Online-Banking Betrug: Bank haftet trotz Fahrlässigkeit

ECLI: ECLI:DE:LGHALLE:2024:1217.4O6.24.00

Die Beklagte wird verurteilt, dem bei ihr für die Klägerin geführten Konto DE wertmäßig zum 02.07.2022 einen Betrag von 72.333,00 EUR gutzuschreiben.

Die Beklagte wird verurteilt, die Klägerin von den außergerichtlichen Rechtsanwaltskosten in Höhe von 2.293,25 EUR freizustellen.

Im Übrigen wird die Klage abgewiesen.

Die Kosten des Rechtsstreits trägt die Beklagte.

Das Urteil ist gegen Sicherheitsleistung in Höhe von 110% des jeweils zu vollstreckenden Betrages vorläufig vollstreckbar.

Beschluss:

Der Streitwert für den Rechtsstreit wird auf die Wertstufe bis 80.000,00 EUR festgesetzt.

Tatbestand

Die Klägerin nimmt die Beklagte auf rückwirkende Wertgutschrift wegen nicht von dieser autorisierter Zahlungsdienstvorgänge in Anspruch. Die Nichtautorisierung ist streitig ebenso das Bestehen eines im Wege der Einrede eingewendeten Schadensersatzanspruchs der Beklagten gegen die Klägerin nach Grund und Höhe. In diesem Zusammenhang sind insbesondere die Rechtsfragen streitig, welche rechtliche Bedeutung die Individualvereinbarung eines Zahlungsverkehrs-Tageslimit im Online- Banking im Rahmen der gesetzlichen Risikoverteilung beim Missbrauch von Zahlungsinstrumenten hat ebenso wie die gesetzliche Regelung des § 676 Ziffer 1 BGB bzw. die inhaltsgleiche AGB-Bestimmung in den AGB für das Online-Banking Ziffer 10.2.4. (Anlage B 2 Anlagenband der Beklagtenanlagen).

Bei der Beklagten unterhält die Klägerin ein privates Girokonto mit der im Klageantrag bezeichneten IBAN. Aufgrund einer Rahmenvereinbarung zwischen der Klägerin und der Beklagten vom 05.02.2019 (Anlage B 1) nahm die Klägerin am Online-Banking teil. Nach dieser Vereinbarung wurde ein kontenübergreifendes einheitliches Überweisungslimit in Höhe von 1.000,00 EUR pro Tag (sogenanntes ZV-Tageslimit Online-Banking gem. Ziffer 5 der Vereinbarung) zwischen den Parteien vereinbart (Blatt 2 d.AB Beklagtenanlagen). Unter Ziffer 7 der Rahmenvereinbarung (Anlage B 1) wurde der Einsatz des sog. chipTAN-Verfahrens unter Nutzung der vorhandenen Karte vereinbart. Die Bedingungen der Beklagten für das Online-Banking (Anlage B 2 i.d.F. vom 13.01.2028 Bl 5 ff d AB Beklagtenanlagen) wurden einbezogen.

Am Samstagabend des 02.07.2022 gegen 21.00 Uhr führte die Beklagte zu Lasten des im Klageantrag bezeichneten Kontos der Klägerin eine Echtzeitüberweisung in Höhe von 73.333,00 EUR aus, weshalb die Klägerin noch am 02.07.2022 ihren Online- Zugang sperren ließ, am 03.07.2022 die Beklagte fernmündlich informierte und bei der Polizei eine Strafanzeige erstattete sowie am 04.07.2022 bei der Beklagten ihren Schaden schriftlich meldete. Die Beklagte lehnte bereits mit Schreiben vom 05.07.2024 eine Gutschrift des Überweisungsbetrages ab und kam einer entsprechenden außergerichtlichen Forderung im anwaltlichen Schreiben der Klägerin vom 29.06.2023 vorgerichtlich auch nicht nach.

Nach den seitens der Beklagten protokollierten Abläufen (vgl. Protokollauszüge Seite 06668, 06670, 06678, 06691, 06717, 06731 Anlage B 3 und B 5 sowie ohne Seitenbezeichnung Anlage B 5 a) erfolgten folgende für den eingetretenen Schaden bedeutsame in ihrem Online-Banking vorgenommenen Zahlungsdienstvorgänge: Zunächst wurde am 02.07.2022 20:41:19 Uhr eine Umbuchung vom Tagesgeldkonto der Klägerin über 52.000,00 EUR auf das im Klageantrag bezeichnete Girokonto der Klägerin veranlasst und von der Beklagten ausgeführt. Eine TAN war hierfür nicht erforderlich, da es sich um eine Zahlung auf das eigene Konto der Klägerin handelte. Um 20:41:39 Uhr wurde eine weitere Umbuchung von einem weiteren Tagesgeldkonto der Klägerin in Höhe eines Betrages von 15.700,00 EUR auf das nämliche Girokonto veranlasst und ausgeführt, wofür ebenfalls eine TAN nicht benötigt wurde.

Um 20:43:06 Uhr wurde dann eine Limitänderung für das Online-Banking der Klägerin beauftragt, wodurch das Tageslimit für den Zahlungsverkehr der Klägerin im Online- Banking von dem vereinbarten Limit in Höhe von 1.000,00 EUR für den 02.07.2022 auf 111.111.00 EUR mittels der Eingabe einer TAN geändert werden sollte, was die Beklagte um 20:43:24 Uhr ausführte.

Um 20:50:10 Uhr nahm die Beklagte einen Auftrag für eine Echtzeitüberweisung in Höhe von 73.333,00 EUR von dem Girokonto der Klägerin an ein Konto bei der N26 Bank GmbH entgegen, welchen sie nach Eingabe einer für diesen Zahlungsdiensteauftrag generierten TAN unstreitig ausführte, nachdem zuvor ein inhaltsgleicher Zahlungsdienst zwar um 20:46:22 entgegengenommen, aber aufgrund der Eingabe falscher TAN nicht zur Ausführung gekommen war.

Unstreitig hatte die Klägerin sich zuvor im Online-Banking der Beklagten einloggen wollen, war aber durch Klicken auf den durch die Suchmaschine zuerst angezeigten Link auf eine Fakeseite geleitet worden, welche wie die Internetseite der Beklagten wirkte und wo sich die Klägerin deshalb mit ihren Zugangsdaten einloggte. Daraufhin hatte sich ein Fenster geöffnet, in welchem ihr gemeldet wurde „Die Sparkasse macht das online Banking sicherer, wir benötigen Ihre Zustimmung“ und sie aufgefordert wurde auf den Button „Zustimmen“ zu klicken. Nach einer Recherche im Internet, ob entsprechende Maßnahmen seitens der Sparkasse glaubhaft seien und auch mangels einer Möglichkeit im Online-Banking ohne Betätigung dieses Buttons fortzufahren, betätigte die Klägerin diesen Button. Daraufhin wurde ihr angezeigt, dass sich bei ihr eine namentlich benannte Mitarbeiterin mit einer bezeichneten Legitimations-Nr. melden würde zwecks ihrer Bestätigung der Zustimmung. Danach schloss sich die Webseite automatisch. Sofort im Anschluss erhielt die Klägerin auch den angekündigten Anruf von einer vermeintlichen Mitarbeiterin der Beklagten unter Anzeige der Telefonnummer der Beklagten.

In dem Telefonat wurde die kritische Klägerin zunächst von der Anruferin von deren Authentizität und davon überzeugt, ihre Zustimmung zu bestätigen. Hierzu gab die Klägerin auf Anweisung der Anruferin Zahlenfolgen in ihren TAN-Generator ein, in welchen sie auf Anweisung ihre Geldkarte gesteckt hatte, und erzeugte auf diese Weise die geforderten TAN. Sie gab die geforderte TAN-Bestätigung der Anruferin durch. Die Anruferin informierte die Klägerin, dass sie bis Montag ca. 10:00 Uhr nicht auf das Online-Banking zugreifen könne.

Im weiteren Verlauf des Abends ließ die Klägerin nach Rücksprache mit Familienangehörigen ihren Online-Banking-Zugang über die Notrufnummer der Beklagten sperren.

Die Klägerin beantragt,

1. die Beklagte zu verurteilen, die vom Konto der Klägerin bei der Beklagten IBAN DE abgehende Zahlung, Buchungstag: 04.07.2022, Valuta 02.07.2022 i.H.v. -73.333,00 € zu dem ausgewiesenen Wertstellungsdatum in dem Kontokorrent als Haben-Betrag wiedergutzuschreiben,

2. die Beklagte zu verurteilen, an die Klägerin auf den Gutschriftbetrag Zinsen i.H.v. 5 Prozentpunkten über dem Basiszinssatz seit dem 06.07.2022 zu zahlen, und

3. die Beklagte zu verurteilen, die Klägerin von außergerichtlichen Rechtsanwaltskosten in Höhe von 2.293,25 EUR freizustellen.

Die Beklagte beantragt, die Klage abzuweisen.

Die Beklagte trägt vor, die Klägerin habe der Anruferin die von ihr auf ihrem Generator mittels ihrer Bankkarte erzeugten TAN mitgeteilt. Die Überweisungsdaten, nämlich die letzten 14 Ziffern der IBAN der Zahlungsempfängerin als auch der Überweisungsbetrag seien von der Klägerin selbst in den Generator eingegeben worden, wobei ihr im Display des Generators die Worte „IBAN“ und „Betrag“ angezeigt worden seien (Beweis: Sachverständigengutachten Bl 20 d.A.). Auf eine andere Art und Weise hätten die richtige TAN durch die unbefugten Täter nicht im Online-Banking zur Authentifizierung missbraucht werden können. Der Zahlungsdienstenutzer könne sich entsprechend dem gesetzlichen Haftungssystem gemäß § 675 v BGB auf eine Haftungsbegrenzung (auf ein vereinbartes Verfügungslimit) nicht berufen, wenn die Änderung des Verfügungslimits auf einer grob fahrlässigen Pflichtverletzung des Zahlungsdienstenutzers wie bei einer telefonischen Weitergabe von TAN an einen Anrufer beruhe (vgl. hierzu im Ergebnis auch OLG Naumburg, Urteil vom 22.05.2024 – 5 U 11/24, Seite 21 lti. d; Urteil vom 21.02.204 – 5 U 113/23, Seite 22 lit. c; Urteil vom 10.01.2024 – 5 U 83/23, Seite 18 lit. c). Der Kunde hätte aufgrund der Sicherheitshinweise der Beklagten, dass telefonische Betrugsversuche unternommen werden, den Anrufer um Rückruf bitten und sich vorher bei der Beklagten telefonisch rückversichern oder einfach versuchen müssen, die angezeigte Telefonnummer zurückzurufen. Haftungsansprüche seien ausgeschlossen, wenn die einen Anspruch begründenden Umstände auf einem Ereignis beruhten, auf das die Beklagte habe keinen Einfluss nehmen können (vgl. Ziffer 10.2.4 der AGB Anlage B 2 sowie § 676 c Ziffer 1 BGB).

Wegen der weiteren Einzelheiten des wechselseitigen streitigen und unstreitigen Vorbringens wird auf die gewechselten Schriftsätze Bezug genommen.

Die Klägerin ist persönlich von der erkennenden Einzelrichterin zu den Vorgängen im Zusammenhang mit den streitgegenständlichen Zahlungsdienstevorgängen der Beklagten angehört worden mit dem in der Sitzungsniederschrift festgehaltenen Ergebnis.

Entscheidungsgründe

Die zulässige Klage ist überwiegend begründet. Die Klägerin kann von der Beklagten die begehrte rückwirkende Wertgutschrift auf ihrem Girokonto bei der Beklagten verlangen, muss jedoch aufgrund eines seitens der Beklagten gegen sie bestehenden Schadensersatzanspruchs, welcher allerdings aufgrund der Vereinbarung eines Tageslimits in Höhe von 1.000,00 EUR entsprechend begrenzt ist, eine entsprechende Reduzierung der Wertgutschrift hinnehmen. Ein Zinsanspruch der Klägerin gegen die Beklagte in Bezug auf den Wertgutschriftsbetrag besteht nicht. Der Anspruch auf Freistellung von den vorgerichtlichen Rechtsanwaltskosten folgt aus dem Leistungsverzug der Beklagten infolge ihrer ernsthaften Weigerung einer Erstattung des Schadens mit Schreiben vom 05.07.2022 (Anlage K 4).

1. Die Klägerin kann von der Beklagten verlangen, dass sie das im Klageantrag bezeichnete Zahlungskonto wieder auf den Stand bringt, auf dem es sich ohne die Belastung durch die nicht autorisierten Zahlungsvorgänge befunden hatte (§ 675 u S. 2 BGB).

Die Klägerin kann von der Beklagten die rückwirkende Wertgutschrift aufgrund der nicht von ihr autorisierten Zahlungsdienstevorgänge am 02.07.2022 zu Lasten ihres bei der Beklagten unterhaltenen Girokontos verlangen. Der Anspruch ist gemäß § 675 u Satz 2 2. Alt. BGB entstanden.

Zwischen der Klägerin und der Beklagten bestand ein Zahlungsdiensterahmenvertrag i.S.d. § 675 f) Abs. 2 BGB. Für das Vertragsverhältnis galten zum streitgegenständlichen Zeitpunkt die aktuellen Regelungen des 2. Buches des BGBG Abschnitt 8 Titel 12 Untertitels 3, nämlich die §§ 675 c -676 c BGB. Für die streitgegenständlichen Vorgänge waren gemäß § 675 e Abs. 1 BGB zum Nachteil des Zahlungsdienstnutzers abweichende Vereinbarungen nicht zulässig.

Der unstreitig am 02.07.2022 seitens der Beklagten zu Lasten ihres Girokontos ausgeführte Zahlungsvorgang, die Echtzeitüberweisung in Höhe von 73.333,00 EUR auf ein Konto einer Frau F. bei der N26 Bank GmbH, war nicht von der Klägerin autorisiert.

Die Klägerin hat die Zahlungsdiensteaufträge, welche zur Ausführung des Zahlungsvorganges erforderlich waren, nicht erteilt, d.h. dem Zahlungsvorgang nicht zugestimmt, weder vor dessen Ausführung durch Erklärung einer Einwilligung noch nachträglich durch Erteilung einer Genehmigung (§ 675 j Abs. 1 S. 1-2 BGB). Die Klägerin war sich nicht bewusst, durch ihr Handeln mit dem TAN-Generator TANs für Zahlungsdienstevorgänge zu erzeugen und durch deren unter Umständen in der besonderen Telefonsituation sogar unbewusste Weitergabe an die Anruferin, einem unbekannten Dritten zu ermöglichen, ihr Konto belastende Zahlungsdienstevorgänge, insbesondere den konkreten streitgegenständlichen Zahlungsvorgang, auszulösen.

Im Ergebnis der Würdigung des Inhalts der gesamten Verhandlung, insbesondere der persönlichen Anhörung der Klägerin sowie der unstreitigen Chronologie der im Zusammenhang mit dem konkreten streitgegenständlichen Zahlungsvorgang unstreitigen Ereignisse ist das erkennende Gericht davon überzeugt, dass nicht die Klägerin, sondern unbekannte kriminelle Dritte die Zahlungsdienstevorgänge beauftragt haben. Diese haben sich mittels der Online-Banking-Zugangsdaten der Klägerin im Online-Banking auf einer Webseite der Beklagten eingeloggt und mittels der von der arglosen Klägerin erzeugten chipTAN die Erhöhung des Überweisungslimits auf 111111 EUR und die anschließende Echtzeit-Überweisung in Höhe von 73333 EUR auf ein Konto einer Frau F. beauftragt und jeweils durch Eingabe der durch die arglose Klägerin telefonisch – unter Umständen sogar unbewusst – an eine Anruferin herausgegebenen TANs die Aufträge freigeschaltet. Die Klägerin hatte angenommen ihre Zustimmung zu einer Umstellung des Online-Banking in ein sichereres Verfahren zu bestätigen, nachdem sie sich zuvor über eine entsprechende seitens der Beklagten zu diesem Zeitpunkt angeblich geplante Maßnahme im Internet informiert und die diesbezügliche Falschinformationen der Betrüger auf einer gefakten Online-Banking-Seite der Beklagten vermeintlich verifiziert hatte, und schließlich die im social Engineering versierte Anruferin durch das sich verschaffte Insiderwissen über ihr Konto und den Betrieb der Beklagten winzige Details geschickt in das Gespräch hatte einfließen lassen und in diesem die zunächst geäußerten Zweifel der grundsätzlich im Online-Banking versierte und sehr umsichtige Klägerin gekonnt zerstreut hatte unter anderem durch das glaubhafte Vortäuschen eines versehentlichen Fehlers bei der Adressbezeichnung, wodurch die schriftliche Vorabinformation der Beklagten über die Umstellung im Online-Banking die Klägerin angeblich nicht erreicht habe. Die Anhörung der Klägerin war insoweit inhaltlich ergiebig und vollumfänglich glaubhaft. Es ist plausibel und nachvollziehbar, dass die Klägerin die streitgegenständlichen Zahlungsdienstvorgänge nicht selbst im Online- Banking ausgelöst hat, sondern die chipTAN in dem Glauben, eine Bankmitarbeiterin benötige diese zur Bestätigung der Umstellung des Online-Banking, erzeugt und weitergegeben hat. Anhaltspunkte für Zweifel an der Wahrhaftigkeit des Inhaltes der persönlichen Anhörung bestehen insoweit nicht.

Die Klägerin muss sich das Handeln der unbekannten und unbefugten Dritten nicht nach Rechtsscheingrundsätzen zurechnen lassen. Denn die Regelungen in § 675 j Abs. 1, 675 u Satz 1 und 2 sowie 675 v Abs. 3 Ziff. 2 BGB sind abschließend (vgl. BGH, NJW 2021, 1458 Rz. 13 beckonline unter Hinweis auf BGH, Urteil vom 26.01.2016 – XI ZR 91/14 – Rz. 58 juris;).

Gemäß § 675 j Abs. 1 S. 1 BGB ist ein Zahlungsvorgang gegenüber dem Zahler nur wirksam, wenn er ihn autorisiert hat. Dies entspricht dem schon vor Inkrafttreten des Zahlungsverkehrsrechts im Überweisungsverkehr geltenden Grundsatz, dass regelmäßig die Bank und nicht der Kunde das Risiko trägt, dass Überweisungsaufträge gefälscht oder inhaltlich verfälscht werden (vgl. BGH, NJW 2021, 1458 Rz. 19 mit Hinweis auf BGH, NJW 2001,2968). Eine § 675 j Abs. 1 S. 1 BGB widerstreitende Klausel ist auch im unternehmerischen Verkehr ohne Wertungsmöglichkeit unwirksam gemäß §§ 134, 307 Abs. 1 und 2 BGB (BGH, a.a.O.).

Der Anspruch der Klägerin auf Wertgutschrift ist nicht gemäß § 676 c Ziffer 1 BGB bzw. gemäß der gleichlautenden Ziffer 10.2.4 der AGB für das Online-Banking der Beklagten ausgeschlossen. Diese Vorschrift setzt voraus, dass die einen Anspruch begründenden Umstände auf einem ungewöhnlichen und unvorhersehbaren Ereignis beruhen, auf das diejenige Partei, die sich auf dieses Ereignis beruft, keinen Einfluss hat und dessen Folgen trotz Anwendung der gebotenen Sorgfalt nicht hätten vermieden werden können. Die Fälschung von Zahlungsanweisungen stellt für ein Kreditinstitut grundsätzlich kein ungewöhnliches und unvorhersehbares Ereignis dar (vgl. BGH, a.a.O. Rz. 20 mit weiteren Nachweisen auch zu Differenzierungen in der Literatur sowie die Gegenansicht von LG D – 4 O 348/13, BeckRS 2014,5109). Die vielfältigen Warnhinweise der Beklagten aber auch die Vielzahl der Fälle belegen das Gegenteil. Schäden der Kreditinstitute infolge von betrügerischen Telefonanrufen bei Kunden durch vermeintliche Sparkassen- Mitarbeiter überwiegend an Wochenenden oder Feiertagen, bei denen die Betrüger gefälschte Zahlungsdienstaufträge mit Limiterhöhungen und vorzugsweise Echtzeitüberweisungen den Kreditinstituten mit erschlichenen TANs erteilen, stellen kein ungewöhnliches Ereignis dar. Ob die Beklagte als einzelnes Kreditinstitut auf entsprechende Ereignisse keinen Einfluss hat, kann offenbleiben.

2. Dieser Verpflichtung der Beklagten auf rückwirkende Wertgutschrift kann die Beklagte jedoch entsprechende Schadensersatzansprüche im Wege der Einrede (gemäß § 242 BGB) nach Treu und Glauben entgegenhalten und im Ergebnis die Wertgutschrift insoweit verweigern, als sie von der Klägerin Schadensersatz verlangen kann (vgl. BGH, a.a.O. Rz 24 mit wN u.a. auch auf Urteil vom 17. November 2020 – XI ZR 294/19, Rn. 25; juris).

Der Anspruch der Beklagten gegen die Klägerin besteht gemäß § 675 v Abs. 3 Nr. 2 b BGB.

Nach dieser Vorschrift ist der Zahler seinem Zahlungsdienstleister zum Ersatz eines Schadens über die gesetzliche Haftungsbegrenzung von 50 EUR hinaus zum Schadensersatz verpflichtet, wenn der Zahler den Schaden durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments herbeigeführt hat.

Grobe Fahrlässigkeit erfordert einen in objektiver Hinsicht schweren und in subjektiver Hinsicht schlechthin unentschuldbaren Verstoß gegen die Anforderungen der konkret erforderlichen Sorgfalt. Selbst ein objektiv grober Pflichtenverstoß rechtfertigst für sich noch keinen zwingenden Schluss auf ein entsprechend gesteigertes personales Verschulden (OLG N, Urteil vom 22.05.2024 – 5 U 11/24 -).

Die erkennende Einzelrichterin ist das CHIP-TAN-Verfahren aus anderen Fällen bekannt. Sie weiß, dass bei der Generierung einer TAN über einen TAN-Generator für eine Überweisung bei dessen manuellen Verwendung – auch nach einer automatischen Umschaltung vom CHIP-TAN-Verfahren visuell auf das manuelle Verfahren – zuvor auf dem Display des Generators die Worte „Betrag“ sowie das Wort „IBAN“ zumindest für kurze Zeit erschienen sein müssen und von dem Benutzer hätten gelesen werden können. Dass die arglosen Zahler aufgrund der Überrumpelungssituation und der Ablenkung durch das parallel stattfindende Telefongespräch mit einem versierten betrügerischen Anrufer diese Worte nicht wahrnehmen, sondern gedanklich wie sinnlich auf andere Dinge konzentriert sind, lässt den groben Pflichtenverstoß durch Weitergabe der mit dem TAN-Generator erzeugten TAN an den Anrufer nach der inzwischen insoweit wohl gefestigten Rechtsprechung des Oberlandesgerichts Naumburg nicht entfallen. Dies gilt auch dann und sogar umso mehr, wenn dem Zahler die mündliche Weitergabe der TAN aufgrund der geschickten Gesprächsführung des betrügerischen Anrufers nicht bewusst und später nicht erinnerlich ist, weil der Zahler durch das Gespräch mit dem Anrufer und unbewusst möglicherweise auch mit unterdrückten eigenen inneren Zweifeln beschäftigt ist. Aber auch bei der Generierung der TAN mittels des TAN-Generators für eine Limiterhöhung, bei welcher dem arglosen Zahler der Zweck der TAN mangels einer Anzeige auf dem Display des TAN Generators in keiner Weise erkennbar ist, entfällt nicht der Vorwurf subjektiv vorwerfbarer grober Fahrlässigkeit. Zahler dürfen nicht einer Mitteilung auf einem Fenster im Internet vertrauen, wonach ihre Zustimmung für eine Umstellung des Online-Banking erforderlich ist. Dies gilt auch dann, wenn eine erfolgte weitere Recherche im Internet den Umstand, dass ihr Zahlungsdienstleister tatsächlich eine Umstellung des Online-Banking vorhat, hier um das Online-Banking sicherer zu machen, bestätigt. Denn dass Betrüger solche Situationen quasi als sog. Trittbrettfahrer ausnutzen, ist allgemein bekannt, mag dies dem Zahler in der Situation auch nicht präsent gewesen sein. Auch wenn dem im Online-Banking versierten Zahler die TAN als Authentifizierungsinstrument im Zahlungsdiensteverkehr vertraut ist, darf er nicht annehmen, dass er diese auch im Rahmen von vertraglichen Rahmenvereinbarungen mit dem Zahlungsdienstleister als Authentifizierungsinstrument einsetzen kann oder muss. Denn bei solchen Vereinbarungen handelt es sich nicht um schnell und massenhaft umzusetzende Rechtsgeschäfte wie im Zahlungsverkehr. Dies gilt umso mehr, wenn der Zahler die von ihm generierte TAN im Anschluss nicht selbst durch Eingabe im Online-Banking zu einem ihm erkennbaren Zweck oder den TAN-Generator für ihn ungewohnt und in der Situation nicht nachvollziehbar verwenden soll. Zwar mag dem Zahler unbekannt sein, dass der TAN-Generator nicht mit dem Internet verbunden ist, auch wenn er die mittels Generator erzeugte TAN stets händisch im Online-Banking eingeben muss. Selbst wenn dem Zahler grundsätzlich bekannt sein sollte, dass sein TAN-Generator lediglich über dieselbe Programmierung verfügt wie das auf Seiten der Banken zeitgleich für den jeweiligen Zahlungsdiensteauftrag eingesetzte TAN- Generierungsinstrument, so dass beide Geräte logischerweise zu demselben Ergebnis, nämlich der Erzeugung derselben TAN, kommen müssen und der Abgleich dieser Ergebnisse durch die Bank die Authentifizierung darstellt, durfte er nicht darauf vertrauen, dass der Zweck der erzeugten TAN die Bestätigung der Zustimmung zur Umstellung im Online-Banking gewesen war, nur weil dies im Internet auf der Seite der Beklagten ihm suggeriert und von der Anruferin so mitgeteilt worden war. Jedenfalls im Rahmen der anschließenden Generierung der TAN für die Echtzeitüberweisung hätte die Klägerin die Worte „IBAN“ und „Betrag“ auf dem Display des vor ihr liegenden TAN-Generators nicht übersehen dürfen, auch wenn die Anruferin sie – ebenso wie die vielen anderen von entsprechenden betrügerischen Anrufen betroffene Kunden der Beklagten in diesem Zeitraum – durch das Telefongespräch geschickt abgelenkt haben mag. Auf solche typischen Begleitumstände eines Betruges kommt es bei der Wertung des Verhaltens des Zahlers als grob fahrlässig i.S.d. § 676 v Abs. 3 Ziffer 2 b BGB im Ergebnis nicht an. Vielmehr ist im Falle einer Weitergabe einer TAN an einen Dritten der Vorwurf der groben Fahrlässigkeit naheliegend und damit in der Regel zu vermuten. In welcher Konstellation nach der obergerichtlichen Rechtsprechung dieser Vorwurf entfallen könnte, ist der erkennenden Einzelrichterin in Bezug auf die Weitergabe von TAN an Anrufer bislang noch nicht vorstellbar. Vorliegend jedenfalls sind entsprechende Umstände seitens der Klägerin nicht vorgetragen. Die Einholung eines Sachverständigengutachtens zu der Frage, ob die Worte „IBAN“ und „Betrag“ im Zeitpunkt der Generierung der TAN für die Überweisung auf dem Display des TAN-Generators der Klägerin erschienen sind, hält die erkennende Einzelrichterin im Übrigen nicht für geeignet. In einem Parallelfall wurde diese Frage von dem Sachverständigen lediglich dahingehend beantwortet, er sei nicht präsent gewesen und könne dazu daher keine Feststellungen treffen. Hierauf kommt es nach der Wertung des Obergerichtes auch nicht an. Denn dieses bewertet auch die Weitergabe der TAN für eine Limiterhöhung, bei welcher dem Zahler zum streitgegenständlichen Zeitpunkt bei Bedienung des Generators unstreitig in keiner Weise erkennbar gewesen war, für welche Zwecke er die TAN auf Anweisung der Anruferin bzw. des Anrufers erzeugt wenn nicht zu dem ihm von dem Anrufer mitgeteilten Verwendungszweck, als grob fahrlässiges Verhalten, welches den Zahler seinem Zahlungsdienstleister zum Schadensersatz gemäß den §§ 675 v Abs. 3 Ziffer 2 b, 249 Abs. 1 BGB verpflichtet. Die erkennende Einzelrichterin hat kein überzeugendes Argument sich dieser Wertung des Oberlandesgerichtes zu verschließen, weshalb sie sich diese zu eigen macht. Für die Vielfalt der Online-Banking Nutzer mit unterschiedlichen Fähigkeiten, Erfahrungen und Interessen könnte diese Wertung (auch für den insoweit weniger versierten bzw. erfahrenen Online-Banking Nutzer) durch einen Vergleich mit der rechtlichen Bewertung von Straßenverkehrsregelverletzungen nachvollziehbar sein, wonach z.B. eine Vorfahrtsverletzung, einer Rückwärtsfahrt oder vielleicht noch deutlicher eine Geisterfahrt als grob verkehrswidrig und gegebenenfalls als rücksichtslos bewertet werden und eine Mithaftung des anderen Verkehrsteilnehmers ausschließt.

Dass die Klägerin die maßgeblichen zwei TAN am 02.07.2022 an die Anruferin weitergab steht zur hinreichenden Überzeugung der erkennenden Einzelrichterin fest. Die Beklagte hat die Zahlungsaufträge der Betrüger ausgeführt, nachdem ihr Rechner, welcher einen identischen Rechenvorgang wie der TAN-Generator der Klägerin durchführte, eine identische TAN erzeugt hatte wie sie für den konkreten von den Betrügern vorgegebenen Zahlungsdienstevorgang (Zahlungsdienst, Bankkarte, weitere Details wie Empfänger und Betrag bzw. neues Limit) aufgrund der identischen Programmierung nur einmalig bzw. identisch generiert werden konnte. Da die Klägerin unstreitig im Besitz des TAN- Generators und der ebenfalls benötigten Bankkarte war und den TAN-Generator unstreitig bediente, muss sie die erzeugte TAN an die Anruferin durchgegeben haben, wie die Klägerin zudem auf Seite 6 der Klageschrift im 3. Absatz noch selbst vortrug. Anderenfalls wären die Zahlungsdienstaufträge der Betrüger nicht ausgeführt worden. Dass die Klägerin im Rahmen ihrer Anhörung eine telefonische Weitergabe der TAN nicht erwähnte, ist leicht erklärlich mit der Aufregung im Zusammenhang mit den für das künftige Leben der Klägerin bedeutsamen Geschehnissen, da sie aufgrund der Handlungen der Betrüger ihre gesamten Ersparnisse aus ihrem Arbeitsleben im Rentenalter verloren hatte. Das Gehirn des Menschen arbeitet einerseits nicht fehlerfrei, sucht jedoch stets nach Optimierungen zur Gesunderhaltung, wodurch natürlich die Verarbeitung von wahrgenommenen Informationen und deren Speicherung und Reproduktion beeinflusst werden. Dies geschieht umso mehr, wenn durch häufiges Erzählen dieser Prozess der Verarbeitung und Reproduktion wiederholt stattfindet, sich darüber hinaus mit der Verarbeitung ähnlicher Geschehnisse durch ebenfalls Betroffene sowie der rechtlichen bzw. gesellschaftlichen Bewertung dieser Geschehnisse beschäftigt. Insoweit dürfte es – je nach Individuum – ausgeschlossen sein, dass die Geschehnisse vollständig mit sämtlichen Details wahrgenommen, richtig verarbeitet, gespeichert und nach mehr als 2 Jahren wiedergegeben werden können, mögen hierüber auch schriftliche Aufzeichnungen vorgenommen worden sein.

Ein Schadensersatzanspruch der Beklagten gegen die Klägerin ist nicht ausgeschlossen, weil die Beklagte eine starke Kundenauthentifizierung im Sinne des § 1 Abs. 24 Zahlungsdiensteaufsichtsgesetzes (ZAG) nicht verlangt. Es wird auf die den Parteien bekannte Entscheidung des Oberlandesgerichts N vom 22.05.2024 – 5 U 11/24 – in den Entscheidungsgründen Ziffer 2c Bezug genommen.

Rechtliche Zweifel könnten insoweit vernünftigerweise lediglich in Bezug auf die Limiterhöhung von dem Ursprungslimit (1000,00 EUR) auf 111111 € (vgl. Protokoll Anlage B 5 a) bestehen, weil insoweit dem Nutzer des TAN-Generators unstreitig nicht erkennbar ist, wofür die TAN erzeugt wird, wenn er die zuvor eingegebene Ziffernfolge, den Startcode, nicht selbst erzeugt hat, nämlich durch Eingabe eines Zahlungsdiensteauftrages im Online-Banking im zuvor dort gewählten manuellen Verfahren. Die bisherigen (rechtlichen) Zweifel der erkennenden Einzelrichterin sind zwar noch nicht ausgeräumt, im vorliegenden Fall jedoch unerheblich.

Der von der erkennenden Einzelrichterin zur Begründung bisher bemühte Erwägungsgrund 96 der Zahlungsdienstrichtlinie, wonach der Nutzer stets Klarheit über den Betrag und über den Empfänger der Zahlung hat, die er veranlasst, gilt für den sich im Online-Banking unrechtmäßig eingeloggten Betrüger nicht für den den TAN-Generator bedienenden arglosen Zahler. Maßgeblich ist das – soweit hier feststellbar – technisch einwandfreie und vor betrügerischen Angriffen immune „technische“ Funktionieren des Authentifizierungsinstrumentariums, welches für jeden einzelnen konkreten Zahlungsdiensteauftrag ein individuelles Authentifizierungsinstrument erschafft und die anschließende automatisierte Ausführung des Zahlungsdiensteauftrages auslöst. Das Authentifizierungsinstrument ersetzt insoweit den Bankmitarbeiter, welcher im Interesse der Bank nach automatisierter Prüfung der Zulässigkeit und Wirksamkeit des Zahlungsdiensteauftrages schließlich auch die Echtheit der Unterschrift bzw. der Autorisierung durch den berechtigten Zahler prüfen müsste.

3. Die Schadensersatzansprüche der Beklagten gegen die Klägerin sind aufgrund der zulässigen und wirksamen Vereinbarung eines Zahlungsverkehr-Tageslimit von 1.000,00 EUR gemäß Ziffer 10.2.1. Abs. 5 der Bedingungen für das Online-Banking (Anlage B 2 AB Beklagtenanlagen) der Höhe nach auf das vereinbarte Limit, welches mangels anderer von der Klägerin autorisierter Zahlungsaufträge an diesem Tage nicht einmal teilweise ausgeschöpft war, beschränkt.

Nach der gesetzlich zulässigen privatautonomen Vereinbarung beschränkt sich die Haftung für Schäden, die innerhalb des Zeitraums, für den der Verfügungsrahmen gilt, verursacht werden, jeweils auf den vereinbarten Verfügungsrahmen (Ziffer 10.2.1 Abs. 5 AGB zum Online-Banking Anlage B 2)

Die Klägerin und die Beklagte hatten mit der Rahmenvereinbarung über die Teilnahme am Online-Banking am 05.02.2019 das ZV-Tageslimit im Online-Banking auf 1.000,00 EUR festgelegt und vereinbart (vgl. Ziffer 5 Anlage B 1 AB Beklagtenanlagen). Eine Abänderung wurde unstreitig nicht vereinbart.

Die Änderung des ZV-Tageslimits im Online-Banking am 02.07.2022 durch unbefugte Dritte ist der Klägerin nicht zuzurechnen. Es gelten die obigen Ausführungen, auf die verwiesen werden kann. Die Klägerin hatte einer Limitänderung nicht zugestimmt, diese nicht autorisiert.

Diese vertragliche Regelung ist nicht unbillig und deshalb ist ein Berufen auf die Haftungsbegrenzung dem Zahlungsdienstenutzer nicht gemäß § 242 BGB verwehrt, auch wenn der Schaden aufgrund einer grob fahrlässigen Pflichtverletzung des Zahlungsdienstenutzers entstanden ist. Die Schadensersatzhaftung des Zahlungsdienstenutzers setzt – ausgenommen die Haftung im Umfang von 50 EUR – gemäß § 675 v Abs. 1 BGB gemäß Abs. 3 wenigstens grobe Fahrlässigkeit voraus.

Würde bei Vorliegen von grober Fahrlässigkeit ein Berufen auf die Vereinbarung einer vertraglich vereinbarten Haftungsbegrenzung auf ein vereinbartes Verfügungslimit unzulässig sein, wäre die Vereinbarung einer solchen Haftungsbegrenzung (neben der gesetzlichen Haftungsbegrenzung in § 675 v Abs. 1 BGB auf 50,00 EUR) praktisch völlig obsolet.

Die Vereinbarung einer Haftungsbegrenzung ist nicht unbillig, mag sie auch aus der Zeit des noch nicht fast vollständig automatisierten Zahlungsverkehrs stammen. Diese vertragsautonome Haftungsbegrenzung ergänzt das gesetzlich geregelte Haftungssystem, welches mit § 675 v Abs. 1 BGB für alle Fälle einfacher Fahrlässigkeit bereits eine Haftungsbegrenzung zu Gunsten des Zahlers auf einen Betrag von 50 EUR vorsieht. Es wird an dieser Stelle an den oben bereits zitierten, bereits vor Inkrafttreten des Zahlungsverkehrsrechts im Überweisungsverkehr geltenden Grundsatz erinnert, dass regelmäßig die Bank und nicht der Kunde das Risiko trägt, dass Überweisungsaufträge gefälscht oder inhaltlich verfälscht werden (vgl. BGH, NJW 2021, 1458 Rz. 19 mit Hinweis auf BGH, NJW 2001,2968). Diese vertragliche Haftungsbegrenzung verpflichtet den Zahlungsdienstleister zu effektiven Sicherungsmaßnahmen vor einer missbräuchlichen Umgehung oder Änderung der wirksam vereinbarten Verfügungslimite und den Zahlungsdienstenutzer zur Beachtung des vereinbarten Verfügungslimits. Dies galt sowohl vor der Möglichkeit einer Änderung des Verfügungslimits im Online-Banking als auch danach. Indem die Zahlungsdienstleister eine Änderung der Verfügungslimite im Online-Banking – ohne Mitwirkung jedenfalls der überwiegenden Mehrheit ihrer Vertragspartner teilweise sogar bis heute ohne Kenntnis einiger Vertragspartner von derartigen Zahlungsdiensteaufträgen – ermöglicht haben, müssen sie auch die damit verbundenen Sicherheits- und Haftungsrisiken aufgrund der vertraglichen Haftungsbegrenzung nach dem Grundsatz pacta sunt servanda tragen.

4. Eine weitergehende Reduzierung bzw. ein Ausschluss des Schadensersatzanspruchs der Beklagten gegen die Klägerin wegen Mitverschuldens gemäß § 254 Abs. 1 BGB wird im vorliegenden Einzelfall nicht angenommen.

Da die streitgegenständliche Überweisung in Höhe von 73.333,00 EUR das vereinbarte und an dem Tag noch nicht einmal teilweise ausgeschöpfte Tageslimit von 1.000,00 EUR überstieg, hätte die streitgegenständliche nicht autorisierte Überweisung in Höhe von 73.333,00 EUR aufgrund der Überschreitung des vereinbarten Tageslimits zwar überhaupt nicht ausgeführt werden dürfen.

Eine Haftung der Klägerin gemäß § 675 v Abs. 3 Ziffer 2 BGB wegen grob fahrlässiger Verletzung ihrer Sorgfaltspflichten in Bezug auf die Nutzung des TAN-Generators und der hiermit erzeugten TAN ist vorliegend jedoch nicht gemäß § 254 Abs. 1 BGB ausgeschlossen, weil davon auszugehen ist, dass die unbekannten Betrüger im Falle des Scheiterns einer das ZV-Tageslimit von 1.000,00 EUR übersteigenden Überweisung wenigstens eine Überweisung in vollständiger Ausschöpfung des Tageslimits veranlasst und seitens der Beklagten zur Ausführung gebracht hätten.

Aufgrund der Bedeutung einer ZV-Tageslimitvereinbarung und deren Zweck, unter anderem auch Missbrauchsfälle vorzubeugen, hätte die Beklagte, welche das Authentifizierungssystem und die Tageslimitänderung im Online-Banking als Zahlungsdiensteprodukt zur Verfügung stellte, dafür Sorge zu tragen gehabt, dass eine ZV-Tageslimit-Erhöhung im Online-Banking dem Zahlungsdienstenutzer bei Bedienung des Authentifizierungsgerätes und der Erzeugung des Authentifizierungsinstrumentes, der TAN, als Zweck dieser TAN auf der Display-Anzeige des Gerätes sichtbar gemacht wird.

Hierzu war sie der Klägerin aufgrund der getroffenen Rahmenvereinbarung und der darin getroffenen ZV-Tageslimitvereinbarung verpflichtet. Eine solche Maßnahme war technisch möglich und zumutbar. Dass die Beklagte als einzelne Zahlungsdienstleisterin subjektiv nicht in der Lage gewesen wäre, für eine Anzeige der Limiterhöhung auf dem Display des TAN Generators Sorge zu tragen, ist weder vorgetragen noch ersichtlich.

Tatsächlich war auf dem Display des TAN-Generators jedoch unstreitig nicht erkennbar, dass die TAN zur Änderung des ZV-Tageslimits und zu Bestimmung welcher Höhe des neuen Tageslimits erzeugt werden sollte und damit auch nur zu diesem Zwecke genutzt werden könnte.

Die Beklagte hatte den durch die Ausführung der beauftragten nicht autorisierten Limitänderung verursachten Schaden gemäß § 254 Abs. 1 BGB schuldhaft mitverursacht. Aufgrund ihres Versäumnisses hat die Beklagte die schadensstiftende Echtzeitüberweisung in Höhe von 73.333,00 EUR überhaupt erst ermöglicht. Denn aufgrund der Vereinbarung eines ZV-Tageslimits von 1.000,00 EUR, wäre diese Überweisung veranlasst durch unbefugte Dritten nicht ausgeführt worden. Es ist nicht unwahrscheinlich, dass die Klägerin aufgrund einer solchen Anzeige im Display die erzeugte TAN nicht an die Anruferin weitergegeben hätte, sondern vielmehr ob einer Anzeige „Limitänderung“ oder „Erhöhung des Tageslimits auf 111111 EUR“ ihre Arglosigkeit verloren, Zweifel gehegt sowie den Anruf ohne Weitergabe einer weiteren TAN beendet hätte. Das selbstkritische und vernünftige Verhalten der Klägerin nach Beendigung des Telefonats lässt einen solchen Verlauf jedenfalls nicht unwahrscheinlich vielmehr wahrscheinlich erscheinen.

Im Rahmen der Abwägung der Verursachungsbeiträge ist allerdings auch zu beachten, dass das Tageslimit der Klägerin an dem Tag noch gänzlich unausgeschöpft gewesen ist. Nach dem wahrscheinlichen Lauf der Dinge ist davon auszugehen, dass die unbefugten Täter wenigstens eine nicht autorisierte Überweisung in Höhe des nicht ausgeschöpften Tageslimits zu Lasten des klägerischen Kontos veranlasst hätten und die Beklagte diese auch ausgeführt hätte.

Im Ergebnis haftet die Klägerin gemäß §§ 675 u Abs. 3, 254 Abs. 1 BGB trotz grob fahrlässiger Verletzung ihrer Sorgfaltspflichten im Umgang mit den mittels ihrer Bankkarte und dem TAN-Generator erzeugten TAN vorliegend aufgrund des unstreitigen Sachverhaltes lediglich in Höhe des nicht ausgeschöpften vereinbarten ZV-Tageslimits von 1.000,00 EUR.

Die vorgerichtlichen Rechtsanwaltskosten als notwendige Kosten zweckentsprechender Rechtsverfolgung hat die Beklagte der Klägerin gemäß §§ 280 Abs. 1 und 2, 286 Abs. 2 Ziffer 3, 249 Abs. 1 BGB als Verzögerungsschaden zu ersetzen. Für einen weiteren Zinsschaden fehlt es an einem Zahlungsanspruch i.S.d. § 288 Abs. 1 ZPO sowie einer schlüssigen Begründung gemäß § 249 Abs. 1 BGB.

II. Die Nebenentscheidungen folgen aus §§ 92 Abs. 2 Ziffer 1, 709 Satz 1 ZPO.

III. Die Streitwertfestsetzung beruht auf §§ 63 Abs. 2 S. 1, 39 ff, 40, 48 Abs. 1 GKG, 3 ZPO.