Auf die Berufung der Beklagten wird das am 5. März 2024 verkündete Urteil der 4. Zivilkammer des Landgerichts Halle abgeändert und wie folgt neu gefasst:
Die Klage wird abgewiesen.
Die Kosten des Rechtsstreits trägt die Klägerin.
Das Urteil ist ohne Sicherheitsleistung vorläufig vollstreckbar. Die Klägerin kann die Vollstreckung gegen Sicherheitsleistung in Höhe von 120 i.v.H. des beizutreibenden Betrages abwenden, sofern nicht die Beklagte vor der Vollstreckung Sicherheit in dieser Höhe leistet.
und beschlossen:
Der Wert des Berufungsverfahrens wird auf Gebührenstufe bis 65.000 EUR festgesetzt.
Gründe
I.
Die Parteien streiten um die Verpflichtung der Beklagten zur Rückgängigmachung von Belastungsbuchungen.
Wegen des Sach- und Streitstandes im ersten Rechtszug einschließlich der dort gestellten Anträge wird auf das angefochtene Urteil (Leseabschrift Bl. 32 bis 46 Bd. II d.A.) Bezug genommen (§ 540 Abs. 1 Nr. 1 ZPO).
Klarzustellen und zu ergänzen ist:
Im Februar 2022 erhielt die Klägerin von der Beklagten eine SMS mit dem Hinweis, dass in ihrem elektronischen Postfach eine Nachricht eingegangen und ihre Zustimmung erforderlich sei, die bis zum 31. März 2022 zu erteilen war. Hierzu gehörten auch die Bedingungen für das Online-Banking in der Fassung vom 14. September 2019. Die Klägerin stimmte den Bedingungswerken der Beklagten am 25. März 2022 zu.
In diesen sind unter Ziffer 7 die Sorgfaltspflichten des Teilnehmers geregelt, in denen es unter anderem heißt:
„(b) Besitzelemente, wie z.B. die S. Bank Card mit TAN-Generator oder ein mobiles Endgerät, sind vom Missbrauch zu schützen, insbesondere
(…)
ist sicherzustellen, dass unberechtigte Personen auf das mobile Endgerät des Teilnehmers (z.B. Mobiltelefon) nicht zugreifen können,
ist dafür Sorge zu tragen, dass andere Personen die auf dem mobilen Endgerät (z.B. Mobiltelefon) befindliche Anwendung für das Online-Banking (z.B. Online-Banking-App, Authentifizierungs-App) nicht nutzen können,
dürfen die Nachweise des Besitzelements (z.B. TAN) nicht außerhalb des Online-Banking mündlich (z.B. per Telefon) oder in Textform (z.B. per E-Mail, Messenger-Dienst) weitergegeben werden und
muss der Teilnehmer, der von der S. Bank einen Code zur Aktivierung des Besitz-elements (z.B. Mobiltelefon mit der Anwendung für das Online-Banking) erhalten hat, diesen vor dem unbefugten Zugriff anderer Personen sicher verwahren; ansonsten besteht die Gefahr, dass andere Personen ihr Gerät als Besitzelement für Online-Banking des Teilnehmers aktivieren. (…)
7. 2 Sicherheitshinweise der S. Bank
Der Teilnehmer muss die Sicherheitshinweise auf der Online-Banking-Seite der S. Bank, insbesondere die Maßnahmen zum Schutz der von ihm eingesetzten Hard. und Software, beachten.“
Wegen des weiteren Inhalts wird auf die Ablichtungen der Bedingungen für das Online-Banking (Anlage BK3, Bl.78n ff. Bd. 2 d.A.) Bezug genommen.
Das Landgericht hat der Klage nach der Beweisaufnahme und der Vernehmung der Zeugin T. M. stattgegeben. Die Klägerin habe einen Anspruch auf Erteilung einer Gutschrift in Höhe von 39.989 EUR auf ihr bei der Beklagten geführtes Girokonto gemäß § 675u BGB. Durch die von der Klägerin nicht autorisierten Zahlungsvorgänge vom 30. April, 1. Mai, 4. Mai und 5. Mai 2022 sei der gesamte Guthabenbetrag der Klägerin von ihrem bei der Beklagten geführten Girokonto widerrechtlich durch unbekannte Dritte auf Drittkonten weitergeleitet worden. Zudem seien durch nicht autorisierte Zahlungsvorgänge vier Rücklastschriften in Höhe von insgesamt 3.691,64 EUR über den ursprünglichen Guthabenstand hinaus, sowie ein nicht von der Klägerin beantragtes … Darlehen über 10.000 EUR von dem genannten Girokonto durch nicht autorisierte Zahlungsvorgänge entwendet worden. Dem Erstattungsanspruch der Klägerin stehe kein Ersatzanspruch der Beklagten in entsprechender Höhe gemäß § 675v Abs. 3 Nr. 2 BGB entgegen. Die Klägerin habe nicht grob fahrlässig gegen Pflichten aus § 675l Abs. 1 BGB oder gegen vertraglich vereinbarte Bedingungen für die Nutzung verstoßen. Wie es den unbekannten Tätern möglich gewesen sei, überhaupt in das Online-Banking der Klägerin einzudringen, wofür Benutzername und PIN benötigt würden, sei ungeklärt geblieben. Offen geblieben sei auch, wie die unbekannten Dritten die weiteren persönlichen Sicherheitsmerkmale erlangt hätten. Der Klägerin sei auch nicht deshalb ein grob fahrlässiger Verstoß gegen ihre Pflichten vorzuwerfen, weil sie bei Telefonaten mit unbekannten Tätern diesen durch Weitergabe des Freischaltcodes ermöglichte, ein neues Endgerät mit pushTAN-App zur Generierung von TANs mit ihrem Online-Banking zu verknüpfen. Die Klägerin sei kein sog. digital native, sondern sei vielmehr an persönliche Betreuung durch einen Mitarbeiter der Beklagten gewöhnt. Für die Klägerin sei es ein völlig normaler Vorgang, sich telefonisch mit Mitarbeitern der Beklagten zu besprechen. Ein grundsätzliches Misstrauen habe bei der Klägerin daher nicht entstehen müssen. Dies gelte auch nicht hinsichtlich des Ansinnens, die pushTAN-App zu aktualisieren. Die Klägerin habe zum damaligen Zeitpunkt seit ca. einem halben Jahr an dem pushTAN-Verfahren über die Handy-App teilgenommen, sodass die Möglichkeit, dass die App aktualisiert werden müsse, schon objektiv gesehen nicht fernliegend gewesen sei. Schlechthin unentschuldbar sei auch nicht, dass die Klägerin den Code am Telefon vorlas. Denn aus Sicht der Klägerin habe ein berechtigter Mitarbeiter der Beklagten angerufen, dem sie den Freischaltcode vorgelesen habe. Der Feststellungsantrag zu 2. sei zulässig und begründet. Selbst ein Bereicherungsanspruch der Beklagten bestehe nicht. Ebenso sei der Feststellungsantrag zu 3. zulässig und begründet, da sich die Beklagte aufgrund einer Mahnung vom 20. Juni 2022 eines entsprechenden negativen Kontosaldos berühmt hätte.
Dagegen wendet sich die Beklagte mit ihrer Berufung, mit der sie ihren Antrag auf Abweisung der Klage weiterverfolgt. Sie vertritt die Auffassung, ein Anspruch der Klägerin sei wegen des eingreifenden Anscheinsbeweises einer Autorisierung ausgeschlossen. Aufgrund der Rücksetzung und Neurichtung der pushTAN-Verbindung sei von einer Autorisierung der beauftragten Transaktionen im Sinne des § 675j BGB auszugehen.
Selbst wenn man davon ausgehe, dass eine Autorisierung der Zahlungsvorgänge nicht erfolgt sei, bestehe kein Anspruch der Klägerin. Denn sie könne der Klägerin einen Schadensersatzanspruch aus § 675v Abs. 3 Nr. 2 BGB in gleicher Höhe gemäß § 242 BGB entgegenhalten. Von Kunden, die am Online-Banking teilnehmen, sei zu erwarten, dass sie die Authentifizierungselemente, wie unter Nr. 9 der Rahmenvereinbarung vom 30. Mai 2014 bzw. in dem Änderungsauftrag vom 3. Oktober 2021 und Nr. 7 der Bedingungen für das Online-Banking vorgesehen, schützen. Das Landgericht habe berücksichtigen müssen, dass die Klägerin bis zu ihrer persönlichen Anhörung in der mündlichen Verhandlung am 13. Februar 2024 bestritten hatte, den Link am Telefon vorgelesen zu haben. Dem Gesamtvorbringen der Klägerin sei daher eine Inkonsistenz zu entnehmen, die darauf schließen lasse, dass die Klägerin in ihrer Anhörung nicht alles angegeben hat, was offenbar dem Klagevortrag zugrunde gelegt wurde. Der Vortrag in der Klageschrift spreche dafür, dass die Klägerin nicht nur die SMS mit dem Link zur Freischaltung bzw. Einrichtung der pushTAN-Verbindung erhalten hat, sondern auch Nachrichten, die durch Eingabe einer ihr mitgeteilten PIN dazu führten, dass entsprechende Zugangsdaten „abgephischt“ werden konnten. Die Klägerin erkläre sich hierzu unvollständig, weshalb sie ihrer sekundären Darlegungslast nicht genüge. Damit habe es das Landgericht nicht dabei bewenden lassen dürfen, der Entscheidung zugrunde zu legen, dass offengeblieben sei, wie es den unbekannten Tätern möglich war, überhaupt in das Online-Banking einzudringen. Vielmehr wäre das widersprüchliche Verhalten der Klägerin zu berücksichtigten gewesen. Fernliegend sei schließlich die Annahme, dass entgegen dem Wortlaut des Warnhinweises in der SMS die Weitergabe an einen berechtigten Mitarbeiter, jedenfalls einen für berechtigt gehaltenen Mitarbeiter, entschuldbar sei.
Das Landgericht verkenne zudem den Sorgfaltsmaßstab, denn es stelle offenbar die 60jährige Klägerin hinsichtlich des zugrunde legenden Sorgfaltsmaßstabes nicht mit jüngeren Nutzern des Online-Bankings gleich. Auch wenn diese Bewertung als Anknüpfungspunkt ungeeignet sei, gelte doch genau das Gegenteil. Wer technische Verfahren nutzt, müsse sich grundsätzlich mit den Sicherheitsvorkehrungen auseinandersetzen und diese beachten. Wer hiermit dann nicht gewandt sei, müsse bei der Nutzung umso mehr Sorgfalt walten lassen. Ungeeignet sei es, auf die vorangegangenen Telefonate zwischen der Klägerin mit ihrer persönlichen Betreuerin abzustellen. In keinem der Telefonate sei es um den Online-Banking-Zugang der Klägerin gegangen und bei keinem Telefonat sei die Klägerin aufgefordert worden, persönliche Zugangsdaten oder Authentifizierungsinstrumente dem Anrufenden preiszugeben. Hinzu komme, dass es bereits am Vortag, am Freitagabend, einen Anruf gegeben habe. Erst recht am nächsten Samstagmorgen, außerhalb ihrer Geschäftszeiten, sei eine Verknüpfung mit Telefonaten sonstiger Mitarbeitender unter Sorgfaltsgesichtspunkten zulässig. Die Klägerin trage auch nichts dazu vor, dass sie irgendeine Rückfrage zur Veranlassung gestellt hat. Es werde allein behauptet, der Anrufer habe sich auf die Erkrankung von Frau F. bezogen. im Übrigen hätte die Klägerin genügend Zeit gehabt, zwischen Freitag und Samstag einen Kontakt zu ihren Beratern zu suchen. Dann wäre ihr aufgefallen, dass sie diese nicht erreicht hätte. Schließlich sei ihr Warnhinweis in der SMS „Kein Mitarbeiter wird sie um Weitergabe dieser Daten bitten“ eindeutig. Dieser Warnhinweis habe sich konkret auf den Link und die darin enthaltene Zahlen-Buchstabenkombination bezogen. Es werde im Hinweis auch nicht zwischen berechtigten Mitarbeitern und anderen unterschieden. Die Klägerin habe überhaupt kein Misstrauen gezeigt. Wenn eine Aktualisierung ihrer App hätte erfolgen sollen, dann hätte sich in der von der Klägerin genutzten App etwas tun müssen. Hätte die Klägerin ihre pushTAN-App jedoch im Zusammenhang mit dem Telefonat und den Vorgängen zu öffnen versucht, wäre ihr aufgefallen, dass sie die App nicht hätte öffnen können. Denn diese App sei ja zurückgesetzt und damit auf dem Smartphone der Klägerin nicht mehr nutzbar gewesen. Aus den Auftragsdaten werde ersichtlich, dass zwischen der Freischaltung der pushTAN-Verbindung am 30. April 2022, 10:03 Uhr und der Überweisung des ersten Betrages eine Zeit von 4 Stunden und 23 Minuten lag. In dieser Zeit hätte die Klägerin prüfen müssen, ob die angebliche Aktualisierung der pushTAN-App erfolgreich war. Der Klägerin wäre dann aufgefallen, dass sie die pushTAN-App nicht hätte öffnen können. Es habe noch ausreichend Zeit bestanden, um den Online-Banking Zugang zu sperren.
Ein Zinsanspruch der Klägerin sei nicht dargelegt und ergebe sich bei einem Anspruch aus § 675u BGB auch nicht aus den allgemeinen Regeln. Die Geschäftsverbindung der Parteien sei beendet. Die Klägerin hätte darlegen müssen, welches Guthaben sich nach ihrer Auffassung unter Berücksichtigung des vermeintlichen Anspruchs aus § 675u BGB ergeben hätte.
Der Feststellungsantrag zu 2. sei unzulässig. Sie habe mit Schreiben vom 22. Juni 2022 die Aufrechnung erklärt, sodass sie keinen Anspruch auf Darlehensrückzahlung gegenüber der Klägerin behaupte. Vielmehr habe sie zugunsten der Klägerin unterstellt, dass ein Darlehensvertrag nicht zustande gekommen sei. Ohnehin handele es sich beim Feststellungsausspruch um eine reine Vorfrage, die kein zulässiges Feststellungsziel darstelle. Höchst vorsorglich werde darauf hingewiesen, dass ihr Vortrag in der Klageerwiderung zur Darstellung der Salden unwidersprochen geblieben sei. Es sei vorgetragen worden, dass sich der Sollsaldo auf dem Girokonto per 22. Juni 2022 auf 843,25 EUR belaufen habe. Sie habe das Darlehen rückabgewickelt, wie bereits der Anlage B 8 entnommen werden könne. Entsprechend seien auf dem Girokonto wertgleiche Korrekturbuchungen vorgenommen worden.
Auch der Feststellungsantrag zu 3. sei unbegründet. Sie habe gegenüber der Klägerin einzig eine Forderung in Höhe von 843,25 EUR erhoben. Zum Zeitpunkt der Klageerhebung habe sie keine Forderung in Höhe von 5.743,99 EUR geltend gemacht.
Die Beklagte beantragt, unter Abänderung des am 7. März 2024 verkündeten Urteils der 4. Zivilkammer des Landgerichts Halle die Klage abzuweisen, hilfsweise beantragt die Beklagte, den Rechtsstreit an das Landgericht Halle zurückzuverweisen.
Die Klägerin beantragt, die Berufung zurückzuweisen.
Sie verteidigt die angefochtene Entscheidung des Landgerichts. Insbesondere greife die Annahme einer Inkonsistenz des klägerischen Vortrages nicht. Richtig sei, dass die Darstellungen in der Klageschrift von ihren Einlassungen im letzten Termin zur mündlichen Verhandlung und Beweisaufnahme abweichen. Diese Abweichung sei allerdings allein durch ein redaktionelles Versehen, welches bei Fertigung der Klageschrift in der Kanzlei des Bevollmächtigten entstanden sei, begründet. Der entsprechende Sachverhalt sei im Rahmen von Textbausteinen aus einer anderen Angelegenheit des Bevollmächtigten übernommen worden. Der Klageentwurf sollte nach ihren entsprechenden Hinweisen geändert werden, was jedoch nicht erfolgt sei. Tatsächlich sei die Frage, was sie genau nach Zugang der SMS im Rahmen des Telefonats angegeben hat, streitig und habe zur Vernehmung der Zeugin M. geführt.
Der Senat hat Beweis erhoben durch Vernehmung des Zeugen K. U. und die Klägerin in der mündlichen Verhandlung gemäß § 141 ZPO persönlich angehört. Wegen des Ergebnisses wird auf das Protokoll der mündlichen Verhandlung (Bl. 140 bis 141 Bd. II, 168 bis 170 Bd. II d.A.) Bezug genommen.
II.
Die Berufung der Beklagten ist zulässig (§§ 511 Abs. 1, Abs. 2 Nr. 1, 513 Abs. 1, 517, 519 f. ZPO) und in der Sache auch begründet.
Die Klägerin hat zwar gegen die Beklagte einen Anspruch aus § 675u Satz 1 und 2 BGB, das Konto wieder auf den Stand zu bringen, auf dem es sich ohne die streitgegenständlichen Belastungsbuchungen in Höhe von insgesamt 35.555,00 EUR befunden hätte. Diesem Anspruch der Klägerin kann jedoch die Beklagte ihren Schadensersatzanspruch aus § 675v Abs. 3 Nr. 2b BGB in gleicher Höhe entgegenhalten.
1.
Die Klägerin hat einen Anspruch auf Erteilung einer Gutschrift in Höhe von 39.989 EUR auf ihr bei der Beklagten geführtes Girokonto mit der Kontonummer … gem. § 675u Satz 1 und 2 BGB. Danach hat der Zahlungsdienstleister des Zahlers im Fall eines nicht autorisierten Zahlungsvorgangs gegen diesen keinen Anspruch auf Erstattung seiner Aufwendungen. Er ist nach § 675u Satz 2 BGB verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.
a)
Bei den streitgegenständlichen Echtzeit-Überweisungen vom Konto der Klägerin mit der Kontonummer …, IBAN DE… in Höhe von insgesamt 39.989 EUR an L. R. handelt es sich um nicht durch die Klägerin autorisierten Zahlungsvorgänge.
Ein Zahlungsvorgang ist nach § 675j Abs. 1 Satz 1 BGB gegenüber dem Zahler nur wirksam, wenn er diesem zugestimmt hat (Autorisierung). Fehlt es an einer Autorisierung durch den Zahler, hier die Klägerin, so steht dem Zahlungsdienstleister kein Aufwendungsersatzanspruch aus §§ 675c Satz 1, 670 BGB und dementsprechend kein Erstattungsanspruch nach § 675u Satz 1 BGB zu; vielmehr hat er dem Zahler den Zahlbetrag gemäß § 675u Satz 2 BGB unverzüglich zu erstatten und das Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte. Die Zustimmung kann entweder als Einwilligung oder als Genehmigung erteilt werden, wobei die Art und Weise der Zustimmung zwischen dem Zahler und seinem Zahlungsdienstleister zu vereinbaren sind. Insbesondere kann vereinbart werden, dass die Zustimmung mittels eines bestimmten Zahlungsinstruments erteilt werden kann (§ 675j Abs. 1 Sätze 2 bis 4 BGB). Bei der Zustimmung handelt es sich um eine einseitige, empfangsbedürftige Willenserklärung (vgl. MüKoHGB/Linardatos, 4. Aufl. 2019, K, Rn. 57; Grüneberg/Sprau, BGB, 81. Aufl., § 675j Rn. 3, m.w.N.; Zahrte, BKR 2016, 315, 316).
Nach allgemeinen Grundsätzen trägt ein Zahlungsdienstnutzer, der einen Anspruch auf Wiedergutschrift nach § 675u Satz 2 BGB geltend macht, die Darlegungs- und Beweislast, dass er den in Rede stehenden Zahlungsvorgang nicht autorisiert hat (vgl. OLG Dresden, Urteil vom 13. Oktober 2022, 8 U 760/22, Rn. 42, juris; Grüneberg/Sprau, BGB, 81. Aufl., § 675u Rn. 8; § 675w Rn. 6). Diese Grundsätze werden indes durch die Regelung in § 675w BGB überlagert und modifiziert. Ist nämlich die Autorisierung eines ausgeführten Zahlungsvorgangs streitig, hat der Zahlungsdienstleister nach § 675w Satz 1 BGB nachzuweisen, dass eine Authentifizierung erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht sowie nicht durch eine Störung beeinträchtigt wurde (vgl. OLG Karlsruhe, Urteil vom 12. April 2022, 17 U 823/20, Rn. 59 ff., juris).
Der Wortlaut des § 675w BGB unterscheidet strikt zwischen Authentifizierung und Autorisierung: Hat der Zahlungsdienstleister die Anforderungen für eine Authentifizierung gemäß § 675w Satz 2 BGB erfüllt, so ist hiermit „nicht notwendigerweise“ auch die Autorisierung der Zahlung durch den berechtigten Nutzer gemäß § 675j Abs. 1 Satz 1 BGB nachgewiesen (§ 675w Satz 3 Nr. 1 BGB). Umgekehrt ist der Nachweis der Autorisierung gescheitert, wenn der Zahlungsdienstleister die ordnungsgemäße Authentifizierung des Vorgangs nicht darlegen und beweisen kann (§ 675w Satz 1 BGB). Mit dem Begriff der Autorisierung ist die Zustimmung des Zahlers zum Zahlungsvorgang gemäß § 675j Abs. 1 BGB gemeint. Unter Authentifizierung ist die technische und formalisierte Überprüfung der Identitätsbehauptung des Zahlers zu verstehen. Hierzu hat der Zahlungsdienstleister vor allem die personalisierten Sicherheitsmerkmale zu überprüfen (MüKoHGB/Linardatos, 4. Aufl. 2019, K, Rn. 233). Eine Authentifizierung ist erfolgt, wenn der Zahlungsdienstleister die Nutzung eines bestimmten Zahlungsinstruments, einschließlich seiner personalisierten Sicherheitsmerkmale, mithilfe eines Verfahrens überprüft hat. Dabei steht die Ausgestaltung des Authentifizierungsverfahrens im Organisationsermessen des Zahlungsdienstleisters (vgl. ausführlich: OLG Dresden, Urteil vom 13. Okto-ber 2022, 8 U 760/22, Rn. 43, juris).
Die von der Beklagten vorgelegte Dokumentation (Anlagen B 6 und B 10) belegt, dass eine Authentifizierung, d.h. eine technische und formalisierte Überprüfung der Nutzung des Zahlungsinstruments einschließlich personalisierter Sicherungsinstrumente der Klägerin erfolgt ist und die Zahlungsvorgänge, hier die Überweisung in Höhe von 9.999,00 EUR (Bl. 103 Bd. I) und die Überweisung in Höhe von 29.999,00 EUR (Bl. 108 Bd. II) ordnungsgemäß aufgezeichnet, verbucht sowie nicht durch eine Störung beeinträchtigt wurde (§ 675w Satz 1 BGB).
Mit dieser Authentifizierung nach § 675w Satz 1 BGB stehen allerdings lediglich die Grund- bzw. Mindestvoraussetzungen für die Anwendung eines Anscheinsbeweises für eine ordnungsgemäße Autorisierung des Zahlungsvorgangs durch die Klägerin fest (vgl. Schnauder/ Beesch, jurisPR-BKR 4/2019 Anm. 4, juris, S. 5, m.w.N.; OLG Dresden, Urteil vom 13. Oktober 2022, 8 U 760/22, Rn. 48, juris; Senat, Urteil vom 10. Januar 2024, 5 U 83/23, unveröffentl.). Kann der Zahlungsdienstleister einen in technischer Hinsicht störungsfreien Zahlungsvorgang nachweisen, so spricht für die Autorisierung durch den Zahlungsdienstnutzer eine gewisse Vermutung, die jedoch nach § 675w Satz 3 BGB „allein nicht notwendigerweise“ zum Nachweis der Autorisierung ausreicht. Dies bedeutet, dass an den bloßen Nachweis der Authentifizierung durch Verwendung von PIN und TAN nicht die unwiderlegliche Vermutung geknüpft werden darf, der Zahler habe selbst die Zahlung autorisiert oder für sie nach § 675v BGB einzustehen. § 675w Satz 3 BGB erfordert vielmehr die Berücksichtigung der Gesamtumstände des Einzelfalls im Rahmen richterlicher Beweiswürdigung gemäß § 286 ZPO.
Einen etwaigen zu Gunsten der Beklagten sprechenden Anscheinsbeweis für eine ordnungsgemäße Autorisierung der Zahlungsvorgänge hat die Klägerin jedenfalls erschüttert. Zur Erschütterung des Anscheinsbeweises muss der Zahler keinen konkreten und erfolgreichen Angriff gegen das Authentifizierungsinstrument dartun und beweisen, sondern nur solche Umstände, die gegen die Autorisierung durch ihn und für ein missbräuchliches Eingreifen Dritter sprechen. Diese Anforderungen kann der Zahler auch dadurch erfüllen, dass er außerhalb des Sicherheitssystems des Zahlungsdienstleisters liegende Indizien, die für einen nicht autorisierten Zahlungsvorgang sprechen, substantiiert darlegt und bei Bestreiten nachweist (BGH, Urteil vom 26. Januar 2016, XI ZR 91/14, Rn. 29 und 48, juris).
Der Senat ist aufgrund der Würdigung des Inhalts der gesamten Verhandlung (§ 286 ZPO), insbesondere aufgrund der Angaben der Klägerin, die der Senat persönlich angehört hat, davon überzeugt, dass nicht die Klägerin, sondern unbefugte Dritte, die aufgrund einer Anmeldung auf einer gefälschten Webseite oder aufgrund eines anderweitigen vorangegangenen und unbemerkt gebliebenen Angriffs die Online-Banking-Zugangsdaten der Klägerin kannten, im Online-Banking jeweils mittels des durch ein neu mit dem Online-Banking der Klägerin verknüpftes Endgerät unter Verwendung der pushTAN-App, die Zahlungsvorgänge beauftragt und bestätigt haben. Die Klägerin hat überzeugend den Eindruck vermittelt, Opfer eines Missbrauchs geworden zu sein. Es ist plausibel und nachvollziehbar, dass die Klägerin am Samstag, den 29. April 2022 von einem unbekannten Dritten angerufen wurde, der ihr mitteilte, die Aktualisierung der pushTAN-App sei erforderlich und sie würde hierfür eine SMS bekommen, die sie dann weitergeben müsse. Unmittelbar danach erhielt die Klägerin die angekündigte SMS und gab die im darin enthaltenen Link telefonisch an den unbekannten Anrufer weiter. Dass die Aktivierung der pushTAN-App auf einem anderen Mobiltelefon auch möglich ist, wenn der Code am Telefon weitergegeben und auf dem anderen Mobiltelefon eingetippt wird, hat der Zeuge K. U. glaubhaft bestätigt. Nach Aktivierung der pushTAN-App auf dem Mobiltelefon der Täter konnten diese ohne Wissen und Wollen der Klägerin die nachfolgenden Zahlungsvorgänge auslösen und bestätigen.
b)
Die Klägerin muss sich die Zustimmung der unbefugten Dritten auch nicht nach Rechtsscheingrundsätzen zurechnen lassen. Denn ein Zahlungsvorgang ist autorisiert und dem Zahler gegenüber wirksam, wenn der Zahler dem Zahlungsvorgang zugestimmt hat, § 675j Abs. 1 Satz 1 BGB. Die Zustimmung nach § 675j Abs. 1 Satz 1 BGB muss tatsächlich vom Zahler stammen. Die Erklärung eines nicht vertretungsberechtigten Dritten kann dem Zahler nicht nach Rechtsscheingrundsätzen zugerechnet werden, weil die Regelungen in § 675j Abs. 1, § 675u Satz 1 BGB abschließend sind (vgl. BGH, Urteil vom 26. Januar 2016, XI ZR 91/14, Rn. 58, juris). Die Zustimmung kann gemäß § 675j Abs. 1 Satz 2 BGB entweder als Einwilligung oder, sofern zwischen dem Zahler und seinem Zahlungsdienstleister zuvor vereinbart, als Genehmigung erteilt werden. Art und Weise der Zustimmung sind zwischen dem Zahler und dem Zahlungsdienstleister zu vereinbaren, § 675j Abs. 1 Satz 3 BGB (BGH, Urteil vom 17. November 2020, XI ZR 294/19, Rn. 13, juris).
Denn nach dem zwischen Bank und Kunde geschlossenen Vertrag ist bei Nutzung eines – gemäß § 675l BGB ohnehin geheim zu haltenden – personalisierten Zahlungsauthentifizierungsinstruments eine Bevollmächtigung Dritter ausnahmslos ausgeschlossen. Zudem ist der in § 675v Abs. 2 BGB (a.F.) festgelegte Grundsatz, dass der Kontoinhaber für einen nicht autorisierten Zahlungsvorgang nur bei Vorsatz oder grober Fahrlässigkeit einzustehen habe, berührt, wenn daneben dessen Haftung nach den Regeln eines Handelns unter fremdem Namen auch für einfache Fahrlässigkeit in Betracht kommt (BGH, Urteil vom 26. Januar 2016, XI ZR 91/14, Rn. 58, juris sowie ausführlich OLG Dresden, Urteil vom 13. Oktober 2022, 8 U 760/22, Rn. 58, juris zum chipTAN-Verfahren; Senat, Urteil vom 10. Januar 2024 – 5 U 83/24, juris).
2.
Dem Anspruch der Klägerin aus § 675u Satz 2 BGB steht allerdings ein Schadenersatzanspruch der Beklagten gegen die Klägerin aus § 675v Abs. 3 Nr. 2b BGB entgegen, den die Beklagte den Klägern gemäß § 242 BGB nach Treu und Glauben erfolgreich entgegenhalten kann. Besteht ein Schadensersatzanspruch des Zahlungsdienstleisters, kann in Höhe des Anspruchs eine Gutschrift nach § 675u Satz 2 BGB gemäß den Grundsätzen von Treu und Glauben verweigert werden (vgl. BGH, Urteil vom 17. November 2020 – XI ZR 294/19, Rn. 25; juris).
a)
Ein Schadenersatzanspruch der Beklagten gegen die Klägerin aus § 675v Abs. 3 Nr. 2 BGB, gerichtet auf Ersatz des gesamten Schadens, der infolge eines nicht autorisierten Zahlungs-vorgangs entstanden ist (nicht lediglich auf Ersatz von 50 EUR, vgl. Abs. 1), besteht dann, wenn der Zahler den Schaden durch grob fahrlässige Verletzung a) einer oder mehrerer Pflichten gemäß § 675l Abs. 1 BGB oder b) einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments herbeigeführt hat.
Grobe Fahrlässigkeit erfordert einen in objektiver Hinsicht schweren und in subjektiver Hinsicht schlechthin unentschuldbaren Verstoß gegen die Anforderungen der konkret erforderlichen Sorgfalt. Selbst ein objektiv grober Pflichtenverstoß rechtfertigt für sich noch keinen zwingenden Schluss auf ein entsprechend gesteigertes personales Verschulden (BGH, Urteil vom 26. Januar 2016, XI ZR 91/14, Rn. 71, juris).
Von dem Kunden, der am Online-Banking teilnimmt, ist zu erwarten, dass er die Authentifizierungselemente, wie unter Ziff. 7 der Bedingungen für das Online-Banking vorgesehen, schützt. Da nahezu alle Angriffe auf das Online-Banking in irgendeiner Form beim Kunden ansetzen, ist der Nutzer des Online-Bankings verpflichtet, Täuschungsversuche abzuwehren. Gefälschte Websites oder Elemente sind für ihn zwar oft nicht erkennbar. Anlass für die Haftung des Kunden ist dann das Erkennen sonstiger Verdachtsmomente, beispielsweise ungewöhnlicher Aufforderungen (Borges, NJW 2012, 2385). Phishing-Angriffe sind nicht ohne erhebliche Mitwirkung des Zahlungsdienstnutzers möglich. Die von den Zahlungsdienstnutzern zu erwartende angemessene Sorgfalt besteht hier darin, Zugangsdaten niemandem auf Nachfrage anzuvertrauen, sei es am Telefon, in E-Mails oder im Internet. Zulässig und wegen der Warnwirkung sogar erforderlich ist es, dass die Zahlungsdienstleister ihre Kunden darauf hinweisen, dass sie Zugangsdaten ausschließlich über die Eingabemasken auf den institutseigenen Internetseiten abfragen und jede anderweitige Weitergabe personalisierter Sicherheitsmerkmale daher sorgfaltswidrig ist. Bei Weitergabe am Telefon oder per E-Mail liegt dann stets ein Sorgfaltspflichtverstoß vor und – abhängig von den Besonderheiten des Einzelfalls, insbesondere subjektiven Gesichtspunkten – der Vorwurf grob fahrlässigen Verhaltens nahe (BeckOGK/Hofmann, 1.9.2022, BGB § 675l Rn. 96).
b)
Nach diesen Grundsätzen hat die Klägerin grob fahrlässig gegen ihre Sorgfaltspflichten verstoßen. Von der Klägerin, die nach eigenen Angaben das Online-Banking seit 2014 nutzt, war zu erwarten, dass sie den hier erfolgten Angriff abwehrt.
Die Klägerin hätte bereits aufgrund der Sicherheitshinweise der Beklagten darüber informiert sein müssen, dass telefonische Betrugsversuche bei S. Bank-Kunden durch vermeintliche S. Bank-Mitarbeiter erfolgen. Schon im März 2021 veröffentlichte die Beklagte Warnhinweise, die bei jeder Anmeldung zum Online-Banking erschienen. Darin werden die Kunden der Beklagten ausdrücklich darauf hingewiesen:
„Häufung von betrügerischen Telefonanrufen bei Kunden durch vermeintliche S. Bank-Mitarbeiter. Aktuell werden unsere Kunden von Betrügern angerufen, die sich als S. Bank-Mitarbeiter oder Mitarbeiter eines Sicherheits-Teams ausgeben. Um Sie zu täuschen fälschen die Anrufer dabei ihre Rufnummer, sodass es für Sie so aussieht als ob es sich wirklich um einen Anruf von Ihrer S. Bank handelt. Zudem kennen die Anrufer häufig ihre aktuellen Kontostände und Umsätze.
Vielfach erfolgen die betrügerischen Anrufe auch abends oder am Wochenende und damit außerhalb der normalen Geschäftszeiten, damit Sie keine Möglichkeit haben, bei ihrer S. Bank nachzufragen. Während des Telefonats werden Sie aufgefordert, eine oder mehrere TANs zu nennen, die Sie in Abhängigkeit von dem genutzten TAN-Verfahren per SMS oder pushTAN-App zugeschickt bekommen oder die Sie beim chipTAN-Verfahren mit Hilfe Ihres TAN-Generators erzeugen sollen. Als Vorwände werden dabei u. a. der Rückruf vermeintlich erfolgter betrügerischer Überweisungen oder die Bestätigung eines neuen Sicherheitssystems in Zeiten der Corona-Pandemie genannt.
VORSICHT: Bitte nennen Sie am Telefon niemals eine TAN; S. Bank-Mitarbeiter werden Sie niemals am Telefon danach fragen. Andernfalls können Betrüger diese TAN zur Durchführung von betrügerischen Online-Banking-Überweisungen in Ihrem Namen nutzen. Das Computer-Notfallteam der S. Bank-Finanzgruppe warnt darum dringend vor diesen betrügerischen Anrufen. Sofern Sie einen solchen Anruf erhalten haben, melden Sie sich bitte bzgl. der Sperrung Ihres Online-Banking-Zugangs umgehend bei Ihrer S. Bank. Dies gilt insbesondere dann, wenn Sie dem Anrufer eine TAN genannt haben.“
Zu einer gesonderten postalischen Warnung aller Kunden war die Beklagte nicht verpflichtet. Demjenigen, der das über die Website der Beklagten erreichbare Online-Banking nutzt, ist es zuzumuten, auch die Sicherheitshinweise der Beklagten, die ausdrücklich vor der Verwendung der Telefonnummer der Beklagten warnen, auf deren Website zur Kenntnis zu nehmen (OLG Frankfurt, Beschluss vom 22. September 2023 – 3 U 84/23 -, Rn. 23, juris).
Daneben ist aufgrund der in den letzten Jahren vielfach durch verschiedene Medien bekannt gewordenen Fälle die Erkenntnis, dass Kunden durch betrügerische Briefe und Anrufe vorgeblicher Bankmitarbeiter zur Preisgabe von Zugangsdaten zum Online-Banking veranlasst werden sollen, als allgemeines Wissen vorauszusetzen (vgl. Hanseatisches Oberlandesgericht in Bremen, Beschluss vom 15. April 2024 – 1 U 47/23, Rn. 23, juris; OLG Frankfurt, Beschluss vom 22. September 2023 – 3 U 84/23, Rn. 19, juris). Die Klägerin musste daher von der Möglichkeit solcher betrügerischen Vorgänge, wenn auch in unterschiedlicher Ausgestaltung, jedenfalls allgemeine Kenntnis haben.
Der Klägerin mag nicht bekannt sein, dass es möglich ist, eine Anrufernummer vorzutäuschen (Call-ID-Spoofing). Es hätte sie aber stutzig machen müssen, dass sie am Freitag gegen 17:30 Uhr und dann erneut am Samstag gegen 10.00 Uhr außerhalb der üblichen Geschäftszeiten der Beklagten von einem ihr unbekannten Mitarbeiter wegen der pushTAN-App angerufen wird. Bis dahin hat sie nach ihren Angaben alles Wichtige in der Filiale der Beklagten besprochen. Sie wurde nur von ihrer bisherigen Betreuerin Frau F. zum Zwecke der Vereinbarung des jährlichen Beratungstermins angerufen. Den für den 5. April 2022 vereinbarten Termin hatte eine andere Mitarbeiterin telefonisch abgesagt und mitgeteilt, dass Frau F. erkrankt sei und alsbald ein neuer Termin vereinbart werde. In keinem der Telefonate ging es hingegen um ihren Online-Banking-Zugang und in keinem der Telefonate wurde die Klägerin aufgefordert, irgendwelche persönlichen Zugangsdaten oder Authentifizierungsinstrumente einem Anrufenden preiszugeben. Zudem musste es ihr ungewöhnlich erscheinen, dass die Aktualisierung der pushTAN-App noch am selben Tag erfolgen soll. Von der Klägerin war in dieser Situation zu erwarten, dass sie sich durch einen Rückruf in der Filiale oder auf sonstige Weise vergewissert, dass es sich bei dem Anrufer tatsächlich um einen Mitarbeiter der Beklagten handelt.
Es ist ihr auch subjektiv vorzuwerfen, dass sie die Zahlenfolge aus dem Link zur Freischaltung einer neuen Mobilfunkverbindung am Telefon dem unbekannt gebliebenen Anrufer weitergeben hat. Von der Klägerin war zu erwarten, dass sie die eingehende SMS liest. Es hätte ihr auffallen müssen, dass mit ihr ein Link zur Einrichtung der pushTAN-App und nicht wie angekündigt zur Aktualisierung der bestehenden pushTAN-App übersendet wurde. Zudem befand sich unter dem Link der ausdrückliche Hinweis:
„Bitte leiten Sie diese SMS nicht an dritte Personen weiter! Kein Mitarbeiter wird Sie um Weitergabe dieser Daten bitten.“
Angesichts dieser unmissverständlichen Formulierung kann sich die Klägerin auch nicht darauf berufen, sie habe die Daten nicht an einen Dritten weitergegeben, sondern nur einem berechtigten Bankmitarbeiter vorgelesen. Denn der Hinweis bezieht sich ausdrücklich darauf, dass kein Mitarbeiter um Weitergabe dieser Daten bitten wird.
Die Klägerin hat mithin in der von den üblichen Vorgängen abweichenden Situation ganz nahe-liegende Überlegungen nicht angestellt und jegliche Vorsicht vermissen lassen. Ihr hätte sich wie jedem anderen Zahlungsdienstnutzer in dieser Situation aufdrängen müssen, dass sie möglicherweise nicht mit der Beklagten, sondern einem Dritten kommuniziert. Bei der insoweit erforderlichen Gesamtbetrachtung sämtlicher Umstände stellt sich das Handeln der Klägerin als objektiv schwerwiegender und subjektiv nicht entschuldbarer Verstoß gegen die Anforderungen der im Verkehr erforderlichen Sorgfalt dar.
c)
Der Schadensersatzanspruch der Beklagten ist nicht gemäß § 675v Abs. 4 Satz 1 Nr. 1 BGB ausgeschlossen. Danach ist der Zahler seinem Zahlungsdienstleister nicht zum Schadensersatz verpflichtet, wenn der Zahlungsdienstleister des Zahlers eine starke Kundenauthentifizierung im Sinne des § 1 Absatz 24 des ZAG nicht verlangt. Die zivilrechtliche Haftungsbefreiung nach § 675v Abs. 4 BGB ist akzessorisch zum Aufsichtsrecht dahingehend auszulegen, dass der Zahlungsdienstleister eine starke Kundenauthentifizierung im Sinne des § 1 Abs. 24 ZAG in den Fällen verlangen muss, in denen er gem. § 55 ZAG hierzu verpflichtet ist, und andernfalls mit seinem Haftungsausschluss ausgeschlossen ist (vgl. Staudinger/Omlor (2020) BGB § 675v, Rn. 36f., m.w.N.). Nach § 55 Abs. 1 Satz 1 ZAG ist der Zahlungsdienstleister verpflichtet, eine starke Kundenauthentifizierung zu verlangen, wenn der Zahler 1. online auf sein Zahlungskonto zugreift; 2. einen elektronischen Zahlungsvorgang auslöst; 3. über einen Fernzugang eine Handlung vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs beinhaltet.
Zweck dieser Regelung ist, die Zahlungsdienstleister zu veranlassen, eine möglichst sichere Kundenauthentifizierung technisch einzuführen und bei sämtlichen Zahlungsvorgängen mit einem Zahlungsinstrument zur Verfügung zu stellen. Deswegen hängt die gesamte Haftung des Kunden in § 675v BGB davon ab, dass die das konkrete Online-Banking-Verfahren zur Verfügung stellende Bank dabei eine starke Kundenauthentifizierung verwendet, deren Nutzung bei dem im Streit stehenden Zahlungsvorgang verlangt und die Elemente der starken Kundenauthentifizierung vor Freigabe des konkreten Zahlungsvorgangs auch tatsächlich korrekt überprüft. Das Kreditinstitut muss folglich alles getan haben, damit eine starke Kundenauthentifizierung bei dem fraglichen Zahlungsvorgang tatsächlich angewendet werden konnte und erfolgreich angewendet worden ist (Ellenberger/Bunte BankR-HdB, § 33. Bankgeschäfte online Rn. 386, beck-online).
Eine starke Kundenauthentifizierung ist gemäß § 1 Abs. 24 ZAG eine Authentifizierung, die so ausgestaltet ist, dass die Vertraulichkeit der Authentifizierungsdaten geschützt ist und die unter Heranziehung von mindestens zwei der folgenden, in dem Sinne voneinander unabhängigen Elementen geschieht, dass die Nichterfüllung eines Kriteriums die Zuverlässigkeit der anderen nicht in Frage stellt: 1. Kategorie Wissen, also etwas, das nur der Nutzer weiß, 2. Kategorie Besitz, also etwas, das nur der Nutzer besitzt oder 3. Kategorie Inhärenz, also etwas, das der Nutzer ist. Bei elektronischen Fernzahlungsvorgängen fordert § 55 Abs. 2 ZAG zusätzlich zu der starken Kundenauthentifizierung im Sinne von § 1 Abs. 24 ein dynamisches Element, über welches der Zahlungsvorgang mit einem konkreten Betrag und dem spezifischen Empfänger verknüpft wird.
Die EU-Kommission hat in Form der delegierten Verordnung (EU) 2018/389 über technische Regulierungsstandards für eine starke Kundenauthentifizierung die technischen Vorgaben an die Authentifizierung im Allgemeinen und an eine starke Kundenauthentifizierung im Besonderen (RTS) vereinheitlicht. Diese Verordnung ist seit dem 14. September 2019 unmittelbar geltendes Recht (Art. 38 Delegierte VO (EU) 2018/389).
(1)
Soweit die Klägerin geltend macht, dass eine starke Kundenauthentifizierung schon beim Einloggen im Online-Banking erfolgen musste, führt dies nicht zu einem Haftungsausschluss gemäß § 675v Abs. 4 BGB. Denn nicht bei sämtlichen Zahlungsvorgängen bedarf es einer starken Kundenauthentifizierung. Die Ausnahmetatbestände aus § 55 Abs. 5 ZAG in Verbindung mit Art. 10-21 RTS gelten auch für § 675v Abs. 4 BGB. Die Ausnahmetatbestände orientieren sich an dem verwendeten Zahlungsweg, am Zahlungsbetrag, dem Risikoniveau nach der Transaktionsrisikoanalyse und der Periodizität des Zahlungsvorgangs (Erwägungsgrund 9 RTS, vgl. auch Art 98 Abs. 3 PSD II). Von einer starken Kundenauthentifizierung kann demnach grundsätzlich abgesehen werden, wenn nur auf bestimmte Kontoinformationen, die sich ungefähr auf den Umfang einer typischen Rechnungsperiode erstrecken dürfen, zugegriffen wird (Art 10 Abs. 1 RTS) (Staudinger/Omlor (2020) BGB § 675v, Rn. 40).
Keiner starken Kundenauthentifizierung bedarf es danach grundsätzlich, sofern lediglich der Kontostand und/oder Zahlungsvorgänge für einen nicht mehr als 90 Tage zurückliegenden Zeitraum abgerufen werden (Art. 10 Abs. 1 RTS). Eine Rückausnahme greift jedoch bei einem Online-Erstzugriff ein (Art. 10 Abs. 2 lit. a RTS). Ein solcher Online-Erstzugriff liegt bei einer erstmaligen Freischaltung des Online-Zugangs und bei einer erstmaligen Nutzung nach dem Inkrafttreten von § 55 ZAG am 14.9.2019 (→ Rn. 5) vor. Auch muss mindestens alle 90 Tage erneut eine starke Kundenauthentifizierung verlangt werden (Art. 10 Abs. 2 lit. b RTS) (Omlor, in: Schäfer/Omlor/Mimberg, ZAG, 1. Auflage 2022, § 55 Rn. 28).
Diese Anforderungen hat die Beklagte im streitgegenständlichen Zeitraum zur Überzeugung des Senats erfüllt. Nach den schlüssigen und glaubhaften Angaben des Mitarbeiters der Beklagten, des Zeugen K. U., konnten die unbekannten Dritten zum streitgegenständlichen Zeitpunkt im April 2022 nach einer Anmeldung mit Benutzernamen und PIN nach der Anmeldung im Online-Banking nur die Adresse des Kunden, die letzten vier Ziffern seiner Telefonnummer, den Namen seines Bankberaters und die Kontobewegungen, aber keine sensiblen Daten wie das Geburtsdatum, die Kartennummer und das Ablaufdatum einsehen.
Ungeachtet dessen lässt sich jedenfalls nicht ausschließen, dass die Dritten die persönlichen Daten der Klägerin, nämlich das Geburtsdatum, die Telefonnummer und die Kartennummer nicht bereits vorher durch einen Phishingangriff erlangt haben. Im Übrigen ergibt sich aus dem Gesamtzusammenhang der gesetzlichen Regelung, dass der Haftungsausschluss nach § 675v Abs. 4 Satz 1 Nr. 1 BGB nur greift, wenn der Zahlungsdienstleister bei dem konkreten Zahlungsvorgang keine starke Kundenauthentifizierung verlangt hat, denn die §§ 675u 675v BGB regeln die Haftung im Falle eines nicht autorisierten Zahlungsvorgangs. Dementsprechend setzt die Haftungsverlagerung nach § 675v Abs. 4 Satz 1 Nr. 1 BGB voraus, dass bei dem konkreten Zahlungsvorgang keine starke Kundenauthentifizierung verlangt wurde (im Ergebnis ebenso: Hanseatisches Oberlandesgericht in Bremen, Beschluss vom 15. April 2024 – 1 U 47/23, Rn. 32, juris).
(2)
Hinsichtlich der Zahlungsvorgänge hat die Beklagte die starke Kundenauthentifizierung verlangt. Die Überweisungen stellen einen elektronischen Fernzahlungsvorgang dar, für die gem. § 55 Abs. 1 Nr. 2, Abs. 2 ZAG, eine starke Kundenauthentifizierung erforderlich ist.
Nach dem Ergebnis der Beweisaufnahme ist der Senat davon überzeugt, dass die Beklagte für die konkreten Zahlungsvorgänge eine starke Kundenauthentifizierung gefordert hat. Die Beklagte hat dies durch Vorlage von Aufzeichnungen darüber, dass eine Authentifizierung erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht sowie nicht durch eine Störung beeinträchtigt wurde, belegt. Der Zeuge K. U. erläuterte hierzu schlüssig die von der Beklagten im streitgegenständlichen Zeitraum im April 2022 verwendeten Verfahren.
Das pushTan-Verfahren wird regelmäßig weiterentwickelt. Beim sog. pushTAN 1.0 wird im Online-Banking eine Transaktion beauftragt. Diese wird an die weitere Ebene, die pushTAN-App übermittelt. Die pushTAN-App muss dann durch den Nutzer mit dem hinterlegten Code oder Biometrie entsperrt und geöffnet werden. Dann öffnet sich ein Fester mit den Auftragsdetails, welche zur Überprüfung durch den Kunden gestellt werden. Wenn der und diese bestätigt, erstellt die pushTAN-App aus den Auftragdetails (Überweisungsempfänger, Betrag u.a.) eine dynamisch mit diesem Auftrag verknüpfte TAN-Nummer. Diese angezeigte TAN muss der Kunde sodann im Online-Banking eingeben. Das System des Online-Bankings kann sodann anhand der dynamisch erstellten TAN feststellen, ob diese für den entsprechenden Auftrag generiert wurde. Bei einer Übereinstimmung wird der Auftrag im Online-Banking ausgeführt.
Bei der weiterentwickelten Form des pushTAN 2.0 erfolgt die Beauftragung der gewünschten Transaktion ebenfalls auf der ersten Ebene im Online-Banking. Dieser Auftrag wird ebenfalls, wie im Vorgängerverfahren an die zweite Ebene, die pushTAN-App übermittelt. Diese muss vom Nutzer entsperrt und geöffnet werden. Es öffnet sich ein Kontrollfenster mit den entsprechenden Auftragsdetails, welche zur Überprüfung durch den Kunden gestellt werden. Wenn der Kunde die Freigabe im Wege des bloßen Wischens (Swipen) erteilt und damit die angezeigten Auftragdetails bestätigt, wird nun im Unterschied zum Vorgängerverfahren durch die pushTAN-App direkt die Freigabe an das Online-Banking übermittelt. Diese Freigabe ist ebenfalls dynamisch mit dem entsprechenden Auftrag verknüpft. Es wird jedoch keine TAN erstellt, welche der Kunde im Online-Banking eingeben muss.
Die Umstellung vom pushTAN-App 1.0 Verfahren auf pushTAN-App 2.0 erfolgte bei der Beklagten nicht einheitlich, sondern zunächst bezogen auf einzelne Geschäftsvorfälle. So war im streitgegenständlichen Zeitraum im April 2022 für Limitänderungen noch das Verfahren pushTAN 1.0 hinterlegt. Dies wurde auf den Transaktionsprotokollen mit der Kennung „VERF=921“ vermerkt. Für Echtzeitüberweisungen kam bereits das Verfahren pushTAN 2.0 Verfahren zur Anwendung. Dies wurde auf den Transaktionsprotokollen mit der Kennung „VERF=922“ vermerkt.
Die Echtzeit-Überweisungen über 9.999 EUR (Bl. 103 Bd. I) und 29.990 EUR (Bl. 108 Bd. I) wurden ausweislich der von der Beklagten vorgelegten Transaktionsprotokolle jeweils über die pushTAN-App freigegeben. Dabei wurde das Verfahren 922 (VERF=922), also das pushTAN-App 2.0 Verfahren verwendet. Die Verwendung der PushTAN-App stellt ein Verfahren mit starker Kundenauthentifizierung dar, denn über den Besitz an am Mobiltelefon hat grundsätzlich nur der Zahlungsdienstnutzer Zugriff hierauf (vgl. OLG Frankfurt, Urteil vom 6. Dezember 2023 – 3 U 3/23, Rn. 83, juris; Zahrte, in: Casper/Terlau, Zahlungsdiensteaufsichtsgesetz, 3. Auflage 2023, § 55 Rn. 58; Grüneberg, in: Grüneberg, BGB, 83. Aufl. 2024, § 675v Rn. 10).
Auch die weiteren Anforderungen an die dynamische Verknüpfung wurden vorliegend erfüllt. Für elektronische Fernzahlungsvorgänge bedarf es zusätzlich zu den allgemeinen Anforderungen noch einer dynamischen Verknüpfung des Zahlungsvorgangs mit Zahlungsbetrag und -empfänger (§ 55 Abs. 2 ZAG). Ein elektronischer Fernzahlungsvorgang ist namentlich im Online-Banking (Zahrte NJW 2018, 337, 340) und bei sonstigen Zahlungsvorgängen, die über das Internet oder ein zur Fernkommunikation geeignetes Gerät ausgelöst werden (Art. 4 Nr. 6 PSD II), gegeben. Handelt es sich demnach – wie vorliegend – bei dem elektronischen Zahlungsvorgang nach § 55 Absatz 1 Satz 1 Nr. 2 ZAG um einen elektronischen Fernzahlungsvorgang, hat der Zahlungsdienstleister eine starke Kundenauthentifizierung zu verlangen, die Elemente umfasst, die den Zahlungsvorgang dynamisch mit einem bestimmten Betrag und einem bestimmten Zahlungsempfänger verknüpfen.
Die Anforderungen an eine dynamische Verknüpfung regelt Art. 5 RTS. Art. 5 Abs. 1 lit. a) RTS gibt für Fernzahlungsvorgänge vor, dass dem Zahler zunächst Zahlungsbetrag und Zahlungsempfänger anzuzeigen sind. Geschuldet ist also eine Visualisierung. Der generierte Authentifizierungscode (z.B. TAN), dessen Einmaligkeit bereits aus Art. 4 Abs. 1 Satz 2 der Verordnung folgt, muss sodann speziell diesem Betrag und diesem Empfänger zuzuordnen sein, was vom Zahlungsdienstleister nach der Eingabe/Übermittlung durch den Zahler noch einmal zu überprüfen ist. Nachträgliche Änderungen von Betrag oder Empfänger müssen zur Ungültigkeit des Authentifizierungscodes führen. Vertraulichkeit, Authentizität und Integrität der verarbeiteten Zahlungsdaten sind dabei gemäß Art. 5 Abs. 2 der Verordnung während des gesamten Vorgangs sicherzustellen. Zahlungsbetrag und Zahlungsempfänger müssen dem Zahler nicht in allen Phasen der Authentifizierung angezeigt werden. Zwar verlangt Art. 5 Abs. 1 lit. a) der VO (EU) 2018/389, dass Zahlungsbetrag und Zahlungsempfänger dem Zahler angezeigt werden. Allerdings wird kein Zeitpunkt vorgegeben. Art. 5 Abs. 1 lit. b) bestimmt, dass der generierte Authentifizierungscode speziell für den Zahlungsbetrag und den Zahlungsempfänger gilt, denen der Zahler beim Auslösen des Vorgangs zugestimmt hat. Demnach sind Zahlungsbetrag und Zahlungsempfänger zum Zeitpunkt des Auslösens des Vorgangs anzuzeigen. Dies ist bei der Verwendung der pushTAN-App der Fall. Denn die Auftragdetails werden vor der Freigabe in der App angezeigt. Eine andere Bewertung folgt auch nicht aus Art. 5 Abs. 2 VO (EU) 2018/389. Danach sind Vertraulichkeit, Authentizität und Integrität von Zahlungsbetrag und Zahlungsempfänger in allen Phasen der Authentifizierung zu gewährleisten, Art. 5 Abs. 2 lit. a). Da Zahlungsbetrag und Zahlungsempfänger unter lit. a) genannt sind, gehören sie nicht zu den Angaben, die nach Art. 5 Abs. 2 lit. b) dem Zahler in allen Phasen der Authentifizierung, einschließlich der Generierung, Übertragung und Verwendung des Authentifizierungscodes, angezeigt werden müssen. Dies wird gestützt durch Erwägungsgrund 3 der VO (EU) 2018/389: Da elektronische Fernzahlungsvorgänge einem höheren Betrugsrisiko ausgesetzt sind, ist es notwendig, bei solchen Vorgängen zusätzliche Anforderungen für eine starke Kundenauthentifizierung einzuführen; diese sollten sicherstellen, dass die Elemente den Zahlungsvorgang dynamisch mit einem Betrag und einem Zahlungsempfänger verknüpfen, die vom Zahler beim Auslösen des Zahlungsvorgangs angegeben werden.
(3)
Auch die Anforderungen an risikobehaftete Handlungen per Fernzugang wurden im vorliegenden Fall erfüllt. § 55 Abs. 1 S. 1 Nr. 3 ZAG erfasst jegliche Handlungen, die per Fernzugang vorgenommen werden und ein Missbrauchsrisiko beinhalten. Die Erhöhung des Verfügungslimits über einen Fernzugang stellt eine solche Handlung dar, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs beinhaltet, denn der mögliche Schaden durch eine missbräuchliche Überweisung kann durch vorausgehende Änderung des Verfügungslimits – wie im vorliegenden Fall geschehen – vervielfacht werden. Auch für die Limitänderung ist daher gem. § 55 Abs. 1 Nr. 3 ZAG eine starke Kundenauthentifizierung erforderlich (OLG Frankfurt, Urteil vom 6. Dezember 2023 – 3 U 3/23, Rn. 56, juris).
Die Beklagte hat dargetan und durch die Transaktionsprotokolle belegt, dass sie für die Zahlungsvorgänge am 30. April 2022 und am 2. Mai 2022 eine starke Kundenauthentifizierung mit PushTAN gefordert hat.
– Für die temporäre Limitänderung auf 100.000 EUR am 30. April 2022, 11:00:30 Uhr (Bl. 98 I) musste eine TAN eingegeben werden und es wurde das Verfahren VER=921 vermerkt und auch für die temporäre Limitänderung auf 100.000 EUR am 1. Mai 2022, 14:32:14 Uhr (Bl. 105 I) musste eine TAN eingegeben werden über das VERF=921.
– Für die Freischaltung der Auslandszahlung am 30. April 2022, 11:03:40 Uhr musste eine TAN eingegeben werden und es wurde das Verfahren VER=921 vermerkt.
– Die ausgelösten Rücklastschriften am 2. Mai 2022 mussten über die pushTAN-App freigegeben werden, es wurde jeweils das VERF=922 vermerkt.
Schließlich wurden bei der Zurücksetzung der pushTAN-App auf dem Mobiltelefon der Klägerin und der Freischaltung einer neuen pushTAN-Verbindung die Anforderungen an eine starke Kundenauthentifizierung eingehalten. Dem Anwendungsbereich des § 55 Abs. 1 Nr. 3 ZAG unterfallen auch Änderungen des TANVerfahrens (Omlor, in: Schäfer/Omlor/Mimberg, ZAG, 1. Auflage 2022, § 55 Rn. 35). Als subsidiärer Auffangtatbestand erfasst § 55 Abs. 1 Satz 1 Nr. 3 ZAG jegliche Handlungen, die per Fernzugang vorgenommen werden und ein Missbrauchsrisiko beinhalten. Die Änderung des Authentifizierungsverfahrens, insbesondere die Freischaltung einer neuen Mobilfunkverbindung birgt ein solches erhebliches Missbrauchsrisiko. Die Beklagte hat indes dargelegt und nachgewiesen, dass die Anforderungen an eine starke Kundenauthentifizierung im konkreten Fall erfüllt wurden. Der Zeuge K. U. hat anhand von Screenshots, nachvollziehbar erläutert, wie die Push-TAN-App damals zurückgesetzt wurde. Demnach musste auf dem neuen Mobiltelefon über die pushTAN-App die Auswahl getroffen werden „Registrierungsdaten anfordern“. Anschließend musste eine Bank ausgewählt und der Anmeldename, das Passwort sowie das Geburtsdatum und die Kartennummer eingegeben werden. Danach konnte man zwischen der Zusendung per SMS oder per Post wählen. Wenn man SMS auswählte, ging die SMS an die bei der Beklagten hinterlegte Telefonnummer. Die SMS kam also auf dem zuvor genutzten Mobiltelefon an. Zu diesem Zeitpunkt wurde die alte pushTAN-Verbindung deaktiviert. Wenn man auf den Link klickt, wurde eine neue Verknüpfung freigeschaltet. Gleichzeitig kam auf dem alten Gerät die Nachricht an, dass die Push-TAN zurückgesetzt wurde.
Damit wurden zwei Authentifizierungselementen im Sinne des § 1 Abs. 24 ZAG, Anmeldename und Passwort für den Zugang zum Online-Banking (Wissenselement) und das Mobiltelefon (Besitzelement) gefordert.
d)
Schließlich ist die Haftung der Klägerin gemäß § 675v Abs. 3 BGB nicht auf das zuletzt schriftlich vereinbarte Limit von 5.300 EUR (vgl. Bl. 16 Bd. I) begrenzt. Zwar lagen die streitgegenständlichen Echtzeit-Überweisungen über dem ursprünglich zwischen den Parteien am 22. Mai 2014 vereinbarten Tageslimit.
Die Änderungen des Tageslimits wurden durch die Klägerin auch nicht durch die Weitergabe des Links zur Autorisierung der pushTAN-App auf einem neuen Endgerät autorisiert. Denn auch insoweit gilt, dass mit der Authentifizierung lediglich die Grund- bzw. Mindestvoraussetzungen für die Anwendung eines Anscheinsbeweises für eine ordnungsgemäße Autorisierung des Zahlungsvorganges durch die Klägerin feststehen. Der Senat ist auch insoweit davon überzeugt, dass die Klägerin die Änderung des Tageslimits nicht selbst im Online-Banking ausgelöst hat.
Der Beklagten steht jedoch auch insoweit ein Schadensersatzanspruch gegen die Klägerin aus § 675v Abs. 3 Nr. 2 BGB zu. Denn auch bezogen auf die Änderung des Tageslimits hat die Klägerin grob fahrlässig gegen ihre Sorgfaltspflichten für das Online-Banking verstoßen, indem sie den Link zur Freischaltung einer neuen Mobilfunkverbindung am Telefon weitergeben hat.
3.
Die Klägerin hat keinen Anspruch auf Feststellung, dass zwischen den Parteien kein Online-Darlehensvertrag über einen Betrag von 10.000 EUR zustande gekommen ist und dass die Beklagte keinen Anspruch auf Ausgleich eines Saldos in Höhe von 5.743,99 EUR hat. Insoweit fehlt es der Klägerin bereits am berechtigten Feststellungsinteresse. Ein Feststellungsinteresse ist gegeben, wenn dem Recht oder der Rechtslage eine gegenwärtige Gefahr der Unsicherheit droht und das erstrebte Urteil geeignet ist, diese Gefahr zu beseitigen. Sie besteht hingegen nicht, wenn der Beklagten keinen Anlass zu der Annahme bietet, dass er die geltend gemachten Rechte verletzen wird (BeckOK ZPO/Bacher, 54. Ed. 1.9.2024, ZPO § 256 Rn. 20, beck-online). Hier hat die Beklagte zugunsten der Klägerin unterstellt, dass ein Darlehensvertrag nicht zustande gekommen ist. Aus der Umsatzanzeige (BK 7) ist ersichtlich, dass das Darlehen rückabgewickelt wurde. Der Saldo ist mit Null ausgewiesen.
Der Feststellungsantrag zu 4. teilt das Schicksal des Klageantrages zu 1., denn dieser Feststellungsantrag diente nach dem Vorbringen der Klägerin lediglich dazu, das Rechtsverhältnis der Parteien klarzustellen, was durch die Abweisung des Antrages zu 1. erfolgt ist.
Mangels Hauptanspruchs besteht auch kein Anspruch auf Erstattung vorgerichtlicher Rechtsanwaltskosten.
III.
Die prozessualen Nebenentscheidungen beruhen auf den §§ 3, 91, 708 Nr. 10, 711 ZPO, 39 Abs. 1, 43 Abs. 1, 47 Abs. 1, 48 Abs. 1 GKG.
Die Voraussetzungen der Zulassung der Revision (§ 543 Abs. 2 ZPO) sind nicht erfüllt.
Contact for English speaking clients
