Kreditkarten-Abbuchung nach Online-Betrug: Zahlt die Bank trotz Ihrer Bestätigung?

1. Die Beklagte wird verurteilt, dem Konto des Klägers bei der Beklagten mit der Kto.-Nr. … den Betrag von 2.647,80 € mit Wert 26.04.2023 wieder gutzuschreiben.

2. Die Beklagte wird verurteilt, den Kläger von vorgerichtlichen Rechtsanwaltskosten in Höhe von 367,23 € freizustellen.

3. Im Übrigen wird die Klage abgewiesen.

4. Die Beklagte hat die Kosten des Rechtsstreits zu tragen.

5. Das Urteil ist für den Kläger gegen Sicherheitsleistung in Höhe von 3500 € vorläufig vollstreckbar.

Beschluss

Der Streitwert wird auf 2.770,68 € festgesetzt.

Tatbestand

Die Parteien streiten um die Wiedergutschrift einer Kontobelastung.

Der Kläger unterhält bei der Beklagten ein Girokonto mit der Nummer … . Am 23.06.2022 schlossen die Parteien die „Rahmenvereinbarung über die Teilnahme am Online-Banking“ ab. Gemäß Ziffer 7 dieser Vereinbarung wurde für das Online-Banking das sogenannte Chipkartenverfahren zur Generierung von TAN über einen dem Kläger vorliegenden TAN-Generator vereinbart. Nach Ziffer 13 dieser Vereinbarung wurde die Geltung der „Bedingungen für das Online-Banking“ zwischen den Parteien vereinbart. Im Hinblick auf die Einzelheiten wird verwiesen auf die Anlagen B1 und B2. Am 10.10.2022 vereinbarte der Kläger die Teilnahme am 3D-Secure-Verfahren indem er über einen App-Store die S-ID-Check-App auf seinem Handy installierte, dort die Erlaubnis zum Erhalt von Mitteilungen aus der S-ID-Check-App erteilte, die auf dem Bildschirm dargestellten „Verfahrenshinweise für die Nutzung von 3D-Secure“ akzeptierte, seine Kreditkartendaten in die App eingab und den Anmeldevorgang durch die Eingabe einer ihm übermittelten TAN bestätigte. Im Hinblick auf den genauen Wortlaut der Verfahrenshinweise für die Nutzung von 3D-Secure wird Bezug genommen auf die Anlage B3. Im Rahmen dieses Verfahrens sind Zahlungen mit der Kreditkarte über das Internet nur noch mit einer sogenannten 2-Faktor-Authentifizierung möglich. Der Besitz des Smartphones mit den nur auf diesem Gerät registrierten Kreditkartendaten stellt den 1. Authentifizierungsfaktor dar, die nur dem Nutzer bekannte PIN, die bei der Installation und Registrierung der S-ID-Check-App vom Kläger vergeben wurde, den 2. Faktor. Die Kreditkartendaten können jeweils nur auf einem Mobilgerät registriert werden. Am 15.04.2023 stellte der Kläger bei e. eine Motorabdeckung zum Verkauf ein. Ein Kaufinteressent meldete sich per Mail über e. beim Kläger. Der Kaufinteressent bot dem Kläger an, die Zahlung des Kaufpreises über die Funktion „e. sicher bezahlen“ abwickeln zu wollen, wonach bei e. ein Konto eröffnet werden müsse. Der Kaufinteressent sandte dem Kläger per E-Mail einen Link, den der Kläger öffnete und anschließend dort seine Kreditkartendaten in eine Maske mit dem e. -Logo eingab. Am 17.04.2023 um 23:07 Uhr ging bei der BCS Bayern C. Service GmbH (im Folgenden: BCS), die die technische Abwicklung von Kreditkartentransaktionen durchführt, die von bayerischen Sparkassen an Kreditkartennutzer ausgegeben wurden, der Auftrag ein, die Kreditkarte des Klägers auf einem neuen Mobilgerät zu registrieren. Dieser Vorgang wurde nicht vom Kläger initiiert. Der Kläger erhielt auf seinem ursprünglichen Mobilgerät über die S-ID-check-App folgende Mitteilung: „Bitte bestätigen Sie, dass Sie die Registrierung ändern möchten.“ Der Kläger bestätigte die Änderung. Die Kreditkarte des Klägers wurde auf ein anderes Mobilgerät registriert. Am 17.04.2023 um 23:42 Uhr wurde von dem neuen Mobilfunkgerät ein Zahlungsvorgang mittels Kreditkarte in Höhe von 2.647,80 € an M. autorisiert. Mit Kreditkartenabrechnung vom 24.04.2023 buchte die Beklagte insgesamt 2.770,68 Euro vom Girokonto des Klägers ab. Als der Kläger die hohe Abbuchung am 27.04.2023 feststellte, ließ er seine Kreditkarte sperren. Der Kläger erstattete am 05.05.2023 Strafanzeige gegen Unbekannt wegen Computerbetrugs. Der Kläger wandte sich am 28.04.2023 an die BCS und bat um Rückvergütung der nicht autorisierten Transaktion über 2.647,80 €. Die Erstattung des Betrags wurde sowohl von der BCS als auch von der Beklagten abgelehnt. Mit anwaltlichen Schreiben vom 20.10.2023 forderte der Kläger von der Beklagten die Gutschrift des Betrags von 2.647,80 € auf seinem Konto bis zum 05.11.2023. Eine Gutschrift durch die Beklagte erfolgte nicht.

Der Kläger trägt vor, gedacht zu haben, dass er mit der Bestätigung der Registrierungsänderung die Eröffnung eines Kontos bei „e. sicher bezahlen“ bestätigt habe. Dem Kläger sei zu keinem Zeitpunkt klar gewesen, dass er mit der Bestätigung der Registrierungsänderung einer Geräteänderung zugestimmt habe und seine Daten daraufhin auf ein neues, fremdes Mobilgerät übermittelt worden seien. Der Kläger gibt an, den Zahlungsvorgang vom 17.04.2023 in keinster Weise autorisiert zu haben. Der Kläger meint, dass die Abbuchung der Kreditkartenumsätze von seinem Girokonto mittels S. -Lastschriftverfahren erfolgt sei. Es würde sich um ein Dreipersonenverhältnis handeln. Der Kläger als Zahlender, die Beklagte als Kreditinstitut und die Firma BCS als dritte Person. Aufgrund dessen sei er berechtigt, gemäß § 675 × Abs. 2 und Abs. 4 BGB den kompletten abgebuchten Betrag gemäß der Kreditkartenabrechnung vom 24.04.2023 von der Beklagten zurückzufordern. Der Kläger meint, dass ein Hinweis, wonach die Bestätigung der Registrierungsänderung zur Folge habe, dass die Kreditkarte nicht mehr auf dem ursprünglichen Mobilgerät registriert sei, sondern auf einem anderen, technisch möglich sei und bei einer so wichtigen Änderung auch zwingend erforderlich sei. Alternativ könne man auch daran denken, eine so wichtige Änderung nur per schriftlichen Auftrag mit Identifikationscode oder in einer Sparkassenfiliale zu ermöglichen. Der Kläger ist der Auffassung, dass ihm ein grob fahrlässiges Verhalten nicht zur Last gelegt werden könne.

Der Kläger beantragt zuletzt:

1.

Die Beklagte wird verurteilt, dem Konto des Klägers bei der Beklagten mit der Kto.-Nr. … den Betrag von 2.770,68 € mit Wert 26.04.2023 wieder gutzuschreiben.

2.

Hilfsweise: Die Beklagte wird verurteilt, dem Konto des Klägers bei der Beklagten mit der Kto.-Nr. … den Betrag von 2.647,80 € mit Wert 26.04.2023 wieder gutzuschreiben.

3.

Die Beklagte ist verpflichtet, den Kläger von den vorgerichtlichen Rechtsanwaltskosten in Höhe von 367,23 € freizustellen.

Die Beklagte beantragt, Klageabweisung.

Die Beklagte bestreitet, dass die Kreditkartentransaktion vom 17.04.2023 nicht vom Kläger autorisiert worden wäre. Die Beklagte bestreitet weiter, dass der Kläger bei „e. -sicher bezahlen“ ein Konto eröffnet habe. Dies sei nicht möglich. Die Beklagte meint, dass ein Zusammenhang zwischen der Registrierungsänderung durch den Kläger und der von diesem behaupteten Kontoeröffnung bei e. völlig abwegig und unsinnig sei. Aus dem Wortlaut der Bestätigungsanforderung würde sich eindeutig ergeben, dass es sich inhaltlich um die Änderung einer bereits bestehenden Registrierung handele, also weder um die Neueröffnung einer Kontoverbindung noch um eine zusätzliche Registrierung. Die Beklagte meint, dass, wenn der Kläger die Aufträge vom 17.04.2023 nicht autorisiert hätte, dem klägerischen Anspruch ein Schadensersatzanspruch gem. § 675 v Abs. 3 BGB der Beklagten in gleicher Höhe gegenüber stünde, mit dem die Beklagte aufrechnen könne bzw. den Einwand der unzulässigen Rechtsausübung geltend machen könne. Durch die Offenbarung seiner Kreditkartendaten gegenüber einem Dritten und die Bestätigung der Änderung der Registrierung habe der Kläger grob fahrlässig gehandelt. Ein objektiv schwerwiegender Pflichtverstoß läge weiterhin darin, wenn der Zahlungsdienstnutzer entgegen den in den Vertrag einbezogenen Vertragsbedingungen vor der Bestätigung des Zahlungsauftrags die Übereinstimmung der ihm auf dem Chipkartenlesegerät angezeigten Daten nicht überprüfe. Die Beklagte behauptet, dass der Kläger in grob fahrlässiger Weise mehrfach die ihm obliegenden Sorgfaltspflichten verletzt habe und so einem unbekannten Phishingbetrüger die Möglichkeit verschafft habe, zulasten des Klägers die streitgegenständliche Kreditkartentransaktion durchzuführen. Die Beklagte ist der Auffassung, es wäre Sache des Klägers gewesen, selbst bei e. über die Funktion „sicher bezahlen“ ein Nutzerkonto einzurichten und im Anschluss dem Kaufinteressenten dessen Nummer mitzuteilen. Anstatt dessen habe der Kläger diesen Vorgang offensichtlich aus Bequemlichkeit dem unbekannten Kaufinteresse überlassen. Es sei abwegig, dass eine 3. Person für den Kläger bei e. ein Konto eröffnen wolle. Es hätte bereits den Argwohn des Klägers wecken müssen, dass ihm eine fremde Person die Abwicklung der Kaufpreiszahlung über ein bei e. Kleinanzeigen einzurichtendes Konto angeboten habe und zu diesem Zweck die E-Mail-Adresse des Klägers erfragt habe. Gleichermaßen unüblich und hoch verdächtig hätte dem Kläger bereits der bloße Umstand erscheinen müssen, dass ihm nur per E-Mail ein Link zur Eröffnung eines Kundenkontos bei e. übermittelt würde. Im Normalfall erfolge eine Kontoeröffnung ausschließlich über die Plattform, auf der sich der künftige Nutzer selbst einloggen müsse. Auch hieraus müsse ein Internetnutzer auf das Vorliegen eines Betrugsversuchs schließen. Außerdem sei es völlig abwegig und in keiner Weise nachvollziehbar, aus welchem Grund für den Erhalt einer Zahlung die Angabe des Kreditkartenkontos des Zahlungsempfängers erforderlich sein solle. Das Kreditkartenkonto sei ausschließlich zur Verbuchung von Kreditkartenumsätzen, also Zahlungsausgängen konzipiert, nicht aber für Zahlungseingänge. Eine Überweisung auf eine Kreditkarte sei nicht möglich. Spätestens an dieser Stelle hätten sich für den Kläger die bisherigen Verdachtsmomente zur Gewissheit verdichten müssen, dass er durch die vorgebliche e. Anmeldung Opfer eines Phishingversuchs werden würde, mit dem seine persönlichen Daten, insbesondere seine Kreditkartendaten abgefischt werden sollten. Da der Kläger diese Verdachtsmomente ignoriert und bedenkenlos seine Kreditkartendaten ohne sachliche Notwendigkeit offenbart habe, begründe den Vorwurf grober Fahrlässigkeit. Da der Kläger vor Zugang der Nachricht über die S-ID-check-App, wonach eine Registrierungsänderung bestätigt werden sollte, keinerlei Zahlungsvorgang mit seiner Kreditkarte angestoßen habe, habe im bewusst sein müssen, dass er auch keine Änderung einer bereits bestehenden Registrierung veranlasst habe. Da in dieser Aufforderung zur Bestätigung der Registrierungsänderung in keiner Weise ersichtlich gewesen sei, dass damit die Neueröffnung eines Nutzerkontos bei e. Kleinanzeigen genehmigt würde und in der S-ID-Check-App auch nicht das Firmenlogo von e. , sondern das der Sparkasse angezeigt worden sei, habe der Kläger keinerlei Anzeichen dafür gehabt, dass es sich bei der zu bestätigenden Registrierungsänderung um eine erstmalige Registrierung bei „e. sicher bezahlen“ handeln würde.

Das Gericht hat mündlich verhandelt am 18.09.2024 und in der mündlichen Verhandlung vom 26.02.2025 den Kläger angehört sowie Beweis erhoben durch Einvernahme des Zeugen P. . Auf die Sitzungsniederschriften wird jeweils Bezug genommen.

Zur Ergänzung des Tatbestands wird verwiesen auf sämtliche Schriftsätze der Parteien nebst Anlagen sowie sonstigen Aktenbestandteile.

Entscheidungsgründe

Die Klage war zulässig, insbesondere war das Amtsgericht Freising sachlich und örtlich zuständig.

Die Klage war im zugesprochenen Umfang begründet, darüber hinaus unbegründet.

Der Kläger hat gegenüber der Beklagten einen Anspruch aus § 675 u Satz 2 BGB auf Wiedergutschrift eines Betrags in Höhe von 2.647,80 €. Das Gericht ist nach Anhörung des Klägers davon überzeugt, dass dieser nicht selbst die Kreditkartentransaktion „M. “ veranlasst hat. Zwischen den Parteien ist unstreitig, dass eine Umregistrierung der Kreditkarte des Klägers auf ein anderes Handy stattgefunden hat. Diesen Vorgang hat der Kläger durch Bestätigung auf der S-ID-Check-App autorisiert. Das Gericht schenkt dem Kläger Glauben, wenn er angibt, die streitgegenständliche Transaktion nicht durchgeführt zu haben, sondern erst anhand der Kreditkartenabrechnung von dieser erfahren zu haben. Die anderen auf der Anlage K1 aufgeführten Transaktionen wurden jedoch vom Kläger autorisiert. Deswegen scheidet ein Anspruch gemäß § 675 u BGB aus. Ein Anspruch gemäß § 675 × Abs. 2, Abs. 4 BGB besteht nicht, da es sich vorliegend nicht um eine S. -Lastschrift handelt. Ausweislich der Anlage K2 erfolgt die Belastung der Kreditkartenumsätze auf das dort genannte Konto des Klägers. Der darunterliegende Abschnitt, wonach die Belastung gemäß S. -Lastschriftmandat erfolgt, ist explizit nicht angekreuzt. Es liegt gerade kein 3-Personenverhältnis vor, bei dem der Kläger einer 3. Person gestattet hat, eine Abbuchung von seinem Konto bei der Beklagten vorzunehmen. Der Kläger beantragte bei der Beklagten eine Kreditkarte. Dieser Antrag wurde von der Beklagten genehmigt. Dies lässt sich zwanglos der Anlage K2 entnehmen. Auch der einvernommene Zeuge P. hat bestätigt, dass sie sich nicht um eine S. -Lastschrift handelt, wenn die Umsätze der Kreditkarte vom Girokonto des Kunden eingezogen werden. In Höhe von 122,88 € steht dem Kläger daher unter keinem rechtlichen Gesichtspunkt ein Anspruch gegenüber der Beklagten auf Wiedergutschrift auf seinem Girokonto zu.

Die Beklagte hat ihrerseits gegenüber dem Kläger keinen Anspruch auf Schadensersatz in Höhe von 2.647,80 € gemäß § 675 v Abs. 3 Nummer 2b) BGB. Der Kläger hat die Änderung der Registrierung in der S-ID-Check-App bestätigt, ohne vorher einen Bezahlvorgang angestoßen zu haben. Dieses Verhalten ist als fahrlässig einzustufen. Auch das weitere Verhalten des Klägers im Vorgriff zu dieser Bestätigung stellt eine fahrlässige Pflichtverletzung des Klägers gegenüber der Beklagten dar. Der Kläger stellte als Verkäufer waren bei e. ein. Als sich eine Kaufinteressentin meldete und fragte, ob der Kläger diesen Artikel auch versenden würde, antwortete der Kläger, dass das möglich sei und eine Bezahlung über PayPal oder Überweisung zu erfolgen habe. Daraufhin meldete sich die Interessenten erneut mit dem Wunsch lieber über „e. sicher bezahlen“ bezahlen zu wollen. Daraufhin hat sich der Kläger im Internet schlau gemacht, aber nichts gefunden, wo er sich anmelden habe können. Dies hat er der Kaufinteressentin dann auch geschrieben. Daraufhin hat ihm die Kaufinteressentin einen Link geschickt, den der Kläger geöffnet hat, woraufhin eine Seite mit dem e. Logo erschienen ist. Dort hat er dann seinen Namen, seine Adresse und seine Kreditkartendaten eingegeben. Kurz darauf hat er dann diese push-tan-Nachricht erhalten und gedacht, dass das mit der Registrierung bei „e. sicher bezahlen“ zu tun habe. Bei diesem ganzen Vorfall hätten bereits mehrmals sämtliche Alarmglocken des Klägers schrillen müssen. Wenn er auf der offiziellen e. Seite nichts findet, wo er sich für dieses „e. sicher bezahlen“ anmelden kann, dann hätte er die Finger davon lassen müssen und auf eine Bezahlung per PayPal oder Überweisung bestehen müssen. Im weiteren Verlauf öffnet der Kläger einen Link, der ihm von einer ihm fremden Person übersandt wurde. Dann gibt er auch noch sämtliche seiner Kreditkartendaten in diesen Link ein und bestätigt schlussendlich auch noch eine Registrierungsänderung in der S-ID-Check-App. Der Kläger hat sich eigentlich überhaupt keine Gedanken darüber gemacht, wie sorglos er mit seinen sensiblen Kreditkartendaten umgeht. Dass er als Verkäufer Kreditkartendaten hinterlegen soll, kam ihm nicht komisch vor. Es ist richtig, dass auch Zahlungen auf Kreditkarten erfolgen können. Dies ist jedoch nur unter bestimmten Voraussetzungen möglich. Üblich ist das nicht. Es wird täglich davor gewarnt, keine Links zu öffnen von Personen, die man nicht kennt. Auch dies hat der Kläger, offenbar ohne weiter darüber nachzudenken, getan. Das ganze Verhalten des Klägers kann nur als Pflichtverletzung eingestuft werden. Nach der Rechtsauffassung des Landgerichts Landshut (vergleiche Hinweis im Verfahren 15 S 2568/24) scheidet jedoch eine grobe Fahrlässigkeit des Klägers bereits deswegen aus, weil die Beklagte den Freigabevorgang nicht konkret bezeichnet hat und – obwohl es sich um eine besonders schadensträchtige Maßnahme handelte – keinen deutlichen Warnhinweis abgegeben hat. Aufgrund der Push-Nachricht mit dem Inhalt: „Bitte bestätigen Sie, dass Sie Ihre Registrierung ändern möchten.“ war für den Kläger nicht erkennbar, dass er mit der Bestätigung des Buttons „Registrierung“ ein neues Mobiltelefon registriert und dadurch die Möglichkeit eröffnet, über ein anderes Mobiltelefon Kontoverfügungen freizugeben. Es fehlte daher bereits an einer präzisen, verständlichen Beschreibung des Auftrags in der Freigabeaufforderung. Außerdem wurden dem Kläger die weitreichenden Konsequenzen seiner Handlung nicht aufgezeigt. Aus diesem Grund liegt eine grobe Fahrlässigkeit des Klägers nicht vor und ein Schadensersatzanspruch der Beklagten gegenüber dem Kläger gemäß § 675 u BGB ist nicht gegeben.

Eine Schriftsatzfrist war beiden Parteien nicht zu gewähren, da die Schriftsätze der Parteien vom jeweils 21.02.2025 keinerlei neuen Tatsachenvortrag enthielten, der die Gewährung einer Schriftsatzfrist nötig gemacht hätte.

Die Anordnung der Vorlage der gespeicherten Gerätedaten für das Altgerät (Kläger Gerät) und das neue Gerät (Tätergerät) durch den Beklagten bzw. den Dienstleister der Beklagten gemäß § 142 ZPO erfolgte nicht, da diese Daten für die Entscheidung des Rechtsstreits ohne Belang sind.

Die Kostenentscheidung beruht auf § 92 Abs. 2 Nummer 1 ZPO, die Entscheidung zur vorläufigen Vollstreckbarkeit auf § 709 ZPO.