Haftung bei einem Online-Banking-Betrug: Wer zahlt nach einer TAN-Freigabe?

Grob fahrlässiges Handeln Bankkunde bei Freigabe von Überweisungsaufträgen per PhotoTAN-App

Die Berufung der Klägerin vom 27.11.2024 gegen das am 31.10.2024 verkündete Urteil des Landgerichts Frankfurt am Main – Aktenzeichen: 2-10 O 242/24 – wird zurückgewiesen.

Die Kosten des Berufungsverfahrens hat die Klägerin zu tragen.

Das angefochtene Urteil des Landgerichts Frankfurt am Main ist ohne Sicherheitsleistung vorläufig vollstreckbar.

Der Streitwert für das Berufungsverfahren wird auf 14.151,75 € festgesetzt.

Gründe

I.

Die Zurückweisung der Berufung durch Beschluss beruht auf § 522 Abs. 2 Satz 1 ZPO. Die Berufung hat aus den Gründen des Hinweisbeschlusses vom 29.04.2025, auf die gemäß § 522 Abs. 2 Satz 3 ZPO Bezug genommen wird, offensichtlich keine Aussicht auf Erfolg. Darüber hinaus besitzt der Rechtsstreit keine grundsätzliche Bedeutung. Auch erfordert die Fortbildung des Rechts oder die Sicherung einer einheitlichen Rechtsprechung keine Entscheidung des Senats. Schließlich ist die Durchführung einer mündlichen Verhandlung nicht geboten; gegenteilige Gesichtspunkte enthält auch der Vortrag der Berufung nicht. Weiter wird auf die tatsächlichen Feststellungen im angefochtenen Urteil Bezug genommen (§ 522Abs. 2 Satz 4 ZPO).

Die Stellungnahme der Klägerin vom 02.07.2025 rechtfertigt keine vom Hinweisbeschluss abweichende Würdigung der Sach- und Rechtslage. Neue, für die Entscheidungsfindung relevante Aspekte werden nicht vorgetragen.

1. Sofern die Klägerin sich erneut darauf beruft, dass sie lediglich Rücküberweisungen bestätigt habe und somit keine autorisierten Zahlungsvorgänge vorlägen, so dass die Beklagte der Klägerin die Beträge gemäß § 675u Satz 2 BGB zu erstatten habe, so wiederholt sie damit nur ihren erstinstanzlichen und mit der Berufung vertieften Vortrag. Auch nach nochmaliger Prüfung der Sach- und Rechtslage hält der Senat jedoch an den Ausführungen im Hinweisbeschluss vom 29.04.2025 fest.

Ein Zahlungsvorgang ist nach § 675j Abs. 1 Satz 1 BGB gegenüber dem Zahler nur wirksam, wenn er diesem zugestimmt hat (Autorisierung). Die Klägerin hat unstreitig sämtliche Zahlungen mittels PhotoTAN-Verfahren freigegeben. Streitig ist lediglich der Hintergrund der Zahlungen.

Dem bereits erstinstanzlich vorgebrachten Beweisangebot auf Einholung eines Sachverständigengutachtens zu der Frage, ob eine Manipulation der seitens der Beklagten vorgelegten Screenshots (Anlage B 5.2.) möglich sei, war nicht nachzugehen. Die pauschale Aussage der Klägerin, dass die Freigabe Aufforderungen der vermeintlichen Rückbuchungen am 24.02.2024 nicht so ausgesehen hätten, reicht dafür nicht aus. Insbesondere hat die Klägerin in ihrer persönlichen Anhörung vor dem Landgericht diese Aussage relativiert. Sie gab an, dass sie nicht mehr genau wisse, was ihr bei den streitgegenständlichen Vorfällen genau angezeigt worden sei. Demgegenüber hat die Beklagte – worauf der Senat bereits in dem Beschluss vom 29.04.2025 hingewiesen hat – substantiiert dargelegt, wie die Freigabe im vorliegenden Fall technisch ausgestaltet war.

2. Entgegen den Ausführungen der Berufung ist auch der Sachverhalt, welcher dem Urteil des Landgerichts Berlin vom 13.12.2023 – 10 O 21/23 – zugrunde lag, mit dem hier streitgegenständlichen Sachverhalt nicht vergleichbar. Im dortigen Fall war streitig, ob der Kläger die Abbuchungen autorisiert hatte. Auch wurden die Zahlungsaufträge nicht durch ein Endgerät des Klägers, sondern durch ein kasachisches Endgerät im Ausland freigeben, wo der Kläger sich nachweislich nicht befand. Hier dagegen ist unstreitig, dass die Klägerin die Zahlungen von ihrem Gerät freigegeben hatte. Streitig ist lediglich der Inhalt der Freigabe. Diesbezüglich wird auf die Ausführungen in dem Hinweisbeschluss vom 29.04.2025 verwiesen.

3. Sollte man dagegen nicht von einer Autorisierung der Zahlungen durch die Klägerin ausgehen, so stünden der Beklagten jedenfalls Gegenansprüche aus § 675v Abs. 3 Nr. 2 lit. a BGB zu, da die Klägerin jedenfalls grob fahrlässig gehandelt hat. Wie der Senat bereits im Hinweisbeschluss vom 29.04.2025 detailliert ausführte, ist sowohl nach dem Vortrag der Beklagten, als auch nach dem eigenen Vortrag der Klägerin von einem grob fahrlässigen Handeln auszugehen. Zur Vermeidung von Wiederholungen wird zunächst auf die dortigen Ausführungen verwiesen.

Auch unter Berücksichtigung des Vortrages der Klägerin im Schriftsatz vom 02.07.2025 bleibt der Senat bei dieser Beurteilung. Zwar mag es zutreffend sein, dass die Klägerin auf eine geschickte Masche von Betrügern hereingefallen ist, dies allein lässt jedoch den ihr vorwerfbaren Sorgfaltspflichtverstoß nicht entfallen.

4. Sofern sich die Klägerin erneut darauf beruft, dass die IT der Beklagten in diesem Zusammenhang gehackt worden sei und ein Datenleck bestanden habe, so beruht dieser Vortrag weiterhin allein auf Vermutungen. Dazu hat der Senat ebenfalls bereits im Hinweisbeschluss ausführlich Stellung genommen. Der Vortrag der Klägerin, dass der Senat erstmals in diesem Hinweisbeschluss darauf hingewiesen habe, dass die Klägerin dem vermeintlichen Bankmitarbeiter bereits vor dem Erhalt der „Legitimations-SMS“ um 19:09 Uhr Zugriff zu ihrem Online-Banking Konto verschafft habe, verhilft der Berufung ebenfalls nicht zum Erfolg. Dieser Sachvortrag ergibt sich bereits aus der Klageerwiderung vom 05.09.2024. Dort hatte die Beklagte substantiiert vorgetragen, dass der Login in den persönlichen Bereich um 19:06 Uhr erfolgte und mittels PhotoTAN über die PhotoTAN-App mit der Geräte ID HTBTP freigegeben worden sei. Dies hat die Klägerin mit Schreiben vom 02.10.2024 bestritten und dort bereits vorgetragen, dass sie erst nach Erhalt der Legitimations-SMS die vermeintlichen Stornierungen über die PhotoTAN-App freigegeben habe. Als Beweis dieser streitigen Tatsache hat sie lediglich ihre Parteivernehmung und die Nachweise der SMS und Anrufe angeboten.

Das nunmehr im Schriftsatz vom 02.07.2025 zum Beweis der Tatsache, dass die Klägerin erst nach Erhalt der Legitimations-SMS tätig geworden sei, erfolgte Beweisangebot auf Vernehmung des Zeugen B ist verspätet, nach §§ 530, 531 Abs. 2 ZPO. Der Vortrag war bereits in der ersten Instanz streitig, so dass ein entsprechendes Beweisangebot dort hätte erfolgen müssen. Allein der Umstand, dass sich die Klägerin zum Zeitpunkt der erstinstanzlichen Entscheidung in einem Zerwürfnis mit dem Zeugen befand, lässt die Nachlässigkeit in Bezug auf die verspätete Benennung nicht entfallen.

Im Übrigen ist auch bei Wahrunterstellung des diesbezüglichen klägerischen Vortrages aufgrund der bereits im Hinweisbeschluss dargestellten weiteren Umstände von einer groben Fahrlässigkeit der Klägerin in diesem Zusammenhang auszugehen. Wie der Senat bereits ausführte, ließ die „Legitimations-SMS“ die grobe Fahrlässigkeit der Klägerin für die nach deren Erhalt durchgeführten Freigaben mittels Photo-TAN nicht entfallen. Daher ist es nicht streitentscheidend, ob die Klägerin vor oder nach Erhalt dieser SMS erstmals tätig wurde.

5. Die Ausführungen der Klägerin zu der nicht vorliegenden allgemeinen Bekanntheit von Call-ID-Spoofing führen ebenfalls nicht zu einem abweichenden Ergebnis. Selbst wenn der Klägerin das konkrete Konzept des Call-ID-Spoofing nicht bekannt war, so ist doch gerichtsbekannt, dass immer wieder vor betrügerischen Anrufen und Nachrichten im Zusammenhang mit Bankgeschäften gewarnt wird. Die Beklagte selbst hat ihre Kunden ebenfalls gewarnt. Dabei kommt dem Vorwurf der Klägerin, die Beklagte habe sie erst nach dem streitgegenständlichen Vorfall vor solchen betrügerischen Handlungen gewarnt, keine entscheidende Bedeutung zu. Eine (unterstellt) fehlende individuelle Warnung entbindet den Bankkunden nämlich nicht von seiner Pflicht, alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale (und entsprechend auch Authentifizierungselemente wie eine TAN) vor unbefugtem Zugriff zu schützen (§ 675l Abs. 1 Satz 1 BGB, s.a. Ziff. 2.3, 7.1 und 7.3 der Bedingungen der Beklagten, Anlage B2.2).

6. Der weitere Vortrag der Klägerin zu einer möglichen Manipulation der Anzeige im Online-Banking erfolgte lediglich ins Blaue hinein. Allein die Tatsache, dass es vergleichbare Fälle bei anderen Banken gegeben haben mag, entbindet die Klägerin nicht von einem konkreten Tatsachenvortrag im hiesigen Fall. Es wird zur Vermeidung von Wiederholungen auf die Ausführungen des Senats im Beschluss vom 29.04.2025 verwiesen.

7. Ein Mitverschulden der Beklagten ist im vorliegenden Fall nicht ersichtlich. Die Klägerin hat lediglich pauschal und unsubstantiiert behauptet, das Online-Banking der Beklagten erfülle nicht die erforderlichen Sicherheitsstandards. Ferner mussten auch die konkreten Kontobewegungen auf dem Konto der Klägerin am 24.02.2024 die Beklagte nicht zu einem Handeln veranlassen. Zwar lagen mehrere Überweisungen in kurzer Zeit an den gleichen Empfänger vor und es wurde ein Dispolimit erhöht. Dies allein begründet jedoch keinen ausreichenden Verdacht. Es lagen weder außergewöhnlich hohe Zahlungen, noch Zahlungen aus dem oder in das Ausland vor. Ganz im Gegenteil wurden die Zahlungen von dem Endgerät der Klägerin freigegeben. Tatsächlich ist lediglich der Inhalt der Transaktionen und der Hintergrund zwischen den Parteien streitig, nicht jedoch das tatsächliche Handeln der Klägerin mittels Photo-TAN. Insofern besteht keine Vergleichbarkeit mit den seitens der Klägerin aufgeführten Fällen. Insbesondere ist daher auch eine Vorlage an den EuGH nicht angezeigt.

8. Die Kostenentscheidung beruht auf § 97 Abs. 1 ZPO. Die Entscheidung zur vorläufigen Vollstreckbarkeit folgt aus §§ 708 Nr. 10 S. 2, 713 ZPO.

Die Festsetzung des Streitwertes erfolgt gemäß §§ 47, 63 Abs. 2 GKG, § 3 ZPO.

—

In dem Rechtsstreit (…)

1. Die Parteien werden darauf hingewiesen, dass der Senat beabsichtigt, die Berufung der Klägerin gegen das am 31.10.2024 verkündete Urteil des Landgerichts Frankfurt am Main, Az.: 2-10 O 242/24, durch Beschluss gemäß § 522 Abs. 2 ZPO zurückzuweisen.

2. Der Senat beabsichtigt, den Wert des Berufungsverfahrens auf 14.151,75 Euro festzusetzen.

3. Es besteht Gelegenheit zur Stellungnahme binnen 3 Wochen.

Gründe

I.

Die Klägerin, die bei der auf die Beklagte verschmolzenen und fortgeführten X ein Konto unterhält, macht dieser gegenüber Erstattungsansprüche in Höhe von 14.151,75 Euro geltend.

Sie stützt sich darauf, dass ein Betrüger, der sich ihr gegenüber als Mitarbeiter der Beklagten ausgegeben habe, sie während eines am Samstag, den 24.02.2024, um 19:03 Uhr begonnenen und 14 Minuten andauernden Telefonats dazu gebracht habe, mehrere Überweisungen zwischen 1.500 und 1.700 Euro über die PhotoTAN-App freizugeben, indem er ihr vorgespiegelt habe, sie autorisiere lediglich die Stornierung bereits betrügerisch veranlasster Überweisungen.

Bei der Beklagten ist für diesen Tag erstmals ein Login in den persönlichen Bereich der Klägerin auf der Internetseite der Beklagten (Online-Banking der Klägerin) um 19:06:50 Uhr registriert, der über die Photo-TAN-App freigegeben wurde.

Die Klägerin erhielt um 19:09 Uhr eine SMS, in der es heißt: „Sehr geehrte Frau A, folgen Sie den Anweisungen des Beraters um alle offenen Aufträge ordnungsgemäß zu stornieren. Ihre X“.

Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf die tatbestandlichen Feststellungen des landgerichtlichen Urteils Bezug genommen (§ 540 Abs. 1 Nr. 1 ZPO).

Das Landgericht hat die Klage mit Urteil vom 31.10.2024 – der Klägerin am selben Tag zugestellt – abgewiesen. Zur Begründung hat es sich darauf gestützt, dass die Klägerin gegen die Beklagte keinen Anspruch auf Zahlung aus § 675u Satz 2 BGB habe, weil die Beklagte einem solchen Anspruch einen Anspruch in gleicher Höhe gemäß § 675v Abs. 3 Nr. 2 BGB im Wege der dolo-agit-Einrede nach § 242 BGB entgegenhalten könne. Die Klägerin habe grob fahrlässig gehandelt. Damit entfalle ihre Haftungsfreistellung nach § 675u BGB. Wesentlich sei, dass die Klägerin die TAN-Anzeigen in der App nicht gelesen, die TANs aber dennoch freigegeben habe. Soweit sie bestreite, dass in der App der Umstand der Überweisung dargestellt gewesen sei, sei dies unbeachtlich, zumal die Beklagte darauf verwiesen habe, dass dies ausgeschlossen sei und die Klägerin auch nicht habe erklären können, was ihr angezeigt worden sei. Soweit die Klägerin darauf verweise, dass der Betrüger unter der ihr bekannten Nummer der Beklagten angerufen und sich entsprechend auch durch eine vermeintlich von der Beklagten stammende SMS authentifiziert habe, sei als allgemein bekannt zu berücksichtigen, dass technische Möglichkeiten bestehen, um die auf dem Telefondisplay angezeigte Anrufernummer zu fälschen. Zudem warnten Banken gerichtsbekannt vor betrügerischen Anrufen.

Die Klägerin hat am 26.11.2024 Berufung gegen das Urteil eingelegt, und diese binnen verlängerter Frist am 30.01.2025 begründet. Sie wiederholt und vertieft ihr erstinstanzliches Vorbringen. Sie rügt, dass das Landgericht das Fehlen einer Autorisierung der Abbuchungen und den Sachvortrag zu den angezeigten Inhalten in der App während der Telefonate nicht berücksichtigt habe. Die Klägerin habe nur Rücküberweisungen bestätigt. Sie sei auch nicht in ihrem Online-Banking eingeloggt gewesen. Das Landgericht habe dem Vorwurf des Datenlecks bei der Beklagten, das auch andere (nicht näher bezeichnete) Kunden der Beklagten betroffen habe, nachgehen müssen. Die Täter wären ohne ein solches gar nicht an die Telefonnummer der Klägerin gelangt, zumal sie ihre Daten nicht anderweitig herausgegeben habe. Die Klägerin sei überrumpelt worden. Für sie habe sich aber auch alles als plausibel dargestellt. Die Beklagte müsse ihre Kunden durch obligatorisch zu lesende Nachrichten vor Betrug warnen. Sie hätte bei einer Transaktionsüberwachung den Betrug umgehend entdecken können. Die Zahlungen seien – ausgehend von dem bisherigen Buchungsverlauf der Häufigkeit und Höhe nach auffällig.

Die Klägerin beantragt, unter Abänderung des am 31.10.2024 verkündeten und am 31.10.2024 zugestellten Urteils des Landgerichts Frankfurt am Main, Az. 2-10 O 242/24, die Beklagte wie folgt zu verurteilen:

1. an die Klägerin 14.151,75 Euro nebst Zinsen hieraus in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz p.a. seit dem 25.02.2024 zu zahlen,

2. die Klägerin von etwaigen weiteren Gebühren und Kosten im Zusammenhang mit den fehlerhaften Transaktionen freizustellen,

3. die Klägerin von außergerichtlich entstandenen Rechtsanwaltskosten in Höhe von 1.305,43 Euro freizustellen,

hilfsweise beantragt die Klägerin die Zurückverweisung des Rechtsstreits an das Gericht des ersten Rechtszuges und höchst-hilfsweise die Zulassung der Revision.

Die Beklagte beantragt, die Berufung zurückzuweisen.

Die Beklagte verteidigt das angegriffene Urteil. Sie ist – unter Wiederholung und Vertiefung ihres erstinstanzlichen Vorbringens – der Ansicht, es sei von einer Autorisierung der Überweisungen auszugehen, weil die Klägerin diese freigegeben habe. Jedenfalls aber habe die Klägerin sich grob fahrlässig verhalten. Sie sei vielfältig durch die Beklagte gewarnt worden. Entgegen ihrer Behauptung sei für sie auch erkennbar gewesen, dass es sich um Überweisungen gehandelt habe, zumal die mit der PhotoTAN übermittelten Daten unabänderlich den konkreten Auftrag anzeigten. Rücküberweisungsaufträge existierten bei der Beklagten nicht. Wenn der Anrufer – wie erstinstanzlich behauptet – von einer Überweisung der Klägerin an die Landeshauptstadt Stadt1 i.H.v. 315 Euro gewusst habe, hätte dies den Ursprung in einer Ermöglichung eines Logins in deren Online-Banking durch die Klägerin. Entsprechend verhalte es sich, soweit sie nun in der Berufungsbegründung behaupte, der Anrufer habe sogar letzte Kontobewegungen nennen können. Die Behauptung eines Datenlecks oder auch betrügerisch agierender Mitarbeiter bei der Beklagten sei ins Blaue hinein erhoben. Zu einer Echtzeitüberwachung der Konten ihrer Kunden sei die Beklagte nicht verpflichtet. Das von ihr implementierte Sicherheitssystem habe die hier streitgegenständlichen Überweisungen nicht als betrügerisch erkannt.

Wegen der weiteren Einzelheiten des Vorbringens der Parteien im Berufungsrechtszug wird auf die Berufungsbegründung vom 30.01.2025 (Bl. 25 ff. E-Akte) und die Berufungserwiderung vom 14.02.2025 (Bl. 57 ff. E-Akte) Bezug genommen.

II.

Die Voraussetzungen für ein Vorgehen nach § 522 Abs. 2 S. 1 ZPO liegen vor, da die zulässige Berufung der Klägerin nach derzeitiger Aktenlage offensichtlich keine Aussicht auf Erfolg hat (§ 522 Abs. 2 S. 1 Nr. 1 ZPO). Zudem weist die Rechtssache keine grundsätzliche Bedeutung auf (§ 522 Abs. 2 S. 1 Nr. 2 ZPO), weicht der Senat doch nicht von Entscheidungen des BGH oder anderer Oberlandesgerichte ab. Da die entscheidenden Rechtsfragen geklärt sind, bedarf es auch keiner Entscheidung des Berufungsgerichts zur Fortbildung des Rechts bzw. der Sicherung einer einheitlichen Rechtsprechung (§ 522 Abs. 2 S. 1 Nr. 3 ZPO). Im Hinblick auf die Bedeutung der Sache für die Klägerin sowie unter Berücksichtigung des Umstands, dass der Senat sich nicht auf eine umfassend neue rechtliche Würdigung stützt, die in einem schriftlichen Verfahren nicht erörtert werden kann, ist eine mündliche Verhandlung nicht geboten (§ 522 Abs.2 S.1 Nr. 4 ZPO).

Die angefochtene Entscheidung beruht weder auf einer Rechtsverletzung im Sinne des § 546 ZPO, noch rechtfertigen die nach § 529 Abs. 1 ZPO zugrunde zu legenden Tatsachen eine andere Entscheidung (§ 513 Abs. 1 ZPO). Das Landgericht hat die Klage zu Recht abgewiesen.

1. Zutreffend hat das Landgericht einen Anspruch der Klägerin aus § 675u BGB verneint. Ein solcher Anspruch scheitert bereits daran, dass die Zahlungsvorgänge autorisiert wurden. Die Klägerin hat unstreitig sämtliche Zahlungen mittels PhotoTAN-Verfahren freigegeben. Soweit sie vorträgt, lediglich Rückbuchungen autorisiert haben zu wollen, steht dies einer Annahme der Autorisierung im Sinne von § 675j BGB im Lichte der §§ 133, 157 BGB nicht entgegen (vgl. zum Begriff der Autorisierung: Zahrte, in: MAH BankR, 3. Aufl. 2024, § 5 Rn. 49; zur Rechtsqualität: Jungmann, in: MüKo-BGB, 9. Aufl. 2023, § 675j Rn. 16 m.w.N.).

Die Beklagte hat nämlich substantiiert dargelegt, wie die Freigabe im PhotoTAN-Verfahren technisch ausgestaltet ist, und unter Vorlage von Screenshots nachgewiesen, dass Empfänger und Betrag bei der Freigabe angezeigt werden. Zudem hat sie schlüssig vorgetragen, dass eine abweichende Anzeige technisch ausgeschlossen sei. Dem ist die Klägerin nicht hinreichend entgegengetreten. Ihr pauschales Vorbringen, „etwas anderes“ sei angezeigt worden, blieb vage und genügt so nicht, den substantiierten Vortrag der Beklagten zu entkräften. Was genau angezeigt wurde, hat die Klägerin nicht dargelegt.

2. Ungeachtet dessen lägen aber – sollte man dies anders sehen – auch die Voraussetzungen eines Gegenanspruch der Beklagten aus § 675v Abs. 3 Nr. 2 Nr. 2 lit. a BGB vor.

a. Die Klägerin hat grob fahrlässig entgegen § 675l Abs. 1 S. 1 BGB gehandelt, indem sie auf Zuruf acht Überweisungsaufträge, die ihr über die PhotoTAN-App zur Freigabe vorgelegt wurden, autorisiert hat, ohne den Inhalt der jeweiligen Anzeigen sorgfältig zu prüfen.

Ein grob fahrlässiges Verhalten liegt sowohl bei Zugrundelegung des Beklagtenvortrags als auch ihres eigenen Vorbringens vor. Entweder wurden ihr – wie die Beklagte substantiiert dargelegt hat Überweisungen mit Empfängerdaten und IBAN angezeigt, oder aber die Darstellung entsprach nicht dem üblichen Ablauf. In beiden Fällen hätte die Klägerin Verdacht schöpfen und die Freigabe unterlassen müssen.

In ihrer informatorischen Anhörung vor dem Landgericht hat die Klägerin selbst erklärt, dass bei normalen Überweisungen die Daten angezeigt und geprüft werden müssten, sie aber nicht wisse, ob dies hier ebenfalls der Fall gewesen sei. Zwar hat die Klägerin die Darstellung der Anlage B5.1 pauschal bestritten, jedoch nicht ansatzweise konkretisiert, was ihr tatsächlich angezeigt wurde. Auch hätte sie spätestens dann misstrauisch werden müssen, wenn „etwas anderes“ oder gar nichts angezeigt worden wäre. Wenngleich es hierauf nicht mehr entscheidend ankommt, hätte erst recht hätte Anlass zur Vorsicht bestanden, weil im Systemausdruck der Beklagten vermerkt ist, dass während des Telefonats am 24.02.2024 um 19:14 Uhr eine Erhöhung des Dispokredits – und damit ein von der angeblichen Rückbuchung abweichender Vorgang – vorgenommen wurde.

Die Klägerin wäre in jedem einzelnen Fall verpflichtet gewesen, sich Gewissheit über den tatsächlichen Gegenstand der Freigabe zu verschaffen. Dass sie dies unterlassen hat, ergibt sich bereits aus ihrem eigenen Vortrag.

Hinzu kommen die besonderen Umstände des Telefonats: Der Anruf eines angeblichen Bankmitarbeiters an einem Samstagabend ist objektiv höchst ungewöhnlich, ebenso die Bitte um Mitwirkung bei angeblichen Rückbuchungen. Auch die ausdrückliche und ersichtlich unbegründete Aufforderung, sich während des Vorgangs nicht ins eigene Online-Banking einzuloggen, begründete erhebliches Misstrauen. Der Umstand, dass auf dem Display ihres Telefons eine bekannte Rufnummer der Beklagten erschien, rechtfertigt keine andere Bewertung. Die Klägerin vertraute der Rufnummer selbst nicht vollständig, da sie um eine weitere Legitimation bat. Dass sie sich daraufhin mit dem Erhalt einer SMS begnügte, ist indes nicht nachvollziehbar, und zwar aus zwei Gründen: Erstens erhielt die Klägerin die SMS erst in der vierten Minute des Gesprächs, als die erste Photo-TAN (für den Login) bereits ausgebracht war, zweitens war die SMS, wenn bereits Zweifel an der Echtheit der Rufnummer bestanden, ersichtlich ungeeignet, diese Zweifel auszuräumen. Diese hätte ebenso wie die Anrufernummer durch den Betrüger manipuliert oder initiiert werden können. Die Klägerin hätte erkennen müssen, dass eine SMS keinerlei sicheren Beleg für die Echtheit des Anrufs darstellt. Sowohl externe Betrüger als auch interne Täter – etwa ein tatsächlich bei der Bank beschäftigter, jedoch unlauter handelnder Mitarbeiter – hätte ggf. eine solche Nachricht veranlassen können. Die Authentizität der Kommunikation konnte damit gerade nicht zuverlässig bestätigt werden. Insoweit war, wie auch das Landgericht zutreffend ausgeführt hat, überdies als bekannt vorauszusetzen, dass sowohl Telefonnummern bei Anrufen als auch Absenderkennungen bei SMS technisch verfälscht werden können (vgl. OLG Frankfurt am Main, Urteil vom 6.12.2023 – 3 U 3/23, juris, Rn. 78 ff.).

Soweit die Klägerin darauf verweist, dass die Beklagte mit ihr auch anderweitig per SMS kommuniziert habe, rechtfertigt dies nichts anderes, zumal die von der Klägerin Bezug genommene Mitteilungen die Einrichtung eines Geräts betrifft und im Wesentlichen die Frage aufwirft, ob dies von dem Kunden veranlasst worden ist. Handlungsanweisungen ergeben sich daraus nicht.

Im Lichte dessen sind zahlreiche Verdachtsmomente zu attestieren, die die Klägerin übergangen hat.

Die Klägerin kann sich nicht darauf zurückziehen, vor Möglichkeiten des Betrugs unzureichend gewarnt worden zu sein. Dies unterstellt, entfiele eine grobe Fahrlässigkeit im Sinne von § 675v Abs. 3 Nr. 2 BGB hier nicht. Eine (unterstellt) fehlende individuelle Warnung entbindet den Bankkunden nämlich nicht von seiner Pflicht, alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale (und entsprechend auch Authentifizierungselemente wie eine TAN) vor unbefugtem Zugriff zu schützen (§ 675l Abs. 1 Satz 1 BGB, s.a. Ziff. 2.3, 7.1 und 7.3 der Bedingungen der Beklagten, Anlage B2.2).

Soweit die Klägerin darauf verweist, keine TAN weitergegeben zu haben, greift dies zu kurz. Sie hat auf telefonische Aufforderung hin Zahlungen mittels der biometrisch gesicherten PhotoTAN-App freigegeben. Auch dies stellt – da eine eigenständige Zahlungsanweisung ohne vorherigen Login der Klägerin in ihren persönlichen Bereich weder dargetan noch ersichtlich ist – eine faktische „Überlassung“ der Authentifizierungsinstrumente an die die Zahlung veranlassende Person dar. Dieses Verhalten ist mit einer sorgfältigen Wahrnehmung der sich aus § 675l Abs. 1 Satz 1 BGB ergebenden Pflichten offensichtlich unvereinbar.

Der Vollständigkeit halber ist darauf zu verweisen, dass das Unterbleiben genereller Warnungen durch die Beklagten nicht festzustellen ist. Im Gegenteil: Die Beklagte hat erstinstanzlich substantiiert dargetan, dass die ihre Kunden – hierunter auch die Klägerin – vor betrügerischen Telefonaten gewarnt (Anlage B6) und auf Sicherheitsaspekte hingewiesen hat (Anlagen B7 bis B11). Soweit die Klägerin hierauf die Einbeziehung der AGB der Beklagten und den Erhalt der Warnhinweise pauschal negiert hat, eignet sich dies nicht, den Vortrag der Beklagten im Schriftsatz vom 15.10.2024 zur Überlassung entsprechender Warnungen in Frage zu stellen.

b. Der Gegenanspruch der Beklagten wäre auch nicht gemäß § 254 Abs. 1 BGB zu kürzen. Der Beklagten lässt sich keine Verletzung der aus dem Schuldverhältnis mit der Klägerin resultierenden Schutz- und Treuepflicht (§ 241 Abs. 2 BGB) anlasten.

Zunächst ist keine Verletzung einer konkreten Warnpflicht zu erblicken. Nach der Rechtsprechung des Bundesgerichtshofes muss sich im bargeldlosen Zahlungsverkehr ein Zahlungsdienstleister grundsätzlich nicht um die beteiligten Interessen seiner Kunden kümmern, weil er nur zum begrenzten Geschäftszweck der technisch einwandfreien, einfachen und schnellen Abwicklung im Rahmen von Massengeschäften tätig wird (vgl. BGH, Urteil vom 06.05.2008 – XI ZR 56/07 = NJW 2008, 2245 Rn. 14; BGH, Beschluss vom 13.09.2022 – XI ZR 515/21 = BKR 2022, 811 Rn. 22). Er muss sich streng innerhalb der Grenzen des ihm erteilten formalen Auftrags halten und darf sich in der Regel daher auf die formale Prüfung beschränken, ob der Auftrag nach seinem äußeren Erscheinungsbild in Ordnung ist. Nur ausnahmsweise gilt etwas anderes, wenn Treu und Glauben es nach den Umständen des Falles gebieten, den Zahlungsauftrag nicht ohne vorherige Rückfrage beim Kunden auszuführen, um diesen vor einem möglicherweise drohenden Schaden zu bewahren. Der Zahlungsdienstleister muss aber weder generell prüfen, ob die Abwicklung eines Zahlungsverkehrsvorgangs Risiken für einen Beteiligten begründet, noch Kontobewegungen allgemein und ohne besondere Anhaltspunkte überwachen. Eine Warnpflicht besteht erst dann, wenn die Bank ohne nähere Prüfung im Rahmen der normalen Bearbeitung eines Zahlungsverkehrsvorgangs aufgrund einer auf massiven Verdachtsmomenten beruhenden Evidenz den Verdacht einer Straftat schöpft (vgl. zum Ganzen: BGH, Urteil vom 24.09.2002 – XI ZR 420/01 = BKR 2002, 1103; Urteil vom 22.06.2004 – XI ZR 90/03 = NJW-RR 2004, 1637; Urteil vom 06.05.2008 – XI ZR 56/07 = NJW 2008, 2245; Urteil vom 24.04.2012 – XI ZR 96/11 = NJW 2012, 2422; Urteil vom 14.06.2016 – XI ZR 74/14 = BKR 2016, 383; Beschluss vom 13.09.2022 – XI ZR 515/21 = BKR 2022, 811; Urteil vom 19.09.2023 – XI ZR 343/22 = NJW 2023, 3719 Rn. 24, s.a. Grüneberg, in: Grüneberg, 84. Aufl. 2025, § 675f Rn. 8).

Gemessen an diesen Grundsätzen bestand im hier keine konkrete Warnpflicht der Beklagten.

Soweit die Klägerin auf ein mögliches Datenleck auf Seiten der Beklagten verweist, fehlt es an einem substantiellen Sachvortrag, der belastbare Anhaltspunkte für eine Manipulation des Online-Banking-Systems oder eine sonstige Sicherheitslücke bei der Beklagten aufzeigt. Die Klägerin hat sich darauf beschränkt, verschiedene theoretische Möglichkeiten (z. B. Hacking, Datenweitergabe durch Mitarbeiter) ins Spiel zu bringen, ohne diese mit greifbaren Tatsachen zu unterfüttern.

Der bloße Umstand, dass der Anrufer Kenntnisse über eine vorangegangene Überweisung der Klägerin hatte, ersetzt jedoch den erforderlichen konkreten Vortrag einer tatsächlichen Sicherheitsverletzung nicht. Zudem blendet die Klägerin aus, dass ein Datendiebstahl auch außerhalb der Sphäre der Beklagten möglich gewesen wäre.

Der Vortrag der Klägerin erschöpft sich damit letztlich in bloßen Mutmaßungen. Konkrete Tatsachen, die eine Verletzung der Schutz- und Treuepflicht der Beklagten begründen könnten, werden nicht dargelegt. Indes illustriert die Benennung von Reserveursachen, dass der Vorwurf des Datenlecks bloß die Qualität einer Vermutung hat. Ein diesen Vorwurf stützender konkreter Sachvortrag fehlt gänzlich. Insbesondere ist die Behauptung, dass der Anrufer bereits zu Beginn des Telefonats, mithin vor dem auf Beklagtenseite registrierten Login in das Online-Banking von einer Überweisung der Klägerin wusste, ungeeignet, und ersetzt den insoweit erforderlichen Sachvortrag nicht.

Soweit die Klägerin auf ungewöhnliche Kontobewegungen verweist, insbesondere auf mehrere Zahlungen in kurzer Zeit an denselben Empfänger und in für sie ungewöhnlicher Höhe, begründet dies für sich genommen keine Warnpflicht der Beklagten. Es fehlt an einer evidenten Missbrauchslage.

Mehrere Überweisungen (zumal in moderater Höhe) an einem Tag an denselben Empfänger, auch bei ähnlichen, nicht gerundeten Beträgen, können ohne Weiteres legitime Gründe haben, so etwa die Begleichung unterschiedlicher Forderungen (insbesondere im Fall gestreckter Zeiträume). Die Frage nach der Rechtsbeziehung zwischen dem Zahler und dem Zahlungsempfänger und damit die Abreden und der Anlass für einen Zahlungsvorgang bleibt insoweit für den Zahlungsdienstleister ohne Bedeutung (OLG München Beschluss vom 28.02.2020 8 U 5467/19 = BeckRS 2020, 6100; Foerster, in: BeckOGK-BGB, Stand: 15.03.2024, § 675f Rn. 72).

Für eine sich aus anderen Umständen ergebende überlegene Sachkunde, die nach der Rechtsprechung des Bundesgerichtshofes (vgl. BGH, Urteil vom 19.09.2023 XI ZR 343/22, Rn. 25) auf Seiten der Beklagten erforderlich wäre, um eine Warnpflicht zu bejahen, hat die Klägerin indes nichts Belastbares dargetan. Entsprechend bestand kein Ausführungshindernis und die Klägerin durfte auch nicht (nach Treu und Glauben, § 242 BGB) erwarten, dass die Beklagte den Auftrag nicht ausführen würde.

Ergänzend zu bemerken ist, dass es hiernach auf die Frage nach der konkreten Funktionsweise des Sicherungssystems der Beklagten nicht entscheidungserheblich ankommt, weil nach Maßgabe des zuvor Ausgeführten bereits der Schutzbereich für systembedingte Warnmeldungen nicht eröffnet ist.

3. Auf eine unzureichende Durchführung des Rückholauftrags kann sich die Klägerin nicht stützen. Es ist bereits keine Pflichtverletzung der Beklagten feststellbar.

Der Rückholauftrag wurde nach eigenem Vortrag der Klägerin erst am Montagmorgen erteilt, so dass zuvor mangels Auftrags (und im Übrigen auch mangels Bankarbeitstagen) keine Verpflichtung zum Tätigwerden bestand.

Dafür, dass und wie die Beklagte den dauerhaften Verlust des Überweisungsbetrags anders hätte verhindern können, ist nichts vorgetragen. Der bloße Hinweis auf den Zeitablauf genügt hierfür nicht, zumal der Beklagten für die Ausführung des Rückholauftrags sowohl eine Prüf- als auch Bearbeitungsfrist einzuräumen war. Ihr war zumindest zuzubilligen, zunächst zu prüfen, ob in jedem der Fälle – die Anforderungen an den Missbrauchsfall erfüllt waren und die Umstände und Gründe (auch zur Eigenabsicherung) entsprechend zu dokumentieren. Ferner war der Beklagten weitere Zeit einzuräumen, den Leitweg der Überweisungen zu ermitteln und das Rückforderungsersuchen auszubringen (vgl. hierzu: Herresthal, in: MüKoHGB, 5. Aufl. 2024, Teil 1.B., Rn. 169 ff.).

4. Zur Reduzierung der Kostenlast wird die Rücknahme der Berufung anheimgestellt.