Online-Banking-Betrug: Haftung bei TAN-Weitergabe – wer haftet?

1. Die Klage wird abgewiesen.

2. Die Klägerin trägt die Kosten des Rechtsstreits.

3. Das Urteil ist gegen Sicherheitsleistung in Höhe von 110 % des jeweils zu vollstreckenden Betrags vorläufig vollstreckbar.

Beschluss

Der Streitwert wird auf 34.999,76 € festgesetzt.

Tatbestand

Die Klägerin macht aus eigenem und von ihrem Ehemann abgetretenem Recht einen Anspruch auf Kontoberichtigung geltend infolge nicht autorisierter Abbuchungen mittels einer digitalen Kreditkarte.

Die Klägerin und deren Ehemann, der sämtliche eigenen Rechte im vorliegenden Kontext an die Klägerin abgetreten hat, führen bei der Beklagten seit 1990 das gemeinschaftliche „VBU-Girokonto plus“ mit der. Zwischen den Parteien besteht ein Girokontovertrag und Zahlungsdiensterahmenvertrag gem. § 675 f Abs. 2 BGB. Gegenstand des Girokontovertrags sind u.a. folgende Vereinbarungen: Vereinbarung über die Nutzung des Online-Banking, AGB-Banken, Sonderbedingungen Online-Banking (Anlagenkonvolut B 1).

Von diesem Konto wurden im Zeitraum 15.07. bis 04.09.2023 im Raum Bremen insbesondere bei zahlreichen Discountern in zahlreichen Teilbeträgen Abbuchungen in Höhe von insgesamt 34.999,76 € vorgenommen.

Die Klägerin trägt im Wesentlichen vor, diese Abbuchungen seien nicht autorisiert gewesen. Sie hätten das nicht sofort bemerkt, da sie noch nie aktives Online-Banking betrieben, sondern nur in unregelmäßigen zeitlichen Abständen die von der Beklagten eingestellten Kontoauszüge über das Internet eingesehen hätten, was ausschließlich Part der Klägerin als gelernte Buchhalterin gewesen sei. Wegen einer schweren Erkrankung habe sie die Kontoauszüge erst Ende August 2023 eingesehen und dabei die Abbuchungen bemerkt und die Beklagte informiert. Die Klägerin selbst und ihr Ehemann hätten bezüglich des genannten Kontos lediglich eine von der Beklagten ausgegebene Girokarte erhalten, die sie niemals aus der Hand gegeben und niemals irgendwelchen dritten Personen gegenüber hierüber Daten, Kennwörter, PIN oder TAN offenbart und auch niemals für online-Banking eingesetzt hätten, sondern nur am Bankautomaten der Beklagten, wo sie auch sämtliche eigenen Überweisungen tätigten oder Barmittel aus ihrem Konto bezogen hätten. Von einer digitalen Kreditkarte habe sie zuvor noch nie etwas gehört geschweige denn eine solche beantragt. In der Replik lässt sie klarstellend vortragen, sich in unregelmäßigen Abständen unter Verwendung der VR-Netkeynummer, einer zwölfstelligen PIN und der über ihr Hany übermittelten TAN über die Secure-App der Beklagten online angemeldet zu haben, um sich die angefallenen Kontoauszüge auszudrucken.

Mangels jeglicher Kenntnisse hierüber und mangels jemaliger eigener Aktivitäten im Online-Banking, das die Klägerin und ihr Ehemann niemals praktiziert hätten und hierfür auch gar keine technischen Möglichkeiten hatten – wie z.B. über eine App auf dem Handy oder auf dem Computer – sei es völlig ausgeschlossen, dass sie irgendeine „Schuld“ oder wie auch immer geartete Verantwortung an diesen Vorgängen treffe, insbesondere sei niemals mit einer TAN eine solche Karte freigegeben worden. Ein Sachverständiger könne heute noch überprüfen, dass sie sowohl auf ihrem Computer wie auch auf dem der Beklagten am 15.7.2023, dem behaupteten Freigabetermin für die digitale Karte, kein Online-Banking gemacht habe und auch nicht mit ihrem Smartphone eine TAN zur Freischaltung der digitalen Karte übermittelt habe.

Die Klägerin und ihr Ehemann rätselten nach wie vor darüber, wie der sich als Mitarbeiter der Beklagten ausgebende „Herr L“ zum einen an die Handynummer der Klägerin () gekommen sei, zum anderen in die Kenntnis und den Besitz der Kontonummer habe gelangen können. Weder die Klägerin noch deren Ehemann hätten jemals diese Daten „gesammelt“ und in irgendeinem Bezug zu ihren Bankangelegenheiten an Dritte herausgegeben.

Sie könnten in diesem Kontext nur mutmaßen, dass der Betrüger entweder eine Schwachstelle im digitalen Netzwerk der Beklagten ausgenutzt oder über einen informierten Gehilfen aus dem Umfeld der Beklagten die erforderlichen spezifischen Kenntnisse zugetragen erhalten habe. In dem Telefonat mit „Herrn L“ habe sie keine TAN mitgeteilt hat, erst recht nicht gar vier verschiedene TAN´s. Ihr Ehemann, der Zeuge …habe noch nie über sein Handy eine Bank-App heruntergeladen und auch noch nie irgendwelches Online Banking über sein Handy betrieben, obwohl nur dieser als Vertragspartner der Vereinbarung über die Nutzung des Online-Banking erscheine (Anl. B 1), und zwar mit seiner damaligen Handynummer, die aber seit 2019 nicht mehr existiere.

Die Klägerin ist der Auffassung, dass diese für die Klägerin völlig unüblichen zahlreichen auffälligen Transaktionen außerhalb ihres Wohnumfeldes der Beklagten hätte auffallen und zumindest Veranlassung für eine Nachfrage hätte geben müssen; Vortrag zum Vorhandensein und der Funktionsweise der nach Art. 9, 2, 3 RTS erforderlichen Transaktionsüberwachungsmechanismen für kontaktlose Zahlungen fehle völlig. Rechtliche Bedenken bestünden auch dahingehend, dass sich offenbar die Online-Banking-App und die Push-TAN-App zwangsläufig auf dem Handy des Betrügers befunden haben müssten, sodass keine Authentifizierung aus wenigstens zwei voneinander unabhängigen Elementen vorliegen habe können. Letzteres sei aber laut den regulatorischen technischen Standards (RTS) vorgeschrieben bzw. in § 1 Abs. 24 ZAG normiert, so dass die geforderte sehr hohe Sicherheit für die Autorisierung im Sinne von § 675w BGB und die Annahme eines ggf. zugunsten der Beklagten sprechenden Anscheinsbeweises nicht bejaht werden könne.

Die Klägerin beantragt (Klageschrift vom 15.4.2024):

Die Beklagte wird verurteilt, auf dem bei ihr bestehenden Girokonto …..der Klägerin, die dieses gemeinschaftlich mit ihrem Ehemann …führt, einen Betrag von insgesamt 34.999,76 € gutzuschreiben, und zwar mit den jeweiligen Wertstellungen derjenigen Teilbeträge, die im Zeitraum 15.07. bis 04.09.2023 unautorisiert von diesem Konto abgebucht worden sind.

Die Beklagte beantragt, die Klage abzuweisen.

Sie trägt im Wesentlichen vor, am Samstag, 15.07.2023, habe die Klägerin einen Anruf von dem mutmaßlichen Betrüger, der sich als „Herr L“, Mitarbeiter der V, ausgab, entgegengenommen und anlässlich dieses Telefonats die zur Freischaltung der digitalen Debitkarte notwendige Transaktionsnummer (TAN) an den unbefugten „Herrn L“ weitergegeben. Dies ergebe sich aus den Angaben, die die Klägerin unmittelbar nach dem Betrugsfall gegenüber der Beklagten gemacht habe. Zuvor sei mit den Online-Banking-Zugangsdaten der Klägerin und ihres Ehemannes vermutlich mit dem Mobiltelefon des Betrügers und der darauf installierten Pay-App die digitale Debitkarte bestellt worden. Unmittelbar nach Auslösung des Bestellvorgangs seien sodann im Rechenzentrum der Beklagten – A. AG – die Transaktionsnummer (TAN) 150 44 zur Freigabe der digitalen Debitkarte generiert und in die sich bei der auf dem bei der Beklagten registrierten Smartphone der Klägerin (App-ID: …) befindliche VR-Secure Go plus App übermittelt worden Die TAN-Nachricht habe wie folgt gelautet: „Freigabe digitale Karte“ (Anl. B 2). Das Authentifizierungsverfahren sei im Hinblick auf sämtliche streitgegenständlichen Transaktionen störungsfrei gelaufen (Anl. B 2). Auch im Nachhinein habe das Rechenzentrum der Beklagten – A. AG – keinerlei Störungen feststellen können. Die Verfügungen an den POS-Terminals erforderten eine Zwei-Faktor-Authentifizierung. Die einzelnen Autorisierungen bzw. Authentifizierungen ergäben sich aus Anlage B 4. Das Sicherheitssystem der Beklagten und des Rechenzentrums der Beklagten hätten fehlerfrei funktioniert und könne im Hinblick auf die streitgegenständlichen Transaktionen praktisch nicht überwunden werden (Bew: SV). Zusammenfassend lasse sich festhalten, dass das Authentifizierungsverfahren sowohl im Hinblick auf die Freigabe der digitalen Karte als auch im Hinblick auf die einzelnen mit der digitalen Karte vorgenommenen Verfügungen bzw. Zahlungsvorgänge ordnungsgemäß und störungsfrei verlaufen sei. Bei jeder Online-Banking-Anmeldung sei der Klägerin bzw. dem Ehemann der Klägerin ein Warnhinweis erteilt worden (Anlage B 7).

Die Klägerin habe die Transaktionsnummer und die PIN an einen unbefugten Dritten (Herrn L.) weitergegeben und damit in grob fahrlässiger Weise gegen ihre Sorgfaltspflichten aus dem Zahlungsdiensterahmenvertrag und den Sonderbedingungen der Beklagten verstoßen (vgl. § 675l Abs. 1 BGB). Mithin habe die Beklagte gegen den Kläger einen Anspruch auf Schadensersatz nach § 675v Abs. 3, Nr. 2 BGB, dem sei den Kontoberichtigungsanspruch entgegenhalte und hilfsweise wir mit dem Anspruch der Beklagten, dessen Höhe jener der Klageforderung entspricht, gegenüber der Klageforderung aufrechne. Hilfsweise – für den Fall – dass das Gericht keinen Online-Banking-Betrug feststelle, mache die Beklagte geltend, dass die streitgegenständlichen Zahlungsvorgänge von den Eheleuten … autorisiert worden seien und berufe sich auf die vom Bundesgerichtshof entwickelten Grundsätze des Anscheinsbeweises.

Hinsichtlich des weiteren Parteivorbringens wird auf die gewechselten Schriftsätze nebst Anlagen Bezug genommen. Der Rechtstreit wurde durch Beschluss vom 8.7.2024 dem Berichterstatter als Einzelrichter zur Entscheidung übertragen. Das Gericht hat die Klägerin informatorisch angehört und Beweis erhoben durch die Vernehmung der Zeugen … und …. Insoweit wird auf das Sitzungsprotokoll verwiesen. Auf die Vernehmung des geladenen und erschienen Zeugen … hat die Beklagte im Termin verzichtet. Mit Verfügung vom 29.4.2024 hatte das Gericht u.a. die Beklagte aufgefordert, zum Vorhandensein und der Funktionsweise der nach Art. 9, 2, 3 RTS erforderlichen Transaktionsüberwachungsmechanismen für kontaktlose Zahlungen im Präsenzgeschäft vorzutragen.

Entscheidungsgründe

Die zulässige Klage ist nicht begründet.

1.

Es handelt sich bei der vorliegenden Bezahlung mit einer digitalen Kreditkarte um eine Form des sog. „Mobile Payments“, in dem eine kontaktlose Zahlung im Nahbereich eingeleitet wird mithilfe eines mobilen Endgerätes (Smartphone), auf dem ein Zahlungsmittel mittels Token in einem „Secure-Element“ gespeichert ist und das über eine Funktechnologie verfügt (NFC, Bluetooth Low Energy etc.). Die physische Karte bzw. die Kartendaten werden also durch das NFC-fähige Endgerät substituiert (virtuelle Karte). Zahlungen werden unabhängig vom Zahlungsbetrag immer über zwei unabhängige Elemente authentifiziert: Zum einen über das Smartphone („Besitz”), zum anderen über Touch ID bzw. Face ID („Inhärenz”) oder den Geräte-Passcode („Wissen”). Um im Geschäft zu bezahlen, hält der Kunde das Smartphone an das Terminal und authentifiziert sich mit Touch ID bzw. Face ID.

2.

Nach § 675u S. 1 BGB hat der Zahlungsdienstleister (hier die Beklagte) des Zahlers (hier des Klägers) im Fall eines nicht autorisierten Zahlungsvorgangs gegen diesen keinen Anspruch auf Erstattung seiner Aufwendungen. Er ist nach § 675u S. 2 BGB verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.

a)

Zunächst ist festzustellen, dass der Anwendungsbereich der Vorschriften der §§ 675 c ff. BGB eröffnet ist. Nach der Rechtsprechung des EuGHs (BKR 2021, 234 ff.) ist auch die NFC-Funktion einer Zahlungskarte als Zahlungsinstrument zu qualifizieren.

b)

Die Voraussetzungen des § 675u BGB sind erfüllt, da die streitgegenständlichen Zahlungsvorgänge nicht durch die Klägerin autorisiert waren.

aa)

Nach der Legaldefinition des § 675j Abs. 1 S. 1 BGB ist die Autorisierung die wirksame Zustimmung des Zahlers zum Zahlungsvorgang, welche nach § 675j Abs. 1 S. 2 BGB als Einwilligung oder, sofern zwischen dem Zahler und seinem Zahlungsdienstleister zuvor vereinbart, auch als Genehmigung erteilt werden kann. Selbst eine Stellvertretung ist insoweit grundsätzlich möglich (Jungmann in: Münchener Kommentar zum BGB, 8. Aufl., § 675j Rz. 14; Berger in: Jauernig, BGB, 18. Aufl., § 675j Rz. 1; differenzierend Köndgen in: beck-online.GROSSKOMMENTAR, Stand: 01.04.2022, § 675j BGB Rz. 17 ff.; Schmalenbach in: BeckOK BGB, 62. Ed., Stand: 01.05.2022, § 675j Rz. 3). Die vereinzelt vertretene Ansicht, dass in Fällen, in denen der Nutzer seine persönlichen Daten in die Eingabemaske einer manipulierten Webseite eingibt und sie somit unbewusst an den Angreifer weiterleitet, das Einverständnis des Nutzers zu den durch den Angreifer sodann durchgeführten Zahlungsvorgängen nach den Grundsätzen der Rechtscheinsvollmacht zuzurechnen sei (z.B. LG Darmstadt, Urteil v. 28.08.2014, Az. 28 O 36/14, juris Rz. 37 ff.), ist abzulehnen. Gleiches muss für die vorliegende Sonderform der Verschaffung von Kreditkartendaten durch einen Pishing-Angriff und deren Freischaltung für eine digitale Kreditkarte durch eine erschlichene TAN gelten. Die Grundsätze über die Duldungs- und Anscheinsvollmacht finden in Bezug auf die Zustimmung i.S.v. § 675j BGB richtigerweise keine Anwendung (BGH, Urteil v. 26.01.2016, Az. XI ZR 91/14, Rz. 55 ff.; Urteil v. 16.06.2015, Az. XI ZR 243/13, Rz. 22 ff.; Köndgen in: beck-online. GROSSKOMMENTAR, Stand: 01.04.2022, § 675j BGB Rz. 20; Schulte-Nölke in: Schulze, BGB, 11. Aufl., § 675j Rz. 2;).

bb)

Dass die Klägerin (bzw. der Zedent und Kontomitinhaber, ihr Ehemann) die Zahlungsvorgänge mittels digitaler Debitkarte nicht selbst autorisiert hat, steht für das Gericht fest. Die Klägerin hat glaubhaft in Abrede gestellt, dass sie oder ihr Ehemann jemals einen Antrag auf Erteilung einer Debitkarte gestellt haben. Auch seien sie zu keiner Zeit im Großraum Bremen unterwegs gewesen. Angesichts der noch am Tag der Freischaltung der digitalen Karte gegen 12.30 Uhr im Zeitraum von ca. 18.30 Uhr bis 21.50 Uhr akzeptierten und mittels Smartphone des mutmaßlichen Betrügers autorisierten 19 Zahlungen mit Beträgen von 110,59 € bis zu 219,38 € besteht beim Gericht kein vernünftiger Zweifel daran, dass diese Zahlungsvorgänge nicht von der Berechtigten, also der Klägerin oder deren Ehemann ausgeführt wurden. Zwar hat die Beklagte zunächst die fehlende Autorisierung bestritten, auch wenn sie im Vortrag im Übrigen durchaus von einem betrügerischen Vorgehen durch einen Dritten ausgeht. Jedenfalls ist ein einfaches Bestreiten der Beklagten, die nach Maßgabe des § 675w BGB vorrangig im Hinblick auf den Nachweis der Authentifizierung darlegungs- und beweisbelastet ist, nicht geeignet gewesen, um den substantiierten Ausführungen der Klägerin entgegenzutreten (vgl. § 138 Abs. 3 ZPO).

cc)

Insoweit hilft der Beklagten auch die für die Autorisierung der Zahlungsvorgänge geltende Regelung des § 675w S. 1 BGB nicht weiter:

Es mag zwar sein, dass die Beklagte damit die jeweils vor jedem Zahlungsvorgang erfolgte Prüfung der jeweiligen starken Kundenauthentifizierung mittels zweier Elemente i.S.v. §§ 675 c Abs. 3 BGB, § 1 Abs. 24 ZAG nachweisen kann: So ist nach Art 9 Abs. 2 VO EU 2018/839 (Geltung seit 14.9.2019, Verordnung über technische Regulierungsstandards für eine starke Kundenauthentifizierung etc…, sog. Regulary Technical Standards (RTS)) grundsätzlich auch die Verwendung eines sog. Mehrzweckgerätes möglich. Die Beklagte hat mit den vorgelegten Transaktionsunterlagen auch nachgewiesen das sog Besitzelement (Besitz des Smartphones mit der darauf hinterlegten „virtuellen Karte“) und entweder das Element der Inhärenz (FaceID etc.) oder Wissenselement (Entsperrungscode für das Smartphone).

Wie in § 675 w Satz 3 BGB geregelt, reicht dies aber nicht notwendigerweise für den Nachweis der Autorisierung aus. Der angesprochene mögliche Anscheinsbeweis für eine Autorisierung ist nach Überzeugung des Gerichts anhand der obigen Feststellungen jedenfalls erschüttert. Da sich der Kläger mit Erfolg auf außerhalb des Sicherungssystems (einzelner konkreter Zahlungsvorgang mittels Apple Pay) liegende Umstände berufen kann, kommt es auf die sonst in entsprechenden Verfahren vom BGH formulierte (BGH NJW 2016, 2024 f.) entscheidungserhebliche Frage für die Bejahung eines Anscheinsbeweises nicht an, nämlich ob das zur Verwendung gekommene Sicherheitssystem praktisch unüberwindbar ist und ob der Anscheinsbeweis bei Zahlungsabwicklung nur über ein einziges mobiles Endgerät generell ausscheidet (Hoffmann/Haupert/Freiling ZHR 2017, 780 f.; siehe auch Linardatos in Münchner Kommentar zum HGB, 5. Aufl. 2023 Online-Banking Rz. 256 ff.). Es geht nach dem Parteivortrag gerade nicht um eine Kompromittierung/Ausnutzung einer technischen Sicherheitslücke bei Verwendung des Smartphones im Rahmen der jeweiligen NFC-Zahlung, sondern um einen Missbrauch im Vorfeld der einzelnen Zahlungsvorgänge, nämlich bei Installation der virtuellen Karte auf einem Smartphone mit Hilfe ggf. mittels Pishing erlangter Daten und der Aktivierung dieser virtuellen Karte mit Hilfe einer „erschlichenen“ TAN-Freigabe.

dd)

Schließlich hat mittlerweile die Rechtsprechung des BGH entschieden, dass auch bei einem geltend gemachten Zahlungsanspruch gegen den Zahlungsdienstleister aus § 675u BGB bei streitiger Autorisierung letzterer nach dem in § 675w BGB zum Ausdruck kommenden allgemeinen Rechtsgedanken die Beweislast für die Autorisierung trägt (BGH, Urteil vom 5. März 2024 – XI ZR 107/22 –, juris) und zugleich darauf hingewiesen, dass auch bei fehlender Mitteilung von Einwendungen gegen übersandte (oder abrufbare) Kontoauszüge eine konkludente Genehmigung der einzelnen Zahlungsvorgänge i.S.v. § 675j Abs. 1 Satz 2 BGB nicht angenommen werden kann.

3.

Der Anspruch der Klägerin nach § 625u S. 2 BGB ist aber durch wirksame Aufrechnung der Beklagten wieder erloschen, § 389 BGB, bzw. diesem kann die Beklagte den Einwand des § 242 BGB entgegenhalten (BGH, Urteil vom 5. März 2024 – XI ZR 107/22 –, juris).

a)

Die Beklagte hat in der Klageerwiderung die Gegenforderung beziffert und die Aufrechnung ausdrücklich erklärt, § 388 BGB.

b)

Die Beklagte hat nach § 675v Abs. 3 Nr. 2 lit. a), b) BGB Gegenansprüche auf Schadensersatz gegen die Klagepartei jeweils mindestens in Höhe dessen Erstattungsansprüche gemäß § 675u S. 2 BGB. Dabei gilt in rechtlicher Hinsicht, dass nach § 675 v Abs. 3 Nr. 2 BGB der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet ist, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler den Schaden herbeigeführt hat durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehrerer Pflichten gemäß § 675 l Absatz 1 BGB oder einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments. Eine grobe Fahrlässigkeit liegt nach allgemeinen Regeln vor bei einem objektiv schweren und subjektiv nicht entschuldbarem Verstoß gegen die Anforderungen der im Verkehr erforderlichen Sorgfalt, wenn also das außer Acht gelassen wird, was jedem hätte einleuchten müssen.

Nach § 675 l Abs. 1 S. 1 BGB ist der Zahler verpflichtet, unmittelbar nach Erhalt eines Zahlungsauthentifizierungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Personalisierte Sicherheitsmerkmale sind gemäß § 1 Abs. 25 ZAG – in der hier maßgeblichen, ab 1.7.2021 geltenden Fassung – personalisierte Merkmale, die der Zahlungsdienstleister einem Zahlungsdienstnutzer zum Zwecke der Authentifizierung bereitstellt. Darunter fallen insbesondere TAN, welche einmal für die Autorisierung einer ganz bestimmten Transaktion eingesetzt werden können, dem Zahlungsdienstnutzer erst im Zusammenhang mit der jeweiligen Transaktion übermittelt werden und nur für eine kurze Zeit gültig sind. Unbefugt ist namentlich jede Verwendung, die ohne oder gegen den Willen des Inhabers des Zahlungsinstruments erfolgt und dementsprechend auf die Auslösung eines nicht autorisierten Zahlungsvorgangs gerichtet ist (Jungmann in: Münchener Kommentar zum BGB, 8. Aufl., § 675l Rz. 19). Die Klagepartei hatte allgemein dafür Sorge zu tragen, dass nicht dritte Personen die unkontrollierte Zugriffsmöglichkeit auf ihr Online-Banking oder die Banking-App mittels Zugangsdaten und TAN bekommen und so ohne ihr Wissen und Wollen Transaktionen von seinem Konto bei der Beklagten durchführen können (generell zum Sorgfaltsmaßstab beim Online-Banking und beim Mobile Banking ausführlich: Jungmann in: Münchener Kommentar zum BGB, 8. Aufl., § 675l Rz. 42 m.w.N.; s. auch Hofmann in: beck-online GROSSKOMMENTAR, Stand: 01.10.2021, § 675l Rz. 82 ff.). Die vom Zahlungsdienstnutzer geschuldeten Sorgfaltspflichten sind außerdem nach der Art des konkreten Angriffs zu bestimmen.

Die Beweisregel des § 675 w BGB zum Nachweis einer Pflichtverletzung nach § 675 l Abs. 1 oder eines grob fahrlässigen Verstoßes gegen Bedingungen für die Nutzung des Zahlungsinstruments greift nach Auffassung des Gerichts hier schon deshalb nicht, weil es bei der Aktivierung der virtuellen (digitalen) Kreditkarte auf dem Smartphone im Rahmen der beabsichtigten späteren Nutzung für Zahlungsvorgänge bei POS nicht um einen Zahlungsvorgang i.S.v. § 675 w BGB geht, was aber Tatbestandsvoraussetzung für die Anwendung dieser Norm ist: Gem. §§ 675c, 675f Abs. 4 BGB ist Zahlungsvorgang jede Bereitstellung, Übermittlung oder Abhebung eines Geldbetrages, unabhängig von der zugrundeliegenden Rechtsbeziehung zwischen Zahler und Zahlungsempfänger. Gemeint ist damit ein tatsächlicher Geldfluss (Grüneberg-Sprau § 675f BGB Rz. 18 mit Verweis auf BT-Drs 16/11643 S. 102; Ellenberger/Bunte 6. Aufl. 2022, Bankrechtshandbuch Rz. 386 zu § 33 im Zusammenhang mit § 675v Abs. 4 BGB, dort auch LG Nürnberg-Fürth Urt. v. 25.Mai 2023 – 6 O 5996/22 nach juris). An einem solchen Geldfluss respektive Zahlungsvorgang fehlt es indessen bei der Freischaltung der digitalen Karte auf dem Smartphone. Dabei handelt es sich lediglich um eine Tätigkeit im Vorfeld eines späteren Zahlungsvorgangs.

Das hindert aber nicht einen Rückgriff auf das allgemeine Institut des Anscheinsbeweises: § 675w BGB, der im Bereich des Zahlungsvorgangs den Anscheinsbeweis besonderen Ausprägungen unterwirft, entfaltet außerhalb seines Anwendungsbereiches keine Sperrwirkung dahingehend, dass die Annahme eines Anscheinsbeweises generell ausscheidet (vgl. BGH NJW 2016, 2024 ff; Ellenberger/Bunte a.a.O. § 33 Rz. 174 ff.; MüKo zum HGB a.a.O Rz. 251 ff.).

c)

Beim Social Engineering/Pishing/Pharming wird von den Tätern die „Schwachstelle Mensch“ ausgenutzt, um auf diese Art und Weise personalisierte Sicherheitsmerkmale auszuspähen und in der Folge Zahlungen auszulösen. Diese Angriffe sind nicht ohne erhebliche Mitwirkung des Zahlungsdienstnutzers möglich. Die vom Zahlungsdienstnutzer zu erwartende angemessene Sorgfalt besteht darin, Zugangsdaten niemandem auf Nachfrage anzuvertrauen, sei es am Telefon, in E-Mails oder im Internet. Wenn sich jedem Zahlungsdienstnutzer in der entsprechenden Situation sowie dem betroffenen Zahlungsdienstnutzer ganz individuell geradezu aufdrängen musste, dass es sich nicht um einen regulären Vorgang handeln kann, ist von grober Fahrlässigkeit auszugehen. Ob der Zahlungsdienstnutzer erkennen muss, dass konkret ein Social-Engineering-Angriff stattfindet, ist stets Frage des Einzelfalls. Bezogen auf die Besonderheiten des Online-Banking liegt bei der telefonischen Weitergabe einer oder mehrerer TAN der Vorwurf einer groben Fahrlässigkeit nahe (LG Saarbrücken, Urteil vom 10.06.2022 – 1 O 394/21, BeckRS 2022, 14866; LG Köln, Urteil vom 10.09.2019 – 21 O 116/19, MMR 2020, 258; BeckOGK/Hofmann, 1.10.2021, BGB § 675l Rn. 93; Langenbucher/Bliesener/Spindler/Herresthal, 3. Aufl. 2020, 3. Kap. BGB § 675v Rn. 63; BeckOK BGB/Schmalenbach, 61. Ed. 1.2.2022, BGB § 675v Rn. 13). Insoweit ist die telefonische Weitergabe einer TAN nicht vergleichbar mit der Eingabe einer oder mehrerer TAN in eine gefälschte Eingabemaske (hierzu BGH, Urteil vom 24.04.2012 – XI ZR 96/11, NJW 2012, 2422), da sich die telefonische Weitergabe der TAN von dem üblichen Übermittlungsweg der TAN (Eingabe online) für jeden Nutzer offensichtlich unterscheidet (LG Saarbrücken, Urteil vom 9. Dezember 2022 – 1 O 181/20 –, Rn. 34 – 35, juris).

d)

Unter Berücksichtigung aller Umstände des hiesigen Einzelfalls ist das Verhalten der Klägerin nach Auffassung des erkennenden Gerichts im Ergebnis als grob fahrlässig einzustufen. Die Regeln des Anscheinsbeweises sind auf den Nachweis der subjektiven Voraussetzungen grober Fahrlässigkeit grundsätzlich dann nicht anwendbar, wenn es sich – wie hier – um ein individuelles Versagen handelt. Dieser Grundsatz gilt auch, wenn der Missbrauch des Online-Bankings auf einem Umstand aus der Sphäre des Zahlungsdienstnutzers beruht. Denn ein objektiv grober Pflichtenverstoß rechtfertigt für sich allein noch nicht den Schluss auf ein gesteigertes personales Fehlverhalten, selbst wenn dieses in vergleichbaren Fällen häufig vorliegen sollte. Zwar ist der Anscheinsbeweis zum Nachweis grober Fahrlässigkeit grundsätzlich zulässig, wenn damit lediglich die Annahme eines bestimmten tatsächlichen Verhaltens gestützt werden soll und dieses erst in einem weiteren Schritt rechtlich als grob fahrlässig bewertet wird. Im Falle eines Missbrauchs des Online-Bankings gibt es aber keine Erfahrungssätze, die auf ein bestimmtes typisches Fehlverhalten des Zahlungsdienstnutzers hinweisen würden. Die Vielzahl von Authentifizierungsverfahren, die sich zum Teil erheblich im Sicherungskonzept und in dessen Ausgestaltung unterscheiden, können jeweils auf unterschiedliche Weise angegriffen werden, wozu wiederum verschiedene Pflichtverletzungen des Zahlungsdienstnutzers beitragen können, sodass – anders als bei Nutzung von Zahlungskarten an Geldautomaten ein Missbrauch des Online-Bankings nicht auf ein bestimmtes Verhalten des Zahlungsdienstnutzers hinweist, das sodann als grob fahrlässig eingeordnet werden könnte (BGH NJW 2016, 2024 Rz. 70 ff. nach juris).

Nach der durchgeführten Beweisaufnahme sieht es das Gericht – auch aufgrund der Gesamtumstände und der objektiven Anknüpfungspunkte – für erwiesen an, dass die Klägerin im Zusammenhang mit dem von ihr geschilderten Telefongespräch mit dem angeblichen Mitarbeiter der Beklagten die maßgebliche TAN zur Freischaltung der digitalen Karte selbst auf ihrem Smartphone erhalten und die digitale Karte mittels der installierten SecureGo-App durch Eingabe der TAN freigegeben hat.

Zwar haben die Klägerin und ihr Ehemann, der Zeuge …, wiederholt und nachdrücklich versichert, vom angeblichen Anrufer der Beklagten L. im Telefonat vom 15.7.2023 nicht ein Mal zur mündlichen Weitergabe einer TAN aufgefordert worden zu sein noch dies auch getan zu haben. Bei beiden Aussagen fällt aber auf, dass dieser Aussagekern wiederholt betont wurde, während die Aussagen zum ca. 20 Minuten dauernden Gespräch im Übrigen doch relativ inhaltsarm blieben und die lange Dauer des Telefonates nicht nachvollziehbar machen. Stutzig macht auch die Betonung in beiden Aussagen, wonach das Smartphone während des gesamten Telefonats auf dem Wohnzimmertisch lautgestellt unberührt geblieben sein soll: Einerseits gab die Klägerin zur Erklärung an, infolge ihrer Hörgeräte generell jedes Telefonat laut stellen zu müssen, um den Gesprächspartner überhaupt hören zu können, während ihr Ehemann das Laustellen nur für die Fälle schilderte, in denen der Gesprächsinhalt auch für ihn interessant sei, beispielsweise aber nicht bei Gesprächen über Kochrezepte etc. Andererseits ist auch wenig nachvollziehbar, weshalb die Klägerin ein Telefonat mit einem angeblichen Mitarbeiter der Beklagten wegen vorgeblich noch nicht akzeptierter neuer Bank-AGB im Beisein ihres Ehemannes laut schaltet, wenn die üblichen, laufenden Bankgeschäfte eheintern vollständig von der Klägerin alleine erledigt wurden und der Ehemann mit dem auf ihn bei der Beklagten zum Online-Banking angemeldeten Smartphone zu keinem Zeitpunkt selbst tätig geworden ist, sondern auch insoweit sämtliche Aktionen von dem Smartphone seiner Ehefrau, der Klägerin getätigt wurden. Dafür spricht auch, dass die Klägerin an einem Samstag, an dem ihr Ehemann ebenfalls zu Hause war und ein gemeinsames Mittagessengehen vereinbart war, das geschilderte Telefonat entgegengenommen und alleine geführt hat. Anzumerken bleibt auch, dass die Klägerin – entgegen der ursprünglichen Schilderung in der Klage – im weiteren Verfahren schriftsätzlich hat vortragen lassen, durchaus das Online-Banking genutzt zu haben zur Einsicht und zum Ausdrucken der darin hinterlegten Kontoauszüge. Hinzu kommt, dass die Zeugin H. unter Bezugnahme auf das Erstgespräch mit der Klägerin in der Bank nach der Sperrung der Karten nachvollziehbar und überzeugend – wenn auch von der Klägerin widersprochen – anhand der vorgelegten Transaktionsunterlagen dargelegt hat, dass die Klägerin selbst eine am 6.8.2023 Online-Überweisung an e-bay Kleinanzeigen als von ihr erfolgt bestätigt hat, als es um die Frage gegangen sei, ob ggf. wenigstens unautorisiert erfolgte getätigte Überweisungen „zurückgeholt“ werden können, wobei nicht nachvollzogen werden kann, ob diese Online-Überweisung über das Smartphone oder über den Desktop erfolgt ist.

Zwar hat die Zeugin H. entgegen der Beweisbehauptung durch die Beklagte nicht bestätigen können, dass die Klägerin und ihr Ehemann beim Erstgespräch in der Bank angegeben hätten, die TAN an den unbefugten Anrufer weitergegeben zu haben.

Aus den Unterlagen der Anl. B 2 und B 3, den Transaktionsdaten des technischen Zahlungsdienstleisters, die von der Zeugin H. nachvollziehbar und detailliert erläutert wurden, ergibt sich aber, dass die unverwechselbare und einmalig vergebene sog. App.-ID für das zum Online-Banking von der Klägerin bzw. deren Ehemann angemeldeten Smartphone von der Erstregistrierung am 9.6.2022 bis zuletzt unverändert bestanden hat. Genau an dieses unter dieser App-ID registriertes Smartphone wurde die TAN zur Freigabe der zuvor beantragten digitalen Karte übermittelt. Das heißt aber, dass eine Übermittlung dieser TAN auf ein anderes Smartphone ausscheidet. Auch ein sog. man-of-the-middle-Angriff beispielsweise durch Einsatz einer kopierte SIM-Karte kommt ersichtlich nicht in Betracht: denn es geht vorliegend nicht um eine per SMS verschickte TAN, sondern um eine nur auf die auf dem registrierten Smartphone der Klägerin installierten und mit der App-ID eindeutig identifizierten App übermittelte TAN. Letztlich geht es damit dann aber auch nicht um die Ausnutzung einer möglichen technischen Schwachstelle durch Betrüger im von der Beklagten eingesetzten Bezahlsystem, so dass auch objektive Ansatzpunkte für die Beauftragung eines Sachverständigengutachtens nicht bestehen.

Augenscheinlich ist vielmehr der objektive, zeitliche Zusammenhang zwischen dem von der Klägerin nachträglich erinnerten Telefonat am Samstag, den 15.7.2023 und der aus den vorgelegten Transaktionsunterlagen ersichtlichen Freischaltung der digitalen Kreditkarte eben an diesem Tag: Diese erfolgte danach (Anl. B 2, B 3) durch Eingabe der per SecureGo um 12.28 Uhr übermittelten TAN 150144 um 12.28 Uhr. Eine Direktfreigabe (etwa mittels Biometrie u..ä.) wird bei dieser Freischaltung einer digitalen Karte ausweislich Anl. B 5 vom eingeschalteten Zahlungsabwickler A AG schon nicht vorgesehen und ist ausweislich der Anl. B 2, 3 auch tatsächlich nicht erfolgt, sondern eben durch händische Eingabe der TAN. Danach verbleiben beim Gericht aber insgesamt keine vernünftigen Zweifel, dass die Klägerin selbst die auf ihr Smartphone übermittelte TAN zur Freigabe der digitalen Karte zur Autorisierung eingegeben hat. Hätte die betrügerische Person im Hintergrund über Möglichkeiten verfügt, diese TAN ohne Mitwirkung der Klägerin zu erlangen und zur Kartenfreigabe zu verwenden, hätte es des zeitgleich stattfindenden ca. 20-minütigen Telefongesprächs mit der Klägerin gar nicht bedurft. Vielmehr liegt nahe, dass der Anrufer die Klägerin, die den Anrufer als sehr gesprächig und eloquent geschildert hat, im Zusammenhang mit den vorgeschobenen neuen Bank-AGB veranlasst hat, diese auf ihr Smartphone übermittelte TAN zur Freigabe der digitalen Karte händisch einzugeben.

Damit aber hält das Gericht auch ein grob fahrlässiges Verhalten auf Klägerseite für gegeben. Der Klägerin ist selbst die ungewöhnliche Anrufzeit des angeblichen Bankmitarbeiters (Samstag gegen Mittagszeit) aufgefallen und sie hat insoweit sogar noch nachgefragt. Ihr war ferner ausweislich ihrer Angaben bewusst, nie am Telefon eine PIN oder TAN weitergeben zu dürfen. Entweder aber hat sie sich dennoch dazu verleiten lassen oder aber im Zusammenhang mit dem Telefonat die ihr übermittelte TAN zur Freigabe der digitalen Karte selbst händisch im Online-Banking eingegeben, obwohl sie doch eine solche ihren Angaben zufolge nie bestellt hatte und zu diesem Zeitpunkt von der Möglichkeit einer digitalen Karte keine Kenntnis gehabt hatte. Hinzu kommt, dass sich die Klägerin noch daran erinnerte, den postalisch übermittelten neuen Bank-AGB zunächst bewusst – bis zur näheren Prüfung – nicht zugestimmt zu haben. Weshalb sollte dann an einem Samstag zur Mittagessenszeit ein Bankmitarbeiter diese Problematik am Telefon besprechen wollen? Mit anderen Worten: Hier hätten alle Alarmglocken angehen müssen. Die Weitergabe einer TAN oder auch die händische Eingabe der TAN zur Freigabe der digitalen Karte unter Anzeige „Freigabe digitale Karte“ stellt sich damit im konkreten Einzelfall als grobe Fahrlässigkeit dar.

4.

Der Gegenanspruch der Beklagten ist auch nicht gem. § 254 BGB wegen erheblichen Mitverschuldens zu kürzen:

a)

Zwar bestehen im Zahlungsverkehr Warn- und Hinweispflichten der Kreditinstitute zum Schutz ihrer Kunden vor drohenden Schäden nur in Ausnahmefällen. So hat im Überweisungsverkehr ein Kreditinstitut, das aufgrund massiver Anhaltspunkte den Verdacht hegt, dass ein Kunde bei der Teilnahme am bargeldlosen Zahlungsverkehr durch eine Straftat einen anderen schädigen will, diesem gegenüber eine Warnpflicht (BGH Urteil v. 6. Mai 2008 – XI ZR 56/07, BGHZ 176, 281 Rn. 14,15). Die Bank muss aber weder generell prüfen, ob die Abwicklung eines Zahlungsverkehrsvorgangs Risiken für einen Beteiligten begründet, noch Kontobewegungen allgemein und ohne besondere Anhaltspunkte überwachen. Eine Warnpflicht besteht erst dann, wenn die Bank ohne nähere Prüfung im Rahmen der normalen Bearbeitung eines Zahlungsverkehrsvorgangs aufgrund einer auf massiven Verdachtsmomenten beruhenden objektiven Evidenz den Verdacht einer Veruntreuung schöpft (BGH, Urteil vom 24. April 2012 – XI ZR 96/11 –, Rn. 32, juris). Ohne besondere weitere Anhaltspunkte geben Überweisungen mit Auslandsberührung, der Einsatz glatter Beträge und dadurch eintretende Kontoüberziehungen einer Bank ohne nähere Prüfung keinen hinreichenden Anlass, den Verdacht einer Straftat zu schöpfen. Kreditinstitute werden im bargeldlosen Zahlungsverkehr nur zum Zweck der technisch einwandfreien, einfachen und schnellen Abwicklung tätig und haben sich schon wegen dieses begrenzten Geschäftszwecks und der Massenhaftigkeit der Geschäftsvorgänge grundsätzlich nicht um die beteiligten Interessen ihrer Kunden zu kümmern.

b)

Im vorliegenden Fall der Nutzung einer zur Verfügung gestellten und freigegebenen digitalen Kreditkarte hält das Gericht entgegen der bisher in seiner Rechtsprechung als obiter dictum in den Raum gestellten Ausführungen keine weitergehenden Pflichten des Kreditinstituts gegenüber dem individuellen Kunden für gegeben: Der Umstand, dass alleine durch eine TAN-Freigabe eine virtuelle Kreditkarte auf einem Smartphone freigeschaltet werden kann für den dann jeweiligen Besitzer dieses Smartphones, der alleine damit für alle künftigen Zahlungsvorgänge über eine starke Kundenauthentifizierung verfügt (Besitzelement: Smartphone, Inhärenz: Face-ID oder vergleichbares), schafft zwar eine besondere Gefahrenlage für einen Missbrauchsangriff wie den vorliegenden. Dies gebietet, wie das im Übrigen auch Art. 2, 3 RTS vorschreiben, dass die Zahlungsdienstleister bei kontaktlosen Zahlungen im Präsenzgeschäft Transaktionsüberwachungsmechanismen unter Beachtung der risikobasierten Faktoren einzubeziehen haben unter Einschluss auch einer ungewöhnlichen Nutzung des Geräts oder der Software unter Analyse von Zahlungsvorgängen, die für den Zahlungsdienstenutzer im Rahmen einer normalen Verwendung der personalisierten Sicherheitsmerkmale typisch sind.

Einer solchen Überwachungspflicht steht nicht schon entgegen, dass bei erfolgter ordnungsgemäßer Autorisierung der Zahlungsdienstleister zur Ausführung des Zahlungsvorgangs gem. § 675o Abs. 2 BGB verpflichtet ist (so aber Zahrte BKR 2024 569 ff. in Urteilsanmerkung zu LG Heilbronn, Urt vom 2.4.2024): Dies schließt beispielsweise eine telefonische Kontaktaufnahme mit dem Zahlungsdienstenutzer bei auffälligen Zahlungsbewegungen und eine Rückfrage diesbezüglich nicht aus – was dem Gericht aus eigener Erfahrung im Übrigen bei nicht autorisierten Auslandsabhebungen bekannt ist. Zudem regelt die Vorschrift nur die Verpflichtung bei autorisierten Zahlungsaufträgen: Diese ist bei Auffälligkeiten ja gerade trotz vorliegender Authentifizierung fraglich.

Allerdings ergibt sich daraus kein zivilrechtlich relevanter Sorgfaltspflichtverstoß der Beklagten. Insoweit schließt sich das Gericht der in dem Beschluss des Hanseatischen Oberlandesgerichts in Bremen, Beschluss vom 15. April 2024 – 1 U 47/23 –, juris, geäußerten Rechtsauffassung an, die auch der Rechtsprechung des BGH zu aufsichtsrechtlichen Regelungen des WpHG (Urt. v. 17. September 2013 – XI ZR 332/12, WM 2013, 1983 Rn. 16 ff.) entspricht:

„Nach den maßgeblichen europarechtlichen Vorgaben ist im Bereich der elektronischen Zahlungsdiensteabwicklung der Zahlungsdienstleister zur Vorhaltung eines Systems zur Betrugsprävention aber nur zur aufsichtsrechtlichen Überwachung verpflichtet, nicht dagegen zur Überwachung und Vorabkontrolle einzelner Zahlungsvorgänge: Die nach Art. 2 der Delegierten VO 2018/389 vorzuhaltenden Transaktionsüberwachungsmechanismen sind nicht auf eine Echtzeitanalyse einzelner Zahlungsvorgänge gerichtet, durch die im Interesse der betroffenen Zahlungsdienstnutzer gegebenenfalls auffällige Transaktionen vor deren Ausführung zu stoppen wären (so die Auslegung durch die Europäische Bankenaufsichtsbehörde (EBA) in Single Rulebook Q&A, Question ID 2018_4090; ebenso Casper/Terlau-Terlau, 3. Aufl., § 1 ZAG Rn. 520; anders dagegen Linardatos BKR 2021, 665, 675). Systematisch ist dies daraus abzuleiten, dass Art. 2 der Delegierten VO 2018/389 hier von Transaktionsüberwachungsmechanismen spricht, während in Art. 18 diesen dort in Abs. 1 genannten Mechanismen die Echtzeitanalyse in Abs. 2 Buchst. c) gegenübergestellt wird. Auch insoweit verbleibt es dabei, dass die europarechtlichen aufsichtsrechtlichen Regelungen keine hier die Klägerin schützende Sorgfaltspflicht der Beklagten vorsehen; wiederum ist diese aufsichtsrechtliche Wertung auch für den zivilrechtlichen Sorgfaltsmaßstab heranzuziehen, so dass im Ergebnis ein zur Annahme eines Mitverschuldens führender Sorgfaltsverstoß der Beklagten zu verneinen ist.“

Die Nebenentscheidungen beruhen auf §§ 91, 709, 3 ZPO.