SecureGo plus App missbraucht: Bank haftet nicht bei grober Fahrlässigkeit der Kundin

1. Die Klage wird abgewiesen.

2. Die Klägerin hat die Kosten des Rechtsstreits zu tragen.

3. Das Urteil ist gegen Sicherheitsleistung in Höhe von 110 % des zu vollstreckenden Betrags vorläufig vollstreckbar.

Tatbestand

Die Klägerin verlangt von der beklagten Bank die Wiedergutschrift von drei nicht von ihr autorisierten Überweisungen.

Die Klägerin unterhält bei der Beklagten ein Girokonto mit der Kontonummer (…). Das Konto verfügt über einen Online-Banking-Zugang („(…) Financepilot“), der von der Klägerin seit vielen Jahren genutzt wird.

Den Zugang zum (…) Financepilot erhält der Nutzer durch Eingabe einer individuellen Kundennummer oder eines selbst vergebenen Aliasnamens sowie einer Persönlichen Identifikationsnummer (PIN).

Die als Anlage B1 vorgelegten „Nutzungsbedingungen für den (…) Financepilot“ (im Folgenden: Nutzungsbedingungen) enthält u.a. folgende Regelung (vgl. AHB 22):

(…)

Die Klägerin nutzte im streitgegenständlichen Zeitraum zur Autorisierung von Aufträgen die SecureGo plus-App, die auf ihrem mobilen Endgerät (Smartphone) mit der Nr. (…) installiert war.

Die Nutzungsbedingungen der Beklagten enthalten u.a. folgende Regelungen (vgl. AHB 23 f.):

(…)

Wegen der übrigen vertraglichen Vereinbarungen wird auf das als Anlage B1 vorgelegte Bedingungswerk der Beklagten, dem die Klägerin zugestimmt hat, Bezug genommen.

Am 10. Juli 2024 erteilte eine unbekannte Person, die sich in das Onlinebanking der Klägerin eingeloggt hatte, um 14.34 Uhr und 14.39 Uhr jeweils einen Auftrag zur Freischaltung eines neuen Endgerätes. Weshalb diese Person die zum Zugang zum (…) Financepilot erforderlichen Daten (Kundennummer der Klägerin und PIN) kannte, ist unbekannt. Zur Freigabe dieser Aufträge erhielt die Klägerin um 14.34 Uhr und 14.39 Uhr über ihre SecureGo plus-App jeweils einen Aktivierungscode „zur Freischaltung eines Endgeräts“ zur übermittelt. Die Aufträge wurden von der Klägerin jeweils nicht freigegeben, so dass die Aktivierungscodes durch Zeitablauf verfielen.

Um 15.51 Uhr erteilte eine unbekannte Person über das Onlinebanking der Klägerin erneut den Auftrag zur Freischaltung eines neuen mobilen Endgerätes. Zur Freigabe dieses Auftrages erhielt die Klägerin um 15.51 Uhr erneut über ihre SecureGo plus-App einen Aktivierungscode „zur Freischaltung eines Endgeräts“ übermittelt. Die Klägerin gab diesen Auftrag über ihre SecureGo plus-App frei. Auf dem Display ihres Smartphones war folgendes zu sehen:

(…)

Durch die Freigabe des Auftrags wurde ein neues mobiles Endgerät mit der Nummer (…) zur Autorisierung von Aufträgen mittels SecureGo plus-App freigeschaltet.

Am selben Abend loggte sich erneut eine unbekannte Person mittels Eingabe der zutreffenden Kundennummer der Klägerin und der richtigen PIN in das Onlinebanking der Klägerin ein und gab – nachdem um 20.15 Uhr und um 20.32 Uhr Beträge von 15.000 EUR und 8.800 EUR von einem Tagesgeldkonto auf das Girokonto übertragen worden waren – folgende Überweisungen zu Lasten des klägerischen Girokontos und jeweils zu Gunsten des IBAN (…) in Auftrag:

(1) am 11.07.2024 um 20.19 Uhr einen Betrag von 15.000 EUR

(2) am 11.07.2024 um 20.20 Uhr einen Betrag von 10.000 EUR

(3) am 11.07.2024 um 20.36 Uhr einen Betrag von 8.500 EUR

Die jeweiligen Überweisungsaufträge wurde jeweils mittels der auf dem neuen mobilen Endgerät (…) installierten SecureGo plus-App freigegeben und im Anschluss von der Beklagten ausgeführt.

Nachdem die Klägerin (erstmals) nach den streitgegenständlichen Überweisungen am 17. Juli 2024 mit der Beklagten Kontakt aufgenommen hatte, wurden erfolglos Überweisungsrückrufe veranlasst.

Die strafrechtlichen Ermittlungen verliefen erfolglos.

Die Klägerin macht u.a. geltend, sie habe am 10. Juli 2024 gegen 14.30 Uhr einen Anruf auf ihrem Mobiltelefon erhalten. Auf ihrem Anrufdisplay sei die Rufnummer +49 (…) und als Standort des Anrufers die Stadt Hamburg angezeigt worden. Der Anrufer habe sich als Mitarbeiter der Sicherheitsabteilung der Beklagten vorgestellt und habe erläutert, die Sicherheitsabteilung des Beklagten befinde sich in Hamburg, weshalb er mit einer entsprechenden Nummer anriefe. Der Anrufer habe der Klägerin mitgeteilt, dass es bereits mehrfach Zugriffversuche auf ihr Girokonto gegeben habe, weshalb aus Sicherheitsgründen eine Sperrung des Kontos erfolgen müsse. Sie werde im Anschluss in den nächsten Tagen postalisch neue Zugangsdaten für ihren Online-Banking-Account erhalten. Der Anrufer habe weiter erklärt, dass sie – die Klägerin – die Kontosperrung über ihre SecureGo plus-App noch freigegeben müsse. Da sie sich zum Zeitpunkt dieses Anrufs mit ihren sieben und zehn Jahre alten Kindern unterwegs beim Einkaufen befunden habe und sehr aufgeregt gewesen sei, sei das Telefonat nach dem Vorschlag des Anrufers, er könne sie später erneut anrufen, beendet worden. Nachdem sie später zu Hause in ihrem Arbeitszimmer gewesen sei, habe der unbekannte Anrufer sie gegen 15.50 Uhr erneut auf ihrem Mobiltelefon angerufen. Der Anrufer habe ihr noch einmal erklärt, dass sie die Kontosperrung über die SecureGo plus-App freigeben müsse. Sie habe dann über ihre SecureGo plus-App einen Aktivierungscode erhalten und habe den angezeigten Auftrag durch Anklicken eines Buttons freigegeben. Da der Anrufer sie die ganze Zeit in ein Gespräch verwickelt habe, habe sie den Auftrag ohne Lesen der in der SecureGo plus-App angezeigten Auftragsdetails und Hinweise freigegeben.

Sie behauptet weiter, sie habe sich am 10. Juli 2024 in einer Ausnahmesituation befunden. Ihr Ehemann sei Anfang des Jahres 2024 nach zweieinhalb jähriger Krankheit gestorben. Mit einem noch von ihrem Ehemann gekauften Wohnwagen hätten sie erstmals nach dem Tod ihres Ehemannes in Urlaub fahren wollen. Während des ersten Anrufes seien sie und ihre Kinder unterwegs gewesen, um letzte Urlaubsvorbereitungen zu treffen. Sie habe befürchtet, dass der geplante Urlaub durch die von dem Anrufer behaupteten Fremdzugriffe auf ihr Konto gefährdet sein könnte.

Sie ist der Ansicht, sie habe gegen die Beklagte einen Anspruch auf Kontoberichtigung. Indem sie den von einem unbekannten Dritten erteilten Auftrag zur Freischaltung eines neuen Endgerätes freigegeben habe, habe sie nicht grob fahrlässig ihre Pflichten gegenüber der Beklagten verletzt.

Die Klägerin beantragt:

1. Die Beklagte wird verurteilt, auf dem Girokonto der Klägerin mit der Kontonummer (…) einen Betrag in Höhe von 33.800 EUR zzgl. Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz wieder gutzuschreiben.

2. Die Beklagte wird verurteilt, die Klägerin von außergerichtlichen Rechtsanwaltskosten der Kanzlei (…) in Höhe von hier von 825,15 EUR freizustellen.

Die Beklagte beantragt, die Klage abzuweisen.

Sie macht im Wesentlichen geltend, die Klägerin habe bei Zugrundlegung ihres Vorbringens keinen Anspruch auf Kontoberichtigung. Die Klägerin habe grob fahrlässig ihre vertraglichen Verpflichtungen verletzt, indem sie den Auftrag zur Freischaltung eines neuen Endgerätes mittels SecureGo plus-App freigegeben habe. Deshalb sei die Klägerin ihr – der Beklagten – zum Ersatz des durch die nicht autorisierten Zahlungsvorgänge entstandenen Schadens verpflichtet. Damit sei der klägerische Ersatzanspruch durch die wegen dieses Schadenersatzanspruchs von ihr – der Beklagten – erklärten Aufrechnung (vgl. Klageerwiderung, dort S. 8 = Bl. 24) erloschen.

Die Klägerin wurde informatorisch angehört. Wegen ihrer Angaben wird auf den Inhalt des Protokolls der mündlichen Verhandlung vom 8. April 2025 (dort S. 2 ff. = Bl. 49 ff.) Bezug genommen.

Wegen des übrigen Parteivorbringens wird auf den Inhalt der gewechselten Schriftsätze sowie auf den Inhalt des Protokolls der mündlichen Verhandlung vom 8. April 2025 Bezug genommen.

Entscheidungsgründe

I.

Die zulässige Klage ist unbegründet. Zwar sind die drei streitgegenständlichen Überweisungen unstreitig nicht von der Klägerin autorisiert worden, so dass die Beklagte zunächst gemäß § 675u Satz 2 BGB verpflichtet war, der Klägerin die Zahlungsbeträge unverzüglich zu erstatten, indem sie das klägerische Girokonto wieder auf den Stand bringt, auf dem es sich ohne die Belastungen durch die nicht autorisierten Zahlungsvorgänge befunden hätte. Der Anspruch der Klägerin ist aber durch die von der Beklagten erklärte Aufrechnung mit einem Schadensersatzanspruch in Höhe der Zahlungsbeträge erloschen (§ 389 BGB). Bei dieser Sachlage steht der Klägerin weder der mit dem Klageantrag Ziff. 1 geltend gemachte Anspruch auf Wiedergutschrift nebst Zinsen noch der als Nebenforderung mit dem Klageantrag Ziff. 2 verfolgte Anspruch auf Freistellung von außergerichtlichen Rechtsanwaltskosten zu.

Die Beklagte hat nach § 675v Abs. 3 Nr. 2 lit. a), b) BGB einen Gegenanspruch auf Schadensersatz gegen die Klägerin in Höhe des klägerischen Erstattungsanspruchs gemäß § 675u Satz 2 BGB.

Gemäß § 675v Abs. 3 Nr. 2 lit. a), b) BGB ist der Zahler – hier die Klägerin – seinem Zahlungsdienstleister – hier der Beklagten – zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler den Schaden herbeigeführt hat durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehrerer Pflichten gemäß § 675l Absatz 1 BGB oder einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments. Diese – letztlich den vertraglichen Vereinbarungen in Ziff. 12.2.1 der Nutzungsbedingungen entsprechenden – Voraussetzungen sind vorliegend erfüllt. Denn die Klägerin hat sowohl grob fahrlässig ihre Pflichten gemäß § 675l Abs. 1 Satz 1 BGB verletzt (1.) als auch daneben die vereinbarten Bedingungen für die Ausgabe und Nutzung des Zahlungsauthentifizierungsinstruments (2.). Der damit aus § 675v Abs. 3 Nr. 2 lit. a), b) BGB folgende Schadensersatzanspruch der Beklagten besteht in Höhe des klageweise geltend gemachten Erstattungsanspruchs (3.).

1. Die Klägerin hat grob fahrlässig (b)) Pflichten gemäß § 675l Abs. 1 Satz 1 BGB (a)) verletzt (§ 675v Abs. 3 Nr. 2 lit. a) BGB).

a) Nach § 675l Abs. 1 Satz 1 BGB ist der Zahler verpflichtet, unmittelbar nach Erhalt eines Zahlungsauthentifizierungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Hiergegen hat die Klägerin verstoßen.

aa) Die vom Zahlungsdienstnutzer nach § 675l Abs. 1 Satz 1 BGB geschuldeten Sicherheitsmaßnahmen beziehen sich auf die Geheimhaltung der personalisierten Sicherheitsmerkmale (vgl. OLG München, Beschluss vom 4. September 2023 – 19 U 1508/23 e –, juris Rn. 70 m.w.N.). Die Pflicht dient der Minimierung der Gefahr nicht autorisierter Nutzung und missbräuchlicher Verwendung von Zahlungsinstrumenten und somit in der Schadensprävention (vgl. OLG München, a.a.O. m.w.N.).

Bei einem Freischaltcode für das SecureGo plus-Verfahren handelt es sich um ein personalisiertes Sicherheitsmerkmal im Sinne des § 675l Abs. 1 Satz 1 BGB (vgl. OLG München, Beschluss vom 4. September 2023 – 19 U 1508/23 e –, juris Rn. 71 m.w.N.). Da zentrale Funktion des personalisierten Sicherheitsmerkmals darin besteht, den Zahlungsdienstnutzer zu authentifizieren und damit als über das Zahlungsinstrument berechtigt Verfügenden auszuweisen (vgl. OLG München, a.a.O., Rn. 74 m.w.N.), sind darunter nicht nur TAN zu verstehen, welche einmal für die Autorisierung einer ganz bestimmten Transaktion eingesetzt werden können, dem Zahlungsdienstnutzer erst im Zusammenhang mit der jeweiligen Transaktion übermittelt werden und nur für eine kurze Zeit gültig sind (OLG München, a.a.O., Rn. 76 m.w.N.), sondern – gleichsam als „Vorstufe“ – auch der Freischaltcode für das SecureGo plus-Verfahren (OLG München, a.a.O., Rn. 77 m.w.N.; BeckOK BGB/Schmalenbach, 73. Ed. 1.2.2025, BGB § 675l Rn. 3).

Unbefugt ist namentlich jede Verwendung, die ohne oder gegen den Willen des Inhabers des Zahlungsinstruments erfolgt und dementsprechend auf die Auslösung eines nicht autorisierten Vorgangs gerichtet ist (vgl. OLG München, Beschluss vom 4. September 2023 – 19 U 1508/23 e –, juris Rn. 80 m.w.N.; MüKoBGB/Jungmann, 9. Aufl. 2023, BGB § 675l Rn. 23 m.w.N.).

bb) Nach diesen allgemeinen Maßstäben hat die Klägerin gegen ihre Pflicht, alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen, verstoßen, indem sie auf telefonische Aufforderung einer ihr unbekannten Person die nicht von ihr beauftragte Freischaltung eines neuen Endgerätes mittels SecureGo plus-App freigab und so die unbekannte Person in die Lage versetzte, später die streitgegenständlichen und nicht von der Klägerin autorisierten Überweisungen freizugeben. Denn die Klägerin hatte allgemein dafür Sorge zu tragen, dass dritte Personen nicht ohne ihr Wissen und Wollen eine Transaktion von ihrem Konto bei der Beklagten durchführen können (vgl. OLG München, Beschluss vom 4. September 2023 – 19 U 1508/23 e –, juris Rn. 81 m.w.N.), so dass auch die Freigabe der Freischaltung eines fremden Endgerätes für das SecureGo plus-Verfahren, mit dem später nicht autorisierte Zahlungsaufträge freigegeben werden, ein Verstoß gegen die Pflicht, alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen, darstellt.

b) Der Verstoß gegen die aus § 675l Abs. 1 Satz 1 BGB folgende Pflicht war grob fahrlässig.

aa) Grob fahrlässig handelt nach ständiger höchstrichterlicher Rechtsprechung, wer die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt, einfachste und naheliegende Überlegungen nicht anstellt und in der konkreten Situation das nicht beachtet, was sich jedem aufdrängt (vgl. nur BGH, Urteil vom 17. Oktober 2000 – XI ZR 42/00 –, juris Rn. 21 m.w.N.; Urteil vom 13. Dezember 2004 – II ZR 17/03 –, juris Rn. 16 m.w.N.; BGH, Urteil vom 26. Januar 2016 – XI ZR 91/14 –, juris Rn. 71 m.w.N.). Dabei bestimmt sich die im Verkehr erforderliche Sorgfalt daran, was von einem durchschnittlichen Angehörigen der jeweiligen Verkehrskreise in der jeweiligen Situation erwartet werden kann, also vorliegend die Sorgfalt eines durchschnittlichen Verwenders des Onlinebankings, bei dem unterstellt werden kann, dass er über einigermaßen gesicherte Grundkenntnisse der Funktionsweise des Internets einschließlich des E-Mail-Verkehrs verfügt und die Berichterstattung über Onlinebanking in groben Zügen verfolgt (OLG München, Beschluss vom 4. September 2023 – 19 U 1508/23 e –, juris Rn. 87 m.w.N.).

Im Rahmen der missbräuchlichen Nutzung von TAN durch Dritte im Rahmen des Onlinebankings rechtfertigt auch ein objektiv grober Pflichtenverstoß für sich noch keinen zwingenden Schluss auf ein entsprechend gesteigertes personales Verschulden (BGH, Urteil vom 26. Januar 2016 – XI ZR 91/14 –, juris Rn. 71 m.w.N.). Indes begründet beispielsweise die telefonische Weitergabe von personalisierten Sicherheitsmerkmalen (vgl. OLG München, Beschluss vom 4. September 2023 – 19 U 1508/23 e –, juris Rn. 91 m.w.N.), TANs (vgl. Hanseatisches Oberlandesgericht in Bremen, Beschluss vom 15. April 2024 – 1 U 47/23 –, juris Rn. 23 m.w.N.) und pushTANs (vgl. Hanseatisches Oberlandesgericht in Bremen, Beschluss vom 30. August 2024 – 1 U 32/24 –, juris Rn. 30 m.w.N.) an einen Dritten regelmäßig einen solchen schweren Sorgfaltspflichtverstoß. Dasselbe gilt, wenn ein Bankkunde einer ihm unbekannten Person am Telefon den Freischaltcode zur Nutzung des aktualisierten SecureGo plus-Verfahrens weitergibt (OLG München, Beschluss vom 4. September 2023 – 19 U 1508/23 e –, juris Rn. 89) oder er sich – nachdem er sich auf die telefonische Installation eines „neuen Sicherheitsprogrammes“ eingelassen hatte – im Anschluss die mittels dieses Programms erzeugte chipTAN an den Anrufer preisgibt (Oberlandesgericht des Landes Sachsen-Anhalt, Urteil vom 22. Mai 2024 – 5 U 11/24 –, juris Rn. 51). Denn es ist generell aufgrund der in den letzten Jahren vielfach durch verschiedene Medien bekannt gewordenen Fälle die Kenntnis als allgemeines Wissen vorauszusetzen, dass Kunden durch betrügerische Anrufe vorgeblicher Bankmitarbeiter zur Preisgabe von Zugangsdaten zum Online-Banking veranlasst werden sollen (Hanseatisches Oberlandesgericht in Bremen, Beschluss vom 15. April 2024 – 1 U 47/23 –, juris Rn. 23 m.w.N.).

bb) Nach diesen allgemeinen Maßstäben ist das Verhalten der Klägerin als grob fahrlässig einzustufen. Auch unter Berücksichtigung aller Umstände des hiesigen Einzelfalls hat sie die für einen Nutzer des Onlinebankings geltende Sorgfalt in besonders schwerem Maße verletzt und dabei einfachste und naheliegende Überlegungen nicht angestellt und das nicht beachtet, was sich jedem aufdrängt, indem sie am 11. Juli 2024 um 15.51 Uhr nach telefonischer Aufforderung einer ihr unbekannten Person den ihr in der SecureGo plus-App angezeigten Aktivierungscode zur Freischaltung eines neuen Endgerätes bestätigt und so den nicht von ihr erteilten Auftrag zur Freischaltung eines neuen Endgerätes zugestimmt hat.

So ist bereits der Umstand, dass die Klägerin den in ihrer SecureGo plus-App angezeigten Aktivierungscode mittels Klicken des entsprechenden Buttons freigegeben hat, ohne sich zuvor durch Lesen der auf dem Display ihres Smartphones angezeigten Auftragsdetails davon zu überzeugen, welchen Auftrag sie freigibt, als grob fahrlässig einzustufen. Wie sie anlässlich ihrer informatorischen Anhörung angegeben hat, war ihr im Zeitpunkt der Freigabe des Aktivierungscodes durch Berichterstattung in den Medien bereits bekannt, dass Bankkunden durch betrügerische Anrufe vorgeblicher Bankmitarbeiter zur Preisgabe von Zugangsdaten zum Online-Banking veranlasst werden sollen, um nicht autorisierte Überweisungen durchzuführen. Hinzukommt, dass sie zuvor – mit Ausnahme des ihr seit Jahren persönlich bekannten Betreuers (…) – zu keinem Zeitpunkt Anrufe von Mitarbeitern der Beklagten bekommen hat. Unter Berücksichtigung dieser Umstände musste es sich auch unter Berücksichtigung der von ihr schriftsätzlich und anlässlich ihrer informatorischen Anhörung geschilderten Ausnahmesituation (Erstanruf während eines Einkaufs erhalten; Vorschlag des gelassen erscheinenden Anrufers, sie kurze Zeit später erneut anzurufen; Stresssituation kurz vor dem ersten Urlaub nach Versterben ihres Ehemannes; Kenntnis des Anrufers über die Höhe des Bankguthabens und die kürzlich erhaltenen Gutschriften aus diversen Lebensversicherungen; Weiterreden des Anrufers während der Freigabe des Auftrags mittels SecureGo plus-App) aufdrängen, dass es sich auch hier um einen Betrugsversuch handeln könnte und sie deshalb den auf dem Display angezeigten Text vor Freigabe des Aktivierungscodes sorgfältig lesen muss. Hätte sie dies getan, hätte sie den deutlich Hinweis „Aktivierungscode zur Freischaltung eines Endgeräts“ ohne Weiteres erkannt und festgestellt, dass sie nicht – wie von dem ihr unbekannten Anrufer behauptet – einem Auftrag zur Kontosperrung zustimmt.

Hinzu kommt, dass die Klägerin vor der Freigabe des Auftrags in der SecureGo plus-App ausreichend Zeit hatte, sich von dem – wie sie es schilderte – Schock zu erholen, in dem sie sich durch die Mitteilung des ihr unbekannten Anrufers, es habe mehrere Zugriffversuche auf ihr Girokonto gegeben, befunden haben will. Denn zwischen dieser Mitteilung anlässlich des ersten Telefonats gegen 14.30 Uhr und der Freigabe des Aktivierungscodes anlässlich des zweiten Telefonats um 15.51 Uhr, während dem sie sich zu Hause in ihrem Arbeitszimmer befand, lagen rund eine Stunde und 20 Minuten. Damit hatte die Klägerin nicht nur ausreichend Zeit, den ersten Schock zu verarbeiten und in Ruhe über den ihr von dem unbekannten Anrufer geschilderten Sachverhalt zu reflektieren. Vielmehr hatte sie zusätzlich auch noch ausreichend Zeit – und die tatsächliche Möglichkeit –, sich zu Hause entweder in ihr Onlinebanking einzuloggen oder den ihr seit Jahren persönlich bekannten Betreuer (…) anzurufen und sich durch diese jedem durchschnittlichen Bankkunden in dieser Situation aufdrängenden Möglichkeiten von der Richtigkeit der Behauptungen des ihr unbekannten Anrufers zu überzeugen.

Nach alldem musste es sich der Klägerin jedenfalls um 15.51 Uhr geradezu aufdrängen, dass hier (möglicherweise) betrügerische Anrufe vorlagen und sie hätte – jedenfalls da sie naheliegende Möglichkeiten zur Überprüfung, ob die bei dem ersten Anruf geschilderten unbefugten Zugriffe auf ihr Girokonto tatsächlich erfolgt waren, nicht ergriffen hatte – keinesfalls den von einem ihr unbekannten Dritten erteilten Auftrag ohne sorgfältiges Lesen des auf dem Display ihres Smartphones angezeigten Textes mittels SecureGo plus-App freigeben dürfen. Bei einer Gesamtbetrachtung sämtlicher Umstände des hiesigen Falles stellt sich das Handeln der Klägerin somit als objektiv schwerwiegender und subjektiv nicht entschuldbarer Verstoß gegen die Anforderungen der im Verkehr erforderlichen Sorgfalt dar. Durch dieses Verhalten wurde leichtfertig dem unbekannten Täter die Möglichkeit zur Generierung einer TAN auf einem mobilen Endgerät eröffnet, um so die streitgegenständlichen Überweisungen zu Lasten des klägerischen Girokontos vorzunehmen (vgl. OLG München, Beschluss vom 4. September 2023 – 19 U 1508/23 e –, juris Rn. 92).

2. Die Klägerin hat grob fahrlässig (b)) die vereinbarten Bedingungen für die Ausgabe und Nutzung des Zahlungsauthentifizierungsinstruments (a)) verletzt (§ 675v Abs. 3 Nr. 2 lit. b) BGB).

a) Gemäß Ziffer 9.1 Abs. 1, Abs. 2 lit. a) der unbestritten in das Vertragsverhältnis einbezogenen Nutzungsbedingungen hatte die Klägerin ihre Authentifizierungsinstrumente vor unbefugtem Zugriff zu schützen. Als solches Authentifizierungsinstrument i.S.v. Ziffer 4 Abs. 2 der Nutzungsbedingungen ist der Aktivierungscode einzustufen (vgl. OLG München, Beschluss vom 4. September 2023 – 19 U 1508/23 e –, juris Rn. 97).

b) Auch diese vertraglichen Bestimmungen hat die Klägerin grob fahrlässig verletzt, indem sie am 11. Juli 2024 um 15.51 Uhr nach telefonischer Aufforderung einer ihr unbekannten Person mittels SecureGo plus-App den nicht von ihr erteilten Auftrag zur Freischaltung eines neuen Endgerätes zugestimmt hat, ohne sich zuvor durch Lesen der auf dem Display ihres Smartphones angezeigten Auftragsdetails davon zu überzeugen, welchen Auftrag sie freigibt. Auf die vorstehenden Ausführungen wird Bezug genommen.

3. Der Anspruch besteht in der Höhe des klageweise geltend gemachten Erstattungsanspruchs nach § 675u Satz 2 BGB.

Ein Verstoß im Sinne des § 675v Abs. 3 BGB löst eine der Höhe nach unbeschränkte Haftung des Zahlers gegenüber seinem Zahlungsdienstleister für den gesamten entstandenen Schaden aus; es gelten die allgemeinen Grundsätze aus §§ 249 ff. BGB (vgl. OLG München, Beschluss vom 4. September 2023 – 19 U 1508/23 e –, juris Rn. 100 m.w.N.). Die Klägerin ist mithin zum Ersatz des durch die nicht autorisierten Zahlungsvorgänge entstandenen Schadens verpflichtet, insbesondere der dadurch an die unbekannten Täter überwiesenen Beträge (vgl. OLG München, a.a.O m.w.N.).

Ein gegebenenfalls anspruchsminderndes Mitverschulden der Beklagten nach § 254 BGB macht die insoweit darlegungs- und beweisbelastete Klägerin nicht geltend.

II.

Die Kostenentscheidung beruht auf § 91 Abs. 1 ZPO, die Entscheidung über die vorläufige Vollstreckbarkeit auf § 709 ZPO.