5 U 83/23

Leitsatz: 1. Die gesamte Haftung des Kunden in § 675v BGB hängt davon ab, dass die das konkrete Online-Banking-Verfahren zur Verfügung stellende Bank dabei eine starke Kundenauthentifizierung verwendet, deren Nutzung bei dem Zahlungsvorgang verlangt und die Elemente der starken Kundenauthentifizierung vor Freigabe des konkreten Zahlungsvorgangs auch tatsächlich korrekt überprüft. (Rn.59) 2. Art. 5 der Verordnung (EU) 2018/389 gibt für Fernzahlungsvorgänge vor, dass dem Zahler zunächst Zahlungsbetrag und Zahlungsempfänger anzuzeigen sind. Der generierte Authentifizierungscode (z.B. TAN) muss sodann speziell diesem Betrag und diesem Empfänger zuzuordnen sein, was vom Zahlungsdienstleister nach der Eingabe/Übermittlung durch den Zahler noch einmal zu überprüfen ist. Nachträgliche Änderungen von Betrag oder Empfänger müssen zur Ungültigkeit des Authentifizierungscodes führen. Vertraulichkeit, Authentizität und Integrität der verarbeiteten Zahlungsdaten sind dabei gemäß Art. 5 Abs. 2 der Verordnung während des gesamten Vorgangs sicherzustellen. (Rn.61) 3. Dieser dynamische Faktor ist in der Regel bereits durch die im Online-Banking übliche TAN realisiert, sofern diese an den Betrag und den Zahlungsempfänger gebunden ist. Das chipTAN-Verfahren ist im Ausgangspunkt ein Sicherungsverfahren, das nach bislang bekannt gewordenen Erkenntnissen grundsätzlich (noch) als unüberwindbar gilt (vgl. BGH, 26. Januar 2016, XI ZR 91/14). (Rn.62) 4. Zahlungsbetrag und Zahlungsempfänger müssen dem Zahler nicht in allen Phasen der Authentifizierung angezeigt werden. (Rn.63) Auf die Berufung der Beklagten wird das Urteil der 4. Zivilkammer des Landgerichts Halle vom 23. Juni 2023 abgeändert und wie folgt neu gefasst: Die Klage wird abgewiesen. Der Kläger trägt die Kosten des Rechtsstreits. Das Urteil ist ohne Sicherheitsleistung vorläufig vollstreckbar. Der Kläger kann die Vollstreckung durch Sicherheitsleistung in Höhe von 120 v. H. des beizutreibenden Betrages abwenden, sofern nicht die Beklagte vor der Vollstreckung Sicherheit in dieser Höhe leistet. und beschlossen: Der Streitwert der Berufung wird auf die Wertstufe bis 40.000 EUR festgesetzt. I. Die Parteien streiten über die Verpflichtung der Beklagten zur Rückgängigmachung von Belastungsbuchungen in Höhe von insgesamt 39.454,00 EUR. Der Kläger, der als selbstständiger Handwerker tätig ist, unterhält bei der Beklagten bereits seit 2003 das Geschäftsgirokonto mit der Kto.-Nr. ... welches für die Nutzung im Online-Banking im ChipTAN-Verfahren freigeschaltet ist, sowie ein weiteres privates Konto mit der Kto.-Nr. ... Die Parteien hatten für Überweisungen ein Tageslimit in Höhe von 10.000 EUR vereinbart. Die Ehefrau des Klägers, die Zeugin ..., ist bereits seit 2003 als Verfügungsberechtigte für das Geschäftskonto des Klägers eingesetzt und kümmert sich um die Rechnungen sowie den Zahlungsverkehr des Betriebes. Am 28. Juni 2004 vereinbarten die Parteien die Teilnahme des Klägers am Online-Banking. Der Nutzung im Online-Banking liegen die Rahmenvereinbarung und die Bedingungen für das Online-Banking zugrunde. In den Bedingungen für die konto-/depotbezogene Nutzung des Online-Bankings mit PIN und TAN sind unter Ziffer 7 die Pflichten zur Geheimhaltung der PIN und TAN geregelt, in denen es unter anderem heißt: „Der Teilnehmer hat Sorge dafür zu tragen, dass keine andere Person Kenntnis von der PIN und der TAN erlangt. Jede Person, die die PIN und – falls erforderlich – eine TAN kennt, hat die Möglichkeit, das Online-Leistungsangebot zu nutzen. Sie kann z.B. Aufträge zu Lasten des Kontos/Depots erteilen. (...)“ Wegen des weiteren Inhalts wird auf die Ablichtungen der Bedingungen für die konto-/depotbezogene Nutzung des Online-Bankings mit PIN und TAN (Anlage B 2, Bl. 32 Bd. 1 d. A.) Bezug genommen. Im Zeitpunkt der streitgegenständlichen Verfügungen galten zudem die Bedingungen für das Online-Banking in der Fassung vom 19. September 2019. In diesen sind unter Ziffer 7 die Sorgfaltspflichten des Teilnehmers geregelt, in denen es unter anderem heißt: „(b) Besitzelemente, wie z.B. die Sparkassen-Card mit TAN-Generator oder ein mobiles Endgerät, sind vom Missbrauch zu schützen, insbesondere - (...) - dürfen die Nachweise des Besitzelements (z.B. TAN) nicht außerhalb des Online-Bankings mündlich (z.B. per Telefon) oder in Textform (z.B. per E-Mail, Messenger-Dienst) weitergegeben werden und (...)“ Wegen des weiteren Inhalts wird auf die Ablichtungen der Bedingungen für das Online-Banking (Anlage K 3, Bl. 61 ff. Bd. 1 d. A.) Bezug genommen. Am 30. Oktober 2020 entdeckte die Zeugin ... beim Versuch, sich im Online-Banking der Beklagten einzuloggen, eine Meldung, dass der TAN-Generator „neu konfiguriert“ werden müsste. Anschließend loggte sie sich in dem E-Mail-Account des Klägers bei t.-portal ein. Dort öffnete sie eine E-Mail des Absenders „noreply@r..gmbh“ und dem Logo der Sparkasse im Textfeld mit der Mitteilung: „mit unserer Online-Nachricht heute informieren wir Sie über wichtige Änderungen im Onlineerlebnis Ihrer Sparkasse. ab dem 30.10.2020 erhalten Sie ein einheitlich abgestimmtes neues System, kurz CISC, (Covid Intelligence Spa Connect). (...) Diese Umstellung ist eine Pflichtumstellung. (...). Wegen des weiteren Inhalts der E-Mail wird auf deren Ablichtung (Anlage K 2, Bl. 9, Bd. I d. A.) verwiesen. Die Zeugin ... klickte auf den Button „Weiter zur Registration“, wodurch sich eine Internetseite öffnete, auf der sie folgende Daten des Klägers eingab: Nachname, Geburtsdatum und die letzten 4 Ziffern sowie das Ablaufdatum der Sparkassenkarte. Danach ging eine weitere E-Mail im E-Mail-Account des Klägers ein, in der mitgeteilt wurde, dass sich in der Kürze ein Kundenberater melden werde. Am Samstag, dem 31 Oktober 2020, ging zwischen 13:00 Uhr und 14:00 Uhr auf dem Festnetztelefon ein Anruf unter der Telefonnummer der Beklagten ein. Der Anrufer stellte sich als Mitarbeiter der Beklagten vor. Nach Aufforderung des Anrufers drückte die Zeugin die Tasten 1 und 2 auf dem TAN-Generator gleichzeitig 3 Sekunden lang. Danach folgte sie den weiteren Anweisungen des Anrufers. Sie steckte die Sparkassenkarte in den TAN-Generator. Der Anrufer teilte einen „Start-Code“ mit. Diesen tippte die Zeugin ein und bestätigte mit „Ok“. Danach teilte der Anrufer weitere Ziffernfolgen mit, die sie ebenfalls mit „Ok“ bestätigte. Anschließend erschien im TAN-Generator eine 6-stellige Nummer, die die Zeugin dem Anrufer telefonisch mitteilte. Diesen Vorgang wiederholte die Zeugin auf Weisung des Anrufers, weil dieser mitteilte, dass „es technische Probleme gegeben habe“. Schließlich kündigte der Anrufer an, am Sonntag nochmal anzurufen, um alle Vorgänge ordnungsgemäß abzuschließen. Am Sonntag, dem 1. November 2020, rief der Anrufer nochmals an und ließ die Zeugin noch zweimal die beschriebenen Vorgänge durchführen. Ausweislich der von der Beklagten vorgelegten Transaktionsprotokolle (Anlagen B 6 – B 11, Bl. 121 ff Bd. I d. A.) wurden am 31. Oktober 2020 und 1. November 2020 folgende Zahlungsvorgänge über das Online-Banking vom Geschäftskonto des Klägers ausgeführt, bei denen jeweils als Sicherungsverfahren das manuelle ChipTAN-Verfahren mit dem TAN-Generator und der Sparkassencard des Klägers genutzt wurde: - Am 31. Oktober 2020, 13:11 Uhr erfolgte eine temporäre Limitänderung auf 94.999,00 EUR für den 31. Oktober 2020. - Am 31. Oktober 2020, 13:16 Uhr erfolgte eine Echtzeit-Überweisung in Höhe von 7.222,00 EUR. - Am 31. Oktober 2020, 13:19 Uhr erfolgte eine Echtzeit-Überweisung in Höhe von 7.445,00 EUR. - Am 1. November 2020, 11:09 Uhr erfolgte eine temporäre Limitänderung auf 80.000,00 EUR für den 1 November 2020. - Am 1. November 2020, 11:11 Uhr wurde sodann eine Echtzeit-Überweisung über einen Betrag von 8.787,00 EUR erfasst. - Am 1. November 2020, 11:16 Uhr erfolgte schließlich eine weitere Echtzeit-Überweisung über einen Betrag von 16.000,00 EUR. Zum weiteren Sach- und Streitstand im ersten Rechtszug sowie zu den erstinstanzlich gestellten Anträgen wird auf den Tatbestand des angefochtenen Urteils (Leseabschrift Bl. 126 – 141 Bd. II d. A.) Bezug genommen (§ 540 Abs. 1 Nr. 1 ZPO). Das Landgericht hat der Klage in vollem Umfang stattgegeben und zur Begründung ausgeführt, der Kläger könne von der Beklagten gemäß § 675u Satz 2 BGB verlangen, dass diese sein Zahlungskonto wieder auf den Stand bringt, auf dem es sich ohne die Belastung durch die nicht autorisierten Zahlungsvorgänge befunden hätte. Die unstreitig am 31. Oktober 2020 und 1. November 2020 durch die Beklagte ausgeführten Zahlungsvorgänge seien nicht vom Kläger autorisiert worden. Eine Autorisierung durch den Kläger sei durch die Beklagte nicht nachgewiesen worden. Es bestünden keine Zweifel an einem kriminellen Angriff Dritter und der fehlenden Kenntnis des Klägers sowie seiner Ehefrau von den tatsächlichen Vorgängen und deren Bedeutung sowie dem Fehlen eines rechtsgeschäftlichen Erklärungsbewusstseins der Zeugin ... bei dem Befolgen der technischen Anweisungen des Anrufers und der Mitteilung von Ziffern. Für die Annahme einer Duldungsvollmacht fehle es an der Kenntnis des Klägers oder der Zeugin ... von den seitens des unbekannten Dritten tatsächlich erteilten Zahlungsaufträgen. Schließlich sei die Zurechnung rechtsgeschäftlichen Handelns bei missbräuchlicher Nutzung eines Zahlungsinstruments nach den Grundsätzen für eine Anscheinsvollmacht abzulehnen. Andernfalls würde die gemäß § 675v Abs. 3 BGB lediglich bei vorsätzlicher oder grob fahrlässiger Schadensherbeiführung durch den Zahler vorgesehene unbeschränkte Haftung ins Leere laufen. Der somit entstandene Anspruch auf wertmäßige Gutschrift der nicht autorisierten Zahlungsvorgänge sei weder durch die erklärte Aufrechnung mit Schadensersatzansprüchen gegenüber dem Kläger gemäß §§ 675v Abs. 3, 249 BGB erloschen, noch könne die Beklagte entsprechende Schadensersatzansprüche im Wege der dolo agit Einrede entgegenhalten. Derartige Ansprüche seien nach § 675v Abs. 4 Satz 1 BGB ausgeschlossen, denn die Beklagte habe für die streitgegenständlichen Zahlungsvorgänge keine starke Kundenauthentifizierung im Sinne der §§ 1 Abs. 24, 55 Abs. 1 und 2 ZDG iVm. Art. 5 Abs. 1 und 2 der delegierten Verordnung (EU) 2018/389 über technische Regulierungsstandards für eine starke Kundenauthentifizierung und für sichere offene Standards für die Kommunikation verlangt. Zahlbetrag und Zahlungsempfänger müssten dem Zahler in allen Phasen der Authentifizierung, einschließlich der Generierung, Übertragung und Verwendung des Zahlungscodes, angezeigt werden. Dies sei vorliegend jedoch nicht der Fall gewesen. Die Zeugin ... habe auf dem Display des TAN-Generators nicht erkennen können, dass es sich um Zahlungsvorgänge oder darauf zielende Zahlungsdienstaufträge handelte. Zahlbetrag und Zahlungsempfänger seien während der Generierung der TAN auf dem Display nicht angezeigt worden. Im Übrigen bestünden Ansprüche der Beklagten gegen den Kläger gemäß § 675v Abs. 3 BGB aufgrund der bestehenden Tageslimitvereinbarung lediglich in Höhe von 16.009,00 EUR, denn die beiden weiteren Zahlungen hätten das jeweils zwischen den Parteien wirksam vereinbarte Tageslimit überschritten. Eine Änderung des vereinbarten Tageslimits im Online-Banking sei durch den Kläger nicht autorisiert worden. Gegen dieses Urteil wendet sich die Beklagte mit ihrer Berufung, mit der sie die Abweisung der Klage begehrt. Die Beklagte meint, eine Autorisierung der Überweisungen sei wegen zurechenbaren Verhaltens seiner Ehefrau selbst bzw. jedenfalls mit dessen Einwilligung erfolgt, indem seine Ehefrau die TAN generiert und an den Anrufer herausgegeben habe. Der Nachweis einer positiven Kenntnis des Zahlungsdienstnutzers von den konkreten Zahlungsvorgängen werde von § 675w BGB entgegen der Annahme des Landgerichts nicht gefordert. Gemäß § 675j BGB könne die Zustimmung zu einem Zahlungsvorgang mittels eines bestimmten Zahlungsinstruments zwischen Zahlungsdienstnutzer und Zahlungsdienstleister vereinbart werden. Dies sei vorliegend unstreitig der Fall. Als Zahlungsdienstinstrument sei der TAN-Generator vereinbart worden. Die ordnungsgemäße Aufzeichnung der fehlerfreien Nutzung des TAN-Generator als Zahlungsinstrument der streitgegenständlichen Transaktionen sei ebenfalls unstreitig. Zwar reiche dies allein noch nicht aus, um eine ordnungsgemäße Autorisierung durch den Zahlungsdienstnutzer nachzuweisen. Es würden jedoch weitere Beweismittel vorliegen. Sowohl der Kläger als auch seine Ehefrau hätten bestätigt, eigenhändig Transaktionsdaten in den TAN-Generator eingegeben zu haben und sodann erscheinende, durch diesen generierte 6-stellige Nummer herausgegeben zu haben. Dies seien die TAN gewesen, mit denen die streitgegenständlichen Transaktionen freigegeben wurden. Dies hätte die Ehefrau des Klägers auch erkennen müssen. Sie habe das Online-Banking des Klägers seit Jahren getätigt und den TAN-Generator nie zuvor für etwas Anderes genutzt, als 6-stellige TAN zu generieren und damit Transaktionen im Online-Banking freizugeben. Das Landgericht habe unter Verstoß gegen die Hinweispflicht und zu Unrecht angenommen, dass der ihr wegen der grob fahrlässigen Pflichtverletzung des Klägers zustehende Schadensersatzanspruch gemäß § 675v Abs. 3 Nr. 2 BGB gemäß § 675v Abs. 4 BGB ausgeschlossen sei, da sie für die vorliegenden Transaktionen keine starke Kundenauthentifizierung verlangt habe. Es sei unzutreffend, dass der Kunde bzw. die Kundin den Betrag und die Kontonummer nicht im Display des TAN-Generators sehen kann. Die Ziffern seien zwar nicht angezeigt worden wie beim optischen chipTAN-Verfahren, sondern der Kunde habe sie selbst eingetippt. Sonst hätte keine TAN errechnet werden können. Im Vergleich zum optischen chipTAN-Verfahren sei dieses Verfahren noch transparenter, da der Kunde nicht „aus Versehen“ über die angezeigten Daten hinwegklicken könne. Wenn der Kunde bei der Eingabe einen Fehler machen würde, dann würde die TAN nicht mehr zu den übermittelten Daten passen und der Auftrag würde abgelehnt. Da die Überweisung also ausgeführt wurde, die Zahlung aber an einen Betrüger gegangen ist, sei eindeutig nachweisbar, dass der Kunde die Daten des Betrügers freigegeben habe. Das chipTAN-Verfahren, bei welchem die Zahlungskarte in ein externes Lesegerät eingeführt werden muss und dieses Gerät die Kerndaten des Zahlungsvorganges anzeigt, sei ein Anwendungsbeispiel für eine qualifiziert-starke Kundenauthentifizierung. Die TAN errechne sich insofern dynamisch, als die Kundenkennung des Empfängerkontos und der Zahlungsbetrag einfließen. Eine starke Kundenauthentifizierung im Sinne des ZAG i.V.m. der Verordnung zur Ergänzung der Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards für eine starke Kundenauthentifizierung und für sichere offene Standards für die Kommunikation (RTS) verlange im elektronischen Fernzahlungsverkehr gerade nicht, dass Zahlungsbetrag und Zahlungsempfänger dem Zahler in allen Phasen der Authentifizierung angezeigt werden. Lediglich Vertraulichkeit, Authentizität und die Integrität von Zahlbetrag und Zahlungsempfänger seien in allen Phasen der Authentifizierung zu wahren. Da Zahlbetrag und Zahlungsempfänger gesondert in Art. 5 Abs. 2 lit. a) RTS formuliert seien, gehörten sie explizit nicht zu den unter Art. 5 Abs. 2 lit. b) formulierten „Angaben, die dem Zahler in allen Phasen der Authentifizierung, einschließlich der Generierung, Übertragung und Verwendung des Authentifizierungscodes, angezeigt werden.“ Auch wenn man Art. 5 Abs. 1 und 2 RTS zusammen lese, ergebe sich nicht, wie vom Landgericht angenommen, dass Zahlbetrag und Zahlungsempfänger in allen Phasen der Authentifizierung angezeigt werden müssen. Für die Zwecke des Absatzes 1, also überhaupt Betrag und Empfänger anzuzeigen, sind nach Art. 5 Abs. 2 Sicherheitsmaßnahmen vorgeschrieben, die die Vertraulichkeit, die Authentizität und die Integrität von Zahlungsbetrag und Zahlungsempfänger in allen Phasen der Authentifizierung gewährleisten. In allen Phasen der Authentifizierung seien also Vertraulichkeit, Authentizität und Integrität von Zahlungsbetrag und Zahlungsempfänger zu gewährleisten, damit sie überhaupt, aber nicht in allen Phasen der Authentifizierung gemäß Art. 5 Abs. 1 lit. a) RTS dem Zahler angezeigt werden können. Auch Erwägungsgrund 3 der RTS fordere, dass Betrag und Zahlungsempfänger dem Zahler beim Auslösen des Zahlungsvorgangs angegeben werden. Soweit der Kläger und dessen Ehefrau behaupten, während der Vorgänge seien Zahlbetrag und Empfänger im Display nicht zu erkennen gewesen, habe sie, die Beklagte, dies bestritten und unter Beweis durch Sachverständigengutachten und Zeugen angeboten. Diese Beweisangebote seien vom Landgericht nicht berücksichtigt worden. Es bestehe auch keine Haftungsbeschränkung auf den Betrag in Höhe von 16.009,00 EUR, welcher sich aus den jeweils ersten streitgegenständlichen Überweisungen pro Tag zusammensetze, die das ursprünglich vereinbarte Tageslimit i.H.v. 10.000 EUR nicht übersteigen. Der Kläger habe selbst durch Herausgabe der transaktionsbezogenen TAN sowie den Informationen zu Geburtsdatum und Kartennummer für die zusätzlich erforderlichen Sicherheitsabfragen eine Erhöhung des Tageslimits autorisiert. Der Kläger habe die Möglichkeit gehabt, das ursprünglich in der Rahmenvereinbarung vereinbarte Limit zu erhöhen. Bei einer Änderung des Überweisungslimits handele es sich um einen Zahlungsdienst im Sinne des § 675c BGB, ebenso wie die Überweisung selbst. Die Willenserklärung zur Erhöhung des Überweisungslimits durch den Kläger bzw. seiner Frau für ihn wurde hierbei wirksam und vertragsgemäß durch den Gebrauch der dem Kläger zugeordneten Authentifizierungselemente ersetzt. Für eine Änderung musste er sich mit seinen Zugangsdaten im Online-Banking anmelden und die beantragte Änderung mit der Eingabe des Geburtstages, der Kartennummer sowie PIN und TAN bestätigen. Da die jeweiligen Limits wirksam vereinbart wurden, stehe dem Kläger eine Haftungsbeschränkung auf das vereinbarte Verfügungslimit nicht zu. Die Beklagte beantragt, unter Abänderung des Urteils der 4. Zivilkammer des Landgerichts Halle vom 23. Juni 2023 die Klage abzuweisen. Der Kläger beantragt, die Berufung zurückzuweisen. Der Kläger verteidigt die angefochtene Entscheidung. Der Senat hat in der mündlichen Verhandlung Beweis erhoben durch die Vernehmung des Zeugen ... sowie der Zeugin .... Wegen des Ergebnisses der Beweisaufnahme wird auf das Sitzungsprotokoll (Bl. 42 – 43 Bd. III d. A.) Bezug genommen. II. Die Berufung ist zulässig (§§ 511 Abs. 1, Abs. 2 Nr. 1, 513 Abs. 1, 517, 519 f. ZPO) und hat in der Sache auch Erfolg. 1. Der Kläger hat zwar gegen die Beklagte einen Anspruch aus § 675u Satz 1 und 2 BGB, sein Konto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastungen durch die streitgegenständlichen fünf Zahlungsvorgänge befunden hätte. Danach hat im Fall eines nicht autorisierten Zahlungsvorgangs der Zahlungsdienstleister des Zahlers gegen diesen keinen Anspruch auf Erstattung seiner Aufwendungen. Er ist verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag – wie hier – einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte. a) Bei den streitgegenständlichen Echtzeitüberweisungen handelt es sich um nicht durch den Kläger autorisierte Zahlungsvorgänge. Ein Zahlungsvorgang ist nach § 675j Abs. 1 Satz 1 BGB gegenüber dem Zahler nur wirksam, wenn er diesem zugestimmt hat (Autorisierung). Fehlt es an einer Autorisierung durch den Zahler, hier den Kläger, so steht dem Zahlungsdienstleister kein Aufwendungsersatzanspruch aus §§ 675c Satz 1, 670 BGB und dementsprechend kein Erstattungsanspruch nach § 675u Satz 1 BGB zu; vielmehr hat er dem Zahler den Zahlbetrag gemäß § 675u Satz 2 BGB unverzüglich zu erstatten und das Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte. Die Zustimmung kann entweder als Einwilligung oder als Genehmigung erteilt werden, wobei die Art und Weise der Zustimmung zwischen dem Zahler und seinem Zahlungsdienstleister zu vereinbaren sind. Insbesondere kann vereinbart werden, dass die Zustimmung mittels eines bestimmten Zahlungsinstruments erteilt werden kann (§ 675j Abs. 1 Sätze 2 bis 4 BGB). Nach herrschender Meinung handelt es sich bei der Zustimmung um eine einseitige, empfangsbedürftige Willenserklärung (vgl. MüKoHGB/Linardatos, 4. Aufl. 2019, K, Rn. 57; Grüneberg/Sprau, BGB, 81. Aufl., § 675j Rn. 3, m.w.N.; Zahrte, BKR 2016, 315, 316). Nach allgemeinen Grundsätzen trägt ein Zahlungsdienstnutzer, der einen Anspruch auf Wiedergutschrift nach § 675u Satz 2 BGB geltend macht, die Darlegungs- und Beweislast dafür, dass er den in Rede stehende Zahlungsvorgang nicht autorisiert hat (vgl. OLG Dresden, Urteil vom 13. Oktober 2022 – 8 U 760/22, Rn. 42, juris; Grüneberg/Sprau, BGB, 81. Aufl., § 675u Rn. 8; § 675w Rn. 6). Diese Grundsätze werden jedoch durch die Regelung in § 675w BGB überlagert und modifiziert. Ist nämlich die Autorisierung eines ausgeführten Zahlungsvorgangs streitig, hat der Zahlungsdienstleister nach § 675w Satz 1 BGB nachzuweisen, dass eine Authentifizierung erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht sowie nicht durch eine Störung beeinträchtigt wurde (vgl. OLG Karlsruhe, Urteil vom 12. April 2022 - 17 U 823/20, Rn. 59 ff. Juris). Der Wortlaut des § 675w BGB unterscheidet strikt zwischen Authentifizierung und Autorisierung: Hat der Zahlungsdienstleister die Anforderungen für eine Authentifizierung gemäß § 675w Satz 2 BGB erfüllt, so ist hiermit „nicht notwendigerweise“ auch die Autorisierung der Zahlung durch den berechtigten Nutzer gemäß § 675j Abs. 1 Satz 1 BGB nachgewiesen (§ 675w Satz 3 Nr. 1 BGB). Umgekehrt ist der Nachweis der Autorisierung gescheitert, wenn der Zahlungsdienstleister die ordnungsgemäße Authentifizierung des Vorgangs nicht darlegen und beweisen kann (§ 675w Satz 1 BGB). Mit dem Begriff der Autorisierung ist die Zustimmung des Zahlers zum Zahlungsvorgang gemäß § 675j Abs. 1 BGB gemeint. Unter Authentifizierung ist die technische und formalisierte Überprüfung der Identitätsbehauptung des Zahlers zu verstehen. Hierzu hat der Zahlungsdienstleister vor allem die personalisierten Sicherheitsmerkmale zu überprüfen (MüKoHGB/Linardatos, 4. Aufl. 2019, K, Rn. 233). Eine Authentifizierung ist erfolgt, wenn der Zahlungsdienstleister die Nutzung eines bestimmten Zahlungsinstruments, einschließlich seiner personalisierten Sicherheitsmerkmale, mit Hilfe eines Verfahrens überprüft hat. Dabei steht die Ausgestaltung des Authentifizierungsverfahrens im Organisationsermessen des Zahlungsdienstleisters (vgl. ausführlich: OLG Dresden, Urteil vom 13. Oktober 2022 – 8 U 760/22, Rn. 43, Juris). Die von der Beklagten vorgelegten Unterlagen B 6 bis B 11 belegen, dass eine Authentifizierung, d.h. eine technische und formalisierte Überprüfung der Nutzung des Zahlungsinstruments einschließlich personalisierter Sicherungsinstrumente durch den Kläger bzw. dessen Ehefrau erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht sowie nicht durch eine Störung beeinträchtigt wurde (§ 675w Satz 1 BGB). Mit dieser Authentifizierung nach § 675w Satz 1 BGB stehen allerdings lediglich die Grund- bzw. Mindestvoraussetzungen für die Anwendung eines Anscheinsbeweises für eine ordnungsgemäße Autorisierung des Zahlungsvorgangs durch den Kläger fest (vgl. Schnauder/Beesch, jurisPR-BKR 4/2019 Anm. 4, Juris, S. 5, m.w.N.; OLG Dresden, Urteil vom 13. Oktober 2022 – 8 U 760/22 –, Rn. 48, Juris). Kann der Zahlungsdienstleister einen in technischer Hinsicht störungsfreien Zahlungsvorgang nachweisen, so spricht für die Autorisierung durch den Zahlungsdienstnutzer eine gewisse Vermutung, die jedoch nach § 675w Satz 3 BGB „allein nicht notwendigerweise“ zum Nachweis der Autorisierung ausreicht. Dies bedeutet, dass an den bloßen Nachweis der Authentifizierung durch Verwendung von PIN und TAN nicht die unwiderlegliche Vermutung geknüpft werden darf, der Zahler habe selbst die Zahlung autorisiert oder für sie nach § 675v BGB einzustehen. § 675w Satz 3 BGB erfordert vielmehr die Berücksichtigung der Gesamtumstände des Einzelfalls im Rahmen richterlicher Beweiswürdigung gemäß § 286 ZPO. Einen etwaigen zu Gunsten der Beklagten sprechenden Anscheinsbeweis für eine ordnungsgemäße Autorisierung des Zahlungsvorgangs hat der Kläger erschüttert. Zur Erschütterung des Anscheinsbeweises muss der Kläger keinen konkreten und erfolgreichen Angriff gegen das Authentifizierungsinstrument dartun und beweisen, sondern nur solche Umstände, die gegen die Autorisierung durch ihn und für ein missbräuchliches Eingreifen Dritter sprechen. Diese Anforderungen kann der Zahler auch dadurch erfüllen, dass er außerhalb des Sicherheitssystems des Zahlungsdienstleisters liegende Indizien, die für einen nicht autorisierten Zahlungsvorgang sprechen, substantiiert darlegt und bei Bestreiten nachweist (BGH, Urteil vom 26. Januar 2016, XI ZR 91/14, Rn. 29 und 48, Juris). Der Senat ist im Ergebnis der Beweisaufnahme davon überzeugt, dass nicht der Kläger oder seine Ehefrau, sondern ein unbefugter Dritter, der aufgrund der Angaben der Zeugin ... im Rahmen der „Registration“ oder aufgrund eines vorangegangenen und unbemerkt gebliebenen Angriffs die Online-Banking Zugangsdaten des Klägers kannte, im Online-Banking jeweils mittels der von der arglosen Zeugin ... erzeugten chipTAN die Erhöhungen des Überweisungslimits und die in Rede stehenden Überweisungen auf das Konto eines unbekannten Dritten bestätigt hat. Der Senat glaubt der Zeugin ..., dass sie diese Vorgänge nicht selbst im Online-Banking ausgelöst hat und die chipTAN in dem Glauben, ein Bankmitarbeiter sei ihr bei der Konfigurierung des TAN-Generators behilflich, erzeugt und weitergegeben hat. Die Zeugin ... vermittelte überzeugend den Eindruck, Opfer eines Missbrauchs geworden zu sein. Ihre Angaben ließen sich mit denen des Zeugen ... zu dem in Betracht kommenden Vorgehen eines Täters in Einklang bringen. Danach handelte die Ehefrau des Klägers nicht in dem Bewusstsein, Überweisungen zu tätigen, sondern lediglich in der Absicht, den TAN-Generator „neu zu konfigurieren“ b) Der Kläger muss sich die Zustimmung des unbefugten Dritten auch nicht nach Rechtsscheingrundsätzen zurechnen lassen. Denn ein Zahlungsvorgang ist autorisiert und dem Zahler gegenüber wirksam, wenn der Zahler dem Zahlungsvorgang zugestimmt hat, § 675j Abs. 1 Satz 1 BGB. Die Zustimmung nach § 675j Abs. 1 Satz 1 BGB muss tatsächlich vom Zahler stammen. Die Erklärung eines nicht vertretungsberechtigten Dritten kann dem Zahler nicht nach Rechtsscheingrundsätzen zugerechnet werden, weil die Regelungen in § 675j Abs. 1, § 675u Satz 1 BGB abschließend sind (vgl. BGH, Urteil vom 26. Januar 2016 - XI ZR 91/14, Rn. 58, juris). Die Zustimmung kann gemäß § 675j Abs. 1 Satz 2 BGB entweder als Einwilligung oder, sofern zwischen dem Zahler und seinem Zahlungsdienstleister zuvor vereinbart, als Genehmigung erteilt werden. Art und Weise der Zustimmung sind zwischen dem Zahler und dem Zahlungsdienstleister zu vereinbaren, § 675j Abs. 1 Satz 3 BGB (BGH, Urteil vom 17. November 2020 – XI ZR 294/19 –, BGHZ 227, 343-365, Rn. 13, Juris). Denn nach dem zwischen Bank und Kunde geschlossenen Vertrag ist bei Nutzung eines – gemäß § 675l BGB ohnehin geheim zu haltenden – personalisierten Zahlungsauthentifizierungsinstruments eine Bevollmächtigung Dritter ausnahmslos ausgeschlossen. Zudem ist der in § 675v Abs. 2 BGB (a.F.) festgelegte Grundsatz, dass der Kontoinhaber für einen nicht autorisierten Zahlungsvorgang nur bei Vorsatz oder grober Fahrlässigkeit einzustehen habe, berührt, wenn daneben dessen Haftung nach den Regeln eines Handelns unter fremdem Namen auch für einfache Fahrlässigkeit in Betracht kommt (BGH, Urteil vom 26. Januar 2016 - XI ZR 91/14, Rn. 58, juris sowie ausführlich OLG Dresden, Urteil vom 13. Oktober 2022 – 8 U 760/22, Rn. 58, juris zum chipTAN-Verfahren). 2. Dem Anspruch des Klägers aus § 675u Satz 2 BGB steht allerdings ein Schadenersatzanspruch der Beklagten gegen den Kläger aus § 675v Abs. 3 Nr. 2b BGB in gleicher Höhe entgegen, den die Beklagte dem Kläger gemäß § 242 BGB nach Treu und Glauben erfolgreich entgegenhalten kann, so dass der Kläger im Ergebnis eine Wiedergutschrift des gesamten Überweisungsbetrages in Höhe von 39.454,00 EUR nicht verlangen kann. Besteht ein Schadensersatzanspruch des Zahlungsdienstleisters, kann in Höhe des Anspruchs eine Gutschrift nach § 675u Satz 2 BGB gemäß den Grundsätzen von Treu und Glauben verweigert werden (vgl. BGH, Urteil vom 17. November 2020 - XI ZR 294/19, Rn. 25; Juris). a) Ein Schadenersatzanspruch der Beklagten gegen den Kläger aus § 675v Abs. 3 Nr. 2 BGB, gerichtet auf Ersatz des gesamten Schadens, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist (nicht lediglich auf Ersatz von 50 EUR, vgl. Abs. 1), besteht dann, wenn der Zahler den Schaden durch grob fahrlässige Verletzung a) einer oder mehrerer Pflichten gemäß § 675l Abs. 1 BGB oder b) einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments herbeigeführt hat. Grobe Fahrlässigkeit erfordert einen in objektiver Hinsicht schweren und in subjektiver Hinsicht schlechthin unentschuldbaren Verstoß gegen die Anforderungen der konkret erforderlichen Sorgfalt. Selbst ein objektiv grober Pflichtenverstoß rechtfertigt für sich noch keinen zwingenden Schluss auf ein entsprechend gesteigertes personales Verschulden (BGH, Urteil vom 26. Januar 2016, XI ZR 91/14, Rn. 71, Juris). Von dem Kunden, der am Online-Banking teilnimmt, ist zu erwarten, dass er die Authentifizierungselemente, wie unter Ziff. 7 der Bedingungen für das Online-Banking vorgesehen, schützt. Da nahezu alle Angriffe auf das Online-Banking in irgendeiner Form beim Kunden ansetzen, ist der Nutzer des Online-Bankings verpflichtet, Täuschungsversuche abzuwehren. Gefälschte Websites oder Elemente sind für ihn zwar oft nicht erkennbar. Anlass für die Haftung des Kunden ist dann das Erkennen sonstiger Verdachtsmomente, beispielsweise ungewöhnlicher Aufforderungen (Borges, NJW 2012, 2385). Phishing-Angriffe sind nicht ohne erhebliche Mitwirkung des Zahlungsdienstnutzers möglich. Die von den Zahlungsdienstnutzern zu erwartende angemessene Sorgfalt besteht hier darin, Zugangsdaten niemandem auf Nachfrage anzuvertrauen, sei es am Telefon, in E-Mails oder im Internet. Zulässig und wegen der Warnwirkung sogar erforderlich ist es, dass die Zahlungsdienstleister ihre Kunden darauf hinweisen, dass sie Zugangsdaten ausschließlich über die Eingabemasken auf den institutseigenen Internetseiten abfragen und jede anderweitige Weitergabe personalisierter Sicherheitsmerkmale daher sorgfaltswidrig ist. Bei Weitergabe am Telefon oder per E-Mail liegt dann stets ein Sorgfaltspflichtverstoß vor und – abhängig von den Besonderheiten des Einzelfalls, insbesondere subjektiven Gesichtspunkten – der Vorwurf grob fahrlässigen Verhaltens nahe (BeckOGK/Hofmann, 1.9.2022, BGB § 6751 Rn. 96). Nach diesen Grundsätzen hat der Kläger durch das ihm zuzurechnende Verhalten seiner Ehefrau grob fahrlässig gegen seine Sorgfaltspflichten gemäß Ziffer 7.1 Abs. 2 Buchst. b Spiegelstrich 5 Bedingungen für das Online-Banking (Anlage K 3, Bl. 62 Bd. I d. A.) verstoßen. Bereits bei sorgfältiger Kontrolle der als Anlage K 2 vorgelegten E-Mail vom 27. Oktober 2020 hätte der Zeugin ... auffallen müssen, dass diese nicht von der Beklagten, sondern von „noreply@r..gmbh“ stammt und zudem zahlreiche Rechtschreibfehler beinhaltet. Auch das in der E-Mail in Aussicht gestellte „neue einheitlich abgestimmte System Covid Intelligence Spa Connect“ hätte die Zeugin stutzig machen müssen. Insbesondere auch, weil darin, anders als in der vorangegangenen Meldung, keinerlei Hinweise zu einer vermeintlichen „Neukonfigurierung des TAN-Generators“ enthalten sind. Dem Kläger und dessen Ehefrau mag nicht bekannt sein, dass es möglich ist, eine Anrufer-Nummer vorzutäuschen (Call-ID-Spoofing). Allerdings hätten bereits die Anrufzeiten den Kläger und dessen Ehefrau stutzig machen müssen. Denn die Anrufe erfolgten am Samstag und Sonntag außerhalb üblicher Bankgeschäftszeiten. Unter diesen Umständen hätte es dem Kläger bei Wahrung der erforderlichen Sorgfalt oblegen, selbst bei der Beklagten anzurufen und sich zu vergewissern, dass es sich bei dem Anrufer tatsächlich um einen Mitarbeiter der Beklagten handelt. Der Kläger hätte sich auch zuvor im Internet hinsichtlich der in Aussicht gestellten „Neukonfiguration des TAN-Generators“ informieren können. Dann hätte er festgestellt, dass sich dort diverse Hinweise der Sparkassen zum Online-Banking, aber keine zur Erforderlichkeit einer „Neukonfigurierung des TAN-Generators“ finden lassen. Dem Kläger ist vorzuwerfen, dass sich seine Ehefrau auf die Vorgaben des Anrufers eingelassen, chipTAN erzeugt und an den Anrufer weitergegeben hat. Der Kläger wurde schon in den Bedingungen für das Online-Banking dazu angehalten, die TAN ausschließlich im Online-Banking zu verwenden und weder mündlich noch in Textform weiterzugeben. Aufgrund der umfangreichen Berichterstattung in den öffentlichen Medien zu den vielfachen und mannigfaltigen Angriffen beim Internet-Banking, insbesondere dem Phishing ist allgemein bekannt, dass man die TAN niemals außer zur Bestätigung eines in Auftrag gegebenen Vorgangs verwenden soll (zum Phishing: OLG München, Urteil vom 22. September 2022, 19 U 2204/22, Rn. 99, Juris). Der Kläger nutzte den TAN-Generator bereits seit Jahren und war nie zuvor aufgefordert worden, diesen „neu zu konfigurieren“. Schließlich hätte die Ehefrau des Klägers erkennen können, dass sie die chipTAN erzeugt und an den Anrufer weitergibt. Dass ihr nicht bekannt war, dass man im Online-Banking das Tageslimit erhöhen kann und sie bis dahin nur das optische Chip-TAN-Verfahren genutzt und ihr das manuelle Chip-TAN-Verfahren nicht bekannt war, vermag sie nicht zu entlasten. Bei Wahrung der erforderlichen Sorgfalt hätte sich ihr aufdrängen müssen, dass sie den TAN-Generator wie bisher auch dieses Mal zur Erzeugung von TAN benutzt, welche man zur Bestätigung von Zahlungsvorgängen im Online-Banking benötigt. Soweit sie angegeben hat, sie habe nicht erkennen können, dass sie Empfänger-IBAN und Überweisungsbeträge in den TAN-Generator eingibt und TAN erzeugt, vermochte dies nicht zu überzeugen. Der Senat ist aufgrund der Angaben des Zeugen ... davon überzeugt, dass sie im Zusammenhang mit den Limiterhöhungen nach Eingabe des ihr mitgeteilten Startcodes jeweils die TAN-Taste betätigt und die ihr daraufhin mit der Bezeichnung „TAN“ angezeigte sechsstellige Nummer weitergegeben hat. Im Zusammenhang mit den Überweisungen wurden jeweils nacheinander IBAN, Betrag und TAN im Display des TAN-Generators angezeigt und die Ehefrau des Klägers hat jeweils IBAN und Betrag in den TAN-Generator eingegeben, dann durch Betätigung der TAN-Taste die TAN erzeugt, und die mit der Bezeichnung „TAN“ angezeigte sechsstellige Nummer an den Anrufer weitergegeben. Der Zeuge ... schilderte schlüssig den Ablauf des manuellen chipTan-Verfahrens und demonstrierte dies in Gegenwart der Zeugin ... anschaulich in der Verhandlung. Danach muss sich der Nutzer bei der Verwendung des manuellen chipTAN-Verfahrens mit seinem Anmeldenamen sowie seiner persönlichen PIN in sein Online-Banking-Konto einloggen und dort den Überweisungsauftrag erstellen. Anschließend muss in den TAN-Generator, in den die Chipkarte eingesteckt wird, ein sog. Startcode, der aus 8 Ziffern besteht, eingegeben werden, um die korrekte Auftragsart in die TAN-Erzeugung einfließen zu lassen. Dieser Startcode ist bei jeder neuen Überweisung unterschiedlich und wird beim Online-Banking auf der Website vom System vorgegeben. Anschließend wird der Nutzer im Display des TAN-Generators aufgefordert, die IBAN des Empfängers einzugeben, die anschließend mit der Taste „OK“ bestätigt wird und dann den Betrag einzugeben, der mit der Taste „OK“ bestätigt wird. Nach Eingabe und Bestätigung der manuell eingegebenen Daten in den TAN-Generator errechnet der TAN-Generator auf Grundlage der an ihn zuvor übermittelten Daten sowie auf Basis der von der Chipkarte ausgelesenen Chipkartennummer und Kundenkontonummer eine auf die konkrete Überweisung bezogene 6-stellige TAN, die im entsprechenden Feld auf der Website des Online-Bankings eingegeben werden muss. Eine Möglichkeit, Zahlen in den TAN-Generator einzugeben, ohne dass erkennbar ist, worum es sich handelt, gibt es nicht. Davon hat sich der Senat während der Demonstration im Echtbetrieb überzeugt. Nach den glaubhaften Angaben des Zeugen hat sich an der Funktionsweise des TAN-Generators seit 2020 nichts geändert, auch auf dem des Klägers wurden im Display die Bezeichnungen „IBAN“ „Betrag“ und TAN angezeigt. Dem ist weder der Kläger noch die anweisende Zeugin ... entgegengetreten. Die Zeugin ... hat mithin in der von den üblichen Vorgängen abweichenden Situation ganz naheliegende Überlegungen nicht angestellt und jegliche Vorsicht vermissen lassen. Ihr hätte sich wie jedem anderen Zahlungsdienstnutzer in dieser Situation aufdrängen müssen, dass sie möglicherweise nicht mit der Beklagten, sondern einem Dritten kommuniziert. Bei der insoweit erforderlichen Gesamtbetrachtung sämtlicher Umstände stellt sich das Handeln der Zeugin ... welches sich der Kläger zurechnen lassen muss, als objektiv schwerwiegender und subjektiv nicht entschuldbarer Verstoß gegen die Anforderungen der im Verkehr erforderlichen Sorgfalt dar b) Der Schadensersatzanspruch der Beklagten ist nicht nach § 675v Abs. 4 Nr. 1 BGB ausgeschlossen. Danach ist der Zahler seinem Zahlungsdienstleister nicht zum Schadensersatz verpflichtet, wenn der Zahlungsdienstleister des Zahlers eine starke Kundenauthentifizierung im Sinne des § 1 Abs. 24 ZDG nicht verlangt. Nach § 55 ZDG ist der Zahlungsdienstleister verpflichtet, eine starke Kundenauthentifizierung insbesondere dann zu verlangen, wenn der Zahler online auf sein Zahlungskonto zugreift. Zweck dieser Regelung ist, die Zahlungsdienstleister zu veranlassen, eine möglichst sichere Kundenauthentifizierung technisch einzuführen und bei sämtlichen Zahlungsvorgängen mit einem Zahlungsinstrument zur Verfügung zu stellen. Deswegen hängt die gesamte Haftung des Kunden in § 675v BGB davon ab, dass die das konkrete Online-Banking-Verfahren zur Verfügung stellende Bank dabei eine starke Kundenauthentifizierung verwendet, deren Nutzung bei dem im Streit stehenden Zahlungsvorgang verlangt und die Elemente der starken Kundenauthentifizierung vor Freigabe des konkreten Zahlungsvorgangs auch tatsächlich korrekt überprüft. Das Kreditinstitut muss folglich alles getan haben, damit eine starke Kundenauthentifizierung bei dem fraglichen Zahlungsvorgang tatsächlich angewendet werden konnte und erfolgreich angewendet worden ist (Ellenberger/Bunte BankR-HdB, § 33. Bankgeschäfte online Rn. 386, beck-online). Eine starke Kundenauthentifizierung ist gemäß § 1 Abs. 24 ZDG eine Authentifizierung, die so ausgestaltet ist, dass die Vertraulichkeit der Authentifizierungsdaten geschützt ist und die unter Heranziehung von mindestens zwei der folgenden, in dem Sinne voneinander unabhängigen Elementen geschieht, dass die Nichterfüllung eines Kriteriums die Zuverlässigkeit der anderen nicht in Frage stellt: 1. Kategorie Wissen, also etwas, das nur der Nutzer weiß, 2. Kategorie Besitz, also etwas, das nur der Nutzer besitzt oder 3. Kategorie Inhärenz, also etwas, das der Nutzer ist. Bei elektronischen Fernzahlungsvorgängen, wie vorliegend dem Online-Banking, fordert § 55 Abs. 2 ZDG zusätzlich zu der starken Kundenauthentifizierung im Sinne von § 1 Abs. 24 ein dynamisches Element, über welches der Zahlungsvorgang mit einem konkreten Betrag und dem spezifischen Empfänger verknüpft wird. Die EU-Kommission hat in Form der delegierten Verordnung (EU) 2018/389 über technische Regulierungsstandards für eine starke Kundenauthentifizierung die technischen Vorgaben an die Authentifizierung im Allgemeinen und an eine starke Kundenauthentifizierung im Besonderen vereinheitlicht. Diese Verordnung ist seit dem 14. September 2019 unmittelbar geltendes Recht (Art. 38 Delegierte VO (EU) 2018/389). Art. 5 dieser Verordnung gibt für Fernzahlungsvorgänge vor, dass dem Zahler zunächst Zahlungsbetrag und Zahlungsempfänger anzuzeigen sind. Geschuldet ist also eine Visualisierung. Der generierte Authentifizierungscode (z.B. TAN), dessen Einmaligkeit bereits aus Art. 4 Abs. 1 Satz 2 der Verordnung folgt, muss sodann speziell diesem Betrag und diesem Empfänger zuzuordnen sein, was vom Zahlungsdienstleister nach der Eingabe/Übermittlung durch den Zahler noch einmal zu überprüfen ist. Nachträgliche Änderungen von Betrag oder Empfänger müssen zur Ungültigkeit des Authentifizierungscodes führen. Vertraulichkeit, Authentizität und Integrität der verarbeiteten Zahlungsdaten sind dabei gemäß Art. 5 Abs. 2 der Verordnung während des gesamten Vorgangs sicherzustellen. Dieser dynamische Faktor ist in der Regel bereits durch die im Online-Banking übliche TAN realisiert, sofern diese an den Betrag und den Zahlungsempfänger gebunden ist. Dabei wird die Transaktionsnummer erst im Rahmen der Auftragserteilung dynamisch erzeugt, wobei Empfängerdaten und Zahlungsbetrag in den Berechnungsalgorithmus einfließen (vgl. Begr. RegE, BT-Drs. 18/11495, 140; Casper/Terlau/Zahrte, 3. Aufl. 2023, ZAG § 55 Rn. 58; Zahrte NJW 2018, 337, 340). Das hier bei den streitgegenständlichen Überweisungen zur Anwendung gelangte chipTAN-Verfahren ist im Ausgangspunkt ein Sicherungsverfahren, das nach bislang bekannt gewordenen Erkenntnissen grundsätzlich (noch) als unüberwindbar gilt (vgl. BGH, Urteil vom 26. Januar 2016 - XI ZR 91/14, Rn. 35; Maihold, in: Ellenberger/Bunte, Bankrechtshandbuch, 6. Aufl. 2022, § 33 Rn. 37 f.). Dies liegt darin begründet, dass bei Verwendung einer dynamischen TAN ein hohes Sicherheitsniveau durch die sichere Abschottung eines spezialisierten Chipkartenlesers (TAN-Generators) von dem möglicherweise kompromittierten Rechner erreicht wird, so dass es sich weitgehend ausschließen lässt, dass ein Angreifer durch Infizierung allein des vom Nutzer für das Online-Banking eingesetzten Geräts (Desktop-Rechner, Notebook, Tablet etc.) einen Zahlungsauftrag verfälschen oder gar auslösen kann, ohne dass dies spätestens bei Kontrolle der empfangenen TAN durch Kunde bzw. Bank auffällt (Maihold, in: Ellenberger/Bunte, Bankrechtshandbuch, 6. Aufl. 2022, § 33 Rn. 37 f.; ausführlich zum ChipTAN-Verfahren: Hoeren/Kairies, ZBB 2015, 35 ff.). Entgegen der Ansicht des Landgerichts müssen schließlich Zahlungsbetrag und Zahlungsempfänger dem Zahler nicht in allen Phasen der Authentifizierung angezeigt werden. Zwar verlangt Art. 5 Abs. 1 lit. a) der VO (EU) 2018/389, dass Zahlungsbetrag und Zahlungsempfänger dem Zahler angezeigt werden. Allerdings wird kein Zeitpunkt vorgegeben. Art. 5 Abs. 1 lit. b) bestimmt, dass der generierte Authentifizierungscode speziell für den Zahlungsbetrag und den Zahlungsempfänger gilt, denen der Zahler beim Auslösen des Vorgangs zugestimmt hat. Demnach sind Zahlungsbetrag und Zahlungsempfänger zum Zeitpunkt des Auslösens des Vorgangs anzuzeigen. Bei Verwendung eines TAN-Generators erfolgt dies mangels Verbindung des Generators mit dem Internet jedenfalls stets im Online-Banking. Eine Bewertung folgt auch nicht aus Art. 5 Abs. 2 VO (EU) 2018/389. Danach sind Vertraulichkeit, Authentizität und Integrität von Zahlungsbetrag und Zahlungsempfänger in allen Phasen der Authentifizierung zu gewährleisten, Art. 5 Abs. 2 lit. a). Da Zahlungsbetrag und Zahlungsempfänger unter lit. a) genannt sind, gehören sie nicht zu den Angaben, die nach Art. 5 Abs. 2 lit. b) dem Zahler in allen Phasen der Authentifizierung, einschließlich der Generierung, Übertragung und Verwendung des Authentifizierungscodes, angezeigt werden müssen. Dies wird gestützt durch Erwägungsgrund 3 der VO (EU) 2018/389: Da elektronische Fernzahlungsvorgänge einem höheren Betrugsrisiko ausgesetzt sind, ist es notwendig, bei solchen Vorgängen zusätzliche Anforderungen für eine starke Kundenauthentifizierung einzuführen; diese sollten sicherstellen, dass die Elemente den Zahlungsvorgang dynamisch mit einem Betrag und einem Zahlungsempfänger verknüpfen, die vom Zahler beim Auslösen des Zahlungsvorgangs angegeben werden. Die Auslösung des Zahlungsvorganges erfolgt im Online-Banking und nicht im TAN-Generator. Betrugsversuche sind auch bei Einsatz dieser TAN-Verfahren nicht auszuschließen. Allerdings führt die Transaktionsbindung dazu, dass ein erfolgreicher Angriff nur denkbar ist, wenn der Kontoinhaber selbst den Zahlungsauftrag, dessen Betrag und Empfänger er sieht, freischaltet. Das Verfahren bietet daher keinen Schutz vor einer Täuschung des Kunden. Gelingt es – wie offenkundig vorliegend der Fall – einem Angreifer, den Bankkunden über die Bedeutung der eingegebenen Daten zu täuschen, wird der Kunde irrtumsbedingt den konkreten Zahlungsauftrag technisch freigeben. c) Schließlich ist die Haftung des Klägers gemäß § 675v Abs. 3 BGB auch nicht auf die Zahlungsvorgänge vom 31. Oktober 2020 über 7.222,00 EUR und vom 1. November 2020 über 8.787,00 EUR begrenzt. Zwar lagen die weiteren Zahlungen über dem ursprünglich zwischen den Parteien vereinbarten Tageslimit von 10.000 EUR. Die temporären Änderungen des Tageslimits wurden durch den Kläger bzw. dessen Ehefrau auch nicht durch die Herausgabe der transaktionsbezogenen TAN, sowie den Informationen zu Geburtsdatum und Kartennummer für die zusätzlich erforderlichen Sicherheitsabfragen autorisiert. Denn auch insoweit gilt, dass mit der Authentifizierung lediglich die Grund- bzw. Mindestvoraussetzungen für die Anwendung eines Anscheinsbeweises für eine ordnungsgemäße Autorisierung des Zahlungsvorganges durch den Kläger feststehen. Der Senat ist – wie auch bei den Überweisungen – im Ergebnis der Beweisaufnahme davon überzeugt, dass der Kläger bzw. dessen Ehefrau die temporären Änderungen des Tageslimits nicht selbst im Online-Banking ausgelöst und die chipTAN-Verfahren in dem Glauben, ein Bankmitarbeiter sei ihr bei der Konfigurierung des TAN-Generators behilflich, erzeugt und weitergegeben haben. Der Kläger muss sich, wie bereits oben ausgeführt, die Zustimmung des unbefugten Dritten auch nicht nach Rechtsscheingrundsätzen zurechnen lassen. Gleichwohl besteht insoweit jedenfalls ein Schadensersatzanspruch der Beklagten gegen den Kläger aus § 675v Abs. 3 Nr. 2 BGB. Denn auch bezogen auf die Änderung des Tageslimits hat der Kläger durch das ihm zuzurechnende Verhalten seiner Ehefrau grob fahrlässig gegen seine Sorgfaltspflichten gemäß Ziffer 7.1 Abs. 2 Buchst. b Spiegelstrich 5 Bedingungen für das Online-Banking (Anlage K 3, Bl. 62 Bd. I d. A.) verstoßen. III. Die prozessualen Nebenentscheidungen beruhen auf den §§ 3, 91, 708 Nr 10, 711 ZPO, 39 Abs. 1, 43 Abs. 1, 47 Abs. 1, 48 Abs. 1 GKG. Die Voraussetzungen der Zulassung der Revision (§ 543 Abs. 2 ZPO) sind nicht erfüllt. &112 1JURE250001010#250114