Kontogutschrift aufgrund Phishing-Attacken

Die Klage wird abgewiesen.

Die Kosten des Rechtsstreits trägt die Klägerin.

Das Urteil ist gegen Sicherheitsleistung in Höhe von 110 % des jeweils zu vollstreckenden Betrags vorläufig vollstreckbar.

Tatbestand

Die Parteien streiten um Rückzahlung von unautorisierten Zahlungen.

Die Klägerin unterhält bei der Beklagten ein privat geführtes Girokonto mit der IBAN Wegen des Inhalts des Kontovertrags wird auf Anlage Bezug genommen.

Mit Buchungstag und Wertstellung und wurden vom Konto der Klägerin Transaktionen in Höhe von EUR und EUR ausgelöst, deren Rückerstattung die Klägerin mit der Klage begehrt.

Die Klägerin nutzte für ihr Girokonto das Online-Banking der Beklagten unter Einbezug der Bedingungen für die Nutzung des Online Bankings.

Dort hieß es unter . Sorgfaltspflichten des Teilnehmers

7.1 Schutz der Authentifizierungselemente

(1) Der Teilnehmer hat alle zumutbaren Vorkehrungen zu treffen, um seine Authentifizierungselemente (siehe Nummer 2 dieser Bedingungen) vor unbefugtem Zugriff zu schützen.

[…]

(b) Besitzelemente, wie z.B. ein mobiles Endgerät sind vor Missbrauch zu schützen, insbesondere,

[…] dürfen die Nachweise des Besitzelements (z.B. TAN) nicht außerhalb des Online Banking mündlich (z.B. per Telefon) oder in Textform (z.B. per E-Mail, Messenger-Dienst) weitergegeben werden und

muss der Teilnehmer, der von der Bank einen Code zur Aktivierung des Besitzelements (z.B. Mobiltelefon für die Anwendung für das Online Banking) erhalten hat, diesen vor dem unbefugten Zugriff anderer Personen sicher verwahren; ansonsten besteht die Gefahr, dass andere Personen ihr Gerät als Besitzelement für das Online Banking des Teilnehmers aktivieren.“

Wegen der weiteren Einzelheiten der Bedingungen für die Nutzung des Online-Bankings wird auf Anlage Bezug genommen.

Zur Durchführung einer Überweisung mittels Online-Bankings muss sich der Kunde der Beklagten zunächst mit seinen Online-Banking-Zugangsdaten, d.h. dem Nutzernamen und der dazugehörigen Online-Banking-PIN, die nur ihm bekannt sind, im Online-Banking anmelden. Dort gibt er eine Überweisung in Auftrag. Diese wird dann mittels des sog. pushTAN-Verfahrens freigegeben. Hierzu ist auf dem mobilen Endgerät des Onilne-Banking-Teilnehmers eine pushTAN-App, die sog. SantanderSign-App, installiert und freigeschaltet. Ist eine Überweisung in Auftrag gegeben, erhält der Online-Banking-Teilnehmer in seiner freigeschalteten SantanderSign-App automatisch die zum Überweisungsauftrag gehörende pushTAN. Mit dieser pushTAN gibt der Online-Banking-Teilnehmer die Überweisung frei.

Soll eine neue pushTAN-App registriert und aktiviert werden, bedarf es hierzu eines eigenen Authentifizierungsverfahrens. Zunächst muss der Auftrag hierzu im Online-Banking erteilt werden. Anschließend erhält der Online-Banking-Teilnehmer auf seine bei der Beklagten hinterlegte Mobilfunknummer eine SMS mit einem Aktivierungslink zur Aktivierung der -App auf einem neuen Gerät. In der SMS wird der Online-Banking-Teilnehmer darauf hingewiesen, diesen Link niemals zu kopieren, zu teilen oder einzugeben. Der Link ist zwingend erforderlich, um die -App auf einem neuen Gerät freizuschalten.

Auf der Website der Beklagten warnt diese vor sog. Phishing-Attacken.

Am wurde die Klägerin von einer österreichischen Nummer angerufen, wobei Einzelheiten zum Inhalt des Telefonats zwischen den Parteien teilweise streitig sind.

Im Online-Banking der Klägerin wurde sodann der Auftrag erteilt, die -App auf einem neuen Gerät zu registrieren bzw. freizuschalten. Kurz darauf wurde die Klägerin von der Anruferin darauf hingewiesen, dass sie eine SMS mit einem Link bekomme, den sie nicht öffnen sollte, sondern kopieren und ihr auf die E-Mail senden sollte. Die von der Beklagten versandte SMS enthielt einen Aktivierungslink, welcher die Aktivierung der Authentifizierungsapp auf einem neuen Gerät ermöglichte. Dem Aktivierungslink war in der SMS die Warnung „Tippen Sie auf den Link um zu registrieren. Link NIEMALS kopieren, teilen oder eingeben“ vorangestellt. Die Klägerin befolgte die Anweisungen und übersandte den gesamten Inhalt der SMS einschließlich Warnung und Link an die angegebene E-Mail-Adresse. Die Anruferin bedankte sich und teilte der Klägerin mit, dass der Vorgang für die PIN-Aktualisierung 24 Stunden dauern würde und die Klägerin sich in diesem Zeitraum nicht mehr in ihr Online-Banking einloggen könne. Die Klägerin würde einen Brief erhalten mit der PIN und eine E-Mail nach 24 Stunden, welche den PIN beinhalten sollte, damit die Klägerin das Online-Banking dann wieder nutzen könne. Die Klägerin bedankte sich und fragte am Ende etwas verwundert nach, wieso die Anruferin sie unter einer österreichischen Nummer anrufen würde. Die Anruferin erklärte, dass die Zentrale der Beklagten in Österreich sitzen würde.

Gleichzeitig mit der erfolgreichen Freischaltung der App auf dem neuen Gerät erhielt die Klägerin eine weitere SMS mit dem Inhalt „wurde auf dem Gerät Iphone aktiviert. Das waren Sie nicht? Sperren Sie Ihr Banking umgehend unter dieser Nummer:“

Die streitgegenständlichen Überweisungen wurden daraufhin am um Uhr und am um Uhr über die neu registrierte -App freigegeben.

Die Klägerin erhielt unmittelbar nach jeder der beiden Überweisungen von der Beklagten eine SMS, in der sie über die Überweisung informiert wurde und aufgefordert wurde, die Beklagte zu kontaktieren, falls sie diese Überweisung nicht beauftragt habe.

Die Klägerin bemerkte nach Erhalt der SMS vom, dass sie am Vortrag bereits eine SMS erhalten hatte, mit der sie über eine Überweisung über EUR informiert worden war. Die Kläger kontaktierte die Beklagte, woraufhin das Online-Banking der Klägerin gesperrt wurde. Die Klägerin erstattete eine Anzeige.

Mit anwaltlichem Schreiben vom forderte die Klägerin die Beklagte zur Rückerstattung der Zahlungen auf.

Die Klägerin beantragte zum einen Kontowechsel zu einer anderen Bank. Das Girokonto bei der Beklagten besteht jedoch weiterhin, weil dieses einen Sollsaldo von EUR aufweist.

Die Klägerin behauptet, die Anruferin habe sich als Mitarbeiterin der Santander Bank vorgestellt und explizit nach dem Namen der Klägerin gefragt. Sie habe alles über die Klägerin gewusst. Auch die E-Mail-Adresse der Klägerin habe die Anruferin bereits gekannt. Die Klägerin habe diese lediglich bestätigt. Daraufhin habe die Anruferin gefragt, ob die Klägerin schon Bescheid wüsste und die schriftliche Mitteilung der bekommen hätte, welche erklären sollte, dass das Online Banking System ab dem nur noch mit aktualisierter PIN funktionieren würde. Nachdem die Klägerin dies verneint habe, habe die Anruferin der Klägerin Hilfe angeboten.

Die erste SMS, mit der sie über die erste Überweisung informiert wurde, habe sie vermutlich nicht gelesen, weil sie diese noch während des Telefonats mit der Anruferin erhalten habe. Die Klägerin behauptet, sie habe den Erhalt der SMS vom erst am bemerkt, weil sie bei Erhalt der SMS vermutlich schon geschlafen habe.

Die Klägerin behauptet, sie habe nicht grob fahrlässig gehandelt. Das Verhalten der Anruferin sei für sie plausibel und glaubwürdig gewesen. Sie habe auch nicht gewusst, wo die Beklagte ihren Sitz hat.

Die Klägerin stehe zudem ein Schadensersatzanspruch gegen die Beklagte zu, da zum Zeitpunkt der Zahlungen – unstreitig – ein Verfügungsrahmen von EUR pro Tag vereinbart war. Dieser Rahmen diene dazu, nicht autorisierte Überweisungen durch kriminelles Handeln zu vermeiden.

Ein Anspruch der Beklagten sei zudem gesetzlich ausgeschlossen, weil die Beklagte ihrer Verpflichtung zur Zwei-Faktor-Authentifizierung zum Tatzeitpunkt nicht nachgekommen sei. Hilfsweise beruft sich die Klägerin darauf, dass die Beklagte ihre Pflichten aus dem Zahlungsdienstvertrag dadurch schuldhaft verletz habe und daher zur Erstattung des Schadens verpflichtet sei. Auch weise das IT-System der Beklagten Schwachstellen auf.

Die Klägerin beantragt wörtlich, die Beklagte zu verurteilen, an sie EUR nebst Zinsen in Höhe von % seit Rechtshängigkeit zu zahlen.

Hilfsweise beantragt sie wörtlich, die Beklagte zu verurteilen, das Girokonto der Klägerin mit der wieder auf den Stand zu bringen, auf dem dieses sich ohne Belastungen vom und in Höhe von EUR, insgesamt EUR, dies nebst Zinsen in Höhe von % seit Rechtshängigkeit über dem Basiszinssatz der EZB seit Rechtshängigkeit, befunden hätte.

Die Beklagte beantragt, die Klage abzuweisen.

Sie behauptet, die Klägerin habe grob fahrlässig gegen ihre Pflicht zum sorgsamen Umgang mit ihren personalisierten Sicherheitsmerkmalen verstoßen. Daher habe die Klägerin den erlittenen Schaden nach Ziffer 10.2.1 Abs. 3 der Bedingungen selbst zu tragen.

Die Beklagte bestreitet den Inhalt des Telefonats mit Nichtwissen. Der Klägerin hätte schon aufgrund der österreichischen Telefonnummer klar sein müssen, dass es sich – unstreitig – nicht um einen Anruf der Beklagten handelte. Dass die Klägerin Kenntnis vom Sitz der Beklagten gehabt habe, folge bereits aus den Unterlagen zur

Die Beklagte bestreitet mit Nichtwissen, dass die Klägerin die erste Überweisungsmitteilungs-SMS erst am Folgetag gelesen habe. Es sei unglaubwürdig, dass sie zum Erhalt der SMS bereits geschlafen habe. Selbst hier hätte die Klägerin jedenfalls die zweite Überweisung durch eine Sperranzeige noch verhindern können.

Es liege bereits keine Überschreitung des vereinbarten Tageslimits vor, weil die Überweisungen – unstreitig – an verschiedenen Tagen erfolgten. Im Übrigen sei der Beklagten auch kein Mitverschulden anzulasten.

Die Beklagte ist der Ansicht, der Anspruch der Klägerin sei bereits nach Ziff. 10.2.1 Abs. 3 der Bedingungen für die Nutzung des Online-Bankings ausgeschlossen. Jedenfalls bestünde ein Gegenanspruch nach § 675v Abs. 3 Nr. 2 BGB in Höhe von EUR. Die Beklagte erhebt die „dolo agit“-Einrede. Hilfsweise erklärt sie die Aufrechnung dem vorgenannten Anspruch.

Entscheidungsgründe

I.

Der Haupt- sowie der Hilfsantrag waren dahingehend auszulegen, dass die Klägerin Zinsen in Höhe von Prozentpunkten über dem Basiszinssatz begehrt (vgl. BGH Beschl. v. 7.2.2013 – VII ZB 2/12, BeckRS 2013, 4311; OLG Hamm, Urteil vom 5. 4. 2005 – 21 U 149/04, NJW 2005, 2238).

Die zulässige Klage ist unbegründet.

1.

Die Klage ist hinsichtlich des Hauptantrags unbegründet.

a.

Der Klägerin steht kein Anspruch auf Zahlung von EUR gegen die Beklagte aus § 675u S. 2 BGB zu.

Nach § 675u S. 2 BGB ist der Zahlungsdienstleister im Fall eines nicht autorisierten Zahlungsvorgangs verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.

Ein Zahlungsanspruch – wie mit dem Hauptantrag geltend gemacht – steht der Klägerin von vornherein nicht zu. Denn im Falle der unberechtigten Überweisung von einem Zahlungskonto ist der Anspruch des Zahlers auf Gutschrift des schon belasteten Betrages gerichtet, nicht aber auf Zahlung, § 675 u Satz 2 BGB. Soweit sich der Anspruch der Klägerin nach Auflösung des Kontos in einen Zahlungsanspruch umwandeln würde, trägt die Klägerin diesbezüglich nichts vor. Nach unbestrittenem Beklagtenvortrag besteht das Girokonto wegen eines Sollsaldos fort.

b.

Der Klägerin steht kein Anspruch aus § 280 Abs. 1 BGB gegen die Beklagte zu.

Die Beklagte hat keine Pflichten verletzt. Soweit sich die Klägerin darauf beruft, dass zum Zeitpunkt der Zahlungen unstreitig ein Verfügungsrahmen von EUR pro Tag vereinbart war, kann offenbleiben, welchem Zweck diese Vereinbarung gilt, weil dieser tägliche Verfügungsrahmen schon deshalb nicht überschritten wurde, weil die Überweisungen von jeweils unter EUR an aufeinander folgenden Tagen durchgeführt wurden.

c.

Der Klägerin steht auch aufgrund ihrer Hilfsbegründung kein Anspruch aus § 280 Abs. 1 BGB gegen die Beklagte zu.

aa.

Soweit die Klägerin eine angeblich unterbliebene Verwendung einer Zwei-Faktor-Authentifizierung rügt, liegt diesbezüglich keine Pflichtverletzung der Beklagten vor, weil die Beklagte eine starke Kundenauthentifizierung im Sinne des § 1 Absatz 24 des ZAG verlangt und die streitgegenständlichen Zahlungen mittels einer solchen Freigegeben wurden. Eine starke Kundenauthentifizierung ist nach § 1 Abs. 24 ZAG eine Authentifizierung, die so ausgestaltet ist, dass die Vertraulichkeit der Authentifizierungsdaten geschützt ist und die unter Heranziehung von mindestens zwei der folgenden, in dem Sinne voneinander unabhängigen Elementen geschieht, dass die Nichterfüllung eines Kriteriums die Zuverlässigkeit der anderen nicht in Frage stellt: 1.Kategorie Wissen, also etwas, das nur der Nutzer weiß, 2.Kategorie Besitz, also etwas, das nur der Nutzer besitzt oder 3.Kategorie Inhärenz, also etwas, das der Nutzer ist. Die streitgegenständlichen Zahlungen wurden unter Verwendung einer solchen starken Kundenauthentifizierung ausgeführt, weil sowohl Besitzelement in Form der auf dem Mobiltelefon eines Dritten freigeschalteten -App als der Login der Klägerin zur Freigabe der Transaktion erforderlich waren und genutzt wurden.

bb.

Soweit die Klägerin rügt, dass das IT-System der Beklagten offensichtliche Schwachstellen aufweise, ist der Vortrag bereits nicht ausreichend substantiiert und erfolgt erkennbar ins Blaue hinein. Zudem ist nicht ersichtlich, dass die Überweisungen aufgrund einer Schwachstelle im IT-System erfolgt wären, weil sich aus dem Geschehensablauf ergibt, dass es die Klägerin dem unbekannten Dritten selbst (unwissentlich) ermöglicht hat, die -App auf einem weiteren Mobiltelefon freizuschalten. Soweit letztlich ungeklärt ist, wie der unbekannte Dritte in Besitz der Wissenselemente gelangt ist, ist dies unschädlich. Auch hier ist nicht zwingend, dass dies aufgrund einer Schwachstelle im IT-System der Beklagten erfolgt wäre.

d.

Mangels Hauptanspruchs besteht auch kein Anspruch auf Zinsen.

2.

Soweit die Klägerin in der mündlichen Verhandlung vom klargestellt hat, dass der Hilfsantrag unter der Bedingung gestellt werden soll, dass der Klageantrag abgewiesen wird, war über den Hilfsantrag zu entscheiden.

Allerdings ist der Hilfsantrag ebenfalls unbegründet.

a.

Der Klägerin steht im Ergebnis auch kein Anspruch auf Gutschrift gemäß § 675u S. 2 BGB zu, weil der Klageforderung der Einwand unzulässiger Rechtsausübung gemäß § 242 BGB entgegensteht, worauf sich die Beklagte ausdrücklich beruft, da der Beklagten gegen die Klägerin bei Bestehen eines Erstattungsanspruchs aus § 675u Satz 2 BGB ein Schadensersatzspruch in gleicher Höhe jedenfalls gemäß § 675v Abs. 3 BGB zustehen würde (vgl. BGH Urt. v. 17.11.2020 – XI ZR 294/19, BeckRS 2020, 38721 Rn. 44), wobei es keiner Entscheidung bedarf, ob der Anspruchsausschluss auch aufgrund der unstreitig einbezogenen Bedingungen für die Nutzung des Online-Bankings folgt.

Nach § 675v Abs. 3 Nr. 2 ist der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler den Schaden durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments herbeigeführt hat.

Die Klägerin hat gegen die vertraglichen Sorgfaltspflichten der Bedingungen für das Online-Banking der Beklagten, dort Ziffer 7.1 (b), die – unwidersprochen – bereits bei Vertragsschluss zwischen ihm und der Beklagten Vertragsbestandteil waren, grob fahrlässig verstoßen (§ 675 v Abs. 3 Nr. 2 lit. b). Danach war die Klägerin dazu verpflichtet, alle zumutbaren Vorkehrungen zu treffen, um ihre Authentifizierungselemente vor unbefugtem Zugriff zu schützen und insbesondere keine Nachweise des Besitzelements (z.B. TAN) außerhalb des Online Banking mündlich (z.B. per Telefon) oder in Textform (z.B. per E-Mail, Messenger-Dienst) weiterzugeben und den von der Bank erhaltenen Code zur Aktivierung des Besitzelements (z.B. Mobiltelefon für die Anwendung für das Online Banking) vor dem unbefugten Zugriff anderer Personen sicher zu verwahren.

aa.

Gegen diese Pflichten hat die Klägerin verstoßen, indem sie der Anruferin, die sich – zugunsten der Klägerin unterstellt – als Mitarbeiterin der Beklagten ausgegeben hat, den zur Aktivierung der -App auf einem neuen Gerät erforderlichen Link per E-Mail übersandt hat.

Dabei handelt es sich bei der Anruferin auch um eine andere Person im Sinne der Bedingungen für das Online-Banking. Bereits eine Einschränkung für tatsächliche Mitarbeiter der Beklagten ist der Bedingung nicht zu entnehmen. Der Begriff „andere“ Person ist vielmehr als vom Kunden verschiedene Person zu verstehen und bezieht sich damit auf jede, vom Kunden verschiedene Person.

bb.

Diese vertragliche Sorgfaltspflicht hat die Klägerin grob fahrlässig verletzt. Grob fahrlässig handelt, wer die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt, einfachste und naheliegende Überlegungen nicht anstellt und in der konkreten Situation das nicht beachtet, was sich jedem aufdrängt (MüKoBGB/Zetzsche, 8. Aufl. 2020, BGB § 675v Rn. 42), wobei sich aus Erwägungsgrund 33 der ZDRL ergibt, dass die Ausgestaltung des Begriffs nationalem Recht überlassen ist (MüKoBGB/Zetsche, a.a.O.). Nach diesen Grundsätzen stellt sich das Verhalten Klägerin in der Gesamtschau als grob fahrlässig dar, wobei dahinstehen kann, wie die Anruferin in den Besitz der Zugangsdaten zum Online-Banking, insbesondere der E-Mail-Adresse der Klägerin, gelangt ist.

Der Klägerin hätte bereits zu Beginn des Gesprächs auffallen müssen, dass es sich aufgrund des Anrufs mit einer österreichischen Nummer jedenfalls ohne weitere Erklärung hierzu nicht um einen Mitarbeiter der Beklagten handeln konnte. Auch wenn sich aus den Kontoeröffnungsunterlagen grundsätzlich ergibt, dass sich der Sitz der Beklagten in Deutschland befindet, mag der Klägerin zugutegehalten werden, dass sie diese Kenntnis nicht präsent hatte. Allerdings ergibt sich bereits aus dem Vortrag der Klägerin, dass sie selbst Misstrauen hegte, weil sonst nicht erklärlich ist, warum sie die Anruferin am Ende des Telefonats verwundert gefragt hat, warum die Anruferin als ausgegebene Mitarbeiterin der Beklagten mit einer österreichischen Nummer angerufen hat.

Zudem hätte der Klägerin auffallen müssen, dass sie einen Aktivierungslink für die -App per E-Mail an eine offensichtlich, anhand der E-Mail-Adresse („@“) zu erkennenden, nicht zur Beklagten gehörende E-Mail-Adresse versendet. Auch soll die Anruferin angegeben haben, lediglich eine PIN-Aktualisierung vorzunehmen, woraus schon kein Zusammenhang zur Registrierung der -App folgt. Aus dem Vortrag der Klägerin ergibt sich auch keinerlei sonstige Erklärung der Anruferin, wozu diese einen Link zur Aktivierung der -App benötigen würde. Dass sie selbst keinen Auftrag zur Registrierung der -App aufgegeben hat, muss der Klägerin bekannt gewesen sein. Schlechthin nicht mehr nachvollziehbar ist zudem, dass die Klägerin den gesamten Inhalt der SMS einschließlich der darin enthaltenen, eindeutigen Warnung „Link NIEMALS kopieren, teilen oder eingeben“ per E-Mail weitergeleitet hat. Diesbezüglich muss die Klägerin auch den Inhalt der SMS geöffnet haben, weil sie diesen sonst nicht hätte weiterleiten können. Selbst wenn die Klägerin dabei den Inhalt nicht gelesen hätte, würde sich dies wiederum als grob fahrlässig darstellen, weil der Warninhalt eindeutig ist.

cc.

Der Anspruch ist auch nicht nach § 675v Abs. 4 Nr. 1 BGB ausgeschlossen, weil die Beklagte nicht die Verwendung einer Zwei-Faktor-Authentifizierung verlange. Nach § 675v Abs. 4 Nr. 1 ist der Zahler abweichend von den Absätzen 1 und 3 seinem Zahlungsdienstleister nicht zum Schadensersatz verpflichtet, wenn der Zahlungsdienstleister des Zahlers eine starke Kundenauthentifizierung im Sinne des § 1 Absatz 24 des ZAG nicht verlangt. Nach dem Vorstehenden wurde eine solche allerdings verwendet.

b.

Mangels Hauptanspruchs besteht auch kein Anspruch auf Zinsen.

II.

Die prozessualen Nebenentscheidungen folgen aus §§ 91 Abs. 1, 709 ZPO.

Der Streitwert wird auf 9.490,00 EUR festgesetzt.