Klage auf Gutschrift einer nicht autorisierten Überweisung abgewiesen.
Ein ehemaliger Mitarbeiter einer Bank verlangt von dieser die Gutschrift einer Überweisung in Höhe von 7.677,00 € auf ein ihm unbekanntes Konto. Der Mann behauptet, dass ein Betrüger ihn getäuscht habe und er diesem seine TAN telefonisch übermittelt habe. Die Bank weigert sich jedoch, den Betrag zu erstatten und beruft sich darauf, dass der Kläger grob fahrlässig gehandelt habe. Die zwischen den Parteien bestehende Rahmenvereinbarung verbiete ausdrücklich, TAN außerhalb des Online-Bankings weiterzugeben. Zudem habe der Kläger auf einen Betrug hereinfallen müssen, der sich anhand einiger Hinweise leicht hätte erkennen lassen müssen. Das Gericht schließt sich dieser Einschätzung an und weist die Klage ab. Eine Aufrechnung der Bank mit einem Schadensersatzanspruch wegen grober Fahrlässigkeit des Klägers sei zulässig und führe dazu, dass der Gutschriftsanspruch erloschen sei. Der Kläger könne mit seinem eigenen Schadensersatzanspruch nicht gegenrechnen, da die Bank ihrer Pflicht, ein sicheres System bereitzustellen, nachgekommen sei.
LG Saarbrücken – Az.: 1 O 394/21 – Urteil vom 10.06.2022
1. Die Klage wird abgewiesen.
2. Die Kosten des Rechtstreits werden gegeneinander aufgehoben.
3. Das Urteil ist vorläufig vollstreckbar. Der jeweilige Vollstreckungsschuldner kann die Vollstreckung gegen Sicherheitsleistung in Höhe von 110% des auf Grund des Urteils zu vollstreckenden Betrages abwenden, wenn nicht der Vollstreckungsgläubiger vor der Vollstreckung Sicherheit in Höhe von 110% des jeweils zu vollstreckenden Betrages leistet.
Tatbestand
Der Kläger, bis zum 01.05.2011 Mitarbeiter der Beklagten, nimmt die Beklagte auf Gutschrift einer nicht autorisierten Überweisung in Anspruch.
Zwischen den Parteien besteht ein Vertrag über die Führung eines Kontokorrentkontos mit der Möglichkeit der Nutzung von Online Banking. Dabei nutzt der Kläger seit annähernd 30 Jahren Online-Banking-Produkte der Beklagten, zuletzt auf Grundlage einer Vereinbarung vom 27.08.2020 (Bl. 91 Gerichtsakte GA) das ChipTAN-Verfahren und PushTAN-Verfahren. Unter Ziffer 7 der weiterhin zwischen den Parteien bestehenden Rahmenvereinbarung sind gewisse Sorgfaltspflichten des Teilnehmers (hier des Klägers) vereinbart, u.a. dass die Nachweise des Besitzelements (z.B.) TAN nicht außerhalb des Online-Banking mündlich (z.B. per Telefon) […] weitergegeben werden dürfen.
Am 23.06.2021 wollte der Kläger seinen Online-Zugang nutzen. Zu einem im Einzelnen zwischen den Parteien umstrittenen Zeitpunkt öffnete sich auf dem Computer des Klägers ein Fenster (Bl. 19 GA) mit der Mitteilung, dass er sich bezüglich eines „S-Cert-Banking“ Verfahrens legitimieren müsse. Wegen des genauen Erscheinungsbildes der Mitteilung wird auf den zur Akte gereichten Screenshot verwiesen.
Dieses Fenster beinhaltete einen Link, welcher auf ein Formular zur Eingabe einer Adresse und Mobilfunknummer verwies. In dieses Formular gab der Kläger seinen Namen, Adresse und Telefonnummer ein. Ein Anruf eines Mitarbeiters der Beklagten wurde avisiert. In der Folge meldete sich ein vorgeblicher Mitarbeiter der Beklagten namens … und teilte mit, er wolle bei der Legitimierung behilflich sein. Diese setze die Generierung einer TAN voraus. Eine TAN wurde seitens des Klägers über das PushTAN-Verfahren erstellt und an den Anrufer weitergegeben.
Am 24.06.2021 gegen 9.00 Uhr stellte der Kläger fest, dass eine Überweisung über 7.677,00 € von seinem Konto vorgenommen war zugunsten einer Frau …, welche dem Kläger unbekannt ist. Ein gegen diese eingeleitetes Strafverfahren (Staatsanwaltschaft Saarbrücken, … Js …/21) wurde gemäß § 170 Abs. 2 StPO eingestellt.
In der Folge trat der Kläger, teils über seine Bevollmächtigten, ergebnislos in Korrespondenz mit der Beklagten, mittels derer er die Anfechtung einer etwaigen Autorisierung des Zahlungsvorgangs erklärte.
Der Kläger behauptet, das Fenster sei unmittelbar nach seiner Legitimierung bei der Nutzung des Online-Zugangs erschienen. Bereits zuvor habe sich die Beklagte über verschiedene Kommunikationswege mit dem Kläger in Verbindung gesetzt, sodass die Kontaktaufnahme nicht ungewöhnlich erschien.
Der Anrufer namens … sei ein Mitarbeiter der Beklagten, was sich daraus ergebe, dass er verschiedene Details bezüglich der Geschäftsverbindung der Parteien kannte.
Der Kläger beantragt, die Beklagte zu verurteilen, an ihn 7.677,00 € nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit dem 01.09.2021 zu zahlen.
Die Beklagte beantragt, die Klage abzuweisen.
Die Beklagte erklärt hilfsweise die Aufrechnung mit einem korrespondierenden Schadensersatzanspruch wegen grob fahrlässiger Verletzung seiner Sorgfaltspflichten. Gegen diesen Anspruch erklärt wiederum der Kläger die Aufrechnung mit einem Schadensersatzanspruch, da die Beklagte nicht ihrer Verpflichtung genügt habe, ein sicheres System zur Verfügung zu stellen.
Die Beklagte behauptet, bei der Erstellung der TAN sei dem Kläger ein Sicherheitshinweis angezeigt worden. Auch habe er gesehen, welche Aktivität autorisiert werde, insbesondere, dass es sich um eine Überweisung handelt.
Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf die zwischen den Parteien gewechselten Schriftsätze nebst Anlagen sowie auf das Protokoll der mündlichen Verhandlung vom 29.04.2022 (Bl. 84 GA) verwiesen.
Entscheidungsgründe
I.
Die zulässige Klage ist unbegründet. Zwar stand dem Kläger gegen die Beklagte (zumindest) ein Anspruch auf Gutschrift des Betrages von 7.677,00 € aus § 675u Satz 2 BGB zu. Dieser Anspruch ist jedoch infolge der hilfsweise durch die Beklagte erklärte Aufrechnung mit einem korrespondierenden Schadensersatzanspruch gleicher Höhe aus § 675v Abs. 3 BGB erloschen, während die wiederum seitens des Klägers erklärte Aufrechnung ohne Erfolg bleibt.
1. Dem Kläger stand zunächst ein Anspruch auf Gutschrift von 7.677,00 € auf seinem Girokonto nach § 675u BGB wegen eines nicht autorisierten Zahlungsvorganges zu.
a) Dabei gilt in rechtlicher Hinsicht, dass nach § 675u BGB der Zahlungsdienstleister im Fall eines nicht autorisierten Zahlungsvorgangs gegen den Zahler keinen Anspruch auf Erstattung seiner Aufwendungen hat. Vielmehr ist er verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.
Das Vorliegen einer Autorisierung richtet sich nach § 675j BGB, wobei die die Autorisierung darstellende Zustimmung des Zahlers zu dem Zahlungsvorgang als Einwilligung oder – soweit vereinbart – als Genehmigung erfolgen kann. Ist das Vorliegen der Autorisierung streitig, trifft den Zahlungsdienstleister hierfür die Beweislast, § 675w BGB, wobei die Grundsätze des Anscheinsbeweises Anwendung finden können (hierzu grundlegend BGH, Urteil vom 26.01.2016 – XI ZR 91/14, NJW 2016, 2024; MüKoBGB/Zetzsche, 8. Aufl. 2020, BGB § 675w Rn. 38).
b) Nach diesen Maßstäben stellt die am 23.06.2021 erfolgte Überweisung in Höhe von 7.677,00 € zugunsten der Frau … einen nicht autorisierten Zahlungsvorgang dar.
Dabei legt das Gericht in tatsächlicher Hinsicht die grundsätzliche Schilderung des Klägers zugrunde, welcher im Rahmen seiner persönlichen Anhörung den Geschehensablauf dargelegt hat. Demnach wurde die streitgegenständliche Überweisung – was auch die Beklagte nicht in Abrede stellt – nicht durch den Kläger selbst ausgelöst. Vielmehr generierte der Kläger auf Aufforderung des Anrufers eine TAN, welche er diesem weitergab, sodass der Anrufer die Überweisung auslösen konnte.
Dies bedeutet, dass eine Autorisierung der Überweisung nicht vorliegt (umfassend zur Frage der Autorisierung bei Social Engineering Angriffen Zahrte, BKR 2016, 315). Insoweit unterscheidet sich die Konstellation von Angriffsmethoden bei welchen der Zahler durch Täuschung dazu verleitet wird, selbst eine TAN in die Maske des Online Banking Portals einzugeben und damit eine Überweisung auszulösen. Vielmehr gab der Kläger lediglich eine von ihm erstellte TAN an einen Dritten weiter und allein dieser löste unter Nutzung der TAN die streitgegenständliche Überweisung aus, sodass eine allein in Betracht kommende Einwilligung des Klägers in die Vornahme der Überweisung nicht vorliegt.
2. Dieser grundsätzlich bestehende Anspruch des Klägers ist jedoch durch die hilfsweise von der Beklagten erklärte Aufrechnung mit einem korrespondierenden Schadensersatzanspruch gleicher Höhe erloschen.
a) Nach § 675v Abs. 3 Nr. 2 ist der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler den Schaden herbeigeführt hat durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehrerer Pflichten gemäß § 675l Absatz 1 oder einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments.
b) Dabei liegt eine grobe Fahrlässigkeit nach allgemeinen Regeln vor bei einem objektiv schweren und subjektiv nicht entschuldbarem Verstoß gegen die Anforderungen der im Verkehr erforderlichen Sorgfalt, wenn also das außer Acht gelassen wird, was jedem hätte einleuchten müssen (BGH, Urteil vom 11.07.2007 – XII ZR 197/05; NJW 2007, 2988; BeckOK BGB/Lorenz, 61. Ed. 1.2.2022, BGB § 276 Rn. 19).
Bezogen auf die Besonderheiten des Online-Banking liegt bei der telefonischen Weitergabe einer oder mehrerer TAN der Vorwurf einer groben Fahrlässigkeit nahe (LG Köln, Urteil vom 10.09.2019 – 21 O 116/19, MMR 2020, 258; BeckOGK/Hofmann, 1.10.2021, BGB § 675l Rn. 93; Langenbucher/Bliesener/Spindler/Herresthal, 3. Aufl. 2020, 3. Kap. BGB § 675v Rn. 63; BeckOK BGB/Schmalenbach, 61. Ed. 1.2.2022, BGB § 675v Rn. 13).
Insoweit ist die telefonische Weitergabe einer TAN nicht vergleichbar mit der Eingabe einer oder mehrerer TAN in eine gefälschte Eingabemaske (hierzu BGH, Urteil vom 24.04.2012 – XI ZR 96/11, NJW 2012, 2422), da sich die telefonische Weitergabe der TAN von dem üblichen Übermittlungsweg der TAN (Eingabe online) unterscheidet. Jedoch verbietet sich eine pauschale Bewertung, vielmehr sind sämtliche Umstände des Einzelfalles zu würdigen. Maßstab ist, dass wenn sich jedem Zahlungsdienstenutzer in der entsprechenden Situation sowie dem betroffenen Zahlungsdienstenutzer ganz individuell geradezu aufdrängen musste, dass es sich nicht um einen regulären Vorgang handeln kann, grobe Fahrlässigkeit vorliegt (BeckOGK/Hofmann, 1.10.2021, BGB § 675l Rn. 96).
c) Bei Anwendung dieser rechtlichen Maßstäbe stellt sich das Verhalten des Klägers – auch unter Zugrundelegung seiner eigenen Schilderung – als grob fahrlässige Verletzung seiner Pflichten aus Ziffer 7 der zwischen den Parteien bestehenden Rahmenvereinbarung sowie der Vereinbarung vom 27.08.2020 dar.
Ausgangspunkt für diese Wertung ist zunächst die zwischen den Parteien getroffene Rahmenvereinbarung, welche ausdrücklich darauf hinweist, dass TAN nicht außerhalb des Online-Banking mündlich (z.B. per Telefon) weitergegeben werden dürfen. Zwar hat der Kläger vorgetragen, dass in der Vergangenheit es auch zu telefonischen Kontakten mit Mitarbeitern der Beklagten gekommen sei, weshalb die telefonische Kontaktaufnahme nicht ungewöhnlich gewesen sei. Jedoch hat auch der Kläger nicht behauptet, dass es bei diesen Kontakten – auch wenn sie stattgefunden haben mögen – eine Weitergabe von TAN erfragt worden sei. Daher mag der telefonische Kontakt per se nicht ungewöhnlich gewesen sein, wohl aber die Aufforderung, eine TAN weiterzugeben.
Diese Ungewöhnlichkeiten, die das Misstrauen des Klägers hätten erwecken müssen, zeigen sich auch in dem dem Kläger angezeigten Fenster und zwar auch dann, wenn sich dieses – wie von dem Kläger behauptet – gerade beim Öffnen seines Online-Bankings zeigte.
Neben zahlreichen orthographischen Fehlern, welche auch bei einer normalen Lektüre nicht zu übersehen sind, ist auch der in dem angezeigten Fenster beschriebene Verfahrensablauf zur Registrierung für S-CERT nicht nachvollziehbar. Es erschließt sich offensichtlich nicht, aus welchen technischen Gründen der avisierte Anruf außerhalb der Geschäftszeiten oder zum Wochenende erfolgen kann, was zur Folge hat, dass der Kunde „allzeit“ seine „Legitimations-PIN“ bereithalten soll. Dabei sind schon die technischen Gründe, die einen Anruf außerhalb der Geschäftszeiten oder zum Wochenende bedingen sollen, nicht zu erkennen. Zum anderen muss es sich dem Leser dieses Textes geradezu aufdrängen, dass bei einem ordnungsgemäßen Ablauf er nicht dazu aufgefordert werden kann, „allzeit“ seine Legitimations-PIN bereithalten zu müssen.
Hinzu kommt, dass auch der Inhalt des Textes offensichtlich nicht von der Beklagten stammen kann. Zwar mag es zutreffen, dass in der Bankpraxis zahlreiche Institute auf Kontoführungsgebühren und Gebühren für die Nutzung von Geldautomaten verzichtet haben. Der angezeigte Text führt dies jedoch auf „aktuelle Richtlinien der Europäischen Zentralbank und der Bundesregierung“ zurück, es handele sich um eine verpflichtende Maßnahme der Bundesregierung. Dass dies nicht zutreffen kann, bedarf keiner Erläuterung.
Vor diesem Hintergrund musste es sich jedem Nutzer eines Online-Banking-Zuganges aufdrängen, dass dieses angezeigte Fenster und die anschließende telefonische Aufforderung, eine TAN weiterzugeben, nicht von der Beklagten stammen konnte. Dies gilt umso mehr für den Kläger, welcher ehemaliger Mitarbeiter der Beklagten ist und seit Jahren Online-Banking-Angebote der Beklagten nutzt.
3. Hingegen bleibt die wiederum seitens des Klägers erklärte Aufrechnung ohne Erfolg. Ein Anspruch des Klägers auf Schadensersatz gegen die Beklagte, da es dieser nicht gelungen sei, das von ihr betriebene Online-Banking-Portal von Zugriffen Dritter freizuhalten, besteht nicht. Es kann dahinstehen, ob eine solche Verpflichtung der Beklagten besteht. Jedenfalls ist nicht erkennbar, dass ein Zugriff eines Dritten auf das Portal der Beklagten stattgefunden hat. Vielmehr ist es ebenso möglich, dass der Zugriff auf das Endgerät des Klägers erfolgte.
II.
Die Kostenentscheidung folgt aus § 92 Abs. 1 ZPO. Das teilweise Unterliegen der Beklagten ergibt sich aufgrund der nur hilfsweise erklärten Aufrechnung und dem Ergebnis, dass die Klageforderung ohne diese Aufrechnung begründet gewesen wäre. Die Entscheidung über die vorläufige Vollstreckbarkeit beruht auf §§ 708 Nr. 11, 711 ZPO.
Die folgenden rechtlichen Bereiche sind in diesem Urteil relevant.
- Vertragsrecht: Das Vertragsrecht ist von Bedeutung, da zwischen den Parteien ein Vertrag über die Führung eines Kontokorrentkontos mit der Möglichkeit der Nutzung von Online Banking besteht.
- Bankrecht: Das Bankrecht ist relevant, da es sich um einen nicht autorisierten Zahlungsvorgang handelt. Der Kläger nimmt die Beklagte auf Gutschrift einer nicht autorisierten Überweisung in Anspruch. Es wird über die Sorgfaltspflichten des Teilnehmers bei der Nutzung von Online-Banking-Produkten und die Autorisierung von Zahlungsvorgängen diskutiert.
- Schadensersatzrecht: Das Schadensersatzrecht ist relevant, da sowohl der Kläger als auch die Beklagte Ansprüche auf Schadensersatz erheben. Der Kläger macht Schadensersatzansprüche gegen die Beklagte geltend, da diese ihm gegenüber die Verpflichtung hat, ein sicheres System zur Verfügung zu stellen. Die Beklagte macht Schadensersatzansprüche gegen den Kläger geltend, da dieser seine Sorgfaltspflichten verletzt hat.
- Beweisrecht: Das Beweisrecht ist von Bedeutung, da das Vorliegen einer Autorisierung streitig ist und hierfür die Beweislast den Zahlungsdienstleister trifft. Zudem kann der Anscheinsbeweis Anwendung finden.
- Strafrecht: Das Strafrecht wird erwähnt, da ein gegen die unbekannte Empfängerin der Überweisung eingeleitetes Strafverfahren eingestellt wurde.
- Zivilprozessrecht: Das Zivilprozessrecht ist relevant, da es sich um eine zivilrechtliche Klage handelt und es im Laufe des Prozesses zu einer Aufrechnung von Ansprüchen kommt. Es wird auch auf das Protokoll der mündlichen Verhandlung verwiesen.
Die 5 wichtigsten Aussagen in diesem Urteil
- Der Kläger hat keinen Anspruch auf Gutschrift eines Betrags von 7.677,00 € auf seinem Girokonto nach § 675u BGB wegen eines nicht autorisierten Zahlungsvorgangs, da die Beklagte erfolgreich hilfsweise mit einem korrespondierenden Schadensersatzanspruch gleicher Höhe aus § 675v Abs. 3 BGB aufgerechnet hat.
- Der Zahler ist seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler den Schaden durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehrerer Pflichten gemäß § 675l Absatz 1 oder einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments herbeigeführt hat.
- Die telefonische Weitergabe einer TAN stellt eine grob fahrlässige Verletzung der Sorgfaltspflichten dar.
- Der Kläger hat gegen die Sorgfaltspflichten aus Ziffer 7 der zwischen den Parteien bestehenden Rahmenvereinbarung sowie der Vereinbarung vom 27.08.2020 verstoßen.
- Bei Social Engineering-Angriffen trifft den Zahlungsdienstleister die Beweislast dafür, dass eine Autorisierung der Zahlung vorliegt.