Online-Banking – nicht autorisierte Abbuchungen – Rückzahlungsanspruch

1. Die Klage wird abgewiesen.

2. Der Kläger hat die Kosten des Rechtsstreits zu tragen.

3. Das Urteil ist gegen Sicherheitsleistung in Höhe von 110 % des jeweils zu vollstreckenden Betrags vorläufig vollstreckbar.

4. Der Streitwert wird auf 9.979,63 € festgesetzt.

Tatbestand

Der Kläger begehrt von der Beklagten Zahlungen vor dem Hintergrund nicht autorisierter Abbuchungen von seinem Konto.

Der Kläger unterhält bei der Beklagten das Konto mit der Nummer…… Dieses wird von dem Kläger auch zum Online-Banking genutzt – allerdings nur über seinen privaten Computer und das Mobiltelefon seiner Lebensgefährtin. Gleichwohl ist die Telefonnummer +49….. für sein Mobiltelefon ebenfalls bei der Beklagten hinterlegt. Im Rahmen des Abschlusses des zugrundeliegenden Online-Banking-Vertrags akzeptierte der Kläger die sogenannten „Bedingungen für das Online-Banking“, nach deren Ziff. 7.1 der Kunde Authentifizierungselemente vor unbefugten Dritten schützen muss. Zusätzlich darf er gemäß Ziff. 7.1.2(b) sensible Inhalte, Codes oder Links zur Zurücksetzung einer PushTan-Verbindung nicht an Dritte weitergeben. Die Beklagte warnt auf ihrer Internetseite regelmäßig vor betrügerischen Anrufen. Diesbezüglich wird auf Blatt 15 f. der Akte sowie auf die Anlagen B3, B4, B6 und B7 verwiesen.

Das Online Banking der Beklagten ist zum Schutz vor unberechtigten Zugriffen dergestalt ausgestaltet, dass Kontoverfügungen nur mittels Nutzung zweier unabhängiger Plattformen, nämlich über die „……-App“ oder die Internetseite für das Online-Banking der Beklagten – und – die PushTan-App oder das chip TAN-Verfahren, erfolgen können. Alle Verfügungen oder sonstigen Transaktionen im Online-Banking müssen dementsprechend vom jeweiligen Kunden gegenüber der Beklagten über den jeweiligen Legitimationsweg (pushTan oder chipTan) freigegeben bzw. bestätigt werden. Für die Einzelheiten wird auf Blatt 12 f. der Akte verwiesen.

Am 11. Januar 2023 rief ein vermeintlicher Mitarbeiter der Beklagten den Kläger um 16:19 Uhr auf seinem Mobiltelefon angerufen. Um 16:23 Uhr erhielt der Kläger einen zweiten Anruf durch den vermeintlichen Mitarbeiter der Beklagten. Am 12. Januar 2023 um 16:11 Uhr bekam der Kläger einen weiteren Anruf des vermeintlichen Mitarbeiters der Beklagten. Während dieses letzten Telefonats forderte der Anrufer den Kläger auf, die Internetseite „…..info“ zu öffnen. Die Internetseite diktierte er dabei Wort für Wort. Der Kläger rief die Internetseite auf, für deren Inhalt auf Blatt 3 der Akten verwiesen wird. Sodann kündigte der Anrufer an, er, der Kläger, werde gleich einen Link per SMS auf sein Mobiltelefon erhalten. Diesen müsse er in die entsprechende Eingabemaske auf der Internetseite sowie seinem Namen eintragen. Der Kläger erhielt daraufhin tatsächlich per SMS einen Link von Beklagten auf sein Mobiltelefon. Die SMS enthielt dabei den Warnhinweis:

„Bitte leiten Sie diese SMS nicht an dritte Personen weiter! Kein Mitarbeiter wird Sie um Weitergabe dieser Daten bitten.“

Es wird auf die Anlage B1 verwiesen. Bei dem Link handelte es sich um einen Code der Beklagten zum Zwecke der Rücksetzung/Neueinrichtung einer pushTAN-Verbindung in der Push TAN-App. Um das Rücksetzung- bzw. Neueinrichtung in Gang zu setzen ist zwingend erforderlich, dass die jeweilige Person auf das Online-Banking des jeweiligen Kontos zugreifen kann. Den Link bzw. Registrierungscode versendet die Beklagte hierbei – wie im vorliegenden Fall – ausschließlich auf bei ihr hinterlegte Telefonnummern.

Entsprechend den Anweisungen des Anrufers gab der Kläger sodann die Daten in die Eingabemaske auf der besagten Internetseite ein. Er ging hierbei davon aus, dass er die Daten damit keinem Dritten, sondern der Beklagten mitteilt. Daraufhin erschien eine Nachricht, dass die AGB erfolgreich aktualisiert seien.

Zwischen dem 13. und 16. Januar 2023 kam es auf dem Konto des Klägers bei der Beklagten zu Abbuchungen in Höhe von insgesamt 9.979,63 €, die der Kläger selbst nicht zuvor veranlasste. Hiervon erlangte der Kläger am 16. Januar 2023 Kenntnis, als er – wie jeden Montag – Büroarbeiten verrichtete und aus diesem Anlass auch die Konten überprüfte. Daraufhin veranlasste er unverzüglich die Sperrung des Kontos.

Der Kläger machte gegenüber der Beklagten in der Folgezeit Ansprüche auf Erstattung des genannten Betrages aufgrund nicht autorisierter Abbuchungen geltend. Mit Schreiben vom 18. Januar 2023 lehnte die Beklagte die Forderung ab. Mit anwaltlichen Schreiben des Klägers vom 2. März 2023 begehrte er erneut gegenüber der Beklagten die Zahlung des genannten Betrages. Mit anwaltlichem Schreiben der Beklagten vom 8. März 2023 lehnte sie Forderungen des Klägers ab und verwies auf den Rechtsweg.

Der Kläger behauptet, er sei im Rahmen des ersten Anrufs am 11. Januar 2023 unter Angabe der Telefonnummer …..auf dem Display seines Mobiltelefons angerufen worden. Der Anrufer habe mitgeteilt, er sei Kundendienstmitarbeiter der Beklagten und habe den Auftrag, den Kläger darauf hinzuweisen, dass ab 2023 neue AGB der ……gelten und er diesen noch online zustimmen müsse. Der Anrufer sei darüber informiert gewesen, dass der Kläger sowohl ein privates Konto bei der ……unterhält, als auch Bevollmächtigter zweier geschäftlich geführter Konten ist. Auf die Frage des Klägers hin, warum der Anruf aus sein Mobiltelefon erfolge, dass er nicht für das Online-Banking nutze, habe der Anrufer erklärt, dass es lediglich um die Zustimmung zu neuen AGB gehe und damit ihn, den Kläger, als Person betreffe und nicht das Online-Banking. Dies sei ihm, dem Kläger, plausibel erschienen. Denn er habe zuvor bereits gewusst, dass die AGB zum neuen Jahr 2023 geändert werden. Der Kläger habe den Anrufer sodann gebeten, ihn später zurückzurufen, um zwischenzeitlich die Telefonnummer, die auf seinem Handy-Display angezeigt wurde, im Internet zu überprüfen.

Dies alles bestreitet die Beklagte mit Nichtwissen.

Beim zweiten Anruf vom 11. Januar 2023 sei er erneut mit der gleichen Nummer angerufen worden. Mit dem vermeintlichen Mitarbeiter der …..ein habe er sich darauf geeinigt, die Angelegenheit auf den Folgetag zu verlegen. Der Kläger habe anschließend mit der Rückruffunktion überprüft, ob er wirklich mit einem Mitarbeiter der …….sprach. Mit seinem Rückruf habe er sich tatsächlich in die Telefonwarteschleife der Beklagten ein gewählt.

Auch dies bestreitet die Beklagte mit Nichtwissen.

Schließlich habe er, der Kläger, auch den Anruf am 12. Januar 2023 von der gleichen Telefonnummer der Beklagten erhalten.

Der Kläger beantragt,

1. die Beklagte zu verurteilen, an ihn 9.979,63 € zu zahlen, zzgl. Zinsen in Höhe von fünf Prozentpunkten über dem Basiszinssatz seit dem 9. März 2023, zu zahlen.

2. die Beklagte zu verurteilen, an ihn außergerichtliche Rechtsanwaltskosten in Höhe von 498,73 € zu zahlen.

Die Beklagte beantragt, die Klage abzuweisen.

Die Beklagte erklärt gegenüber dem Kläger die Aufrechnung mit einem von ihr behaupteten Anspruch aus § 675v Abs. 3 Nr. 2 BGB in Höhe der Klageforderung zu Ziffer 1). Zur Begründung trägt sie vor, dem Kläger seien Sorgfaltsverstöße vorzuwerfen. Denn er habe unter Missachtung der Warnhinweise aus der SMS die darin enthaltenen Daten weitergegeben. Außerdem habe er Entweder die Infizierung seines PC durch einen mangelnden Virenschutz ermöglicht oder er habe selbst aus Unachtsamkeit die Zugangsdaten für das Online-Banking auf einer Pishing-Seite eingegeben. Denn ersichtlich haben die Täter im vorliegenden Fall über die Zugangsdaten zum Online-Banking verfügt. Es müsse in technischer Hinsicht davon ausgegangen werden, dass die Täter zuvor oder gleichzeitig schon über die von ihnen betriebene Pishing-Seite Daten des Klägers abgefischt haben.

Die Beklagte behauptet zudem, alle Kunden haben am 29. Juli 2022 im Online Banking automatisch den Warnhinweis der Anlage B5 erhalten, in dem ausdrücklich von bekannten Anrufern gesandt und dazu aufgefordert wurde, niemals PushTan-Freigaben zu verteilen.

Der Kläger bestreitet mit Nichtwissen, dass die Hinweise gemäß Anlagen B4, B5, B6 und B7 allen Kunden zugänglich gemacht worden sind, insbesondere derart zugänglich, dass die Kunden diese Hinweise ohne weiteres wahrnehmen konnten.

Entscheidungsgründe

Die Klage ist zulässig, aber unbegründet:

A.

Im Rahmen der Zulässigkeit ist das Landgericht Lübeck zuständig. In sachlicher Hinsicht folgt dies aus § 1 ZPO in Verbindung mit §§ 23 Nr. 1, 71 Abs. 1 GVG, in örtlicher Hinsicht aus §§ 12, 17 I ZPO.

B.

Die Klage ist unbegründet. Der Kläger hat unter keinem denkbaren rechtlichen Gesichtspunkt einen Anspruch auf Zahlung der begehrten 9.979,63 € gegen die Beklagte.

I. Ein solcher Anspruch ergibt sich nicht aus § 675u Satz 2, 1 BGB.

1. Zwar ist dem Kläger ein solcher Anspruch zunächst entstanden. Denn aufgrund unstreitig nicht autorisierter Abbuchungen vom Konto des Klägers bei der Beklagten in Höhe von insgesamt 9.979,63 € war die verpflichtet, das Zahlungskonto des Klägers als Zahler im Sinne des § 675 u Satz 2 BGB wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.

2. Ein Anspruch des Klägers aus § 675u Satz 2 BGB ist jedoch durch Aufrechnung der Beklagten in Höhe von 9979,63 € gemäß § 389 BGB erloschen.

Die Aufrechnungsvoraussetzungen liegen vor. Die Beklagte hat bereits vorprozessual und erneut mit der Klageerwiderung vom 28. Juli 2023 die Aufrechnung erklärt, § 388 BGB. Der Beklagten stand überdies in Höhe der Überweisungen von insgesamt 9.979,63 € ein Schadensersatzanspruch gemäß § 675v Abs. 2 Nr. 2 lit. a BGB zu, da der Kläger Pflichten nach § 675l BGB sowie zwischen den Parteien vereinbarte Bedingungen für die Ausgabe und Nutzung des Zahlungsauthentifizierungsinstruments grob fahrlässig verletzt hat.

a) Einerseits liegt eine Verletzung der Pflicht nach § 675l BGB vor. Danach hat der Zahlungsdienstnutzer die Pflicht, alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Für die personalisierten Sicherheitsmerkmale findet sich eine Legaldefinition in § 1 Abs. 25 ZAG, der auf Art. 4 Nr. 31 ZDRL zurückgeht. Danach sind personalisierte Sicherheitsmerkmale „personalisierte Merkmale, die der Zahlungsdienstleister einem Zahlungsdienstnutzer zum Zwecke der Authentifizierung bereitstellt“. Hierzu gehören – unabhängig von der konkreten Form des TAN-Verfahrens – alle Arten von TANs und PINS (MüKo BGB/Jungmann, 9. Auflage 2023, § 675l Rn. 69; beck-online.GROSSKOMMENTAR/Hofmann, Stand: 01.09.2022, § 675l Rn. 38). Erst recht müssen hierzu Registrierungscodes gehören, die zum Zwecke der Zurücksetzung bzw. der Neueinrichtung eines TAN-Verfahrens an den jeweiligen Kunden versandt werden. Denn das Verfahren der Versendung des Codes dient gerade dazu, sich zusätzlich zu authentifizieren und somit als weiteres Sicherungsinstrument im Rahmen der Verschaffung der Möglichkeit, TANs für Transaktionen im Online Banking zu erstellen.

Hieran gemessen hat der Kläger gegen die Pflicht zum Schutz personalisierter Sicherheitsmerkmale verstoßen. Unstreitig gab er entsprechend den Anweisungen des Anrufers im Rahmen des Telefonats am 12. Januar 2023 den Registrierungscode für die Einrichtung des TAN-Verfahrens an Dritte weiter, indem er ihn in der entsprechenden Maske der ihm durchgegebenen Internetseite eintrug.

Hierin liegt zugleich ein Verstoß gegen vertragliche Vereinbarungen der „Bedingungen für das Online-Banking“ Ziff. 7.1 und Ziff. 7.1.2(b), wonach der Kunde Authentifizierungselemente vor unbefugten Dritten schützen muss und sensible Inhalte, Codes oder Links zur Zurücksetzung einer PushTan-Verbindung nicht an Dritte weitergeben darf.

b) Die Pflichtverletzung erfolgte grob fahrlässig im Sinne des § 675v Abs. 2 BGB. Grobe Fahrlässigkeit ist im Allgemeinen anzunehmen, wenn die im Verkehr erforderliche Sorgfalt in ungewöhnlich grobem Maße verletzt worden ist und auch ganz naheliegende Überlegungen nicht angestellt worden sind oder das nicht beachtet worden ist, was im konkreten Fall jedem hätte einleuchten müssen (BGH WM 2005, 380, 384). Im Falle des § 675v Abs. 2 BGB erfordert sie einen in objektiver Hinsicht schweren und in subjektiver Hinsicht schlechthin unentschuldbaren Verstoß gegen die Anforderungen der konkret erforderlichen Sorgfalt; selbst ein objektiv grober Pflichtenverstoß rechtfertigt für sich noch keinen zwingenden Schluss auf ein entsprechend gesteigertes personales Verschulden (BGH NJW 2016, 2024, 2030 f., m.w.N.). Im Rahmen der missbräuchlichen Nutzung von PIN/TAN durch einen Dritten besteht im Rahmen des Online-Bankings kein Anscheinsbeweis für eine grobe Fahrlässigkeit des Kontoinhabers; insbesondere genügt hierfür nicht die Aufzeichnung der Nutzung eines Zahlungsauthentifizierungsinstruments und die Prüfung der Authentifizierung nach § 675w S. 3 Nr. 4 BGB (BGH a.a.O.).

Eingedenk dieses Maßstabes ist in der Eingabe des Registrierungscodes aus der SMS mit dem Text der Anlage B1 für die Einrichtung des TAN-Verfahrens in die Maske der zuvor aufgerufenen Internetseite eine grob fahrlässige Pflichtverletzung des Klägers zu erkennen. Zwar ist das Gericht im Sinne des § 286 Abs. 1 ZPO nach informatorischer Anhörung des Klägers davon überzeugt, dass dieser tatsächlich von der Telefonnummer der Beklagten 04531 / 5080 angerufen wurde und dies mit der Rückruffunktion überprüfte. Auch hat der Kläger plausibel vorgetragen, dass er davon ausgegangen sei, es gehe um die Zustimmung zu neuen AGB der Beklagten, weil tatsächlich zum Jahr 2023 neue AGB in Kraft traten.

Gleichwohl hat der Kläger seine Sorgfaltspflichten in ungewöhnlich grobem Maße verletzt, weil er den Registrierungscode aus der SMS weitergab, obwohl unmittelbar unter dem Code der Warnhinweis stand: „Bitte leiten Sie diese SMS nicht an dritte Personen weiter! Kein Mitarbeiter wird Sie um Weitergabe dieser Daten bitten.“ Das Gericht kann nachvollziehen, dass dem Kläger der Anrufer nicht als dritte Person erschien, sondern als Vertreter der Beklagten, weil dieser über Kenntnisse bezüglich der Konten und auch über die Mobilfunknummer des Klägers verfügte. Jedenfalls aber hätte der Kläger die Daten nicht weitergeben dürfen nach dem Hinweis in der SMS, dass kein Mitarbeiter um die Weitergabe der Daten aus der SMS bitten wird. Jedem durchschnittlichen Kunden hätte sich hierbei unmittelbar aufdrängen müssen, dass die Daten bei einer entsprechenden Bitte nicht weitergegeben werden dürfen. Eine besonders grobe Verletzung von Sorgfaltspflichten würde darüber hinaus auch vorliegen, wenn der Kläger den überschaubaren Inhalt der SMS der Anlage B1 über den darin enthaltenen Registrierungscode hinaus schlicht nicht gelesen hätte. Dies gilt umso mehr, weil der Kläger zum Zeitpunkt der Weitergabe der Daten entsprechend seiner Angaben in der persönlichen Anhörung wusste, dass man Bankangelegenheiten üblicherweise nicht per Telefon regelt. Dies allein begründet für den Kläger ein besonderes Verdachtsmoment, das ihn zu weiteren Nachforschungen hätte veranlassen müssen, insbesondere dazu, den Text der SMS gründlich zu lesen. Dementsprechend hätte der Kläger auch beim Einleitungssatz der SMS „Bitte klicken Sie hier, um die PushTan-App einzurichten (…)“ erkennen müssen, dass die Daten dazu dienen, eine PushTan-Verbindung einzurichten.

Auf den Inhalt des Schriftsatzes der Beklagten vom 27. November 2023 kam es folglich nicht weiter an.

2. Mangels Hauptforderung scheitern Zinsansprüche des Klägers.

II. Der Kläger hat darüber hinaus keinen Anspruch auf Ersatz seiner vorgerichtlichen Rechtsanwaltskosten gemäß §§ 280 Abs. 1, 2, 286 Abs. 1 BGB.

III. Die Kostenentscheidung beruht auf § 91 Abs. 1 ZPO, die Entscheidung über die vorläufige Vollstreckbarkeit auf §§ 708 Nr. 11, 711, 709 Satz 2 ZPO.