass das ihm übermittelte Vertragsangebot seinen im Antrag geäußerten Wünschen entspricht.

cc) Allerdings hat der Kläger nach eigener Darstellung in der Berufungserwiderung die inhaltliche Abweichung erkannt und hätte sich wiederum ohne eine Abänderung von Ziffer 5 nicht auf die das Verfügungslimit bestätigende Eingangsbestätigung gemäß Anlage K 3 verlassen dürfen, zumal Ziffer 5 des Rahmenvertrages ausdrücklich den Vorrang vor älteren Verlautbarungen postuliert. Es fällt daher dem Kläger – wie es das Landgericht richtig gesehen hat – im Rahmen seines vorvertraglichen Schadenersatzanspruchs gegen die Beklagte ebenfalls ein Mitverschulden nach § 254 BGB zur Last.

dd) Im Rahmen der gemäß § 254 BGB gebotenen Gesamtabwägung der einander gegenüber stehenden Verschuldensanteile erachtet der Senat – abweichend vom Landgericht, das ein jeweils hälftiges Mitverschulden befürwortet hat – eine Mitverschuldensquote von 3/4 zu 1/4 zulasten des Klägers für angemessen.

Der Kläger hat grob fahrlässig seine Pflichten aus Ziffer 7.4 der Online-Banking-Bedingungen verletzt, indem er es unentschuldbar versäumt hat, die ihm zum Zahlungsauftrag im Display des TAN-Generators angezeigten Daten (IBAN, Bankinstitut, Betrag) vor Bestätigung mit der „OK“-Taste zu kontrollieren.

Demgegenüber hat die Beklagte dem Kläger fahrlässig ein Angebot zum Abschluss eines Online-Banking-Rahmenvertrags unterbreitet, das im Widerspruch zu dem ausdrücklich geäußerten gegenteiligen Willen des Klägers keine Vereinbarung zu einem Verfügungslimit von 1.000 Euro enthielt.

Allerdings hat der Kläger nach eigenen Angaben vor Vertragsunterzeichnung erkannt, dass in dem Vertragswerk eine unbegrenzte Verfügungsmöglichkeit geregelt war. Dadurch, dass er sich gleichwohl auf die Bestätigung des Limits gemäß Anlage K 3 verlassen und den Rahmenvertrag in der ihm unterbreiteten Form unterzeichnet hat, ist ihm – wenngleich die Kausalität des limitungebundenen Vertragsangebots der Beklagten nicht gänzlich aufgehoben ist – ein mitwirkendes Verschulden zuzurechnen. Darüber hinaus kann dem Kläger auch in der Folgezeit nicht verborgen geblieben sein, dass das (ursprünglich) gewollte Verfügungslimit nicht in Kraft gesetzt ist. Die Beklagte hatte insofern keine technische Sperre etabliert, welche die Ausführung von Zahlungsaufträgen oberhalb von 1.000 Euro angehalten und abschließend blockiert hätte. Ebenso wenig hat der Kläger nach dem Ergebnis der Beweisaufnahme jedes Mal vor der Ausführung eines auf Beträge von oberhalb von 1.000 Euro abzielenden Überweisungsauftrags einen Anruf der Beklagten und die Gelegenheit zur fernmündlichen Freigabe erhalten. Dessen ungeachtet hat der Kläger vor Eintritt des Schadenfalls nichts unternommen, um ein Verfügungslimit mit der Beklagten tatsächlich zu vereinbaren.

Nach allem ist das Verschulden des Klägers an dem eingetretenen Schaden deutlich höher zu gewichten, als das der Beklagten. Der Senat hält daher eine Haftungsverteilung im Verhältnis 3/4 zu 1/4 zulasten des Klägers für angemessen und angebracht. Dies führt zu einem Anspruch des Klägers gemäß § 675u Satz 2 BGB auf Wiedergutschrift eines Betrages von 6.072,87 Euro zzgl. Verzugszinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz seit dem 07.04.2021 (§ 280 Abs. 2, § 286 Abs. 1, § 288 Abs. 1 BGB). Die Berufung der Beklagten erweist sich in Höhe einer Wiedergutschrift von 6.072,87 Euro nebst Zinsen als begründet, im übrigen bleibt sie ohne Erfolg.

Soweit der Kläger in der Berufungsinstanz – im Rahmen der Berufung der Beklagten – hilfsweise statt Gutschrift die Zahlung des hälftigen von seinem Konto abgebuchten Betrages verlangt hat, fehlt es an Ausführungen zu der Frage, weshalb die Abweisung des in erster Instanz als Hauptantrag gestellten Zahlungsantrags durch das Landgericht unrichtig sei. Grundsätzlich kann nach § 675u Satz 2 BGB eine Wiedergutschrift verlangt werden. Ist der Kontensaldo nach Wiedergutschrift positiv, kann insoweit auch eine Auszahlung beansprucht werden; gleicht die Wiedergutschrift lediglich einen Negativsaldo ganz oder zum Teil aus, kann keine Auszahlung verlangt werden. Hierzu hat der Kläger jedoch nichts vorgetragen, weshalb die Klage, soweit sie nicht schon mit dem auf Gutschrift gerichteten Hauptantrag erfolgreich geblieben ist, im Haupt- und Hilfsantrag abgewiesen wurde.

II.

Die statthafte Anschlussberufung des Klägers ist zulässig aber unbegründet.

1.

Die Anschlussberufung des Klägers ist – jedenfalls mit dem geltend gemachten Hauptantrag – gemäß § 524 ZPO zulässig, insbesondere ist sie insofern nach § 524 Abs. 2 Satz 2, Abs. 3 ZPO fristgerecht eingelegt und ordnungsgemäß begründet worden, da die Anschlussberufung mit Begründung innerhalb der ab Zustellung der Terminverfügung am 18.05.2022 laufenden dreiwöchigen Berufungserwiderungsfrist, nämlich am 03.03.2022, beim Oberlandesgericht Dresden eingegangen ist.

Entgegen der Ansicht der Beklagten hat der Kläger nicht lediglich neues Vorbringen zum Gegenstand seiner Anschlussberufung macht, da er sich mit dem erstinstanzlichen Urteil kritisch auseinandersetzt und darüber hinaus sein erstinstanzliches Vorbringen in zulässiger Weise konkretisiert.

Zwar fehlt es an einer Begründung der Anschlussberufung, soweit der Kläger hilfsweise den ursprünglichen, auf Zahlung gerichteten Hauptantrag, den das Landgericht – wenn auch mit ganz knapper Begründung – abgewiesen hat, in der Berufungsinstanz nunmehr als Hilfsantrag weiterverfolgt. Der Kläger zeigt insoweit keinerlei Gesichtspunkt auf, unter welchem die Klageabweisung durch das Landgericht unrichtig sei.

2.

Da dem Kläger aber, wie unter Ziffer I eingehend dargelegt, unter keinem Gesichtspunkt ein höherer Anspruch auf Wiedergutschrift oder Zahlung zusteht, als ihm durch das Landgericht zugesprochen wurde, erweist sich die von ihm eingelegte Anschlussberufung, mit welcher der Kläger eine vollständige Verurteilung der Beklagten anstrebt, ohnehin als unbegründet. Auf die obigen Ausführungen zur Berufung der Beklagten wird insoweit Bezug genommen.

C.

Die Kostenentscheidung beruht auf §§ 91, 92 Abs. 1 Satz 1, 97 Abs. 1 ZPO.

Der Ausspruch zur vorläufigen Vollstreckbarkeit folgt aus §§ 708 Nr. 10, 711, 713 ZPO.

Anlass, die Revision gemäß § 543 Abs. 2 Satz 1 ZPO zuzulassen, besteht nicht. Die Entscheidung beruht auf einer Bewertung und Würdigung von Einzelumständen.