222 C 15098/24

Leitsatz: 1. Die sogenannte Autorisierung als zustimmende Willenserklärung gem. § 675j BGB muss tatsächlich vom Kunden stammen oder diesem über die Regeln der Stellvertretung zuzurechnen sein. (Rn. 25) (redaktioneller Leitsatz) 2. Jeder auch nur durchschnittlich aufmerksame Marktteilnehmer weiß, dass Kreditkartendaten und persönliche Sicherheitsmerkmale wie SMS-TANs keinen Dritten, insbesondere keinen Kaufinteressenten auf Kleinanzeigen, mitgeteilt werden dürfen. Gibt ein Kunde auf einer Phishing-Seite "sicher bezahlen" seine Kreditkartendetails an, handelt er daher grob fahrlässig. (Rn. 27 – 33) (redaktioneller Leitsatz) 1. Die Klage wird abgewiesen. 2. Der Kläger hat die Kosten des Rechtsstreits zu tragen. 3. Das Urteil ist vorläufig vollstreckbar. Der Kläger kann die Vollstreckung der Beklagten durch Sicherheitsleistung in Höhe von 110 % des aufgrund des Urteils vollstreckbaren Betrags abwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in Höhe von 110 % des zu vollstreckenden Betrags leistet. Beschluss Der Streitwert wird auf 2.407,25 € festgesetzt. Die zulässige Klage ist unbegründet. I. Der Kläger hat keinen Anspruch gegen die Beklagte auf Überweisung von 2.407,25 Euro auf sein Konto gem. § 675u Satz 2 BGB. 1. Der klägerische Anspruch ist nicht schon deshalb nicht gegeben, da die streitgegenständllichen Verfügungen durch den Kläger autorisiert wurden gern. § 675j Abs. 1 S. 1 BGB. Aus der Übersicht in der Klageerwiderung ergibt sich, dass nicht durch das klägerische iOS-End- gerät, sondern durch ein Android Endgerät die Transaktionen freigegeben wurden. Zwar lag bei einer technischen Betrachtung und aus der ex-ante Sicht der Beklagten eine solche Autorisierung vor. Diese war aber nicht wirksam, da sie dem Kläger nicht zugerechnet werden kann. Die sogenannte Autorisierung als zustimmende Willenserklärung gemäß § 675j BGB muss tatsächlich vom Kunden stammen oder diesem über die Regeln der Stellvertretung zuzurechnen sein. Eine Vollmacht des Klägers zugunsten der unbekannt gebliebenen Täter kann ausgeschlossen werden. Danach lag zwar eine technisch nicht zu beanstandende Autorisierung vor, die aber indessen nicht von dem Kläger stammte. 2. Der Anspruch des Klägers ist jedoch erloschen gern. § 389 BGB durch die Aufrechnung mit dem Anspruch auf Schadensersatz gem. § 675v Abs. 3 Nr. 2 BGB. Denn der Kläger hat in grob fahrlässiger Weise gegen die gesetzliche Vorgabe in § 675v Abs.3 Nr.2 a) BGB in Verbindung mit § 675I Abs. 1 BGB verstoßen Es liegt zur Überzeugung des Gerichts eine grob fahrlässige Sorgfaltspflichtverletzung vor. Der Kläger hat in grober Weise die im (Zahlungs-)Verkehr zu fordernde Sorgfalt nicht an den Tag gelegt, indem er seine Kreditkartendaten sowie seine persönlichen Sicherheitsmerkmale an Dritte herausgegeben hat. Jeder auch nur durchschnittlich aufmerksame Marktteilnehmer weiß, dass Kreditkartendaten und persönliche Sicherheitsmerkmale wie SMS-TANs keinen Dritten, insbesondere keinen Kaufinteressenten auf Kleinanzeigen, mitgeteilt werden dürfen. Die Geheimhaltungspflicht dieser Daten ergab sich auch aus den Vertragsbedingungen. Das Gericht geht davon aus, das der Kläger auf der Phishing-Seite „sicher bezahlen“ die erhaltene SMS-TAN zur Freigabe eines neuen Endgeräts eingegeben hat. Mit Hilfe dieser TAN konnte der Täter dann ein neues Endgerät registrieren und die streitgegenständlichen Verfügungen ausführen. Der Kläger war unstreitig auf der Phishing-Seite „sicher bezahlen“ und wurde dort aufgefordert zur Eingabe seiner Kreditkartendetails. Der Kläger hat auch unstreitig am 02.08.2023 um 15:08 Uhr per SMS eine TAN erhalten zur Registrierung eines neuen Endgeräts. Daher sieht das Gericht in dieser Konstellation eine sekundäre Darlegungslast auf der Klägerseite dazu, wie die TAN zeitnah an den Täter gelangt ist wenn nicht dadurch, dass der Kläger sie auf der Phishing-Seite angegeben hat. Dieser sekundären Darlegungslast ist der Kläger nicht nachgekommen. Es wurde lediglich vorgetragen, dass der Täter auf irgendeinem, für den Kläger technisch nicht zu erklärenden Weg an die TAN gelangt ist. Dies ist nicht ausreichend, um im Wege der sekundären Darlegungslast darzulegen, wie der Täter an die TAN gelangt sein kann. Die Weitergabe der TAN durch den Kläger stellt eine grobe Sorgfaltspflichtverletzung dar. Der Kläger ist als Verkäufer auf der Plattform aufgetreten. Warum man als Verkäufer und damit als Person, die Geld erhalten soll, eine (vorgetäuschte) Zwei-Faktor-Freigabe erteilt, erschließt sich dem Gericht nicht. Der Kläger mag ggfs nicht bewusst die per SMS erhaltene TAN auf der Phishing-Seite eingegeben haben und es mag ihm auch nicht erinnerlich sein. Indessen lässt sich der Vorgang plausibel nicht anders erklären. Die Weitergabe eines Verifizierungscodes an eine andere Person oder die Eingabe eines solches Codes auf einer Internetpräsenz, die nicht der Bank des Nutzers zugeordnet werden kann, verbietet sich von selbst. Es darf von jedem verständigen Nutzer der Bezahlstruktur im Internet erwartet werden, dass er die grundlegende Bedeutung derartiger Freigabecodes versteht. Mit einem solchen Freigabecode kann, insbesondere nachdem man die Basisdaten seiner Kreditkarte bereits offenbart hatte, eine dritte Person jegliche Transaktion autorisieren, mithin auch ein neues Endgerät installieren. Damit wird die Sicherheitsarchitektur ausgehebelt. Das Gericht ist davon überzeugt, dass das konkrete Verhalten des Klägers als grob fahrlässig einzustufen ist. In diesem Zusammenhang sei auf die folgende Entscheidung verwiesen: OLG Frankfurt – Az.: 3 U 3/23 – Urteil vom 06.12.2023. II. Da die Klage in der Hauptsache abzuweisen war, besteht auch kein Anspruch hinsichtlich der geltend gemachten Nebenforderungen. III. Die Kostenentscheidung beruht auf § 91 Abs. 1 ZPO. Die Entscheidung hinsichtlich der vorläufigen Vollstreckbarkeit ergibt sich aus §§ 708 Nr. 11, 711 ZPO.