Leitsatz: 1. In Fällen gegen den Zahler behaupteter Schadensersatzansprüche aus § 675v Abs. 3 Nr. 2 BGB wirkt es sich regelmäßig zu Lasten des darlegungs- und beweisbelasteten Zahlungsdienstleisters aus, wenn nach umfassendem Vortrag und erfolgter Beweisaufnahme zwar irgendeine fahrlässige Handlung des Zahlers möglich erscheint, sich jedoch keine Anknüpfungstatsachen zu Art und Umfang dieser Handlung feststellen lassen und daher eine grobe Fahrlässigkeit nicht nachweisbar ist. 2. Eine etwaige sekundäre Darlegungslast auf Seiten des Zahlers verlangt jedenfalls keine Rekonstruktion hypothetischer Täterhandlungen. Sie umfasst lediglich Angaben zum eigenen Nutzungsverhalten und zu den eigenen Sicherheitsvorkehrungen. Dies entbindet den Zahlungsdienstleister nicht von der Pflicht, eine konkrete grob-fahrlässige Pflichtverletzung des Zahlers darzulegen und zu beweisen. 3. Erhebliche Defizite in der Sicherheitsarchitektur des Zahlungsdienstleisters bei der Registrierung weiterer Instrumente zur Autorisierung von Zahlungsvorgängen können bei der normativen Beurteilung eines möglichen grob-fahrlässigen Verhaltens des Zahlers zu berücksichtigen sein. 1. Die Beklagte wird verurteilt, an den Kläger 25.611,85 Euro nebst Zinsen aus 23.715,94 Euro in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz seit dem 06.05.2023 zu bezahlen. 2. Die Beklagte trägt die Kosten des Rechtsstreits. 3. Das Urteil ist gegen Sicherheitsleistung in Höhe von 110 % des jeweils zu vollstreckenden Betrags vorläufig vollstreckbar. Die zulässige Klage ist begründet. I. Die Klage ist zulässig, insbesondere ist das Landgericht Karlsruhe gem. §§ 23 Nr. 1, 71 Abs. 1 GVG sachlich und gem. §§ 12, 17, 29, 35 ZPO örtlich zuständig. II. Der tenorierte Anspruch des Klägers folgt im Hinblick auf die Hauptforderung aus §§ 675u Abs. 1 Satz 2, 398 BGB sowie im Hinblick auf die geltend gemachten Nebenforderungen aus §§ 280 Abs. 1 und 2, 286 Abs. 2 Nr. 3 BGB. 1. Die Tatbestandsvoraussetzungen des §§ 675u Abs. 1 Satz 2, 398 BGB liegen vor. a) Zwischen den Parteien ist unstreitig, dass die Zedenten bei der Beklagten zum Zeitpunkt der gegenständlichen Transaktionen ein Girokonto unterhielten. Zwischen den Parteien wurde insoweit ein Geschäftsbesorgungsvertrag gem. § 675c Abs. 1 BGB abgeschlossen, der die Erbringung von Zahlungsdiensten zum Gegenstand hatte. Die Beklagte hat nicht bestritten, dass das Girokonto der Zedenten durch den in der Klageschrift dargelegten Zahlungsvorgang im angegebenen Umfang belastet worden ist. b) Die Beklagte hat nicht zur Überzeugung des Gerichts nachgewiesen, dass die streitgegenständlichen Transaktionen durch die Zedenten autorisiert worden sind. aa) Nach § 675w BGB trägt die Beklagte die Beweislast für die Authentifizierung, die ordnungsgemäße Aufzeichnung und das Fehlen technischer Störungen. Gelingt dieser Nachweis, spricht nach der Rechtsprechung eine tatsächliche Vermutung dafür, dass eine mittels eines hinterlegten Zahlungsinstruments ausgeführte Transaktion vom Kontoinhaber autorisiert wurde. Der Beweis des ersten Anscheins setzt einen Erfahrungssatz voraus, nach dem nach der allgemeinen Lebenserfahrung ein bestimmter Erfolg auf eine bestimmte Ursache oder einen typischen Geschehensablauf zurückzuführen ist (BGH, Urteil vom 07.02.2013 – III ZR 200/11 –, Rn. 26, juris). Der Beweis des ersten Anscheins ist jedoch dadurch zu entkräften, dass die gegnerische Partei den Nachweis führt, dass ein atypischer Geschehensablauf ernsthaft möglich sei (BGH, Urteil vom 07.02.2013 – III ZR 200/11 –, Rn. 28, juris) und ist schon überhaupt nicht anwendbar, wenn kein entsprechender Erfahrungssatz über einen Ursachenzusammenhang existiert. So liegt der Fall hier. Der festgestellte Ablauf bei den Autorisierungen der gegenständlichen Transaktionen weist zahlreiche Auffälligkeiten auf. Innerhalb kürzester Zeit wurde ein neues Freigabeverfahren hinzugefügt. Das Überweisungslimit wurde binnen zwei Tagen zweimal erheblich angehoben. Es kam zu Serienüberweisungen und zeitgleich zu mehreren Rückgaben von Lastschriften. Zwei Überweisungsaufträge wurden nicht ausgeführt. Die Zedenten befanden sich während des gesamten Tatzeitraums im Ausland. Ob der behauptete Aktivierungsbrief abgesandt oder zugegangen ist, bleibt nicht nachweisbar. Diese Verdichtung ungewöhnlicher Umstände lässt einen typischen Geschehensablauf nicht erkennen und erschüttert die von der Beklagten angenommene Vermutung einer Autorisierung. Damit bleibt die Beklagte für die durch den Kläger bestrittene Autorisierung beweisfällig. bb) Der Vortrag der Beklagten, es handele sich um einen typischen „Social Engineering“ Ablauf, bleibt eine abstrakte Hypothese. Die Beklagte benennt kein konkretes Element eines Gesprächs, das als Indiz für die Übermittlung eines sicherheitsrelevanten Merkmals gewertet werden könnte. Die bloße Möglichkeit eines solchen Vorgangs genügt als Anknüpfungspunkt selbst für einen Anscheinsbeweis nicht. Eine täuschungsbedingte Autorisierung durch die Zedenten ließ sich nicht feststellen. Zwar ist unstreitig, dass die Zedenten in zeitlichem Zusammenhang mit den Transaktionen Kontakt zu Personen hatten, die sich als Vertreter von V bezeichneten. Aus dem Streitstoff ergeben sich jedoch keinerlei belastbare Anhaltspunkte dafür, dass gerade in diesem Gespräch ein Zustimmungsvorgang für die streitgegenständlichen Überweisungen ausgelöst worden sein könnte. Bereits der feststellbare Gesprächsinhalt trägt die Annahme einer Autorisierung nicht. Der Zedent hat insoweit glaubhaft angegeben, er sei lediglich über eine Auffälligkeit bei der Kreditkarte und einen möglichen Sperrvorgang informiert worden. Hinweise darauf, dass im Rahmen dieses Gesprächs Zugangsdaten, TAN, Aktivierungs- oder Registrierungscodes abgefragt oder übermittelt wurden, bestehen nicht. Die Beweisaufnahme hat keinen einzigen objektiven Umstand hervorgebracht, der auf eine konkrete Preisgabe eines personalisierten Sicherheitsmerkmals durch den Zedenten oder die Zedentin schließen ließe. Auch aus dem späteren Verhalten der Beteiligten ergeben sich keine Rückschlüsse auf eine im Telefonat ausgelöste Autorisierung. Entscheidend ist zudem, dass die streitigen Freigaben vollständig über ein neu aktiviertes mobiles Endgerät erfolgt sind und nicht über die Kreditkarte selbst. Bereits dieser Umstand spricht gegen die Annahme, das Telefonat zur Kreditkarte habe irgendeine Autorisierungswirkung entfalten können. Die Kreditkarte war nicht das eingesetzte Zahlungsinstrument. Ein Gespräch über eine mögliche Sperrbemerkung oder Auffälligkeit an der Kreditkarte ist deshalb kein tragfähiger Anknüpfungspunkt für die Aktivierung eines neuen Freigabekanals oder für die Freigabe einzelner Überweisungen. Der Kontakt mit angeblichen V-Mitarbeitern bleibt damit ein isoliertes Ereignis ohne Bezug zu den maßgeblichen Autorisierungsvorgängen. Dass Tätergruppen gelegentlich Kreditkartenvorfälle als Vorwand nutzen, begründet keinen Erfahrungssatz, wonach ein solcher Anruf typischerweise die Preisgabe eines Aktivierungscodes für ein bankeninternes Freigabeverfahren zur Folge hat. Ein solcher Erfahrungssatz existiert nicht und kann daher einen Anscheinsbeweis nicht tragen. Auf die Frage einer möglichen Anfechtung der Autorisierung durch die Zedenten kommt es in der vorliegenden Konstellation folglich nicht an. cc) Eine Haftung aus Rechtsscheinsgrundsätzen ist ausgeschlossen. Die §§ 675j und 675u BGB sind nach allgemeiner Auffassung abschließend. 2. Der Anspruch ist auch nicht durch die hilfsweise Aufrechnung der Beklagten mit einem Schadenersatzanspruch gem. § 675v Abs. 3 Nr. 2 BGB erloschen. Ein solcher Anspruch der Beklagten gegen die Zedenten besteht nicht. a) Die Beklagte macht in ihrer Klageerwiderung vom 23.05.2024 Gegenansprüche gegen die Forderung des Klägers aus § 675v Abs. 3 BGB geltend, was sich analog §§ 133, 157 BGB als Aufrechnung gem. §§ 387 ff. BGB verstehen lässt. aa) Aus § 404 BGB ergibt sich, dass es der Beklagten grundsätzlich möglich wäre, gegen Forderungen des Klägers aus abgetretenem Recht mit eigenen Schadensersatzansprüchen gegen die Zedenten aufzurechnen. bb) Die hierfür erforderliche grob-fahrlässige Verletzung der Pflichten eines Zahlungsdienstnutzers durch die Zedenten i. S. d. § 675v BGB lässt sich jedoch vorliegend nicht feststellen. (i) Ob die Zedenten als Zahlungsdienstnutzer grob-fahrlässig gehandelt haben, richtet sich nach den allgemeinen Grundsätzen des § 276 BGB (vgl. BGH, Urteil vom 22.07.2025 – XI ZR 107/24 –, Rn. 25, juris). Grobe Fahrlässigkeit erfordert einen in objektiver Hinsicht schweren und in subjektiver Hinsicht nicht entschuldbaren Verstoß gegen die Anforderungen der im Verkehr erforderlichen Sorgfalt (BGH a. a. O., Rn. 27, juris). Diese Sorgfalt muss in ungewöhnlich hohem Maße verletzt und es muss dasjenige unbeachtet geblieben sein, was im gegebenen Fall jedem hätte einleuchten müssen (BGH a. a. O.). Es muss eine auch subjektiv schlechthin unentschuldbare Pflichtverletzung vorliegen, die das in § 276 Abs. 2 BGB bestimmte Maß erheblich überschreitet (BGH a. a. O.). Ob die Fahrlässigkeit im Einzelfall als einfach oder grob zu werten ist, unterliegt der zumindest revisionsrechtlich eingeschränkt überprüfbaren tatrichterlichen Würdigung (BGH a. a. O.). (ii) Nach diesem Maßstab ist es der Beklagten nicht gelungen, einen grob-fahrlässigen Verstoß der Zedenten substantiiert darzulegen oder gar zu beweisen. Die Beklagte muss für einen Anspruch aus § 675v Abs. 3 BGB eine konkrete Pflichtverletzung der Zedenten darlegen und beweisen und zwar in dem Sinne, dass personalisierte Sicherheitsmerkmale in einer Weise preisgegeben oder unzureichend gesichert wurden, die in objektiver Hinsicht besonders schwer wiegt und in subjektiver Hinsicht schlechthin unentschuldbar ist. Im vorliegenden Fall ergeben sich dafür keine tragfähigen Anknüpfungstatsachen. Die Beklagte benennt kein einziges konkretes Kommunikationsereignis, aus dem sich eine bestimmte Pflichtverletzung ableiten ließe. Die Beklagte schildert lediglich abstrakt Vorgehen und Funktionsweise von „Phishing“-Angriffen und die Struktur von „Social Engineering“, ohne diese allgemeine Darstellung mit überprüfbaren Tatsachen zu dem hier betroffenen Konto zu untermauern. Soweit die Beklagte sich auf einen nicht weiter aufgeklärten - allerdings unstreitigen - Kontakt mit angeblichen V-Verantwortlichen stützt, ist schon dessen genauer Inhalt - wie bereits ausgeführt - nicht zuverlässig festgestellt. Der Zedent hat als Zeuge lediglich bekundet, er sei über eine Auffälligkeit bei der Kreditkarte und einen Sperrvorgang informiert worden, ohne dass Form und Ablauf der Kommunikation inhaltlich rekonstruiert werden konnten. Dass in diesem Zusammenhang der Aktivierungscode für das SG-Verfahren oder andere personalisierte Sicherheitsmerkmale gezielt abgefragt und von den Zedenten mitgeteilt wurden, lässt sich nach der Beweisaufnahme nicht feststellen. In Fällen gegen den Zahlungsdienstnutzer behaupteter Schadensersatzansprüche aus § 675v Abs. 3 Nr. 2 BGB wirkt es sich regelmäßig zu Lasten des darlegungs- und beweisbelasteten Zahlungsdienstleisters aus, wenn nach umfassendem Vortrag und erfolgter Beweisaufnahme zwar irgendeine fahrlässige Handlung des Zahlungsdienstnutzers möglich erscheint, sich jedoch keine Anknüpfungstatsachen zu Art und Umfang dieser Handlung feststellen lassen und daher zumindest eine grobe Fahrlässigkeit nicht nachweisbar ist. (iii) Die nach Auffassung der Beklagten begründete sekundäre Darlegungslast des Klägers würde zu keinem anderen Ergebnis führen. Denn eine sekundäre Darlegungslast des Zahlungsdienstnutzers würde ebenfalls keine Rekonstruktion hypothetischer Täterhandlungen erfordern. Sie umfasst lediglich Angaben zum eigenen Nutzungsverhalten und zu den eigenen Sicherheitsvorkehrungen und entbindet den Zahlungsdienstleister nicht von der Pflicht, eine konkrete grob fahrlässige Pflichtverletzung des Zahlungsdienstnutzers zu beweisen. Das Gericht verkennt dabei nicht, dass die Aussagen der Zedenten zu den postalisch übersandten Schreiben und zur Handhabung der Post in Details widersprüchliche Elemente aufweisen. Die Beklagte weist unter Auswertung von E-Mails und Anlagen zu Recht darauf hin, dass die Zedenten nach außen den Eindruck erweckt haben, noch während des Aufenthalts in U über den Inhalt bestimmter Schreiben der Beklagten im Bilde gewesen zu sein. So belegt insbesondere der vom Zedenten aus U versandte Brief vom 03.03.2023 samt beigefügter Kopie des Schreibens der Beklagten vom 20.02.2023, dass diesem Schreiben bereits zu diesem Zeitpunkt eine Kopie zugrunde lag. Auch die im März 2023 versandten Fragebögen und die hierzu erfolgte Korrespondenz sprechen dafür, dass Post der Beklagten nicht erst nach der Rückkehr in F zur Kenntnis genommen wurde. Aus diesem Spannungsverhältnis folgt jedoch kein tragfähiger Hinweis auf eine grob-fahrlässige Pflichtverletzung. Versand und Zugang des Aktivierungscodes für das SG-Verfahren selbst, um den es im Kern allein geht, sind weder belegt noch dokumentiert. Anhaltspunkte für eine Beteiligung der Mieter der Zedenten an einem Tätergeschehen bestehen nicht und sind auch von der Beklagten nicht vorgebracht. Im Gegenteil haben die Mieter der Zedenten in der mündlichen Verhandlung bei dem Gericht selbst den Eindruck glaubhafter und besonders vertrauenswürdiger Personen erweckt, zumal ihre Beteiligung jeder kriminalistischen Erfahrung über den modus operandi derartiger Vorgänge widerspräche. (iv) Zu berücksichtigen ist zudem, dass die Beklagte das eigene Sicherheitskonzept so ausgestaltet hat, dass ein neues Freigabeverfahren allein durch Login und postalischen Aktivierungscode mittels einfachem Brief hinzugefügt werden konnte, ohne Rückbestätigung über das bereits bestehende chipTAN-Verfahren und ohne Nachverfolgung des Briefversands. Das zeigt die strukturelle Schwäche des Systems in Konstellationen wie der vorliegenden. Ein Sicherheitskonzept, das für die Aktivierung eines hochsensiblen Freigabekanals auf dieser Grundlage eine Kundenidentifikation zulässt und auf die zwingende Nutzung des bereits eingerichteten chipTAN-Verfahrens sowie zeitgleich die Nachverfolgung des versandten Aktivierungscodes verzichtet, eröffnet ein erhebliches Risiko missbräuchlicher Neuregistrierungen. b) Eine Eigenhaftung des Klägers mittelbar über die Zedenten nach §§ 675v Abs. 1, 404 BGB scheidet aus. Diese Vorschrift betrifft nur Fälle, in denen ein verlorenes, gestohlenes oder sonst abhandengekommenes Zahlungsinstrument missbraucht wird. Der vorliegende Sachverhalt betrifft keinen Verlust und keinen Diebstahl eines Instruments, sondern den unbefugten Zugriff über ein neu aktiviertes digitales Freigabeverfahren. Damit fehlt es an der tatbestandlichen Grundlage für eine Eigenhaftung bis zu 50 Euro. Ein Abzug war deshalb insoweit nicht vorzunehmen. 3. Die Anzeige der nicht autorisierten Zahlungen erfolgte rechtzeitig im Sinne des § 676b BGB. Ein Fall des Haftungsausschlusses gem. § 676c BGB ist nicht gegeben. 4. Der Zinsanspruch folgt aus § 675u Satz 3 BGB i. V. m. §§ 286 Abs. 1, 288 Abs. 1 BGB. Die Beklagte befand sich spätestens ab dem 06.05.2023 gem. § 286 Abs. 2 Nr. 3 BGB im Verzug. Die vorgerichtlichen Rechtsanwaltskosten waren gem. §§ 280 Abs. 1, 286 Abs. 2 Nr. 3, 249 BGB zu erstatten. III. Die Kostenentscheidung beruht auf § 91 Abs. 1 ZPO. Die vorläufige Vollstreckbarkeit folgt aus § 709 Satz 1 und 2 ZPO. Der Kläger macht aus abgetretenem Recht Ansprüche gegen die Beklagte als Zahlungsdienstleister wegen nicht autorisierter Zahlungsvorgänge im Februar 2023 geltend. Die Eltern des Klägers sind die Zedenten der Forderung. Die Zedenten waren ursprünglich seit 1985 Kunden der Beklagten. Sie führten dort ein gemeinschaftliches Girokonto, ein Sparkonto, ein Mietkautions-Sparkonto und erhielten eine von der Beklagten ausgegebene V-Kreditkarte. Die Kontoführung erfolgte überwiegend online. Auf das Online-Banking konnten die Zedenten mittels des sogenannten „V-NK“ zugreifen. Hierbei handelt es sich um eine personenbezogene Kennung mit zusätzlicher PIN. Für die Autorisierung von Vorgängen im Online-Banking nutzten die Zedenten das als „ST-Verfahren“ bezeichnete chipTAN-Verfahren der Beklagten. Es handelte sich um ein kartenbasiertes Zwei-Faktor-Authentifizierungsverfahren, bei dem ein TAN-Generator zusammen mit der jeweiligen Girocard eine dynamische Transaktionsnummer erzeugte, die der Freigabe einzelner Vorgänge im Online-Banking diente. Die Beklagte bot sowohl alternativ als auch ergänzend ein „SG“-Verfahren an, bei dem unter anderem die Autorisierung von Vorgängen im Online-Banking über eine App auf einem zuvor mittels Brief aktivierbaren mobilen Endgerät stattfand. Das SG-Verfahren ließ sich aktivieren, indem dies im Online-Banking eines Kunden mit dessen V-NK oder telefonisch beantragt wurde. In solchen Fällen versandte die Beklagte an die hinterlegten Adressdaten ihres jeweiligen Kunden einen Freischaltungscode mittels einfachem Brief. Der Freischaltungscode erlaubte es dem Empfänger, ein mobiles Endgerät mit der zugehörigen App einzurichten, um anschließend Vorgänge im Online-Banking autorisieren zu können. Selbst wenn ein Kunde lediglich das ST-Verfahren nutzte, war es möglich, auf dem beschriebenen Weg ohne vorherige Autorisierung über das kartenbasierte Zwei-Faktor-Authentifizierungsverfahren zusätzlich das SG-Verfahren zu aktivieren und parallel zu verwenden. Die Zedenten wohnten in F und hatten einen Teil ihres Anwesens vermietet. Die Zedenten teilten sich einen gemeinsamen Briefkasten mit den Mietern ihres Anwesens, bei dem alle Zugriff auf die wechselseitige Post hatten. Von Februar bis Anfang März 2023 befanden sich die Zedenten an ihrem Zweitwohnsitz in U. Zur gleichen Zeit fanden mehrere Vorgänge im Online-Banking der Zedenten statt. Am 17.02.2023 erhöhten sich das Überweisungslimit von 2.000,00 Euro auf 25.000,00 Euro. Am 19.02.2023 kam es zu einer weiteren Erhöhung des Überweisungslimits auf 70.000,00 Euro. Am 19.02.2023 kam es zudem zu zwei Aktivierungsvorgängen bezüglich der V-Kreditkarte der Zedenten. Im Zeitraum vom 17.02.2023 bis 19.02.2023 wurden vom gemeinschaftlichen Girokonto der Zedenten mehrere SEPA-Überweisungen veranlasst, die zu Kontobelastungen in Höhe von insgesamt 30.995,00 Euro führten. Diese Überweisungen gingen überwiegend auf ein ebenfalls bei der Beklagten geführtes Konto, dessen Kontoinhaber mit „S R“ bezeichnet war. Weitere am 18.02.2023 und 19.02.2023 veranlasste Überweisungsaufträge über 1.000,00 Euro und 5.400,00 Euro sind von der Beklagten wegen erkannter Unregelmäßigkeiten nicht ausgeführt worden. Die Beklagte buchte am 13.03.2023 von diesem Empfängerkonto einen Betrag von 7.279,06 Euro zurück. Insgesamt ergab sich ein Restbetrag zu Lasten der Zedenten aus den Vorgängen in Höhe von 23.715,94 Euro. Im zeitlichen Zusammenhang mit den Transaktionen kam es auch zu einem Kontakt der Zedenten mit Personen, die angaben, für den Kreditkartenanbieter V zu handeln. Die Zedenten forderten die Beklagte vorgerichtlich zur Erstattung der verbleibenden nicht erstatteten Beträge auf. Das Schreiben datiert vom 06.04.2023. Die Beklagte wies den Anspruch mit Schreiben vom 05.05.2023 endgültig zurück. Die Zedenten kündigten zwischenzeitlich ihr Konto bei der Beklagten. Ein Ombudsmannverfahren endete am 31.07.2023 mit einem Vergleichsvorschlag zugunsten des Klägers. Die Beklagte wies jedoch die behaupteten Ansprüche unverändert zurück. Die Zedenten traten sodann etwaige Ansprüche gegen die Beklagte am 22.02.2024 und 26.02.2024 an den Kläger ab. Der Kläger behauptet: Die Zedenten hätten die streitigen Zahlungen weder beauftragt noch autorisiert. Die Zedenten hätten keine Phishing-Nachrichten erhalten, keine Zugangsdaten auf fremden Internetseiten eingegeben und am Telefon keine Zugangsdaten im Zusammenhang mit ihrem Online-Banking mitgeteilt. Die Beklagte habe am 20.02.2023 per E-Mail mitgeteilt, die Kreditkarte sei „bei der Registrierung für A P aufgefallen“ und mit einem Rückfragecode belegt. Die V-Kreditkarte sei nur selten genutzt worden. Online-Einkäufe seien nicht erfolgt. Der Zedent habe daraufhin telefonisch und per E-Mail seine Karte und den Zugang sperren lassen. Kurz zuvor oder zeitgleich habe der Online-Banking-Zugang nicht mehr funktioniert. Die Girokarten seien nicht akzeptiert worden. Einsicht in die Umsätze habe der schon damals von den Zedenten bevollmächtigte Kläger erst am 06.03.2023 erhalten. Erst dabei seien die nicht autorisierten Transaktionen aufgefallen. Die unterbliebene Ausführung zweier auffälliger Transaktionen am 18.02.2023 über 1.000,00 Euro und am 19.02.2023 über 5.400,00 Euro indiziere ein frühzeitiges Erkennen einer unberechtigten Transaktion durch die Beklagte. Gleichwohl seien durch die Beklagte weitere Aufträge ausgeführt worden oder nicht rechtzeitig rückbelastet worden. Die Zedenten hätten keinen Aktivierungscode für das SG-Verfahren beantragt. Die Zedenten besäßen kein iPhone. Nach der Rückkehr der Zedenten habe in deren Briefkasten kein Aktivierungsbrief vorgelegen. Die Beklagte habe trotz auffälliger Risikoindikatoren ihre Schutzpflichten verletzt. Risikoindikatoren seien hier die Neuregistrierung des Freigabeverfahrens, sprunghafte Limitsteigerungen und Serienüberweisungen auf ein hausinternes Konto gewesen. Der Kläger beruft sich zudem auf den Schlichtungsvorschlag vom 31.07.2023. Danach bestehe ein Erstattungsanspruch. Schließlich verweist der Kläger auf ein Schreiben der Staatsanwaltschaft F vom 17.06.2024. In einem Geldwäscheverfahren seien Konten, unter anderem auf den Namen „S R“, mit gefälschten Ausweisen eröffnet worden. Daraus würden weitere Sicherheits- und Legitimationsmängel zu Lasten der Beklagten folgen. Der Kläger beantragt: 1. Die Beklagte wird verurteilt, an den Kläger einen Betrag in Höhe von 23.715,94 EUR nebst Zinsen in Höhe von fünf Prozentpunkten über dem jeweiligen Basiszinssatz hieraus seit 06.05.2023 zu zahlen. 2. Die Beklagte wird verurteilt, die vorgerichtlichen Kosten der anwaltlichen Vertretung in Höhe von 1.895,91 EUR an den Kläger zu zahlen. Hilfsweise stützt der Kläger Ansprüche auf Art. 82 DSGVO. Die Beklagte beantragt, die Klage abzuweisen. Hilfsweise macht die Beklagte Gegenansprüche aus § 675v Abs. 3 BGB in Höhe des Klagebetrags wegen grob-fahrlässiger Sorgfaltspflichtverletzungen der Zedenten geltend. Die Beklagte behauptet: Am 12.02.2023 sei nach einem regulären Login in das Online-Banking mit dem „V-NK“ und der zugehörigen PIN der Zedenten ein Aktivierungscode für das SG-Verfahren beantragt worden. Dieser Antrag könne nur durch einen ordnungsgemäß authentifizierten Nutzer erfolgt sein. Im Anschluss daran sei ein mobiles Endgerät mit der Bezeichnung „A“ unter der App-ID (…) für das SG-Verfahren registriert worden. Der Aktivierungscode sei sodann noch am selben Tag per einfachem Brief an die bei der Beklagten hinterlegte Wohnanschrift der Zedenten in F versandt worden. Eine Rückläufer-Nachricht habe es nicht gegeben. Aus Sicht der Beklagten sei deshalb davon auszugehen, dass der Brief den Zedenten zugegangen sei oder ihnen jedenfalls zugänglich gewesen sei. Am 17.02.2023 sei das SG-Verfahren mittels des versandten Aktivierungscodes auf dem zuvor registrierten Gerät „A“ erfolgreich freigeschaltet worden. In der Folge seien die streitgegenständlichen Erhöhungen des Überweisungslimits und sämtliche Transaktionen über dieses SG-Verfahren autorisiert worden. Alle betreffenden Überweisungen und weiteren Vorgänge seien technisch ordnungsgemäß authentifiziert, aufgezeichnet und verbucht worden und es habe keine technischen Störungen gegeben. Nach Auffassung der Beklagten wäre eine Autorisierung der Transaktionen ohne Kenntnis des V-NK nebst zugehöriger PIN und des postalisch übersandten Aktivierungscodes nicht möglich gewesen. Sollten Dritte gehandelt haben, müssten diese Daten dem Machtbereich der Zedenten entstammen. Die Beklagte verweist hierzu auf mögliche Methoden des „Social Engineering“ zu Lasten der Zedenten. Darunter zu verstehen sind Vorgehensweisen, bei denen Täter durch täuschende Kontaktaufnahmen Vertrauen schaffen und den Angerufenen zur Preisgabe personalisierter Sicherheitsmerkmale bewegen sollen. Zugleich führt die Beklagte aus, dass Angriffe auf das von der A betriebene Banksystem im relevanten Zeitraum nicht stattgefunden hätten und das eingesetzte Verfahren dem Stand der Technik entsprochen habe. Mündliche Verhandlungen haben am 17.09.2025, 28.10.2025 und 20.11.2025 stattgefunden. Das Gericht hat am 17.09.2025 den Kläger informatorisch angehört und am 28.10.2025 die Zedenten sowie am 03.12.2025 die Mieter der Zedenten vernommen. Wegen der Einzelheiten wird auf die gewechselten Schriftsätze der Parteien nebst Anlagen sowie die Protokolle der mündlichen Verhandlungen Bezug genommen.

2 O 64/24

Zitationsnetzwerk