Missbrauch von Apple-Pay mit Hilfe einer erschlichenen PushTAN-Freigabe

Insoweit haben die Parteien die Bedingungen für das Online-Banking Stand 14.9.2019 der Beklagten vereinbart, in denen es u.a. heißt:

„7.3 Prüfung der Auftragsdaten mit von der Sparkasse angezeigten Daten

Die Sparkasse zeigt dem Teilnehmer die von ihr empfangenen Auftragsdaten (z. B. Betrag, Kontonummer des Zahlungsempfängers, Wertpapierkennnummer) über das gesondert vereinbarte Gerät des Teilnehmers an (z. B. mittels mobilem Endgerät, Chipkartenlesegerät mit Display). Der Teilnehmer ist verpflichtet, vor der Bestätigung die Übereinstimmung der angezeigten Daten mit den für den Auftrag vorgesehenen Daten zu prüfen.“

Unter Verwendung einer digitalen Sparkassenkarte (Apple Pay) wurden in verschiedenen Ladengeschäften in Hamburg zwischen dem 5.12 und dem 8.12.2022 mehrere Sachgüter bzw. Gutscheine gekauft, die zu 32 Abbuchungen in Höhe von insgesamt 13.356,25 E vom Girokonto des Klägers geführt haben (K 1). Die Übernahme des Schadens wurde von der Beklagten abgelehnt.

Der Kläger trägt im Wesentlichen vor, er habe das Konto bei der Beklagten zum 28.02.2024 gekündigt und dieses befinde sich im Haben, weshalb ein Zahlungsanspruch bestehe. Die digitale Sparkassenkarte sei ohne sein Wissen erstellt worden und habe sich nie in seiner Verfügungsgewalt befunden, die Geschäftsvorgänge seien von einem unbekannten Täter vorgenommen und von ihm am Samstag, 10.12.2022 bemerkt und am 12.12.2022 der Kundenberaterin bei der Beklagten gemeldet worden. im Zuge dieses Gesprächs sei er darauf hingewiesen worden, dass eine digitalisierte Version seiner EC-Karte am 18.10.2022 für den Zahlungsdienst Apple Pay erstellt worden sei, wovon er das erste Mal Kenntnis erlangt habe. Auf Anraten habe er bei der Polizei C Anzeige erstattet. Auszugsweise werde in dem mittlerweile wegen Nichtermittelbarkeit der Täter eingestellten Ermittlungsverfahren ausgeführt:

„Seit März 2022 bietet die Sparkasse ihren Kunden die Möglichkeit über ihr Homebanking Portal eine digitale EC/Debitkarte zu generieren. Hierzu wird nach dem Login im Kundenportal zur Erstellung lediglich eine TAN-nummer benötigt. Im Anschluss kann die Karte in Mobilgeräten über die App „Mobiles Bezahlen“ (Android) oder ein Wallet (Apple) eingepflegt und genutzt werden. Die Karte besitzt eine eigene Kartennummer und verfügt grundsätzlich über einen Verfügungsrahmen von 5.000 € pro Tag. Nach hiesiger Kenntnis bietet die Sparkasse diesen Service bislang exklusiv an.

Betrüger haben sich dieses neue Feature zunutze gemacht, indem Sie die Zugangsdaten von Bankkunden mittels Phishing ausspähen und damit solche Karten generieren. Die Phishing Links werden per E-Mail oder SMS verteilt und führt zu einer, der originalen Anmeldeseite des Homebanking Portals der Sparkasse nachempfundenen Eingabemaske. Im Unterschied zu digitalen Kreditkarten können digitale EC-Karten nur an Kartenterminals in den Geschäften vor Ort und nicht im Internet eingesetzt werden. Der Täter oder eine von ihm beauftragte Person muss somit zwingend persönlich in Erscheinung treten. Bei den bereits bekannt gewordenen Fällen gingen die Täter überwiegend Tankstellen und Drogeriefilialen an, um sich dort Guthabenkarten zu kaufen.“

Der Kläger ist der Auffassung, sein spätestens zum 13.12.2022 fälliger Anspruch ergebe sich aus § 675u BGB, da die Zahlungen nicht autorisiert seien. Ihm sei nicht bekannt, eine push-tan-Nachricht zur Freischaltung der Karte mit dem Texthinweis „digitale Karte für Apple Pay abrufen. Aktuelle Phishing Warnung: Nach Freigabe sind Zahlungen mit der Karte sofort möglich. Sicherheitshinweise beachten und bei Zweifeln abbrechen“ bestätigt zu haben. Die Log Dateien der Sparkasse zeigten am 18.10.2022 eine Registrierung einer Karte bei Apple Pay in der Zeit von 13:30 — 13:32 Uhr, wobei der Übermittler des Auftrags der Benutzer mit der dem Kläger zugeordneten Benutzerkennung 4010522181 gewesen sein soll, deren Erstellung und Autorisierung durch ihn nie erfolgt sei. Es sei davon auszugehen, dass die Täter die Bestätigung per pushTAN selbst ausgeführt hätten. Dies wäre technisch möglich, wenn die Täter auch Zugriff auf das Handy des Klägers erlangt hätten. Zudem gehe es nicht um die Eingabe einer TAN, sondern um eine Freigabe durch Wischen des Freigabe-Buttons (Swipe-Button). Der Kläger könne sich an einen solchen Vorgang nicht erinnern, da es einem Menschen nicht möglich sei, sich an Vorgänge zu erinnern, die nicht geschehen seien. Die Log-Dateien der Sparkasse zeigten am 18.10.2022 um 23:12 Uhr zudem den weiteren, ebenfalls nicht vom Kläger autorisierten Versuch der Registrierung einer zweiten Karte bei Apple Pay, was die Beklagte jedenfalls zu einer Nachfrage hätte veranlassen müssen. Er vermute, dass seine Zugangsdaten zum Onlinebanking seitens der Täter unbemerkt durch Hacking bzw. mittels Phishing erlangt worden seien. In der Regel sei zur Freischaltung der Bankkarte ein weiterer Angriff erforderlich, der oft in Form eines sog. Social-Engineering-Angriffes erfolge mittels eines Anrufs und Verschleierns der wahren Identität bzw. Vorgabe jemand anderes zu sein. Selbst wenn der Kläger aus Unaufmerksamkeit eine Bestätigung der push-Benachrichtigung herbeigeführt hätte, sei dieses Mitverschulden auf ein Mindestmaß begrenzt. Die Hinweistexte der push-Benachrichtigungen seien in minimaler Textgröße geschrieben. Der Hinweistext mache nur 19 % der Bildschirmoberfläche aus; die Textzeile mit dem essentiellen Hinweis, dass eine Überweisung oder ein „Auftrag“ freigegeben werde, sogar nur 2% (K 7). Des Weiteren habe er zum Zeitpunkt der Erstellung auf Anraten seiner Bankberaterin erst zum 18.08.2022 von der Verwendung von chipTAN auf pushTAN gewechselt, wegen Problemen mehrfach wieder auf chipTAN umgestellt und erst zum 07.10.2022 eine funktionierende pushTAN Verbindung eingerichtet bekommen. Durch die seitens der Beklagten bereitgestellte Log-Informationen über den Auftrag vom 18.10.2022, 13:32 Uhr zur Erstellung einer digitalen Sparkassen Karte könne der Beweis, dass der Kläger die Erstellung der digitalen Sparkasse autorisiert hat, nicht geführt werden. Für Betrüger sei es heutzutage ein leichtes, sich auf das Endgerät eines Nutzers zu schalten, push-Nachrichten zu verzögern, zu löschen, auszulösen oder diese textlich zu verändern.

Er selbst habe sich zu den Auszahlungszeitpunkten als Lehrer mit den regulären Unterrichtsstunden in C, aber nie in Hamburg befunden.

Erst aufgrund mangelhafter interner Sicherheitsrichtlinien und unter Verstoß gegen die Kontrollpflichten nach § 25h Abs. (1) KWG i.V.m. § 6 GwG sei die wiederholte Abbuchung der Beträge überhaupt erst ermöglicht worden. Nach Kontaktaufnahme mit der Beklagten wegen eines verdächtigen möglichen Pishing-Anrufs Mitte Juli 2022 habe er seinen Computer auf Schadstoffsoftware überprüfen lassen und nach negativem Ergebnis (Rechnung Fa. S K 8) sei das Online-Banking wieder freigeschaltet worden. Dies habe nicht erfolgen dürfen ohne Ausstellung einer neuen Bankkarte und eines neuen Passwortes. Des Weiteren hätte durch das Risikomanagement und die internen Sicherungsmaßnahmen der Sparkasse eine Abbuchung der Beträge verhindert werden müssen. Die Abbuchungen vom Girokonto vom 05.12.2022 in verschiedenen R-Märkten in Hamburg seien sehr auffälliger Natur gewesen. Zu nennen seien hier zunächst die Geldabhebungen um 12:21 Uhr über 359,09€, um 15:24 Uhr über 450,00 €, um 15:27 Uhr und um 15:28 Uhr im demselben R Markt nacheinander 100,00€, um 15:45 Uhr eine weitere Abhebung von 500,00€, um 16:20 Uhr weitere 460,00€ und um 16:45 Uhr die letzte Abhebung des Tages in Höhe von 450,79€, an diesem Tag in den Rewe Märkten insgesamt also 2.579,42 €. Einem Algorithmus oder einem zur Kontrolle der Zahlungsvorgänge eingesetzter aufmerksamer Mitarbeiter der Sparkasse hätte diese Auffälligkeiten problemlos ausmachen können. Die im Bankensektor eingesetzten Sicherheitsstandards seine bei der Beklagten trotz gesetzlicher Verpflichtung anscheinend nicht oder nur unzureichend vorhanden bzw. hätten in diesem Fall versagt. Entweder hätte die Karte sofort gesperrt oder der Kläger zumindest von einem Mitarbeiter der Bank angerufen werden müssen, um nachzufragen, ob er sich an Schultagen, an denen er sich in der Schule aufzuhalten hat, ausnahmsweise in Hamburg aufhält. Die Abhebungen hätten zu Geschäftszeiten der Bank stattgefunden, weshalb ein solches Vorgehen jederzeit möglich gewesen wäre. Das gleiche gelte für die Abhebungen in den R Märkten am 6.12.2020 i.H.v. 100,00 € um 15:00 Uhr, 324,50€ um 13:22 Uhr und 500,00€ um 12:58 Uhr sowie die Abhebungen im K Hamburg vom 07.12.2022 i.H.v. 100,00€ um 15:40 Uhr und um 15:15 Uhr. Er habe sich nach den Abhebungen und Zahlungen vom 05.12.2022 bereits in Höhe von 1.594,27 € tief in seinem Dispokredit befunden. Spätestens ab dem Zeitpunkt, an dem ein Kunde seinen Dispositionsrahmen sprengt, hätte eine Kontrollfunktion bei der Beklagten Alarm schlagen müssen. Dennoch seine die Abhebung bzw. Zahlung von hohen Beträgen wie z.B. die Zahlungen im S vom 06.12.2022 um 11:40 Uhr, i.H.v. 1.230,00 € oder die Zahlung kurz darauf ebenfalls im S um 13:40 Uhr i.H.v. 1.200,00 € und dem A.Hamburg i.H.v. 700 € sowie Abhebungen bzw. Zahlungen am 07.12.2022 nochmals im A.Hamburg i.H.v. 1.250,00 € bis zur völligen Ausschöpfung des Dispositionsrahmens möglich gewesen.

Die Beklagte könne zudem nicht nach § 675v Abs. (1) oder (3) BGB mit einem Schadensersatzanspruch aufrechnen, da diese pflichtwidrig keine starke Kundenauthentifizierung gemäß § 1 Abs. (2) ZAG verlangt habe. Es greife somit das Haftungsprivileg des § 675v Abs. (4) Nr. 1 BGB. Aufgrund der nicht erfolgten Zurückversetzung des Kontos auf den vorherigen Stand seien ihm als Verzugsschaden zu ersetzende Zinsen i.H.v. 75,47 € angefallen (K 9). Er sei zur Inanspruchnahme der Dienste der Klägervertreter aufgrund von Zahlungsverzug der Beklagten berechtigt und könne die entstandenen Kosten der Rechtsverfolgung von 1.134,55 € brutto (Gegenstandswert: 13.431,72 €) geltend machen.

Der Kläger beantragt (Klage vom 6.11.2023):

1. Die Beklagte wird verurteilt an den Kläger 13.356, 25 € nebst Zinsen hieraus i.H.v. 5 Prozentpunkten über dem Basiszinssatz seit dem 14.12.2022 zu bezahlen.

2. Die Beklagte wird verurteilt an den Kläger 75,74 € nebst Zinsen hieraus i.H.v. 5 Prozentpunkten über dem Basiszinssatz seit dem 30.12.2022 zu bezahlen.

3. Die Beklagte wird verurteilt an den Kläger weitere 1.134,55 € brutto nebst Zinsen hieraus i.H.v. 5 Prozentpunkten über dem Basiszinssatz seit dem 01.07.2023 zu bezahlen.

Die Beklagte beantragt, die Klage abzuweisen, und trägt dazu im Wesentlichen vor, sie würde allenfalls auf Rückbuchung haften. Zuletzt hat sie bestätigt, dass die Kontenverbindung erloschen ist. Die streitgegenständlichen Zahlungsvorgänge vom 5.12. bis 08.12.2022 gälten aufgrund technisch nicht manipulierbarer Beweismittel im Sinne von § 675w BGB als autorisiert, nachdem der Kläger die Digitalisierung seiner Sparkassencard selbst im Bezahldienst Apple Pay am 18.10.2022 vorgenommen habe, nachdem er diese digitale Sparkassenkarte generiert habe. Der Kläger könne sich sowohl wegen der erfolgten Autorisierung im Sinne von § 675w BGB als auch wegen grob fahrlässiger Verletzung seiner Pflichten im Rahmen des Online-Bankings nicht auf eine Erstattungspflicht der Beklagten gemäß § 675u BGB berufen. Soweit er betrügerische Handlungen vortrage, die zu den Zahlungsvorgängen geführt haben sollen, sei der Betrug aufgrund seines grob fahrlässigen Verhaltens überhaupt erst möglich gewesen, nachdem er die digitale Sparkassenkarte selbst generiert und einem möglichen unberechtigten Dritten pflichtwidrig deren Kenntniserlangung ermöglicht habe. Aus den technischen Protokollen könne entnommen werden, dass die Digitalisierung der Sparkassen-Card des Klägers in Apple Pay am 18.10.2022 um 13:32 Uhr erfolgte. Die übermittelte Anlage B 1 enthalte zunächst die Daten zum Online-Banking-Vertrag mit dem Kläger, im Anschluss hieran die Legitimationsmedien und danach die zwischen Ende Juli und Ende November durch den Kläger erteilten Aufträge, die ausnahmslos über die Push-TAN-Verbindung mit seinem Handy vorgenommen worden seien, u.a. eben auch die Digitalisierung der Sparkassen-Card am 18.10.2022 um 13.32 Uhr. Diese vom Kläger erfolgte Freigabe der Digitalisierung über die S-Push-TAN-App entspreche den gesetzlichen Vorgaben der 2-Faktor-Authentifizierung. Aus dem Protokoll könne weiter entnommen werden, dass der Kläger mit dem eingesetzten biometrischen Merkmal die Digitalisierung der Sparkassen-Card auf Apple Pay freigegeben habe, nachdem er mit folgendem Visualisierungstext über den Inhalt der Freigabe unterrichtet worden sei:

Digitale Karte für Apple Pay abrufen Aktuelle Phishing-Warnung: Nach Freigabe sind Zahlungen mit der Karte sofort möglich. Sicherheitshinweise beachten und bei Zweifeln abbrechen!

Diese Freigabe könne dem Kläger auch direkt und zweifelsfrei zugeordnet werden über die diesem allein zugeordnete Legitimations-ID. Bei der Freigabe über die S-Push-TAN-App werde eine 16-stellige Legitimations-ID dokumentiert, die vorliegend gelautet habe: 4…. Über diese S-Push-TAN-App und die damit verbundenen Legitimations-ID habe der Kläger bereits vor dem 18.10.2022 mehrfach Transaktionen freigegeben, die er nicht reklamiert habe. Es sei zwingend davon auszugehen, dass die Digitalisierung durch den Kläger selbst erfolgte, da nur er über die mit seinem Handy verbundenen Legitimations-ID verfüge und bei der Freigabe über dieses Handy eine (oder mehrere) TANs eingeben müsse. Die einzelnen Zahlungsvorgänge seien damit autorisiert. Das S-Push-TAN-Verfahren sei ein im Zahlungsverkehr eingesetztes sicheres Authentifizierungsverfahren, dessen Sicherungssystem technisch praktisch nicht zu überwinden sei, so dass es Unbefugten auch nicht möglich sei, die Sicherheitsvorkehrungen zu umgehen. Wenn die Zahlungsvorgänge von einem mobilen Endgerät eines Dritten erfolgt sein sollten und/oder dieser Dritte die Digitalisierung der Sparkassen-Card auf diesem mobilen Endgerät vorgenommen hätten, sei dies nur infolge des grob fahrlässigen, gar leichtfertigen Verhaltens des Klägers möglich gewesen. Es bestehe die technische Notwendigkeit, dass die durch die Autorisierung im TAN-Freigabeverfahren mittels S-Push-TAN-Verfahren erfolgende Generierung einer TAN händisch vorgenommen wird und dann noch die Eingabe im entsprechenden Transaktionsverfahren – hier der Digitalisierung der Sparkassen-Card – erforderlich ist. Dies bedeute, der Kläger habe mit Sicherheit die Digitalisierung der Sparkassen-Card selbst und händisch vorgenommen. Bei dem Kläger hätten alle Warnsignale aufleuchten müssen bei dem Hinweis auf die Freigabe von Apple Pay. Der Kunde sei aufgrund der vereinbarten Bedingungen für das Online-Banking, dort gemäß der Z. 7.1 und der Z. 7.3 verpflichtet, die Authentifizierungselemente zu schützen und vor der Freigabebestätigung die Übereinstimmung der angezeigten Daten mit den für den Auftrag vorgesehenen Daten zu prüfen. Der Kläger habe ganz offensichtlich grob pflichtwidrig gehandelt, wenn er behaupte, er habe die Digitalisierung seiner Sparkassen-Card niemals vorgenommen, gleichzeitig jedoch nachgewiesen werden könne, dass der oben zitierte Visualisierungstext am 18.10.2022 auf seinem Handy erschienen sei und er im Nachgang hierzu noch eine TAN eingegeben habe, um die digitale SparkassenCard freizugeben, zumal er selbst ein Android-Handy verwende.

Deshalb stünden der Beklagten, falls das Gericht nicht von vorneherein zu einer ordnungsgemäßen Autorisierung der Zahlungsvorgänge gelange, ersatzweise Schadensersatzansprüche gemäß §§ 675 v Abs. 3, 675 l BGB i.V.m. Z. 10.2.1 (3) der Bedingungen für das Online-Banking zu in Höhe der 32 Zahlungsvorgänge und damit der Klagforderung, mit denen die Aufrechnung erklärt werde.

Hinsichtlich des weiteren Parteivorbringens wird auf die gewechselten Schriftsätze nebst Anlagen Bezug genommen. Der Kläger wurde im Termin mündlich angehört.

Entscheidungsgründe

Die zulässige Klage ist vollständig begründet. Dabei bedarf es keiner weiteren sachverständigen Feststellungen zur Frage, ob der Kläger selbst die Freigabe der Sparkassencard für die Teilnahme am Apple-Pay-Verfahren mittels push-TAN-Verfahren freigegeben hat. Denn selbst wenn man zu Gunsten der Beklagten davon ausgeht, dass der Kläger die Freigabe von Apple-Pay für die Sparkassen-Card selbst durch das s-TAN-push-Verfahren freigegeben hat, stellen sich die mittels Apple-Pay veranlassten Zahlungen als nicht autorisiert dar, sodass er gem. § 675 u S. 2 BGB einen Erstattungsanspruch hat. Mangels grober Fahrlässigkeit steht der Beklagten auch kein aufrechenbarer Schadensersatzanspruch gem. § 675v Abs. 3 Nr. 2 lit. a), b) BGB zu. Im Einzelnen:

1. Allgemeines

Zunächst ist zu den streitgegenständlichen Zahlungsvorgängen mittels Apple Pay folgendes zur allgemeinen Funktionsweise und dem besseren Verständnis vorauszuschicken (siehe Bundesamt für Sicherheit in der Informationstechnik BSI, Broschüre „Sicher zahlen Im E-Commerce, abrufbar: https://www.bsi.bund.de/dok/15083192):

Apple Pay ist eine Technologielösung für Banken, um ihren Kunden die Möglichkeit zu bieten, in Geschäften kontaktlos mit Bezahlkarten der Bank des Kunden über Near Field Communication (NFC) am Zahlungsterminal (POS), oder im Internet (E-Commerce) zu bezahlen. In beiden Fällen muss die Transaktion vom Konsumenten biometrisch (durch Touch ID oder Face ID) oder über den Passcode des Smartphones bestätigt werden. Kunden verwenden immer die von der Bank ausgegebenen Karten, um Zahlungen über den Apple Pay Service zu tätigen, und alle Transaktionen werden vom Kartenaussteller authentifiziert. Am POS hält der Kunde das mobile Apple Endgerät an das Zahlungsterminal. Auch im E-Commerce wird Apple Pay inzwischen oft als Bezahlart angeboten. Hier wird die Transaktion über das Internet von der Bank des Kunden authentifiziert. In beiden Fällen muss die Transaktion durch Touch ID bzw. Face ID oder den Passcode des Smartphones bestätigt werden. Beteiligt sich die Bank des Kunden an Apple Pay, wird zur Aktivierung von Apple Pay die Debit- oder Kreditkarte dieser Bank vom Kunden als Token in einem Chip, dem „Secure Element” verarbeitet und gespeichert. Dabei handelt es sich um ein besonders abgesichertes Hardware Element im Endgerät, das in diesem Kontext ähnlich zu einem Chip auf einer Karte agiert. Der Kunde kann diesen Prozess direkt über die mobile App seiner Bank oder durch Hinzufügen seiner Kartendaten bei der Einrichtung seines neuen Geräts oder über die Wallet-App initiieren. Die Bank führt dann eine Identitätsprüfung durch, bevor die Karte für den Dienst freigeschaltet wird. Dieser Prozess kann von Bank zu Bank variieren. In der Regel werden die Authentisierungsmittel des Online-Bankings genutzt. Sensitive Daten der hinterlegten Debit- oder Kreditkarte werden im Smartphone nicht gespeichert. Stattdessen erzeugt die Bank des Kunden neue Daten für das Gerät („Tokenisierung“), die es der Bank ermöglichen, das Smartphone der hinterlegten Karte zuzuordnen. Diese Daten werden im „Secure Element” verarbeitet und gespeichert. Das Smartphone erzeugt aus den Daten im Secure Element einen für den Kunden nicht sichtbaren dynamischen Authentifizierungscode. Dieser Code wird bei der Zahlung an die Bank übermittelt und ermöglicht es der Bank, den Kunden anhand des Eigentums am Gerät zu authentifizieren. Der Händler erhält von Apple Pay keine Kundendaten, sondern nur die Information, dass die Zahlung erfolgt ist. Zahlungen über Apple Pay werden unabhängig vom Zahlungsbetrag immer über zwei unabhängige Elemente authentifiziert: Zum einen über das Smartphone („Besitz”), zum anderen über Touch ID bzw. Face ID („Inhärenz”) oder Geräte-Passcode („Wissen”). Um im Geschäft zu bezahlen, hält der Kunde das Smartphone an das Terminal und authentifiziert sich mit Touch ID bzw. Face ID. Selbst wenn ein Betrüger das Smartphone stiehlt, kann er keine Zahlung freigeben, da er nicht über die an die Touch ID bzw. an die Face ID gekoppelten biometrischen Merkmale des Kunden verfügt. Außerdem kann ein Betrüger das Smartphone nicht unbemerkt über die NFC-Schnittstelle kontaktieren und eine Zahlung auslösen („Relay-Angriffe“), da die Authentifizierung mittels Touch ID bzw. Face ID nicht vorgenommen wurde.

Es handelt sich also um eine Form des sog. „Mobile Payments“, in dem eine kontaktlose Zahlung im Nahbereich eingeleitet wird mithilfe eines mobilen Endgerätes (Smartphone, im Rahmen von Apple Pay einem I-Phone), auf dem ein Zahlungsmittel mittels Token in einem „Secure-Element“ gespeichert ist und das über eine Funktechnologie verfügt (NFC, Bluetooth Low Energy etc.). Die physische Karte bzw. die Kartendaten werden also durch das NFC-fähige Endgerät substituiert (virtuelle Karte).

2.

Der Kläger hat einen Anspruch aus §§ 675u S. 2, 675f BGB auf Zahlung von insgesamt 13.356,25 € gegenüber der Beklagten.

a.

Der Anspruch des Klägers aus § 675u S.2 BGB ist zunächst entstanden.

aa)

Als Rechtsfolge gewährt § 675u S. 2 BGB einen Erstattungsanspruch. „Erstattung“ ist der Oberbegriff für die Auszahlung und die Stornobuchung, d.h. die Wertstellung in Höhe der nicht autorisierten Zahlung. Der Anspruch ist in der Regel auf Wertstellung in Höhe der nicht autorisierten Zahlung gerichtet, nicht unmittelbar auf Zahlung. Im vorliegenden Fall hat der Kläger die Geschäftsbeziehung unstreitig zum 28.2.2024 gekündigt, so dass – unabhängig vom Urteil des OLG Stuttgart vom 8.2.2023 -9 U 200/22, Rz. 30 – jedenfalls ein Zahlungsanspruch besteht, da eine Stornobuchung nicht mehr möglich ist.

bb)

Zunächst ist festzustellen, dass der Anwendungsbereich der Vorschriften der §§ 675 c ff. BGB eröffnet ist. Nach der Rechtsprechung des EuGHs (BKR 2021, 234 ff.) ist auch die NFC-Funktion einer Zahlungskarte als Zahlungsinstrument zu qualifizieren.

cc)

Die streitgegenständlichen einzelnen Zahlungsvorgänge mittels Apple Pay waren vom Kläger nicht autorisiert. Nach der Legaldefinition des § 675j Abs. 1 S. 1 BGB ist die Autorisierung die wirksame Zustimmung des Zahlers zum Zahlungsvorgang, welche nach § 675j Abs. 1 S. 2 BGB als Einwilligung oder, sofern zwischen dem Zahler und seinem Zahlungsdienstleister zuvor vereinbart, auch als Genehmigung erteilt werden kann. Selbst eine Stellvertretung ist insoweit grundsätzlich möglich (Jungmann in: Münchener Kommentar zum BGB, 8. Aufl., § 675j Rz. 14; Berger in: Jauernig, BGB, 18. Aufl., § 675j Rz. 1; differenzierend Köndgen in: beck-online.GROSSKOMMENTAR, Stand: 01.04.2022, § 675j BGB Rz. 17 ff.; Schmalenbach in: BeckOK BGB, 62. Ed., Stand: 01.05.2022, § 675j Rz. 3).

Die vereinzelt vertretene Ansicht, dass in Fällen, in denen der Nutzer seine persönlichen Daten in die Eingabemaske einer manipulierten Webseite eingibt und sie somit unbewusst an den Angreifer weiterleitet, das Einverständnis des Nutzers zu den durch den Angreifer sodann durchgeführten Zahlungsvorgängen nach den Grundsätzen der Rechtscheinsvollmacht zuzurechnen sei (z.B. LG Darmstadt, Urteil v. 28.08.2014, Az. 28 O 36/14, juris Rz. 37 ff.), ist abzulehnen. Gleiches muss für die vorliegende Sonderform der Verschaffung von Kreditkartendaten durch einen Pishing-Angriff und deren Freischaltung für Apple-Pay durch eine erschlichene PushTAN gelten. Die Grundsätze über die Duldungs- und Anscheinsvollmacht finden in Bezug auf die Zustimmung i.S.v. § 675j BGB richtigerweise keine Anwendung (BGH, Urteil v. 26.01.2016, Az. XI ZR 91/14, Rz. 55 ff.; Urteil v. 16.06.2015, Az. XI ZR 243/13, Rz. 22 ff.; Köndgen in: beck-online. GROSSKOMMENTAR, Stand: 01.04.2022, § 675j BGB Rz. 20; Schulte-Nölke in: Schulze, BGB, 11. Aufl., § 675j Rz. 2;).

Der Kläger trägt vor, dass er keine der streitgegenständlichen Zahlungen veranlasste, sondern ein unbekannter Dritter ohne sein Wissen und Wollen in Hamburg mit Hilfe eines I-Phones und Apple Pay, während er in C seinem Beruf als Lehrer nachgegangen sei. Dies wird von der Beklagten, die zwar zu diesem Sachverhalt keine eigene Kenntnis haben kann, aber schon nicht substantiiert bestritten. Vielmehr steht für das Gericht nach der Parteianhörung in Verbindung mit den weiteren tatsächlichen Umständen fest (§ 286 ZPO), dass er weder im gegenständlichen Zeitraum weder selbst in Hamburg war noch ein entsprechend autorisiertes I-Phone mit der Zurverfügungstellung etwaiger starker Authentifizierungsmerkmale an eine dritte Person ausgehändigt hat, die davon Gebrauch gemacht hat: Neben der glaubhaften Schilderung des Klägers, der im Übrigen einen durch und durch glaubwürdigen Eindruck hinterlassen hat, sprechen für die Schilderung des Klägers schon, dass er nach dem Bemerken der Abhebungen am Samstag dem 10.12.2022 gleich am Montag den 12.10.2022 unbestritten bei einer Sachbearbeiterin der Beklagten gemeldet hat und auf deren Anregung hin zeitnah bei der Polizei Strafanzeige gestellt hat. Interessant ist zudem, dass sich aus der polizeilichen Ermittlungsnotiz ohne weiteres entnehmen lässt, dass es sich um keinen Einzelfall handelt. So heißt es darin:  „Betrüger haben sich dieses neue Feature zunutze gemacht, indem Sie die Zugangsdaten von Bankkunden mittels Phishing ausspähen und damit solche Karten generieren.“ , d.h. es handelt sich offensichtlich um keinen Einzelfall. Schließlich kommt hinzu, dass sich aus den vorgelegten Transaktionsdaten ergibt, dass der Kläger das PushTAN Verfahren erst ab Juli 2022 versucht hatte, in Benutzung zu nehmen, bezeichnenderweise aber für ein Andoid-Smartphoe (vgl. Anl. B 1 und die dortigen Eintragungen), was sich wiederum mit den Angaben des Klägers deckt, wonach er kein I-Phone benutzte. Schließlich hat der Kläger unwidersprochen vorgetragen, mit der Beklagten im Juli 2022 wegen eines möglichen Pishing-Anrufs in Kontakt gestanden zu haben und daraufhin seinen Computer auf Schadstoffsoftware habe überprüfen lassen, was er durch Vorlage einer entsprechenden Quittung ebenfalls unter Beweis gestellt hat.

Insoweit hilft der Beklagten auch die für die Autorisierung der Zahlungsvorgänge geltende Regelung des § 675w S. 1 BGB nicht weiter:

Es mag zwar sein, dass die Beklagte damit die jeweils vor jedem Zahlungsvorgang erfolgte Prüfung der jeweiligen starken Kundenauthentifizierung mittels zweier Elemente i.S.v. §§ 675 c Abs. 3 BGB, § 1 Abs. 24 ZAG nachweisen kann: So ist nach Art 9 Abs. 2 VO EU 2018/839 (Geltung seit 14.9.2019, Verordnung über technische Regulierungsstandards für eine starke Kundenauthentifizierung etc…, sog. Regulary Technical Standards (RTS)) grundsätzlich auch die Verwendung eines sog. Mehrzweckgerätes möglich. Die Beklagte hat mit den vorgelegten Transaktionsunterlagen auch nachgewiesen das sog Besitzelement (Besitz des Smartphones mit der darauf hinterlegten „virtuellen Karte“) und entweder das Element der Inhärenz (FaceID etc.) oder Wissenselement (Entsperrungscode für das Smartphone).

Wie in § 675 w Satz 3 BGB geregelt, reicht dies aber nicht notwendigerweise für den Nachweis der Autorisierung aus. Der angesprochene mögliche Anscheinsbeweis für eine Autorisierung ist nach Überzeugung des Gerichts anhand der obigen Feststellungen jedenfalls erschüttert. Da sich der Kläger mit Erfolg auf außerhalb des Sicherungssystems (einzelner konkreter Zahlungsvorgang mittels Apple Pay) liegende Umstände berufen kann, kommt es auf die sonst in entsprechenden Verfahren vom BGH formulierten (BGH NJW 2016, 2024 f.) entscheidungserheblichen Frage für die Bejahung eines Anscheinsbeweises nicht an, nämlich ob das zur Verwendung gekommene Sicherheitssystem praktisch unüberwindbar ist und ob der Anscheinsbeweis bei Zahlungsabwicklung nur über ein einziges mobiles Endgerät generell ausscheidet (Hoffmann/Haupert/Freiling ZHR 2017, 780 f.; siehe auch Linardatos in Münchner Kommentar zum HGB, 5. Aufl. 2023 Online-Banking Rz. 256 ff.).  Es geht nach dem Parteivortrag gerade nicht um eine Kompromittierung/Ausnutzung einer technischen Sicherheitslücke bei Verwendung des Smartphones im Rahmen der jeweiligen NFC-Zahlung, sondern um einen Missbrauch im Vorfeld der einzelnen Zahlungsvorgänge, nämlich bei Installation der virtuellen Karte auf einem Smartphone mit Hilfe ggf. mittels Pishing erlangter Daten und der Aktivierung dieser virtuellen Karte mit Hilfe einer „erschlichenen“ PushTAN-Freigabe.

Daran zeigt sich aber auch die besondere Risikobehaftung des Vorgangs der Einrichtung u.a. von Apple Pay: Mit einer einmal missbräuchlich erfolgten „Scharfstellung“ der mit erbeuteten Daten installierten virtuellen Kreditkarte auf einem fremden Smartphone eines Dritten kann dieser prinzipiell jederzeit und an jedem Ort mit Hilfe eines einzigen Mehrzweckendgerätes, mit dem alleine dann alle erforderlichen starken Kundenauthentifizierungsmerkmale erfüllt werden können, ohne Kenntnis des Konteninhabers (bzw. erst nach dem Erscheinen und Entdecken der entsprechenden Buchungen auf dem Konto) Zahlungen vornehmen. Diesem Umstand trägt im Übrigen auch Art 9 Abs. RTS Rechnung, der bei der Verwendung sog. Mehrzweckgeräte gesonderte Sicherheitsmaßnahmen zur Risikominderung vor dessen missbräuchlicher Verwendung postuliert.

3.

Der Anspruch des Klägers nach § 625u S. 2 BGB ist auch nicht durch wirksame Aufrechnung der Beklagten wieder erloschen, § 389 BGB.

Die Beklagte hat in der Klageerwiderung die Gegenforderung beziffert und die Aufrechnung ausdrücklich erklärt, § 388 BGB.

Die Beklagte hat nach § 675v Abs. 3 Nr. 2 lit. a), b) BGB keine Gegenansprüche auf Schadensersatz gegen den Kläger jeweils mindestens in Höhe dessen Erstattungsansprüche gemäß § 675u S. 2 BGB. Dabei gilt in rechtlicher Hinsicht, dass nach § 675 v Abs. 3 Nr. 2 BGB der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet ist, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler den Schaden herbeigeführt hat durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehrerer Pflichten gemäß § 675 l Absatz 1 BGB oder einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments. Eine grobe Fahrlässigkeit liegt nach allgemeinen Regeln vor bei einem objektiv schweren und subjektiv nicht entschuldbarem Verstoß gegen die Anforderungen der im Verkehr erforderlichen Sorgfalt, wenn also das außer Acht gelassen wird, was jedem hätte einleuchten müssen.

Nach § 675 l Abs. 1 S. 1 BGB ist der Zahler verpflichtet, unmittelbar nach Erhalt eines Zahlungsauthentifizierungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Personalisierte Sicherheitsmerkmale sind gemäß § 1 Abs. 25 ZAG – in der hier maßgeblichen, ab 1.7.2021 geltenden Fassung – personalisierte Merkmale, die der Zahlungsdienstleister einem Zahlungsdienstnutzer zum Zwecke der Authentifizierung bereitstellt. Darunter fallen insbesondere TAN, welche einmal für die Autorisierung einer ganz bestimmten Transaktion eingesetzt werden können, dem Zahlungsdienstnutzer erst im Zusammenhang mit der jeweiligen Transaktion übermittelt werden und nur für eine kurze Zeit gültig sind. Gleiches muss für die Freigabe einer sog. PushTAN im Wege des bloßen Wischens (Swipen) gelten, um die es hier geht.

Unbefugt ist namentlich jede Verwendung, die ohne oder gegen den Willen des Inhabers des Zahlungsinstruments erfolgt und dementsprechend auf die Auslösung eines nicht autorisierten Zahlungsvorgangs gerichtet ist (Jungmann in: Münchener Kommentar zum BGB, 8. Aufl., § 675l Rz. 19). Der Kläger hatte allgemein dafür Sorge zu tragen, dass nicht dritte Personen die unkontrollierte Zugriffsmöglichkeit auf sein Online-Banking oder die Banking-App mittels Zugangsdaten und TAN bekommen und so ohne sein Wissen und Wollen Transaktionen von seinem Konto bei der Beklagten durchführen können (generell zum Sorgfaltsmaßstab beim Online-Banking und beim Mobile Banking ausführlich: Jungmann in: Münchener Kommentar zum BGB, 8. Aufl., § 675l Rz. 42 m.w.N.; s. auch Hofmann in: beck-online GROSSKOMMENTAR, Stand: 01.10.2021, § 675l Rz. 82 ff.). Die vom Zahlungsdienstnutzer geschuldeten Sorgfaltspflichten sind außerdem nach der Art des konkreten Angriffs zu bestimmen.

Die Beweisregel des § 675 w BGB zum Nachweis einer Pflichtverletzung nach § 675 l Abs. 1 oder eines grob fahrlässigen Verstoßes gegen Bedingungen für die Nutzung des Zahlungsinstruments greift nach Auffassung des Gerichts hier schon deshalb nicht, weil es bei der Aktivierung der virtuellen Karte auf dem I-Phone im Rahmen der beabsichtigten Nutzung von Apple Pay nicht um einen Zahlungsvorgang i.S.v. § 675 w BGB geht, was aber Tatbestandsvoraussetzung für die Anwendung dieser Norm ist: Gem. §§ 675c, 675f Abs. 4 BGB ist Zahlungsvorgang jede Bereitstellung, Übermittlung oder Abhebung eines Geldbetrages, unabhängig von der zugrundeliegenden Rechtsbeziehung zwischen Zahler und Zahlungsempfänger. Gemeint ist damit ein tatsächlicher Geldfluss (Grüneberg-Sprau § 675f BGB Rz. 18 mit Verweis auf BT-Drs 16/11643 S. 102; Ellenberger/Bunte 6. Aufl. 2022, Bankrechtshandbuch Rz. 386 zu § 33 im Zusammenhang mit § 675v Abs. 4 BGB, dort auch LG Nürnberg-Fürth Urt. v. 25.Mai 2023 – 6 O 5996/22 nach juris). An einem solchen Geldfluss respektive Zahlungsvorgang fehlt es indessen bei der Freischaltung der virtuellen Karte auf dem I-Phone im Rahmen von Apple Pay. Dabei handelt es sich lediglich um eine Tätigkeit im Vorfeld eines späteren Zahlungsvorgangs.

Das hindert aber nicht einen Rückgriff auf das allgemeine Institut des Anscheinsbeweises: § 675w BGB, der im Bereich des Zahlungsvorgangs den Anscheinsbeweis besonderen Ausprägungen unterwirft, entfaltet außerhalb seines Anwendungsbereiches keine Sperrwirkung dahingehend, dass die Annahme eines Anscheinsbeweises generell ausscheidet (vgl. BGH NJW 2016, 2024 ff; Ellenberger/Bunte a.a.O. § 33 Rz. 174 ff.; MüKo zum HGB a.a.O Rz. 251 ff.).

Insofern beruft sich die Beklagte insbesondere auf einen Verstoß gegen Ziffer 10.3. i.V.m.7.3. ihrer vereinbarten Bedingungen für das Online-Banking Stand 14.9.2019, in denen es heißt:

„7.3 Prüfung der Auftragsdaten mit von der Sparkasse angezeigten Daten

Die Sparkasse zeigt dem Teilnehmer die von ihr empfangenen Auftragsdaten (z. B. Betrag, Kontonummer des Zahlungsempfängers, Wertpapierkennnummer) über das gesondert vereinbarte Gerät des Teilnehmers an (z. B. mittels mobilem Endgerät, Chipkartenlesegerät mit Display). Der Teilnehmer ist verpflichtet, vor der Bestätigung die Übereinstimmung der angezeigten Daten mit den für den Auftrag vorgesehenen Daten zu prüfen.“

Beim Social Engineering/Pishing/Pharming wird von den Tätern die „Schwachstelle Mensch“ ausgenutzt, um auf diese Art und Weise personalisierte Sicherheitsmerkmale auszuspähen und in der Folge Zahlungen auszulösen. Diese Angriffe sind nicht ohne erhebliche Mitwirkung des Zahlungsdienstnutzers möglich. Die vom Zahlungsdienstnutzer zu erwartende angemessene Sorgfalt besteht darin, Zugangsdaten niemandem auf Nachfrage anzuvertrauen, sei es am Telefon, in E-Mails oder im Internet. Wenn sich jedem Zahlungsdienstnutzer in der entsprechenden Situation sowie dem betroffenen Zahlungsdienstnutzer ganz individuell geradezu aufdrängen musste, dass es sich nicht um einen regulären Vorgang handeln kann, ist von grober Fahrlässigkeit auszugehen. Ob der Zahlungsdienstnutzer erkennen muss, dass konkret ein Social-Engineering-Angriff stattfindet, ist stets Frage des Einzelfalls. Bezogen auf die Besonderheiten des Online-Banking liegt bei der telefonischen Weitergabe einer oder mehrerer TAN der Vorwurf einer groben Fahrlässigkeit nahe (LG Saarbrücken, Urteil vom 10.06.2022 – 1 O 394/21, BeckRS 2022, 14866; LG Köln, Urteil vom 10.09.2019 – 21 O 116/19, MMR 2020, 258; BeckOGK/Hofmann, 1.10.2021, BGB § 675l Rn. 93; Langenbucher/Bliesener/Spindler/Herresthal, 3. Aufl. 2020, 3. Kap. BGB § 675v Rn. 63; BeckOK BGB/Schmalenbach, 61. Ed. 1.2.2022, BGB § 675v Rn. 13). Insoweit ist die telefonische Weitergabe einer TAN nicht vergleichbar mit der Eingabe einer oder mehrerer TAN in eine gefälschte Eingabemaske (hierzu BGH, Urteil vom 24.04.2012 – XI ZR 96/11, NJW 2012, 2422), da sich die telefonische Weitergabe der TAN von dem üblichen Übermittlungsweg der TAN (Eingabe online) für jeden Nutzer offensichtlich unterscheidet (LG Saarbrücken, Urteil vom 9. Dezember 2022 – 1 O 181/20 –, Rn. 34 – 35, juris).

Unter Berücksichtigung aller Umstände des hiesigen Einzelfalls ist das Verhalten des Klägers nach Auffassung des erkennenden Gerichts im Ergebnis jedenfalls nicht als grob fahrlässig einzustufen. Die Regeln des Anscheinsbeweises sind auf den Nachweis der subjektiven Voraussetzungen grober Fahrlässigkeit grundsätzlich dann nicht anwendbar, wenn es sich – wie hier – um ein individuelles Versagen handelt. Dieser Grundsatz gilt auch, wenn der Missbrauch des Online-Bankings auf einem Umstand aus der Sphäre des Zahlungsdienstnutzers beruht. Denn ein objektiv grober Pflichtenverstoß rechtfertigt für sich allein noch nicht den Schluss auf ein gesteigertes personales Fehlverhalten, selbst wenn dieses in vergleichbaren Fällen häufig vorliegen sollte. Zwar ist der Anscheinsbeweis zum Nachweis grober Fahrlässigkeit grundsätzlich zulässig, wenn damit lediglich die Annahme eines bestimmten tatsächlichen Verhaltens gestützt werden soll und dieses erst in einem weiteren Schritt rechtlich als grob fahrlässig bewertet wird. Im Falle eines Missbrauchs des Online-Bankings gibt es aber keine Erfahrungssätze, die auf ein bestimmtes typisches Fehlverhalten des Zahlungsdienstnutzers hinweisen würden. Die Vielzahl von Authentifizierungsverfahren, die sich zum Teil erheblich im Sicherungskonzept und in dessen Ausgestaltung unterscheiden, können jeweils auf unterschiedliche Weise angegriffen werden, wozu wiederum verschiedene Pflichtverletzungen des Zahlungsdienstnutzers beitragen können, sodass – anders als bei Nutzung von Zahlungskarten an Geldautomaten ein Missbrauch des Online-Bankings nicht auf ein bestimmtes Verhalten des Zahlungsdienstnutzers hinweist, das sodann als grob fahrlässig eingeordnet werden könnte (BGH NJW 2016, 2024 Rz. 70 ff. nach juris).

Der Kläger bestreitet bereits die Durchführung der Freigabe der PushTAN auf seinem Android-Smartphone für Apple Pay mittels Swipe und vermutet insoweit bereits eine Manipulation von außen ohne jede eigene Mitwirkung.

Auch wenn das Gericht das infolge des zeitlich nachfolgend in Anl. B 1 dokumentierten Versuchs der weiteren Kartenfreischaltung für Apple Pay (erste erfolgreiche Kartenregistrierung für Apple Pay am 18.10.2022 13.32 Uhr, fehlgeschlagener weiterer Versuch vom 18.10.2022 um 23.12 Uhr) nicht für sehr plausibel hält (bei einem vom Kläger offensichtlich vermuteten Man-in-the-Middle-Angriff, der gerade für Telefone mit dem Betriebssystem Android bekannt geworden ist, wo offenbar SIM-Karten der Mobiltelefone dupliziert und SMS darauf umgeleitet wurden, denkbar dann auch für gesendete PushTAN), da dann auch der zweite Kartenfreischaltversuch Erfolg gehabt hätte, bedarf dies keiner weiteren sachverständigen Abklärung: denn auch den Vortrag der Beklagten als zutreffend unterstellt, der Kläger habe die PushTAN zur Freischaltung der virtuellen Karte auf einem I-Phone für Apple Pay freigeschaltet, rechtfertigt dies unter den vorliegenden Gesamtumständen nicht den Vorwurf der groben Fahrlässigkeit.

Es geht gerade nicht um eine telefonische oder sonstige bewusste Weitergabe einer TAN an eine dritte Person: Bei einer solchen Vorgehensweise geht das Gericht in Übereinstimmung mit zahlreichen anderen Gerichten davon aus, dass eine solche, erkennbar außerhalb des Internetmediums online-banking liegende Verhaltensweise, vor der mittlerweile weitflächig und wiederholt ausdrücklich gewarnt wird, grob fahrlässig ist, weil jedem einleuchten muss, dass eine solche Vorgehensweise gegen die erforderliche Sorgfalt verstößt. Ein solch eindeutiger und klarer Sorgfaltsverstoß liegt aber nicht vor. Zwar schreibt 7.3. der Onlinebedingungen eine Prüfung der auf ein Smartphone übermittelten Daten vor Freigabe vor. Auch ist der Beklagten zuzugestehen, dass dem Kläger hätte auffallen müssen, dass ihm  – seinen Vortrag unterstellt, er habe weder ein I-Phone noch Apple Pay für seine Kreditkarte bei der Beklagten über die entsprechende Wallet beantragt  – hätte auffallen müssen, dass er mit der PushTAN-Freigabe trotz des Hinweises Digitale Karte für Apple Pay abrufen Aktuelle Phishing-Warnung: Nach Freigabe sind Zahlungen mit der Karte sofort möglich. Sicherheitshinweise beachten und bei Zweifeln abbrechen! durch Wischen eine digitale Karte für Apple Pay freischaltet mit der Möglichkeit der sofortigen Nutzung, obwohl er eine solche nicht beantragt hat.

Andererseits ist zu berücksichtigen, dass es sich bei Apple Pay im Jahre 2022 noch nicht um eine allgemein verbreitete Zahlungsart gehandelt hat, zumal unstreitig ist, dass die Beklagte erst im März 2022 ihren Kunden die Möglichkeit bot, über ihr Homebanking-Portal eine digitale EC/Debitkarte zu generieren. Auch ist unstreitig und wird durch die vorgelegte Anlage B1 belegt, dass der Kläger erst zum 18.08.2022 von der Verwendung von chipTAN auf pushTAN gewechselt hat, wegen Problemen mehrfach wieder auf chipTAN umgestellt und erst zum 07.10.2022 eine funktionierende pushTAN Verbindung eingerichtet bekommen hat. Die angeforderte Freigabe erfolgte bereits am 18.10.2022. Damit kann festgestellt werden, dass der Kläger im Umgang mit dem für ihn neuen PushTAN Verfahren keineswegs vertraut war und es auch im Vorfeld verschiedenste (fehlgeschlagene) Versuche von Zahlungsfreigaben gegeben hat. Schließlich kann nicht unberücksichtigt bleiben, dass die vereinbarten Onlinebedingungen der Beklagten aus dem Jahre 2019 stammen, also einem Zeitpunkt, zu dem die Beklagte die Möglichkeit der Generierung einer virtuellen Kreditkarte für Apple Pay noch gar nicht zur Verfügung stellte. Dementsprechend sah 7.3. der Onlinebedingungen als Beispiel auch nur die Prüfung der Daten wie Betrag, Kontonummer des Zahlungsempfängers, Wertpapierkennnummer vor. Die gesamten vorhergehenden, sehr ausführlichen und konkreten Verhaltensvorgaben unter Ziff. 7 Der Onlinebedingungen befassten sich dementsprechend in keiner Weise mit einer möglichen Freischaltung digitaler Kreditkarten. Der allgemein gehaltene Hinweis in der Push-Nachricht auf eine Pishing-Warnung war allgemein gehalten und nicht aussagekräftig: Der Hinweis, dass nach Freigabe sofort Zahlungen möglich sind, weist auf die Verwendungsmöglichkeit der virtuellen Kreditkarte auf einem Smartphone im Rahmen von Apple Pay hin, enthält aber insbesondere keine für einen Verbraucher nachvollziehbaren Hinweis darauf, dass er ggf. überprüfen soll, ob er selbst tatsächlich die Kreditkarte auf seinem I-Phone für Apple Pay hinterlegt hat und bereits insoweit Pishing-Vorfälle möglich sind. Die Möglichkeit und der tatsächlich erfolgte Missbrauch bei der Erstellung der virtuellen Kreditkarten auf dem Smartphone war jedenfalls 2022 keinesfalls Allgemeingut oder Gegenstand großer öffentlicher Warnhinweise. Hinzu kommt, dass es für den Verbraucher wenig nachvollziehbar ist, dass mit Hilfe abgefischter Kreditkartendaten alleine durch eine per Wischen freizugebende TAN eine virtuelle Kreditkarte freigegeben wird, die dann vom jeweiligen Mehrzweckendgerätebesitzer (Besitzer des I-Phone) unter Benutzung einer starken Kundenauthentifizierung ohne Kenntnis des Kunden verwendet werden kann. Diese Gesamtumstände berücksichtigend vermag das Gericht allenfalls eine normale Fahrlässigkeit in der Person des Klägers festzustellen, nicht aber eine grobe Fahrlässigkeit.

4.

Lediglich ergänzend weist das Gericht darauf hin, dass zumindest auch eine Kürzung des Aufrechnungsanspruchs wegen eines Mitverschuldens der Beklagten nach § 254 BGB naheliegend wäre:

Zwar bestehen im Zahlungsverkehr Warn- und Hinweispflichten der Kreditinstitute zum Schutz ihrer Kunden vor drohenden Schäden nur in Ausnahmefällen. So hat im Überweisungsverkehr ein Kreditinstitut, das aufgrund massiver Anhaltspunkte den Verdacht hegt, dass ein Kunde bei der Teilnahme am bargeldlosen Zahlungsverkehr durch eine Straftat einen anderen schädigen will, diesem gegenüber eine Warnpflicht (BGH Urteil v. 6. Mai 2008 – XI ZR 56/07, BGHZ 176, 281 Rn. 14,15). Die Bank muss aber weder generell prüfen, ob die Abwicklung eines Zahlungsverkehrsvorgangs Risiken für einen Beteiligten begründet, noch Kontobewegungen allgemein und ohne besondere Anhaltspunkte überwachen. Eine Warnpflicht besteht erst dann, wenn die Bank ohne nähere Prüfung im Rahmen der normalen Bearbeitung eines Zahlungsverkehrsvorgangs aufgrund einer auf massiven Verdachtsmomenten beruhenden objektiven Evidenz den Verdacht einer Veruntreuung schöpft (BGH, Urteil vom 24. April 2012 – XI ZR 96/11 –, Rn. 32, juris). Ohne besondere weitere Anhaltspunkte geben Überweisungen mit Auslandsberührung, der Einsatz glatter Beträge und dadurch eintretende Kontoüberziehungen einer Bank ohne nähere Prüfung keinen hinreichenden Anlass, den Verdacht einer Straftat zu schöpfen. Kreditinstitute werden im bargeldlosen Zahlungsverkehr nur zum Zweck der technisch einwandfreien, einfachen und schnellen Abwicklung tätig und haben sich schon wegen dieses begrenzten Geschäftszwecks und der Massenhaftigkeit der Geschäftsvorgänge grundsätzlich nicht um die beteiligten Interessen ihrer Kunden zu kümmern.

Im vorliegenden Fall der Nutzung von Apple Pay mithilfe einer dafür zur Verfügung gestellten digitalen Kreditkarte hält das Gericht indessen durchaus weitergehende Pflichten des Kreditinstituts für gegeben: Der Umstand, dass alleine durch eine PushTAN-Freigabe mittels Wipe eine virtuelle Kreditkarte auf einem Smartphone freigeschaltet werden kann für den dann jeweiligen Besitzer dieses Smartphones, der alleine damit für alle künftigen Zahlungsvorgänge mit Apple Pay über eine starke Kundenauthentifizierung verfügt (Besitzelement: Smartphone, Inhärenz: Face-ID oder vergleichbares) verdeutlicht die besondere Gefahrenlage für einen Missbrauchsangriff wie den vorliegenden. Dies gebietet, wie das im Übrigen auch Art. 2, 3 RTS vorschreiben, dass die Zahlungsdienstleister bei kontaktlosen Zahlungen im Präsenzgeschäft Transaktionsüberwachungsmechanismen unter Beachtung der risikobasierten Faktoren einzubeziehen haben unter Einschluss auch einer ungewöhnlichen Nutzung des Geräts oder der Software unter Analyse von Zahlungsvorgängen, die für den Zahlungsdienstenutzer im Rahmen einer normalen Verwendung der personalisierten Sicherheitsmerkmale typisch sind. Auch diese aufsichtsrechtlichen Pflichten strahlen auf das zivilrechtliche Pflichtenprogramm aus (Linardatos, BKR 2021, 665 ff (S. 675 unter IV.4.). Dafür, dass die im Vergleich zur vorherigen Nutzung im Online-Banking oder im sonstigen Zahlungsverkehr gravierend abweichende Anzahl und Häufung sowie Umfang der Auszahlungsvorgänge durch die Beklagte mit einem wirksamen Programm überwacht wurde, das die sich ergebenden Auffälligkeiten überprüft, ist weder dargetan noch ersichtlich oder hat ersichtlich nicht funktioniert. Vielmehr hat die Beklagte dargestellt, dass im Jahre 2022 bei ihr bezüglich von Kartentransaktionen mit „Apple-Pay“ keine Transaktionsüberwachungen der IT-Dienstleister der Beklagten bezogen auf das „Apple-Pay“ Zahlungsinstrument, sondern – wie auch in allen anderen Geldtransaktionsfällen – bezogen auf Zahlungsvorgänge vom jeweils streitgegenständlichen Konto des Kunden bestanden habe. Die Implementierung eines solch effektiven Systems ist aber schon deshalb erforderlich, weil die Beklagte offensichtlich nicht verbindlich geregelt hatte, dass der Kunde von erfolgten Zahlungen mittels Apple-Pay zeitnah Push-Mitteilungen auf sein für das Online-Banking freigeschaltete Smartphone und auf allen seinen Endgeräten erhält und somit dem Kläger als Kunden nicht die Möglichkeit eröffnet war, auf etwaige nicht von ihm autorisierte Zahlungen mittels Apple-Pay zeitnah zu reagieren.

Die Verpflichtung zum Ersatz des Verzugsschadens ergibt sich aus § 286 BGB, ebenso die Verpflichtung zur Erstattung der vorgerichtlichen Rechtsanwaltskosten.

Die Kostenentscheidung beruht auf § 91 ZPO, die Entscheidung zur vorläufigen Vollstreckbarkeit auf § 709 ZPO.