Bank-Haftung bei Social-Engineering-Betrug: Wer zahlt trotz TAN-Weitergabe?

Die Beklagte wird verurteilt, dem bei ihr für die Klägerin geführten Zahlungskonto mit der IBAN DE, BIC … einen Betrag in Höhe von 39.128,00 EUR gutzuschreiben.

Die Beklagte wird verurteilt, an die Klägerin einen Betrag in Höhe von 1.751,80 EUR nebst Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz seit dem 04.05.2024 zu zahlen.

Im Übrigen wird die Klage abgewiesen.

Die Kosten des Rechtsstreits tragen die Klägerin zu 1/5 und die Beklagte zu 4/5.

Das Urteil ist gegen Sicherheitsleistung in Höhe von 110% des jeweils zu vollstreckenden Betrages vorläufig vollstreckbar.

Beschluss:

Der Streitwert für den Rechtsstreit wird auf die Wertstufe bis 50.000,00 EUR festgesetzt.

Tatbestand

Die Klägerin nimmt die Beklagte auf rückwirkende Wertgutschrift wegen nicht von ihr autorisierter Zahlungsdienstvorgänge in Anspruch. Die Nichtautorisierung ist streitig ebenso das Bestehen eines im Wege der Einrede eingewendeten Schadensersatzanspruches der Beklagten gegen die Klägerin nach Grund und Höhe. Des Weiteren sind insbesondere die Rechtsfragen streitig, welche rechtliche Bedeutung die Individualvereinbarung eines Zahlungsverkehrs-Tageslimits im Online-Banking im Rahmen der gesetzlichen Risikoverteilung beim Missbrauch von Zahlungsinstrumenten hat ebenso wie die gesetzliche Regelung des § 676 Ziffer 1 BGB bzw. die inhaltsgleiche AGB-Bestimmung in den AGB für das Online-Banking der beklagten Sparkasse (Ziffer 10.2.4. Anlage B 2 Anlagenband der Beklagtenanlagen).

Bei der Beklagten unterhält die Klägerin ein privates Girokonto mit der im Klageantrag bezeichneten IBAN. Aufgrund einer Rahmenvereinbarung zwischen der Klägerin und der Beklagten vom 29.09.2010 (Anlage B 1) nahm die Klägerin am Online-Banking teil. In dieser Rahmenvereinbarung wurden unter Ziffer 5 Regelungen für eine mögliche Limitvereinbarung Vertragsbestandteil sowie die Einführung einer neuen Limitvereinbarung seitens der Beklagten angekündigt, ein konkreter bis zur angekündigten Einführung einer neuen Limitvereinbarung vorläufig geltender Verfügungslimitbetrag allerdings nicht vereinbart.

Die Parteien vereinbarten am 21.11.2019 eine Umstellung vom pushTAN-Verfahren auf das chipTAN-Verfahren (Anlage B 2). Unstreitig lagen dem Vertragsverhältnis die Bedingungen für das Online-Banking i.d.F. vom 14.09.2019 (Anlage B 3) zugrunde.

Am Samstagabend des 02.07.2022 um 18:31:40 Uhr führte die Beklagte zu Lasten des im Klageantrag bezeichneten Konto der Klägerin eine Echtzeitüberweisung in Höhe von 47.777.00 EUR aus. Die Wiedergutschrift lehnte die Beklagte gegenüber der Klägerin am 04.07.2022 schriftlich ab.

Vorausgehend war die Klägerin ca. eine halbe Stunde nach einer – im Anschluss an einen zunächst gescheiterten Überweisungsversuch – erfolgreich durchgeführten Online-Überweisung (eines Betrages i.H.v. 1.351,00 €) von einer angeblichen Mitarbeiterin der Beklagten unter Anzeige der Festnetznummer der Beklagten angerufen worden. Der Inhalt dieses Telefonates und eines sich angeblich anschließenden weiteren Telefonats mit einem weiteren angeblichen Mitarbeiter der Beklagten sind streitig. Unstreitig bediente die Klägerin im Zuge der Telefonate ihren chip-TAN-Generator mittels ihrer Bankkarte und gab die erzeugten TAN an die Anrufer weiter. Mittels dieser TAN kam es zu einer Erhöhung des laut den seitens der Beklagten vorgelegten Transaktionsprotokollen für das Konto der Klägerin hinterlegten Ursprungslimits von 10.000,00 EUR auf 666666 € und der anschließenden streitgegenständlichen Überweisung sowie einer weiter anschließenden Sperrung des Online-Bankings. Die Klägerin erstattete unmittelbar nach dem Telefonat bei der Polizei eine Strafanzeige, ließ nach erfolgter Aufklärung über die Bedeutung der Geschehnisse im Licht der dort vorliegenden Erkenntnisse im Rahmen der Ermittlungen aufgrund der seinerzeitigen Betrugsserie (vgl. Zwischenbericht des ZKD vom 13.07.2022 Anlage K 9) ihr Konto ebenfalls bzw. erneut sperren.

Die Beklagte teilte der Klägerin bereits am 04.07.2022 mit, dass sie ihr den Schaden weder vollständig noch teilweise erstatten werde, weil die Klägerin angeblich grob fahrlässig gehandelt und die Vertragsbedingungen nicht eingehalten habe. Dies wurde der Klägerin mit einem Standardschreiben der Beklagten vom 04.07.2022 (Anlage K 3) auch schriftlich mitgeteilt. Auch nach einem anwaltlichen Forderungsschreiben der Klägerin vom 21.07.2022 (Anlage K 4) blieb die Beklagte bei der Ablehnung einer Wertgutschrift wie auch in der weiteren vorgerichtlichen anwaltlichen Korrespondenz (vgl. Anlagen K 5 – K 8).

Nach den seitens der Beklagten protokollierten Abläufen (vgl. Protokollauszüge ONLINE BANKING REVISIONS LOGGING SEITE 05518, bzw. ohne Seitenbezeichnung Anlage B 4) erfolgten folgende für den eingetretenen Schaden bedeutsame im Online-Banking der Klägerin vorgenommenen Zahlungsdienstvorgänge:

Zunächst wurde am 02.07.2022 17:21:58 unter der Kommunikationsadresse der Klägerin eine Einzelüberweisung in Höhe von 1351,00 EUR an eine Fahrschule bei einem vermerkten Limitwert von 10.000,00, welches noch offen war, beauftragt. Diese Überweisung wurde unstreitig von der Klägerin von ihrem eigenen Gerät beauftragt und wurde unstreitig nachfolgend auch seitens der Beklagten ausgeführt.

Um 18:15:46 wurde von einer anderen Kommunikationsadresse eine Limitänderung beauftragt und der Auftraggeber zur Eingabe der TAN aufgefordert, wobei noch das Verfahren CHIP-TAN visuell eingestellt gewesen war (vgl. Anlage B 4 „VERF=913“).

Um 18:15:48 Uhr wurde von derselben anderen Kommunikationsadresse nach (automatischer oder gewählter) Umstellung des Verfahrens auf „CHIP-TAN manuell“ (vgl. Anlage B 4 „VERF=910“) eine Limitänderung beauftragt und das Ursprungslimit in ein individuelles Limit in Höhe von 66666 Euro bis 23:59 Uhr seitens der Beklagten abgeändert.

Nachfolgend erfolgte von derselben anderen Kommunikationsadresse sowie mittels desselben Verfahrens CHIP-TAN manuell um 18:18:19 Uhr ein Echtzeitüberweisungsauftrag über einen Betrag in Höhe von 47.777,00 EUR auf ein Konto eines S. bei der „N26 BANK GMBH“, der Auftrag wurde mangels Eingabe einer richtigen TAN um 18:18:21 Uhr jedoch nicht ausgeführt.

Ein weiterer von derselben anderen Kommunikationsadresse sowie mittels desselben Verfahrens CHIP-TAN manuell im Online-Banking für die Klägerin um 18:27:41 Uhr an die Beklagte gesandter Echtzeitüberweisungsauftrag über denselben Betrag und mit denselben Überweisungsdetails wurde unstreitig – wenn auch nicht aus den vorgelegten Protokollauszügen zu entnehmen – seitens der Beklagten nach Eingabe der richtigen TAN zu Lasten des streitgegenständlichen Kontos ausgeführt. Die Klägerin teilte hierzu informatorisch mit, dass Echtzeitüberweisungen binnen weniger als 20 Sekunden nach Eingabe der richtigen TAN und deren Prüfung zur Ausführung kommen und dem Empfängerkonto gutgeschrieben werden.

Die Klägerin behauptet, die Anruferin habe ihr sehr freundlich erklärt, dass bei ihrer eben beabsichtigten Überweisung ein Fehler aufgetreten und deshalb ein Update erforderlich sei, damit dieser Fehler nicht mehr vorkomme. Weiter habe die Anruferin den Namen ihrer zuständigen Bearbeiterin bei der Beklagten mitgeteilt und auf ihrem Telefondisplay habe sich die ihr bekannte Rufnummer der Bankfiliale gezeigt. Die Anruferin habe der Klägerin zugesagt, dass sie diesen Fehler in kürzester Zeit gemeinsam beheben würden, damit die Klägerin das Online-Banking uneingeschränkt wieder nutzen könne. Sie habe sich überzeugen lassen und nach Anweisung der Anruferin ihren TAN-Generator mit der Girokarte zur Hand genommen, um für die Fehlerbehebung und den Zugang zum Online-Banking eine TAN zu erzeugen: die ihr von der Anruferin durchgesagten Zahlenkombinationen habe sie in den TAN-Generator eingegeben. Als auf dem Display des TAN-Generators das Wort „Betrag“ aufgetaucht sei und sie auf Anweisung der Anruferin an dieser Stelle die Zahlenkombination 47777 habe eingeben sollen, habe die Klägerin dies energisch hinterfragt und sich geweigert, diese Zahlenkombination einzugeben, worauf die Anruferin zwar sehr ungehalten geworden sei, die Klägerin jedoch das Telefonat beendet habe.

Wenige Minuten später habe sie erneut einen Anruf unter derselben Festnetznummer der Beklagten erhalten und mit einem Mann gesprochen, welcher sich als Herr S. von dem IT-Sicherheitsdienst der Beklagten vorgestellt habe und ihr eindringlich und professionell erklärt habe, dass sie gerade Opfer eines Online-Betruges geworden sei und der IT-Sicherheitsdienst der Sparkassen extra für solche Fälle zuständig sei, sofort eingeschaltet werde, wenn ungewöhnliche Summen transferiert werden sollen. Er habe ihr mitgeteilt, sie hätte bereits 2 TANs freigegeben und sie hätten jetzt nur noch 2 Minuten Zeit, um das offenbar betrügerisch gestohlene Geld zurückzuholen. Obwohl zunächst sehr verwundert und skeptisch über diese Aussagen habe sie schließlich, nachdem der Anrufer sehr ungehalten geworden sei, u.a. die Klägerin angeschrieben habe, ob sie denn nicht verstehen würde, worum es hier gehe, sie kooperieren müsse, da sonst ihr Geld weg wäre und die Zeitspanne, um noch etwas zu erreichen, immer kürzer werde, was er mehrfach wiederholt habe, völlig durcheinander und gleichzeitig in großer Angst, einen Fehler zu machen, den Anweisungen Folge geleistet und eine weitere Zahlenkombination in den TAN-Generator eingegeben, damit ihr Geld gerettet werde. Schließlich habe der Anrufer ihr dann mitgeteilt, dass sie zu lange gezögert habe und das Geld unwiderruflich weg sei, er dennoch neben der Sperrung ihres Online-Bankings alles versuchen werde, es zurückzuholen, und ihr geraten, Anzeige bei der zuständigen Polizeidienststelle zu erstatten und am folgenden Montag in der Filiale der Beklagten in Halle, wo er arbeiten würde, vorzusprechen um gemeinsam eine Lösung zu finden.

Die Klägerin behauptet, während der gesamten Online-Banking-Nutzungsdauer sei ein festes Verfügungslimit vereinbart gewesen. In der Klageschrift hat sie behauptet, dass dieses Tageslimit für Überweisungen für ihr Konto auf 5.000,00 EUR begrenzt vereinbart worden sei (Blatt 3 d.A.). Die Vereinbarung eines Tageslimits ergebe sich auch aus den seitens der Beklagten vorgelegten Transaktionsprotokollen (Anlage B 4), wenngleich dort in Höhe von 10.000,00 EUR.

Entgegen dem Vortrag der Beklagten sei bei dem 2. Anruf im Display des TAN- Generators der Klägerin kein Text wie „Betrag“ oder gar „IBAN“ erschienen und die Klägerin habe auch keine Kommazahlen eingegeben. Wäre dies so gewesen, dann hätte sie den Vorgang wie bei der vorherigen Anruferin sofort abgebrochen.

Sie meint, aufgrund der Gesamtumstände nicht grob fahrlässig gehandelt zu haben, sondern wie eine ganze Reihe von Kunden der Beklagten auf das professionalisierte betrügerische Vorgehen der Täter hereingefallen zu sein. Ihre Haftung gegenüber der Beklagten sei ausgeschlossen, weil die Beklagte für die Zahlungsdiensteaufträge keine starke Kundenauthentifizierung verlangt habe, weil ihr auf dem Display des TAN- Generators der Verwendungszweck der TAN nicht erkennbar gewesen sei. Sie meint, ihre Haftung sei auch gemäß Ziffer 10.2.4 der AGB ausgeschlossen. Jedenfalls sei ihre Haftung gegenüber der Beklagten auf 10.000,00 EUR begrenzt gemäß Ziffer 10.2.1. Abs. 5, weil ein Verfügungslimit in Höhe von 10.000,00 EUR vereinbart gewesen sei. Mit der Ausführung der das vereinbarte Tageslimit übersteigenden Überweisung habe die Beklagte den Schaden mitverursacht.

Die Beklagte hätte gemäß § 53 ZAG hinreichende Sicherungssysteme in Gestalt von Sicherungsalgorithmen aufgrund des Verhaltensmuster der Täter, nämlich Wechsel des Autorisierungsverfahrens und dann im unmittelbaren Anschluss auffällig hohe Echtzeitüberweisungen über das vereinbarte Limit an FinTech-Banken, die wegen unzureichender Geldwäschekontrollen als Empfänger dienten, die missglückten Aufträge und erfolgten Aufträge vom 02.07.2022 als Betrug erkennen und verhindern müssen, zumal der Beklagten am 02.07.2022 bereits seit fast 2 Wochen die konkrete Betrugsmasche bestens bekannt gewesen sei und sie dennoch trotz der erheblichen, bereits eingetretenen Schäden keine Sicherungsmaßnahmen ergriffen habe.

Die Beklagte habe gegenüber ihren Kunden keine Aufklärung über die am 18. Juni 2022 bereits begonnene Betrugsmasche vorgenommen und diesbezüglich auch keine Warnhinweise erteilt. Hinweise wären auch nicht sofort auf der Startseite der Webseite der Beklagten erschienen, sondern erst nach Eingabe „Betrug“ in die Suchfunktion der Webseite. Eine Sicherheitslücke, meint die Klägerin, habe die Beklagte dadurch mitverursacht, indem sie zum Tatzeitpunkt auf eine 2-Faktor-Authentifizierung bei der Anmeldung zum Online-Banking verzichtet habe, wodurch die Täter allein mit dem Anmeldenamen und der PIN Zugriff auf die persönlichen Daten der Klägerin, wie die Telefonnummer, die letzten Zahlungsanweisungen und den Namen der persönlichen Ansprechpartnerin bei der Beklagten hatten, um hierdurch das Vertrauen der Kunden der Beklagten im Rahmen der Telefonate zu erschleichen.

Die Klägerin beantragt, die Beklagte zu verurteilen,

1. das bei der Beklagten geführte Zahlungskonto mit der IBAN DE, BIC: NOLADE21HAL wieder auf den Stand zu bringen, auf dem es sich ohne die Belastungen des nichtautorisierten Zahlungsvorganges vom 02.07.2022 in Höhe von 47.777,00 EUR befunden hätte, sowie

2. an die Klägerin einen Betrag in Höhe von 2.002,41 EUR wegen vorgerichtlich entstandener Anwaltskosten nebst Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz seit Rechtshängigkeit zu zahlen.

Die Beklagte beantragt, die Klage abzuweisen.

Die Klägerin habe der Anruferin bzw. dem Anrufer die von ihr auf ihrem Generator mittels ihrer Bankkarte erzeugten TAN mitgeteilt. Die Überweisungsdaten, nämlich die letzten 14 Ziffern der IBAN der Zahlungsempfängerin als auch der Überweisungsbetrag seien von der Klägerin selbst in den Generator eingegeben worden, wobei ihr im Display des Generators die Worte „IBAN“ und „Betrag“ angezeigt worden seien (Beweis: Sachverständigengutachten Bl 74 d.A.). Der Zahlungsdienstenutzer könne sich entsprechend dem gesetzlichen Haftungssystem gemäß § 675 v BGB auf eine Haftungsbegrenzung in Gestalt eines vereinbarten Verfügungslimits nicht berufen, wenn die Änderung des Verfügungslimits auf einer grob fahrlässigen Pflichtverletzung des Zahlungsdienstenutzers wie bei einer telefonischen Weitergabe von TANS an einen Anrufer beruhe (vgl. hierzu im Ergebnis auch OLG N., Urteil vom 30.10.2024 – 5 U 35/24, S. 20-21 Ziffer II. 2 d); Urteil vom 22.05.2024 – 5 U 11/24, Seite 21 lit. d; Urteil vom 21.02.204 – 5 U 113/23, Seite 22 lit. c; Urteil vom 10.01.2024 – 5 U 83/23, Seite 18 lit. c). Der Kunde hätte aufgrund der Sicherheitshinweise der Beklagten, dass telefonische Betrugsversuche unternommen werden, den Anrufer um Rückruf bitten und sich vorher bei der Beklagten telefonisch rückversichern oder einfach versuchen müssen, die angezeigte Telefonnummer zurückzurufen. Ihre unberechtigte Angst, bereits Opfer eines Betruges geworden zu sein, hätte sie durch einen Blick in ihr Online-Banking selbst beseitigen können. Haftungsansprüche seien ausgeschlossen, wenn die einen Anspruch begründenden Umstände auf einem Ereignis beruhten, auf das die Beklagte habe keinen Einfluss nehmen können (vgl. Ziffer 10.2.4 der AGB Anlage B 3 sowie § 676 c Ziffer 1 BGB).

Wegen der weiteren Einzelheiten des wechselseitigen streitigen und unstreitigen Vorbringens wird auf die gewechselten Schriftsätze Bezug genommen.

Die Klägerin ist persönlich von der erkennenden Einzelrichterin zu den Vorgängen im Zusammenhang mit den streitgegenständlichen Zahlungsdienstevorgängen der Beklagten ausführlich angehört worden (vgl. Sitzungsniederschrift vom 19.11.2024).

Entscheidungsgründe

Die zulässige Klage ist überwiegend begründet. Die Klägerin kann von der Beklagten die begehrte rückwirkende Wertgutschrift auf ihrem Girokonto bei der Beklagten verlangen, muss jedoch aufgrund eines seitens der Beklagten gegen sie bestehenden Schadensersatzanspruchs, welcher allerdings aufgrund der Vereinbarung eines Tageslimits in Höhe von 10.000,00 EUR und einer teilweisen Ausschöpfung desselben durch eine autorisierte Überweisung vor der nichtautorisierten Tageslimiterhöhung entsprechend begrenzt gewesen ist, eine entsprechende Reduzierung der Wertgutschrift hinnehmen. Der titulierte Anspruch auf Ersatz der ihr durch die vorgerichtliche anwaltliche Geltendmachung ihrer Ansprüche entstandenen Rechtsanwaltskosten berechnet nach dem Gegenstandswert ihrer berechtigten Forderungen folgt aus dem Leistungsverzug der Beklagten.

1. Die Klägerin kann von der Beklagten verlangen, dass sie das im Klageantrag bezeichnete Zahlungskonto wieder auf den Stand bringt, auf dem es sich ohne die Belastung durch die nicht autorisierten Zahlungsvorgänge befunden hatte (§ 675 u S. 2 BGB).

Die Klägerin kann von der Beklagten die rückwirkende Wertgutschrift aufgrund der nicht von ihr autorisierten Zahlungsdienstevorgänge am 02.07.2022 zu Lasten ihres bei der Beklagten unterhaltenen Girokontos verlangen. Der Anspruch ist gemäß § 675 u Satz 2 Alt. BGB entstanden.

a) Zwischen der Klägerin und der Beklagten bestand ein Zahlungsdiensterahmenvertrag i.S.d. § 675 f) Abs. 2 BGB. Für das Vertragsverhältnis galten zum streitgegenständlichen Zeitpunkt die aktuellen Regelungen des Untertitels 3 §§ 675 c – 676 c BGB. Für die streitgegenständlichen Vorgänge waren gemäß § 675 e Abs. 1 BGB zum Nachteil des Zahlungsdienstnutzers abweichende Vereinbarungen nicht zulässig.

Der unstreitig am 02.07.2022 seitens der Beklagten zu Lasten ihres Girokontos ausgeführte Zahlungsvorgang, die Echtzeitüberweisung in Höhe von 47.777,00 EUR auf ein Konto einer Herrn S bei der N26 Bank GmbH, war nicht von der Klägerin autorisiert.

Die Klägerin hat die Zahlungsdiensteaufträge, welche zur Ausführung des Zahlungsvorganges erforderlich waren, nicht erteilt, d.h. dem Zahlungsvorgang nicht zugestimmt, weder vor dessen Ausführung durch Erklärung einer Einwilligung noch nachträglich durch Erteilung einer Genehmigung (§ 675 j Abs. 1 S. 1-2 BGB).

Die Klägerin war sich nicht bewusst, durch ihr Handeln mit dem TAN-Generator TANs für eine Online-Überweisung eines Betrages in Höhe von 47.777,00 EUR von ihrem Konto zu Gunsten eines Kontos des Herrn S. bei der N26 Bank GmbH zu erzeugen, sie wollte eine solche Überweisung nicht und hat einer solchen auch nicht zugestimmt. Die Klägerin hatte weder irgendeinen Überweisungsauftrag noch eine sonstige ihr nachteilhafte Rechtserklärung abgeben oder bei einer solchen mitwirken wollen.

Im Ergebnis der Würdigung des Inhalts der gesamten Verhandlung, insbesondere des schriftsätzlichen Vorbringens, des außergerichtlichen Schriftverkehrs sowie nicht zuletzt aufgrund der persönlichen Anhörung der Klägerin im Termin am 19.11.2024 sowie der unstreitigen Chronologie der im Zusammenhang mit dem konkreten streitgegenständlichen Zahlungsvorgang unstreitigen Ereignisse – wie sie sich auch aus den vorgelegten Transaktionsprotokollen mittels der ergänzenden Erklärungen der Beklagten ergeben – ist das erkennende Gericht davon überzeugt, dass nicht die Klägerin, sondern unbekannte kriminelle Dritte die Zahlungsdienstevorgänge, die Limiterhöhung von 10.000,00 EUR auf 666666 € und die Überweisung in Höhe von 47.777,00 EUR auf ein Konto des Herrn S. bei der N26 Bank GmbH, beauftragt haben.

Unbekannte Kriminelle haben sich mittels erschlichener Online-Banking-Zugangsdaten der Klägerin von einer anderen Kommunikationsadresse als die von der Klägerin zuvor genutzten Kommunikationsadresse im Online-Banking auf einer Webseite der Beklagten unberechtigt für die Klägerin eingeloggt und mittels der von der arglosen Klägerin erzeugten und – unter Umständen sogar unbewusst – telefonisch weitergegebenen chipTAN die Erhöhung des Überweisungslimits auf 666666 € und anschließend die Echtzeit-Überweisung in Höhe von 47777 € auf ein Konto eines Herrn S. mittels einer durch die Klägerin in einer stressbedingten Ausnahmesituation unbewusst für eine Überweisung erzeugten und – unter Umständen ebenfalls unbewusst – weitergegebenen TAN beauftragt, und die Beklagte hat diese Aufträge nach automatisierter Prüfung des Authentifizierungsmittels freigeschaltet bzw. ausgeführt.

Die erkennende Einzelrichterin ist aufgrund des Ergebnisses der persönlichen Anhörung der Klägerin, ihren entsprechenden Angaben gegenüber der Polizei und gegenüber der Beklagten davon überzeugt, dass die Klägerin zunächst angenommen hatte, bei einer Fehlerbehebung ihres Online-Bankings mitzuwirken, nachdem ca. ½ Stunde zuvor bei dem Versuch eines Überweisungsauftrags tatsächlich ein Problem aufgetreten war. Bei Generierung dieser TAN war auf dem Display ihres TAN Generators unstreitig – wie bei einer beauftragten Limiterhöhung stets nicht – kein Hinweis darauf erschienen, welchen Zahlungsdiensteauftrag diese TAN authentifizieren sollte oder könnte. Diesen Umstand nutzte der 2. Anrufer dann geschickt aus, um die bereits nicht mehr arglose, jedoch durch die außergewöhnlichen Ereignisse völlig durcheinander gewordene Klägerin mit der Suggestion, sie habe bereits zwei TANs herausgegeben und sie sei bereits Opfer eines Betrugs geworden, auch vor dem Hintergrund des zuvor gescheiterten Überweisungsversuchs vor nur etwas mehr als einer halben Stunde geschickt in Angst und Panik zu versetzen und sie unter Ausnutzung dieses bewusst geschürten Ausnahmezustandes zu einer weiteren Mitwirkung durch Bedienung des TAN- Generators nach seinen Anweisungen und Weitergabe der erzeugten weiteren TAN an ihn zu veranlassen zu dem vermeintlichen Zweck, ihr Geld zurückzuholen, tatsächlich jedoch um die von Anfang an intendierte betrügerische Echtzeitüberweisung zum Nachteil des Kontos der Klägerin zu beauftragen. Das Bewusstsein und den Willen, einen Überweisungsauftrag zu Lasten ihres Kontos zu erteilen oder einem solchen Auftrag zuzustimmen, hatte die Klägerin bei diesem Tun nach Überzeugung der erkennenden Einzelrichterin nicht.

b) Die Klägerin muss sich das Handeln der kriminellen Dritten nicht nach Rechtsscheingrundsätzen zurechnen lassen. Denn die Regelungen in § 675 j Abs. 1, 675 u Satz 1 und 2 sowie 675 v Abs. 3 Ziff. 2 BGB sind abschließend (vgl. BGH, NJW 2021, 1458 Rz. 13 beckonline unter Hinweis auf BGH, Urteil vom 26.01.2016 – XI ZR 91/14 – Rz. 58 juris).

Gemäß § 675 j Abs. 1 S. 1 BGB ist ein Zahlungsvorgang gegenüber dem Zahler nur wirksam, wenn er ihn autorisiert hat. Dies entspricht dem schon vor Inkrafttreten des Zahlungsverkehrsrechts im Überweisungsverkehr geltenden Grundsatz, dass regelmäßig die Bank und nicht der Kunde das Risiko trägt, dass Überweisungsaufträge gefälscht oder inhaltlich verfälscht werden (vgl. BGH, NJW 2021, 1458 Rz. 19 mit Hinweis auf BGH, NJW 2001,2968). Eine § 675 j Abs. 1 S. 1 BGB widerstreitende Klausel ist auch im unternehmerischen Verkehr ohne Wertungsmöglichkeit unwirksam gemäß §§ 134, 307 Abs. 1 und 2 BGB (BGH, a.a.O.).

c) Der Anspruch der Klägerin auf Wertgutschrift ist nicht gemäß § 676 c Ziffer 1 BGB (bzw. gemäß der gleichlautenden Ziffer 10.2.4 der AGB für das Online-Banking der Beklagten) ausgeschlossen. Diese Vorschrift setzt voraus, dass die einen Anspruch begründenden Umstände auf einem ungewöhnlichen und unvorhersehbaren Ereignis beruhen, auf das diejenige Partei, die sich auf dieses Ereignis beruft, keinen Einfluss hat und dessen Folgen trotz Anwendung der gebotenen Sorgfalt nicht hätten vermieden werden können. Die Fälschung von Zahlungsanweisungen stellt für ein Kreditinstitut grundsätzlich kein ungewöhnliches und unvorhersehbares Ereignis dar (vgl. BGH, a.a.O. Rz. 20 mit weiteren Nachweisen auch zu Differenzierungen in der Literatur sowie die Gegenansicht von LG Dessau-Roßlau – 4 O 348/13, BeckRS 2014,5109). Warnhinweise der Beklagten aber auch die Vielzahl der Fälle belegen das Gegenteil. Schäden der Kreditinstitute infolge von betrügerischen Telefonanrufen bei Kunden durch vermeintliche Sparkassen-Mitarbeiter überwiegend an Wochenenden oder Feiertagen, bei denen die Betrüger den Kreditinstituten gefälschte Zahlungsdienstaufträge mit Limiterhöhungen und vorzugsweise Echtzeitüberweisungen mit erschlichenen TANs erteilen, stellen kein ungewöhnliches Ereignis dar. Ob die Beklagte als einzelnes Kreditinstitut auf entsprechende Ereignisse (keinen) Einfluss hat, kann an dieser Stelle offenbleiben.

2. Der Verpflichtung der Beklagten auf rückwirkende Wertgutschrift kann die Beklagte Schadensersatzansprüche im Wege der Einrede (§ 242 BGB) nach Treu und Glauben entgegenhalten und im Ergebnis die Wertgutschrift insoweit verweigern, als sie von der Klägerin Schadensersatz verlangen kann (vgl. BGH, a.a.O. Rz 24 mit wN u.a. auch auf Urteil vom 17. November 2020 – XI ZR 294/19, Rn. 25; juris).

a) Der Anspruch der Beklagten gegen die Klägerin ist gemäß § 675 v Abs. 3 Nr. 2 b BGB entstanden.

Nach dieser Vorschrift ist der Zahler seinem Zahlungsdienstleister zum Ersatz eines Schadens – über die gesetzliche Haftungsbegrenzung von 50 EUR hinaus – dann verpflichtet, wenn der Zahler den Schaden durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments herbeigeführt hat.

Grobe Fahrlässigkeit erfordert einen in objektiver Hinsicht schweren und in subjektiver Hinsicht schlechthin unentschuldbaren Verstoß gegen die Anforderungen der konkret erforderlichen Sorgfalt. Selbst ein objektiv grober Pflichtenverstoß soll für sich noch keinen zwingenden Schluss auf ein entsprechend gesteigertes personales Verschulden rechtfertigen (OLG Naumburg, Urteil vom 22.05.2024 – 5 U 11/24 -). Im Falle einer jeglichen Weitergabe einer TAN an einen Dritten ist jedoch der Vorwurf der groben Fahrlässigkeit naheliegend (OLG Naumburg, a.a.O. mwN) und wohl damit in der Regel zu vermuten. In welcher Konstellation nach der obergerichtlichen Rechtsprechung dieser Vorwurf entfallen könnte, ist der erkennenden Einzelrichterin im Falle einer telefonischen Weitergabe einer TAN an einen Anrufer bislang noch nicht vorstellbar.

Vorliegend jedenfalls sind entsprechende Umstände seitens der Klägerin nicht vorgetragen. Die Einholung eines Sachverständigengutachtens zu der Frage, ob die Worte „IBAN“ und „Betrag“ im Zeitpunkt der Generierung der TAN für die Überweisung auf dem Display des TAN-Generators der Klägerin erschienen sind, bedarf es nicht.

aa) Dass die Klägerin die maßgeblichen zwei TAN am 02.07.2022 an die Anruferin und den Anrufer weitergab, steht zur hinreichenden Überzeugung der erkennenden Einzelrichterin fest.

Die Beklagte hat die Zahlungsdienstaufträge der Betrüger ausgeführt, nachdem ihr Rechner, welcher identisch programmiert ist wie der TAN-Generator der Klägerin, eine identische TAN erzeugt hatte wie sie für den konkreten von den Betrügern vorgegebenen Zahlungsdienstevorgang (Zahlungsdienst, Bankkarte, weitere Details wie Empfänger und Betrag bzw. neues Limit) aufgrund der identischen Programmierung auch durch den TAN-Generator der Klägerin nach Eingabe des sog. Startcordes und Einstecken der Bankkarte nur identisch generiert werden konnte und generiert, den Betrügern weitergegeben und von diesen im Online-Banking eingegeben worden war. Da die Klägerin unstreitig im Besitz des TAN-Generators und der ebenfalls benötigten Bankkarte war und den TAN-Generator unstreitig bediente, muss sie die erzeugte TAN an die Anrufer durchgegeben haben, mag die Klägerin dies auch insoweit im Detail nicht wissen und selbst so nicht vortragen. Dies ergibt sich nicht nur aus dem seitens der Klägerin mit der Klageschrift bereits vorgelegten Zwischenbericht des ZKD über den Modus Operandi (Anlage K9), sondern ist aufgrund der Funktionsweise des Online-Bankings logisch zwingend. Anderenfalls wären die Zahlungsdienstaufträge der Betrüger nicht ausgeführt worden. Dass die Klägerin im Rahmen ihrer Anhörung eine telefonische Weitergabe der TAN an die Anruferin bzw. den Anrufer nicht konkret erwähnte, ist leicht erklärlich mit der Aufregung im Zusammenhang mit den für das Leben der Klägerin sehr bedeutsamen Geschehnissen. Es dürfte fast ausgeschlossen sein, dass die Geschehnisse vollständig mit sämtlichen Details in der Situation durch ein Betrugsopfer wahrgenommen, richtig verarbeitet, gespeichert und nach mehr als 2 Jahren auch ebenso wiedergegeben werden können, wie sie objektiv stattgefunden haben, mögen hierüber auch schriftliche Aufzeichnungen durch die Person vorgenommen worden sein.

Der erkennenden Einzelrichterin ist das CHIP-TAN-Verfahren aus anderen Streitfällen bekannt. Zumindest nach dem Vortrag der Beklagten in diesen Verfahren und nach deren Demonstration des Verfahrens während des Verfahrens, dass bei der Generierung einer TAN über einen TAN-Generator für eine Überweisung bei dessen manuellen Verwendung – auch nach einer automatischen Umschaltung vom visuellen CHIP-TAN- Verfahren auf das manuelle Verfahren nach Eingabe einer oder mehrerer falscher TAN wie es vorliegend ausweislich der vorgelegten Transaktionsprotokollauszüge der Fall gewesen ist (vgl. VERF.-913 und VERF-910 Anlage B 4) – zuvor auf dem Display des Generators die Worte „IBAN“ sowie das Wort „BETRAG“ zumindest für kurze Zeit erscheinen und von dem Benutzer gelesen werden sollen. So hatte es vorliegend immerhin auch die Klägerin im Rahmen ihrer Anhörung in Bezug auf den ersten Überweisungsversuch der Betrüger während des ersten Telefonats mit der Anruferin für den Text „BETRAG“ ausdrücklich bestätigt. Dies reicht für die hinreichende Überzeugung, dass diese Texte auch während der Generierung der TAN für den 2. Überweisungsversuch im Display des TAN Generators aufgetaucht und zu lesen waren, aus. Dass die arglosen Zahler aufgrund der Überrumpelungssituation und der Ablenkung durch das parallel stattfindende Telefongespräch mit einem versierten betrügerischen Anrufer diese Worte nicht wahrnehmen, sondern gedanklich wie sinnlich auf andere Dinge konzentriert sind, erklärt nachvollziehbar die entsprechende Lücke im Klägervortrag, nämlich mangels entsprechender Wahrnehmung, geistiger Verarbeitung, Speicherung und/oder Reproduktion.

Die Wahrnehmungs-/Erinnerungs-/Vortragslücke lässt den groben Pflichtenverstoß durch Weitergabe der mit dem TAN-Generator erzeugten TAN an den Anrufer nach der inzwischen insoweit wohl gefestigten Rechtsprechung nicht entfallen. Die (fern-) mündliche Weitergabe der TAN seitens des Zahlers an den betrügerischen Anrufer aufgrund dessen geschickter Gesprächsführung mag dem Zahler nicht bewusst oder nur später nicht erinnerlich sein, weil der Zahler bewusst nicht nur durch das Hören und Verstehen der Worte des Anrufers während des Gespräch, sondern möglichweise bereits während des Gesprächs, in jedem Falle nach dem Gespräch mehr oder weniger unbewusst mit unterdrückten eigenen inneren Zweifeln oder wie im vorliegenden Falle geschickt geschürten Ängsten beschäftigt und abgelenkt ist.

bb) Ob auch bei der Generierung der TAN mittels des TAN-Generators für eine Limiterhöhung, bei welcher dem arglosen Zahler der Zweck der TAN unstreitig mangels einer Anzeige auf dem Display des TAN Generators in keiner Weise objektiv erkennbar ist, der Vorwurf subjektiv vorwerfbarer grober Fahrlässigkeit nicht entfällt (so OLG Naumburg, a.a.O.), könnte zweifelhaft sein, kann aber im Ergebnis (siehe unten) offenbleiben.

cc) Zahler dürfen nicht einer telefonischen Mitteilung oder eine Mitteilung im Internet vertrauen, dass ihre Mitwirkung oder Zustimmung für eine Fehlerbehebung oder Umstellung des Online-Banking erforderlich ist, zu diesem vermeintlichen Zwecke auf Anweisung eines Dritten eine TAN erzeugen und diese im Anschluss an einen Dritten weitergeben.

Dies gilt auch dann, wenn eine erfolgte weitere Recherche im Internet den Umstand, dass ihr Zahlungsdienstleister tatsächlich eine Umstellung des Online-Banking vorhat, um das Online-Banking sicherer zu machen, bestätigt, wie hier aus Parallelrechtsstreiten bekannt. Denn dass Betrüger solche Situationen quasi als sog. Trittbrettfahrer ausnutzen, ist allgemein bekannt, mag dies dem Zahler in der Situation auch nicht präsent sein.

Auch wenn dem im von ihm praktizierten Online-Banking versierten Zahler die TAN als Authentifizierungsinstrument im Zahlungsdiensteverkehr vertraut ist, darf er nicht annehmen, dass er diese auch zur Lösung technischer bzw. praktischer Probleme oder im Rahmen von vertraglichen Rahmenvereinbarungen mit dem Zahlungsdienstleister als Authentifizierungsinstrument einsetzen kann und auch darf. Denn bei solchen Vereinbarungen handelt es sich nicht um schnell und massenhaft umzusetzende Rechtsgeschäfte wie im eigentlichen Zahlungsdiensteverkehr.

Dies gilt umso mehr, wenn der Zahler die von ihm generierte TAN im Anschluss nicht selbst durch Eingabe im Online-Banking zu einem ihm dort erkennbaren Zweck verwendet, oder, wenn er den TAN-Generator für ihn ungewohnt nicht im sog. visuellen Verfahren, sondern im ihm unbekannten rein händischen Gebrauch und in der Situation nicht nachvollziehbar verwenden bzw. gerade nicht selbst weiter verwenden, sondern lediglich mitteilen soll.

Die Klägerin durfte nicht darauf vertrauen, dass der Zweck der erzeugten TAN die Mitwirkung bei einer Fehlerbehebung im Online-Banking und die Bestätigung der erneuten Freischaltung oder aber die Rückholung vermeintlich durch Betrüger erschlichener Überweisungen gewesen war, nur weil dies ihr suggeriert und von der Anruferin/dem Anrufer so mitgeteilt worden war.

Jedenfalls im Rahmen der Generierung der TAN für die angebliche Rückholung verlorener Gelder hätte die Klägerin die Worte „IBAN“ und „Betrag“ auf dem Display des vor ihr liegenden TAN-Generators, wenn sie während des Telefonats das Display nicht aus den Augen gelassen, sondern trotz der parallel stattfindenden Gesprächsführung ständig bewusst wahrgenommen hätte, sehen können und nicht übersehen dürfen, auch wenn der Anrufer sie durch das Telefongespräch geschickt abgelenkt und in Panik versetzt haben mag.

b) Ein Schadensersatzanspruch der Beklagten gegen die Klägerin ist nicht ausgeschlossen, weil die Beklagte eine starke Kundenauthentifizierung im Sinne des § 1 Abs. 24 Zahlungsdiensteaufsichtsgesetzes (ZAG) nicht verlangt. Es wird auf die den Parteien bekannten o.g. Entscheidungen des Oberlandesgerichts Naumburg vom 22.05.2024 – 5 U 11/24 – in den Entscheidungsgründen Ziffer 2c Bezug genommen.

Rechtliche Zweifel könnten insoweit – nach dem oben unter b) dargelegten Ausführungen vernünftigerweise lediglich in Bezug auf die Limiterhöhung von dem Ursprungslimit (10.000,00 EUR) auf 666666 € (vgl. Protokoll Anlage B 4 a) bestehen, weil insoweit dem Nutzer des TAN-Generators unstreitig nicht erkennbar ist, wofür die TAN erzeugt wird, wenn er die zuvor eingegebene Ziffernfolge, den Startcode, nicht selbst erzeugt hat, nämlich durch Eingabe eines Zahlungsdiensteauftrages im Online-Banking aufgrund des automatisch umgestellten oder dort gewählten manuellen Verfahrens. Die bisherigen (rechtlichen) Zweifel der erkennenden Einzelrichterin (vgl. hierzu Urteil vom 27.09.2024, 4 O 93/23) sind zwar aufgrund der erheblichen technischen Bedeutung eines Verfügungslimits im Zahlungsdiensteverkehr insbesondere für etwaige anschließende Überweisungsaufträge, für welche eine starke Kundenauthentifizierung zu verlangen ist, zwar nicht ausgeräumt, im vorliegenden Fall jedoch aufgrund der wertenden Abwägung der Verursachungsbeiträge (vgl. unten Ziffer 2 e) cc) Abwägung i.R.d. § 254 Abs. 1 BGB) unerheblich.

c) Die Schadensersatzansprüche der Beklagten gegen die Klägerin sind aufgrund der zulässigen und wirksamen Vereinbarung eines Zahlungsverkehr-Tageslimit von 10.000,00 EUR gemäß Ziffer 10.2.1. Abs. 5 der Bedingungen für das Online-Banking Anlage B 3 AB Beklagtenanlagen) der Höhe nach auf das vereinbarte Limit beschränkt.

Nach der gesetzlich zulässigen privatautonomen Vereinbarung beschränkt sich die Haftung für Schäden, die innerhalb des Zeitraums, für den der Verfügungsrahmen gilt, verursacht werden, jeweils auf den vereinbarten Verfügungsrahmen (Ziffer 10.2.1 Abs. 5 AGB zum Online-Banking Anlage B 2; vgl. hierzu bereits, i.E. allerdings offenlassend BGH, 24.04.2012, XI ZR 96/11 – Rz. 37).

aa) Die Klägerin und die Beklagte hatten zwar mit der Rahmenvereinbarung über die Teilnahme am Online-Banking am 29.09.2010 ein konkretes ZV-Tageslimit im Online- Banking noch nicht festgelegt, sondern insofern nur Regelungen getroffen, welche bei einer Limitvereinbarung gelten sollen und eine von der Sparkasse (neue) einzuführende Limitvereinbarung angekündigt. (vgl. Ziffer 5 Anlage B 1 AB Beklagtenanlagen).

bb) Eine spätere ausdrückliche Vereinbarung eines ZV-Tageslimitbetrages wird auch von keiner Partei konkret mit Datum und Art und Weise einer Vereinbarung dargelegt

cc) Vorliegend wird jedoch aufgrund des in den vorgelegten Transaktionsprotokollauszügen ausgewiesenen ZV-Tageslimits von 10.000,00 EUR nach Auffassung der Einzelrichterin vor dem Hintergrund der angekündigten Einführung einer Limitvereinbarung seitens der Bank ausreichend indiziert insbesondere in Zusammenschau mit dem ergänzenden und im Ergebnis unstreitigen konkreten Vorbringen der Klägerin, dass ihr ein für sie verbindliches konkretes ZV-Tageslimit im Online-Banking bekannt gewesen sei und ein solches von ihr akzeptiert worden sei. Denn aufgrund einer im Jahr 2021 von der Klägerin beabsichtigten das Tageslimit übersteigenden und deshalb gescheiterten Einzelüberweisung hatte die Klägerin, das für sie bestehende ZV-Tageslimit akzeptierend, anstelle der gewollten Einzelüberweisung den höheren Überweisungsbetrag in mehreren Teilbeträgen durch an verschiedenen Tagen veranlasste Einzelüberweisungen über die jeweiligen Teilbeträge überwiesen. Dies wurde übereinstimmend vorgetragen und ist unstreitig.

dd) Nach dem Vortrag der Beklagten in der mündlichen Verhandlung wurden bzw. werden die Ursprungstageslimite nicht stets nur von den Zahlern frei gewählt, sondern auch von der Bank vorgeschlagen oder voreingestellt und als solche für die Zahler praktisch verbindlich, solange sie nachfolgend von ihnen nicht wirksam abgeändert werden. Dies geschah zu dem in der Rahmenvereinbarung einvernehmlich vereinbarten Zweck der Verfügungslimite. In der Rahmenvereinbarung am 29.09.2010 (Ziffer 5) könnte ein solches einseitiges Bestimmungsrecht der Beklagten entsprechend § 315 Abs. 1 BGB begründet worden sein, von welchem diese auch Gebrauch gemacht hat, indem sie das Verfügungslimit auf 10.000,00 EUR festlegte, wie es in den vorliegenden Transaktionsprotokollen aufgeführt ist. Dass die Klägerin über die konkrete Höhe im Unklaren bzw. im Irrtum war, liegt daran, dass sie mit dem Informationsmöglichkeiten im Online-Banking ebenso wie mit den inzwischen seitens der Beklagten im Online-Banking angebotenen verschiedenen neuen Zahlungsdiensteangeboten wie u.a. einer Online ZV- Tageslimiterhöhung – wie im übrigen viele Online-Banking Nutzer und speziell vermutlich die betroffenen Opfer von entsprechenden Betrugsvorgängen – nicht vertraut war und eine Limiterhöhung online noch nie beauftragt hatte. Es ist jedoch davon auszugehen, dass die Klägerin die Möglichkeit der Kenntnisnahme von der Höhe des für ihr Online- Banking vereinbarten bzw. von der Beklagten einseitig bestimmten Tageslimits im Online-Banking gehabt hatte. Mit der Möglichkeit der Kenntnisnahme ist die einseitige Limitbestragsbestimmung gemäß §§ 130 Abs. 1 S. 1, 315 Abs. 2 BGB wirksam geworden.

Gegen die Wirksamkeit einer nur konkludenten Vereinbarung eines ZV- Tageslimitbetrages (cc) oder auch der Vereinbarung eines einseitigen Bestimmungsrechts der Bank entsprechend § 315 Abs. 1 BGB (dd) bestehen keine Bedenken.

Die Rechtsfolgen und Wirkungen ergeben sich aus den schriftlich getroffenen wirksamen Rahmenvereinbarungen und den einbezogenen AGB. Die ZV-Tagesverfügungslimite waren über viele Jahre hinweg – wie in der mündlichen Verhandlung seitens der erkennenden Einzelrichterin als gerichtsbekannte Tatsache aus eigener Erfahrung mitgeteilt – jedenfalls nicht im Online-Banking aber zumindest auch durch Vorsprache und Legitimation in der Filiale der Sparkasse durch den Kunden persönlich formlos abzuändern, wobei eine schriftliche Bestätigung über eine solche temporäre Abänderung des Limits dem Kunden dafür nicht gesondert ausgehändigt, sondern lediglich seitens der Bank im System gespeichert worden war.

ee) Die Änderung des ZV-Tageslimits im Online-Banking am 02.07.2022 durch unbefugte Dritte ist der Klägerin nicht zuzurechnen. Es gelten die obigen Ausführungen, auf die verwiesen werden kann. Die Klägerin hatte einer Limitänderung auf 666666 € nicht zugestimmt, diese nicht autorisiert.

d) Diese vertragliche Regelung ist nicht unbillig und ein Berufen auf die Haftungsbegrenzung ist dem Zahlungsdienstenutzer auch dann nicht gemäß § 242 BGB verwehrt, wenn der Schaden aufgrund einer grob fahrlässigen Pflichtverletzung des Zahlungsdienstenutzers entstanden ist.

Die Schadensersatzhaftung des Zahlungsdienstenutzers setzt ausgenommen von der Haftung im Umfang von 50 EUR gemäß § 675 v Abs. 1 BGB gemäß Abs. 3 wenigstens grobe Fahrlässigkeit voraus. Würde bei Vorliegen von grober Fahrlässigkeit ein Berufen auf die Vereinbarung einer vertraglich vereinbarten Haftungsbegrenzung auf ein vereinbartes Verfügungslimit unzulässig sein, wäre die Vereinbarung einer solchen Haftungsbegrenzung (neben der gesetzlichen Haftungsbegrenzung in § 675 v Abs. 1 BGB auf 50,00 EUR) praktisch völlig obsolet, es sei denn es wäre ein Verfügungslimit unter 50,00 EUR vereinbart, was aber nicht die Regelungsabsicht der Vertragsparteien im Zusammenhang mit den maßgeblichen Bestimmungen in der Rahmenvereinbarung Ziffer 5 sowie in den AGB für das Onlinebanking Ziffer 10.2.1. Abs. 5 (Anlage B 3) gewesen ist.

Neben dem vorgenannten systematischen Argument spricht auch der Sinn und Zweck für die rechtliche Wirksamkeit der individualvereinbarten Haftungsbegrenzung. Die wohl aus der Zeit des noch nicht fast vollständig automatisierten Zahlungsverkehrs stammende vertragsautonome Haftungsbegrenzung ergänzt das gesetzlich geregelte Haftungssystem. Bereits vor Inkrafttreten des Zahlungsverkehrsrechts galt im Überweisungsverkehr der Grundsatz, dass regelmäßig die Bank und nicht der Kunde das Risiko trägt, dass Überweisungsaufträge gefälscht oder inhaltlich verfälscht werden (vgl. BGH, NJW 2021, 1458 Rz. 19 mit Hinweis auf BGH, NJW 2001,2968). Nun sieht § 675 v Abs. 1 BGB für alle Fälle einfacher Fahrlässigkeit bereits eine (gesetzliche) Haftungsbegrenzung zu Gunsten des Zahlers auf einen Betrag von 50 EUR vor und schließt in § 675 v Abs. 4 BGB die Haftung des Zahlers gänzlich – auch bei grober Fahrlässigkeit des Zahlers – aus, wenn die den technischen Zahlungsverkehrsmechanismus organisierenden Kreditinstitute eine starke Kundenauthentifizierung nicht verlangt bzw. nicht akzeptiert haben, was der Zahler darzulegen und zu beweisen hat. Diese gesetzliche Haftungsverteilung in Verbindung mit einer ergänzenden vertraglichen Haftungsbegrenzung verpflichtet den Zahlungsdienstleister zu effektiven Sicherungsmaßnahmen vor einer missbräuchlichen Umgehung oder erschlichenen Änderung der wirksam vereinbarten Verfügungslimite und den Zahlungsdienstenutzer zur Beachtung des vereinbarten Verfügungslimits. Dies galt sowohl vor der Möglichkeit einer Änderung des Verfügungslimits im Online-Banking als auch danach. Indem die Zahlungsdienstleister eine Änderung der Verfügungslimite im Online-Banking – ohne Mitwirkung jedenfalls der überwiegenden Mehrheit ihrer Vertragspartner teilweise sogar bis heute ohne Kenntnis einiger Vertragspartner von der bloßen Möglichkeit einer Änderung im Online-Banking – eingeführt und damit ermöglicht haben, müssen sie auch die damit verbundenen neu entstandenen Sicherheits- und Haftungsrisiken aufgrund der vertraglichen Haftungsbegrenzung nach dem Grundsatz pacta sunt servanda tragen, es sei denn der Vertragspartner handelte vorsätzlich oder in betrügerischer Absicht.

e) Eine weitergehende Reduzierung bzw. ein Ausschluss des Schadensersatzanspruchs der Beklagten gegen die Klägerin wegen eines Mitverschuldens der Beklagten gemäß § 54 Abs. 1 BGB wird im vorliegenden Einzelfall insoweit angenommen, als die streitgegenständliche Überweisung in Höhe von 47.777,00 EUR das vereinbarte und an dem Tag bereits in Höhe von 1.351,00 EUR ausgeschöpfte Ursprungstageslimit in Höhe von 10.000,00 EUR noch überstieg, somit in Höhe von weiteren 1.351,00 EUR.

Eine weitergehende Haftung der Klägerin gemäß § 675 v Abs. 3 Ziffer 2 BGB wegen grob fahrlässiger Verletzung ihrer Sorgfaltspflichten in Bezug auf die Nutzung des TAN- Generators und der Weitergabe der erzeugten TAN ist vorliegend gemäß § 254 Abs. 1 BGB deshalb ausgeschlossen, weil die Beklagte nicht dafür Sorge getragen hat, dass für die Klägerin schon vor der Ausführung der streitgegenständlichen Echtzeitüberweisung sowie vor der (unbewussten) Erzeugung der diesbezüglichen TAN erkennbar war, dass die Beklagte das ZV-Tageslimit für ihr Online-Banking vom Ursprungslimit, hier 10.000,00 EUR auf 666666€ erhöht hatte (bb) und darüberhinaus – wie die Einzelrichterin meint – sie zuvor bei Bedienung des TAN-Generators eine TAN für eine Tageslimiterhöhung erzeugen würde (aa). Es kann offenbleiben, ob aufgrund der unstreitig fehlenden Anzeige einer Limiterhöhung im Display des Chip-TAN-Generators die Beklagte eine sog. „starke Kundenauthentifizierung im Sinne des § 1 Abs. 24 des Zahlungsdiensteaufsichtsgesetzes“ für die Änderung des ZV-Tageslimit im Online- Banking vor der Ausführung der das vereinbarte Verfügungslimit übersteigenden Echtzeitüberweisung“ nicht verlangt hat, obwohl eine solche nach den verbindlichen europarechtlichen Vorschriften erforderlich gewesen ist.

aa) Aufgrund des Displays des TAN-Generators war der Klägerin nicht erkennbar, dass die TAN zur Änderung des ZV-Tageslimits erzeugt werden sollte und zu diesem Zwecke genutzt werden könnte. Aufgrund der Bedeutung einer ZV-Tageslimitvereinbarung und deren Zweck, unter anderem auch Missbrauchsfälle vorzubeugen, hätte die Beklagte, welche das Authentifizierungssystem und die Tageslimitänderung im Online-Banking als Zahlungsdiensteprodukt zur Verfügung stellte, dafür Sorge zu tragen gehabt, dass eine ZV-Tageslimit-Erhöhung im Online-Banking dem Zahlungsdienstenutzer bei Bedienung des Authentifizierungsgerätes und der Erzeugung des Authentifizierungsinstrumentes, der TAN, als Zweck dieser TAN auf der Display-Anzeige des Gerätes sichtbar gemacht wird.

Hierzu war sie der Klägerin aufgrund der getroffenen Rahmenvereinbarung und der zustande gekommenen ZV-Tageslimitvereinbarung verpflichtet. Eine solche Maßnahme war technisch möglich und der Beklagten zumutbar.

Die Beklagte hat den Schaden gemäß § 254 Abs. 1 BGB schuldhaft mitverursacht. Aufgrund ihres Versäumnisses hat die Beklagte selbst die schadensstiftende Echtzeitüberweisung in Höhe von 47.777,00 EUR überhaupt erst ermöglicht. Denn aufgrund der Vereinbarung eines ZV-Tageslimits von 10.000 EUR, wäre diese Überweisung veranlasst durch unbefugte Dritten nicht ausgeführt worden. Es ist nicht unwahrscheinlich, dass die Klägerin aufgrund einer solchen Anzeige im Display die erzeugte TAN nicht an die Anruferin weitergegeben hätte, sondern vielmehr ob einer Anzeige „Limitänderung“ oder „Erhöhung des Tageslimits auf 666666 €“ ihre Arglosigkeit bereits vor der ersten Weitergabe einer TAN verloren, Zweifel gehegt sowie den Anruf ohne Weitergabe überhaupt einer TAN beendet hätte. Das vernünftige und konsequente Verhalten der Klägerin nach Lesen des Textes „BETRAG“ im Display des TAN- Generators lässt einen solchen Verlauf sogar sehr wahrscheinlich erscheinen. Hätte die Klägerin nicht bereits eine TAN an die 1. Anruferin weitergegeben, wäre sie aufgrund des von ihr beendeten Telefonates weniger durcheinander und möglicher Schuld- und Angstgefühle geplagt gewesen, einen Fehler zu machen, als ihr von dem 2. Anrufer suggeriert worden ist, sie wäre bereits Opfer eines Betruges im Online-Banking geworden. Die Beklagte hat aufgrund dieses ursächlichen schuldhaften Versäumnisses effektiver Sicherungsmaßnahmen den Schaden gemäß § 254 Abs. 1 BGB in erheblicher Weise mitverursacht.

bb) Aufgrund des Zwecks des Tageslimits durfte die Klägerin davon ausgehen, dass das Tageslimit nicht online ohne gesonderte besondere und effektive Sicherheitsvorkehrungen wie z.B. eine angemessene zeitliche Verzögerung nach einer vorherigen gesonderten Benachrichtigung an sie änderbar ist. Dies gilt vorliegend insbesondere auch deshalb, weil die Klägerin bisher noch nie das für das Online-Banking seitens der Bank festgelegte Verfügungslimit überhaupt geändert hatte und eine ausdrückliche Vereinbarung in der Rahmenvereinbarung oder in den in Bezug genommenen AGB über die Möglichkeit einer Limitänderung im Online-Banking nicht getroffen worden war. Zweck der Vereinbarung eines Verfügungslimits ist es u.a., die Parteien vor Missbrauch des Zahlungsdienstesystems zu schützen und eventuelle Schäden zu begrenzen. Besonders schutzwürdig erscheinen in diesem System Verbraucher, da diese ihren teilweise durchaus überschaubaren Zahlungsverkehr nicht geschäftsmäßig, sondern privat gewöhnlich in ihrer Freizeit und von Zuhause oder unterwegs jederzeit erledigen können und dadurch anfälliger für Angriffe durch Betrüger sind als gewerbsmäßige Nutzer insbesondere größere Unternehmen. Diesen Umständen und dem gesteigerten Schutzbedürfnis wird das Zahlungssystem nicht hinreichend gerecht, wenn es für über sämtliche von ihnen bisher nicht genutzte Zahlungsdiensteangebote nicht informierte Verbraucher keine effektiven Selbstkontroll- und Schutzmöglichkeiten anbietet, die sie effektiv vor den der Kreditwirtschaft bekannten Betrugsangriffen schützen können.

cc) Im Rahmen der Abwägung der Verursachungsbeiträge ist zu beachten, dass ohne eine Limiterhöhung die streitgegenständliche nicht autorisierte Echtzeitüberweisung über 47.777,00 EUR überhaupt nicht hätte ausgeführt werden können. Jedoch ist in diesem Zusammenhang auch das grob fahrlässige mitursächliche Verhalten der Klägerin, welche durch das Befolgen der Anweisungen der betrügerischen Anrufer die für die Überweisung erforderlichen 2 TAN erzeugt und an die Anrufer herausgegeben hat, wertend zu berücksichtigen. Es erscheint nicht unwahrscheinlich, dass die unbefugten Täter aufgrund ihres professionellen perfiden Vorgehens wenigstens eine nicht autorisierte Überweisung in Höhe des noch nicht ausgeschöpften Tageslimits zu Lasten des klägerischen Kontos veranlasst hätten und die Beklagte diese auch ausgeführt hätte. Denn immerhin hatte die Klägerin sich tatsächlich von den Anrufern zu schadensursächliche Mitwirkungshandlungen (ver-)führen lassen, so dass nicht auszuschließen ist, dass sie aufgrund des professionellen Vorgehens während des Telefonanrufs sinnlich sowie gedanklich in den entscheidenden Momenten des Sichtbarwerdens der Worte „IBAN“ und „Betrag“ auf dem Display des TAN-Generators erfolgreich abgelenkt worden wäre.

Im Ergebnis haftet die Klägerin gemäß §§ 675 u Abs. 3, 254 Abs. 1 BGB trotz grob fahrlässiger Verletzung ihrer Sorgfaltspflichten im Umgang mit den mittels ihrer Bankkarte und dem TAN-Generator erzeugten TAN vorliegend aufgrund des unstreitigen Sachverhaltes lediglich in Höhe des nicht ausgeschöpften vereinbarten ZV-Tageslimits von 8.649,00 EUR.

Inwiefern dieses Ergebnis auch aus der zwingenden Haftungsausschlussregelung des § 675 v Abs. 4 Satz 1 Nr. 1 BGB folgt, welche vom Gesetzgeber nicht so sehr im Interesse des Individualrechtschutzes, sondern zum Zwecke eines überindividuellen Schutzes, nämlich auf das rechtspolitische Ziel der Schaffung von Systemsicherheit und einem möglichst hohen Sicherheitsniveau im bargeldlosen Zahlungsverkehr gerichtet (vgl. Omlor, Staudinger BGB 675 v Rz. 30), getroffen wurde, kann offenbleiben (vgl. hierzu LG H Urteil vom 23.06.2023 – 4 O 133/22 – ; Urteil vom 27.09.2024 – 4 O 93/23 – unter 2b) sowie Urteil vom 17.12.2024 – 4 O 6/24 – ).

3. Im Ergebnis hat die Beklagte der Klägerin die geforderte Wertgutschrift im tenorierten Umfang zu erteilen und kann diese nur in dem beschränkten Umfang verweigern, in welchem die Klägerin ihr gegenüber gemäß § 675 v Abs. 3 BGB haftet. Trotz grober Fahrlässigkeit in Gestalt der telefonischen Weitergabe der von ihr unwissentlich ihres Verwendungszwecks erzeugten TAN an unbefugte Dritte haftet die Klägerin der Beklagten für den hieraus entstandenen Schaden nicht nur im Umfang des vereinbarten Limits in Höhe von 10.000,00 EUR nicht, sondern darüber hinaus auch insoweit nicht, als sie das vereinbarte Limit durch eine vorherige von ihr autorisierte Überweisung bereits ausgeschöpft hatte. Ihre Haftung gegenüber der Beklagten beschränkt sich folglich auf 8.649,00 EUR, so dass die Beklagte gegenüber der Klägerin die geschuldete Wertgutschrift nur in diesem Umfange verweigern kann.

Die mit dem Klageantrag zu Ziffer 2 verfolgten Nebenforderungen in Gestalt der vorgerichtlich der Klägerin entstandenen Rechtsverfolgungskosten und der hieraus geltend gemachten Prozesszinsen ergeben sich aufgrund des Leistungsverzuges der Beklagten seit der ernsthaften und endgültigen Ablehnung des ihr gegenüber geltend gemachten Anspruchs auf Erteilung einer Wertgutschrift (§§ 280 Abs. 1 und 2, 286 Abs. 2 Ziffer 2, 249 Abs. 1, 291, 288 Abs. 1 S. 1 BGB).

II. Die Nebenentscheidungen folgen aus §§ 92 Abs. 1, 709 Satz 1 ZPO.

III. Die Streitwertfestsetzung beruht auf §§ 63 Abs. 2 S. 1, 39 ff, 40, 48 Abs. 1 GKG, 3 ZPO.