8 S 59/24

Auf die Berufung der Beklagten wird das am 01.08.2024 verkündete Urteil des Amtsgerichts Remscheid (Az. 27 C 135/23) dahingehend abgeändert, dass die Klage abgewiesen wird. Die Kosten des Rechtsstreits erster Instanz sowie des Berufungsverfahrens tragen die Kläger als Gesamtschuldner. Das Urteil ist vorläufig vollstreckbar. G r ü n d e I. Von einer Darstellung des Sachverhalts wird gemäß §§ 540 Abs. 2, 313a Abs. 1 Satz 1 ZPO abgesehen. II. Die zulässige Berufung hat in der Sache Erfolg. Den Klägern steht zwar grundsätzlich ein Zahlungsanspruch gegen die Beklagte aus § 675u S. 2 BGB in Höhe von 2.409,43 Euro zu. Diesem Anspruch kann die Beklagte jedoch im Wege des dolo-agit-Einwandes (§ 242 BGB) ihren in derselben Höhe gegen die Kläger bestehendem Schadenersatzanspruch aus § 675v Abs. 3 Nr. 2 BGB entgegen halten. 1. Zunächst zutreffend ist das Amtsgericht davon ausgegangen, dass den Klägern gegen die Beklagte ein Anspruch auf Zahlung in Höhe von 2.409,43 Euro aus § 675u S. 2 BGB zusteht. Denn zwischen dem Kläger und der Beklagten bestand ein Zahlungsdiensterahmenvertrag, in dessen Rahmen ein nicht autorisierter Zahlungsvorgang sowie eine Belastung des Zahlungskontos des Klägers erfolgt ist. Dass die streitgegenständlichen Zahlungsvorgänge tatsächlich nicht von den Beklagten autorisiert waren, hat das Amtsgericht zu Recht erkannt. Diese Feststellung wurde mit der Berufung nicht mehr angegriffen. 2. Der Beklagten steht jedoch ihrerseits ein Schadensersatzanspruch gegen den Kläger aus § 675v Abs. 3 Nr. 2 BGB zu, weil der Kläger die Abbuchungen in grob fahrlässiger Verletzung seiner Pflichten aus § 675l Abs. 1 S. 1 BGB bzw. den – unstreitig einbezogenen – Online-Banking-Bedingungen der Beklagten dadurch ermöglicht hat, dass er eine virtuelle Debitkarte auf einem fremden Mobiltelefon freigegeben hat. a. § 675l Abs. 1 S. 1 BGB sieht vor, dass der Zahlungsdienstnutzer verpflichtet ist, alle zumutbaren Vorkehrungen zu treffen, um personalisierte Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Weiterhin sehen die Online-Banking-Bedingungen in Ziffer 7.1 Abs. 2 (b) vor, dass die Nachweise des Besitzelementes (z.B. TAN) nicht außerhalb des Online-Bankings mündlich oder in Textform weitergegeben werden dürfen. Gemäß Ziffer 7.3 der „Bedingungen für das Online-Banking" zeigt die Beklagte dem Teilnehmer die von ihr empfangenen Auftragsdaten über das gesondert vereinbarte Gerät des Teilnehmers an. Der Teilnehmer ist verpflichtet, vor der Bestätigung die Übereinstimmung der angezeigten Daten mit den für den Auftrag vorgesehenen Daten zu prüfen. Gegen diese Pflichten hat der Kläger verstoßen. Nach den technischen Aufzeichnungen und den Erläuterungen der Beklagten zur technischen Funktionsweise, denen die Kläger nicht erheblich entgegengetreten sind, ist davon auszugehen, dass zum einen die Zugangsdaten zum Online-Banking mit den potentiellen Tätern geteilt worden sein müssen und zudem der Kläger zweimal die Einrichtung bzw. die Wiederherstellung einer digitalen Karte im Wege der 2-Faktor-Authentifizierung in der T App freigegeben haben muss. Zunächst hat die Beklagte substantiiert dargelegt, was im Übrigen auch der Erfahrung der Kammer entspricht, dass für die Einrichtung der mobilen Karte der Zugang zum Online-Banking erforderlich ist, was seinerseits wiederum mindestens die Kenntnis von zwei Merkmalen voraussetzt, nämlich die Kenntnis des Anmeldenamens sowie des Passwortes. Sodann hat der Kläger, wie sich aus den vorgelegten technischen Aufzeichnungen der Beklagten nachvollziehbar ergibt, am 08.09.2023 um 16:26 Uhr mittels PUSH-TAN in der App T auf seinem Handy die Freigabe einer digitalen Karte autorisiert. Für die Freigabe musste der Kläger sich in der App unter Angabe seiner persönlichen Sicherheitskennung einloggen und sodann den Auftrag mit dem Hinweis „ Auftrag zur Autorisierung … Freigabe digitale Karte “ durch einen entsprechenden Klick auf „ Bestätigung “ freigeben. Wenige Minuten später, um 16:29 Uhr, wiederholte sich der Vorgang in leicht veränderter Form. Der Kläger erhielt eine Push Nachricht mit dem Text " Wiederherstellen digitale Girocard " und gab diesen Auftrag unter Angabe seiner persönlichen Kennung ebenfalls frei. Durch die Freigabe der Einrichtung der digitalen Karte auf einem fremden Mobiltelefon hat der Kläger den Verfügungsrahmen für die unbekannten Täter eingeräumt. Die Kammer geht davon aus, dass die Freigaben wie vorstehend geschildert und von der Beklagten mit den zugehörigen technischen Aufzeichnungen substantiiert dargelegt durch den Kläger erfolgt ist. Die Kläger sind dem substantiierten Vortrag der Beklagten nicht erheblich entgegengetreten. Ein einfaches Bestreiten genügt angesichts der substantiierten Darlegungen der Beklagten nicht, zumal die Kläger selbst im Schriftsatz vom 24.02.2024 nicht ausschließen, dass sie auf einen Phishing-Versuch hereingefallen sein könnten. b. Dies geschah auch in grob fahrlässiger Weise. Eine grob fahrlässige Pflichtverletzung erfordert einen in objektiver Hinsicht schweren und in subjektiver Hinsicht unentschuldbaren Verstoß gegen die vorstehend geschilderten Sorgfaltsanforderungen. Grob fahrlässig handelt, wer die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt, einfachste und naheliegende Überlegungen nicht anstellt und in der konkreten Situation das nicht beachtet, was sich jedem aufdrängt (st. Rspr., z.B. BGH Urt. v. 13.12.2004 – II ZR 17/03). Dabei bestimmt sich die im Verkehr erforderliche Sorgfalt daran, was von einem durchschnittlichen Angehörigen der jeweiligen Verkehrskreise in der jeweiligen Situation erwartet werden kann. Gemessen daran ist dem Kläger grobe Fahrlässigkeit vorzuwerfen. Im Ergebnis dahinstehen kann, ob es bereits grob fahrlässig von dem Kläger war, dass sie – technisch zwingend – ihre Zugangsdaten für das Online-Banking den unbekannten Tätern zur Verfügung gestellt haben. Dies erscheint zweifelhaft, da sich nicht genau aufklären lässt, wann und wie dies geschehen ist. Dementsprechend ist nicht auszuschließen, dass der vermeintliche Phishing-Vorgang so authentisch und undurchschaubar war, dass dem Kläger im Hinblick darauf kein objektiv schwerwiegender und subjektiv unentschuldbarer Verstoß gegen die im Online-Banking geltende Sorgfaltspflicht gemacht werden kann. Diese Unaufklärbarkeit ginge insoweit zu Lasten der die Darlegungs- und Beweislast tragenden Beklagten. Dem Kläger ist aber vorzuwerfen, dass er zwei Mal die Einrichtung bzw. Wiederherstellung einer digitalen Bezahlkarte im Wege der Zwei-Faktor-Authentifizierung freigegeben hat, obwohl er dies nicht wollte. Hätte der Kläger die Hinweise in der T App gelesen, hätte es sich ihm aufdrängen müssen, dass es sich nicht um einen regulären Vorgang handeln kann. Er hätte die Freigabe ohne weiteres verhindern können, indem er nicht auf "Bestätigen" geklickt hätte. Den Kläger entschuldigt dabei nicht, dass er angibt, die Freigabe nicht getätigt haben zu wollen. Dass der Kläger exakt im Moment des Eingangs der Push-TAN-Nachricht zufällig eine ungewollte Klick- bzw. Wischbewegung auf dem Smartphone gemacht hat, anschließend seine persönliche Kennung eingab und sodann einen weiteren ungewollten zufälligen Klick zur Auftragsfreigabe tätigte, erscheint allenfalls denktheoretisch möglich. Wenn ein Kunde aber über einen Kanal, der ansonsten ausschließlich zur Auslösung von Zahlungsvorgängen genutzt wird, überraschend zur Abgabe einer Erklärung aufgefordert wird und diese abgibt, ohne sie zu lesen oder bei seiner Bank Rückfrage zu halten, begründet dies den Vorwurf der groben Fahrlässigkeit in objektiver und subjektiver Hinsicht. Insbesondere auch in Situationen, in denen die Aufmerksamkeit nicht vollständig auf das Finanzgeschäft gerichtet werden kann, drängt es sich aus Sicht eines verständigen Bürgers auf, nicht einfach ungelesen einen Auftrag freizugeben, sondern die Angelegenheit beiseite zu legen, bis man sich ihr mit voller Aufmerksamkeit widmen kann. Dies gilt umso mehr, wenn man selbst keinen Anlass für die Freigabe gesetzt hat. Dass der Kläger, wie er in seiner persönlichen Anhörung angegeben hat, sein Mobiltelefon am fraglichen Tag wegen des plötzlichen Krankenhausaufenthalts seiner Schwiegermutter die ganze Zeit nicht in der Hand gehabt haben will, ist von der Kammer bereits nicht zu berücksichtigten, §§ 529 Abs. 2 Nr. 2 StPO, 531 Abs. 2 ZPO. Es ist nicht ersichtlich, dass dieser Vortrag nicht bereits erstinstanzlich hätte vorgebracht werden können, nachdem auch die Daten, an denen die hier maßgeblichen Transaktionen ausweislich der Aufzeichnungen im System der Beklagten vorgenommen wurden, bereits erstinstanzlich vorlagen. Den Kläger entschuldigt auch nicht, dass er selbst keine digitale Bezahlkarte nutzt. Im Gegenteil darf bei einem für einen Kunden unbekannten Begrifflichkeiten eine besondere Sorgfalt erwartet werden. Soweit der Kläger schließlich darauf abstellt, dass der Phishing-Vorgang mit einem Transfer vom Festgeldkonto auf das Girokonto zeitlich verknüpft sei, dringt er damit nicht durch, da dieser Transfer unstreitig erst am Sonntag erfolgte, nämlich nachdem alle mit der Klage angegriffenen Verfügungen bereits durchgeführt worden waren. c. Entgegen der Rechtsauffassung der Kläger liegt kein anspruchsminderndes Mitverschulden der Beklagten im Sinne von § 254 BGB vor, weil sie die missbräuchlichen Transaktionen hätte erkennen können und verhindern müssen. Ungeachtet der Frage, ob die Umstände im konkreten Fall überhaupt als auffällig und als Indikatoren für einen möglichen missbräuchlichen Kontozugriff angesehen werden könnten, liegt ein ein Mitverschulden begründender Sorgfaltsverstoß der Beklagten nicht vor. Artikel 2 und 3 der Delegierten Verordnung 2018/389 sehen nur die Pflicht zur Einrichtung von Transaktionsüberwachungsmechanismen vor, die bankaufsichtsrechtlich zu überwachen sind, nicht dagegen die Pflicht zur Überwachung und Vorabkontrolle einzelner Zahlungsvorgänge. Die nach Art. 2 der Delegierten VO 2018/389 vorzuhaltenden Transaktionsüberwachungsmechanismen sind nicht auf eine Echtzeitanalyse einzelner Zahlungsvorgänge gerichtet, durch die im Interesse der betroffenen Zahlungsdienstnutzer gegebenenfalls auffällige Transaktionen vor deren Ausführung zu stoppen wären (so die Auslegung durch die Europäische Bankenaufsichtsbehörde (EBA) in Single Rulebook Q& A, Question ID 2018_4090; ebenso Casper/Terlau-Terlau, 3. Aufl., § 1 ZAG Rn. 520). Systematisch ist dies daraus abzuleiten, dass Art. 2 der Delegierten VO 2018/389 hier von Transaktionsüberwachungsmechanismen spricht, während in Art. 18 diesen dort in Abs. 1 genannten Mechanismen die Echtzeitanalyse in Abs. 2 Buchst. c) gegenübergestellt wird. Auch insoweit verbleibt es dabei, dass die europarechtlichen aufsichtsrechtlichen Regelungen keine den Kunden schützende Sorgfaltspflicht der Beklagten vorsehen; wiederum ist diese aufsichtsrechtliche Wertung auch für den zivilrechtlichen Sorgfaltsmaßstab heranzuziehen, so dass im Ergebnis ein zur Annahme eines Mitverschuldens führender Sorgfaltsverstoß der Beklagten zu verneinen ist (OLG Bremen Beschl. v. 15.4.2024 – 1 U 47/23, BeckRS 2024,11361 Rn. 35, beckonline). Da die Kläger für die das Mitverschulden begründenden Umstände darlegungs- und beweisbelastet sind, wäre es an ihnen vorzutragen, dass die Beklagte diese Anforderungen nicht erfüllt. Dies haben sie nicht getan. 3. Diesen ihr gegen den Kläger zustehenden Schadenersatzanspruch aus § 675u Abs. 3 BGB kann die Beklagte auch der Klägerin im Wege des Dolo-Agit-Einwandes (§ 242 BGB) entsprechend § 429 Abs. 3 i.V.m. § 422 Abs. 1 BGB entgegengehalten, da diesem Einwand vergleichbar mit der Aufrechnung Gesamtwirkung zukommt. 4. Mangels Hauptanspruch besteht auch kein Anspruch auf Erstattung der außergerichtlichen Rechtsanwaltskosten. III. Die Kostenentscheidung beruht auf §§ 92 Abs. 1, 97 Abs. 1 ZPO. Der Ausspruch hinsichtlich der vorläufigen Vollstreckbarkeit dieses und des angefochtenen Urteils folgt aus §§ 708 Nr. 10 Sätze 1 und 2, 713 ZPO. IV. Die Revision ist nicht zuzulassen, weil die Sache weder grundsätzliche Bedeutung hat (§ 543 Abs. 2 Satz 1 Nr. 1 ZPO), noch die Fortbildung des Rechts oder die Sicherung einer einheitlichen Rechtsprechung eine Entscheidung des Revisionsgerichts erfordert (§ 543 Abs. 2 Satz 1 Nr. 2 ZPO). Der Entscheidung liegen insbesondere keine klärungsbedürftigen Fragen zu Grunde, die sich in einer unbestimmten Vielzahl von Fällen stellen können. V. Der Streitwert für das Berufungsverfahren wird auf 2.409,43 Euro festgesetzt.