2 O 204/23

1. Die Klage wird abgewiesen. 2. Die Kosten des Rechtsstreits trägt der Kläger. 3. Das Urteil ist gegen Sicherheitsleistung in Höhe von 110% des aufgrund des Urteils vollstreckbaren Betrages vorläufig vollstreckbar. Tatbestand: Die Parteien streiten um Ansprüche wegen vermeintlich nicht autorisierter Zahlungsvorgänge. Der Kläger ist Kunde der Beklagten und lnhaber eines Girokontos zu der Kontonummer N01. Für dieses nutzt er das von der Beklagten bereit gestellte Online-Banking. Zahlungsvorgänge oder Einstellungen für die zukünftige Freigabe von Zahlungsvorgängen, die der Kläger im Rahmen des Online-Bankings erfasst, sind von ihm wie folgt zu autorisieren: Zunächst hat er über die lnternetpräsenz der Beklagten die Möglichkeit des ,,Login" auszuwählen. Sodann gelangt er auf eine weitere Seite, auf der er seine ,,N.lD" einzugeben hat. Um Zahlungsdienste in Anspruch nehmen zu können, hat er anschließend eine sog. Zweifaktor-Autorisierung zu durchlaufen. Dies geschieht durch die Eingabe seines persönlichen Passwortes und anschließend durch eine Freigabe des Logins mittels des sog. V.-Verfahrens der Beklagten. Bei diesem handelt es sich um ein kryptographisches Verfahren, das per App mit einem Smartphone oder einem Computer betätigt werden kann. Wenn der Kläger hierbei einen Login oder eine Verfügung mittels des V.-Verfahrens freigeben möchte, erhält er in der V.-App den Hinweis, welchen Vorgang er mit der Eingabe des V.-Passwortes oder der Verwendung seines hierfür auf seinem Endgerät gespeicherten Freigabeverfahrens, etwa eines biometrischen Merkmals, konkret freigibt. Auf diese Weise können dann Zahlungen vorgenommen, aber auch weitere V.-Verfahren – mit Ausnahme des initialen – eingerichtet werden. Der Kläger hatte mit der Beklagten im Rahmen des Online-Bankings das sogenannte D.-Verfahren unter Nutzung der V.-App vereinbart. Für die Aktivierung des V.-Verfahrens muss der Kunde im System der Beklagten ein Endgerät (Smartphone oder Computer) hinterlegen, mit dessen Verwendung künftig Freigaben im V.-Verfahren erfolgen sollen. Für ein Girokonto können dabei mehrere V.-Verfahren aktiviert, mithin gleichzeitig mehrere Endgeräte hinterlegt werden. Jedem Endgerät wird dabei eine individuelle. Stets gleichbleibende Kennung (sog. E.-lD) zugewiesen. Für die vertraglichen Beziehungen der Parteien gelten die Allgemeinen und Besonderen Bedingungen der Beklagten, unter anderem die Besonderen Bedingungen für das ,,N. Online-Banking". Gemäß Ziffer 7.1 Abs. 1 der Besonderen Bedingungen der Beklagten für das ,,N. Online-Banking" hat jeder Kunde der Beklagten als Teilnehmer am Online-Banking alle zumutbaren Vorkehrungen zu treffen, um seine Authentifizierungselemente vor unbefugtem Zugriff zu schützen. Nach Ziffer 7 Abs. 2 lit (b) sind Besitzelemente vor Missbrauch zu schützen, insbesondere dürfen u.a. die Nachweise des Besitzelements (z. B. TAN) nicht außerhalb des Online-Banking mündlich (z. B. per Telefon) oder in Textform (z. B. per E-Mail, Messenger-Dienst) weitergegeben werden und muss der Teilnehmer, der von der Bank einen Code zur Aktivierung des Besitzelements (z. B. Mobiltelefon mit Anwendung für das Online-Banking) erhalten hat, diesen vor dem unbefugten Zugriff anderer Personen sicher verwahren. Ansonsten besteht die Gefahr, dass andere Personen ihr Gerät als Besitzelement für das Online-Banking des Teilnehmers aktivieren. Hinsichtlich der weiteren Einzelheiten wird auf die AGB der Beklagten (Anlage B 1, Bl. 63 ff d.A.) Bezug genommen. Am 18.04.2023 wurde sich in das Online-Banking des Klägers eingeloggt und ein neues V.-Verfahren angelegt. Der Kläger erhielt an diesem Tag unter Anzeige der Rufnummer der Beklagten (+49 N02) einen Anruf eines Mannes, der sich als Mitarbeiter der Beklagten ausgab. Der vermeintliche Bankmitarbeiter „verifizierte“ sich gegenüber dem Kläger durch Benennung dessen Namens, Anschrift und Geburtsdatums. Auch konnte der Anrufer den Kontostand sowie die letzte Transaktion – einen Einkauf des Klägers bei F. am Vormittag – benennen. Anschließend erläuterte er dem Kläger, dass es einen Sicherheitsverstoß gegeben habe, konkret einen Fremdzugriff auf das Konto des Klägers über eine ausländische IP-Adresse. Der vermeintliche Bankmitarbeiter teilte mit, dass das komplette Konto übernommen worden sei, inklusive V. und erkundigt sich danach, ob der Kläger irgendwo seine Daten angegeben habe. Nachdem sich der Kläger an keine Situation erinnerte, fragte der Anrufer, ob es ggfls. über einen Onlineshop einer Parfümerie Daten mitgeteilt worden seien, da er mehrere 100 Fälle diesbezüglich betreuen würde. Daraufhin erinnerte sich der Kläger an eine am 03.03.23 abgebrochene Bestellung auf einer Parfümseite, wo er mittels O. Sofortüberweisung zahlen wollte und zu diesem Zweck seine Kontodaten eingegeben hatte. Der Anrufer erklärte weiter, der Zugriff sei von ihm unterbunden worden. Im Anschluss und zur weiteren Bearbeitung des Betrugsfalles benötige er noch eine Verifizierung; da das V.-Verfahren nun gesperrt werden müsse, müsse ein neues beantragt werden und es sei nun eine Verifizierung erforderlich. Hierzu nannte der Kläger dem Anrufer seine Telefonbanking-PIN. Der Anrufer erklärte darauf, es habe nicht funktioniert. Er kündigte an, nun eine SMS zu schicken und der Kläger sollte ihm den in der SMS zu findenden Code nennen. Daraufhin erhielt der Kläger eine SMS und teilte gegenüber dem vermeintlichen Bankmitarbeiter den darin enthaltenen Aktivierungscode (TAN) mündlich mit. Die SMS, die als Absender die Beklagte auswies, hatte folgenden Inhalt: „Geben Sie den Aktivierungscode N06 zur Aktivierung Ihres V.-Verfahrens mit der E. -ID N05 in der App oder im Banking ein.“ (vgl. Anlage K 6, Bl. 134 d.A.). Mit dieser TAN, die in der SMS als Aktivierungscode bezeichnet wurde, wurde indes keine „Verifizierung“ vorgenommen, sondern – wie in der SMS angekündigt – wurde mittels der o.a. TAN ein neues V.-Verfahren mit der E. -ID N05 aktiviert, mit welchem sodann am 18.04.2023 zwei SEPA Echtzeitüberweisungen an einen Zahlungsempfänger „T.“ auf ein Konto bei der B. Bank Berlin in Höhe von 4.987,00 EUR und 3.986,00 EUR freigegeben wurden. Diese Zahlungen wurden nicht durch den Kläger beauftragt; auch ist er nicht Inhaber des Empfängerkontos. Am 25.04.2023 erstattete der Kläger, der von Beruf Polizeibeamter ist, Strafanzeige wegen Online-Bankingbetrugs (vgl. Anlage K 2, Bl. 15 d.A.). Mit Schreiben vom 10.05.2023 forderte der Prozessbevollmächtigte des Klägers die Beklagte zur Erstattung der vorgenannten Beträge auf, was diese ablehnte. Der Kläger behauptet, er sei Opfer eines Phishing-Angriffs geworden. Aufgrund einer „Vielzahl von architekturellen Sicherheitslücken“ im Zahlungssystem der Beklagten sei es den Tätern möglich geworden, sich in sein Bankkonto zu hacken und sich vollen Zugriff auf das Konto zu verschaffen, um die streitgegenständlichen Zahlungen zur Anweisung zu bringen. Er ist der Auffassung, er habe nicht grob fahrlässig gehandelt, da er aufgrund des „Spoofingangriffs“, also des Sendens der Telefonnummer der Beklagten durch den Anrufer, davon habe ausgehen dürfen, dass es sich tatsächlich um einen Anruf eines Mitarbeiters der Beklagten gehandelt habe. Auch habe dafür der Umstand gesprochen, dass der Anrufer ansonsten die – zwischen den Parteien unstreitig – bei Einloggen in das Online-Banking erforderliche Zwei-Faktor-Autorisierung (2FA) hätte umgehen müssen. Auch habe die SMS nicht darauf hingewiesen, dass ein neues V.-Verfahren auf einem anderen, fremden mobilen Endgerät eingerichtet werden sollte oder dass die Daten nicht hätten weitergegeben werden dürfen. Wäre ein solcher Hinweis erfolgt, hätte er die TAN nicht weitergegeben. Die grobe Fahrlässigkeit sei auch deshalb nach § 675 Abs. 4 BGB ausgeschlossen, da die 2FA der Beklagten nicht angefordert worden sei oder jedenfalls nicht funktioniert habe. Die Beklagte treffe jedenfalls ein Mitverschulden, da das zuvor etablierte Push-TAN Verfahren mittels V.-App, welche er ausschließlich nutze, auf ein SMS-TAN Verfahren umgestellt worden sei. Dass dieses Verfahren noch angeboten wurde, begründe ein anspruchsausschließendes Mitverschulden der Beklagten. Auch hätte das missbräuchliche Generieren der TAN durch eine Verschlüsselung der Daten im Lesemodus verhindert werden können. Der Kläger beantragt zuletzt, 1. die Beklagte zu verurteilen, dem Konto des Klägers mit der IBAN DEN03 die Zahlungsabbuchungen in Höhe von 4.987,00 EUR sowie 3.986,00 EUR mit jeweiligem Wertstellungsdatum 18.04.2023 zu dem eben genannten Wertstellungsdatum zu dem Kontokorrent als Habenbetrag wieder gutzuschreiben und mit Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz seit dem 25.05.2023 zu verzinsen, hilfsweise zu Ziffer 1., die Beklagte zu verurteilen, an ihn einen Betrag von 8.973,00 EUR nebst Zinsen in Höhe von 5 Prozentpunkten über dem jeweils gültigen Basiszinssatz seit dem 25.05.2023 zu bezahlen, sowie 2. die Beklagte zu verurteilen, an ihn vorgerichtliche Anwaltskosten in Höhe von 1.019,83 EUR zu erstatten. Die Beklagte beantragt, die Klage abzuweisen. Die Beklagte meint, die streitgegenständlichen Zahlungen seien „ordnungsgemäß beauftragt“ worden, da sie im Online-Banking zunächst mit den Zugangsdaten des Klägers angelegt und anschießend auch mit einem Sicherheitsverfahren freigegeben wurden, das als solches für sein Konto hinterlegt war. Jedenfalls stehe ihr aber ein Gegenanspruch nach § 675v BGB zu, den sie der Klageforderung entgegen hält, da der Kläger bei Preisgabe der in der SMS enthaltenen TAN entgegen der Bedingungen für das Online-Banking und grob fahrlässig gehandelt habe. Bezüglich der weiteren Einzelheiten des Sach- und Streitstands wird auf die zwischen den Parteien gewechselten Schriftsätze nebst Anlagen sowie das Protokoll der mündlichen Verhandlung vom 31.01.2024 (Bl. 220 ff d.A.) Bezug genommen. Entscheidungsgründe: Die Klage ist zulässig, jedoch nicht begründet. 1. Der Kläger hat gegen die Beklagte zunächst einen Anspruch auf Wiedergutschrift von 8.973,00 EUR gemäß § 675 u S. 2 BGB. Demnach ist der Zahlungsdienstleister im Falle eines nicht autorisierten Zahlungsvorgangs verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte. Die Autorisierung fehlt, wenn der Nutzer keine Zustimmung (Einwilligung oder Genehmigung) zu dem Zahlungsvorgang iSd § 675j Abs. 1 S. 1, 2 BGB erteilt hat (MüKoBGB/Zetzsche, 9. Aufl. 2023, BGB § 675u Rn. 10, 11). Eine solche hat der Kläger nicht erteilt. Er hat die beiden Überweisungen nicht selbst veranlasst. Die vorgelegten Anlagen B 3 und B 4 sowie der Vortrag der Beklagten bestätigt zudem, dass die beiden Echtzeitüberweisungen, die streitgegenständlichen Abbuchungen, nicht von dem Kläger freigegeben wurden, sondern von demjenigen, der mit Hilfe der von dem Kläger weitergegebenen TAN das neue V.-Verfahren mit der Kennung „N04" eingerichtet hatte. 2. Der Beklagte steht jedoch ein Schadensersatzanspruch gemäß § 675v BGB zu, den sie der Klageforderung entgegen halten kann, so dass der Anspruch des Klägers gemäß § 389 BGB erloschen ist. Die Beklagte hat mit dem Berufen auf ihren Gegenanspruch konkludent die Aufrechnung mit diesem erklärt, § 388 BGB. Ihr stehen Gegenansprüche gemäß § 675v Abs. 3 Nr. 2 lit. a), b) BGB in Höhe des klägerischen Anspruchs zu. Demnach ist der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler den Schaden herbeigeführt hat durch vorsätzliche oder grob fahrlässige Verletzung (a) einer oder mehrerer Pflichten gemäß § 675l Absatz 1 oder (b) einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments. Die Voraussetzungen für grob fahrlässiges Verhalten richten sich nach den allgemeinen Grundsätzen, also dem Maßstab des § 276 BGB. Demnach ist grob fahrlässig ein Verhalten, das über das gewöhnliche Maß an unsachgemäßem oder sorgfaltswidrigem Verhalten hinausgeht. Die im Verkehr erforderliche Sorgfalt muss in ungewöhnlich hohem Maße verletzt und ganz naheliegende Überlegungen nicht angestellt oder beiseite geschoben worden sein. Es muss insgesamt dasjenige unbeachtet geblieben sein, was sich im gegebenen Fall jedem aufgedrängt hätte (BGH, Urteil vom 17. 10. 2000 - XI ZR 42/00; BGH, Urteil vom 26.01.2016, XI ZR 91/44; Grüneberg, 83. Auflage 2024, § 276 Rn. 14 m.w.N.). Für das Online-Banking ist für diesen Maßstab auf einen Nutzer abzustellen, der mit den Sicherheitsrisiken des Online-Banking-Systems im Grundsatz vertraut ist, die Risiken und Gefahren des Internets abschätzen kann und entsprechende Vorsicht bei der Verwendung von Online-Banking walten lässt (Casper/Reich, ZBB 2023, 133, 141; AG Bonn, Urteil vom 15. April 2014 – 109 C 223/13 –, juris). Bezogen auf die Besonderheiten des Online-Bankings liegt bei der telefonischen Weitergabe einer oder mehrerer TAN der Vorwurf einer groben Fahrlässigkeit nahe (LG Köln, Urteil vom 10.09.2019 - 21 O 116/19, MMR 2020, 258; LG Saarbrücken, Urteil vom 10.06.2022 – 1 O 394/21 – BeckRS 2022, 14866; Langenbucher/Bliesener/Spindler/Herresthal, 3. Aufl. 2020, 3. Kap. BGB § 675v Rn. 63; BeckOK BGB/Schmalenbach, 61. Ed. 1.2.2022, BGB § 675v Rn. 13). Bei Anwendung dieses Maßstabs stellt sich das Verhalten des Klägers - auch unter Zugrundelegung seiner eigenen Schilderung - als grob fahrlässige Verletzung seiner Pflichten nach Ziffer 7.1 Abs. 1 der Besonderen Bedingungen der Beklagten für das ,,N. Online-Banking" dar. Im Online-Banking besteht bereits aus der Natur der Sache ein sehr hohes Schadenspotenzial, was für die Bestimmung des Fahrlässigkeitsmaßstabs zu berücksichtigen ist. Aus der Rechtsprechung sind schon seit vielen Jahren Fallgestaltungen bekannt, bei denen der Täter stets darauf bedacht ist, auf die ein oder andere Weise an TANs bzw. Aktivierungscodes zu gelangen, wobei die Zugangsdaten zum Online-Banking als solche in der Regel bereits vorher „gephisht“ worden sind, indem der Kunde diese auf fingierten Websites (wie wahrscheinlich auch hier) oder über Phishinglinks ohne Argwohn selbst eingegeben hat. Wegen der langjährigen Gegenwärtigkeit dieses Phänomens, stetiger medialer Berichterstattung sowie Hinweisen in den Banking-Anwendungen über aktuelle Betrugsszenarien im Online-Banking geht die Rechtsprechung mittlerweile davon aus, dass ein allgemeines Wissen über diese Gefahr angenommen werden kann (OLG München, Hinweisbeschluss vom 22.09.2022 – 19 U 2204/22; OLG Frankfurt, Hinweisbeschluss vom 22.09.2023 – 3 U 84/23, OLG Hamm, Hinweisbeschluss vom 16.03.2015 – 31 U 31/15). Dieses Bewusstsein dürfte sich in den letzten Jahren noch weiter verstärkt haben, da immer wieder neue Betrugsszenarien bekannt werden und in der Presse breit diskutiert werden. Der Kläger hat im Rahmen seiner persönlichen Anhörung angegeben, dass ihm solche, z.B. auch der sog. Enkeltrick, bekannt sind. Auch ist für die Person des Klägers anzunehmen, dass er als Polizeibeamter auf Betrugsszenarien besonders sensibilisiert ist. Insofern ist aufgrund der Allgegenwärtigkeit der Betrugsphänome im Bereich des Online-Banking, aber auch aufgrund einer Vielzahl von Warnhinweisen der Banken selbst sowie der persönlichen subjektiven Reflektionsfähigkeit des Klägers anzunehmen, dass es einen groben Verstoß gegen die anzuwendende Sorgfalt darstellt, einer anrufenden Person einen Aktivierungscode an die Hand zu geben, mit der ein neues V. Verfahren angelegt werden kann. Denn der Kläger musste von der Möglichkeit solcher betrügerischer Vorgänge jedenfalls allgemein Kenntnis haben, bzw. er durfte sich den Hinweisen bzgl. dieser Gefahren nicht verschließen (vgl. LG Köln, Urteil vom 10.09.2019 – 21 O 116/19). Dies gilt auch dann, sofern die Beklagte ihn nicht explizit über solche Vorgänge informiert hat. Gleichwohl stellt die Beklagte entsprechende Informationen und Warnungen für ihre Kunden auf ihrer Homepage zur Verfügung. In einem Eintrag vom 11.04.2022 warnte die Beklagte in diesem Rahmen ausdrücklich davor, dass Kriminelle die Rufnummernanzeige manipulieren und sich als N.-Mitarbeiter ausgeben und sodann verschiedene Vorwände nutzen, um Zugangsdaten zum Online-Banking, persönliche Daten oder TANs abzufragen. Demjenigen, der das über die Website der Beklagten erreichbare Online-Banking nutzt, ist es auch zuzumuten, die Sicherheitshinweise der Beklagten auf deren Website zur Kenntnis zu nehmen (vgl. OLG Frankfurt, Hinweisbeschluss vom 22.09.2023 – 3 U 84/23). In Ziffer 7.2. der zwischen den Parteien für das Vertragsverhältnis vereinbarten Bedingungen weist die Beklagte auch auf die (hier realisierte) Gefahr hin, dass andere Personen ihr Gerät als Besitzelement für das Online-Banking des Teilnehmers aktivieren, wenn die Nachweise des Besitzelements (z. B. TAN) außerhalb des Online-Bankings mündlich oder in Textform weitergegeben werden, weshalb diese durch den Kunden geheim zu halten sind. Die mündliche Weitergabe des Aktivierungscodes N06 unter Missachtung dieser Pflicht an einen Anrufer war grob fahrlässig. Zwar hat der Kläger in seiner Anhörung erklärt, dass es – auch nach Angaben seiner beruflichen Kollegen – schon zu telefonischen Kontakten mit Mitarbeitern der Beklagten gekommen sei, weshalb er die telefonische Kontaktaufnahme nicht per se für ungewöhnlich gehalten habe. Jedoch hat der Kläger nicht behauptet, dass bei diesen Kontakten – sofern sie stattgefunden haben – eine Weitergabe von TAN erfragt worden sei. Die Aufforderung zur Übermittlung einer TAN am Telefon oder per SMS ist eine derart ungewöhnliche Abweichung von den prägenden Merkmalen des Online-Bankings, dass die Übermittlung auch dann, wenn die Ansprache des betrügerischen Dritten selbst keinen Argwohn erregen sollte, regelmäßig als ein besonders sorgfaltswidriges Verhalten anzusehen ist (BeckOK BGB/Schmalenbach, 68. Ed. 1.11.2023, BGB § 675v Rn. 13). Dem steht auch nicht der Umstand entgegen, dass der Anrufer eine „gespoofte“ Telefonnummer der Beklagten zur Täuschung verwendet hat. Denn auch dieses Phänomen ist seit einigen Jahren bekannt und durch die Beklagte im Rahmen ihrer Warnhinweise erläutert worden. So warnt auch z.B. die Polizei NRW, dass sich Betrüger am Telefon als Polizeibeamte, Staatsanwälte oder andere Amtspersonen ausgeben und dabei die Rufnummer örtlicher Polizeidienststellen oder die 110 im Telefondisplay erscheinen lassen ( https://polizei.nrw/artikel/betrueger-geben-sich-am-telefon-als-polizeibeamte-aus ). Der Kläger, der ebenfalls Polizeibeamter ist, durfte jedenfalls kein besonderes Vertrauen darauf begründen, dass die angezeigte Telefonnummer die der Beklagten war. Schließlich aber hätte spätestens der angezeigte Text der SMS das Misstrauen des Klägers erwecken müssen. Nach Vortrag des Klägers habe der Anrufer erklärt, er benötige eine Verifizierung von ihm, um das V.-Verfahren, welches missbräuchlich verwendet worden sei, zu sperren. Ausweislich des Textes der SMS Nachricht, die wie folgt lautete: Geben Sie den Aktivierungscode N06 zur Aktivierung Ihres V.-Verfahrens mit der E. -ID N05 in der App oder im Banking ein. war der Code jedoch konkret zweckgebunden für die Aktivierung eines V.-Verfahrens und weder zur Verifizierung noch zur Sperrung zu verwenden. Der Kläger hätte bei pflichtgemäßer Aufmerksamkeit also erkennen können und müssen, dass er dem Anrufer einen Aktivierungscode mitteilte, mit welchem dieser ein V.-Verfahren aktivieren konnte. Wenn der Kläger jedoch dachte, dass es sich bei dem Anrufer um einen Mitarbeiter der Sicherheitsabteilung der Beklagten handelte, der sich im Konto bewegen und Daten einsehen und der zuvor sogar Sperrungen im Banking durchführen konnte, gab es für den Kläger keinen Anlass anzunehmen, dieser Bankmitarbeiter benötige nun einen Code, um weitere Maßnahmen zu veranlassen. Auch dies hätte sich dem Kläger in der Gesamtschau aufdrängen müssen. Dies gilt umso mehr, als der Kläger zur Darlegung seines Vertrauens auf die Echtheit des Anrufers darauf abstellt, dass sich dieser bereits unter Verwendung einer starken Zwei-Faktor-Authentifizierung Zugriff zum Online-Banking verschafft haben soll. Wenn aber der Anrufer auch den zweiten Faktor (Besitz, hier also die Kontrolle über das V.-Verfahren) bereits inne hat, erschließt es sich nicht, warum die Notwendigkeit bestehen soll, ein (neues) V.-Verfahren über den „Umweg“ der Abfrage bei dem Kläger zu aktivieren. Die den Aktivierungscode enthaltende Nachricht war auch entgegen der Einschätzung des Klägers hinreichend eindeutig. Ein erneuter Hinweis darauf, dass der Code nicht weitergegeben werden darf, wie ihn der Kläger für erforderlich hält, wäre ggfls. nützlich. Nach dem Vorgesagten zur allgemeinen Bekanntheit dieses Verbots lässt aber das Fehlen eines solchen Hinweises in jeder SMS /Pushnachricht nicht den Vorwurf der groben Fahrlässigkeit entfallen, zumal Kreditinstitute immer wieder „fast mantraartig“ (Caspe/Reich, ZBB 2023, 133, 141) daran erinnern, dass ihre Mitarbeiter niemals Geheim- oder Transaktionsnummern abfragen und solche nicht weitergegeben werden dürfen. Der Anspruch ist nicht nach § 675v Abs. 4 BGB ausgeschlossen. Die Voraussetzungen, dass die Beklagte eine starke Kundenauthentifizierung im Sinne des § 1 Absatz 24 des ZAG nicht verlangt, liegen nicht vor. Unstreitig ist bereits zum Login in das Online-Banking eine Zwei-Faktor-Authentifizierung durch das V.-Verfahren, welches über den Faktor Wissen der Anmeldedaten hinaus den zweiten Faktor Besitz darstellt, erforderlich und vorliegend auch erfolgt. Selbst wenn dies nicht so wäre, oder – wie der Kläger pauschal vermutet – nicht funktioniert hätte, wäre dies unschädlich. Denn von der aufsichtsrechtlichen Vorgabe des § 55 Abs. 1 S. 1 Nr. 1 ZAG ist nach Art. 10 der technischen Regulierungsstandards (RTS) eine Ausnahme zulässig, wenn der Zahlungsdienstnutzer – wie vorliegend – beim Login in das Online-Banking nur auf den Kontostand des Zahlungskontos oder auf Zahlungsvorgänge, die in den vergangenen 90 Tagen über ein oder mehrere bezeichnete Zahlungskonten ausgeführt wurden, online zugreifen kann, ohne dass dabei sensible Zahlungsdaten offengelegt werden. § 675v BGB ist nach den Richtlinienvorgaben auszulegen; der Haftungsausschluss greift dann nicht ein, wenn der Zahlungsdienstleister nach § 55 Abs 5 ZAG iVm Art 10-21 RTS keine starke Kundenauthentifizierung verlangen musste (Staudinger/Omlor, Neubearb 2020, § 675v Rn. 37). Dass bei den ausgeführten Zahlungen eine Zwei-Faktor-Authentifizierung erfolgt ist, ist unstreitig. Diese Möglichkeit wollte der Anrufer durch die Anlage eines neuen V.-Verfahrens ja gerade erlangen. Der Anspruch ist auch nicht etwa wegen eines irgendwie gearteten Mitverschuldens der Beklagten zu kürzen. Ein Mitverschulden, das grundsätzlich zu berücksichtigen wäre, kann beim Online-Banking auch aus der mangelnden Systemsicherheit resultieren. Die Bank muss ein technisch sicheres System nach dem jeweils aktuellen Stand der Technik bereitstellen (Herresthal in: Langenbucher/Bliesener/Spindler, Bankrechts-Kommentar, 3. Aufl., § 675v Rz. 71). Der Kläger meint hier, die Nutzung des SMS-Tan-Verfahrens sei nicht mehr zulässig gewesen, da dieses zum einen unsicher sei und er zum anderen ausschließlich das V.-Verfahren nutze. Sofern das SMS-TAN Verfahren allgemeinen Sicherheitsbedenken begegnet, weswegen viele Banken dieses bereits umgestellt haben, so haben solche sich vorliegend jedenfalls nicht ausgewirkt und es hat sich ein etwaig damit verbundenes Risiko nicht realisiert. Denn der Kläger hat die SMS, die ordnungsgemäß aus dem System der Beklagten heraus an den Kläger versandt wurde, erhalten und verwendet. Der Kläger behauptet auch nichts anderes oder etwa einen technischen Defekt. Allein die Weitergabe des Codes durch den Kläger selbst war vorliegend schadenskausal. Sofern der Kläger behauptet, die Beklagte verwende ein veraltetes System, welches erhebliche Sicherheitslücken beinhalte, bleibt diese Behauptung zu pauschal und auch unter Zugrundelegung einer sekundären Darlegungslast der Beklagten nicht hinreichend substantiiert, um konkrete Mängel aufzuzeigen. Die Behauptung, es gäbe mittlerweile neuere bzw. andere Systeme, die andere Banken benutzen, führt nicht zu dem zwingenden Rückschluss, dass das von der Beklagten verwendete System nicht (mehr) dem Stand der Technik entspricht. Auch die Behauptung des Klägers, es sei den Tätern gelungen, sich in sein Konto zu hacken, um die streitgegenständlichen Zahlungen zu veranlassen, bleibt zum einen eine bloße Vermutung. Zum anderen begründet dies aber mangels Kausalität kein Mitverschulden der Beklagten. Denn dies war – wenn es denn überhaupt ein Hack war und nicht der Kläger selbst seine Daten in einem fingierten Webshop eingegeben hat und diese dort gephisht worden sind – nur der erste Schritt. Der Zugang allein kann nicht zu den hier streitgegenständlichen Überweisungen geführt haben, da die Täter auch die Zugangsdaten und den Aktivierungscode für das (neue) V.-Verfahren, mit dem die Zahlungen freigegeben wurden, erhalten mussten. Gerade die Mitteilung dieser Daten begründet aber die grobe Fahrlässigkeit des Klägers und schließt wegen überholender Kausalität ein Mitverschulden der Beklagten aus. Sofern der Kläger behauptet, die Überweisungen hätten ein Limit überschritten und seien daher ggfls. nach §§ 675k Abs. 2, 675u BGB nicht autorisiert, und er darin ein Mitverschulden der Beklagten sieht, so hat er nicht vorgetragen, dass ein Limit überhaupt bzw. in welcher Höhe vereinbart gewesen ist. Der Kläger meint schließlich, dass die Etablierung des neuen Authentifizierungsverfahrens auf einem fremden mobilen Endgerät, ohne dass sich der wahre Kontoinhaber gegenüber der Beklagten als berechtigt identifizieren muss, seitens der Beklagten grob fahrlässig sei. Dies stellt jedoch einen üblichen Geschehensablauf dar und kann als solcher nicht grob fahrlässig sein. Denn jedes Endgerät, das neu registriert werden soll, ist zunächst „fremd“. Auch wenn der Kunde selbst ein neues V. Verfahren anlegt, etwa für ein Zweitgerät oder ein neues Mobiltelefon, ist dieses Gerät für das System der Beklagten zunächst fremd. Die Authentifizierung erfolgt dann über den bei dem Kunden auf seinem Endgerät vorhandenen zweiten Faktor „Besitz“. Hätte der Kläger diesen pflichtgemäß geheim gehalten, wäre es vorliegend nicht zur Installation auf einem anderen Gerät als einem solchen des Klägers gekommen. Mangels Anspruchs als solchem besteht auch der mittels Hilfsantrag geltend gemachte Zahlungsanspruch nicht. Ferner besteht auch kein Haftungsgrund für die Erstattung der Kosten der vorgerichtlichen Rechtsverfolgung. Die prozessualen Nebenentscheidungen beruhen auf den §§ 91 Abs. 1, 709 S. 1, 2 ZPO. Streitwert: bis 9.000,00 EUR