Landgericht Stade
Urt. v. 30.06.2023, Az.: 6 O 267/22

Erstattung einer Abbuchung von einem Girokonto; Schutz der personalisierten Sicherheitsmerkmale durch den Zahler

Bibliographie

Gericht
LG Stade
Datum
30.06.2023
Aktenzeichen
6 O 267/22
Entscheidungsform
Urteil
Referenz
WKRS 2023, 32838
Entscheidungsname
[keine Angabe]
ECLI
[keine Angabe]

In dem Rechtsstreit
XXX
Klägerin,
Prozessbevollmächtigte: XXX
gegen
XXX
Beklagte,
Prozessbevollmächtigte: XXX
hat die 6. Zivilkammer des Landgerichts Stade auf die mündliche Verhandlung vom 09.06.2023 durch den Vorsitzenden Richter am Landgericht XXX, den Richter am Landgericht XXX und den Richter XXX
für Recht erkannt:

Tenor:

  1. 1.

    Die Beklagte wird verurteilt, der Klägerin auf deren bei der Beklagten geführtem Konto mit der IBAN XXX einen Betrag in Höhe von 24.890,00 € rückwirkend zum 21.06.2022 gutzuschreiben und auf diesen Betrag Verzugszinsen in Höhe von fünf Prozentpunkten über dem Basiszinssatz seit dem 24.06.2022 zu zahlen.

  2. 2.

    Die Beklagte wird verurteilt, an die Klägerin 1.583,89 € nebst Verzugszinsen in Höhe von fünf Prozentpunkten über dem Basiszinssatz seit dem 01.09.2022 für außergerichtliche Rechtsanwaltsgebühren zu zahlen.

  3. 3.

    Die Beklagte trägt die Kosten des Rechtsstreits.

  4. 4.

    Das Urteil ist vorläufig vollstreckbar gegen Sicherheitsleistung in Höhe von 110 % des jeweils zu vollstreckenden Betrags.

    Und beschlossen:

    Der Streitwert wird auf 24.890,00 € festgesetzt.

Tatbestand

Die Klägerin begehrt von der Beklagten die Erstattung einer Abbuchung von ihrem Girokonto bei der Beklagten.

Die Klägerin unterhält bei der Beklagten ein Sparkonto sowie ein Privat-Girokonto mit der IBAN XXX. Seit dem Jahr 2018 verfügt die Klägerin über einen Zugang zum Online-Banking. Im Januar 2022 wechselte sie für die Freigabe von Überweisungen von dem TAN-Verfahren "mobile TAN" auf das TAN-Verfahren "TAN APP VR S...G..".

Das bei der Beklagten zur Freigabe von Online-Banking-Aufträgen eingesetzte Verfahren "VR S...G..." dient der Freigabe von TAN-pflichtigen Aufträgen im Online-Banking mittels eines Freigabe-Codes oder einer Biometrie-Funktion auf dem Smartphone des Kontoinhabers. Zur Nutzung dieses Verfahrens bedarf es zunächst einer Aktivierung im Online-Banking-Portal, welches nur mit ausschließlich dem Kontoinhaber bekannten Zugangsdaten, einem NetKey (einer 10-stelligen Zahlenkombination) und einer PIN, zugänglich ist. Dabei ist zunächst im Online-Banking-Portal ein Freigabegerät einzurichten und dafür ein Gerätename für das Gerät einzugeben, das später zur Freigabe verwendet werden soll. Anschließend verschickt die Beklagte postalisch an die bei ihr hinterlegte Adresse des Kontoinhabers einen Begleitbrief mit einem Aktivierungscode, der 14 Tage gültig ist. Diesen Aktivierungscode muss der Kontoinhaber mit der "VR S G plus App" auf seinem Smartphone einscannen, um die App - und damit das Gerät, auf dem die App installiert ist - zur Freigabe von Online-Banking-Aufträgen freizuschalten. Alternativ kann der Code auch manuell eingetippt werden. Für einen Nutzer der "VR S G plus App" können bis zu fünf Geräte gleichzeitig aktiviert sein.

In Ziffer 7.1 Abs. 2 lit. (b) 6. Spiegelstrich ihrer Sonderbedingungen für das Online-Banking bestimmt die Beklagte, dass Aktivierungscodes vor dem unbefugten Zugriff anderer Personen sicher zu verwahren seien, und weist darauf hin, dass anderenfalls die Gefahr bestünde, dass andere Personen ihr Gerät als Besitzelement für das Online-Banking aktivieren.

Am 19.01.2022 richtete die Klägerin unter Verwendung des NetKeys 1260753261 und der zugehörigen PIN ein "VR S G plus Gerät" mit der Bezeichnung "Mar10"ein. Dabei verwendete sie ihr langjährig genutztes Smartphone des Typs "Samsung S10". Den Begleitbrief mit dem zugehörigen Aktivierungscode versandte die Beklagte am 20.01.2022 an die Adresse der Klägerin. Am 23.01.2022 wurde der versandte Aktivierungscode gescannt, die Geräte-ID 3SUIYQLE2R erzeugt und für den Empfang von Autorisierungsanfragen aktiviert.

Aufgrund einer internen Umstellung der Apps installierte die Klägerin sodann eine neue App der Beklagten auf ihrem Smartphone und richtete dieses zur Freigabe von Überweisungen ein, wobei es zu technischen Problemen kam. Im ersten Quartal 2022 erhielt die Klägerin weitere Briefe mit Aktivierungscodes von der Beklagten, wobei die Anzahl und auch der Zugang einzelner Briefe streitig ist.

Am 06.05.2022 aktivierte ein Dritter die "VR-SecureGo plus App" auf einem weiteren Gerät mit der ID BMTGW1BCQU unter der Gerätebezeichnung "Service". Erstmalig wurde die App mit dieser ID am 21.06.2022 genutzt. Der Dritte meldete sich dabei mit der erforderlichen 2-Faktor-Autorisierung an. Im Rahmen dieser Anmeldung löschte er die übrigen zur Freigabe aktivierten Geräte und änderte die im Online-Banking eingetragene Mobiltelefonnummer der Klägerin, die zuvor seit Jahren unverändert bei der Beklagten hinterlegt gewesen war. Sodann überwies er vom Sparkonto der Klägerin einen größeren Geldbetrag auf ihr Girokonto, erhöhte des Überweisungslimit des Girokontos für den Zeitraum vom 21. bis zum 24.06.2022 auf 25.000,00 € und gab eine Überweisung vom Girokonto in Höhe von 24.890,00 € auf ein Konto bei der N26-Bank in Auftrag. Der Verwendungszweck dieser Überweisung lautete: Renovierungsarbeiten, Lange Str. 56.

Die FraudDetection der Beklagten wies diese Überweisung zur Prüfung aus. Daher versuchte eine Mitarbeiterin der Beklagten, die Zeugin XXX, die Klägerin über die im Banksystem hinterlegte - nunmehr geänderte - Rufnummer zu kontaktieren.

Unter der gewählten Telefonnummer meldete sich eine mutmaßlich männliche Person mit dem Namen "XXX". Nachdem die Zeugin XXX daraufhin verlangte, mit Frau XXX zu sprechen, meldete sich eine Person als "XXX". Nachdem diese Person die Überweisung benennen und bestätigen konnte, gab die Zeugin XXX die Überweisung über 24.890,00 € frei. Das Geld wurde auf das Konto einer Privatperson mit dem Namen "XXX" bei der XXX überwiesen. Im Hause der Beklagten ist bekannt, dass die Klägerin 26 Jahre alt ist, als Studentin nur einer geringfügigen Beschäftigung nachgeht und in einer Mietwohnung in der XXX, einem Mehrfamilienhaus, lebt. Das Girokonto der Klägerin war nur knapp gedeckt.

Am 22.06.2022 fand letztmalig eine Nutzung der "VR-SecureGo plus App" unter Verwendung der Geräte-ID BMTGW1BCQU statt. Auch hierbei meldete sich ein Nutzer mit der erforderlichen 2-Faktor-Autorisierung an und beauftragte eine Überweisung in Höhe von 24.850,00 €. Auch diese Überweisung wies die FraudDetection der Beklagten zur Prüfung aus. Diesmal band die Zeugin XXX den Kundenberater der Klägerin, Herrn Schedler, in die Prüfung mit ein. Dieser versuchte die Klägerin am 22.06.2022 unter der neu hinterlegten Rufnummer zu kontaktieren und bestätigte, dass es sich bei der sich mit "Frau XXX" meldenden Person möglicherweise nicht um die Klägerin handele. Daraufhin wurde die angestoßene zweite Überweisung zurückgewiesen, der Geldbetrag dem Konto der Klägerin gutgeschrieben und das Online-Banking der Klägerin gesperrt.

Am 22.06.2022 erhielt die Klägerin einen Anruf ihres Kundenberaters Herrn XXX. Dieser teilte mit, dass mit ihren Buchungsvorgängen etwas nicht stimme und er bereits die Mutter sowie die Großeltern der Klägerin telefonisch kontaktiert habe. Die Klägerin forderte die Beklagte mehrfach per E-Mail auf, ihr eine chronologische Berichterstattung der Vorfälle zu übersenden. Mit anwaltlichem Schreiben vom 19.08.2022 forderte die Klägerin die Beklagte sodann zur Rückbuchung des streitgegenständlichen Betrages unter Fristsetzung bis zum 31.08.2022 auf. Mit Schreiben vom 30.08.2022 lehnte die Beklagte den geltend gemachten Anspruch dem Grunde nach ab.

Die Klägerin behauptet, sie habe ihre Zugangsdaten zum Online-Banking weder schriftlich noch digital abgespeichert. Sie habe keinen Brief mit einem Aktivierungscode vom 02.05.2022 oder 03.05.2022 erhalten. Es sei möglich, dass ein solcher Brief abgefangen worden sei. Auch habe sie die Übersendung per Post nicht angefordert. Bei Übersendung von Aktivierungscodes habe sie auch kein Anschreiben mit Sicherheitshinweisen zur Weitergabe der Codes erhalten.

Ihre Anmeldedaten zum Online-Banking habe sie nie an Dritte herausgegeben und bei der Anmeldung im Online-Banking darauf geachtet, dass niemand die Eingaben habe beobachten können. Der von ihr genutzte virengeschützte iMac weise keine Sicherheitslücken auf. Von anderen Geräten habe sie sich nie angemeldet.

Am 05.05.2022 habe sie einen verpassten Anruf einer Telefonnummer auf ihrem Mobiltelefon bemerkt, die sie seit der Öffnung ihres Depots als die Telefonnummer des Stammsitzes der Beklagten in Stade eingespeichert habe. Auf Rückruf bei der Beklagten habe sich eine Mitarbeiterin der Beklagten gemeldet, die angegeben habe, der Anruf habe nur von einem Kollegen erfolgt sein können, der sich am nächsten Tag zurückmelden werde. Am 06.05.2022 habe sie erneut einen Anruf von dieser Rufnummer der Beklagten erhalten, wobei es sich bei diesem Telefonat gegebenenfalls um einen "Fake-Anruf" gehandelt haben könne. Der Anrufer habe geschildert, dass ihr Kundenberater, Herr Schedler, sich im Urlaub befinde und deshalb er sich melde, um ihre Identität zur Freigabe der "VR S G plus App" zu prüfen.

Da sie zuvor bereits Probleme mit ihrer nicht mehr funktionierenden "VR S G plus App" gehabt habe - wobei nur der Umfang der Störungen streitig ist- und sie von der Beklagten - unstreitig - bereits mehrere Briefe mit Aktivierungscodes erhalten habe, habe sie keine Zweifel gehabt, mit einem Mitarbeiter der Beklagten zu sprechen, zumal dieser auch Einblick in ihre Konten gehabt habe und sie keine ID oder Passwörter für das Online-Banking herausgegeben habe.

Der Anrufer habe erklärt, dass er die Daten des letzten an sie gesandten Schreibens mit ihr abgleichen müsse. Da sie weder ihre Zugangsdaten zum Online-Banking noch eine TAN preisgegeben habe, habe sie überhaupt keinen Argwohn geschöpft. Ein Schreiben vom 03.05.2022 habe sie nicht erhalten, deshalb habe sie auch einen darin enthaltenen Aktivierungscode nicht weitergeben können. Ein Dritter habe einen der Briefe mit einem Aktivierungscode abgefangen.

Die Klägerin beantragt,

  1. 1.

    die Beklagte zu verurteilen, ihr auf ihrem bei der Beklagten geführten Konto mit der IBAN XXX einen Betrag in Höhe von 24.890,00 € rückwirkend zum 21.06.2022 gutzuschreiben und auf diesen Betrag in Höhe von 24.890,00 € Verzugszinsen in Höhe von fünf Prozentpunkten über dem Basiszinssatz seit dem 24.06.2022 zu zahlen.

  2. 2.

    die Beklagte zu verurteilen, an sie 1.583,89 € nebst Verzugszinsen in Höhe von fünf Prozentpunkten über dem Basiszinssatz seit dem 01.09.2022 für außergerichtliche Rechtsanwaltsgebühren zu zahlen.

Die Beklagte beantragt,

die Klage abzuweisen.

Die Beklagte behauptet, den Begleitbrief mit dem zugehörigen Aktivierungscode, mit dem durch einen Dritten ein weiteres "VR S G plus Gerät" unter der Bezeichnung "Service" eingerichtet worden sei, habe sie am 03.05.2022 an die Adresse der Klägerin versandt. Die Klägerin habe diesen Brief erhalten. Dieser Aktivierungscode sei am 06.05.2022 gescannt bzw. eingetippt, damit die ID ... erzeugt und für den Empfang von Autorisierungsanträgen aktiviert worden.

Die Klägerin habe insgesamt vier Briefe mit Aktivierungscodes erhalten, die allesamt mit den nur der Klägerin persönlich bekannten Sicherheitsmerkmalen bei ihr angefordert worden seien. In sämtlichen Briefen, mit denen die Klägerin Aktivierungscodes erhalten habe, sei der folgende Sicherheitshinweis abgedruckt gewesen:

"Der Aktivierungscode dient ausschließlich der Verwendung durch Sie selbst zur Aktivierung ihrer persönlichen VR S G plus App. Es ist niemals vorgesehen, dass der Aktivierungscode weder per SMS, E-Mail oder Telefon von Ihnen abgefragt wird. In solchen Fällen nehmen Sie umgehend unter der Rufnummer XXX mit uns Kontakt auf. Gleiches gilt für Aktivierungscodes, die sie nicht selbst ausgelöst oder verlangt haben."

Keiner ihrer Mitarbeiter habe die Klägerin am 05.05.2022 oder 06.05.2022 angerufen. Dass der angebliche Anrufer die Klägerin über eine ihrer Rufnummern kontaktiert habe, sei möglich und könne sie nicht verhindern. Durch IP-Telefonie sei es möglich, die bei dem Angerufenen angezeigte Telefonnummer auszuwählen. Es existiere - unstreitig - Software, die dem Angerufenen eine bestimmte, tatsächlich nicht verwandte Rufnummer anzeige.

Im Zeitraum vom 03. bis zum 06.05.2022 habe die Klägerin den mit Schreiben vom 03.05.2022 erhaltenen Aktivierungscode einem unbekannten Anrufer mitgeteilt. Dieser Anrufer habe angeblich im Auftrag des Kundenberaters der Klägerin, Herrn XXX, mit der Begründung angerufen, er benötige die Hilfe der Klägerin, da sonst das Konto der Klägerin gesperrt würde. Dies habe die Klägerin in einem Telefonat mit der Zeugin XXX am 21.06.2022 eingeräumt. Zudem habe die Klägerin eingeräumt, dass Herr Schedler ihr Vertrauen genieße und sie sich bei der Weitergabe des Aktivierungscodes nichts gedacht habe.

Die Beklagte hat im Prozess hilfsweise mit einem Gegenanspruch aufgrund grober Fahrlässigkeit der Klägerin die Aufrechnung erklärt.

Wegen des weiteren Sach- und Streitstandes wird auf die wechselseitigen Schriftsätze nebst Anlagen sowie die Protokolle der mündlichen Verhandlung vom 17.02.2023 und 12.05.2023 Bezug genommen.

Das Gericht hat die Klägerin informatorisch angehört und Beweis erhoben durch Vernehmung der Zeugin XXX und des Zeugen XXX. Wegen des Ergebnisses der Anhörung und Beweisaufnahme wird auf das Protokoll der mündlichen Verhandlung vom 12.05.2023 Bezug genommen

Entscheidungsgründe

I. Die Klage ist zulässig und begründet.

1. Die Klägerin hat gegen die Beklagte einen Anspruch auf Zahlung in Höhe von 24.890,00 € aus §§ 675u Abs. 2, 675f BGB (dazu unter a.). Die Beklagte konnte gegen diesen Anspruch nicht mit einem ihr zustehenden Anspruch aufrechnen (dazu unter b.)

a) Nach § 675u Abs. 2 BGB ist die Beklagte als Zahlungsdienstleister im Sinne des § 1 Abs. 1 ZAG der Klägerin als Zahlerin im Falle eines nicht autorisierten Zahlungsvorgangs verpflichtet, den Zahlungsbetrag und unverzüglich zu erstatten.

aa) Unstreitig lag eine Autorisierung der Überweisung vom Konto der Klägerin in Höhe von 24.890,00 € nicht vor. Die streitgegenständliche Überweisung vom Girokonto der Klägerin ist von dieser nicht autorisiert worden.

Nach der Legaldefinition des § 675j Abs. 1 S. 1 BGB ist die Autorisierung die wirksame Zustimmung des Zahlers zum Zahlungsvorgang, welche nach § 675j Abs. 1 S. 2 BGB als Einwilligung oder, sofern zwischen dem Zahler und seinem Zahlungsdienstleister zuvor vereinbart, auch als Genehmigung erteilt werden kann. Dabei trägt grundsätzlich die Beklagte auch im Rahmen eines Anspruchs der Klägerin aus § 675u S. 2 BGB die Darlegungs- und Beweislast für die Autorisierung der Zahlungsvorgänge. Eine Differenzierung hinsichtlich der Beweislast zwischen dem Aufwendungsersatzanspruch des Zahlungsdienstleisters (§ 675u S. 1 BGB) und dem Erstattungsanspruch des Zahlers (§ 675u S. 2 BGB) ist nicht sachgerecht, da die Beweislast anderenfalls von der zufälligen Frage der Kontobelastung abhinge (OLG Karlsruhe - Urteil vom 12.04.2022, 17 U 823/20, Rn. 54).

Die Klägerin hat insoweit vorgetragen, dass sie die streitgegenständliche Überweisung nicht selbst veranlasst habe, sondern ein unbekannter Dritter ohne ihr Wissen und Wollen. Insoweit soll es einem Dritten gelungen sein, seinerseits ein Gerät zur Freigabe von Überweisungen zu aktivieren und die streitgegenständliche Überweisung damit freizugeben. Die Beklagte hat zuletzt vorgetragen, sie könne nicht ausschließen, dass die Klägerin die streitgegenständliche Überweisung nicht selbst ausgeführt hat. Die für die wirksame Zustimmung der Klägerin zum Zahlungsvorgang darlegungs- und beweisbelastete Beklagte hat damit jedenfalls von der Behauptung einer Zustimmung der Klägerin Abstand genommen.

bb) In der Rechtsfolge gewährt § 675u S. 2 BGB dem Zahlungsdienstnutzer einen Erstattungsanspruch. "Erstattung" ist der Oberbegriff für die Auszahlung und die Stornobuchung, d.h. die Wertstellung in Höhe der nicht autorisierten Zahlung, mithin in Höhe von 24.890,00 €. Der Anspruch ist dabei auf Wertstellung in Höhe der nicht autorisierten Zahlung gerichtet (Schulte-Nölke in: Schulze, BGB, 11. Aufl. 2021, § 675u Rz. 2)

b) Der Anspruch der Klägerin nach § 675u S. 2 BGB ist auch nicht durch wirksame Aufrechnung der Beklagten gemäß § 389 BGB wieder erloschen.

Die Beklagte hat zwar bereits in der Klageerwiderung vom 07.12.2022 (S. 6 = Bl. 19 R d.A.) gemäß § 388 BGB die Aufrechnung erklärt. Der Beklagten steht jedoch kein Gegenanspruch auf Schadensersatz gegen die Klägerin zu, mit dem sie wirksam hätte aufrechnen können.

aa) Ein solcher Anspruch ergibt sich insbesondere nicht aus § 675v Abs. 3 Nr. 2 lit. a), b) BGB. Nach § 675v Abs. 3 Nr. 2 BGB ist der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler den Schaden herbeigeführt hat durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehrerer Pflichten gemäß § 675l Abs. 1 BGB oder einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments.

Für eine schuldhafte Verletzung einer Pflicht gemäß § 675l Abs. 1 BGB oder einer vereinbarten Bedingung für die Ausgabe und Nutzung des Zahlungsinstruments der Klägerin als anspruchsbegründende Tatsache ist ebenfalls die Beklagte darlegungs- und beweisbelastet. Nach dem Vortrag der Beklagten soll die Klägerin am Telefon den per Post übersandten und zur Freischaltung des Push-TAN-Geräts benötigten Aktivierungscode an einen außenstehenden Dritten weitergegeben haben. Vorliegend kommen nach diesem Vortrag Verstöße der Klägerin gegen § 675l Abs. 1 S. 1 BGB und gegen Ziffer 7.1 Abs. 2 lit. (b) 6. Spiegelstrich der Sonderbedingungen der Beklagten für das Online-Banking in Betracht.

(1) Nach § 675l Abs. 1 S. 1 BGB ist der Zahler verpflichtet, unmittelbar nach Erhalt eines Zahlungsauthentifizierungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen.

Personalisierte Sicherheitsmerkmale sind gemäß § 1 Abs. 25 ZAG - in der hier maßgeblichen, seit dem 01.07.2021 geltenden Fassung - personalisierte Merkmale, die der Zahlungsdienstleister einem Zahlungsdienstnutzer zum Zwecke der Authentifizierung bereitstellt. Darunter fallen insbesondere TAN, welche einmal für die Autorisierung einer ganz bestimmten Transaktion eingesetzt werden können, dem Zahlungsdienstnutzer erst im Zusammenhang mit der jeweiligen Transaktion übermittelt werden und nur für eine kurze Zeit gültig sind (Casper/Terlau, ZAG, 2. Aufl., § 1 Rz. 438). Unter personalisierte Sicherheitsmerkmale sind als "Vorstufe" auch der Freischaltcode für das SecureGo-Verfahren zu fassen, ermöglicht er doch die Erzeugung und Erlangung von TAN auf mobilen Endgeräten (vgl. OLG München Hinweisbeschluss vom 22.09.2022 - 19 U 2204/22, BeckRS 2022, 36075)

Unbefugt ist namentlich jede Verwendung, die ohne oder gegen den Willen des Inhabers des Zahlungsinstruments erfolgt und dementsprechend auf die Auslösung eines nicht autorisierten Zahlungsvorgangs gerichtet ist (MüKoBGB/Jungmann, 8. Aufl., § 675l Rz. 19). Die Klägerin hatte insoweit allgemein dafür Sorge zu tragen, dass nicht dritte Personen die unkontrollierte Zugriffsmöglichkeit auf ihr Online-Banking oder die Banking-App mittels Zugangsdaten und TAN bekommen und so ohne ihr Wissen und Wollen Transaktionen von ihren Konten bei der Beklagten durchführen können (vgl. OLG München aaO).

(2) In Ziffer 7.1 Abs. 2 lit. (b) 6. Spiegelstrich der Sonderbedingungen der Beklagten für das Online-Banking wird eine Sorgfaltspflicht des Teilnehmers - hier der Klägerin - dahingehend aufgestellt, dass Aktivierungscodes vor dem unbefugten Zugriff anderer Personen sicher zu verwahren sind, und darauf hingewiesen, dass anderenfalls die Gefahr bestünde, dass andere Personen ihr Gerät als Besitzelement für das Online-Banking aktivieren.

Den Vortrag der Beklagten zugrundegelegt, wäre der Klägerin durch die Weitergabe des Aktivierungscodes gegebenenfalls ein Verstoß gegen die vorangestellten Pflichten vorzuwerfen. Es kann jedoch dahinstehen, ob die Klägerin den Aktivierungscode tatsächlich am Telefon an einen Dritten weitergegeben hat oder nicht, jedenfalls hätte sie die Pflichten aus § 675l Abs. 1 S. 1 BGB oder Ziffer 7.1 Abs. 2 lit. (b) 6. Spiegelstrich der Sonderbedingungen für das Online-Banking weder vorsätzlich noch grob fahrlässig verletzt.

Auch im Bereich des § 675v Abs. 3 Nr. 2 BGB liegt grobe Fahrlässigkeit vor, wenn die im Verkehr erforderliche Sorgfalt in ungewöhnlich grobem Maße verletzt worden ist und auch ganz naheliegende Überlegungen nicht angestellt worden sind oder das nicht beachtet worden ist, was im konkreten Fall jedem hätte einleuchten müsse (BGH WM 2005, 380, 384[BGH 16.12.2004 - IX ZB 463/02] Rn. 34).

Dabei sind zum einen die vom Zahlungsdienstnutzer geschuldeten Sorgfaltspflichten auch nach der Art des konkreten Angriffs zu bestimmen (vgl. BGH, Urteil vom 24.04.2012 - XI ZR 96/11, NJW 2012, 2422; BeckOGK/Hofmann, 01.09.2022, BGB § 675l Rn. 96). Zum anderen muss den Teilnehmer am Online-Banking nicht nur aus objektiver Sicht, sondern auch subjektiv ein schlechthin unentschuldbares Versagen bei der Befolgung ihm erkennbarer Pflichten treffen. In den nicht selten komplexen und wegen ihrer großen Vielfalt nicht von jedem ohne Weiteres zu überblickenden Online-Banking-Verfahren können deswegen auch die Unerfahrenheit oder Unbeholfenheit des Kunden grobe Fahrlässigkeit ausschließen. Zu beachten sind deswegen individuelle Kenntnisse, technische Erfahrung und praktische Gewandtheit des konkreten Teilnehmers am Online-Banking (Ellenberger/Bunte/Maihold, Bankrechts-Handbuch 6. Auflage 2022, § 33, Rn. 246 f.). Bezogen auf die Besonderheiten des Online-Banking kann zwar bei der Eingabe einer Vielzahl von TANs bei einem Pharming-Angriff und auch bei der telefonischen Weitergabe einer oder mehrerer TANS der Vorwurf einer groben Fahrlässigkeit in Betracht kommen (vgl. BGH, Urteil vom 24.04.2012, XI ZR 96/11 und LG Köln, Urteil vom 10.09.2019 - 21 O 116/19, MMR 2020, 258). Nach der Rechtsprechung des Bundesgerichtshofs verbietet sich indes eine pauschale Bewertung. Vielmehr sind sämtliche Umstände des Einzelfalls zu würdigen (BGH, Urteil vom 24.04.2012 - XI ZR 96/11, NJW 2012, 2422; LG Saarbrücken, Urteil vom 10. Juni 2022 - 1 O 394/21 -, juris).

Nach diesen Grundsätzen stellt sich das Verhalten der Klägerin in der Gesamtschau nicht als vorsätzlich oder grob fahrlässig dar.

Dabei ist zu berücksichtigen, dass es sich bei der Information, die die Klägerin weitergegeben haben soll, weder um ein Passwort noch eine Transaktionsnummer, sondern um den Aktivierungscode für die Freischaltung eines Push-TAN-Geräts handelt. Dieser Code dient nicht zur Freigabe bestimmter Überweisungen und vermittelt auch nicht unmittelbar Zugang zum Konto der Klägerin, sondern erfüllt seine Funktion lediglich auf einer Vorstufe zur Freigabe von Überweisungen. Der Missbrauch dieses Aktivierungscodes setzt dabei die Kenntnis weiterer personalisierter Sicherheitsmerkmale, namentlich des NetKeys und der PIN, voraus. Im Gegensatz zu dauerhaft verwendeten Passwörtern und Anmeldenamen ist hinsichtlich dieses Aktivierungscodes deshalb eine absolute Geheimhaltung nicht selbstverständlich. Vielmehr kann einem solchen Code seitens eines durchschnittlich erfahrenen Laien ein niedrigeres Gefahrenpotential beigemessen werden. Auch aufgrund des Verbrauchs des Codes durch einmalige Nutzung ist einem Laien, der die technischen Hintergründe nicht nachvollzogen hat - wie die Klägerin -, zuzugestehen, dass nicht ohne weiteres auf der Hand liegt, dass auch einer Weitergabe dieses Aktivierungscodes ein hohes Missbrauchsrisiko innewohnen kann. Denn jedenfalls kann ein im Online-Banking-Verfahren unbewanderter Nutzer - wie die Klägerin - davon ausgehen, dass sein Konto durch NetKey und PIN weiterhin hinreichend geschützt ist. Dass, wenn NetKey und PIN bereits zuvor durch einen Phishing-Angriff abgegriffen worden sind, durch die Herausgabe des Aktivierungscodes ein nahezu unbeschränkter Zugriff auf das Konto des Kontoinhabers ermöglicht wird, muss ein in den technischen Vorgängen des "VR S G"-Verfahrens nicht erfahrener Nutzer nicht zwingend nachvollziehen.

Bei ihrer Bewertung des Verschuldens der Klägerin hat die Kammer auch berücksichtigt, dass diese - nach dem streitigen Vortrag der Beklagten - mit dem maßgeblichen Aktivierungscode auch ein Anschreiben vom 03.05.2022 mit einem Warnhinweis erhalten haben soll, gemäß dem der Aktivierungscode ausschließlich der Verwendung durch den Kontoinhaber selbst zur Aktivierung seiner persönlichen "VR-SecureGo plus App" diene und es niemals vorgesehen sei, dass der Aktivierungscode per SMS, E-Mail oder Telefon abgefragt wird. Auch hat die Kammer berücksichtigt, dass die Sonderbedingungen der Beklagten für das Online-Banking einen dahingehenden Hinweis enthalten, dass Aktivierungscodes vor dem unbefugten Zugriff anderer Personen sicher zu verwahren sind, und die Bedingungen darauf hinweisen, dass anderenfalls die Gefahr bestünde, dass andere Personen ihr Gerät als Besitzelement für das Online-Banking aktivieren.

Auch auf Grundlage dieser Hinweise ist im hiesigen Einzelfall kein grob fahrlässiges Handeln der Klägerin bei der behaupteten Weitergabe des Aktivierungscodes anzunehmen. Denn trotz der Hinweise musste sich der Klägerin im hiesigen Einzelfall nicht zwingend aufdrängen, dass einer - hier unterstellten - Herausgabe des Aktivierungscodes an den Anrufer schwerwiegende Sicherheitsbedenken entgegenstehen. Dafür spricht neben den vorangestellten generellen Ausführungen zur Erkennbarkeit der notwenigen Geheimhaltung des Aktivierungscodes, dass die Klägerin nicht durch ganz naheliegende Überlegungen einen Sorgfaltspflichtverstoß durch die Herausgabe des Aktivierungscodes erkennen musste, weil der ihr unbekannte Anrufer den Namen ihres Bankberaters kannte und dieser auch unter Anzeige der Telefonnummer der Beklagten anrief.

Insoweit hat die Zeugin Adlim glaubhaft und für das Gericht überzeugend ausgesagt, dass es zum damaligen Zeitpunkt so gewesen sei, dass nach dem Einloggen im Onlinebanking der jeweilige Bankberater und dessen Telefonnummer angezeigt wurde. Insoweit ist davon auszugehen, dass die Klägerin sich diesen Vortrag jedenfalls konkludent zu eigen macht. Dabei ist die Aussage der Zeugin für das Gericht insbesondere deshalb glaubhaft, weil die Zeugin in der Lage war, ihre Aussage auf Nachfragen weiter zu ergänzen. Zudem sagte sie ohne Belastungstendenz aus und brachte auch zulasten ihrer Arbeitgeberin, der Beklagten, zum Ausdruck, dass zum streitgegenständlichen Zeitpunkt nach dem Einloggen im Online-Banking sofort ein Bild des Bankberaters und dessen Telefonnummer angezeigt worden sei. Dies, wie auch der Umstand, dass die Zeugin ihre Aussage um die Information ergänzen konnte, dass Name und Bild des Bankberaters mittlerweile aus dem Online-Banking-Portal entfernt worden seien, weist für das Gericht auf eine wahrheitsgemäße Aussage der Zeugin hin. Auf Grundlage dieser Aussage war es für einen Dritten, der sich zuvor des NetKeys und der PIN der Klägerin bemächtigte hatte, möglich, im Rahmen eines Anrufs unter Anzeige einer falschen Telefonnummer und unter Nennung des Namens des Bankberaters der Klägerin gegenüber vorzuspiegeln, er rufe als Mitarbeiter der Beklagten an. Das der Klägerin damit vermittelte Sicherheitsgefühl lässt eine Weitergabe des Aktivierungscodes unter Berücksichtigung der subjektiven Erkennbarkeit eines Angriffs nicht wider jeder sich aufdrängenden Sorgfalt erscheinen. Dies gilt umso mehr unter Berücksichtigung des Umstands, dass die Klägerin laut dem Anschreiben, dessen Übersendung mit dem Aktivierungscode die Beklagte behauptet, Kontakt mit der Beklagten aufnehmen sollte, wenn der Aktivierungscode per SMS, E-Mail oder Telefon abgefragt würde. Die Klägerin durfte nach obigen Ausführungen zumindest davon ausgehen, telefonisch mit einem Bankberater der Beklagten verbunden zu sein, also mit der Stelle, an die sie sich nach dem Vortrag der Beklagten wenden sollte, wenn es zu einer Abfrage des Aktivierungscodes am Telefon kommen sollte. In diesem - vermeintlichen - Gespräch mit einem Sachbearbeiter der Beklagten musste die Klägerin jedenfalls nicht besondere Aufmerksamkeit und Sorgfalt walten lassen, nachdem die Beklagte der Klägerin ein solches Telefonat als vertrauensvolle Maßnahme angeraten hatte. Dies gilt auch dann, wenn nicht die Klägerin die in den Aktivierungsschreiben angegebene Telefonnummer angerufen hat, sondern sie, soweit für sie erkennbar, von einer Telefonnummer der Beklagten aus angerufen worden ist. Die Klägerin musste sich unter Berücksichtigung ihrer individuellen Kenntnisse auch keine Gedanken darüber machen, ob es sich bei dem Anruf um den Anruf eines Dritten unter Vorspiegelung einer falschen Anrufernummer handelt, da ein solches Vorgehen einem durchschnittlichen Bankkunden jedenfalls nicht alltäglich begegnet und der Anrufer auch den Namen des Bankberaters der Klägerin und weitere Einzelheiten benennen konnte. Insoweit musste es für die Klägerin auch keinen Unterschied hinsichtlich der zu beachtenden Sorgfalt machen, von wem der Anruf ausgegangen war. Nach den vorstehenden Erwägungen erscheint die Herausgabe eines Aktivierungscodes in einem vermeintlichen Gespräch mit einem Bankberater nicht so abwegig, als dass jedermann einleuchten müsste, dass diese Information nicht an einen solchen herausgegeben werden darf. Im Gegensatz zu einer PIN oder einer TAN ist der Aktivierungscode nicht offensichtlich eine so sensible Information, dass dabei subjektiv ein schlechthin unentschuldbares Versagen der Klägerin anzunehmen wäre.

bb) Auch anderweite Ansprüche der Beklagten, mit denen diese wirksam hätte aufrechnen können, sind nicht ersichtlich. Die Regelung in § 675v BGB ist abschließend und lässt in ihrem Anwendungsbereich keinen Rückgriff auf andere Haftungsvorschriften zu (BGH BeckRS 2020, 38721 Rn. 43). Folglich kann sich die Beklagte in hiervon erfassten Fällen nicht auf § 280 BGB berufen und etwa eine Haftung wegen leicht fahrlässiger Verletzung von Sorgfaltspflichten, insbesondere im Hinblick auf den Umgang mit personalisierter Sicherheitsmerkmalen, geltend machen (BeckOK BGB/Schmalenbach, 66. Ed. 01.05.2023, BGB § 675v Rn. 24; Begr. RegE, BT-Drs. 16/11643, 113).

2. Die Forderung der Klägerin in Höhe von 24.890,00 € ist gemäß §§ 288 Abs. 1, § 286 Abs. 1, Abs. 2 Nr. 2 BGB mit fünf Prozentpunkten über dem Basiszinssatz seit dem 24.06.2022 zu verzinsen. Gemäß § 675u S. 3 BGB war die Beklagte verpflichtet, der Klägerin den nicht autorisierten Zahlungsvorgang spätestens bis zum Ende des Geschäftstags zu erstatten, der auf den Tag folgt, an welchem der Beklagten angezeigt wurde, dass der Zahlungsvorgang nicht autorisiert war. Die Klägerin teilte der Beklagten bereits am 22.06.2022 mit, dass sie die streitgegenständliche Überweisung nicht autorisiert hatte. Der Zahlungsvorgang wäre daher bis zum Ende des 23.06.2022 zu erstatten gewesen. Ab dem 24.06.2022 befand sich die Beklagte daher mit der Erstattung in Verzug gemäß § 286 Abs. 1, Abs. 2 Nr. 2 BGB.

3. Die Klägerin hat auch Anspruch auf Ersatz der außergerichtlichen Rechtsanwaltsgebühren in Höhe von 1.583,89 € aus § 286 Abs. 1, Abs. 2 Nr. 2 BGB. Die Beklagte befand sich seit dem 24.06.2022 und damit bereits zum Zeitpunkt der Beauftragung des Rechtsanwalte mit der Erstattung der Überweisung in Verzug (s.o.). Aufgrund ausbleibenden Erstattung durch die Beklagte durfte die Klägerin die Beauftragung des Rechtsanwaltes auch für erforderlich halten.

Auch diese Forderung ist gemäß §§ 288 Abs. 1, 286 Abs. 1 BGB mit fünf Prozentpunkten über dem Basiszinssatz seit dem 01.09.2022 zu verzinsen. Die Klägerin hat die Beklagte mit Schreiben vom 19.08.2022 unter Fristsetzung bis zum 31.08.2022 erfolglos zur Zahlung der Rechtsanwaltsgebühren in Höhe von 1.583,89 € aufgefordert. Die Beklagte befand sich daher seit dem 01.09.2022 mit der Zahlung in Verzug.

II. Die Kostenentscheidung beruht auf § 91 Abs. 1 S. 1 ZPO. Die Entscheidung über die vorläufige Vollstreckbarkeit beruht auf § 709 S. 1 und 2 ZPO.

III. Die Streitwertfestsetzung beruht auf § 3 ZPO.

Hinweis:

Verkündet am: 30.06.2023

Hinweis:

Hinweis: Das Dokument wurde redaktionell aufgearbeitet und unterliegt in dieser Form einem besonderen urheberrechtlichen Schutz. Eine Nutzung über die Vertragsbedingungen der Nutzungsvereinbarung hinaus - insbesondere eine gewerbliche Weiterverarbeitung außerhalb der Grenzen der Vertragsbedingungen - ist nicht gestattet.