Contact for English speaking clientsPhishing-Angriff: Erstattungsanspruch scheitert an grober Fahrlässigkeit des Klägers
Das Urteil des LG Lübeck Az.: 3 O 83/23 befasst sich mit einem Fall von Erstattungsansprüchen nach einem Phishing-Angriff beim Online-Banking. Die Klage des Geschädigten wurde abgewiesen, da das Gericht zu dem Schluss kam, dass der Kläger grob fahrlässig gehandelt habe, indem er die Auftragsdaten nicht überprüft und mehrere Warnhinweise ignoriert hatte. Zudem wurde festgestellt, dass die Bank die erforderliche starke Kundenauthentifizierung angefordert hatte.
Weiter zum vorliegenden Urteil Az.: 3 O 83/23 >>>
✔ Das Wichtigste in Kürze
Die zentralen Punkte aus dem Urteil:
- Klage abgewiesen: Der Kläger trägt die Kosten des Rechtsstreits.
- Grob fahrlässiges Handeln des Klägers durch Nichtbeachtung von Warnhinweisen und fehlende Überprüfung der Auftragsdaten.
- Der Kläger hat persönliche Daten auf einer Phishing-Webseite eingegeben und ungewöhnliche Transaktionen autorisiert.
- Starke Kundenauthentifizierung durch die Bank wurde eingehalten.
- Der Anspruch auf Erstattung wurde nicht anerkannt, da der Kläger die Überweisungen in gewisser Weise autorisiert hatte.
- Die Aufrechnung des Anspruchs durch die Bank wurde als rechtens erachtet.
- Ziffer 7.3 der Bedingungen zum Online-Banking spielte eine zentrale Rolle bei der Entscheidung des Gerichts.
- Das Urteil betont die Bedeutung der Eigenverantwortung von Bankkunden im Umgang mit Online-Banking-Transaktionen.
Übersicht:
- 1 Phishing-Angriff: Erstattungsanspruch scheitert an grober Fahrlässigkeit des Klägers
- 2 ✔ Das Wichtigste in Kürze
- 2.1 Phishing-Angriffe und Erstattungsansprüche gegen Banken
- 2.2 Der Phishing-Fall vor dem LG Lübeck: Eine digitale Falle mit rechtlichen Folgen
- 2.3 Wie der Betrug abgelaufen ist: Eine detaillierte Betrachtung
- 2.4 Die rechtliche Auseinandersetzung: Phishing und die Folgen
- 2.5 Urteil und Begründung: Ein klares Statement zur Sorgfaltspflicht
- 2.6 Fazit: Ein Fall von hoher Relevanz
- 3 ✔ FAQ: Wichtige Fragen kurz erklärt
- 3.1 Was versteht man unter einem Phishing-Angriff im Online-Banking?
- 3.2 Welche Pflichten haben Bankkunden bei der Nutzung von Online-Banking-Diensten?
- 3.2.1 Sorgfältiger Umgang mit Authentifizierungsdaten
- 3.2.2 Nutzung starker Kundenauthentifizierung
- 3.2.3 Aktualisierung der Sicherheitssoftware
- 3.2.4 Vorsicht bei der Nutzung öffentlicher Netzwerke
- 3.2.5 Überprüfung der Bankkommunikation
- 3.2.6 Informieren über Sicherheitsverfahren
- 3.2.7 Verantwortungsvoller Umgang mit Kontoinformationen
- 3.2.8 Einhaltung der AGBs
- 3.3 Was bedeutet grobe Fahrlässigkeit im Zusammenhang mit Online-Banking-Transaktionen?
- 3.4 Wie ist die rechtliche Grundlage für Erstattungsansprüche bei nicht autorisierten Zahlungsvorgängen im deutschen Recht geregelt?
- 4 Das vorliegende Urteil
Phishing-Angriffe und Erstattungsansprüche gegen Banken
Phishing-Angriffe stellen eine ernsthafte Bedrohung für Bankkunden dar, die Opfer solcher Betrugsversuche werden. In solchen Fällen können Betroffene möglicherweise Erstattungsansprüche gegen ihre Bank geltend machen. Diese Ansprüche ergeben sich aus § 675 u BGB. Die Haftung des Bankkunden für die missbräuchliche Nutzung eines Zahlungsinstruments ist gemäß § 675 v Abs. 1 BGB auf 50,- € beschränkt.
Banken weigern sich jedoch häufig, die Erstattung nach einem Phishing-Angriff vorzunehmen. In solchen Fällen ist es ratsam, sich an einen spezialisierten Anwalt zu wenden, um die Durchsetzung von Erstattungsansprüchen zu unterstützen. Es ist wichtig, dass Betroffene nach einem Phishing-Angriff schnell handeln und sich an einen spezialisierten Anwalt wenden, um ihre Erstattungsansprüche durchzusetzen. In einigen Fällen können Banken jedoch von der Erstattungspflicht befreit sein, wenn der Bankkunde in betrügerischer Absicht gehandelt hat oder die Abbuchung durch sein Verschulden ermöglicht wurde.
Der Phishing-Fall vor dem LG Lübeck: Eine digitale Falle mit rechtlichen Folgen
In einem bemerkenswerten Fall vor dem Landgericht Lübeck standen Erstattungsansprüche nach einem Phishing-Angriff im Mittelpunkt. Der Kläger, ein Nutzer des Online-Banking-Services seiner Bank, fiel einem ausgeklügelten Betrug zum Opfer, der seine finanzielle Sicherheit bedrohte. Das Gericht mit dem Aktenzeichen 3 O 83/23 musste über komplexe Fragen der Haftung und der Verantwortlichkeit in der digitalen Bankenwelt entscheiden.
Wie der Betrug abgelaufen ist: Eine detaillierte Betrachtung
Das Opfer des Phishing-Angriffs war der Inhaber eines Girokontos bei der beklagten Bank, wobei Zahlungsaufträge üblicherweise über eine TAN-App auf seinem Smartphone freigegeben wurden. Die Betrüger lockten ihn zunächst auf eine gefälschte Webseite, die der echten Bankseite täuschend ähnlich sah. Hier wurde er aufgefordert, persönliche Daten einzugeben, was ihm zunächst merkwürdig vorkam. Trotz seiner Bedenken führte er die Anweisungen aus, nachdem auch ein zweiter Versuch über sein Smartphone zu demselben Ergebnis führte. Die Situation eskalierte, als er von einer vermeintlichen Mitarbeiterin der Bank kontaktiert wurde, die ihn durch einen Prozess führte, der schlussendlich zu nicht autorisierten Überweisungen in erheblicher Höhe führte.
Die rechtliche Auseinandersetzung: Phishing und die Folgen
Die Kernfrage des Rechtsstreits drehte sich um die Erstattungsansprüche des Klägers für die durch den Phishing-Angriff verlorenen Gelder. Der Kläger argumentierte, dass er lediglich einer Überweisung von 1 Euro zugestimmt habe und für die weiteren Transaktionen keine Autorisierung erteilt habe. Die Bank und das Gericht mussten die Sicherheitsvorkehrungen und die Rolle des Klägers bei der Freigabe der Transaktionen bewerten. Die Bank verwies auf ihre Online-Banking-Bedingungen, die eine Überprüfung der Auftragsdaten vor Freigabe durch den Nutzer fordern.
Urteil und Begründung: Ein klares Statement zur Sorgfaltspflicht
Das LG Lübeck wies die Klage ab und entschied, dass dem Kläger keine Erstattungsansprüche zustehen. Die Entscheidung gründete auf der Feststellung, dass der Kläger grob fahrlässig gehandelt habe, indem er die Auftragsdaten nicht überprüfte und Warnsignale ignorierte. Besonders hervorgehoben wurde, dass der Kläger die offensichtlichen Risiken und Unstimmigkeiten des Vorgangs – wie die ungewöhnliche Aufforderung zur Dateneingabe und den Anruf zu unüblicher Zeit – hätte erkennen und dementsprechend vorsichtig handeln müssen. Das Gericht betonte auch, dass die Bank ihrer Pflicht zur starken Kundenauthentifizierung nachgekommen sei, was die Anforderungen an die Sorgfaltspflicht des Klägers noch erhöhte.
Fazit: Ein Fall von hoher Relevanz
Das Urteil unterstreicht die Bedeutung der Eigenverantwortung beim Online-Banking. Nutzer müssen aufmerksam sein und die Sicherheitshinweise ihrer Banken beachten. Gleichzeitig zeigt der Fall, dass Banken in der Pflicht stehen, ihre Kunden über potenzielle Risiken aufzuklären und effektive Sicherheitsmechanismen bereitzustellen.
✔ FAQ: Wichtige Fragen kurz erklärt
Was versteht man unter einem Phishing-Angriff im Online-Banking?
Unter einem Phishing-Angriff im Online-Banking versteht man den Versuch von Betrügern, über gefälschte Webseiten, E-Mails oder SMS-Nachrichten an persönliche Daten von Bankkunden zu gelangen. Ziel ist es, Zugangsdaten wie Benutzernamen, Passwörter und Transaktionsnummern (TANs) zu erbeuten, um damit unbefugt Geldtransfers durchzuführen oder andere betrügerische Handlungen zu vollziehen.
Phishing ist ein Kunstwort, das sich aus „Passwort“ und „fishing“ (englisch für „Angeln“) zusammensetzt und das „Angeln“ nach sensiblen Daten beschreibt. Die Betrüger geben sich dabei oft als vertrauenswürdige Institutionen, wie Banken, aus und versenden Nachrichten, die den Anschein erwecken, von diesen Institutionen zu stammen. Sie fordern die Empfänger auf, aufgrund angeblicher Sicherheitsprobleme, technischer Updates oder unbefugter Konto-Zugriffe ihre Zugangsdaten auf einer verlinkten Webseite einzugeben.
Diese Webseiten sind jedoch gefälscht und dienen dazu, die eingegebenen Daten abzufangen. Die Nachrichten und Webseiten sind häufig so gestaltet, dass sie den echten sehr ähnlich sehen, was die Erkennung eines Phishing-Angriffs erschwert. Oft wird ein Gefühl der Dringlichkeit vermittelt, um die Empfänger zu schnellem Handeln zu bewegen, ohne dass diese die Zeit haben, die Echtheit der Nachricht zu überprüfen.
Um sich vor Phishing zu schützen, sollten Nutzer auf die Rechtschreibung und Orthografie in den Nachrichten achten, den Absender und die Absenderendung überprüfen, die Ansprache kritisch betrachten und sich nicht unter Druck setzen lassen. Zudem ist es ratsam, beim Online-Banking auf sichere Verbindungen zu achten und gegebenenfalls ein virtuelles privates Netzwerk (VPN) zu nutzen.
Phishing-Angriffe sind in Deutschland und weltweit eine der häufigsten Betrugsmethoden im Zusammenhang mit Online-Banking. Die Sicherheitsverfahren der Banken sind zwar über die Jahre sicherer geworden, dennoch gelingt es Cyberkriminellen immer wieder, durch ausgeklügelte Methoden an sensible Daten zu gelangen.
Welche Pflichten haben Bankkunden bei der Nutzung von Online-Banking-Diensten?
Bankkunden haben beim Online-Banking verschiedene Pflichten, die sie beachten müssen, um die Sicherheit ihrer Transaktionen und Kontodaten zu gewährleisten. Hier sind einige der wichtigsten Pflichten:
Sorgfältiger Umgang mit Authentifizierungsdaten
Kunden müssen ihre persönlichen Authentifizierungsdaten wie PIN (Persönliche Identifikationsnummer) und TAN (Transaktionsnummer) geheim halten und dürfen diese nicht an Dritte weitergeben oder leicht zugänglich machen.
Nutzung starker Kundenauthentifizierung
Seit dem 14. September 2019 ist die starke Kundenauthentifizierung (Zwei-Faktor-Authentifizierung) für Online-Überweisungen und beim Einkaufen im Internet gesetzlich vorgeschrieben. Kunden müssen ihre Identität mit mindestens zwei unabhängigen Komponenten nachweisen, wie beispielsweise etwas, das sie wissen (PIN), etwas, das sie besitzen (TAN-Generator), oder etwas, das sie sind (biometrische Daten).
Aktualisierung der Sicherheitssoftware
Kunden sollten sicherstellen, dass die Software auf ihren Endgeräten, die für Online-Banking genutzt werden, stets auf dem neuesten Stand ist, um Schutz vor Sicherheitslücken zu bieten.
Vorsicht bei der Nutzung öffentlicher Netzwerke
Es wird empfohlen, Online-Banking nicht über öffentliche Netzwerke durchzuführen, da diese anfälliger für Angriffe sind. Stattdessen sollten sichere und private Netzwerke genutzt werden.
Überprüfung der Bankkommunikation
Kunden sollten aufmerksam sein und die Echtheit von Kommunikationen ihrer Bank überprüfen, um Phishing-Versuche zu erkennen. Sie sollten keine Links aus unbekannten oder verdächtigen E-Mails anklicken.
Informieren über Sicherheitsverfahren
Kunden sollten sich über die aktuellen Sicherheitsverfahren und -hinweise ihrer Bank informieren und diese befolgen. Dazu gehört auch, sich über aktuelle Betrugsmethoden auf dem Laufenden zu halten.
Verantwortungsvoller Umgang mit Kontoinformationen
Kunden sollten ihre Kontoinformationen und -bewegungen regelmäßig überprüfen und bei Unregelmäßigkeiten umgehend ihre Bank kontaktieren.
Einhaltung der AGBs
Die Allgemeinen Geschäftsbedingungen (AGBs) der Bank zum Online-Banking enthalten detaillierte Pflichten des Kunden. Diese sollten genau gelesen und eingehalten werden.
Durch die Beachtung dieser Pflichten tragen Bankkunden zu einem sicheren Online-Banking bei und schützen sich vor finanziellen Verlusten durch Betrug oder Missbrauch ihrer Kontodaten.
Was bedeutet grobe Fahrlässigkeit im Zusammenhang mit Online-Banking-Transaktionen?
Grobe Fahrlässigkeit im Zusammenhang mit Online-Banking-Transaktionen bezieht sich auf ein Verhalten, bei dem die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt wird. Dies bedeutet, dass ein Bankkunde naheliegende und offensichtliche Sorgfaltspflichten außer Acht lässt oder sich zu arglos verhält, was zu einem Schaden führen kann. Wenn ein Kunde beispielsweise auf eine Phishing-E-Mail reinfällt und seine Zugangsdaten auf einer gefälschten Webseite eingibt, obwohl bei Beachtung der üblichen Sicherheitsvorkehrungen der Betrug erkennbar gewesen wäre, kann dies als grobe Fahrlässigkeit gewertet werden.
In solchen Fällen ist die Bank in der Regel nicht zum Schadenersatz verpflichtet, da von einem durchschnittlichen Nutzer des Online-Bankings erwartet wird, dass er mit den Authentifizierungsdaten wie PIN und TAN sorgfältig umgeht und ungewöhnliche Aufforderungen hinterfragt. Die Beweislast für das Vorliegen grober Fahrlässigkeit liegt bei der Bank, und gelingt ihr dieser Beweis, muss sie die durch Betrug entstandenen unautorisierten Beträge nicht erstatten.
Wie ist die rechtliche Grundlage für Erstattungsansprüche bei nicht autorisierten Zahlungsvorgängen im deutschen Recht geregelt?
Die rechtliche Grundlage für Erstattungsansprüche bei nicht autorisierten Zahlungsvorgängen im deutschen Recht ist im Bürgerlichen Gesetzbuch (BGB) unter § 675u geregelt. Gemäß dieser Vorschrift hat der Zahlungsdienstleister des Zahlers keinen Anspruch auf Erstattung des Zahlungsbetrages im Fall eines nicht autorisierten Zahlungsvorgangs. Stattdessen ist der Zahlungsdienstleister verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und das Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.
Diese Verpflichtung muss unverzüglich, spätestens jedoch bis zum Ende des Geschäftstags erfüllt werden, der auf den Tag folgt, an welchem dem Zahlungsdienstleister angezeigt wurde, dass der Zahlungsvorgang nicht autorisiert war, oder er auf andere Weise davon Kenntnis erhalten hat. Der Erstattungsanspruch umfasst dabei die Auszahlung und die Stornobuchung, also die Wertstellung in Höhe der nicht autorisierten Zahlung.
Es ist zu beachten, dass der Zahlungsdienstleister die Beweislast dafür trägt, dass ein Zahlungsvorgang autorisiert war. Kann er dies nicht nachweisen, muss er den Betrag erstatten. Allerdings kann der Anspruch auf Erstattung entfallen, wenn der Zahler grob fahrlässig gehandelt hat, beispielsweise indem er seine Authentifizierungsdaten Dritten zugänglich gemacht hat.
Das vorliegende Urteil
LG Lübeck – Az.: 3 O 83/23 – Urteil vom 03.01.2024
1. Die Klage wird abgewiesen.
2. Der Kläger hat die Kosten des Rechtsstreits zu tragen.
3. Das Urteil ist gegen Sicherheitsleistung in Höhe von 110 % des jeweils zu vollstreckenden Betrags vorläufig vollstreckbar.
4. Der Streitwert wird auf 9.849,00 € festgesetzt.
Tatbestand
Die Parteien streiten über Erstattungsansprüche nach einem sogenannten Phishing-Angriff beim Online-Banking.
Der Kläger unterhielt bei der Beklagten ein Girokonto. Die Freischaltung von Zahlungsaufträgen im Online-Banking erfolgte über eine TAN-App auf seinem Smartphone. In den Bedingungen der Beklagten zum Online-Banking (Anlage B3) hießt es unter Zif. 7.3:
„Prüfung der Auftragsdaten mit von der …kasse angezeigten Daten
Die …kasse zeigt dem Teilnehmer die von ihr empfangenen Auftragsdaten (z. B. Betrag, Kontonummer des Zahlungsempfängers, Wertpapierkennnummer) über das gesondert vereinbarte Gerät des Teilnehmers an (z. B. mittels mobilem Endgerät, Chipkartenlesegerät mit Display). Der Teilnehmer ist verpflichtet, vor der Bestätigung die Übereinstimmung der angezeigten Daten mit den für den Auftrag vorgesehenen Daten zu prüfen.
Am Abend des 20.06.2022 wollte der Kläger über seinen PC gemeinsam mit seiner Tochter die Internetseite der Beklagten aufrufen. Es erschien eine Webseite (Anlage B6) mit der Aufforderung, sich durch die Eingabe von persönlichen Daten wie seinem Geburtsdatum zu legitimieren. Wegen der weiteren Einzelheiten wird auf die Anlage B6 Bezug genommen. Diese Aufforderung kam dem Kläger seltsam vor. Der Kläger dachte, sein PC könnte womöglich mit einem Virus infiziert sein und wollte zur Sicherheit sein Smartphone benutzen. Mit diesem Gerät rief er die Webseite auf gleichem Wege wie zuvor über den PC auf. Erneut erschien die Webseite wie zuvor mit der Aufforderung, sich durch die Eingabe von persönlichen zu legitimieren. Der Kläger schloss einen Virus sowohl des PCs als auch des Smartphones aus und gab seine Daten auf der Webseite ein. Danach wurde auf der Webseite ein fünfstelliger Zahlencode angezeigt sowie die Mitteilung, dass er gleich angerufen werden würde. Kurze Zeit später, um 21.36 Uhr, wurde der Kläger von einer Frau angerufen, die sich als Mitarbeiterin der Beklagten ausgab. Diese erklärte, der Kläger müsse sich legitimieren und bat den Kläger die TANApp der Beklagten zu öffnen. Das tat der Kläger über sein Smartphone durch Eingabe seiner PIN. Die App öffnete sich und es erschien ein Button mit einem roten Pfeil. Die Anruferin bat den Kläger, den Pfeil herüber zu schieben. Das tat der Kläger. Die Anruferin fragte den Kläger dann, ob er bei seinem Kontostand Interesse an einem Tagesgeldkonto hätte, was dieser bejahte. Zum Test werde sie 15.000 € von seinem Girokonto auf das neue eingerichtete Tageskonto überweisen. Der Kläger stimmte zu, wobei streitig ist, ob auch in der Höhe von 15.000 €. Der Kläger gab einen – der Höhe nach streitigen – Betrag in seiner TANApp frei. Von dem Konto des Klägers wurden insgesamt 6 Überweisungsaufträge zu je 79.000 € erteilt. Da das Girokonto des Klägers über ein Tageslimit verfügte, wurde nur ein Betrag von 14.999,99 € auf ein Fremdkonto überwiesen. Der Kläger bemerkte erst am nächsten Morgen, dass der Betrag auf seinem Konto fehlte und kein Tagesgeldkonto für ihn eingerichtet worden war. Ein Betrag in Höhe von 5.150 € wurden dem Kläger erstattet. Mit Schreiben vom 25.10.2022 verlangte der Klägervertreter die Beklagte erfolglos zur Zahlung des Restbetrages in Höhe von 9.849 € auf. Mit Schreiben vom 17.11.2022 (Anlage K2) erklärte der Beklagtenvertreter die Aufrechnung mit Gegenansprüchen in gleicher Höhe.
Der Kläger trägt vor, er habe der Überweisung nur in Höhe von 1 € zugestimmt. In der TANApp sei nicht angezeigt worden, welche Überweisung an wen in welcher Höhe freizugeben war. Eine Kontrolle sei ihm daher nicht möglich und wegen der beabsichtigten Überweisung von nur 1 € auch nicht notwendig gewesen. Er habe nichts falsch gemacht. Er sei auf der Webseite der Beklagten bereits öfter aufgefordert worden, persönliche Daten zur Legitimation einzugeben. Auf dem Server der Beklagten müsse ein Virus gewesen sein. Die Beklagte habe zudem gesetzeswidrig keine starke Authentifizierung angeboten.
Der Kläger beantragt,
1. an den Kläger € 9.849,00 nebst Zinsen von 5 % Punkten über dem Basiszinssatz seit dem 03.11.2022,
2. an den Kläger vorgerichtliche Rechtsanwaltskosten in Höhe von € 973,66 nebst Zinsen von 5 % Punkten über dem Basiszinssatz seit dem 03.11.2022
zu zahlen.
Die Beklagte beantragt, die Klage abzuweisen.
Die Beklagte trägt vor, der Kläger sei auf eine Phishing-Webseite geraten und habe seine Daten an diese übermittelt. Er habe dann einen Überweisungsbetrag in Höhe von 14.999,99 € autorisiert. Ihm sei in der TANApp die Auftragsart, der Betrag sowie das Empfängerkonto angezeigt worden (Anlagen B2, B9).
Das Gericht hat den Kläger persönlich angehört. Wegen des Ergebnisses der Anhörung sowie der weiteren Einzelheiten wird auf das Verhandlungsprotokoll vom 14.11.2023 Bezug genommen. Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf die gewechselten Schriftsätze nebst Anlagen Bezug genommen.
Entscheidungsgründe
Die zulässige Klage ist unbegründet.
I.
Dem Kläger stehen die geltend gemachten Ansprüche unter keinem rechtlichen Gesichtspunkt zu.
1.
Ein Erstattungsanspruch ergibt sich insbesondere nicht aus § 675u S. 2 BGB.
a.
Nach § 675u S. 2 BGB ist ein Zahlungsdienstleister (z.B. Bank) im Fall eines nicht autorisierten Zahlungsvorgangs verpflichtet, dem Zahler (z.B. Bankkunde) den Zahlungsbetrag zu erstatten. Nicht autorisiert ist ein Zahlungsvorgang, wenn ein Zahlungsauftrag nie erteilt, widerrufen oder nicht wirksam wurde (BeckOGK/M. Zimmermann, 1.11.2023, BGB § 675u Rn. 14). Unstreitig autorisierte der Kläger die Überweisung in Höhe von 1 €. Fraglich ist, ob er auch die weiteren 14.999,99 € autorisierte. Dafür spricht der Ausdruck aus dem System der Beklagten (Anlagen B2 und B9), wonach eine Freigabe in dieser Höhe über die TAN-App des Klägers erfolgte.
b.
Diese Frage kann jedoch offen bleiben. Denn der Anspruch ist jedenfalls durch Aufrechnung erloschen.
aa.
Nach § 675v Abs. 3 Nr. 2 lit. b BGB ist der Zahler bei nicht autorisierten Zahlungsvorgängen verpflichtet, dem Zahlungsdienstleister den dadurch entstandenen Schaden zu ersetzen, wenn der Zahler den Schaden durch vorsätzliche oder grob fahrlässige Verletzung oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments herbeigeführt hat. Grob fahrlässig verhandelt, wer außer Acht lässt, was sich in der konkreten Situation jedem hätte aufdrängen müssen. Diese Voraussetzungen liegen vor. Der Kläger hat grob fahrlässig gegen Ziffer 7.3 der Bedingungen zum Online-Banking (Anlage B3) verstoßen, wonach die Freigabe eines Auftrags erst nach Prüfung der Auftragsdaten erfolgen darf.
Der Kläger trägt selbst vor, in der TANApp sei nicht angezeigt worden, welche Überweisung an wen in welcher Höhe freizugeben war. Damit hat der Kläger die Auftragsdaten vor der Freigabe nicht überprüft. Ohne Anzeige der konkreten Auftragsdaten hätte der Kläger keinerlei Aufträge freigeben dürfen.
Der Kläger handelte auch grob fahrlässig. Dabei ist unerheblich, welchen Betrag der Kläger freizugeben gedachte. Die Gefahr bei der Freigabe auch von nur 1 € hätte sich in der konkreten Situation jedem aufdrängen müssen. Denn es bestanden mehrere deutliche Warnhinweise, die dem Kläger nach eigenem Vortrag auch aufgefallen sind, die er jedoch ignoriert hat. So entsprach zunächst die vom Kläger aufgerufene Webseite erkennbar nicht der Webseite der Beklagten. Unter dem Schriftzug der Beklagten heißt es „… …kasse“ und die URL lautet „https://….html“. Der Kläger hat die Unstimmigkeiten auch erkannt, weshalb er dann statt seines PCs seine Smartphone nutzte. Allein auf die Nutzung eines anderen Gerätes durfte sich der Kläger aber nicht verlassen, insbesondere nicht bei Aufruf der Webseite auf demselben Wege wie zuvor. Ein weiterer deutlicher Warnhinweis war der Anruf zur spätabendlichen Stunde um 21.36 Uhr. Ein Anruf um diese Uhrzeit verpflichtet zu besonderer Vorsicht auch im Falle von veränderten Arbeitszeiten auf Grund der Folgen des Coronavirus. Ebenso deutlich war der Warnhinweis nach dem Vorschlag der Anruferin, bei dem Kontostand jetzt ein Tagesgeldkonto einzurichten. Mit der dann erfolgten Erklärung, zum Test müsse ein bestimmter Betrag überwiesen werden, den der Kläger freigeben müsse, hätte sich spätestens jetzt jedem der Verdacht eines Betruges aufdrängen müssen. Und zwar auch dann, wenn nur ein Betrag von 1 € in Rede stand. Der Kläger hatte keinerlei Unterlagen zu dem angeblich eingerichteten Tagesgeldkonto. Die Gefahr des Geldverlusts bei Freigabe der Überweisung ohne vorherige Kontrolle der Auftragsdaten hätte sich dem Kläger aufdrängen müssen, erst recht bei Erteilung des Überweisungsauftrags durch Dritte.
bb.
Der Schadensersatzanspruch der Beklagten ist auch nicht nach § 675v Abs. 4 BGB ausgeschlossen. Entgegen der Ansicht des Klägers verlangte die Beklagte eine starke Kundenauthentifizierung im Sinne des § 1 Abs. 24 ZAG. Bereits aus dem schriftsätzlichen Vortrag des Klägers sowie seiner persönlichen Anhörung ergibt sich, dass die Beklagte zur Anmeldung und für den Zahlungsauftrag die sogenannte Zwei-Faktor-Authentifizierung verlangte. Danach erfolgt die Identifizierung durch zwei voneinander unabhängige Faktoren der Kategorien Wissen, Besitz, Inhärenz (§ 1 Abs. 24 ZAG). Der Kläger trägt vor, er habe seine Kennung und sein Passwort eingeben müssen (Kriterium Wissen) und sich danach durch Freigabe auf der TANApp seines Smartphones (Kategorie Besitz) legitimieren und den Zahlungsauftrag freigeben müssen.
2.
Mangels Hauptanspruchs besteht weder Anspruch auf Zinsen noch auf vorgerichtliche Rechtsanwaltskosten.
II.
Die prozessualen Nebenentscheidungen beruhen auf §§ 91 Abs. 1, 709 ZPO.
