Auf die Berufung der Beklagten wird unter Zurückweisung des weitergehenden Rechtsmittels das am 4. Januar 2024 verkündete Urteil der 4. Zivilkammer des Landgerichts Halle in der Fassung des Urteils vom 22. April 2024 abgeändert und wie folgt neu gefasst:
Die Klage wird abgewiesen.
Die Kosten des Rechtsstreits tragen die Kläger.
Das Urteil ist ohne Sicherheitsleistung vorläufig vollstreckbar. Die Kläger können die Vollstreckung gegen Sicherheitsleistung in Höhe von 120 v.H. des beizutreibenden Betrages abwenden, sofern nicht die Beklagte vor der Vollstreckung Sicherheit in dieser Höhe leistet.
Beschluss:
Der Wert des Berufungsverfahrens beträgt 35.555,00 EUR.
Gründe
I.
Die Parteien streiten um die Verpflichtung der Beklagten zur Rückgängigmachung einer Belastungsbuchung in Höhe von 35.555,00 EUR.
Wegen des Sach- und Streitstandes im ersten Rechtszug einschließlich der dort gestellten Anträge wird auf das angefochtene Urteil (Leseabschrift Bl. 169 bis 179 Bd. I der Akten) Bezug genommen (§ 540 Abs. 1 Nr. 1 ZPO).
Klarzustellen und zu ergänzen ist:
Am Samstag, den 2. Juli 2022 versuchte die Klägerin zu 2. mehrfach, die PIN zum Online-Banking, die zum Einloggen auf der Internetseite der Beklagten erforderlich ist, zu ändern, weil sie diese, wie auch ihren Benutzernamen aus Versehen abgespeichert hatte. Trotz mehrfachen Versuchen gelang ihr die Änderung der PIN nicht. Dabei zeigte der TAN-Generator jeweils „Vorgang abgebrochen“ an. Als sie am Abend gegen 22:30 Uhr nochmals versuchte, die PIN zu ändern, öffnete sich auf dem PC ein Fenster, welches die Klägerin zu 2. darauf hinwies, dass, sofern eine neue Sicherheitssoftware nicht installiert würde, der Onlinebanking-Zugang abliefe. Die Klägerin zu 2. klickte darauf, woraufhin sich ein neues Fenster öffnete und persönliche Angaben abgefordert wurden. Die Klägerin zu 2. will dieses Fenster sofort wieder geschlossen haben.
Wenige Augenblicke später klingelte das Telefon. Auf dem Display sah die Klägerin zu 2. die Telefonnummer der Beklagten. Die Anruferin stellte sich als Mitarbeiterin der Beklagten vor und erkundigte sich, was denn bei der Klägerin „los sei“. Die Klägerin teilte mit, dass sie versucht habe, die PIN zu ändern. Daraufhin erklärte die Anruferin, dass die Installation eines neuen Sicherheitsprogramms erforderlich sei. In diesem Zusammenhang nannte die Anruferin auch den Namen der zuständigen Sachbearbeiterin der Beklagten, Frau P. . Da es bereits gegen 23 Uhr war, erkundigte sich die Klägerin zu 2. bei der Anruferin, warum diese noch so spät anrufen würde, woraufhin die Anruferin entgegnete, sie sei Mitarbeiterin im Online-Banking und sei „24 Stunden rund um die Uhr für die Kunden da“. Die Klägerin erinnerte sich daran, dass sie bei einem USA-Urlaub zu nächtlicher Stunde (Ortszeit in Deutschland) in einer Kreditkartenangelegenheit die Beklagte telefonisch erreichen konnte, weshalb ihr die Angaben schlüssig erschienen.
Die Anruferin teilte mit, dass die Klägerin zu 2. sich identifizieren müsse. Dazu wurde die Klägerin zu 2. aufgefordert, die Zahlenfolge ihrer S. Bank -Kartennummer anzugeben, wobei sie die ersten drei Ziffern vorgab. Zur weiteren Legitimation nannte die Anruferin die letzten drei Buchungen, insbesondere, dass zuletzt am Vortag gegen 18:09 Uhr eine Abhebung über 1.000 EUR am Automaten in der B. Straße erfolgt war, was exakt den tatsächlichen Kontobewegungen entsprach. Sodann bot die Anruferin an, den Identifizierungsvorgang für das neue Sicherheitsprogram mit dem TAN-Generator durchzuführen. Die Klägerin zu 2. stimmte zu und die Anruferin teilte mit, dass sie nun Zahlenfolgen durchgeben werde, die die Klägerin zu 2. in ihren TAN-Generator eingeben müsse und sie müsse dann im Gegenzug der Anruferin die generierte TAN durchgeben. Die Klägerin zu 2., die bis zu diesem Zeitpunkt nur das Flickercode-Verfahren genutzt hatte, folgte den Anweisungen, „vertippte“ sich jedoch mehrfach.
Das Gespräch brach dann unvermittelt ab, woraufhin die Anruferin wieder unter der Telefonnummer der Beklagten anrief und erneut eine Zahlenfolge durchgab. Ausweislich der Transaktionsprotokolle wurde im Online-Banking um 22:50 Uhr unter Verwendung der ersten von der Klägerin zu 2. erzeugten TAN das Tageslimit temporär auf 111.111 EUR erhöht. Anschließend wurden nacheinander drei Überweisungen von jeweils 36.666 EUR in Auftrag gegeben, die jeweils aufgrund der Eingabe einer falschen TAN nicht ausgeführt wurden. Dann teilte die Anruferin mit, dass die Bestätigung möglichweise aufgrund Zeitablaufs nicht mehr möglich sei und bot an, den Vorgang am Folgetag fortzusetzen.
Die Klägerin zu 2. erklärte sich hiermit einverstanden und fragte, ob dies bereits um 08:00 Uhr geschehen könne, da die Kläger in den Urlaub fahren wollten, was von der Anruferin verneint wurde. Diese erklärte daraufhin, dass sie im Schichtdienst arbeite und erst ab 11:30 bis 20:00 Uhr wieder im Dienst sei. Daher erklärte sich die Klägerin zu 2. mit 18:00 Uhr einverstanden, weil sie sich sicher war, dass sie dann im Urlaubsort angekommen ist. Im Anschluss an das Telefonat loggte sich die Klägerin zu 2. im Online-Banking ein und stellte nichts Ungewöhnliches fest.
Am Folgetag fuhren die Kläger wie geplant in den Urlaub. Da die Klägerin zu 2. den Anruf erwartete, nahm sie das TAN-Gerät und ihre S. Bank karte mit auf die Reise.
Gegen 18:15 Uhr des 3. Juli 2022, einem Sonntag, rief die Anruferin des Vortages mit der Telefonnummer der Beklagten auf dem Mobiltelefon der Klägerin zu 2. an, wiederholte die Prozedur mit der Abfrage der S. Bank -Kartennummer der Klägerin zu 2. und gab sodann wiederum mehre Zahlenfolgen durch, die von der Klägerin zu 2. in den TAN-Generator eingegeben wurden. Die Klägerin zu 2. gab dann die generierte TAN an die Anruferin weiter. Schließlich teilte die Anruferin mit, dass alles geklappt habe und verabschiedete sich.
Im Verlauf dieses Geschehens generierte die Klägerin zu 2. mit dem TAN-Generator im manuellen Verfahren mehrere TAN, die sie an die Anruferin weitergab. Zur selben Zeit wurden im Online-Banking mehrere Zahlungsvorgänge ausgelöst. Um 18:24:22 Uhr wurde im Online-Banking der Kläger eine Limitänderung auf 55.555,00 EUR bis 23:59 Uhr desselben Tages beauftragt und durchgeführt. Um 18:26:26 Uhr wurde dann eine Überweisung über 35.555,00 EUR beauftragt und durch Eingabe der entsprechend individuell generierten TAN freigeschaltet und ausgeführt.
Das Landgericht hat der Klage stattgegeben und die Beklagte verurteilt, das bei ihr geführte Konto der Kläger wieder auf den Stand zu bringen, auf dem es sich ohne die Belastungen des nichtautorisierten Zahlungsvorganges vom 3. Juli 2022 in Höhe von 35.500,00 EUR befunden habe. Zur Begründung hat es im Wesentlichen ausgeführt, die Kläger hätten den Zahlungsvorgang vom 3. Juli 2022 nicht autorisiert. Der Nachweis der Autorisierung des Zahlungsvorganges sei der Beklagten nicht gelungen. Zwischen den Parteien seien gewichtige Verdachtsmomente unstreitig, die auf eine missbräuchliche Verwendung des Zahlungsauthentifizierungsinstruments hindeuteten. Auch eine Zurechnung nach den Grundsätzen der Anscheins- bzw. Duldungsvollmacht scheide aus. Dem Anspruch auf Gutschrift könne die Beklagten keinen eigenen Schadensersatzanspruch gemäß § 675v Abs. 3 Nr. 2 BGB im Wege der dolo-agit Einrede entgegenhalten. Denn das Verhalten der Klägerin zu 2. stelle keinen groß fahrlässigen Verstoß gegen ihre Sorgfaltspflichten im Sinne von § 675l Abs. 1 Satz 1 BGB dar. Zwar sei die Weitergabe der TAN am Telefon durch die Klägerin zu 2. ein objektiv schwerwiegender Verstoß gegen ihre Vertragspflichten. In subjektiver Hinsicht erscheine dieser aber nicht so schwerwiegend, dass er als grob fahrlässig einzuordnen sei.
Dagegen wendet sich die Beklagte mit ihrer Berufung, mit der sie ihren Antrag auf Klageabweisung weiterverfolgt. Die Beklagte meint, aufgrund eines Anscheinsbeweises sei von einer Autorisierung der Zahlungsaufträge auszugehen. Jedenfalls habe sie einen Schadensersatzanspruch gegen die Kläger aus § 675v Abs. 3 Nr. 2 BGB in gleicher Höhe, den sie den Klägern gemäß § 242 BGB nach Treu und Glauben entgegenhalten könne. Von Kunden, die am Online-Banking teilnehme, sei zu erwarten, dass sie die Authentifizierungselemente wie unter Nr. 7 der Bedingungen für das Online-Banking vorgesehen, schützen. Phishing-Angriffe seien nicht ohne erhebliche Mitwirkungen der Zahlungsdienstnutzer möglich. Deshalb bestehe die von Zahlungsdienstnutzern zu erwartende angemessene Sorgfalt darin, Zugangsdaten niemandem auf Nachfrage anzuvertrauen, sei es am Telefon, in E-Mails oder im Internet. Jede anderweitige Weitergabe personalisierter Sicherheitsmerkmale sei sorgfaltswidrig, da es zulässig und wegen der Warnwirkung sogar erforderlich sei, dass die Zahlungsdienstleister ihre Kunden darauf hinweisen, dass sie Zugangsdaten ausschließlich über die Eingabemasken auf den institutseigenen Internetseiten abfragen. Bei einer Weitergabe von Zugangsdaten am Telefon liege dann stets ein Sorgfaltsverstoß vor, unabhängig von den Besonderheiten des Einzelfalls, der den Vorwurf grob fahrlässigen Verhaltens nahelege.
Noch zutreffend gehe das Landgericht vor diesem Hintergrund davon aus, dass die Weitergabe der TAN am Telefon durch die Klägerin zu 2. als objektiv schwerwiegender Verstoß gegen ihre Sorgfaltspflichten einzuordnen sei. Die Einordnung in subjektiver Hinsicht sei jedoch nicht frei von Rechtsfehlern und finde keine Stütze im Tatbestand der angefochtenen Entscheidung oder im Vortrag der Parteien. Unstreitig habe die Klägerin zu 2. am Telefon mindestens dreimal eine TAN an die Anruferin weitergegeben, welche sie nach telefonischer Anweisung und Eingabe verschiedener „Nummern mit ihrem TAN-Generator erzeugt habe. Am 2. Juli 2022 habe sich die Klägerin nach ihrem eigenen Vortrag in deren Sachverhaltsdarstellung zur Anlage B 4 im Online-Banking angemeldet, um zu versuchten, ihre PIN zu ändern. Für die späteren Anmeldungen habe dies keine Rolle mehr gespielt. Fehlerhaft gehe das Landgericht unter unzutreffender Bewertung des Klägervortrages davon aus, sie habe einen „telefonischen Beratungszugang“ als „neuartigen Kommunikationsweg zum Thema Online-Banking eröffnet. Einen solchen „Beratungszugang“ oder „Kommunikationskanal“ zum Thema Online-Banking gebe es aber nicht. Dies hätten auch weder die Kläger noch sie vorgetragen und sei auch lebensfremd. Im Übrigen habe das Landgericht zuvor keinen Hinweis erteilt, wonach es davon ausgehe, sie habe einen telefonischen Beratungszugang zu Online-Banking eröffnet. Andernfalls hätte sie hierzu bestreitend vorgetragen. Angesichts des klägerischen Vortrages habe hierzu indes kein Anlass bestanden.
Auch die Feststellung des Landgerichts, das Telefonat sei für die Klägerin zu 2. nicht anlasslos gewesen, entbehre entsprechender Feststellungen auf der Grundlage unstreitigen Parteivorbringens. Aus den Sachverhaltsschilderungen der Klägerin zu 2. ergebe sich, dass diese zwar die PIN habe ändern wollen, weil sie diese zuvor aus Versehen bei einem vorherigen Zugriff abgespeichert habe. Die vom Landgericht angenommene mehrmalige Falscheingabe einer PIN, die Sperrung der eingesetzten Karte oder des Zugangs hätten die Kläger gar nicht vorgetragen. Vielmehr trage die Klägerin zu 2. vor, sie habe sich trotz des Wunsches, die PIN zu ändern, im Online-Banking anmelden können. Hätte die Klägerin zu 2. Bedenken um den Online-Banking-Zugang gehabt, hätte sie eine Sperrung des Zugangs versuchen und alles vornehmen müssen, um die PIN erfolgreich zu ändern. Tatsächlich habe die Klägerin zu 2. auch gar nicht vorgetragen, dass sie sich wegen des Sachverhaltes um die von ihr behauptete PIN-Änderung auf das Telefonat mit der Anruferin eingelassen habe.
Ebenso wenig gehe das Landgericht davon aus, dass die erfolgten Warnungen der Beklagten die Annahme grober Fahrlässigkeit nicht rechtfertigen würden. Soweit das Landgericht allerdings zugunsten der Klägerin zu 2. berücksichtige, dass diese ihr anfängliches Misstrauen erst aufgrund der Feststellung konkreter Legitimationszeichen wie Bestandteilen der Kartennummer abgelegt habe, bewerte das Landgericht den Sachverhalt erneut unzutreffend. Ausweislich der eigenen Sachverhaltsdarstellung der Klägerin zu 2. nannte diese der Anruferin ihre Kartennummer.
Die Weitergabe der TAN begründe eine grobe Fahrlässigkeit im Sinne des § 675v Abs. 3 Nr. 2 BGB, was allgemeiner Auffassung entspreche.
Die Beklagte beantragt, unter Abänderung des am 4. Januar 2024 verkündeten Urteils der 4. Zivilkammer des Landgerichts Halle, in der Fassung des Berichtigungsbeschlusses vom 28. Februar 2024, die Klage abzuweisen.
Die Kläger beantragen,
1. die Berufung der Beklagten zurückzuweisen;
2. das am 4. Januar 2024 verkündete Urteil der 4. Zivilkammer des Landgerichts Halle, in der Fassung des Berichtigungsbeschlusses vom 28. Februar 2024 teilweise abzuändern und
a) die Beklagte zu verurteilen, das bei der Beklagten geführte Zahlungskonto mit der IBAN … , BIC … wieder auf den Stand zu bringen, auf dem es ohne die Belastungen des nichtautorisierten Zahlungsvorganges vom 03.07.2022 in Höhe von 35.555,00 EUR befunden hätte;
b) die Beklagte zu verurteilen, an die Kläger die vorgerichtlichen Anwaltskosten in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz seit Rechtshängigkeit zu zahlen.
Die Kläger verteidigen unter Wiederholung und Vertiefung des gesamten erstinstanzlichen Vortrages die angefochtene Entscheidung, soweit ihnen das Landgericht den geltend gemachten Anspruch bis auf einen Abzug von 55,00 EUR zugesprochen hat.
Sie behaupten, ihnen seien die Bedingungen für die Nutzung des Online-Bankings für das Girokonto, von dem die streitgegenständlichen Überweisungen vorgenommen wurden, nicht vorgelegt worden. Auch aus der Rahmenvereinbarung vom 3. Juni 2014 ergebe sich, dass diese Bedingungen nicht einbezogen wurden. Die von der Beklagten vorgelegten Bedingungen für das Online-Banking von 2009 (B 1a) seien nicht wirksam einbezogen worden und fänden keine Anwendung. Warnhinweise im Zeitraum vom 18. Juni 2022 bis 4. Juli 2022, in denen darauf hingewiesen werde, dass zahlreiche Kunden der Beklagten geschädigt worden seien, habe es nicht gegeben. Dies werde von der Beklagten auch nicht behauptet. Dabei wäre es der Beklagten möglich gewesen, ihre Kunden spätestens ab dem 19. Juni 2022 über die Betrugsserie aufzuklären und darauf hinzuweisen. Spätestens ab dem 19. Juni 2022 habe die Beklagte Kenntnis von dem hier in Streit stehenden Tatgeschehen und vom „modus operandi“ der Täter sowie den Überweisungen auf ein Konto der E. Bank .
Durch die IP-Adressen auf den von der Beklagten vorgelegten Transaktionsprotokollen mit den in der Ermittlungsakte auf die Täter bezogenen IP-Adressen, sei festzustellen, dass diese identisch seien. Damit sei bewiesen, dass sich ein Dritter in das Online-Banking eingeloggt, die persönlichen Daten der Klägerin zu 2. und die Aufträge für die Limitänderung und Überweisung eingegeben habe.
Die Klägerin zu 2. habe ihre Daten auch auf keiner Phishing-Website eingegeben. Die Täter hätten lediglich den Anmeldenamen und die PIN benötigt, um auf das Konto der Kläger zugreifen zu können. Nach der Anmeldung sei es den Tätern möglich gewesen, die Telefonnummer, das Geburtsdatum, den zuständigen Bearbeiter und die Kontobewegungen der Kontoinhaber, das Ablaufdatum der EC-Karte, die ersten 3 Ziffern der Kartennummer, die Verwendung des chipTAN-Verfahrens und welches TAN-Gerät genutzt werde, einzusehen. Die Beklagte habe den Zugriff auf diese persönlichen Daten nicht mittels der erforderlichen 2-Faktor-Authentifizierung gemäß § 55 ZAG in Verbindung mit Art. 10 der delegierten Verordnung (EU) 2018/389 der Kommission zur Ergänzung der Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards für eine starke Kundenauthentifizierung und für sichere offene Standards für die Kommunikation (RTS) verwendet. Die Täter hätten im vorliegenden Fall unmittelbar nach dem Abfischen von Anmeldenamen und PIN mit ihrem unbekannten Gerät Zugriff auf das Konto der Kläger und die im Account hinterlegten Daten. So hätten sie die Klägerin zu 2. angerufen und ihr geschützte Daten aus dem Online-Banking-Account mitteilen können. Zu diesem Zeitpunkt habe die Klägerin zu 2. allerdings noch keine TAN bestätigt. Insbesondere habe die Klägerin zu 2. keinen Zugriff durch Faktor 2/TAN auf ihr Konto erteilt.
Zutreffend sei das Landgericht davon ausgegangen, dass die streitgegenständlichen Zahlungsvorgänge nicht autorisiert wurden. Entgegen der Auffassung der Beklagten bestehe kein Schadensersatzanspruch der Beklagten gemäß § 675v Abs. 3 Nr. 2 BGB. Es fehle entgegen dem Landgericht bereits an einem objektiven Verstoß gegen Vertragspflichten. Denn die Einbeziehung der Online-Banking Bedingungen aus 2009 sei gerade nicht vereinbart worden. Zutreffend gehe das Landgericht dagegen davon aus, dass das Verhalten der Klägerin zu 2. (subjektiv) nicht grob fahrlässig gewesen sei. Bereits durch die telefonische Erreichbarkeit in der Vergangenheit und die Werbung der Beklagten auf deren Internetseite unter der Angabe von Telefonnummern für „Telefon-Banking“, sei es für die Klägerin zu 2. nicht ausgeschlossen gewesen, dass sich ein Mitarbeiter der Beklagten wegen der Sicherheit des Online-Bankings bei ihr melde. Das Landgericht habe die Gesamtumstände des vorliegenden Einzelfalls zutreffend berücksichtigt. Aufgrund dieser Umstände habe es sich für die Klägerin zu 2. gerade nicht aufgedrängt, dass es sich einen Betrug handelte.
Ein Schadensersatz der Beklagten scheitere gemäß § 675v Absatz 4 Satz 1 Nr. 1 BGB auch daran, dass der Zahlungsdienstleister keine starke Kundenauthentifizierung im Sinne des § 1 Absatz 34 ZAG verlangt habe. Eine starke Kundenauthentifizierung für die Anmeldung mit einem fremden Gerät habe die Beklagte nicht verlangt.
Selbst wenn ein Anspruch auf Schadensersatz gemäß § 675v Abs. 3 Nr. 2 BGB bestehen sollte, müsse sich das erhebliche Mitverschulden der Beklagten anspruchsmindernd auswirken. So habe die Beklagte keine Sicherungsmaßnahmen zur Sicherung ihres IT-Systems ergriffen. Die Beklagte und ihre Mitarbeiter hätten seit dem 22. Juni 2022 Kenntnis davon gehabt, dass unbekannte Täter unter Ausnutzung einer Sicherheitslücke erhebliche Geldbeträge ihrer Kunden mittels Echtzeit-Überweisung unter vorheriger Limiterhöhung auf verschiedene Konten der E. Bank überwiesen hatten. Eine Aufklärung der Sicherheitslücke durch die Beklagte sei nicht erfolgt. Das hiernach anzurechnende Mitverschulden sei mit 100 % zu bemessen.
Entgegen dem Landgericht müssten sie sich keinen Anspruch gemäß §§ 242, 675v Abs. 1 BGB in Höhe von 50,00 EUR entgegenhalten lassen, da die Voraussetzungen des § 675v Abs. 2 BGB vorliegen würden.
Der Senat hat die Klägerin zu 2. in der mündlichen Verhandlung gemäß § 141 ZPO persönlich angehört. Wegen des Ergebnisses wird auf das Protokoll der mündlichen Verhandlung (Bl. 103-104 Bd. II d.A.) Bezug genommen.
II.
Die Berufung der Beklagten und die Anschlussberufung der Kläger sind zulässig (§§ 511 Abs. 1, Abs. 2 Nr. 1, 513 Abs. 1, 517, 519 f., 524 ZPO).
In der Sache ist die Berufung begründet, die Anschlussberufung hingegen nicht. Die Kläger haben zwar gegen die Beklagte einen Anspruch aus § 675u Satz 1 und 2 BGB, das Konto wieder auf den Stand zu bringen, auf dem sie sich ohne die streitgegenständliche Belastungsbuchung in Höhe von 35.555,00 EUR befunden hätte. Diesem Anspruch der Kläger kann jedoch die Beklagte ihren Schadensersatzanspruch aus § 675v Abs. 3 Nr. 2b BGB in gleicher Höhe entgegenhalten.
1.
Gemäß § 675u Satz 1 und Satz 2 BGB hat im Fall eines nicht autorisierten Zahlungsvorgangs der Zahlungsdienstleister des Zahlers gegen diesen keinen Anspruch auf Erstattung seiner Aufwendungen. Er ist verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag – wie hier – einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.
a)
Bei der streitgegenständlichen Echtzeit-Überweisung vom Konto der Kläger mit der IBAN … in Höhe von 35.555,00 EUR auf das Konto bei der E. Bank GmbH handelt es sich um einen nicht durch die Kläger autorisierten Zahlungsvorgang.
Ein Zahlungsvorgang ist nach § 675j Abs. 1 Satz 1 BGB gegenüber dem Zahler nur wirksam, wenn er diesem zugestimmt hat (Autorisierung). Fehlt es an einer Autorisierung durch den Zahler, hier die Kläger, so steht dem Zahlungsdienstleister kein Aufwendungsersatzanspruch aus §§ 675c Satz 1, 670 BGB und dementsprechend kein Erstattungsanspruch nach § 675u Satz 1 BGB zu; vielmehr hat er dem Zahler den Zahlbetrag gemäß § 675u Satz 2 BGB unverzüglich zu erstatten und das Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte. Die Zustimmung kann entweder als Einwilligung oder als Genehmigung erteilt werden, wobei die Art und Weise der Zustimmung zwischen dem Zahler und seinem Zahlungsdienstleister zu vereinbaren sind. Insbesondere kann vereinbart werden, dass die Zustimmung mittels eines bestimmten Zahlungsinstruments erteilt werden kann (§ 675j Abs. 1 Sätze 2 bis 4 BGB). Bei der Zustimmung handelt es sich um eine einseitige, empfangsbedürftige Willenserklärung (vgl. MüKoHGB/Linardatos, 4. Aufl. 2019, K, Rn. 57; Grüneberg/Sprau, BGB, 81. Aufl., § 675j Rn. 3, m.w.N.; Zahrte, BKR 2016, 315, 316).
Nach allgemeinen Grundsätzen trägt ein Zahlungsdienstnutzer, der einen Anspruch auf Wiedergutschrift nach § 675u Satz 2 BGB geltend macht, die Darlegungs- und Beweislast, dass er den in Rede stehende Zahlungsvorgang nicht autorisiert hat (vgl. OLG Dresden, Urteil vom 13. Oktober 2022, 8 U 760/22, Rn. 42, juris; Grüneberg/Sprau, BGB, 81. Aufl., § 675u Rn. 8; § 675w Rn. 6). Diese Grundsätze werden indes durch die Regelung in § 675w BGB überlagert und modifiziert. Ist nämlich die Autorisierung eines ausgeführten Zahlungsvorgangs streitig, hat der Zahlungsdienstleister nach § 675w Satz 1 BGB nachzuweisen, dass eine Authentifizierung erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht sowie nicht durch eine Störung beeinträchtigt wurde (vgl. OLG Karlsruhe, Urteil vom 12. April 2022, 17 U 823/20, Rn. 59 ff., juris).
Der Wortlaut des § 675w BGB unterscheidet strikt zwischen Authentifizierung und Autorisierung: Hat der Zahlungsdienstleister die Anforderungen für eine Authentifizierung gemäß § 675w Satz 2 BGB erfüllt, so ist hiermit „nicht notwendigerweise“ auch die Autorisierung der Zahlung durch den berechtigten Nutzer gemäß § 675j Abs. 1 Satz 1 BGB nachgewiesen (§ 675w Satz 3 Nr. 1 BGB). Umgekehrt ist der Nachweis der Autorisierung gescheitert, wenn der Zahlungsdienstleister die ordnungsgemäße Authentifizierung des Vorgangs nicht darlegen und beweisen kann (§ 675w Satz 1 BGB). Mit dem Begriff der Autorisierung ist die Zustimmung des Zahlers zum Zahlungsvorgang gemäß § 675j Abs. 1 BGB gemeint. Unter Authentifizierung ist die technische und formalisierte Überprüfung der Identitätsbehauptung des Zahlers zu verstehen. Hierzu hat der Zahlungsdienstleister vor allem die personalisierten Sicherheitsmerkmale zu überprüfen (MüKoHGB/Linardatos, 4. Aufl. 2019, K, Rn. 233). Eine Authentifizierung ist erfolgt, wenn der Zahlungsdienstleister die Nutzung eines bestimmten Zahlungsinstruments, einschließlich seiner personalisierten Sicherheitsmerkmale, mithilfe eines Verfahrens überprüft hat. Dabei steht die Ausgestaltung des Authentifizierungsverfahrens im Organisationsermessen des Zahlungsdienstleisters (vgl. ausführlich: OLG Dresden, Urteil vom 13. Oktober 2022, 8 U 760/22, Rn. 43, juris).
Die von der Beklagten vorgelegte Dokumentation (Anlage B 2, Bl. 21) belegt, dass eine Authentifizierung, d.h. eine technische und formalisierte Überprüfung der Nutzung des Zahlungsinstruments einschließlich personalisierter Sicherungsinstrumente der Klägerin erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht sowie nicht durch eine Störung beeinträchtigt wurde (§ 675w Satz 1 BGB).
Mit dieser Authentifizierung nach § 675w Satz 1 BGB stehen allerdings lediglich die Grund- bzw. Mindestvoraussetzungen für die Anwendung eines Anscheinsbeweises für eine ordnungsgemäße Autorisierung des Zahlungsvorgangs durch die Kläger fest (vgl. Schnauder/Beesch, jurisPR-BKR 4/2019 Anm. 4, juris, S. 5, m.w.N.; OLG Dresden, Urteil vom 13. Oktober 2022, 8 U 760/22, Rn. 48, juris; Senat, Urteil vom 10. Januar 2024, 5 U 83/23, unveröffentl.). Kann der Zahlungsdienstleister einen in technischer Hinsicht störungsfreien Zahlungsvorgang nachweisen, so spricht für die Autorisierung durch den Zahlungsdienstnutzer eine gewisse Vermutung, die jedoch nach § 675w Satz 3 BGB „allein nicht notwendigerweise“ zum Nachweis der Autorisierung ausreicht. Dies bedeutet, dass an den bloßen Nachweis der Authentifizierung durch Verwendung von PIN und TAN nicht die unwiderlegliche Vermutung geknüpft werden darf, der Zahler habe selbst die Zahlung autorisiert oder für sie nach § 675v BGB einzustehen. § 675w Satz 3 BGB erfordert vielmehr die Berücksichtigung der Gesamtumstände des Einzelfalls im Rahmen richterlicher Beweiswürdigung gemäß § 286 ZPO.
Einen etwaigen zu Gunsten der Beklagten sprechenden Anscheinsbeweis für eine ordnungsgemäße Autorisierung der Zahlungsvorgänge haben die Kläger jedenfalls erschüttert. Zur Erschütterung des Anscheinsbeweises muss der Zahler keinen konkreten und erfolgreichen Angriff gegen das Authentifizierungsinstrument dartun und beweisen, sondern nur solche Umstände, die gegen die Autorisierung durch ihn und für ein missbräuchliches Eingreifen Dritter sprechen. Diese Anforderungen kann der Zahler auch dadurch erfüllen, dass er außerhalb des Sicherheitssystems des Zahlungsdienstleisters liegende Indizien, die für einen nicht autorisierten Zahlungsvorgang sprechen, substantiiert darlegt und bei Bestreiten nachweist (BGH, Urteil vom 26. Januar 2016, XI ZR 91/14, Rn. 29 und 48, juris).
Der Senat ist aufgrund der Würdigung des Inhalts der gesamten Verhandlung (§ 286 ZPO), insbesondere aufgrund der Angaben der Klägerin zu 2., die der Senat persönlich angehört hat, davon überzeugt, dass nicht die Klägerin zu 2. oder der Kläger, sondern ein unbefugter Dritter, der aufgrund einer Anmeldung auf einer gefälschten Webseite oder aufgrund eines anderweitigen vorangegangenen und unbemerkt gebliebenen Angriffs die Online-Banking-Zugangsdaten der Kläger kannte, im Online-Banking jeweils mittels der von der arglosen Klägerin zu 2. erzeugten chipTAN die Erhöhungen der Überweisungslimits auf 55.555 EUR und die gegenständliche Echtzeit-Überweisung in Höhe von 35.555 EUR beauftragte und bestätigt hat. Es ist plausibel und nachvollziehbar, dass die Klägerin zu 2. diese Vorgänge nicht selbst im Online-Banking ausgelöst hat, sondern die chipTAN in dem Glauben, eine Bankmitarbeiterin sei ihr bei der Installation eines neuen Sicherheitsprogrammes behilflich, erzeugt und weitergegeben hat. Hierfür spricht auch, dass bereits der Versuch, das Überweisungslimit des streitgegenständlichen Kontos am 2. Juli 2022 um 22:48 Uhr zu ändern von der IP-Adresse … (Bl. 8 Anlagenband Beklagtenanlagen) erfolgte. Diese IP-Adresse ist im „Zwischenbericht Digitale Spuren“ der Polizeiinspektion Halle vom 7. Dezember 2022 als IP-Adresse im Zusammenhang mit anderen Ermittlungsverfahren, hier einem Zugriff auf das Online-Banking am 19. Juni 2022 genannt. Demnach ist die IP-Adresse dem Deutschen Hosting-Provider L. Deutschland GmbH mit Sitz in F. zuzuordnen. Nach Angaben der L. gehört diese IP-Adresse zu der Firma V. International SA. Diese wiederum gehört Herrn F. W. , Calle E. , G. , Panama. Diesem gehört zudem der VPN-Dienst p. … – p. … com, der keine Nutzerdaten speichert.
b)
Die Kläger müssen sich die Zustimmung des unbefugten Dritten auch nicht nach Rechtsscheingrundsätzen zurechnen lassen. Denn ein Zahlungsvorgang ist autorisiert und dem Zahler gegenüber wirksam, wenn der Zahler dem Zahlungsvorgang zugestimmt hat, § 675j Abs. 1 Satz 1 BGB. Die Zustimmung nach § 675j Abs. 1 Satz 1 BGB muss tatsächlich vom Zahler stammen. Die Erklärung eines nicht vertretungsberechtigten Dritten kann dem Zahler nicht nach Rechtsscheingrundsätzen zugerechnet werden, weil die Regelungen in § 675j Abs. 1, § 675u Satz 1 BGB abschließend sind (vgl. BGH, Urteil vom 26. Januar 2016, XI ZR 91/14, Rn. 58, juris). Die Zustimmung kann gemäß § 675j Abs. 1 Satz 2 BGB entweder als Einwilligung oder, sofern zwischen dem Zahler und seinem Zahlungsdienstleister zuvor vereinbart, als Genehmigung erteilt werden. Art und Weise der Zustimmung sind zwischen dem Zahler und dem Zahlungsdienstleister zu vereinbaren, § 675j Abs. 1 Satz 3 BGB (BGH, Urteil vom 17. November 2020, XI ZR 294/19, BGHZ 227, 343-365, Rn. 13, juris).
Denn nach dem zwischen Bank und Kunde geschlossenen Vertrag ist bei Nutzung eines – gemäß § 675l BGB ohnehin geheim zu haltenden – personalisierten Zahlungsauthentifizierungsinstruments eine Bevollmächtigung Dritter ausnahmslos ausgeschlossen. Zudem ist der in § 675v Abs. 2 BGB (a.F.) festgelegte Grundsatz, dass der Kontoinhaber für einen nicht autorisierten Zahlungsvorgang nur bei Vorsatz oder grober Fahrlässigkeit einzustehen habe, berührt, wenn daneben dessen Haftung nach den Regeln eines Handelns unter fremdem Namen auch für einfache Fahrlässigkeit in Betracht kommt (BGH, Urteil vom 26. Januar 2016, XI ZR 91/14, Rn. 58, juris sowie ausführlich OLG Dresden, Urteil vom 13. Oktober 2022, 8 U 760/22, Rn. 58, juris zum chipTAN-Verfahren; Senat, Urteil vom 10. Januar 2024, 5 U 83/24, unveröffentl.).
2.
Dem Anspruch der Kläger aus § 675u Satz 2 BGB steht allerdings ein Schadenersatzanspruch der Beklagten gegen die Kläger aus § 675v Abs. 3 Nr. 2b BGB in gleicher Höhe entgegen, den die Beklagte den Klägern gemäß § 242 BGB nach Treu und Glauben erfolgreich entgegenhalten kann, so dass die Kläger im Ergebnis eine Wiedergutschrift des gesamten Überweisungsbetrages in Höhe von 35.555,00 EUR nicht verlangen können. Besteht ein Schadensersatzanspruch des Zahlungsdienstleisters, kann in Höhe des Anspruchs eine Gutschrift nach § 675u Satz 2 BGB gemäß den Grundsätzen von Treu und Glauben verweigert werden (vgl. BGH, Urteil vom 17. November 2020 – XI ZR 294/19, Rn. 25; juris).
a)
Ein Schadenersatzanspruch der Beklagten gegen die Kläger aus § 675v Abs. 3 Nr. 2 BGB, gerichtet auf Ersatz des gesamten Schadens, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist (nicht lediglich auf Ersatz von 50 EUR, vgl. Abs. 1), besteht dann, wenn der Zahler den Schaden durch grob fahrlässige Verletzung a) einer oder mehrerer Pflichten gemäß § 675l Abs. 1 BGB oder b) einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments herbeigeführt hat.
Grobe Fahrlässigkeit erfordert einen in objektiver Hinsicht schweren und in subjektiver Hinsicht schlechthin unentschuldbaren Verstoß gegen die Anforderungen der konkret erforderlichen Sorgfalt. Selbst ein objektiv grober Pflichtenverstoß rechtfertigt für sich noch keinen zwingenden Schluss auf ein entsprechend gesteigertes personales Verschulden (BGH, Urteil vom 26. Januar 2016, XI ZR 91/14, Rn. 71, juris).
Von dem Kunden, der am Online-Banking teilnimmt, ist zu erwarten, dass er die Authentifizierungselemente, wie unter Ziff. 7 der Bedingungen für das Online-Banking vorgesehen, schützt. Da nahezu alle Angriffe auf das Online-Banking in irgendeiner Form beim Kunden ansetzen, ist der Nutzer des Online-Bankings verpflichtet, Täuschungsversuche abzuwehren. Gefälschte Websites oder Elemente sind für ihn zwar oft nicht erkennbar. Anlass für die Haftung des Kunden ist dann das Erkennen sonstiger Verdachtsmomente, beispielsweise ungewöhnlicher Aufforderungen (Borges, NJW 2012, 2385). Phishing-Angriffe sind nicht ohne erhebliche Mitwirkung des Zahlungsdienstnutzers möglich. Die von den Zahlungsdienstnutzern zu erwartende angemessene Sorgfalt besteht hier darin, Zugangsdaten niemandem auf Nachfrage anzuvertrauen, sei es am Telefon, in E-Mails oder im Internet. Zulässig und wegen der Warnwirkung sogar erforderlich ist es, dass die Zahlungsdienstleister ihre Kunden darauf hinweisen, dass sie Zugangsdaten ausschließlich über die Eingabemasken auf den institutseigenen Internetseiten abfragen und jede anderweitige Weitergabe personalisierter Sicherheitsmerkmale daher sorgfaltswidrig ist. Bei Weitergabe am Telefon oder per E-Mail liegt dann stets ein Sorgfaltspflichtverstoß vor und – abhängig von den Besonderheiten des Einzelfalls, insbesondere subjektiven Gesichtspunkten – der Vorwurf grob fahrlässigen Verhaltens nahe (BeckOGK/Hofmann, 1.9.2022, BGB § 675l Rn. 96).
b)
Nach diesen Grundsätzen hat die Klägerin zu 2. grob fahrlässig gegen ihre Sorgfaltspflichten verstoßen. Es ist ihr subjektiv vorzuwerfen, dass sie sich auf die telefonische Installation eines „neuen Sicherheitsprogrammes“ eingelassen, die chipTAN erzeugt und an die Anruferin weitergegeben hat.
Dabei kann dahingestellt bleiben, ob die Parteien die von der Beklagten vorgelegten „Bedingungen für das Online-Banking“ (B 1, Bl. 5 ff. Anlagenband Beklagtenanlagen) wirksam einbezogen haben. Denn bereits nach § 675l Abs. 1 Satz 1 BGB ist der Zahlungsdienstnutzer verpflichtet, unmittelbar nach Erhalt eines Zahlungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Personalisierte Sicherheitsmerkmale sind dabei nicht jegliche personenbezogenen Daten (etwa Kontonummer oder Kartennummer), sondern lediglich solche Merkmale, die eine Authentifizierung erlauben (z.B. PIN, TAN oder Passwort). Das gilt für alle Arten von TAN, seien es die auf ein mobiles Empfangsgerät des ZDN versandte mTAN, die durch einen TAN-Generator erzeugte eTAN oder die mittlerweile nicht mehr gebräuchliche, auf eine Liste aufgedruckte iTAN (vgl. Begr. RegE BT-Drs. 16/11643, 106; BeckOGK/Hofmann, 1.9.2022, BGB § 675l Rn. 38).
Dem Senat ist aus anderen Verfahren bekannt, dass die Beklagte seit mehreren Jahren, auch schon vor dem hier in Rede stehenden Schadensfall, auf ihrer Website und im Online-Banking auf die Gefahren des Missbrauchs hinweist und vor betrügerischen Telefonanrufen durch vermeintliche S. Bank -Mitarbeitern. Schließlich ist aufgrund der umfangreichen Berichterstattung in den letzten Jahren in den öffentlichen Medien zu den vielfachen und mannigfaltigen Angriffen beim Internet-Banking, insbesondere dem Phishing allgemein bekannt, dass man die TAN niemals außer zur Bestätigung eines in Auftrag gegebenen Vorgangs verwenden soll (zum Phishing: OLG München, Urteil vom 22. September 2022, 19 U 2204/22, Rn. 99, juris).
Von der Klägerin zu 2., die nach eigenen Angaben das Online-Banking seit 2014 nutzt, war zu erwarten, dass sie den hier erfolgten Angriff abwehrt. Sie hätte schon stutzig machen müssen, als sich am Abend des 2. Juli 2022 auf ihrem PC ein Fenster öffnete, mit dem persönliche Angaben abgefordert wurden. Dass diese Mitteilung ungewöhnlich war, war für die Klägerin zu 2. auch erkennbar. Denn bereits nach ihren eigenen Angaben will sie dieses Fenster sofort wieder geschlossen haben. Umso mehr hätte sie erstaunen müssen, dass sie unmittelbar darauf und erstmals nach mehreren Jahren Teilnahme am Internet-Banking von einer vermeintlichen Mitarbeiterin der Beklagten zur Identifizierung für ein neues Sicherheitsprogramm angerufen wurde. Der Klägerin zu 2. mag nicht bekannt sein, dass es möglich ist, eine Anrufer-Nummer vorzutäuschen (Call-ID-Spoofing). Der Unüblichkeit von Anrufen eines Bankmitarbeiters am Wochenende war sie sich indes bewusst. Im Rahmen ihrer persönlichen Anhörung vor dem Senat gab sie zwar an, selbst häufig bei der S. Bank angerufen, Angelegenheiten telefonisch geregelt und auch aus dem Ausland angerufen zu haben. Daran, dass ihre Ansprechpartnerin bei der Beklagten, Frau P. , oder andere Mitarbeiterinnen und Mitarbeiter der Beklagten sie hingegen angerufen haben, konnte sich die Klägerin zu 2. allerdings nicht erinnern. Außerdem betrafen die vorangegangenen Telefonate der Klägerin zu 2. mit der Beklagten nie das Online-Banking. Sehr ungewöhnlich war auch, dass die Installation des „neuen Sicherheitsprogrammes“ noch am selben Tag erforderlich sein und außerhalb üblicher Banköffnungszeiten an einem Samstagabend erfolgen sollte.
Die Klägerin zu 2. durfte auch nicht davon ausgehen, die Beklagte habe einen telefonischen Beratungszugang zum Online-Banking eröffnet. Der Umstand, dass die Klägerin zu 2. im Zusammenhang mit einem Anliegen bei einer USA Reise zur Nachtzeit ein „Institut der Beklagten“ bzw. einen „Servicemitarbeiter der Beklagten“ erreicht, entlastet diese nicht, Verdachtsmomente mit den hier streitgegenständlichen Telefonaten am 2. Juli und 3. Juli 2022 wahrzunehmen und pflichtgemäß zu handeln. Selbst wenn die Kläger von Mitarbeitern der Beklagten angerufen wurden, standen diese Kontakte stets im Zusammenhang mit konkreten, zu erledigenden Anfragen der Kläger. Von ihnen selbst nicht veranlasste Anrufe der Beklagten behaupten auch die Kläger nicht. Im Übrigen würde die Annahme, dass die Beklagte telefonisch Angelegenheiten des Online-Bankings bespricht, auch den von den Klägern vorgelegten Rahmenvereinbarung widersprechen. Nach Nr. 8 „Kommunikationszugänge“ der Rahmenvereinbarung unter über die Teilnahme am Online-Banking/Telefon-Banking und am Elektronischen Postfach vom 3. Juni 2014 ist das Online-Banking-Angebot „derzeit ausschließlich über folgende Internetseiten erreichbar: Online-Banking: https://banking … .de, Mobile-Banking: https://banking … .de/mobil/anfang.cgi, Online-Bezahldienst Giropay https://giropay … .de“. Lediglich für „eine Sperranzeige für den Online-Banking-Zugang wurde unter Nr. 10 der Rahmenvereinbarung die Telefonnummer „116 116“ angegeben. Änderungen dieser Rahmenvereinbarung haben weder die Kläger noch die Beklagten vorgetragen.
Die Klägerin zu 2. hätte aber spätestens alarmiert sein müssen, nachdem sie aufgefordert wurde, ihren TAN-Generator, mit dem sie bis dahin selbst nur TAN zur Autorisierung von im Online-Banking ausgelösten Zahlungsvorgängen benutzt hatte, zu verwenden. Es entlastet die Kläger nicht, dass diese bis dahin nur das optische Chip-TAN-Verfahren genutzt haben und insbesondere der Klägerin zu 2. das manuelle Chip-TAN-Verfahren unbekannt war. Bei Wahrung der erforderlichen Sorgfalt hätte sich ihr aufdrängen müssen, dass sie den TAN-Generator wie bisher auch dieses Mal zur Erzeugung von TAN benutzt, welche man zur Bestätigung von Zahlungsvorgängen im Online-Banking benötigt. Die Klägerin zu 2. erzeugte im Rahmen des ersten Telefonats insgesamt vier TAN. Ab der zweiten TAN hätte sie auf ihrem TAN-Generator sehen können, dass sie jeweils eine Empfänger-IBAN und einen Überweisungsbetrag eingibt.
Dem Senat ist die Funktionsweise des chipTAN-Verfahren und des von der Beklagten vermittelten TAN-Generators aus anderen Verfahren bekannt. Um im manuellen TAN-Verfahren eine TAN zu erzeugen, muss in den TAN-Generator die persönliche Chipkarte eingesteckt und zunächst der im Online-Banking ausgewiesene Startcode eingegeben werden, der aus acht Ziffern besteht. Dieser Startcode wird vor jeder Transaktion neu generiert und ist eineindeutig der jeweiligen Transaktion zugeordnet. Anschließend wird im Falle einer Überweisung der Nutzer im Display des TAN-Generators aufgefordert, die „IBAN“ (des Empfängers) einzugeben, die anschließend mit der Taste „OK“ bestätigt wird und dann den Betrag einzugeben, der ebenfalls mit der Taste „OK“ bestätigt werden muss. Erst nach Eingabe und Bestätigung der manuell eingegebenen Daten in den TAN-Generator und der Betätigung der TAN-Taste errechnet der TAN-Generator auf Grundlage der an ihn zuvor übermittelten Daten sowie auf Basis der von der Chipkarte ausgelesenen Chipkartennummer und Kundenkontonummer eine auf die konkrete Überweisung bezogene sechsstellige TAN, die im Display des TAN-Generators mit der Bezeichnung „TAN“ angezeigt wird und die im entsprechenden Feld auf der Website des Online-Bankings eingegeben werden muss. Eine Möglichkeit, Zahlen in den TAN-Generator einzugeben, ohne dass die Erzeugung einer TAN erkennbar ist, gibt es wegen der Anzeige „TAN“ auf dem Display des TAN-Generators nicht.
Die ihr abverlangte Eingabe einer Empfänger-IBAN und eines Überweisungsbetrages von 36.666,00 EUR ließ sich mit der angeblichen Identifizierung für die Installation eines neuen Sicherheitsprogramms nicht vereinbaren. Schlichtweg unverständlich ist, dass die Klägerin zu 2. das Geschehen nicht einmal im Nachhinein reflektierte und sich am Folgetag auf ein erneutes Telefonat einließ und weitere zwei TAN generierte und weitergab, wobei sie beim zweiten Mal wieder eine Empfänger-IBAN und einen Überweisungsbetrag, diesmal 35.555,00 EUR eingab. Dass sich am Kontostand nach dem ersten Anruf nichts geändert hatte, durfte sie nicht beruhigen. Von der Klägerin war in dieser Situation zu erwarten, dass sie sich vor einem erneuten Telefonat am Folgetag zu der angeblichen Installation eines neuen Identifizierungsverfahrens selbst bei der Beklagten erkundigt oder auf sonstige Weise vergewissert, dass es sich bei der Anruferin tatsächlich um eine Mitarbeiterin der Beklagten handelt.
Die Klägerin zu 2. hat mithin in der von den üblichen Vorgängen abweichenden Situation ganz naheliegende Überlegungen nicht angestellt und jegliche Vorsicht vermissen lassen. Ihr hätte sich wie jedem anderen Zahlungsdienstnutzer in dieser Situation aufdrängen müssen, dass sie möglicherweise nicht mit der Beklagten, sondern einem Dritten kommuniziert. Bei der insoweit erforderlichen Gesamtbetrachtung sämtlicher Umstände stellt sich das Handeln der Klägerin zu 2. als objektiv schwerwiegender und subjektiv nicht entschuldbarer Verstoß gegen die Anforderungen der im Verkehr erforderlichen Sorgfalt dar. Die Pflichtverletzung der Klägerin zu 2. muss sich auch der Kläger zurechnen lassen. Aufgrund der vereinbarten Einzelverfügungsbefugnis war die Klägerin nicht nur befugt, Zahlungsvorgänge im Online-Banking mit Wirkung für und gegen den Kläger auszuführen. Auch die Verletzungen vertraglichen Sorgfaltspflichten gegenüber der Beklagten wirken gegen den Kläger.
c)
Der Schadensersatzanspruch der Beklagten ist entgegen der Ansicht der Kläger nicht nach § 675v Abs. 4 Nr. 1 BGB ausgeschlossen. Danach ist der Zahler seinem Zahlungsdienstleister nicht zum Schadensersatz verpflichtet, wenn der Zahlungsdienstleister des Zahlers eine starke Kundenauthentifizierung im Sinne des § 1 Abs. 24 ZAG nicht verlangt. Die zivilrechtliche Haftungsbefreiung nach § 675v Abs. 4 BGB ist akzessorisch zum Aufsichtsrecht dahingehend auszulegen, dass der Zahlungsdienstleister eine starke Kundenauthentifizierung im Sinne des § 1 Abs. 24 ZAG in den Fällen verlangen muss, in denen er gem. § 55 ZAG hierzu verpflichtet ist, und andernfalls mit seinem Schadensersatzanspruch ausgeschlossen ist (Staudinger/Omlor (2020) BGB § 675v, Rn. 36). Zweck dieser Regelung ist, die Zahlungsdienstleister zu veranlassen, eine möglichst sichere Kundenauthentifizierung technisch einzuführen und bei sämtlichen Zahlungsvorgängen mit einem Zahlungsinstrument zur Verfügung zu stellen. Deswegen hängt die gesamte Haftung des Kunden in § 675v BGB davon ab, dass die das konkrete Online-Banking-Verfahren zur Verfügung stellende Bank dabei eine starke Kundenauthentifizierung verwendet, deren Nutzung bei dem im Streit stehenden Zahlungsvorgang verlangt und die Elemente der starken Kundenauthentifizierung vor Freigabe des konkreten Zahlungsvorgangs auch tatsächlich korrekt überprüft. Das Kreditinstitut muss folglich alles getan haben, damit eine starke Kundenauthentifizierung bei dem fraglichen Zahlungsvorgang tatsächlich angewendet werden konnte und erfolgreich angewendet worden ist (Ellenberger/Bunte BankR-HdB, § 33. Bankgeschäfte online Rn. 386, beck-online).
Die Kläger meinen, die Beklagte habe den Missbrauch pflichtwidrig ermöglicht, weil sie zum damaligen Zeitpunkt noch nicht bereits bei der Anmeldung im Online-Banking mit einem Fremdgerät die starke Kundenauthentifizierung verlangte. Dabei hätten die Täter Kenntnis von sensiblen Daten erlangt, mit deren Hilfe sie das Misstrauen der Klägerin zu 2. überwanden.
Nach § 55 Abs. 1 ZAG ist der Zahlungsdienstleister verpflichtet, eine starke Kundenauthentifizierung zu verlangen, wenn der Zahler entweder online auf sein Zahlungskonto zugreift (Nr. 1) oder einen elektronischen Zahlungsvorgang auslöst (Nr. 2) oder über einen Fernzugang eine Handlung vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauch beinhaltet (Nr. 3). Die EU-Kommission hat in Form der delegierten Verordnung (EU) 2018/389 über technische Regulierungsstandards für eine starke Kundenauthentifizierung die technischen Vorgaben an die Authentifizierung im Allgemeinen und an eine starke Kundenauthentifizierung im Besonderen vereinheitlicht. Diese Verordnung ist seit dem 14. September 2019 unmittelbar geltendes Recht (Art. 38 Delegierte VO (EU) 2018/389). Art. 10 der Verordnung lautet:
Zahlungsdienstleister dürfen unter Einhaltung der in Artikel 2 sowie in Absatz 2 des vorliegenden Artikels festgelegten Anforderungen davon absehen, eine starke Kundenauthentifizierung zu verlangen, wenn ein Zahlungsdienstnutzer nur auf eine oder beide der folgenden Informationen online zugreifen kann, ohne dass dabei sensible Zahlungsdaten offengelegt werden:
a)
Kontostand eines oder mehrerer bezeichneter Zahlungskonten;
b)
Zahlungsvorgänge, die in den vergangenen 90 Tagen über ein oder mehrere bezeichnete Zahlungskonten ausgeführt wurden.
(2)
Für die Zwecke des Absatzes 1 dürfen Zahlungsdienstleister nicht von der Durchführung einer starken Kundenauthentifizierung ausgenommen werden, wenn eine der folgenden Bedingungen erfüllt ist:
a)
Der Zahlungsdienstnutzer greift zum ersten Mal online auf die in Absatz 1 genannten Informationen zu.
b)
Mehr als 90 Tage sind verstrichen, seitdem der Zahlungsdienstnutzer letztmals auf die in Absatz 1 Buchstabe b genannten Informationen online zugegriffen hat und eine starke Kundenauthentifizierung verlangt wurde.
Die Beklagte beruft sich hier auf diese Ausnahmevorschrift. Sie behauptet, die Täter hätten nach der Anmeldung im Online-Banking nur die Kontobewegungen, aber keine sensiblen Daten wie das Geburtsdatum, die Telefonnummer des Kunden und die Kartennummer einsehen können.
Dies bedurfte hier keiner weiteren Aufklärung, weil sich jedenfalls nicht ausschließen lässt, dass die Dritten die persönlichen Daten der Kläger, nämlich das Geburtsdatum, die Telefonnummer und die Kartennummer nicht bereits vorher durch einen Phishingangriff erlangt haben. Insbesondere liegt es nahe, dass die Klägerin zu 2. entgegen ihrer Angaben in dem sich am 2. Juli 2022 geöffneten Fenster die abgeforderten persönlichen Angaben getätigt hat, weil unmittelbar darauf der erste Anruf der Täter erfolgte.
Im Übrigen ergibt sich aus dem Gesamtzusammenhang der gesetzlichen Regelung, dass der Haftungsausschluss nach § 675v Abs. 4 Satz 1 Nr. 1 BGB nur greift, wenn der Zahlungsdienstleister bei dem konkreten Zahlungsvorgang keine starke Kundenauthentifizierung verlangt hat, denn die §§ 675u 675v BGB regeln die Haftung im Falle eines nicht autorisierten Zahlungsvorgangs. Dementsprechend setzt die Haftungsverlagerung nach § 675v Abs. 4 Satz 1 Nr. 1 BGB voraus, dass bei dem konkreten Zahlungsvorgang keine starke Kundenauthentifizierung verlangt wurde (im Ergebnis ebenso: Hanseatisches Oberlandesgericht in Bremen, Beschluss vom 15. April 2024 – 1 U 47/23, Rn. 32, juris).
Hinsichtlich der Zahlungsvorgänge hat die Beklagte die starke Kundenauthentifizierung verlangt.
Eine starke Kundenauthentifizierung ist gemäß § 1 Abs. 24 ZAG eine Authentifizierung, die so ausgestaltet ist, dass die Vertraulichkeit der Authentifizierungsdaten geschützt ist und die unter Heranziehung von mindestens zwei der folgenden, in dem Sinne voneinander unabhängigen Elementen geschieht, dass die Nichterfüllung eines Kriteriums die Zuverlässigkeit der anderen nicht in Frage stellt: 1. Kategorie Wissen, also etwas, das nur der Nutzer weiß, 2. Kategorie Besitz, also etwas, das nur der Nutzer besitzt oder 3. Kategorie Inhärenz, also etwas, das der Nutzer ist. Bei elektronischen Fernzahlungsvorgängen, wie vorliegend dem Online-Banking, fordert § 55 Abs. 2 ZAG zusätzlich zu der starken Kundenauthentifizierung im Sinne von § 1 Abs. 24 ein dynamisches Element, über welches der Zahlungsvorgang mit einem konkreten Betrag und dem spezifischen Empfänger verknüpft wird.
Art. 5 der delegierten Verordnung (EU) 2018/389 über technische Regulierungsstandards für eine starke Kundenauthentifizierung gibt für Fernzahlungsvorgänge vor, dass dem Zahler zunächst Zahlungsbetrag und Zahlungsempfänger anzuzeigen sind. Geschuldet ist also eine Visualisierung. Der generierte Authentifizierungscode (z.B. TAN), dessen Einmaligkeit bereits aus Art. 4 Abs. 1 Satz 2 der Verordnung folgt, muss sodann speziell diesem Betrag und diesem Empfänger zuzuordnen sein, was vom Zahlungsdienstleister nach der Eingabe/Übermittlung durch den Zahler noch einmal zu überprüfen ist. Nachträgliche Änderungen von Betrag oder Empfänger müssen zur Ungültigkeit des Authentifizierungscodes führen. Vertraulichkeit, Authentizität und Integrität der verarbeiteten Zahlungsdaten sind dabei gemäß Art. 5 Abs. 2 der Verordnung während des gesamten Vorgangs sicherzustellen.
Dieser dynamische Faktor ist in der Regel bereits durch die im Online-Banking übliche TAN realisiert, sofern diese an den Betrag und den Zahlungsempfänger gebunden ist. Dabei wird die Transaktionsnummer erst im Rahmen der Auftragserteilung dynamisch erzeugt, wobei Empfängerdaten und Zahlungsbetrag in den Berechnungsalgorithmus einfließen (vgl. Begr. RegE, BT-Drs. 18/11495, 140; Casper/Terlau/Zahrte, 3. Aufl. 2023, ZAG § 55 Rn. 58; Zahrte NJW 2018, 337, 340). Das hier bei den streitgegenständlichen Überweisungen zur Anwendung gelangte chipTAN-Verfahren ist im Ausgangspunkt ein Sicherungsverfahren, das nach bislang bekannt gewordenen Erkenntnissen grundsätzlich (noch) als unüberwindbar gilt (vgl. BGH, Urteil vom 26. Januar 2016 – XI ZR 91/14, Rn. 35; Maihold, in: Ellenberger/Bunte, Bankrechtshandbuch, 6. Aufl. 2022, § 33 Rn. 37 f.). Dies liegt darin begründet, dass bei Verwendung einer dynamischen TAN ein hohes Sicherheitsniveau durch die sichere Abschottung eines spezialisierten Chipkartenlesers (TAN-Generators) von dem möglicherweise kompromittierten Rechner erreicht wird, so dass es sich weitgehend ausschließen lässt, dass ein Angreifer durch Infizierung allein des vom Nutzer für das Online-Banking eingesetzten Geräts (Desktop-Rechner, Notebook, Tablet etc.) einen Zahlungsauftrag verfälschen oder gar auslösen kann, ohne dass dies spätestens bei Kontrolle der empfangenen TAN durch Kunde bzw. Bank auffällt (Maihold, in: Ellenberger/Bunte, Bankrechtshandbuch, 6. Aufl. 2022, § 33 Rn. 37 f.; ausführlich zum ChipTAN-Verfahren: Hoeren/Kairies, ZBB 2015, 35 ff.).
Zahlungsbetrag und Zahlungsempfänger müssen dem Zahler nicht in allen Phasen der Authentifizierung angezeigt werden. Zwar verlangt Art. 5 Abs. 1 lit. a) der VO (EU) 2018/389, dass Zahlungsbetrag und Zahlungsempfänger dem Zahler angezeigt werden. Allerdings wird kein Zeitpunkt vorgegeben. Art. 5 Abs. 1 lit. b) bestimmt, dass der generierte Authentifizierungscode speziell für den Zahlungsbetrag und den Zahlungsempfänger gilt, denen der Zahler beim Auslösen des Vorgangs zugestimmt hat. Demnach sind Zahlungsbetrag und Zahlungsempfänger zum Zeitpunkt des Auslösens des Vorgangs anzuzeigen. Bei Verwendung eines TAN-Generators erfolgt dies mangels Verbindung des Generators mit dem Internet jedenfalls stets im Online-Banking. Eine Bewertung folgt auch nicht aus Art. 5 Abs. 2 VO (EU) 2018/389. Danach sind Vertraulichkeit, Authentizität und Integrität von Zahlungsbetrag und Zahlungsempfänger in allen Phasen der Authentifizierung zu gewährleisten, Art. 5 Abs. 2 lit. a). Da Zahlungsbetrag und Zahlungsempfänger unter lit. a) genannt sind, gehören sie nicht zu den Angaben, die nach Art. 5 Abs. 2 lit. b) dem Zahler in allen Phasen der Authentifizierung, einschließlich der Generierung, Übertragung und Verwendung des Authentifizierungscodes, angezeigt werden müssen. Dies wird gestützt durch Erwägungsgrund 3 der VO (EU) 2018/389: Da elektronische Fernzahlungsvorgänge einem höheren Betrugsrisiko ausgesetzt sind, ist es notwendig, bei solchen Vorgängen zusätzliche Anforderungen für eine starke Kundenauthentifizierung einzuführen; diese sollten sicherstellen, dass die Elemente den Zahlungsvorgang dynamisch mit einem Betrag und einem Zahlungsempfänger verknüpfen, die vom Zahler beim Auslösen des Zahlungsvorgangs angegeben werden. Die Auslösung des Zahlungsvorganges erfolgt im Online-Banking und nicht im TAN-Generator.
d)
Schließlich ist die Haftung der Kläger gemäß § 675v Abs. 3 BGB nicht auf das zuletzt schriftlich vereinbarte Limit von 3.000 EUR begrenzt. Zwar lagen die streitgegenständliche Echtzeit-Überweisung über dem ursprünglich zwischen den Parteien am 3. Juni 2016 vereinbarten Tageslimit. Die Änderungen des Tageslimits wurden durch die Klägerin zu 2. auch nicht durch die Herausgabe der transaktionsbezogenen TAN autorisiert. Denn auch insoweit gilt, dass mit der Authentifizierung lediglich die Grund- bzw. Mindestvoraussetzungen für die Anwendung eines Anscheinsbeweises für eine ordnungsgemäße Autorisierung des Zahlungsvorganges durch den Kläger feststehen. Der Senat ist auch insoweit davon überzeugt, dass die Klägerin zu 2. die Änderung des Tageslimits nicht selbst im Online-Banking ausgelöst, sondern die hierfür erforderlichen TAN im Glauben erzeugt und an die Anruferin weitergegeben hat, eine S. Bank Mitarbeiterin benötige die Daten zur „Identifizierung für ein neues Sicherheitsprogramm“. Gleichwohl besteht insoweit jedenfalls ein Schadensersatzanspruch der Beklagten gegen die Kläger aus § 675v Abs. 3 Nr. 2 BGB. Denn auch bezogen auf die Änderung des Tageslimits hat die Klägerin zu 2. grob fahrlässig gegen ihre Sorgfaltspflichten für das Online-Banking verstoßen, indem sie von ihr am TAN-Generator erzeugte TAN telefonisch weitergegeben hat.
e)
Die Beklagte muss sich ein anspruchsminderndes Mitverschulden nach § 254 BGB nicht anrechnen lassen.
Beim Online-Banking kann ein Mitverschulden der Bank auch aus der mangelnden Systemsicherheit resultieren. Sie muss ein technisch sicheres System nach dem jeweils aktuellen Stand der Technik bereitstellen (Herresthal in: Langenbucher/ Bliesener/Spindler, Bankrechts-Kommentar, 3. Aufl., § 675v BGB Rz. 72; Zetzsche in: Münchener Kommentar zum BGB, 8. Aufl., § 675v BGB Rz. 58; Köbrich, VuR 2015, 9 [13]).
Unterstellt, die Täter hätten aufgrund einer pflichtwidrig nicht verlangten starken Kundenauthentifizierung bei der ersten Anmeldung im Online-Banking das Geburtsdatum der Klägerin zu 2., ihre Telefonnummer und die Kartennummer erfahren und Kenntnis von den letzten Kontobewegungen erlangt, so hat dies es den Tätern zwar ermöglicht, den Anschein zu erwecken, ein Bankmitarbeiter rufe sie an. Dies hätte aber nicht zu dem hier geltend gemachten Schaden führen müssen, weil von der Klägerin zu 2., wie dargelegt, zu erwarten war, dass sie diesen Angriff abwehrt. Der Verursachungsbeitrag der Beklagten tritt hinter den maßgeblichen und schwerwiegenden Verursachungsbeitrag der Kläger zurück.
Der Beklagten ist nicht vorzuwerfen, dass das System, wenn im Falle einer Transaktion keine optische Verbindung hergestellt wird, automatisch auf das manuelle chipTAN-Verfahren umstellt, weil diese Umstellung allein im Interesse der Kunden erfolgt, damit dieser bei Störungen des optischen chip-TAN-Verfahrens den Zahlungsvorgang im manuellen chip-TAN-Verfahren autorisieren kann.
3.
Soweit die Kläger mit der Anschlussberufung den ursprünglichen Hauptantrag in voller Höhe sowie die Nebenforderungen weiterverfolgt, ist die Berufung aus den gleichen Gründen als unbegründet zurückzuweisen.
III.
Die prozessualen Nebenentscheidungen beruhen auf den §§ 3, 91, 708 Nr. 10, 711 ZPO, 39 Abs. 1, 43 Abs. 1, 47 Abs. 1, 48 Abs. 1 GKG.
Die Voraussetzungen der Zulassung der Revision (§ 543 Abs. 2 ZPO) sind nicht erfüllt.
Contact for English speaking clients
