Phishing-Angriff – grob fahrlässig freigebener Überweisungsbetrag – Bankenhaftung

Phishing-Opfer haftet für grob fahrlässige Online-Banking-Überweisung

Ein Kunde, der nach Erhalt einer Phishing-Nachricht über eine TAN-App und Gesichtserkennung eine Überweisung tätigt und sein Limit erhöht, handelt grob fahrlässig, sodass die Bank in diesem Fall nicht zur Rückerstattung des überwiesenen Betrags verpflichtet ist. Das OLG Frankfurt entschied, dass der Kunde durch sein Verhalten den Schutz seiner Sicherheitsmerkmale vernachlässigt hat und somit die Bank von der Haftung befreit ist.

Weiter zum vorliegenden Urteil Az.: 3 U 3/23 >>>

Sichere Onlinebanking-Nutzung

Die digitale Welt bietet viele Möglichkeiten, birgt aber auch Risiken. Betrüger nutzen immer raffiniertere Methoden wie Phishing-Attacken, um an sensible Daten zu gelangen. Dabei versuchen sie, Bankkunden zur Preisgabe von Zugangsdaten und Sicherheitsmerkmalen zu bewegen. Doch wer ist verantwortlich, wenn solch ein Datendiebstahl gelingt?

Für Verbraucher ist es essentiell, die Sicherheitshinweise ihrer Bank zu befolgen. Fahrlässiges Verhalten kann dazu führen, dass sie im Schadensfall die Kosten selbst tragen müssen. Klare Richtlinien und Urteile schaffen hier Rechtssicherheit für alle Beteiligten.

➜ Der Fall im Detail

Phishing-Angriff führt zu grob fahrlässiger Überweisung – Bankenhaftung abgelehnt

Ein Kunde der Bank1 fiel einem Phishing-Angriff zum Opfer, als er auf eine gefälschte SMS reagierte, die ihn zur Anmeldung für ein neues Sicherheitsverfahren aufforderte.

Durch den Klick auf den Link in der Nachricht und die folgende Interaktion gab der Kunde unwissentlich die Freigabe für eine temporäre Erhöhung seines Überweisungslimits und eine Überweisung in Höhe von 49.999,99 €. Der Vorfall ereignete sich am 02.09.2021, und die Überweisung ging an ein Konto bei der Stadt1er Bank1. Der Kunde bemerkte die Überweisung erst am Folgetag und meldete den Vorfall sowohl der Bank als auch der Polizei. Trotz vorheriger Nutzung von Sicherheitsmaßnahmen wie PushTAN und Gesichtserkennung sowie dem Vorhandensein von Virenschutz auf seinen Geräten, wurde dem Kunden grobe Fahrlässigkeit vorgeworfen, da er auf die Phishing-Nachricht reagierte und die Überweisung freigab.

Die Entscheidung des Gerichts: Keine Bankenhaftung bei grober Fahrlässigkeit

Das OLG Frankfurt entschied, dass der Kunde grob fahrlässig gehandelt habe, als er auf die Phishing-Nachricht reagierte und die Transaktionen autorisierte. Das Gericht wies darauf hin, dass Bankkunden besonders vorsichtig sein und Sicherheitswarnungen beachten müssen, insbesondere im Umgang mit Online-Banking und SMS, die zu Sicherheitsverfahren auffordern. Die Bank wurde von der Haftung für die Rückzahlung des überwiesenen Betrags freigesprochen, da der Kunde durch sein Handeln die missbräuchliche Transaktion ermöglicht hatte.

Die rechtliche Grundlage und die Beurteilung der Fahrlässigkeit

Die Beurteilung der Fahrlässigkeit stützte sich auf die Missachtung grundlegender Sicherheitshinweise, die von Banken im Umgang mit Online-Banking und Phishing-Angriffen herausgegeben werden. Die Gerichtsentscheidung unterstreicht die Verantwortung der Kunden, ihre persönlichen und finanziellen Informationen zu schützen und sich über gängige Betrugsmethoden und Sicherheitsrisiken im digitalen Zahlungsverkehr zu informieren.

Die Bedeutung des Urteils für Kunden und Banken

Dieses Urteil hat weitreichende Implikationen für die Praxis des Online-Bankings und den Schutz vor Phishing-Angriffen. Es betont die Notwendigkeit, dass Kunden aktiv an der Sicherung ihrer Online-Banking-Transaktionen mitwirken und wachsam gegenüber Betrugsversuchen sind. Für Banken bestätigt es die Wichtigkeit, klare Sicherheitshinweise zu kommunizieren und ihre Kunden über potenzielle Risiken aufzuklären.

Abschließende Betrachtungen

Der Fall illustriert die komplexe Interaktion zwischen Kundenverantwortung und Banksicherheit in einer Zeit, in der digitale Betrugsmethoden zunehmend raffinierter werden. Während Banken weiterhin gefordert sind, ihre Sicherheitssysteme zu stärken und Kunden über Risiken aufzuklären, unterstreicht das Urteil die kritische Rolle, die Kunden beim Schutz ihrer finanziellen Ressourcen spielen.

Das vorliegende Urteil

OLG Frankfurt – Az.: 3 U 3/23 – Urteil vom 06.12.2023

Orientierungssatz

Gibt ein Kunde mittels PushTAN und Verifizierung über eine Gesichtserkennung nach einer Phishing-Nachricht die temporäre Erhöhung seines Überweisungslimits und eine anschließende Überweisung frei, handelt er grob fahrlässig. Die Bank schuldet in diesem Fall nicht die Rückerstattung des überwiesenen Betrags.

Können wir Ihnen in einem ähnlichen Fall behilflich sein? Vereinbaren Sie einen Termin unter 02732 791079 oder fordern Sie unsere Ersteinschätzung online an.

1. Die Berufung des Klägers und Berufungsklägers gegen das am 09.12.2022 verkündete Urteil des Landgerichts Frankfurt am Main (2-25 O 41/22) wird zurückgewiesen.

2. Die Kosten des Berufungsverfahrens trägt der Kläger und Berufungskläger.

3. Das Urteil ist vorläufig vollstreckbar.

4. Der Kläger und Berufungskläger kann die Vollstreckung durch Sicherheitsleistung in Höhe von 120 % des vollstreckbaren Betrages abwenden, wenn nicht die jeweils andere Partei vor der Vollstreckung Sicherheit in Höhe von 120 % des zu vollstreckbaren Betrages leistet.

5. Der Streitwert für das Berufungsverfahren wird auf 49.999,99 € festgesetzt.

Gründe

I.

Die Parteien streiten um die Wiedergutschrift einer Kontobelastung.

Der Kläger führt bei der Beklagten ein Girokonto. Als Verfahren zur Beauftragung von online-Transaktionen wählte der Kläger das PushTAN App-Verfahren. Die TAN wird dazu auf ein vom Kunden bestimmtes Smartphone übertragen. Zudem war eine Verifizierung über die Gesichtserkennung vereinbart.

Sein Online Banking nutzte der Kläger mit einem iPhone 12 pro und mit einem Desktop-PC mit aktuellem Windows-Betriebssystem. Beide verfügten über ausreichenden Virenschutz. Alle Sicherheitsupdates wurden immer rechtzeitig (in der Regel automatisiert) ausgeführt.

Als Überweisungslimit hatte der Kläger bis zum 02.09.2021 einen Betrag von 10.000,00 € festgesetzt.

Am 02.09.2021 erhielt der Kläger eine SMS mit folgendem Inhalt (Anlage K10, Bl. 139 d.A.):

„Ihr Konto wurde eingeschränkt. Bitte melden Sie sich für das neue S-CERT Verfahren an: https://bank1-webtool…

Ihre Bank1“

Als Absender dieser SMS wurde eine Telefonnummer angezeigt, welche die Beklagte bereits am 14.06.2022 in der Vergangenheit verwendet hatte, um den Kläger über eine vorübergehende Sperrung seiner Kreditkarte wegen eines Sicherheitsvorfalls zu unterrichten und die sie auch nach dem streitgegenständlichen Vorfall zur Mitteilung einer temporären Sperrung seiner Bankkarte benutzte. Die beiden Sperrmitteilungen der Beklagten waren jeweils mit der Bitte verbunden, die Telefonnummer … zurückzurufen.

Der Kläger folgte dem in der SMS angegebenen Link. Anschließend wurde er von einer männlichen Person angerufen. Auf Anweisung dieses Anrufers bestätigte der Kläger „etwas“ in der PushTAN-App der Beklagten.

Am selben Tag, dem 02.09.2021 um 13:56 Uhr wurde das Konto des Klägers bei der Beklagten mit einer Echtzeit Überweisung i.H.v. 49.999,99 € auf das Konto mit der IBAN DE… bei der Stadt1er Bank1 belastet. Als Name des Empfängers wurde „A“ angegeben.

Am Folgetag, dem 03.09.2021, gab der Kläger, nach Entdeckung dieser Überweisung, eine Schadensfallerstmeldung bei der Beklagten ab und erstattete Anzeige bei der Polizei.

Nachdem der Kläger von der Beklagten vorprozessual vergeblich verlangt hatte, die vorstehenden Beträge wieder gutzuschreiben, hat er dieses Ansinnen nebst Erstattung vorprozessualer Rechtsanwaltskosten erstinstanzlich verfolgt.

Der Kläger hat behauptet, er habe die Transaktion vom 02.09.2021 nicht veranlasst. Nachdem er den Link angeklickt habe, habe er auf einer Website der „Stadt2er Bank1“ die Mitteilung erhalten, dass er in Kürze von einem Mitarbeiter der Beklagten angerufen werde. Wenige Minuten später sei er tatsächlich auf der bei der Beklagten hinterlegten Mobilfunknummer angerufen worden und ein Mitarbeiter der Beklagten, der sich als „Herr B“ vorgestellt habe, habe ihm die Notwendigkeit einer neuen Sicherheitseinstellung für den Online-Banking-Zugriff erläutert. Er, der Kläger, habe dann einmal etwas in seiner PushTAN-App mittels Gesichtserkennung bestätigt. Dabei habe es sich aber nicht um die Freigabe der streitgegenständlichen Zahlung gehandelt. Keinenfalls habe er zwei getrennte Vorgänge bestätigt. Da für vorgenommene Überweisung von 49.999,99 € zwei TAN-pflichtige Vorgänge nötig gewesen wären, eine Erhöhung des Überweisungslimits und die Überweisung selbst, könne er diesen Vorgang nicht durch seine einmalige Bestätigung veranlasst haben.

Falls es sich bei der SMS sowie dem Anruf um eine von Dritten durchgeführte Täuschung handele, sei diese für ihn nicht erkennbar gewesen. Er habe sich am 02.09.2021 gar nicht mit seinen Smartphone beim Online Banking der Beklagten eingeloggt. Die Beklagte habe zudem keine ausreichenden Sicherheitsvorkehrungen für so gelagerte Betrugsfälle eingerichtet, sowie ihre Kunden grundsätzlich unzureichend über verbundenen Risiken aufgeklärt. Insbesondere fehle es an einer 2-Faktoren-Authentifizierung. Der Absender der SMS sowie der Anrufende hätten sich glaubhaft als Vertreter der Stadt2er Bank1 ausgegeben.

Der Kläger hat bestritten, dass der Anruf, die SMS und die Aktivität in der PushTAN-App am 02.09.2021 kausal für den eingetretenen Schaden waren.

Die Beklagte hat sich gegen die Klage verteidigt und die Auffassung vertreten, der Kläger habe die Zahlung zumindest grob fahrlässig autorisiert und daher für die aufgetretenen Verluste einzustehen. Sie hat behauptet, die entscheidenden Abläufe für die Überweisung über 50.000,00 € hätten sich allein in der Sphäre des Klägers abgespielt. Beide wesentlichen Vorgänge, die Limit-Änderung auf 50.000,00 € wie auch die Überweisung von 49.999,99 € seien über den Online-Banking Zugang des Klägers angestoßen worden und durch den Kläger selbst mittels seiner PushTAN-App bestätigt worden. Insoweit hat sie auf die vorgelegten Transaktionsprotokolle (Anlage K11, Bl. 201-218 d.A.) verwiesen. In ihrer eigenen technischen Infrastruktur gebe es keine Mängel.

Die Beklagte hat die Auffassung vertreten, sie könne und müsse sich nicht dazu erklären, wer die Vorgänge ausgelöst habe und daher grundsätzlich behauptet, dies sei der Kläger selbst gewesen. Hilfsweise hat sie behauptet, unbekannte Täter hätten sich Zugriff auf das Online-Banking des Klägers verschafft, z.B. indem sie ihm eine SMS mit einem Link an seine Mobilfunknummer gesendet hätten und der Kläger daraufhin auf der entsprechenden – gefälschten – Homepage seine Online-Banking-Zugangsdaten eingegeben habe. Jedenfalls aber habe der Kläger selbst beide Vorgänge in seiner App freigegeben.

Die Beklagte hat die Auffassung vertreten, einem möglichen Anspruch des Klägers auf Gutschrift einer nicht autorisierten Zahlung könne sie den dolo-agit-Einwand aus § 242 BGB entgegenhalten: Soweit ein Anspruch des Klägers bestehe, stehe ihr jedenfalls ein Schadensersatzanspruch in gleicher Höhe gem. § 675v Abs. 3 BGB zu, mit dem sie die Aufrechnung erklärt hat.

Das Landgericht hat die Klage abgewiesen.

Der Kläger habe die Voraussetzungen eines Erstattungsanspruchs gemäß § 675u S. 2 BGB nicht schlüssig dargelegt.

Unter Verweis auf BGH, Urteil vom 26.01.2016 – IX ZR 91/14 (NJW 2016, 2024) ist das Landgericht davon ausgegangen, dass ein Beweis des ersten Anscheins dafür bestehe, dass der Kläger die Transaktion vom 02.09.2021 selbst – wenn auch möglicherweise aufgrund einer Täuschung – autorisiert habe. Hierfür genüge es, dass der Kläger einräume, „etwas“ bestätigt zu haben, auch per Gesichtserkennung. Es stelle keinen zulässigen Tatsachenvortrag dar, dass der Kläger sich zu den genauen Vorgängen am 02.09.2021 im Übrigen auf Erinnerungslücken berufe und nicht einmal angeben könne, was genau er bestätigt habe.

Das Landgericht hat angenommen, es habe ein autorisierter Zahlungsvorgang vorgelegen. Die Art und Weise der Zustimmung, die gem. § 675j Abs. 1 S. 3, 4 BGB grundsätzlich zwischen dem Zahler und dem Zahlungsdienstleister zu vereinbaren sei, sei eingehalten worden.

Letztlich, so das Landgericht weiter, könne aber auch dahinstehen, ob die Voraussetzungen eines Erstattungsanspruchs gemäß § 675u S. 2 BGB bestehen, da der Beklagten selbst im Falle einer unautorisierten Transaktion ein „Schadensersatzanspruch gemäß § 675w S. 1 BGB“ zustehe, der im Wege der Aufrechnung den Anspruch aus § 675u BGB vernichte.

Der Kläger als Zahlungsdienstnutzer sei gemäß § 675 Abs. 1 BGB verpflichtet, die personalisierte Sicherheitsmerkmale vor dem unbefugten Zugriff Dritter zu schützen. Er habe diese somit nicht auf telefonische, schriftliche oder informationstechnische Anfrage mitteilen dürfen.

Dem Kläger habe insoweit klar sein gemusst, dass er nicht auf einen per SMS mitgeteilten Link reagieren durfte, weil Banken und Sparkassen solches niemals tun und vor solchem Verhalten ausdrücklich warnen würden.

Der Kläger habe grob fahrlässig gehandelt, da er auf diesen Link reagiert habe, der darüber hinaus wegen des Verweises auf eine .top-Domain klar als nicht der Beklagten zugeordnet zu erkennen gewesen sei. Darüber hinaus habe er dann auch noch auf den Anruf des vermeintlichen Mitarbeiters der Beklagten hin nicht vorsichtig reagiert, sondern seine persönlichen Sicherheitsmerkmale verwendet und – einmal unstreitig – über die Gesichtserkennung bestätigt.

Dem Beweisangebot des Klägers, ein Sachverständigengutachten dazu einzuholen, dass das Sicherheitssystem der Beklagten nicht ausreichend vor Zugriff Dritter geschützt sei, ist das Landgericht nicht nachgegangen. Zwar sei die Bank gemäß § 675w BGB beweispflichtig, dass eine Autorisierung eines Auftrags vom Kunden stamme. Auch greife der Anscheinsbeweis nur dann, wenn die ordnungsgemäße und fehlerfreie Anwendung des Sicherheitssystems der Bank feststehe. Zwar habe der Kläger ausführlich vorgetragen, warum seiner Auffassung zufolge das System der Beklagten nicht sicher sei. Insoweit habe er aber ins Blaue hinein vorgetragen. Es fehle an der Basis einer Erforderlichkeit des Aufklärens eines Versagens des Systems der Beklagten, wenn der zu Grunde liegende Sachverhalt gar nicht vorgetragen sei und feststehe. An einem solchen vorgetragenen, feststehenden Sachverhalt fehle es hier gerade, da der Kläger sich nicht erinnere. Es genüge auch nicht, dass er davon ausgehe, weder Limit-Erhöhung noch Überweisung bestätigt zu haben: All das obliege seiner eigenen, unmittelbaren Wahrnehmung. Hierzu hätte er vortragen müssen, ein Nicht-Erinnern sei unzulässig und auch unglaubhaft.

Dem Kläger stehe auch kein Anspruch auf Gutschrift gemäß § 675x BGB zu, da Voraussetzung dafür sei, dass die konkrete Zahlungstransaktion vom Zahlungsempfänger ausgelöst werde. Daran fehle es hier, da keinerlei Anhaltspunkte dafür dargelegt seien, dass ein Dritter – wie beispielsweise im Falle einer Einzugsermächtigung – eine Überweisung ausgelöst habe.

Auch ein Fehlverhalten der Beklagten im Hinblick auf die Voraussetzungen der §§ 13 TMG, 53 ZAG habe der Kläger nicht substantiiert vorgetragen.

Mit seiner Berufung verfolgt der Kläger sein erstinstanzliches Begehren unverändert weiter.

Er rügt zunächst, das Landgericht habe die Grundsätze des Anscheinsbeweises fehlerhaft angewendet.

Der Kläger habe sich auf kein bloßes Bestreiten mit Nichtwissen zurückgezogen, sondern mit Schriftsatz vom 08.11.2022 (Bl. 191 ff. der Akte) sein Vorbringen dahingehend konkretisiert, dass er im Rahmen des Telefonats am 02.09.2021 einmal etwas über die Gesichtserkennung bestätigt habe und zuvor im Display seines Endgeräts weder den Betrag 49.999,99 € noch irgendeine IBAN noch eine Limiterhöhung gesehen habe, die auf die Autorisierung eine Überweisung in dieser Höhe oder eine Limiterhöhung hätten hindeuten können. Vielmehr habe er vorgetragen, dass er während des Telefonats am 02.09.2021 einen atypischen Ablauf in der App wahrgenommen habe, der weder eine Limiterhöhung noch eine Überweisung abgebildet habe. Beide Vorgänge in der App kenne er bestens, er habe sie in der besagten Situation schlichtweg nicht gesehen. Das Landgericht habe sich überhaupt nicht mit seinem Vortrag und der Problematik, dass die streitgegenständliche Überweisung eigentlich zweier TAN-pflichtiger Vorgänge bedurft hätte, auseinandergesetzt, sondern rechtsfehlerhaft den streitigen Vortrag der Beklagten, die für Limit-Änderung und Überweisung erforderlichen TANs seien an das persönliche Smartphone des Klägers geschickt worden, als wahr unterstellt.

Darüber hinaus gehe die Anwendung des Anscheinsbeweises durch das Landgericht auch deshalb fehl, da er mit Schriftsatz vom 08.11.2022 substantiiert vorgetragen habe, dass die von der Beklagten vorprozessual zur Verfügung gestellten Transaktionsprotokolle (Anlage K5) inhaltlich falsch seien. Der Kläger ist der Auffassung, hierfür genüge sein auf eigener Wahrnehmung beruhender Vortrag, dass er nicht – wie von den Protokollen vorausgesetzt – dreimal mit dem Merkmal Gesichtserkennung etwas in der PushTAN-App bestätigt habe, sondern nur einmal.

Überdies habe das Landgericht seinen Vortrag einfach ignoriert, dass der Zahlungsvorgang vom 02.09.2021 durch eine Störung im Sinne des § 675w S. 1 BGB beeinträchtigt gewesen sei, da die angeblichen Transaktionsprotokolle insgesamt 3 Vorgänge abbildeten, welcher einer starken Kundenauthentifizierung im Sinne des § 1 Abs. 24 ZDG bedürften, während er selbst nur eine einzige Autorisierung getätigt habe.

Weiter macht der Kläger mit seiner Berufung geltend, auch die Hilfsbegründung des Landgerichts, wonach ein Rückerstattungsanspruch des Klägers in jenem Fall durch Aufrechnung mit einem Schadensersatzanspruch der Beklagten erloschen sei, sei rechtsfehlerhaft.

Ein Schadensersatzanspruch der Beklagten aus § 675v Abs. 3 Nr. 2 BGB scheitere bereits gemäß § 675v Abs. 4 Nr. 1 BGB, da die Beklagte eine starke Kundenauthentifizierung i.S.d. § 1 Abs. 24 ZAG nicht verlangt habe, obwohl sie gem. § 55 ZAG hierzu verpflichtet gewesen wäre. Der Kläger verweist insoweit auf seine Behauptung, er habe nur einmal „etwas“ in seiner PushTAN-App mittels Gesichtserkennung bestätigt, wohingegen die Beklagte für mindestens zwei Vorgänge, die Limiterhöhung und die Überweisung selbst, eine starke Kundenauthentifizierung habe fordern müssen.

Soweit das Landgericht zur Begründung grober Fahrlässigkeit des Klägers ausgeführt habe, dem Kläger hätte klar sein müssen, dass er nicht auf einen per SMS mitgeteilten Link hätte reagieren dürfen, weil Banken und Sparkassen solches niemals tun und vor solchem Fallen ausdrücklich warnen würden, sei dies schlichtweg unzutreffend. Dies ergebe sich bereits daraus, dass die Beklagte den Kläger unstreitig selbst zweimal – am 14.06.2022 und am 03.09.2021 – per SMS kontaktiert und um Rückruf gebeten habe und dass die streitgegenständliche SMS mit dem Link sich unter diesen Nachrichten einreihe. Wenn die Beklagte den Kläger in sicherheitsrelevanten Fragen per SMS kontaktiere und Rufnummern mit Rückrufbitte übermittle, dann könne das Anklicken eines SMS-Links nicht grob fahrlässig sein, da in subjektiver Hinsicht kein schlechthin unentschuldbares Verhalten vorliege.

Unabhängig davon fehle es auch an Feststellungen des Landgerichts dazu, warum das bloße Anklicken des Links kausal für den eingetretenen Schaden gewesen sein soll. Der Kläger habe auch in der 1. Instanz die Kausalität mehrfach bestritten. Dennoch habe sich das Landgericht nicht veranlasst gesehen, in seinem Urteil zumindest einen Erklärungsversuch hierzu zu unternehmen. Das bloße Anklicken eines Links in einer SMS habe nicht dazu geführt, dass das Limit von 10.000,00 € auf 50.000,00 € ansteige und ein Zahlungsvorgang über knapp 50.000,00 € ausgelöst werde. Es überdehne den Kausalitätsbegriff, wenn man davon ausgehe, dass schon die einmalige Tätigung einer Aktivität in der PushTAN-App durch den Kläger für den konkreten Schaden kausal war, da für die konkrete Überweisung in Höhe von 49.999,99 € zwei Bestätigungen in der App, für eine Limiterhöhung und für die Überweisung selbst, erforderlich gewesen wären.

Das Landgericht habe sich auch nicht damit auseinandergesetzt, dass ausweislich der vorgelegten Login-Protokolle (Anlage K 11) vor dem 29.08.2021 stets das Gerät des Klägers „Bank1 iPhone“ mit der Version 5120 Zugriff auf dessen Online Banking genommen habe, während am 29.08.2021 und am 02.09.2021 plötzlich von den Tätern über ein Gerät namens Anführungszeichen „IF-Portal“ mit der Version 210.0 auf das Onlinebanking zugegriffen worden sei. Die Täter hätten daher schon vor dem 02.09.2021 Zugriff auf die Login-Daten des Klägers gehabt, so dass die SMS vom 02.09.2021 gar nicht mehr kausal für den Schaden hätte sein können.

Der Kläger beantragt, unter Abänderung des am 09.12.2022 verkündeten Urteils des Landgerichts Frankfurt am Main, Az. 2-25 O 41/22, die Beklagte zu verurteilen, das bei der Beklagten geführte Zahlungskonto des Klägers mit der IBAN DE… wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung der nicht autorisierten Zahlung vom 02.09.2021 in Höhe von 49.999,99 € zuzüglich Zinsen hieraus in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz nach § 247 BGB seit dem 03.09.2021.

Die Beklagte beantragt, die Berufung zurückzuweisen.

Sie verteidigt das erstinstanzliche Urteil unter Wiederholung und Vertiefung ihrer erstinstanzlichen Argumentation.

Hilfsweise machen sie sich den klägerischen Vortrag zu eigen, der Kläger habe während des Telefonats mit „Herrn B“ einen atypischen Vorgang in der App wahrgenommen und tragen vor, auch dies hätte dem Kläger Anlass geben müssen, den Vorgang abzubrechen und die Beklagte zu informieren.

Soweit der Kläger behauptet, die unbekannten Täter hätten schon am 29.08.2021 und dann erneut am 02.09.2021 über ein Gerät namens Anführungszeichen „IF-Portal“ mit der Version 210.0 auf das Onlinebanking des Klägers zugegriffen, nimmt die Beklagte auf ihren erstinstanzlichen Vortrag (B. 226 f. d.A.) Bezug, wonach der Vermerk „IF-Portal“ schlicht bedeute, dass der Login über ein Browser-Fenster stattfand, während bei Login über einen Browser auf dem Smartphone „IF-mobile“ und bei Login über die Bank1-App für iPhone oder Android „HKVVB-Dialoginitialisierung vermerkt werden.

II.

Die zulässige Berufung ist nicht begründet.

1. Die Berufung der Klägerin ist zulässig, insbesondere form- und fristgerecht eingelegt und begründet worden.

2. Die Berufung ist jedoch nicht begründet. Der Klägerin steht gegen die Beklagte letztlich kein Anspruch auf Zahlung von 49.999,99 € zu.

Ob bereits – wie das Landgericht angenommen hat – ein Beweis des ersten Anscheins spreche dafür, dass der Kläger den streitgegenständlichen Zahlungsvorgang im Online-Banking autorisiert hat, kann offenbleiben, denn selbst wenn dem Kläger gegen die Beklagte ein Anspruch aus § 675u S. 2 BGB auf Wiederherstellung des Kontostands zusteht, auf dem sich sein Konto ohne die Belastung durch die streitgegenständliche Überweisung befunden hätte, stünde diesem Anspruch der aus § 242 BGB abzuleitende, dauerhafte Einwand dolo agit qui petit quod statim redditurus est entgegen, da die Beklagte nach § 675v Abs. 3 Nr. 2 lit. a), b) BGB einen Gegenanspruch auf Schadensersatz gegen den Kläger mindestens in Höhe von dessen Erstattungsanspruch gemäß § 675u S. 2 BGB hat.

Da die Beklagte spätestens in der Klageerwiderung die Aufrechnung mit diesem Gegenanspruch erklärt hat (§ 388 BGB), ist der Erstattungsanspruch des Klägers – was das Landgericht auch richtigerweise bejaht hat – jedenfalls durch wirksame Aufrechnung der Beklagten wieder erloschen, § 389 BGB.

a. Die Beklagte hat nach § 675v Abs. 3 Nr. 2 lit. a), b) BGB einen Gegenanspruch auf Schadensersatz gegen den Kläger in Höhe von dessen Erstattungsanspruch gemäß § 675u S. 2 BGB. Der Kläger hat grob fahrlässig Pflichten gemäß § 675l Abs. 1 S. 1 BGB verletzt und infolge dessen ist der Beklagten ein Schaden in Höhe des klägerischen Erstattungsanspruchs entstanden.

aa. Ein Schadensersatzanspruch der Beklagten auf der genannten Grundlage ist nicht gemäß § 675v Abs. 4 Nr. 1 BGB ausgeschlossen.

Die zivilrechtliche Haftungsbefreiung nach § 675v Abs. 4 BGB ist akzessorisch zum Aufsichtsrecht dahingehend auszulegen, dass der Zahlungsdienstleister eine starke Kundenauthentifizierung i.S.d. § 1 Abs. 24 ZAG in den Fällen verlangen muss, in denen er gem. § 55 ZAG hierzu verpflichtet ist, und andernfalls mit seinem Haftungsausschluss ausgeschlossen ist (vgl. Staudinger/Omlor (2020) BGB § 675v, Rn. 36f., m.w.N.).

Eine Überweisung stellt einen elektronischen Zahlungsvorgang dar, für den gem. § 55 Abs. 1 Nr. 2 ZAG eine starke Kundenauthentifizierung erforderlich ist. Die Erhöhung des Verfügungslimits über einen über einen Fernzugang stellt eine dar, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs beinhaltet, denn der mögliche Schaden durch eine missbräuchliche Überweisung kann durch vorausgehende Änderung des Verfügungslimits – wie im vorliegenden Fall geschehen – vervielfacht werden. Auch für die Limitänderung war daher gem. § 55 Abs. 1 Nr. 3 ZAG eine starke Kundenauthentifizierung erforderlich.

Die Beklagte hat indes dargelegt, dass sie für die Überweisung wie auch für die Limitänderung eine starke Kundenauthentifizierung mit PIN und PushTAN gefordert hat. Sie hat dies durch Vorlage von Aufzeichnungen darüber, dass eine Authentifizierung erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht sowie nicht durch eine Störung beeinträchtigt wurde, belegt, wobei die entsprechenden technischen Aufzeichnungen der Klägerseite zur Verfügung gestellt wurden und von dieser selbst vorgelegt wurden. Aus Anlage K11 (Bl. 201-218) geht hierbei hervor, welche Log-Ins ins Online-Banking erfolgten, währen aus Anlage K5 (Bl. 18-20 d.A.) hervorgeht, welche starken Kundenauthentifizierungen gefordert wurden. Sie hat auch dargelegt, dass die Angabe „IF-Portal“ unter „Kundenprodukt“ schlicht bedeutete, dass der Login über ein Browser-Fenster und nicht über eine Mobil-App erfolgte.

Im Einzelnen stellen sich die Vorgänge am 02.09.2021 ausweislich der vorgelegten Aufzeichnungen wie folgt dar:

– Um 13:09:05 Uhr erfolgte ein Login ins Online-Banking per Webbrowser („IF-Portal“) von der IP-Adresse …. (Bl. 214 d.A.).

– Um 13:10:53 Uhr wurde von dieser IP-Adresse aus eine Bearbeitung der Kontolimite versucht, wobei die korrekte Kartennummer, jedoch das falsche Geburtsdatum (06.05. statt 06.04.19XX) angegeben wurde. Die Falscheingabe wurde dokumentiert (Bl. 18 d.A.).

– Um 13:52:14 Uhr erfolgte ein Login ins Online-Banking per Webbrowser („IF-Portal“) von der IP-Adresse … (Bl. 215 d.A.).

– Um 13:54:14 Uhr erfolgte ein Login ins Online-Banking per Webbrowser („IF-Portal“) von der IP-Adresse … (Bl. 216 d.A.).

– Um 13:54:51 Uhr wurde von der IP-Adresse … aus eine Bearbeitung der Kontolimite versucht, wobei abermals das falsche Geburtsdatum (06.05. statt 06.04.19XX) angegeben wurde. Die Falscheingabe wurde dokumentiert (Bl. 18R d.A.).

– Um 13:55:31 Uhr wurde von derselben IP-Adresse aus erneut eine Bearbeitung der Kontolimite versucht, wobei nun auch das Geburtsdatum korrekt angegeben wurde. (Bl. 19 d.A.).

– Um 13:55:39 Uhr wurde von derselben IP-Adresse aus eine PushTAN-Freigabe für ein temporäres Tageslimit von 50.000,00 € angefordert, die per Gesichtserkennung um 13:56:00 Uhr erteilt wurde (Bl. 19R d.A.).

– Um 13:56:29 Uhr wurde von derselben IP-Adresse aus eine PushTAN-Freigabe für die streitgegenständliche Überweisung über 49.999,99 € angefordert, die per Gesichtserkennung um 13:56:39 Uhr erteilt wurde (Bl. 20 d.A.).

– Um 13:57:16 Uhr wurde von derselben IP-Adresse aus eine PushTAN-Freigabe für eine PIN-Änderung angefordert, die per Gesichtserkennung um 13:57:25 Uhr erteilt wurde (Bl. 20R d.A.).

– Um 14:02:05 Uhr erfolgte ein Login ins Online-Banking per Webbrowser („IF-Portal“) von der IP-Adresse … (Bl. 217 d.A.).

– Um 21:42 Uhr erfolgte ein Login ins Online-Banking per Webbrowser („IF-Portal“), wobei dieses nur in der Übersichtsdarstellung auf Bl. 218 d.A. erwähnt wird und die IP-Adresse nicht aktenkundig ist.

Den Vortrag des Klägers, die Beklagte habe nur einmal „etwas“ in seiner PushTAN-App mittels Gesichtserkennung bestätigt, erachtet das Gericht demgegenüber nicht für glaubhaft, so dass das hierin liegende Bestreiten des Beklagtenvortrags, für die Überweisung wie auch für die Limitänderung sei eine starke Kundenauthentifizierung mit PushTAN gefordert worden, gem. § 138 Abs. 1 ZPO unbeachtlich ist und der Beklagtenvortrag gem. § 138 Abs. 3 ZPO als zugestanden gilt.

Die Pflicht zu vollständigem Vortrag ist Teil der Wahrheitspflicht; das Zurückhalten für die Entscheidung erheblicher Tatsachen steht dem unwahren Vortrag gleich. Sie ist von der Substanziierungslast zu unterscheiden und bedeutet im Rahmen der Wahrheitspflicht, dass die Partei den zur Entscheidung stehenden Lebenssachverhalt in allen voraussichtlich wesentlichen Punkten zu schildern hat (MüKoZPO/Fritsche, 6. Aufl. 2020, ZPO § 138 Rn. 5, m.w.N.).

Vorliegend steht nach der informatorischen Anhörung des Klägers zur gem. § 286 ZPO notwendigen Überzeugung des Senats, die vernünftigen Zweifeln Schweigen gebietet, ohne sie ganz auszuschließen fest, dass der Kläger mindestens zu der Frage, wie viele TAN-Bestätigungen erfolgt sind, unvollständig vorgetragen hat.

Der Kläger ist Rechtsanwalt und Steuerberater in einer namhaften internationalen Sozietät. Aufgrund seiner beruflichen Qualifikationen kann unterstellt werden, dass er in geschäftlichen Dingen grundsätzlich erfahren ist. Nach seiner informatorischen Anhörung verbleiben beim Senat keine Zweifel, dass er auch in der Erledigung seiner persönlichen Bankangelegenheiten unter Nutzung von Telekommunikationsmitteln geschäftlich erfahren ist; er berichtete, dass er Online- und Telefonbanking bei mehreren Instituten nutzt und war auch mit den grundlegenden Funktionen von Banking- bzw. TAN-Apps vertraut.

Zu dem streitgegenständlichen Ereignis gab der Kläger in seiner Anhörung spontan nur wenige Details an, beispielsweise den Namen, unter dem sich der Anrufer vorstellte (welcher allerdings auch in mehreren Schriftsätzen und Entscheidungen aktenkundig ist) und dass im Text zu der TAN „irgendwas von Sicherheit“ gestanden habe. Im Übrigen gab er nur den Kerninhalt des Klägervortrags wieder – Empfang der und Reaktion auf die SMS, Empfang des Anrufs, einmalige Bestätigung per PushTAN-App.

Der Kläger gab an, sehr sicher zu sein, nur einmal etwas per PushTAN bestätigt zu haben und auch seine Online-Banking-Zugangsdaten nicht preisgegeben zu haben.

Die hohe (subjektive) Sicherheit, mit welcher der Kläger diese Angaben machen konnte, steht jedoch in auffälligem Gegensatz zu den Unsicherheiten, die sich bei Befragung des Klägers zu den Details des Ablaufs zeigten. So gab der Kläger zunächst an, er habe die SMS nur in dem Sinne angenommen, dass er sie geöffnet habe. Sodann habe es gehießen, jemand werde ihn anrufen. Auf Vorhalt, dass der SMS-Text (Bl. 139 d.A.) keine Benachrichtigung enthält, dass jemand anrufen werde, gab er zunächst an, er wisse nicht mehr, wo er diese Benachrichtigung erhalten habe. Später nochmals hierzu befragt gab er an, „wenn es jetzt daran hängen soll“ könne es sein, dass er auf den Link in der SMS geklickt habe und sodann die Benachrichtigung erhalten habe, wobei er zu erinnern meinte, in der Benachrichtigung sei auch der Name des Mitarbeiters genannt worden, der anrufen werde. Später, als der Beklagtenvertreter ihm vorhielt, dass es im vorgerichtlichen Anwaltsschreiben der Klägervertreter vom 29.09.2021 (Anlage K4, Bl. 13 ff. d.A.) noch hieß, der Link in der SMS habe auf „eine täuschend echte Internetseite“ der Beklagten verwiesen, äußerte der Kläger, er könne sich an einen „Hinweis im Bank1-Design erinnern, aber an keine Website oder an kein Webportal der Bank1, was angezeigt wurde“.

Dieses portionsweise Offenbaren von Detailinformationen, die sich zudem als unzutreffend (Benachrichtigung über anstehenden Anruf in SMS) oder ungenau (Zusammenhang zwischen SMS und Anruf) erweisen oder im Widerspruch zu dem außergerichtlichen Vorbringen der Klägervertreter stehen, spricht gegen eine Erlebnisfundiertheit dieser Angaben. Naheliegend ist vielmehr, dass der Kläger keine hinreichend deutliche Erinnerung an diesen Vorgang mehr hatte und daher versuchte, sich den wahrscheinlichen Ablauf zusammenzureimen, wobei die Darstellung nicht frei von Widersprüchen blieb.

Wenn allerdings die Erinnerung des Klägers an Nebendetails des Ablaufs so ungenau und unzuverlässig ist, spricht eine sehr hohe Wahrscheinlichkeit dafür, dass die Erinnerung des Klägers an die Anzahl der von ihm abgegebenen PushTAN-Bestätigungen ebenfalls unzuverlässig ist.

Weitere Zweifel an der Zuverlässigkeit der klägerischen Sachdarstellung werden dadurch laut, dass der Kläger seine Sachdarstellung schon im Übergang von vorgerichtlicher Korrespondenz ins Gerichtsverfahren erkennbar korrigiert hat. Seine Schadensmeldung vom 06.09.2021 (Anlage K2, Bl. 10 f. d.A.) spricht noch von einem „Phishing Angriff“ auf sein Konto und das Anwaltsschreiben der Klägervertreter vom 29.09.2021 enthält nach der bereits erwähnten Passage zum Link auf eine „täuschend echte Internetseite“ der Beklagten in der SMS die Einschätzung, die irrtümliche Eingabe der Zugangsdaten auf einer hoch professionell gefälschten Internetseite nach persönlicher Kontaktaufnahme auf die bei der Bank hinterlegte Mobilfunknummer sei allenfalls leicht fahrlässig. Nun soll jedoch zu keinem Zeitpunkt ein erfolgreiches „Phishing“, also ein Abgreifen von Zugangsdaten stattgefunden haben, da der Kläger angibt, solche nicht preisgegeben zu haben, und die Ausführungen im Anwaltsschreiben werden als reine Rechtsausführungen deklariert – was sachlich nicht falsch ist, aber doch die Frage aufwirft, warum diese Rechtsauffassung schon im vorgerichtlichen Bereich relevant gewesen sein soll, wenn doch niemals Zugangsdaten preisgegeben wurden.

Der Kläger hat naturgemäß ein erhebliches Eigeninteresse am Prozessausgang.

Insgesamt erscheinen die Unsicherheiten in der Darstellung des Klägers aus Sicht des Senats als so gravierend, dass nahezu ausgeschlossen erscheint, dass der Kläger noch mit Sicherheit sagen kann, wie oft er auf Veranlassung des Anrufers hin eine PushTAN-Freigabe erteilt hat. Hinzu kommt, dass die 3 von der Beklagten aufgezeichneten PushTAN-Freigaben in einem Zeitraum von weniger als 2 Minuten angefordert und erteilt wurden – die erste Freigabe wurde um 13:55:39 angefordert, die letzte um 13:57:25 erteilt – so dass ohne weiteres glaubhaft ist, dass alle Freigaben während eines einzigen, kurzen Telefongesprächs erfolgten.

bb. Der Kläger hat Pflichten gemäß § 675l Abs. 1 S. 1 BGB verletzt.

Gemäß § 675l Abs. 1 S. 1 BGB hat der Zahlungsdienstnutzer die Pflicht, alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Zum Begriff dieser Sicherheitsmerkmale gehören insbesondere auch Besitzmerkmale i.S.d. § 1 Abs. 24 Nr. 2 ZDG. Die Verwendung einer PushTAN-App, die auf einem hierfür registrierten Mobiltelefon des Zahlungsdienstnutzers installiert ist, stellt ein solches Sicherheitsmerkmal dar, denn über den Besitz an seinem Mobiltelefon hat nur der Zahlungsdienstnutzer Zugriff hierauf (vgl. Grüneberg-Sprau, BGB, 82. Aufl. 2023, § 675v Rn. 10 a.E.).

Ob die AGB der Beklagten wirksam vereinbart wurden, hat das Landgericht zu Recht offengelassen, denn unabhängig, welche Regelungen diese für die Nutzung des Zahlungsauthentifizierungsinstruments im Detail vorsahen, ist unstreitig, dass die Verwendung der PushTAN-App als personalisiertes Sicherheitsmerkmal zwischen den Parteien wirksam vereinbart war. Die Verpflichtung, dieses personalisierte Sicherheitsmerkmal vor unbefugtem Zugriff zu schützen, ergibt sich gem. § 675l Abs. 1 S. 1 BGB unmittelbar aus dem Gesetz.

Gegen diese Verpflichtung hat der Kläger vorliegend verstoßen, indem er auf Aufforderung durch den Anrufer „Herr B“ hin PushTANs bestätigt hat. Hierdurch hat er einem unbekannten Dritten Zugriff auf ein personalisiertes Sicherheitsmerkmal gewährt. In der Bestätigung der PushTAN auf Zuruf des Anrufers hin liegt eine Zugriffsgewährung, denn der Kläger – der nun vorträgt, sich nicht mehr erinnern zu können, was genau er bestätigt hat – hat hierdurch die Kontrolle über das Authentifizierungsinstrument PushTAN faktisch aus der Hand gegeben und in die Hände des Anrufers gelegt.

Bei der Verfügung des Anrufers über das Sicherheitsmerkmal handelte es sich auch um einen unbefugten Zugriff i.S.d. § 675l Abs. 1 S. 1 BGB. Unbefugt ist ein Zugriff Dritter, der durch die vertraglichen Vereinbarungen zur Nutzung des Zahlungsinstruments nicht gedeckt ist (Grüneberg-Grüneberg, BGB, 82. Aufl. 2023, § 675l BGB Rn. 2). Zwar ist grundsätzlich denkbar, dass die vertragliche Vereinbarung es dem Zahlungsdienstnutzer gestattet, persönliche Sicherheitsmerkmale an Dritte weiterzugeben, bspw. die Weitergabe von TAN an einen Vertreter zulässt. (Grüneberg-Grüneberg, BGB, 82. Aufl. 2023, § 675l BGB Rn. 2). Nach Auffassung des Senats hat jedoch die Partei, die sich auf eine ihr günstige Weitergabeberechtigung beruft, deren Vereinbarung zu beweisen. Vorliegend hat der Kläger nicht dargelegt, dass eine Weitergabeberechtigung vereinbart wurde, sondern sich darauf beschränkt, die Einbeziehung der vorgelegten AGB der Beklagten – welche in Ziff. 7.1 (b) eine „Weitergabe von Nachweisen des Besitzelementes (z.B. TAN) […] außerhalb des Online-Banking mündlich (z.B. per Telefon) oder in Textform“ ausdrücklich untersagen, mit Nichtwissen zu bestreiten. Selbst wenn man den Klägervortrag, dass der Anrufer tatsächlich ein Mitarbeiter der Beklagten war, als wahr unterstellen würde, wäre sein durch den Kläger vermittelter Zugriff auf die PushTAN-App demnach unbefugt.

cc. Diese Pflichtverletzung erfolgte auch grob fahrlässig.

Die nach § 675v Abs. 2 BGB erforderliche grobe Fahrlässigkeit erfordert einen in objektiver Hinsicht schweren und in subjektiver Hinsicht schlechthin unentschuldbaren Verstoß gegen die Anforderungen der konkret erforderlichen Sorgfalt. Selbst ein objektiv grober Pflichtenverstoß rechtfertigt für sich noch keinen zwingenden Schluss auf ein entsprechend gesteigertes personales Verschulden (BGH v. 26.01.2016, Az. XI ZR 91/14, BGHZ 208, 331 = NJW 2016, 2024 m. Anm. Knops = VuR 2016, 264 m. Anm. Metz, Rn. 71).

Dem Kläger ist indes grobe Fahrlässigkeit vorzuwerfen. Die Freigabe einer PushTAN auf telefonischen Zuruf hin begründet den Vorwurf der groben Fahrlässigkeit in objektiver und subjektiver Hinsicht. Beim hier streitgegenständlichen PushTAN-Verfahren wird eine TAN stets für eine konkrete Aktion, vor allem eine konkrete Überweisung, erzeugt und diese Aktion wird per App auf dem Mobiltelefon des Kunden angezeigt.

Hieran ändert es auch nichts, dass der Kläger in seiner informatorischen Anhörung angegeben hat, auch das Telefon-Banking der Beklagten zu nutzen und bei Nutzung dieses Telefonbankings auch durch Bankmitarbeiter zur Bestätigung von TANs aufgefordert zu werden. Entscheidender Unterschied hierbei ist, dass die zur Verwendung des Telefonbankings notwendige Telefonverbindung durch den Bankkunden initiiert wird, dieser also die ihm hierzu durch die Bank mitgeteilte Telefonnummer angerufen hat. Zwar sind auch hier Manipulationen denkbar: Beispielsweise könnte die von der Bank angegebene Rufnummer weitergeleitet werden, ohne dass der Kunde dies bemerken kann, oder es könnte ein Betrüger den Arbeitsplatz des Telefonbanking-Mitarbeiters nutzen. Diese Manipulationsmöglichkeiten fallen jedoch klar in die Risikosphäre der Bank, es ist deren Sache, Maßnahmen zu deren Prävention zu ergreifen. Der Bankkunde darf bei bestimmungsgemäßer Nutzung des ihm eröffneten Telefon-Banking-Zugangs demgegenüber darauf vertrauen, dass sein Gesprächspartner auch für die Bank tätig ist. Anders liegt der Sachverhalt, wenn der Bankkunde wie hier durch eine Person angerufen wird, die vorgibt, für die Bank tätig zu sein. Es ist allgemein bekannt, dass bei Telefonanrufen leicht über die Identität des Anrufenden getäuscht werden kann und dass auch technische Möglichkeiten bestehen, um die ggf. auf dem Telefondisplay angezeigte Anrufernummer zu fälschen („Caller-ID-Spoofing“).

Die Beklagte hat glaubhaft dargelegt, dass die Bildschirmanzeige nicht nur die Freigabeaufforderung enthält, sondern dem Kunden auch noch einmal vor Augen geführt werde, für welchen konkreten Vorgang diese TAN geschaffen wurde, etwa für eine Überweisung, und ferner, auf welches Konto und mit welchem Betrag diese Überweisung erfolgen soll. Beachtet ein Kunde diese deutlichen Hinweise nicht und erteilt die Freigabe, ohne auf die Anzeige zu achten, liegt hierin kein bloß einfach fahrlässiger Pflichtenverstoß mehr. Denn bei Nutzung einer App, die explizit der Freigabe von Finanztransaktionen dient, muss es im Allgemeinen jedem einleuchten, dass die Anzeige zur Kenntnis zu nehmen und gründlich zu prüfen ist.

Selbst wenn man den klägerischen Vortrag – den die Beklagte sich hilfsweise zu eigen macht – zugrunde legen würde, dass überhaupt keine konkrete Freigabeaufforderung erfolgte, sondern der Kläger einen nicht näher beschriebenen „atypischen Ablauf“ in der App wahrgenommen habe, würde dies in Gesamtschau mit den unstreitig vorausgegangenen Ereignissen den Vorwurf grober Fahrlässigkeit begründen.

Der Kläger trägt nämlich selbst vor, den Anruf unmittelbar nach einem entsprechenden Hinweis auf einer Webseite erhalten zu haben, auf die er durch den Klick auf den Link : https://bank1-webtool… in einer angeblich von der Beklagten stammenden SMS geraten sei. Es ist nicht nur senatsbekannt, sondern kann keinem verständigen Verbraucher, der Zahlungsdienste nutzt, entgangen sein, dass sämtliche Banken seit Jahren vor so genannten „Phishing“-Nachrichten warnen, die den ersten Eindruck erwecken, von einem Zahlungsdiensteanbieter zu stammen und durch welche die Nutzer von Zahlungsdiensten dazu verleitet werden sollen, persönliche Sicherheitsmerkmale zu offenbaren. Typischerweise führen diese Links beispielsweise auf „gefälschte“ Websites, die den Eindruck erwecken, einen Zugang zum Online-Banking des jeweiligen Anbieters zu eröffnen und die den Nutzer veranlassen sollen, dort seine Zugangsdaten einzugeben, die von den Tätern anschließend abgegriffen werden. Aber auch andere Varianten, wie die der hier vorgetragene Versuch, durch einen nach dem Klicken eines Links gestarteten Telefonanruf an persönliche Sicherheitsmerkmale zu kommen, sind durchaus bekannt und regelmäßig Gegenstand öffentlicher Berichterstattung.

Spätestens seit 2006 wurde das kriminelle Phänomen des Phishings öffentlich breit diskutiert (so auch OLG München Hinweisbeschluss v. 22.9.2022 – 19 U 2204/22, BeckRS 2022, 36075 Rn. 68, beck-online). Auch in der Folgezeit gab es fortlaufend eine Fülle von Presseberichten, wonach sich Kriminelle am Telefon als eine andere Person ausgeben und unter Vorspiegelung falscher Tatsachen den Angerufenen zu finanziellen Transaktionen veranlassen (beispielsweise beim sog. Enkeltrick). Der Kläger musste daher von der Möglichkeit solcher betrügerischen Vorgänge, wenn auch in unterschiedlicher Ausgestaltung, jedenfalls allgemeine Kenntnis haben.

Bei der hier streitgegenständlichen Nachricht handelt es sich offensichtlich um eine „Phishing“-Nachricht und der Kläger hätte diese auch als solche erkennen müssen. Keine entscheidende Bedeutung ist hierbei dem Umstand beizumessen, dass die SMS von einer Nummer zu stammen schien, welche auch die Beklagte für ihre Kundenkommunikation nutzt, da allgemein bekannt ist, dass die in einer SMS enthaltenen Absenderinformationen manipuliert werden können („SMS spoofing“). Ebenfalls nicht entscheidend ist, dass die Beklagte den Kläger in der Vergangenheit schon per SMS kontaktiert und um Rückruf gebeten hatte, um ihm die vorsorgliche Sperrung einer Kreditkarte mitzuteilen, denn diese vorausgegangene Mitteilung enthielt – ebenso wie die von der Beklagten veranlasste Sperrmitteilung, welche der Kläger nach dem streitgegenständlichen Vorgang enthielt – keine Aufforderung, einem Link zu folgen, sondern nur die Bitte nach einem Rückruf auf eine Stadt3er Telefonnummer, die einem unter anderem für die Beklagte tätigen Dienstleister zugeordnet ist. Es ist auch nicht vorgetragen, dass der Kläger durch diesen Dienstleister zur Freigabe persönlicher Sicherheitsmerkmale aufgefordert worden wäre. Bedeutsam ist demgegenüber, dass der Link, dem der Kläger folgen sollte, schon nach seinem äußeren Erscheinungsbild verdächtig ist. Die angegebene Top-Level-Domain in der URL ist „.top“, während Bankwebsites üblicherweise die Top-Level-Domain des Sitzstaates – im Fall von Deutschland „.de“ – oder im Fall von amerikanischen Banken „.com“ verwenden. Selbst bei Verwendung einer „.de“-Domain wäre auffällig gewesen, dass nicht die URL der offiziellen Website der Beklagten – https://www.stadt2-bank1.de – sondern „bank1-webtool“ als URL verwendet wurde.

Erst recht hätte der Kläger überdies misstrauisch werden müssen, wenn er nach dem Klicken auf dem Link einen Anruf erhielt, zur Freigabe persönliche Sicherheitsmerkmale aufgefordert wurde und in der von ihm aktivierten Nutzungsrechts zu aktivierenden App keinen typischen, sondern einen „atypischen“ Ablauf wahrnahm. Spätestens an diesem Punkt hätte die Überlegung ganz nahegelegen, dass er einem Betrugsversuch aufgesessen war.

Indem er diese ganz naheliegende Überlegung nicht anstellte, sondern vielmehr auf Aufforderung durch den Anrufer seine persönlichen Sicherheitsmerkmale freigab, handelte er grob fahrlässig.

Der Kläger hat auch keine sonstigen Umstände dargelegt, die geeignet wären, den sich aus den vorstehenden Umständen aufdrängenden Eindruck seiner groben Fahrlässigkeit zu entkräften. Insbesondere hat er nicht vorgetragen, in der Vergangenheit schon einmal von Mitarbeitern der Beklagten angerufen und zur Preisgabe von Authentifizierungsmerkmalen am Telefon aufgefordert worden zu sein. Die Rückrufbitte, die er im Zusammenhang mit einer Kreditkartensperrung erhalten hatte, unterschied sich von der streitgegenständlichen SMS, weil zum einen um Anruf bei einer überprüfbaren Nummer gebeten wurde und zum anderen keine telefonische Aufforderung zur Offenbarung von Authentifizierungsmerkmalen erfolgte. Insofern handelte es sich bei dem Verhalten des angeblichen Bankmitarbeiters um ein neuartiges, das keineswegs mit dem Prozedere bei vorherigen telefonischen Kontakten zwischen der Klägerin und der Beklagten vergleichbar war. Sähe man dies anders, wäre es einer Bank schlechthin untersagt, Kunden per SMS zu kontaktieren.

dd. Der Beklagten ist kausal infolge der Pflichtverletzung des Klägers ein Schaden entstanden.

Die Beklagte hat eine Vermögenseinbuße erlitten, denn sie sieht sich einem Erstattungsanspruch des Klägers gemäß § 675u S. 2 BGB ausgesetzt.

Dieser Erstattungsanspruch wiederum ist unmittelbar kausal aufgrund der Überweisung über 49.999,99 € entstanden, die am 02.09.2021 vom Konto des Klägers aus vorgenommen wurde.

Die Beklagte hat schlüssig dargelegt und durch Vorlage der Transaktionsprotokolle belegt, dass diese Überweisung ermöglicht wurde, indem der Kläger am 02.09.2021 zweimal seine PushTAN-App aktiviert hat. Unter Zugrundelegung dieses Vortrags war jede der beiden PushTAN-Aktivierungen kausal für den entstandenen Schaden, denn keine der beiden Aktivierungen kann hinweggedacht werden, ohne dass die streitgegenständliche Überweisung entfiele.

Der Schadenseintritt stellt auch eine vorhersehbare Folge der Preisgabe von Sicherheitsmerkmalen dar.

An der Kausalität der klägerischen Pflichtverletzung ändert es nichts, dass für die Überweisung nicht nur zwei PushTAN-Bestätigungen (die wie oben ausgeführt mangels Glaubhaftigkeit des klägerischen Bestreitens als zugestanden gelten), sondern zusätzlich die Eingabe der Online-Banking-Zugangsdaten des Klägers sowie der zusätzlichen Sicherheitsmerkmale für die Limiterhöhung – Kartennummer und Geburtsdatum – erforderlich waren.

In Bezug auf diese Handlungen, die zur Herbeiführung des Schadens notwendig waren, liegt kumulative Kausalität vor: Keine von beiden kann hinweggedacht werden, ohne dass der Erfolg entfiele. Beispiele für kumulative Kausalität aus der Rechtsprechung sind etwa, wenn die Eisenbahn einer Zuckerfabrik einen mit Bleirückständen kontaminierten Waggon zur Verfügung stellt und dieser von der Zuckerfabrik ohne weitere Reinigung zum Transport von Tiernahrung verwendet wird (BGHZ 17, 214, 221 = NJW 1955, 1314, 1315) oder wenn das Opfer an einem Tag vom Ersttäter mit einem Knüppel auf den Kopf geschlagen und am nächsten Tag vom Zweittäter an die Kante einer Musikbox geschleudert wird und dadurch eine Hirnblutung erleidet (BGH VersR 1970, 814, 815; weitere Beispiele nebst Fundstelle bei MüKoBGB/Wagner, 8. Aufl. 2020, BGB § 840 Rn. 2). Haftungsrechtlich ist in solchen Fällen nicht etwa keine der Einzelhandlungen als kausal anzusehen. Vielmehr ordnet § 840 Abs. 1 BGB für derartige Fälle an, dass selbst wenn eine Ursache für sich allein den Schaden nicht herbeigeführt hat, sondern der Schaden letztendlich erst durch das Eingreifen eines Dritten eintritt, alle nebeneinander Handelnden als Gesamtschuldner haften (BGH, NJW, 2882, 2883f.; MüKoBGB/Wagner, 8. Aufl. 2020, BGB § 840 Rn. 2).

Bezogen auf § 675v Abs. 3 Nr. 2 lit. a BGB ergibt sich aus der Anwendung der Haftungsregel aus § 840 Abs. 1 BGB, dass der Zahler den Schaden auch dann „herbeigeführt“ hat, wenn neben seine grob fahrlässige Verletzung einer oder mehrerer Pflichten gemäß § 675l Abs. 1 BGB auch Handlung(en) eines Dritten getreten sein müssen.

Vorliegend bedeutet dies, dass es für die Haftung des Klägers nicht darauf ankommt, dass er seine Zugangsdaten sowie die zusätzlichen Sicherheitsmerkmale selbst gegenüber dem bzw. den unbekannten Tätern offenbart hat oder ob diese auf anderem Wege daran gelangt sind: Für seine volle Haftung gegenüber der Beklagten genügt es, wenn er ein notwendiges Sicherheitmerkmal durch die Freigaben in der PushTAN-App preisgegeben hat

ee. Ein gegebenenfalls anspruchsminderndes Mitverschulden der Beklagten nach § 254 BGB – was grundsätzlich zu berücksichtigen wäre (Herresthal in: Langenbucher/ Bliesener/Spindler, Bankrechts-Kommentar, 3. Aufl., § 675v Rz. 71) – ist von Klageseite nicht schlüssig vorgetragen.

Beim Online-Banking kann ein Mitverschulden der Bank auch aus der mangelnden Systemsicherheit resultieren. Sie muss ein technisch sicheres System nach dem jeweils aktuellen Stand der Technik bereitstellen (Herresthal in: Langenbucher/ Bliesener/Spindler, Bankrechts-Kommentar, 3. Aufl., § 675v BGB Rz. 72; Zetzsche in: Münchener Kommentar zum BGB, 8. Aufl., § 675v BGB Rz. 58; Köbrich, VuR 2015, 9 [13]).

Die Berufung zeigt nicht auf, dass die Beklagte diese Anforderungen nicht erfüllt hat. Soweit der Kläger behauptet, das System der Beklagten leide an Sicherheitsmängeln, hätte er diese konkret zu benennen und aufzuzeigen. Der pauschale Vortrag, die von der Beklagten aufgezeichneten Transaktionsprotokolle seien fehlerhaft und der von ihm wahrgenommene Vorgang – an dessen Einzelheiten er sich an mehreren entscheidenden Stellen nicht erinnern kann – sei ganz anders gewesen, genügt hierfür nicht.

Als Erklärung dafür, dass die Täter im Besitz der Online-Banking-Zugangsdaten des Klägers waren, ist nicht nur ein Datenleck auf Seiten der Beklagten denkbar, das bei einer Bank1 von der Größe der Beklagten wohl schnell öffentlich bekannt geworden wäre. Wahrscheinlicher ist, dass die SMS einen Phishing-Link enthielt und der Kläger dort selbst seine Zugangsdaten preisgegeben hat, was er im streitigen Verfahren allerdings bestreitet. Das gleiche gilt für die zusätzlichen Sicherheitsmerkmale Kartennummer und Geburtsdatum.

Auch der Vortrag des Klägers, ein unbekanntes Gerät namens „IF-Portal“ habe ab dem 29.08.2021 Zugriff auf sein Online-Banking genommen, genügt nicht zum Nachweis von Sicherheitsmängeln, da die Beklagte überzeugend vorgetragen hat, dass es sich hierbei schlicht um Logins aus einem Web-Browser handelt, die auch durch den Kläger selbst erfolgt sein können.

3. Soweit der Kläger seine Nebenforderungen mit der Berufung weiterverfolgt, ist die Berufung aus den gleichen Gründen als unbegründet zurückzuweisen.

III.

Die Kostenentscheidung beruht auf § 91 Abs. 1 ZPO.

Die Entscheidung über die vorläufige Vollstreckbarkeit folgt aus §§ 708 Nr. 10, 711 ZPO.