Landgericht Oldenburg
Urt. v. 18.07.2023, Az.: 3 O 1427/21

Anspruch eines Bankkunden gegen die Bank auf Erstattung von Überweisungsbeträgen vo seinem Girokonto ohne die notwendige Autorisierung

Bibliographie

Gericht
LG Oldenburg
Datum
18.07.2023
Aktenzeichen
3 O 1427/21
Entscheidungsform
Urteil
Referenz
WKRS 2023, 58188
Entscheidungsname
[keine Angabe]
ECLI
[keine Angabe]

Tenor:

  1. 1.

    Die Klage wird abgewiesen.

  2. 2.

    Die Kosten des Rechtsstreits tragen die Kläger.

  3. 3.

    Das Urteil ist gegen Sicherheitsleistung in Höhe von 110 % des jeweils zu vollstreckenden Betrages vorläufig vollstreckbar.

Tatbestand

Die Parteien streiten um die Erstattung von Überweisungsbeträgen vom Konto der Kläger bei der Beklagten an einen Dritten in Höhe von insgesamt 41.069,- €.

Die Kläger sind Kunden der Beklagten, die Klägerin zu 1) ist zugleich Mitarbeiterin der Beklagten. Die Beklagte ist Geschäftsbank, Landesbank und XXX mit Sitz in XXX, XXX und XXX

Die Beklagte führt in ihrer Niederlassung in XXX aufgrund Girovertrages ein Girokonto für die Kläger unter der Kontonummer XXX. Am 04.01.2013 vereinbarten die Kläger mit der XXX, deren Gesamtrechtsnachfolgerin die Beklagte ist, die Rahmenvereinbarung zur Teilnahme am Online-Banking. Hierin ist auszugsweise unter anderem Folgendes geregelt:

"9. Sorgfaltspflichten des Teilnehmers und Schutz des Teilnehmersystems

Der Teilnehmer hat die in den Bedingungen für das Online-Banking vorgeschriebenen Sorgfalts- und Anzeigepflichten einzuhalten und insbesondere die Authentifizierungsinstrumente und personalisierten Sicherheitsmerkmale gemäß Nummer 7, insbesondere PIN und ggfs. TAN, sicher vor dem Zugriff unberechtigter Dritter zu verwahren. Das für das Online-Banking vom Teilnehmer genutzte System ist durch technische Maßnahmen gegen das Ausspähen von Sicherheitsmerkmalen zu sichern. Es ist ein Betriebssystem einzusetzen, das dessen Hersteller für den Zugang zum Internet vorgesehen hat und für das er bei Bedarf Programmänderungen (z.B. Sicherheitspatches) zur Verfügung stellt, die erkannte Sicherheitsrisiken beheben. Die Systemeinstellungen sind entsprechend den Herstellerempfehlungen vorzunehmen. Bietet der Hersteller mehrere Sicherheitsstufen an, ist eine hohe Sicherheitsstufe einzustellen. Zusätzlich ist - soweit technisch verfügbar - das System durch ein Antivirenprogramm zu schützen sowie der Datenverkehr durch ein Firewallprogramm zu kontrollieren. Betriebssystem, Programme, die den Zugang zum Internet vermitteln (z.B. Browser) sowie die installierten Schutzprogramme sind nach den Empfehlungen des jeweiligen Herstellers aktuell sicher zu halten. Weiterführende Hinweise zum Schutz des Teilnehmersystems können den Sicherheitshinweisen der Landesbank entnommen werden, die auf den Internetseiten für das Online-Banking veröffentlicht und aktualisiert werden."

Wegen des weiteren Inhalts der genannten Rahmenvereinbarung zur Teilnahme am Online-Banking wird auf den Inhalt der Anlage B3 Bezug genommen. Die Klägerin zu 1) nutzte zunächst das sog. smsTAN-Verfahren und wechselte im Dezember 2020 zum sog. XXX TAN-Verfahren. Bei diesem erzeugt der Nutzer die für jeden Zahlungsvorgang erforderliche TAN mittels der XXX TAN-App, die er zuvor auf sein Smartphone oder Tablet herunterlädt.

Am 04.03.2021 erhielt die Klägerin zu 1) eine sogenannte Phishing-E-Mail von der Absenderadresse XXX. Diese enthielt unter dem Betreff "Ihre XXX TAN-Registrierung läuft bald ab" folgenden Text:

"Sehr geehrter Kunde,

Aus unseren Kundenunterlagen geht hervor, dass Ihre XXX TAN App-Registrierung bald abläuft. Aus Sicherheitsgründen müssen Sie ihre XXX TAN-verbindung regelmäßig aktualiseren. Nach der Aktualisierung können Sie wieder problemlos und sicher ihre TANs empfangen. Ihr XXX TAN App wird nach dem 06.03.2021 gesperrt und Sie müssen den Registrierungsvorgang erneut durchführen.

Wie erneuere ich meine XXX TAN App-Registrierung?

Erneuern Sie Ihre XXX TAN App sofort, indem Sie den QR-Code rechts mit der Kamera Ihres Smartphones scannen. Gehen Sie dann die Schritte durch und schließen Sie die Registrierung ab. Sie können auch hier klicken!

Wir vertrauen darauf, dass wir Sie ausreichend informiert haben.

Mit freundlichen Grüßen

Ihre XXX"

Wegen der weiteren Einzelheiten wird auf die E-Mail in der beigezogenen Ermittlungsakte der Staatsanwaltschaft Oldenburg, dort Blatt 4, verwiesen.

Die Klägerin zu 1) öffnete die E-Mail und klickte auf den dort angegebenen Link. Im Folgenden öffnete sich eine Website, die im XXX-Design gehalten war. Die E-Mail und die Webseite wurden allerdings nicht durch die Beklagte, sondern durch unbekannte Täter versandt bzw. eingerichtet und verwaltet. Auf dieser gefälschten Website gab die Klägerin zu 1) sodann - jedenfalls - ihr Geburtsdatum sowie die Kartennummer ihrer Girokarte ein. Im weiteren Verlauf erhielt die Klägerin zu 1) um 15:08 Uhr eine SMS auf ihr Mobiltelefon mit einem Freischalt-Link zur Einrichtung des XXX TAN-Verfahrens.

Nachdem eine Neuregistrierung in der XXX TAN-App stattgefunden hatte, kam es zu einer Erhöhung des Tageslimits und Umbuchungen. Schließlich erfolgten zulasten des klägerischen Girokontos zwei Überweisungen in Höhe von 31.170,00 € sowie 9.999,00 € an ein Konto der XXX mit der XXX

Am 05.03.2021 informierte die Klägerin zu 1) die Beklagte telefonisch über die Zahlungsvorgänge.

Zwischen den Prozessbevollmächtigten der Parteien erfolgte vorgerichtliche Korrespondenz, in welcher die Kläger der Beklagten mit Schreiben vom 16.03.2021 fruchtlos eine Frist zur Wiedergutschrift der streitgegenständlichen Verfügungen taggleich auf ihr Konto bis zum 30.03.2021 setzten.

Die Staatsanwaltschaft Oldenburg leitete unter dem Aktenzeichen 380 UJs 18497/21 ein Ermittlungsverfahren ein.

Die Kläger sind der Auffassung, die Beklagte sei zur Erstattung der Verfügungen im Online-Banking verpflichtet. Sie behaupten, die streitgegenständlichen Überweisungen seien von ihnen nicht in Auftrag gegeben, mithin nicht autorisiert gewesen, sondern durch unbekannte Täter ausgelöst worden.

Weiter sind sie der Ansicht, eine grob fahrlässige Pflichtverletzung ihrerseits, die einen Schadensersatzanspruch der Beklagten begründen könnte, liege nicht vor. Dazu behaupten sie, die Klägerin zu 1) habe zu keinem Zeitpunkt Zweifel daran gehegt, dass die E-Mail vom 04.03.2021 von der Beklagten stamme und ebenso wie die von ihr auf der Website ausgefüllte Maske ein Original, gefertigt durch Mitarbeiter der Beklagten, gewesen sei. Sie habe aufgrund der Gestaltung der E-Mail und der Website davon ausgehen dürfen, dass diese von der Beklagten stammten. Aufgrund der Aufmachung habe kein Anhaltspunkt dafür bestanden, dass es sich um eine betrügerische E-Mail und Website handle. Auch der Absender der E-Mail - die XXX - habe kein Misstrauen begründen müssen. Bei der Website habe es sich um einen exakten Nachbau der XXX-Website gehandelt. Überdies bestreiten sie, dass die Klägerin zu 1) auf der Website auch ihre Anmeldedaten eingegeben habe. Sie bestreiten mit Nichtwissen, dass technisch ausgeschlossen sei, dass die Täter die Anmeldedaten der Klägerin zu 1) anderweitig als durch Weitergabe durch die Klägerin zu 1) erlangt hätten.

Weiter bestreiten sie, dass die Klägerin zu 1) die Registrierungs-SMS für das XXX TAN-Verfahren bzw. den darin enthaltenen Code weitergegeben habe.

Sie bestreiten mit Nichtwissen, dass eine auf den streitgegenständlichen Vorfall zutreffende Sicherheitswarnung auf der Homepage der Beklagten veröffentlicht gewesen sei. Sie selbst hätten ordnungsgemäße Sicherheitsvorkehrungen gegen den Zugriff Dritter getroffen; die Hard- und Software sei ordnungsgemäß gegen den Zugriff Dritter gesichert.

Die Kläger beantragen,

  1. 1.

    die Beklagte zu verurteilen, an sie als Gesamtgläubiger 41.069,00 € nebst Zinsen i.H.v. 5 Prozentpunkten über dem jeweiligen Basiszinssatz p.a. seit dem 09.03.2021 zu zahlen und ihr Konto mit der Kontonummer XXX auf den Stand zu bringen, auf dem es sich ohne die Belastungen vom 04.03.2021 i.H.v. 9.999,00 € sowie 31.170,00 € befunden hätte und

  2. 2.

    an sie als Gesamtgläubiger zum Ersatz vorgerichtlicher Rechtsanwaltskosten i.H.v. 2.304,79 € zuzüglich Zinsen i.H.v. 5 Prozentpunkten über dem jeweiligen Basiszinssatz p.a. seit Rechtshängigkeit zu zahlen.

Die Beklagte beantragt,

die Klage abzuweisen.

Die Beklagte ist der Auffassung, den Klägern stünde kein Anspruch gegen sie zu. Sie bestreitet, dass es sich bei den streitgegenständlichen Überweisungen um nicht autorisierte Zahlungsvorgänge gehandelt habe.

Weiter ist sie der Ansicht, dass ihr jedenfalls ein Gegenanspruch zustehe, weil die Kläger grob fahrlässig die Verfügungen und Überweisungen der Täter verursacht hätten. Sie behauptet, dass die Klägerin zu 1) habe erkennen müssen, dass es sich bei der streitgegenständlichen E-Mail um eine Phishing-E-Mail handele. Der Klägerin zu 1) habe bereits anhand der Aufmachung der E-Mail auffallen müssen, dass es sich - was unstreitig ist - nicht um eine E-Mail der Beklagten handele, weil die E-Mail neutral formuliert und nicht personalisiert sei und hierauf auch der in der E-Mail angegebene Absender "XXX @webapps.net" hinweise. Zudem habe die E-Mail keinen Bezug zu ihr gehabt. Logo und Design der E-Mail habe Misstrauen hervorrufen müssen. Die Klägerin zu 1) habe nach Öffnen des in der E-Mail enthaltenen Links ihre persönlichen Daten in die Maske eingeben. So habe die Klägerin zu 1) neben ihrem Geburtsdatum und der Kartennummer ihrer Girokarte auch die Zugangsdaten für das Onlinebanking, d.h. Anmeldename und PIN, preisgegeben. Die Anmeldungen seien sodann mittels der regulären Anmeldedaten der Klägerin zu 1) erfolgt. Es sei technisch ausgeschlossen, dass die Täter anders als durch Weitergabe seitens der Klägerin zu 1) an die Anmeldedaten gelangt seien.

Weiter behauptet sie, dass die Klägerin zu 1) die Registrierungs-SMS für das XXX TAN-Verfahren weitergeleitet oder den in der SMS enthaltenen Registrierungscode händisch eingegeben oder anderweitig den Tätern zugänglich gemacht habe. Kurz nach Versand der SMS, um 15:11 Uhr, sei ein neues Mobilfunkgerät für die XXX TAN-App freigeschaltet worden. Die streitgegenständlichen Überweisungen seien jeweils mittels einer über die XXX TAN-App generierten TAN autorisiert worden.

Bereits am 16.02.2021 sei, einsehbar über ihre Homepage, eine Sicherheitswarnung, die auf eine solche betrügerische Methode hinweist, veröffentlicht worden. Das von ihr angebotene Online-Banking entspreche dem Stand der Technik. Das XXX TAN-Verfahren sei sicher. Es seien auch keine realistischen Angriffsszenarien bekannt, die das Verfahren aushebeln könnten.

Wegen der weiteren Einzelheiten des Sach- und Streitstands wird auf die gewechselten Schriftsätze der Parteien nebst Anlagen sowie auf die Sitzungsprotokolle vom 02.11.2021, 01.03.2022 und 17.06.2023 (BI. 53 ff. Bd. I, Bl. 136 ff. Bd. I, Bl. 80 ff. Bd. II d.A.) Bezug genommen.

Die Kammer hat Beweis erhoben durch Vernehmung der Zeugen XXX, XXX, XXX und XXX. Für das Ergebnis der Beweisaufnahme wird auf die Protokolle der mündlichen Verhandlungen vom 01.03.2022 und 17.06.2023 Bezug genommen. Die Strafakte 380 UJs 18497/21 ist beigezogen worden und Gegenstand der Verhandlung gewesen. Die Kammer hat ferner Beweis erhoben durch Einholung eines Sachverständigengutachtens. Diesbezüglich wird auf das schriftliche Sachverständigengutachten des Sachverständigen XXX vom 16.10.2022, auf sein Ergänzungsgutachten vom 31.01.2023 sowie hinsichtlich der mündlichen Vernehmung des Sachverständigen auf das Protokoll der mündlichen Verhandlung vom 17.06.2023 Bezug genommen.

Entscheidungsgründe

Die zulässige Klage ist nicht begründet.

I.

Die Kläger haben keinen Anspruch auf Zahlung von 41.069,- € gegen die Beklagte.

1.

Den Klägern steht zwar grundsätzlich gegen die Beklagte einen Anspruch aus § 675u Satz 2 BGB auf Erstattung der streitgegenständlichen Zahlungsbeträge in Höhe von insgesamt 41.069,- € zu, da die streitgegenständlichen Überweisungen nicht autorisiert waren.

Zwischen den Parteien besteht ein Geschäftsbesorgungsvertrag über die Erbringung von Zahlungsdiensten in Form eines Zahlungsdiensterahmenvertrages gemäß §§ 675c Abs. 1, 675f Abs. 2 Satz 1 BGB.

Im Fall einer nicht autorisierten Überweisung hat der Zahlungsdienstleister nach § 675u Satz 2 BGB dem Zahler den Zahlungsbetrag unverzüglich zu erstatten, indem er das Zahlungskonto wieder auf den Stand bringt, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.

Die streitgegenständlichen Überweisungen sowie die im Vorfeld erfolgte Erhöhung des Tageslimits waren nicht autorisiert. Sie wurden durch die Kläger nicht veranlasst, sondern durch die unbekannten Täter ohne ihr Wissen und Wollen ausgelöst.

Dass die Überweisungen durch die Kläger nicht autorisiert worden sind, hat die Beklagte zwar zunächst bestritten. Aufgrund der Angaben der Klägerin zu 1) im Rahmen ihrer persönlichen Anhörung sowie des Umstands, dass das Zielkonto laut Ermittlungsakte (vgl. Bl. 25 der beigezogenen Ermittlungsakte) aus anderen Betrugsverfahren bekannt ist, hat die Kammer keinen Zweifel daran, dass die Überweisungen nicht autorisiert waren. Auf die Frage der Darlegungs- und Beweislast für die Autorisierung der Überweisungen kommt es nicht an.

2.

Die Beklagte hat gegen die Kläger jedoch einen Schadenersatzanspruch auf Rückbelastung in gleicher Höhe gemäß § 675v Abs. 3 Nr. 2a) BGB, den sie den Klägern erfolgreich im Wege des dolo-agit Einwandes nach § 242 BGB entgegenhalten kann. Denn nach § 675v Abs. 3 Nr. 2a) BGB ist der Zahler dem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn er ihn durch grob fahrlässige Verletzung einer Pflicht aus § 675l BGB herbeigeführt hat.

Die Klägerin zu 1) hat zur Überzeugung der Kammer vorliegend grob fahrlässig Pflichten gemäß §§ 675v Abs. 3 Nr. 2a) i.V.m. 675l Abs. 1 BGB verletzt. Dieses Verhalten muss sich der Kläger zu 2) gem. § 278 BGB zurechnen lassen.

a)

Eine Pflichtverletzung in Sinne von §§ 675v Abs. 3 Nr. 2a) i.V.m. 675l Abs. 1 BGB seitens der Klägerin zu 1) liegt vor.

aa)

Zu den Pflichten, die der Zahler verletzen kann, zählen sowohl die gesetzlichen Pflichten aus § 675l Abs. 1 BGB als auch alle wirksam vertraglich vereinbarten Sorgfaltspflichten im Hinblick auf das Zahlungsinstrument und die personalisierten Sicherheitsmerkmale (vgl. Zetzsche, in MüKo BGB, 9. Aufl. 2023, § 675v Rn. 44 f.). Die gesetzlichen Pflichten des § 675l BGB sehen vor, dass der Zahlungsdienstnutzer alle zumutbaren Vorkehrungen zu treffen hat, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Personalisierte Sicherheitsmerkmale sind gemäß § 1 Abs. 25 ZAG - in der hier maßgeblichen, vom 29.12.2020 bis 30.06.2021 geltenden Fassung - personalisierte Merkmale, die der Zahlungsdienstleister einem Zahlungsdienstnutzer zum Zwecke der Authentifizierung bereitstellt. Darunter fallen insbesondere die PIN, mit der sich der Kunde unter anderem beim Online-Banking legitimiert (Casper/Terlau, ZAG, 3. Aufl., § 1 Rn. 530).

Der Inhalt der Sorgfaltspflicht des § 675l Abs. 1 BGB fordert vom Kunden, alle zumutbaren Vorkehrungen zum Schutz gegen unbefugten Zugriff zu treffen. So hat der Zahlungsdienstnutzer allgemein dafür Sorge zu tragen, dass nicht dritte Personen die unkontrollierte Zugriffsmöglichkeit auf sein Online-Banking mittels Zugangsdaten und TAN bekommen und so ohne sein Wissen und Wollen Transaktionen von seinem Konto bei dem Zahlungsdienstleister durchführen können. Speziell beim Online-Banking zählt damit zu den Sorgfaltspflichten die Vorbeugung vor einem Missbrauch von Anmeldenamen und PIN und/oder TAN. So stellt unter anderem die Mitteilung von Anmeldedaten an Dritte eine Sorgfaltspflichtverletzung dar. Der Zahlungsdienstnutzer muss unter Zugrundelegung des typischen Wissens und der gebotenen Sorgfalt zudem wissen, dass die vollständige PIN sowie entsprechende Legitimationskennzeichen von den Zahlungsdienstleistern oder ihren Mitarbeitern weder per E-Mail, SMS, am Telefon oder in sonstiger Weise abgefragt werden und es zu den ihn treffenden Sorgfaltspflichten gehört, diese sensiblen Daten nicht über die vorgenannten Kanäle preiszugeben (vgl. LG Essen, BeckRS 2015, 1693) Der Inhalt der gesetzlichen Sorgfaltspflichten des § 675l Abs. 1 BGB ist zudem der vertraglichen Ausgestaltung durch die Parteien zugänglich (vgl. Hofmann, in BeckOGK BGB, 1.9.2022, § 675l Rn. 12 ff.; Schmalenbach, in BeckOK BGB, 1.5.2023, § 675l Rn. 8).

bb)

Aufgrund der durchgeführten Beweisaufnahme sieht die Kammer einen Verstoß der Klägerin zu 1) gegen diese sich aus § 675l Abs. 1 BGB oder aus Ziff. 9 Satz 1 der zwischen den Parteien am 04.01.2013 geschlossenen Rahmenvereinbarung zur Teilnahme am Online-Banking (Anlage B3) als erwiesen an. Die Klägerin zu 1) hat nach der Überzeugung der Kammer auf den Link in der streitgegenständlichen E-Mail geklickt und auf der sich sodann geöffneten gefälschten Website neben ihrem Geburtsdatum und ihrer Girokartennummer auch ihre Anmeldedaten zum Online-Banking in Form ihres Anmeldenamens sowie der PIN preisgegeben. Vor diesem Hintergrund kann die zwischen Parteien streitige Frage, ob die Bedingungen für das Online-Banking in der Fassung aus Oktober 2009 (Anlage B5) zwischen den Parteien Geltung haben oder die Bedingungen für das Online-Banking aus September 2019 (Anlage B2) wirksam vereinbart worden sind, dahingestellt bleiben, weil bereits die Rahmenvereinbarung zur Teilnahme am Online-Banking vom 04.01.2013 entsprechende Sorgfaltspflichten hinsichtlich der Preisgabe der Anmeldedaten statuiert.

Nach dem in § 286 Abs. 1 Satz 1 ZPO normierten Grundsatz der freien Beweiswürdigung ist ein Beweis erbracht, wenn das Gericht unter Berücksichtigung des gesamten Ergebnisses der Beweisaufnahme und der sonstigen Wahrnehmungen in der mündlichen Verhandlung von der Richtigkeit einer Tatsachenbehauptung überzeugt ist und alle vernünftigen Zweifel ausgeräumt sind. Die in § 286 ZPO genannte Überzeugung erfordert dabei keine absolute Gewissheit und auch keine "an Sicherheit grenzende Wahrscheinlichkeit", es reicht vielmehr ein für das praktische Leben brauchbarer Grad an Gewissheit aus, der vernünftigen Zweifeln Schweigen gebietet (st. Rspr., vgl. nur BGH, NJW 2014, 71 [BGH 16.04.2013 - VI ZR 44/12] Rn. 8; Thomas/Putzo, ZPO, 43. Aufl. 2022, § 286 Rn. 2 ff.; Prütting, in MüKo, ZPO, 6. Aufl. 2020, § 286 Rn. 35 f.).

Die Klägerin zu 1) hat in ihrer persönlichen Anhörung ihrerseits nicht ausgeschlossen, über ihr Geburtsdatum und die Kartennummer ihrer Girokarte hinaus weitere Daten preisgegeben zu haben, nachdem sie auf den Link geklickt hat und auf die vermeintliche Website XXX der weitergeleitet worden ist. So hat die Klägerin zu 1) zwar zunächst angegeben, dass sie lediglich ihr Geburtsdatum und die Kartennummer ihrer Girokarte auf die Website eingegeben habe. Auf Nachfrage der Kammer, ob sie sich sicher sei, dass sie nur diese beiden Daten eingegeben hat, gab die Klägerin zu 1) an, dass sie davon ausgehe, da sie dies auch in ihrer damaligen Stellungnahme so angegeben hätte. Sie könne jedoch nicht mehr zu hundert Prozent sagen, dass sie ausschließlich diese beiden Daten eingegeben hat.

Der Sachverständige hat sowohl in seinem Gutachten als auch in seiner Anhörung ausgeführt, dass die Klägerin zu 1) durch ihre Reaktion auf die Phishing-E-Mail die Überweisungen durch die unbekannten Täter ermöglicht habe. Es sei weder technisch möglich noch plausibel, dass die Betrugstäter die Überweisungen auf die dokumentierte Art und Weise allein mit den unstreitig preisgegebenen Daten, und zwar dem Geburtsdatum und der Kartennummer der Girokarte der Klägerin zu 1), vorgenommen haben könnten. Die Betrugstäter hätten für die Überweisungen und die im Vorfeld erfolgte Änderung des Limits Anmeldenamen und PIN für das Online-Banking sowie Geburtsdatum und Girokartennummer als zusätzliche Sicherheitsabfragen benötigt. Insgesamt gebe es keine andere Erklärung für die Überweisungen, als dass die Klägerin zu 1) die für die Überweisungen erforderlichen Daten - mithin auch ihre Anmeldedaten in Form von Anmeldenamen und PIN - an die Betrugstäter weitergeleitet habe. Hinweise auf eine technische Störung oder ein Datenleck bei der Beklagten lägen nicht vor. Es sei technisch ausgeschlossen und unplausibel, dass die Täter die für die Überweisungen erforderlichen Daten, so auch den Anmeldenamen und die PIN, anderweitig als durch eine Weiterleitung durch die Klägerin zu 1) erlangt hätten.

Das Gericht folgt den überzeugenden schriftlichen und mündlichen Ausführungen des Sachverständigen. Als öffentlich bestellter und vereidigter Sachverständiger mit dem Bestellungstenor "Systeme und Anwendungen der Informationsverarbeitung, insbesondere IT-Sicherheit" ist der Sachverständige für die vorliegende Begutachtung qualifiziert. Das Gutachten ist auch in sich schlüssig und nachvollziehbar. Insbesondere ist der Sachverständige von zutreffenden Tatsachen ausgegangen und hat die daraus gezogenen Konsequenzen logisch und widerspruchsfrei erläutert.

Darüber hinaus haben auch die Zeugen XXX, XXX und XXX jeweils geschildert, über welche Daten die unbekannten Täter verfügt haben müssen, um die streitgegenständlichen Überweisungen auszulösen.

Der Zeuge XXX, ehemaliger Mitarbeiter der Beklagten im Produktmanagement für das Online-Banking und in dieser Funktion mit den hier streitgegenständlichen Überweisungen befasst, hat bekundet, dass er aufgrund der Stellungnahme der Klägerin zu 1) erfahren habe, dass diese ihr Geburtsdatum und die Kartennummer ihrer Girokarte eingegeben habe. Hierbei handele es sich um die entscheidenden Daten für die Registrierung der XXX TAN-App. Hinsichtlich der Anmeldedaten zum Online-Banking könne er lediglich Vermutungen anstellen; es lägen zwar Protokolle aus dem Rechenzentrum vor, diese könne er jedoch nicht mehr einsehen, da er sich im Ruhestand befinde.

Der Zeuge XXX, ebenfalls Mitarbeiter der Beklagten im Produktmanagement für das Online-Banking, hat bekundet, dass die hinter solchen Phishing-Angriffen stehenden Täter den Anmeldenamen und die PIN benötigen würden, um Zugriff auf das Konto zu erlangen und die Kontostände ausspähen zu können. In einem weiteren Schritt benötigen die Täter sodann Zugriff auf die XXX TAN-App, um Überweisungen auslösen zu können. Für Maßnahmen wie die Registrierung der XXX TAN-App oder des Hochsetzens des Kontolimits seien die Täter zudem auf weitere Daten in Form des Geburtsdatums und der Kartennummer angewiesen. Für die vorliegend erfolgte Rücksetzung des XXX TAN-Verfahrens seien neben dem Geburtsdatum und der Kartennummer auch der Anmeldename und die PIN sowie der Inhalt der Registrierungs-SMS erforderlich. Auf welchem Wege die Täter vorliegend an Anmeldename und PIN der Kläger gelangt seien könnten, könne er nur mutmaßen. Allerdings hätten die Registrierung der XXX TAN-App und die Überweisungen nicht erfolgen können, wenn sich die Täter nicht mittels der Anmeldedaten der Kläger Zugang verschafft hätten.

Der Zeuge XXX, der ebenfalls bei der Beklagten im Produktmanagement für das Online-Banking tätig ist, hat bekundet, dass vorliegend das Limit über die "Self-Service"Funktion hochgesetzt worden sei. Dies könne nur erfolgen, wenn anhand der Anmeldedaten, d.h. Anmeldename und PIN, zunächst Zugang zum Online-Banking erlangt und sodann mittels weiterer Daten - hier des Geburtsdatums und der Girokartennummer - das Kontolimit hochgesetzt werde. Die Täter müssen alle diese Daten gekannt haben, da ansonsten die hier gegenständlichen Handlungen und Überweisungen nicht durchführbar gewesen seien.

Die Kammer hat vorliegend berücksichtigt, dass alle drei Zeugen Mitarbeiter der Beklagten waren bzw. sind und damit im Lager der Beklagten stehen. Alle drei Zeugen haben jedoch im Rahmen ihrer Vernehmung frei angegeben, wenn sie zu den konkreten Vorgängen keine Angaben machen konnten oder sie lediglich Vermutungen hinsichtlich des tatsächlichen Geschehens äußern konnten. Gründe, an der Glaubwürdigkeit der Zeugen zu zweifeln, haben sich aufgrund des persönlichen Eindrucks der Kammer im Rahmen der Beweisaufnahme nicht ergeben. Die Zeugen haben sich jeweils sachlich geäußert. Es waren auch keine Anhaltspunkte dafür, dass die Zeugen hinsichtlich des Inhalts ihrer Aussagen beeinflusst worden waren, ersichtlich. Vielmehr waren alle drei Zeugen um eine vollständige und objektive Aussage bemüht, wobei sie zugleich Verständnis und Bedauern für die Situation der Klägerin zu 1) äußerten.

Soweit die Beklagte behauptet hat, die Klägerin zu 1) habe in einem Telefonat mit ihrer Kundenberaterin, der Zeugin XXX, eingeräumt, auch ihren Anmeldenamen und die PIN eingegeben zu haben, hat sich dies im Rahmen der Vernehmung der Zeugin XXX nicht bestätigt. Die Zeugin XXX konnte insofern keine genaueren Angaben tätigen, sodass ihre Bekundung in dieser Hinsicht unergiebig war. So hat die Zeugin XXX bekundet, die Klägerin zu 1) habe sie am 05.03.2022 angerufen und mitgeteilt, dass von ihrem Konto Gelder verschwunden seien. Zuvor habe die Klägerin bereits am 04.03.2021 erfolglos versucht, sie wegen einer erhaltenen E-Mail zu erreichen. An das Telefongespräch vom 05.03.2021 könne sie sich konkret jedoch nicht mehr erinnern. Welche Daten die Klägerin zu 1) auf den Link hin eingegeben habe, könne sie nicht sagen. An den diesbezüglichen Inhalt des Telefonats erinnere sie sich nicht.

b)

Die Klägerin handelte vorliegend auch grob fahrlässig.

aa)

Grob fahrlässig handelt, wer die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt, einfachste und naheliegende Überlegungen nicht anstellt und in der konkreten Situation das nicht beachtet, was sich jedem aufdrängt (stRspr., z.B. BGH, Urteil v. 13.12.2004, Az. Il ZR 17/03). Dabei orientiert sich die im Verkehr erforderliche Sorgfalt daran, was von einem durchschnittlichen Angehörigen des jeweiligen Verkehrskreises in der jeweiligen Situation erwartet werden kann. So setzt auch die nach § 675v Abs. 3 Nr. 2 BGB erforderliche grobe Fahrlässigkeit einen in objektiver Hinsicht schweren und in subjektiver Hinsicht schlechthin unentschuldbaren Verstoß gegen die Anforderungen der konkret erforderlichen Sorgfalt voraus (vgl. BGH NJW 2016, 2024 [BGH 26.01.2016 - XI ZR 91/14], Rn. 71).

Der Begriff des Phishings bezeichnet die Täuschung eines Nutzers von Internetdiensten, um diesen zur Mitteilung vertraulicher Daten an einen Nichtberechtigten zu verleiten. Zu diesem Zwecke wird der Nutzer typischerweise auf eine Internetseite geleitet, die einen vertrauenswürdigen Betreiber vortäuscht, sodass der Nutzer arglos geschützte Daten preisgibt. Im Rahmen des Phishings nutzen die Täter die "Schwachstelle Mensch" aus, um auf diese Art und Weise personalisierte Sicherheitsmerkmale auszuspähen und in der Folge Zahlungen auszulösen (vgl. Keßler, in Ebenroth/Boujong/Joost/Strohn, HGB, 4. Aufl. 2020, § 675l BGB Rn. 7).

Ob der Zahlungsdienstnutzer erkennen muss, dass konkret ein Phishing-Angriff stattfindet, ist stets Frage des Einzelfalls. Grundsätzlich kann von einem Zahlungsdienstnutzer, der sich moderner Formen des Bankings bedient, verlangt werden, dass er Grundkenntnisse von den Gefahren durch Manipulationen des Online-Bankings hat und in der Lage ist, bei Auftreten von konkreten Verdachtsmomenten angemessen zu reagieren (vgl. Jungmann, in MüKo BGB, 9. Aufl. 2023, § 675l Rn. 49).

Für den Fall, dass der Phishing-Angriff über eine Internetseite, die der Original-Webseite des Zahlungsdienstleisters originalgetreu nachgebildet ist, erfolgt, kann der Vorwurf sorgfaltswidrigen Verhaltens unter anderem darauf gestützt werden, dass der Zahlungsdienstnutzer auf unübliche Anforderungen eingeht, indem er beispielsweise einem ungewöhnlichen Login-Verfahren folgt. Maßgeblich ist zudem, ob die durch den Missbrauch veranlassten Abweichungen von den üblichen Vorgängen im Rahmen des Online-Bankings so signifikant sind, dass sie bei zumutbarer Aufmerksamkeit den Verdacht regelwidriger Ereignisse begründen konnten und der Zahlungsdienstleister in den Vertragsvereinbarungen die üblichen Vorgänge zureichend erläutert und vor unüblichen Vorgängen ausreichend gewarnt hat. Darüber hinaus ist auch dann von grober Fahrlässigkeit auszugehen, wenn sich jedem Zahlungsdienstnutzer in der entsprechenden Situation aufdrängen musste, dass es sich nicht um einen regulären Vorgang handeln kann (vgl. Hofmann, in BeckOGK BGB, 1.9.2022, § 675l Rn. 96-99).

bb)

Nach dieser Maßgabe ist unter Berücksichtigung aller Umstände des hiesigen Einzelfalls das Verhalten der Klägerin zu 1) insofern als grob fahrlässig einzustufen, als dass sie auf den Link in der E-Mail geklickt und sodann auf der sich geöffneten, gefälschten Internetseite ihren Anmeldenamen und ihre PIN eingegeben hat. Denn sie erkannte trotz der ungewöhnlichen Art der Kontaktaufnahme durch die Täter und der Gestaltung der E-Mail, die massive Anhaltspunkte für einen Phishing-Angriff bot, nicht, dass es sich um einen Phishing-Angriff handelte.

Zunächst hätte bei der Klägerin zu 1) ein Verdacht bereits aufgrund des Umstands aufkommen müssen, dass sie über einen in einer E-Mail enthaltenen Link einer Bank zur Eingabe ihrer Daten aufgefordert wird. Bei einer derartigen Kontaktaufnahme liegt nahe, dass eine Überprüfung des Absenders der E-Mail geboten ist. Eine Bank fordert ihren Kunden nicht per E-Mail dazu auf, über einen Link ihre Internetseite aufzurufen. Einem Kunden muss bekannt sein, dass keine Bank mittels E-Mail kontorelevante Maßnahmen hinsichtlich der Identifikation und Zugangsdaten sowie der Online-Banking-Funktionen im Allgemeinen erfordert, sondern solche Handlungen ausschließlich über das digitale Postfach oder per Brief einleitet (vgl. LG Essen, BeckRS 2015, 1693; Borges, NJW 2012, 2385 (2386)).

Zudem ist die äußere Gestaltung der E-Mail als zumindest auffällig zu bezeichnen. Die E-Mail war weder von der Beklagten noch im Logo der Beklagten gehalten, sondern erschien als E-Mail der XXX". Ungewöhnlich ist insofern zudem, dass der Link, den die Klägerin zu 1) öffnete, nach dem klägerischen Vortrag unmittelbar auf eine Eingabemaske einer (vermeintlichen) XXX führte und nicht der Eingabemaske der Beklagten entsprach. Allein dieser Umstand hätte bei der Klägerin zu 1) Zweifel an der Seriosität der E-Mail aufkommen lassen müssen. Daran ändert auch der Umstand nichts, dass die Beklagte für ihr Angebot für das Online-Banking Software der XXX - insbesondere die XXX TAN-App - verwendet. Dennoch erfolgt der Zugang zum Online-Banking als solcher und die Nutzung der digitalen Bankfiliale ausschließlich über die Website der Beklagten und nicht über die einer nicht näher benannten XXX. So wird in Ziff. 8 der Rahmenvereinbarung über die Teilnahme am Online-Banking (Anlage B3) ausschließlich die Homepage der Rechtsvorgängerin der Beklagten als Kommunikationsweg genannt. Ob die Beklagte im Rahmen der Kommunikation mit den Klägern stets mit Ortsbezug oder jedenfalls teilweise unter der bloßen Bezeichnung XXX aufgetreten ist, was zwischen den Parteien streitig ist, kann dahingestellt bleiben. Aus diesem Grunde bedurfte es auch nicht der von den Klägern in der mündlichen Verhandlung vom 19.06.2023 beantragten Vernehmung der weiteren Zeugin.

Auch der angegebene Absender XXX@webapps.net" hätte die Klägerin zu 1) misstrauisch werden lassen müssen, da es sich bei diesem weder um die Beklagte noch um eine gängige Domain der XXX handelt. Dies hat der Zeuge XXX in seiner Aussage glaubhaft bekundet.

Als weiterer Verdachtsmoment kommt hinzu, dass die E-Mail nicht an die Kläger persönlich adressiert war, sondern die neutrale Formulierung "Sehr geehrter Kunde" verwendete. Die E-Mail weist auch eine auffällige Häufung von Unregelmäßigkeiten bei der Rechtschreibung auf, so wird die Anrede "Ihre" bzw. "ihre" teilweise groß, teilweise klein geschrieben, gleiches gilt für die Formulierung "XXX TAN" bzw. "XXX TAN". Weiter heißt es "aktualiseren" anstelle von "aktualisieren".

Darüber hinaus war die Klägerin zu 1), die zugleich Mitarbeiterin der Beklagten ist, bereits seit 2013 mit dem Online-Banking vertraut. Zwar hat die Klägerin erst im Dezember 2021 von dem SMS-TAN-Verfahren auf das XXX TAN-Verfahren gewechselt, allein dieser Wechsel des TAN-Verfahrens stellt jedoch keine derart erhebliche Veränderung dar, die dazu führt, dass es sich der Klägerin zu 1) nicht hätte aufdrängen müssen, dass hier möglicherweise ein Phishing-Angriff vorlag. Denn das Phänomen der Versendung von E-Mails, um an die sensiblen Daten Dritter zu kommen, steht nicht in Zusammenhang mit dem konkret genutzten TAN-Verfahren.

Die Kammer ist auch überzeugt davon, dass die Beklagte durch einen über ihre Online-Banking-Seite zugänglichen Warnhinweis zum damaligen Zeitpunkt vor vergleichbaren Phishing-Attacken via E-Mail gewarnt hat. Die Beklagte hat hierzu einen Screenshot mitsamt Datum der Veröffentlichung vorgelegt (Bl. 28 Bd. I), auf den wegen der Einzelheiten verwiesen wird. Zudem hat der Zeuge XXX auf Vorhalt des entsprechenden Sicherheitshinweises glaubhaft bekundet, dass ein Hinweis in dieser Form am 16.02.2021 aufgenommen worden ist. Es hätte so an der Klägerin gelegen, sich nach Erhalt der EMails über etwaige Sicherheitshinweise über das Internet oder persönlich bei der Beklagten zu informieren. Unabhängig davon ist aufgrund der in den letzten Jahren vielfach in den Medien thematisierten Fälle die Erkenntnis, dass Kunden durch betrügerische Anrufe und E-Mails zur Preisgabe von Zugangsdaten zum Online-Banking auf gefälschten Webseiten veranlasst werden sollen, als Allgemeinwissen vorauszusetzen (vgl. OLG Hamm v. 16.03.2015 31 U 31/15; LG Zweibrücken v. 23.01.2023 2 O 130/22 - beides zit. nach juris; Landgericht Essen a.a.O.). Die Klägerin zu 1) hätte von der Möglichkeit derartiger betrügerischer Vorgänge, wenn auch in unterschiedlicher Ausgestaltung, jedenfalls allgemein Kenntnis haben müssen.

Dass die Klägerin zu 1) im Vorfeld des 04.03.2021 mehrere gleichgelagerte E-Mails erhalten hat, entkräftet den Vorwurf der groben Fahrlässigkeit nicht. Vielmehr hätte es durchaus nahegelegen, sich binnen des hierdurch entstandenen Zeitraums durch Rückfrage bei der Kundenberaterin oder Recherche im Internet nach der Ordnungsmäßigkeit des Vorgangs zu erkundigen.

Sämtliche der vorgenannten Verdachtsmomente ignorierte die Klägerin zu 1) jedoch. Bei Gesamtbetrachtung sämtlicher Umstände des hiesigen Falles stellt sich das Handeln der Klägerin zu 1) - dem Kläger zu 2) zurechenbar - als objektiv schwerwiegender und subjektiv nicht entschuldbarer Verstoß gegen die Anforderungen der im Verkehr erforderlichen Sorgfalt dar. Es hätte sich der Klägerin zu 1) aufdrängen müssen, dass die Beklagte nicht die Urheberin der streitgegenständlichen E-Mail war.

c)

Diese grob fahrlässige Pflichtverletzung der Klägerin zu 1) war kausal für die von den Tätern vorgenommenen Überweisungen. Dies steht nach dem Ergebnis der Beweisaufnahme fest. Der Sachverständige hat überzeugend ausgeführt, dass die Täter die Anmeldedaten der Klägerin zu 1) erhalten und verwendet haben müssen. Zudem haben die Täter Kenntnis vom Registrierungs-Code aus der von der Beklagten an die Klägerin zu 1) gesandten SMS erlangt. Auf welche Weise dies geschehen ist, kann offenbleiben, weil die haftungsbegründende Pflichtverletzung der Klägerin zu 1) bereits in der Preisgabe der Anmeldedaten auf der gefälschten Website liegt.

Aufgrund der überzeugenden Aussagen der Zeugen XXX und XXX steht aus Sicht der Kammer weiter fest, dass ausweislich der technischen Protokolle aus dem Hause der Beklagten die Täter um 15.11 Uhr und damit wenige Minuten nach Versand der SMS um 15.04 Uhr eine neue XXX TAN-Verbindung registrieren konnten und die TANs für die streitgegenständlichen Überweisungen sodann regulär über die neue XXX TAN-Verbindung generiert haben.

II.

Mangels Hauptforderung haben die Kläger keinen Anspruch auf die begehrte Nebenforderung in Form des Ersatzes vorgerichtlich entstandener Rechtsanwaltsgebühren.

III.

Die Kostenentscheidung beruht auf § 91 Abs. 1 Satz 1 ZPO.

IV.

Die Entscheidung über die vorläufige Vollstreckbarkeit folgt aus § 709 Satz 1 ZPO.

Hinweis:

Verkündet am 18.07.2023

Hinweis:

Hinweis: Das Dokument wurde redaktionell aufgearbeitet und unterliegt in dieser Form einem besonderen urheberrechtlichen Schutz. Eine Nutzung über die Vertragsbedingungen der Nutzungsvereinbarung hinaus - insbesondere eine gewerbliche Weiterverarbeitung außerhalb der Grenzen der Vertragsbedingungen - ist nicht gestattet.