Landgericht Bonn, 2 O 57/22

Tatbestand

Der Kläger unterhält bei der Beklagten das Girokonto mit der Nr. 000000001 und nutzt hierfür das Online-Banking System der Beklagten. Mit Vereinbarung vom 24.Juni 2019 – abgeschlossen im Wege des Online-Bankings und Authentifizierung durch Eingabe einer TAN – wechselte der Kläger auf das PushTAN-Verfahren 1.0. als Authentifizierungsinstrument. Vertragsgrundlage zum hier streitgegenständlichen Zeitpunkt sind die Bedingungen für das Online-Banking (Stand 14. September 2019), die als Anlage B2 (Bl. 53 ff d.A.) vorgelegt wurden und auf die Bezug genommen wird. Darin sind die Authentifizierungselemente beschrieben, mit denen der Teilnehmer Zugang zum Online-Banking der Beklagten erhalten kann. Nach Nr. 7 der Bedingungen treffen den Teilnehmer Sorgfaltspflichten zum Schutz der Authentifizierungselemente vor unbefugtem Zugriff. Insbesondere dürfen demnach Wissenselemente, wie z.B. die PIN, „nicht mündlich (z.B. telefonisch oder persönlich) mitgeteilt werden“. Laut Nr. 7.2 muss der Teilnehmer die Sicherheitshinweise auf der Online-Banking Seite der Beklagten beachten.

Um PushTAN zu nutzen, meldet sich der Kunde bei der Beklagten für PushTAN an und erhält mit der Post die Zugangsdaten für die S-PushTAN-App. Die App selbst lädt er im App Store von Apple oder im Google Play Store auf sein Smartphone oder Tablet herunter.

Aufträge mittels PushTAN 1.0 werden wie folgt erteilt: Der Kunde bereitet in seinem Online-Banking zum Beispiel eine Überweisung oder einen sonstigen Auftrag vor und sendet ihn ab. Er wechselt dann zur S-PushTAN-App, entsperrt die Appmittels Passwort, Face-ID oder Touch-ID und erhält die Auftragsdaten angezeigt, also bei einer Überweisung die Höhe des Betrags, die Empfänger-IBAN und die Zeit der Auftragserteilung. So kann der Kunde prüfen, ob die angezeigten Auftragsdaten seinem Auftrag entsprechen und danach die angezeigte TAN im Online-Banking ein- und damit den Auftrag freigeben.

In der PushTAN-App wird unter der 6-stelligen TAN stets ein auf rotem Grund hinterlegter Warnhinweis angezeigt, der lautet: „Bitte geben Sie die TAN nicht an dritte Personen/Anrufer weiter. Kein Mitarbeiter wird Sie um Nennung einer TAN bitten. Informieren Sie Ihren Berater, wenn dies vorgekommen ist.“ (Anlage B3, Bl. 52 d. A).

Die Beklagte gibt auch sogenannte Verifizierungscodes aus, aber über SMS-Nachricht. Diese kommen beispielsweise zur Registrierung eines neuen Handys bei gleichlautender Mobilnummer für das Online-Banking zum Einsatz. Bei diesen Codes handelt es sich um eine Kombination von Buchstaben und Zahlen mit bis zu 30 Stellen.

Anfang November 2020 erhielt der Kläger erstmals einen Anruf, wobei ihm die Telefonnummer 0000/0000001 angezeigt wurde. Dies ist eine Telefonnummer der Beklagten. Als Gesprächspartner meldete sich ein Mann, der sich als „A" vorstellte. Er gab an, ein Mitarbeiter der Beklagten zu sein. Er führte aus, dass er intern für die Absicherung des Online-Bankings zuständig sei. Hintergrund seines Anrufes sei, dass in der Vergangenheit bereits zweimal versucht worden sei, unautorisiert Geld vom Konto des Klägers abzuschöpfen und deshalb sein Online-Banking Zugang zusätzlich gesichert werden müsse. Zu diesem Zweck werde der Kläger in Kürze ein Schreiben erhalten, mit welchem er sich erneut im Online-Banking registrieren müsse. Anschließend wurde das Telefonat einvernehmlich beendet.

Zwischen dem 12. November 2020 und dem 14. November 2020 erhielt der Kläger das angekündigte, auf den 11. November 2020 datierende Registrierungsschreiben (Anlage K1, Bl. 9 d. A.). Das Schreiben stammte nicht von der Beklagten, enthielt aber Angaben wie Anmeldename und LegitimationsID des Klägers, obgleich er diese im Telefonat nicht weitergegeben hatte.

Am 15. November 2020 erhielt der Kläger einen weiteren Anruf von Herrn „A". Dieser nahm Bezug auf das Registrierungsschreiben und wollte mit dem Kläger gemeinsam das im Schreiben geschilderte Registrierungsprocedere durchführen. Der Kläger nannte ihm auf Nachfrage den im Schreiben genannten Registrierungscode. In der Folgezeit gab es keine Auffälligkeiten auf dem Konto des Klägers.

Zwischen dem 08. Januar 2021 und dem 18. Januar 2021 erhielt der Kläger ein weiteres, auf den 07. Januar 2021 datierendes Registrierungsschreiben mit seinen persönlichen Daten, welches ebenfalls nicht von der Beklagten stammte (Anlage K2, Bl. 10 d. A.). Am 19. Januar 2021 erhielt der Kläger diesbezüglich einen weiteren Anruf von Herrn „A". Dieser teilte mit, dass das Registrierungsprocedere im November aufgrund eines Systemfehlers nicht gespeichert worden sei und erneut vorgenommen werden müsse. Der Kläger nannte ihm auf Nachfrage den im Schreiben genannten Registrierungscode.

Am 29. März 2021 folgte ein weiterer Anruf von Herrn „A". Dieser teilte mit, dass der Kläger zum Abschluss des Sicherungsprozesses nunmehr einen „Verifizierungscode“ auf sein Smartphone erhalten werde, welchen er ihm mitteilen müsse.

Der Kläger erhielt daraufhin eine 6-stellige Zahlenkombination auf sein Smartphone – wobei die genauen Umstände streitig sind – und teilte diese telefonisch Herrn „A“ mit.

Noch am selben Tage stellte der Kläger bei der späteren routinemäßigen Kontrolle seiner Umsatzübersicht im Online-Banking fest, dass er eine Auslandsüberweisung in Höhe von 8.000,00 EUR an einen ihm nicht bekannten „B" getätigt haben sollte. In der Zeile, in welcher bei den übrigen (Inlands-)Überweisungen die TAN aufgelistet wird, stand nur „BEKANNT". Für diese Überweisung wurde dem Kläger ein Entgelt in Höhe von 47,50 EUR seitens der Beklagten in Rechnung gestellt.

Der Kläger meldete den Vorgang der Beklagten, die seinen Betrugsverdacht bestätigte. Er brachte den Vorfall auch bei der Polizei zur Anzeige. Die Staatsanwaltschaft Bonn stellte das gegen Unbekannt geführte Ermittlungsverfahren zum Az. 782 UJS 172/21 schließlich ein, was sie dem Kläger mit Schreiben vom 28. April 2021 mitteilte.

Die Beklagte hatte am 10. März 2021 auf ihrer Seite vor der Betrugsmasche – Telefonanrufe durch vermeintliche D-Mitarbeiter - gewarnt.

Für den hier streitgegenständlichen Online- Banking Vertrag hatte der Kläger mehrmals das Überweisungslimit geändert. Unmittelbar vor der streitgegenständlichen Überweisung vom 29. März 2021 wurde das Überweisungslimit von 4.000,00 EUR auf 8.000,00 EUR erhöht. Die Erhöhung erfolgte um 14:44 Uhr, die streitgegenständliche Auslandsüberweisung um 14:46 Uhr, wie sich aus den von der Beklagten vorgelegten Transaktionsprotokollen ergibt (Anlagen B4, B5, B10, B11).

Für die Änderung des Überweisungslimits müssen im Vorfeld im Online-Banking zwei Sicherheitsfragen beantwortet werden (nämlich die Frage nach dem Geburtsdatum und nach der Kartennummer der Debitkarte) und die Limitänderung selbst dann mit einer TAN freigegeben werden. Am 31. März 2021 änderte der Kläger das Überweisungslimit durch Unterzeichnung einer Limitvereinbarung auf 1.000,00 EUR.

Der Kläger behauptet, er sei vor dem streitgegenständlichen Vorfall bereits zwei Mal Opfer eines Betrugsversuchs geworden, was die Beklagte mit Nichtwissen bestreitet. Dass der Anrufer darauf Bezug nahm, habe dessen Identität für ihn noch glaubhafter gemacht.

Der Kläger behauptet, der Zahlencode, den er auf sein Smartphone bekommen habe, sei keine TAN, sondern ein Verifizierungscode gewesen und habe für ihn den Eindruck einer SMS-Bestätigung erweckt. Es habe kein Text darunter gestanden.

Er könne sich nicht erklären, wie der betrügerische Anrufer an seine Daten gekommen sei; seine IT-Systeme seien nicht kompromittiert gewesen, vielmehr müsse es ein Datenleck bei der Beklagten geben bzw. gegeben haben.

Er äußert die Vermutung, dass der Betrüger eine Neuregistrierung eines von ihm verwendeten Smartphones für die TAN-Registrierung beauftragt habe, was unstreitig ohne TAN-Freigabe möglich ist.

Der Kläger beantragt,

1. die Beklagte zu verurteilen, das bei ihr geführte Zahlungskonto mit der Nr. 000000001 wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung der Überweisung an einen B (Konto-Nr. 0000000002, BIC AAAAAAAAAA1) in Höhe von 8.000,00 EUR und der Belastung des hierfür belasteten Überweisungsentgeltes in Höhe von 47,50 EUR zuzüglich Zinsen in Höhe von fünf Prozentpunkten über dem Basiszinssatz seit dem 31 März 2021 aus 8.047,50 EUR befunden hätte;

2. die Beklagte zu verurteilen, an ihn vorgerichtliche Rechtsanwaltskosten in Höhe von 1.019,83 EUR nebst Zinsen in Höhe fünf Prozentpunkten über dem jeweils geltenden Basiszinssatz ab Rechtshängigkeit zu zahlen.

Die Beklagte beantragt,

die Klage abzuweisen.

Die Beklagte behauptet, bei dem „Verifizierungscode“ habe es sich um die TAN für die Auslandsüberweisung gehandelt. Diese habe der Kläger dem Anrufer mitgeteilt. Dazu seien dem Kläger – wie immer im Push-TAN-Verfahren – die Daten zur Überweisung sowie der Überweisungsbetrag angezeigt worden.

Sie behauptet weiter, auch die Limitänderung vom 29. März 2021 um 14:44 Uhr von 4.000,00 EUR auf 8.000,00 EUR sei entweder durch den Kläger selbst durchgeführt worden oder aber die Betrüger seien im Besitz der dafür benötigten Daten (Zugangsdaten und Daten der Sicherheitsfragen) gewesen und hätten diese initiiert. Sie legt dazu die Transaktionsprotokolle zum Konto des Klägers vom 29. März 2022 vor, aus denen sich ein Auftrag um 14:44 Uhr ergibt, der mit demselben Smartphone wie alle anderen Aufträge freigegeben worden sei, was sich anhand der BKN-Nr. erkennen lasse. In diesem Fall wäre die TAN ebenfalls auf das Handy des Klägers gesandt worden und der Kläger müsste auch diese TAN zwingend den Betrügern mitgeteilt haben. Ein anderer Ablauf sei technisch ausgeschlossen.

Die vom Kläger behauptete Neuregistrierung durch den Betrüger habe nicht stattgefunden, da sich eine solche aus den Protokollen im System der Beklagten ergeben würde, dort habe es aber seit dem 12. Juli 2019 keine Änderungen gegeben, wie sich aus Anlage B7 ergebe. Aus den auf Verlangen des Klägers vorgelegten, genauen Transaktionsprotokollen ergebe sich, dass sowohl für die beiden streitgegenständlichen Vorgänge der Limiterhöhung und der Auslandsüberweisung als auch für vorherige Aufträge immer dasselbe Endgerät benutzt worden sei (Anlage B 9, B10, B11, Bl. 156 ff d. A.).

Die Kammer hat den Kläger persönlich angehört. Wegen des Ergebnisses wird auf das Protokoll der mündlichen Verhandlung vom 14. September 2022 (Bl. 189 ff d. A.) verwiesen.

Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf die zwischen den Parteien gewechselten Schriftsätze sowie das Protokoll der mündlichen Verhandlung vom 14. September 2022 (Bl. 189 ff d. A.) ergänzend Bezug genommen.

Entscheidungsgründe

Die Klage ist unbegründet.

Dem Kläger steht der geltend gemachte Anspruch auf Gutschrift auf sein Konto in Höhe von 8.047,50 EUR unter keinem rechtlichen Gesichtspunkt zu. Insbesondere ergibt sich ein solcher Anspruch vorliegend nicht aus § 675u S. 2 BGB.

Dabei kann dahinstehen, ob es sich bei der streitgegenständlichen Überweisung um eine nicht autorisierte Verfügung zulasten des Girokontos des Klägers im Sinne des § 675u BGB handelt. Denn jedenfalls steht der Beklagten dann vorliegend gegen den Kläger ein Schadensersatzanspruch in gleicher Höhe gemäß § 675v Abs. 3 BGB zu, der im Wege der sog. dolo-agit-Einrede, § 242 BGB, zu berücksichtigen ist.

Gemäß § 675v Abs. 3 Nr. 2 BGB ist der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler den Schaden herbeigeführt hat durch vorsätzliche oder grob fahrlässige Verletzung a) einer oder mehrerer Pflichten gemäß § 675l Abs. 1 oder b) einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments.

a) Eine Pflichtverletzung im Sinne des § 675v Abs. 3 Nr. 2 BGB liegt vor.

Durch die telefonische Weitergabe der TAN zur streitgegenständlichen Überweisung an einen Anrufer, der sich als Mitarbeiter der Beklagten ausgab, hat der Kläger sowohl gegen seine Pflichten aus § 675l BGB als auch gegen die mit der Beklagten vereinbarten „Sonderbedingungen für das Online-Banking“ verstoßen.

Die Pflichten gemäß § 675l Abs. 1 S. 1 BGB treffen den Nutzer, sobald das Zahlungsinstrument und das personalisierte Sicherheitsmerkmal in seinen Herrschaftsbereich gelangt sind (Grüneberg BGB, 81. Aufl. 2022, § 675l Rn 2). Was zumutbare Vorkehrungen im Sinne von § 675l Abs. 1 S. 1 BGB sind, hängt stark von der Ausgestaltung von Zahlungsinstrument und persönlichen Sicherheitsmerkmalen ab. Jedenfalls gehört dazu, insbesondere beim Online-Banking Sicherheitshinweise oder Vorgaben des Zahlungsdienstleisters zu beachten (vgl. AG Bonn, Urteil vom 15.04.2014 – 109 C 223/13, BKR 2014, 304) sowie im TAN-Verfahren den erteilten Auftrag mit dem Inhalt der TAN-Nachricht abzugleichen (vgl. LG Köln, Urteil vom 26.08.2014 - 3 O 390/13, NJW 2014, 3735).

Die wirksame Einbeziehung der Sonderbedingungen (Anlage B2) in den Vertrag ist unstreitig. Nach Nr. 7 der Bedingungen treffen den Teilnehmer Sorgfaltspflichten zum Schutz der Authentifizierungselemente vor unbefugtem Zugriff. Insbesondere dürfen demnach Wissenselemente, wie z.B. die PIN, „nicht mündlich (z.B. telefonisch oder persönlich) mitgeteilt werden“ (Anlage B2, Bl. 53). Laut Nr. 7.2 der Bedingungen muss der Teilnehmer die Sicherheitshinweise auf der Online-Banking Seite der Beklagten beachten. Die Beklagte hatte unstreitig am 10. März 2021 auf ihrer Seite vor der Betrugsmasche gewarnt, der der Kläger zum Opfer gefallen ist. In der PushTAN-App der Beklagten erscheint darüber hinaus bei jeder Anzeige einer TAN folgender Hinweis: „Bitte geben Sie die TAN nicht an dritte Personen/Anrufer weiter. Kein Mitarbeiter wird Sie um Nennung einer TAN bitten“ (Anlage B3). Hiergegen hat der Kläger durch telefonische Weitergabe der TAN objektiv verstoßen.

Es steht zur richterlichen Überzeugung der Kammer nach § 286 ZPO fest, dass der Kläger die zur streitgegenständlichen Überweisung gehörende TAN in seiner PushTAN-App erhalten und ohne Prüfung der angezeigten Auftragsdaten am Telefon weitergegeben hat.

Der Kläger hat in seiner persönlichen Anhörung angegeben, dass er während des Telefonats mit dem vorgeblichen Bankmitarbeiter am 29. März 2021 eine 6-stellige Zahlenkombination auf sein Smartphone erhalten hat und diese an den Anrufer durchgegeben hat.

Aufgrund der vorgelegten Transaktionsprotokolle durch die Beklagte konnte die Kammer den Schluss ziehen, dass es sich bei der vom Kläger weitergegebenen 6-stelligen Ziffernfolge um eine TAN gehandelt haben muss. Die TANs der Beklagten sind 6-stellig. Aus den Protokollen der Beklagten ergibt sich, dass sowohl die Limiterhöhung von 4.000,00 EUR auf 8.000,00 EUR als auch die streitgegenständliche Auslandsüberweisung am 29. März 2021 mit dem Smartphone des Klägers freigegeben wurden, da für beide Aufträge (Anlage B4 für die Überweisung, Anlage B5 für die Limitänderung) die C Nr. 0000000003 als Übermittler verwendet wurde, die auch für die vorherigen Aufträge des Klägers benutzt wurde (Anlage B9), also seinem Smartphone zugeordnet ist.

Aus dem Protokoll zur streitgegenständlichen Überweisung ergibt sich zudem die für diese verwendete TAN: 000004 (Anlage B4, Bl. 49 d. A.). Dass diese nicht auch in der Umsatzübersicht des Klägers erscheint, sondern dort nur „BEKANNT“ steht, spricht nicht gegen deren Verwendung. Hierzu hat die Beklagte plausibel vorgetragen, dass die bei einer Auslandsüberweisung verwendete TAN – aus Platzgründen oder wegen niedriger Relevanz im Vergleich zu anderen Angaben wie der Entgeltregelung – in der Regel nicht in der Umsatzübersicht angezeigt wird, der Kunde diese aber jederzeit im Online-Banking selbst abfragen kann.

Auch für eine Störung des Systems der Beklagten zum Zeitpunkt der Überweisung gibt es keinerlei Anhaltspunkte. Vielmehr ergibt sich aus Anlage B11, dass die Freigabe beider Aufträge „erfolgreich“ verlaufen ist.

Die Kammer folgt nicht dem Kläger darin, dass wegen der Regelung in § 675w BGB die Beklagte den störungsfreien Verlauf ihres bankinternen Systems insgesamt belegen müsse, um den Nachweis der Autorisierung durch ihn zu erbringen bzw. sich auf grob fahrlässiges Verhalten zu berufen.

§ 675w BGB S. 3 BGB regelt, dass die Aufzeichnung der Nutzung des Zahlungsinstruments allein nicht notwendigerweise ausreicht, um den vorgenannten Nachweis zu erbringen. Vielmehr muss der Zahlungsdienstleister „unterstützende Beweismittel“ vorlegen, § 675w S. 4 BGB. Ob ein Zahlungsdienstleister verpflichtet sein kann, durch Vorlagen von Daten zu belegen, dass ihr Sicherheitssystem vor den streitbefangenen Vorgängen insgesamt, also in Bezug auf alle Kunden, beanstandungsfrei lief, kann offen bleiben. Denn es bedarf nicht der weiteren Vorlage von Beweismitteln durch einen Zahlungsdienstleister, wenn Tatsachen unstreitig sind, die den Rückschluss auf die Autorisierung durch den Zahler bzw. dessen grob fahrlässiges Verhalten zulassen.

Der Kläger hat einem Fremden gegenüber – unstreitig - telefonisch Angaben zu seinem Konto gemacht. Sein Vortrag, die Nachricht mit dem 6-stelligen Zahlencode habe für ihn den Anschein einer SMS erweckt und es sei keine TAN, sondern ein „Verifizierungscode“ gewesen, vermag es nicht, ernstlichen Zweifel an der Überzeugung der Kammer aufkommen zu lassen, dass er dem Fremden eine TAN mitgeteilt hat.

Die Beklagte hat unter Vorlage einer Beispiel-SMS in der mündlichen Verhandlung überzeugend vorgetragen, dass sie per SMS versendete Verifizierungscodes ausschließlich bei der Einrichtung eines neuen Smartphones für das Online-Banking verwendet und dass für den Kläger seit 2019 kein neues Smartphone eingerichtet wurde, wie sich aus Anlage B 7 ergibt. Im Übrigen bestehen diese Verifizierungscodes aus einer bis zu 30-stelligen Buchstaben-Zahlen-Kombination. Die Aussage des Klägers in seiner persönlichen Anhörung, dass die Nachricht sich als SMS darstellte, kann vor diesem Hintergrund nur auf eine Schwächung seiner Wahrnehmung zurückgeführt werden. Durch das gleichzeitige Telefonieren während des Erhalts der TAN mag der Kläger abgelenkt gewesen sein und dadurch die Angabe, es sei ein Verifizierungscode, nicht hinterfragt und nicht darauf geachtet haben, ob es sich doch um eine TAN handelte.

b) Dieses Verhalten des Klägers ist grob fahrlässig gewesen. Grob fahrlässig ist ein Verhalten, das über das gewöhnliche Maß an unsachgemäßem oder sorgfaltswidrigem Verhalten hinausgeht. Die im Verkehr erforderliche Sorgfalt muss in ungewöhnlich hohem Maße verletzt und ganz naheliegende Überlegungen nicht angestellt oder beiseite geschoben worden sein. Es muss insgesamt dasjenige unbeachtet geblieben sein, was sich im gegebenen Fall jedem aufgedrängt hätte (vgl. BGH NJW 2001, 286 f; Hofmann in BeckOGK, Stand 01.09.2022, § 675v BGB Rn. 58).

Dies ist nach Überzeugung der Kammer der Fall. Insbesondere die telefonische Weitergabe des 6-stelligen Zahlencodes, ohne zu bemerken, dass es sich dabei um eine TAN handelt und ohne die zugehörigen Auftragsdaten zu überprüfen, begründet den Vorwurf der groben Fahrlässigkeit in objektiver wie subjektiver Hinsicht. Bei Anwendung der gebotenen Sorgfalt hätte es sich dem Kläger aufdrängen müssen, dass es sich bei dem Anrufer nicht um einen Mitarbeiter der Beklagten handeln kann und dass es sich bei dem 6-stelligen Zahlencode um eine TAN handeln muss. Bei der gebotenen Prüfung der Auftragsdaten hätte er auch erkennen können, dass die TAN zur Freigabe eines Überweisungsauftrags für eine Auslandsüberweisung über 8.000,00 EUR generiert wurde, den er nicht erstellt hatte. Der Kläger betreibt nach eigenen Angaben seit 20 Jahren Online-Banking und seit Juni 2019 – also etwa 9 Monate vor der streitgegenständlichen Überweisung – benutzte er die PushTAN-App der Beklagten. Bei jeder Anzeige einer (6-stelligen) TAN wurde dem Kläger dabei der rot hinterlegte Warnhinweis angezeigt, dass er die TAN nicht an Anrufer weitergeben solle und Mitarbeiter der Beklagten ihn niemals dazu auffordern würden.

c) Der kausale Schaden liegt spiegelbildlich im Anspruch auf Gutschrift in Höhe von 8.047,50 EUR.

Die Nebenforderungen – Erstattung vorgerichtlicher Rechtsanwaltskosten sowie Zinsen – teilen das Schicksal der unbegründeten Hauptforderung.

Die prozessualen Nebenentscheidungen folgen aus §§ 91 Abs. 1, 709 S. 1 und 2 ZPO.

Streitwert: 8.047,50 EUR