10 O 21/23

Leitsatz: 1. Dem Anspruch des Zahlungsdienstenutzers (Zahlers) aus § 675u S. 2 BGB gegen den Zahlungsdienstleister auf Rückerstattung unautorisierter Zahlungsabgänge steht nicht entgegen, dass er die Zahlungsabgänge durch grob fahrlässige Preisgabe von geheim zu haltenden Daten ermöglicht hat. Denn dies reicht noch nicht für die Annahme einer Autorisierung der Zahlungsabgänge durch ihn aus.(Rn.43) 2. Selbst wenn der Zahlungsdienstenutzer vor der unautorisierten Abbuchung seine Kreditkartennummer, seinen Namen, das Ablaufdatum der Kreditkarte und den CVC Code eingegeben hat, kann eine grob fahrlässige Pflichtverletzung des Zahlungsdienstenutzers i.S.v. § 675v Abs. 3 Nr. 2 BGB nicht festgestellt werden. Denn es handelt sich insoweit um Daten, deren Angabe bei Bezahlvorgängen unter Verwendung einer Kreditkarte nicht unüblich ist. Da die Daten auf der Kreditkarte stehen, muss es sich dem Zahler auch nicht „aufdrängen“, dass er sie geheim zu halten hat.(Rn.45) 3. Es kann dahinstehen, ob von einem durchschnittlichen Zahlungsdienstenutzer im Zeitpunkt der unautorisierten Abbuchungen eine dahingehende Kenntnis zu erwarten war, dass bei androidbasierten Mobilfunkgeräten anders als bei iOS gestützten Endgeräten eine Verpflichtung bestehe, eine zusätzliche Antivirensoftware zu installieren. Denn die Unkenntnis einer solchen Verpflichtung kann nicht als grob fahrlässig angesehen werden, da dies jedenfalls nicht „jedem einleuchten“ musste.(Rn.56) 1. Die Beklagte wird verurteilen, an den Kläger einen Betrag in Höhe von 13.893,73 EUR nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit dem 15.5.2022 zu erstatten. 2. Die Beklagte wird verurteilt, an den Kläger die Kosten der außergerichtlichen Rechtsverfolgung in Höhe von 1.134,55 EUR zuzüglich Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit dem 17.2.2023 zu erstatten. 3. Im Übrigen wird die Klage abgewiesen. 4. Die Beklagte hat die Kosten des Rechtsstreits zu tragen. 5. Das Urteil ist gegen Sicherheitsleistung in Höhe des jeweils beizutreibenden Betrages zuzüglich 10 Prozent vorläufig vollstreckbar. I. Dem Kläger steht der geltend gemachte Anspruch aus § 675 u S.2 BGB zu. Denn der Kläger ha die streitgegenständlichen Zahlungsvorgänge nicht autorisiert. Die Beklagte hat den ihr nach § 675 w S.1 BGB obliegenden Beweis nicht erbracht. Dahinstehen kann, ob sich die Beklagte auf einen zu ihren Gunsten sprechenden Anscheinsbeweis berufen kann. Diesen hätte der Kläger jedenfalls erschüttert. Denn er hat die Möglichkeit eines abweichenden Geschehensablaufs dargetan. Gegen die Autorisierung spricht schon, dass der Transaktionsort in Kasachstan war, es aber nicht ersichtlich ist, dass der Kläger dahinführende Bezüge aufweist oder dort sich aufgehalten hat. Die Tatsache, dass er im zeitlichen Zusammenhang mit den streitgegenständlichen Transaktionen einen Phishing Link im Rahmen eines geplanten Verkaufs über Ebay erhalten hat, spricht ebenfalls dafür, dass Dritte die Transaktionen veranlasst haben und der Kläger diese nicht gewollt hat. Auch das Ergebnis der persönlichen Anhörung des Klägers bestätigen die Zweifel daran, dass der Kläger selbst den streitgegenständlichen Transaktionen zugestimmt hat. Selbst wenn der Kläger dies durch grob fahrlässige Preisgabe von geheim zu haltenden Daten ermöglicht hätte, würde dies noch nicht für die Annahme einer Autorisierung durch den Kläger ausreichen. II. Die Beklagte kann dem Anspruch des Klägers aus § 675 u S.2 BGB auch keinen Schadensersatzanspruch aus § 675 v Abs.3 Nr.2 BGB entgegenhalten. a. Auf der Grundlage der Anhörung des Klägers im Verhandlungstermin steht fest, dass der Kläger jedenfalls Kreditkartennummer, den Namen, das Ablaufdatum der Kreditkarte und den CVC Code eingegeben hat. Insofern kann eine grob fahrlässige Pflichtverletzung des Klägers nicht festgestellt werden. Es handelt sich insoweit um Daten, deren Angabe bei Bezahlvorgängen unter Verwendung einer Kreditkarte nicht unüblich ist. Da die Daten auf der Kreditkarte draufstehen, muss es sich dem Zahler auch nicht „aufdrängen“, dass er sie geheim zu halten hat. Soweit die Beklagte behauptet, der Kläger müsse auch die Anmeldedaten im Online -Kundenkonto preisgegeben haben, so ist dies in tatsächlicher Hinsicht streitig. Ob dies der Fall war, kann im Ergebnis offenbleiben. Es würde nämlich auch dann keine grob fahrlässige Pflichtverletzung anzunehmen sein, wenn der Kläger im Zusammenhang mit dem Phishing- Link die Anmeldedaten eingegeben hätte. Dem Kläger wäre eine schuldhafte Pflichtverletzung anzulasten, wenn er in die möglicherweise manipulierte Seite, auf die er im Rahmen des Verkaufskontakts geleitet worden war, seine Anmeldedaten zum Online- Kundenkonto eingegeben hätte. Denn zum Einen darf er diese Daten nicht auf einer fremden Website eingeben. Zum Anderen hätte der Kläger erkennen können, dass er in der vorliegenden Konstellation nicht Käufer, sondern Verkäufer war und bei einem Verkauf es typischerweise der Käufer und nicht der Verkäufer ist, der eine Zahlung veranlassen muss. Der Beklagten ist daher darin zu folgen, dass der Kläger als Verkäufer keine Zahlungskartendaten und Anmeldedaten für das Onlinebanking eingeben musste, sondern bestenfalls die IBAN anzugeben hatte, um den Kaufpreis zu empfangen. Dies wäre auch für einen durchschnittlichen Verkäufer ohne Weiteres erkennbar gewesen. Eine darin liegende Pflichtverletzung des Klägers wäre aber nicht als grob fahrlässig i.S. des § 675 v Abs.3 Nr.2 BGB zu bewerten. Grob fahrlässig ist ein Verhalten, wenn die verkehrserforderliche Sorgfalt in besonders schwerem Maße verletzt wird, schon einfachste, ganz naheliegende Überlegungen nicht angestellt werden und das nicht beachtet wird, was im gegebenem Fall jedem einleuchten musste, vgl. Grüneberg, BGB, 82. Auflage, § 277, Rn 5. Bei der hier vorliegenden Konstellation ist zum Einen zu berücksichtigen, dass Ebay grundsätzlich einen Bezahlservice anbietet, was geeignet ist, den Beteiligten ein gewisses Gefühl der Sicherheit zu vermitteln. Soweit die Beklagte auf S.15 der Klageerwiderung darauf hinweist, dass in dem übersandten Link das englischsprachige Wort für „empfangen“ verkehrt geschrieben war, so lässt sich daraus zwar die Fälschung der Seite erkennen, indessen vermag das Nichterkennen dieses Gesichtspunktes den Vorwurf der groben Fahrlässigkeit nicht zu begründen. Soweit die Beklagte geltend macht, Ebay warne ausdrücklich davor, dass es nicht mit rechten Dingen zugehe, wenn ein Interessent versuche, den Anbieter von der Ebay Seite wegzulocken, um die Kaufabwicklung anders zu organisieren, so mag die unterbliebene Kenntnisnahme hiervon eine Pflichtverletzung begründen. Indessen rechtfertigt auch diese nicht den Vorwurf der groben Fahrlässigkeit. Bei wertender Betrachtung lässt sich das Verhalten des Klägers im Ergebnis als eine Art „Augenblicksversagen“ im Rahmen eines situativ bedingten Fehlverhalten bewerten, indem er unvorbereitet von einem Angriff überrumpelt worden ist. Im Hinblick darauf, dass das Missbrauchsrisiko durch den Gesetzgeber im Grundsatz der Bank zugewiesen worden ist, da der Zahler nur für grob fahrlässige Pflichtverletzungen haftet, geht dies vorliegend zu Lasten der Beklagten. b. Im Ergebnis vermag auch der Vorwurf der Beklagten, der Kläger habe seine Endgeräte nicht ausreichend gegen Angriffe gesichert, nicht einen Schadensersatzanspruch der Beklagten aus § 675 Abs.3 Nr.2 BGB zu begründen. Den Angaben des Klägers im Rahmen seiner Anhörung, dass er auf seinem Rechner AVP und AVIRA habe, ist die Beklagte nicht entgegengetreten. Soweit die Beklagte im Termin ( und vertiefend im nicht nachgelassenen Schriftsatz vom 12.10.2023 ) die Auffassung vertreten hat, bei androidbasierten Mobilfunkgeräten bestehe, anders als bei iOS gestützten Endgeräten eine Verpflichtung, eine zusätzliche Antivirensoftware zu installieren, so kann dahinstehen, ob von einem durchschnittlichen Zahlungsdienstnutzer im Zeitpunkt der streitgegenständlichen Überweisungen eine dahingehende Kenntnis zu erwarten war. Jedenfalls kann die Unkenntnis einer solchen Verpflichtung nicht als grob fahrlässig angesehen werden, da dies jedenfalls nicht „jedem einleuchten“ musste. III. Die Beklagte kann dem Kläger aber einen Schadensersatzanspruch in Höhe von 50 EUR nach § 675 v Abs.1 BGB entgegenhalten. Denn dadurch, dass die missbräuchlichen Verfügungen nicht vom Kläger autorisiert waren und die Beklagte diesem daher zur Erstattung verpflichtet ist, ist der Beklagten ein Schaden entstanden. Ein solcher ist auch nicht nach § 675 v Abs.2 Nr.1 BGB ausgeschlossen. Denn es war dem Kläger jedenfalls möglich gewesen, die am 6.5.2022 erfolgten missbräuchlichen Verwendungen des Zahlungsinstrumentes vor dem nicht autorisierten Zahlungsvorgang vom 7.5.2022 zu bemerken. IV. Der Anspruch auf Erstattung vorgerichtlicher Rechtsanwaltskosten folgt aus §§ 280 Abs.2, 286 BGB. Der Zinsanspruch als Nebenforderung folgt aus §§ 286, 288 BGB. Die prozessualen Nebenentscheidungen beruhen auf §§ 92 Abs.2 Nr.1, 709 ZPO. Der Kläger unterhält bei der Beklagten ein Girokonto. Dieses DKB Cash Konto besteht u.a. aus Internet- Konto EC ( Maestro ) Karte ( Girocard ) ( Sofort- ) Dispositionskredit bis zu 1.000 EUR Online -Banking inkl elektronischem Postfach DKB Visa -Card Die Beklagte stellte dem Kläger unter der Nr.xxxxxx die beantragte VISA Kreditkarte nebst persönlicher Geheimzahl PIN zur Verfügung. Für die Autorisierung von Zahlungsvorgängen, die durch den Kläger ausgelöst wurden, war bei der Beklagten zusätzlich die Mobilfunknummer xxxxxxx hinterlegt, bei der es sich um die Mobilfunknummer des Klägers handelt. Beim Einsatz der Kreditkarte im Online- Handel gelangt beim Bezahlungsvorgang zur Sicherstellung des Einsatzes der Kreditkartennummer durch den rechtmäßigen Karteninhaber das 3D Secure Verfahren zur Anwendung. Die Sorgfaltspflichten des Karteninhabers beim Einsatz des 3 D Secure Verfahrens waren in Ziffer 4 der Sonderbedingungen für das 3D Secure Verfahren geregelt, wegen deren Inhalts im Einzelnen auf Anlage B 1 verwiesen wird. Insbesondere darf der Kunde nach diesen Regelungen die empfangenen smsTAN, die als Nachweis des Besitzelementes dienen, nicht außerhalb der im Rahmen des Zahlungsvorganges angezeigten 3D Secure Bestätigungsseite mündlich ( z.B. per Telefon ) oder in Textform ( z.B. per Email, Messengerdienst ) an Dritte weitergeben. Ferner darf das mobile Endgerät, mit dem die TAN empfangen wird, nicht gleichzeitig für den Zahlungsvorgang mit der Kreditkarte im Internet genutzt werden, damit die Kommunikationskontrolle getrennt bleiben. „Visa Secure“- Verfahren ist die geschützte Bezeichnung für das 3D -Secure – Verfahren. Am 5.5.2022 richtete der Kläger in Bezug auf das streitgegenständliche Konto das Kreditkarten- App- Verfahren zur Freigabe von 3D Secure Zahlungen ein. Dazu wurde an die im System der Beklagten hinterlegte, oben genannte Mobilfunknummer um 12.38 Uhr die smsTAN, die mit dem Text „Die TAN für den Auftrag des Typs Aktivierung Identity Check vom 5.5.2022, 12.38 Uhr, lautet …“ bezeichnet war, übermittelt. Diese smsTAN zur Freischaltung wurde am 5.5.2022 um 12.38 Uhr eingegeben. Zahlungen konnten anschließend über das für das App- Verfahren eingerichtete Endgerät freigegeben werden ( Sogenannte Device Bindung ). Um die Freischaltung in Gang setzen zu können, war es zwingend erforderlich, sich durch Login mit den Zugangsdaten in die App einzuloggen. Dieser Login fand am 5.5.2022 um 12.31 Uhr statt. Am 6.5.2022 um 6.30 Uhr wurde mittels des Verfahrens Visa Secure ein Zahlungsvorgang mittels der Kreditkartendaten des Klägers in Höhe von KZT 2.099.970 ( entspricht umgerechnet 4.681,31 EUR ) autorisiert, wobei wegen des zeitbezogenen Wechselkurses 4.563,17 EUR belastet wurden. Es handelte sich um eine Kreditkartenzahlung im Internet bei „sulpak.kz“. Am 6.5.2022 um 6.32 Uhr wurde mittels des Verfahrens Visa Secure ein Zahlungsvorgang mittels der Kreditkartendaten des Klägers in Höhe von KZT 761.990 ( entspricht umgerechnet 1.702,28 EUR ) autorisiert, wobei wegen des zeitbezogenen Wechselkurses 1.655,78 EUR belastet wurden. Es handelte sich um eine Kreditkartenzahlung im Internet bei „xxxxx“. Am 6.5.2022 um 16.54 Uhr wurde mittels des Verfahrens Visa Secure ein Zahlungsvorgang mittels der Kreditkartendaten des Klägers in Höhe von KZT 1.904.470 ( entspricht umgerechnet 4.255,69 EUR ) autorisiert, wobei wegen des zeitbezogenen Wechselkurses 4.139,44 EUR belastet wurden. Es handelte sich um eine Kreditkartenzahlung im Internet bei „xxxxx“. Am 7.5.2022 um 10.44 Uhr wurde mittels des Verfahrens Visa Secure ein Zahlungsvorgang mittels der Kreditkartendaten des Klägers in Höhe von KZT 1.649.970 ( entspricht umgerechnet 3.585,34 EUR ) autorisiert. Es handelte sich um eine Kreditkartenzahlung im Internet bei „xxxxxxxx“. Die Zahlungsvorgänge wurden jeweils durch die Beklagte in der Transaktionsdatenbank aufgezeichnet. In der Transaktionsdatenbank der Beklagten war als Transaktionsort Almaty, Kasachstan, vermerkt. Es ist streitig, ob der Kläger diese Zahlungsvorgänge autorisiert hat. Der Kläger behauptet, er habe empfangene smsTANs, die als Nachweis des Besitzelementes dienen, nicht außerhalb der im Rahmen des Zahlungsvorganges angezeigten 3D Secure Bestätigungsseite mündlich oder in Textform an Dritte weitergegeben. Er habe die PIN nicht Dritten mitgeteilt, vielmehr sei die PIN ausgespäht worden. Über den Link zum ebay -Zahlungstransfer habe er lediglich seine Kreditkartennummer eingegeben. Offensichtlich habe das Gerät einem „Hackerangriff“ unterlegen. Im Rahmen der Einrichtung der 3D Secure Verfahrens App müssten die in die App eingegebenen Daten gefischt worden sein. Es sei von einem unautorisierten Device - Wechsel durch Dritte auszugehen. Er, der Kläger, habe die 4 streitgegenständlichen Abbuchungen nicht autorisiert. Er habe die Anweisungen nicht getätigt und sei auch nicht durch die Zahlungs -App zur Autorisierung unter Angabe des Betrages aufgefordert worden. Er habe die Transaktion auch nicht mit einer PIN -Eingabe auf dem Mobilfunkgerät freigegeben. Er, der Kläger, habe von den missbräuchlichen Abbuchungen erstmals am 12.5.2022 erfahren. Er, der Kläger, habe hinsichtlich der 4 Autorisierungen auf seinem Mobilfunkgerät keine Authentifizierungsanfragen erhalten. Push Nachrichten hinsichtlich der streitgegenständlichen Zahlungsvorgänge habe er auf seinem Endgerät nicht erhalten. Der Kläger ist der Ansicht, dass das Missbrauchsrisiko für das vom Zahlungsdienstleister in Verkehr gebrachte Zahlungsinstrument diesem zugewiesen sei. Der Kläger beantragt, 1. die Beklagte zu verurteilen, an den Kläger einen Betrag in Höhe von 13.943,73 EUR nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit dem 15.5.2022 zu erstatten. 2. die Beklagte zu verurteilen, an den Kläger die Kosten der außergerichtlichen Rechtsverfolgung in Höhe von 1.134,55 EUR zuzüglich Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit Rechtshängigkeit zu erstatten. Die Beklagte beantragt, die Klage abzuweisen. Die Beklagte behauptet, das Verfahren zur Sicherung von Transaktionen durch einen zweiten Authentifizierungsvorgang habe am 6.5.2022 und am 7.5.2022 bei der Beklagten nach derzeitigem Stand störungsfrei funktioniert und sei auf Grund der technischen Ausgestaltung praktisch unüberwindbar gewesen. Die 4 streitgegenständlichen Abbuchungen seien von dem Endgerät des Klägers aus authentifiziert worden. Die Beklagte ist der Ansicht, aus der Lebenserfahrung heraus und dem Sinn und Zweck eines solchen Links ergebe sich, dass das Opfer im Anschluss geheimhaltungsbedürftige Daten preisgebe. Vorliegend seien das zumindest die Anmeldedaten im Online- Kundenkonto gewesen ( Anmeldenamen, Passwort ), da nur mit diesen Informationen der Dritte die Neueinrichtung der Kreditkarten- App und deren Verknüpfung mit dem Online -Kundenkonto habe herbeiführen können. Eine Kompromittierung mittels Schadsoftware sei schon deshalb unwahrscheinlich, da der Kläger einen Phishing- Link benutzt habe und in diesem Rahmen Daten eingegeben habe. Die Beklagte ist ferner der Ansicht, der Kläger müsse darlegen, welchen Update- Stand das jeweils für das Online- Banking genutzte Endgerät am Ereignistag gehabt habe und welches Antivirenprogramm mit welchen Antivirendefinitionen am Ereignistag aktiv gewesen seien. Erst anhand dieser Angaben könne geprüft werden, ob die Endgeräte einen ausreichenden Schutzstandard am Ereignistag gehabt hätten. Wegen des Parteivorbringens im Einzelnen wird auf den vorgetragenen Inhalt der gewechselten Schriftsätze nebst Anlagen sowie auf das Sitzungsprotokoll der mündlichen Verhandlung Bezug genommen.