17 U 127/22

Leitsatz: 1. Gegen die Pflicht zur sicheren Verwahrung des Aktivierungscodes wird verstoßen, wenn ein Bankkunde den übermittelten Freischaltcode zur Aktivierung seines Mobiltelefons über die SecureGo-App für das Online-Banking per E-Mail an eine ihm mitgeteilte Empfängeradresse versendet.(Rn.53) 2. Deutlicher Anlass zum Misstrauen ist gegeben, wenn ein als Bankberater auftretender Anrufer dem Bankkunden am Telefon mitteilt, dieser werde einen automatisch von der Bank versendeten Brief erhalten, der einen Freischaltcode enthalte, den er per E-Mail zurücksenden müsse, damit er weiter am Online-Banking teilnehmen könne.(Rn.60) 3. Es ist fast schon allgemein bekannt, dass die Banken ihre Kunden nicht zur Weitergabe sensibler Daten am Telefon und per E-Mail auffordern.(Rn.60) 4. Es ist unverständlich, wenn sich ein Bankkunde trotz wahrgenommener Unstimmigkeiten vor der Übermittlung des Freischaltcodes an eine nicht in dem Schreiben der Bank erwähnte E-Mail-Adresse nicht über die ihm bekannten Kommunikationswege bei seiner Bank erkundigt.(Rn.62) 5. Wird ein Freischaltcode in einem durch Schwarzdruck gesicherten geschlossenen Umschlag übersandt, wie dieses bei geheim zu haltenden Informationen (z.B. PIN oder Freigabecode) üblich ist, dann ist dies ein offensichtlicher Hinweis darauf, dass der Inhalt nicht für Dritte bestimmt ist.(Rn.63) 6. Im Rahmen des Mitverschuldens der Bank ist in jedem Einzelfall zu prüfen, was zur Verhinderung oder Minderung und Beseitigung des Schadens zu tun war. Für die Annahme eines Mitverschuldens ist es nicht erforderlich, dass sie gegen eine gesetzliche Vorschrift verstößt. Vielmehr ist unter Abwägung aller Umstände festzustellen, ob ein für die Schadensentstehung oder -erhöhung kausales „Verschulden gegen sich selbst“ gegeben ist.(Rn.101) 1. Die Berufung der Klägerin gegen das Urteil des Landgerichts Mannheim vom 30. November 2022 – 9 O 457/21 – wird zurückgewiesen. 2. Die Klägerin hat die Kosten des Berufungsverfahrens zu tragen. 3. Dieses Urteil und das in Ziffer 1 genannte Urteil des Landgerichts Mannheim sind vorläufig vollstreckbar. Die Klägerin kann die Vollstreckung durch Sicherheitsleistung in Höhe von 120 % des aufgrund der Urteile vollstreckbaren Betrages abwenden, sofern nicht die Beklagte vor der Vollstreckung Sicherheit in Höhe von 120 % des jeweils zu vollstreckenden Betrages leistet. 4. Die Revision wird nicht zugelassen. I. Die Klägerin begehrt von der beklagten Bank die Erstattung ohne Autorisierung abgebuchter Beträge, die Beklagte rechnet mit Schadensersatzansprüchen in gleicher Höhe auf. Die Klägerin unterhielt bei der Beklagten zwei Konten (Kontonummern 8… und 4…), für die sie das Online-Banking-Angebot der Beklagten nutzte. Die zwischen den Parteien vereinbarten „Sonderbedingungen für das Online-Banking“ (Anlage B3) lauten auszugsweise wie folgt: „1 Leistungsangebot (…) (3) Zur Nutzung des Online-Banking gelten die mit der Bank gesondert vereinbarten Verfügungslimite. Eine Änderung dieser Limite kann der Teilnehmer mit seiner Bank gesondert vereinbaren. (…) 7 Sorgfaltspflichten des Teilnehmers 7.1 Schutz der Authentifizierungselemente (1) Der Teilnehmer hat alle zumutbaren Vorkehrungen zu treffen, um seine Authentifizierungselemente (siehe Nummer 2 dieser Bedingungen) vor unbefugtem Zugriff zu schützen. Ansonsten besteht die Gefahr, dass das Online-Banking missbräuchlich verwendet oder in sonstiger Weise nicht autorisiert genutzt wird (vgl. Nummern 3 und 4 dieser Bedingungen). (2) Zum Schutz der einzelnen Authentifizierungselemente hat der Teilnehmer vor allem Folgendes zu beachten: (a) Wissenselemente, wie z.B. die PIN, sind geheim zu halten; sie dürfen insbesondere - nicht mündlich (z. B. telefonisch oder persönlich) mitgeteilt werden, - nicht außerhalb des Online-Banking in Textform (z. B. per E-Mail, Messenger-Dienst) weitergegeben werden, (b) Besitzelemente, wie z. B. die girocard mit TAN-Generator oder ein mobiles Endgerät, sind vor Missbrauch zu schützen, insbesondere (…) - muss der Teilnehmer, der von der Bank einen Code zur Aktivierung des Besitzelements (z.B. Mobiltelefon mit Anwendung für das Online-Banking) erhalten hat, diesen vor dem unbefugten Zugriff anderer Personen sicher verwahren; ansonsten besteht die Gefahr, dass andere Personen ihr Gerät als Besitzelement für das Online-Banking des Teilnehmers aktivieren.)“ Für die Konten galten tägliche Verfügungslimite in Höhe von 2.000 EUR und 5.000 EUR. Im Online-Banking-Account der Klägerin wurde der für sie zuständige Bankberater, der Zeuge D. H., mit Bild und Kontaktdaten angezeigt. Die Klägerin kannte zum Zeitpunkt der Verfügungen den Zeugen nicht persönlich. Ein Nutzer des Onlinebankings kann auf den Account durch Eingabe seines individuellen VRNetkeys und seiner individuellen PIN zugreifen. Aus dem Onlinebanking kann das sog. SecureGo-Verfahren beauftragt und der dazugehörige Freischaltcode angefordert werden. In diesem Verfahren kann der Kunde Transaktionen mittels Transaktionsnummern (TANs) autorisieren, die durch die jeweilige Freigabe in der SecureGo-App erzeugt werden. Am 27. Mai 2021 gingen zwischen 14.53 Uhr und 17.38 Uhr auf der Büronummer der Klägerin insgesamt vier Anrufe ein. Die Klägerin nahm den letzten Anruf entgegen. Der Anrufer meldete sich als ihr Bankberater H.. Er teilte der Klägerin mit, dass ihr ein Brief der Beklagten betreffend das Online-Banking zugeschickt worden sei. Da die Klägerin an dem SecureGo-Verfahren nicht teilnehmen wollte, solle sie den Freischaltcode an den Support der Beklagten schicken. Zu diesem Zweck werde sie in den nächsten Tagen eine E-Mail erhalten. Am Abend desselben Tages fand die Klägerin zu Hause in ihrem Briefkasten einen Brief der Beklagten vor (Anlage K2). Dieser Brief enthielt einen Freischaltcode für das SecureGo-Verfahren. In dem Schreiben ist unter anderem folgender Hinweis enthalten: „Eine Eingabe oder ein Upload des Codes außerhalb der SecureGo-App ist nicht erforderlich. Wenn Sie hierzu aufgefordert werden, dann kontaktieren Sie uns bitte über die bekannten Kommunikationswege.“ Am 28. Mai 2021 erhielt die Klägerin eine E-Mail (Anlage K3). In der Kopfzeile wird als Absender die tatsächliche E-Mail-Adresse des Bankberaters der Beklagten „D..H.@v.bank.de“ aufgeführt. Die E-Mail lautet auszugsweise wie folgt: „(…) bitte geben Sie bei unserem nächsten Rückruf den Freischaltecode an unser ServiceCenter Team telefonisch durch oder senden Sie diesen bitte direkt an unsere technischen Mitarbeiter: service@v...bank-support.de. Bitte schicken Sie den Freischaltcode nicht an mich, das ist ihr persönlicher Freischaltcode. Geben Sie diesen bitte aus Sicherheitsgründen nur direkt an unser ServiceCenter Team weiter. Alternativ können Sie uns den Freischaltcode auch als Nachricht im Online Banking zukommen lassen. Bei Fragen steht Ihnen unser ServiceCenter Team ebenfalls jederzeit zur Verfügung. Freundliche Grüße D. H. (…)“ Die Klägerin übermittelte den Freischaltcode mit E-Mail vom selben Tag an die angegebene E-Mail-Adresse service@v...bank-support.de (Anlage K4). Am 30. Mai 2021 um 23.47 Uhr und um 23.50 Uhr wurden die Verfügungslimite für beide Konten aufgehoben. Zwischen dem 30. Mai 2021, 23.56 Uhr und dem 31. Mai 2021, 3.05 Uhr erfolgten von dem Konto der Klägerin mit der Nummer 4… insgesamt 19 Überweisungen zu je 444 EUR auf ein Zielkonto bei der Banco B. V. A. SA (IBAN ES…) und von dem Konto der Klägerin mit der Nummer 8… insgesamt 40 Überweisungen zu je 444 EUR auf dasselbe Zielkonto. Am 31. Mai 2021, 4.29 Uhr wurde die PIN für das Onlinebanking der Klägerin geändert (Anlage B2). Sämtliche Verfügungen sind nicht durch die Klägerin autorisiert worden. Sie wurden legitimiert mittels TANs, die über die auf dem Smartphone einer dritten Person installierte SecureGo-App erzeugt worden waren. Mit E-Mail vom 31. Mai 2021, 6.39 Uhr (Anlage K5) teilte die Klägerin dem Zeugen H. mit, dass ihr Konto gesperrt sei, weil die von ihr korrekt eingegebenen Zugangsdaten für das Onlinebanking nicht stimmten. Später erschien die Klägerin zusammen mit ihrem Vater, dem Zeugen P. H., in der Bank, um neue Konten zu eröffnen und die Angelegenheit mit dem Zeugen H. zu erörtern. Dabei rief der Zeuge H. einen Mitarbeiter der IT-Abteilung an, stellte den Lautsprecher an, damit die Anwesenden mithören konnten, und übergab das Gespräch an die Klägerin, die einige Fragen an diesen richtete. Ausweislich eines Presseberichts des Mannheimer Morgen vom 5. Juni 2021 (Anlage K13) gab es am 3. Juni 2021 eine erste sog Distributed Denial-of-Service-Attacke (DDos) auf den IT-Dienstleister der V.- und R.-banken, die F. & G., die das Online-Banking zahlreicher Geldhäuser zeitweise lahmlegte. Mit Schreiben ihres jetzigen Prozessbevollmächtigten vom 21. Oktober 2021 (Anlage K11) forderte die Klägerin die Beklagte erfolglos zur Erstattung der nunmehr geltend gemachten Beträge auf. Die Beklagte hat gegenüber etwaigen Zahlungsansprüchen der Klägerin die Aufrechnung mit ihr zustehenden Schadensersatzansprüchen erklärt (Klageerwiderung S. 1 f. = I 22). Die Klägerin hat erstinstanzlich beantragt: 1. Die Beklagte wird verurteilt, an die Klägerin einen Betrag von 26.196,00 EUR nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit dem 02.06.2021 zu zahlen. 2. Die Beklagte wird verurteilt, an die Klägerin außergerichtliche Rechtsanwaltskosten in Höhe von 1.375,88 EUR zu zahlen. Zur Begründung hat sie im Wesentlichen vorgetragen, sie habe nicht grob fahrlässig gehandelt. Sie habe bei der Beklagten niemals einen Freischaltcode angefordert. Auf ihrem Computer sei keine Schadsoftware installiert gewesen. Die Anrufe seien durch einen Mitarbeiter der Beklagten erfolgt. Dabei sei auf ihrem Telefonapparat die – unstreitig der Beklagten zuzuordnende – Nummer …/… angezeigt worden (vgl. Anlage K1). Nach Abschluss des Telefonats mit ihrem angeblichen Bankberater habe sie über die Rückruftaste ihres Telefons einen Rückruf getätigt. Sie habe dadurch herausfinden wollen, ob der Anruf tatsächlich von ihrem Bankberater gekommen sei. Der Gesprächspartner habe sich mit dem Namen H. und dem Namen der Beklagten gemeldet. Das sei für sie als Bestätigung ausreichend gewesen, zumal sie das Telefonat nicht habe weiterführen können, weil in diesem Moment ihre Chefin ihr Büro betreten habe. Die E-Mail vom 28. Mai 2021 (Anlage K3) sei vom Zeugen H. geschickt worden. Die E-Mail-Adresse service@v...bank-support.com, an die sie den Freischaltcode geschickt habe, sei der Beklagten zuzuordnen. Ihre Zugangsdaten für das Online-Banking seien bei der Beklagten abgegriffen worden. In dem Telefonat mit dem Mitarbeiter der IT-Abteilung habe dieser gesagt, dass es Unregelmäßigkeiten bei der Beklagten gegeben habe und man von dortiger Seite von einer Erstattung des Schadens ausgehe. Ihre Verfügungslimite von 2.000 EUR und 5.000 EUR seien ohne Legitimation hochgesetzt worden. Die Beklagte hat erstinstanzlich Klageabweisung beantragt. Die Klägerin habe den entstandenen Schaden in vollem Umfang zu tragen, weil sie ihre nach Ziffer 7.1 Abs. 2 lit. b der Sonderbedingungen für das Online-Banking bestehenden Sorgfaltspflichten grob fahrlässig verletzt habe. Die Klägerin habe den Freischaltcode entweder selbst angefordert oder eine dritte Person sei über die Klägerin – etwa im Wege des sog. Phishing – in Besitz von VRNetkey und PIN gekommen. Im System der Beklagten befinde sich nur der VRNetkey Ausschließlich die Klägerin habe Zugriff auf alle anderen Daten (mithin PIN und Freischaltcode) gehabt. Die Klägerin habe am 27. Mai 2021 weder mit dem Zeugen H. noch einem anderen Mitarbeiter der Beklagten telefoniert. Selbst wenn dabei auf dem Telefondisplay der Klägerin eine Telefonnummer der Beklagten angezeigt worden sein sollte, könne der Anruf tatsächlich von einer anderen Nummer aus geführt worden sein. Die E-Mail vom 28. Mai 2021 (Anlage K3) stamme nicht vom Zeugen H.. Offensichtlich sei der E-Mail-Header manipuliert worden. Die E-Mail-Adresse service@v...bank-support.de sei nicht der Beklagten zugeordnet. Wegen der weiteren Einzelheiten des erstinstanzlichen Parteivorbringens wird auf die in dem angefochtenen Urteil getroffenen Feststellungen Bezug genommen (§ 540 Abs. 1 Satz 1 Nr. 1 ZPO). Das Landgericht hat die Klage nach Beweisaufnahme durch Vernehmung der Zeugen H. und N. und nach Anhörung der Klägerin abgewiesen. Zur Begründung hat es im Wesentlichen ausgeführt, der Klägerin stehe zwar gemäß § 675u BGB ein Anspruch auf Gutschrift von 26.196 EUR wegen nicht autorisierter Zahlungsvorgänge zu. Dieser Anspruch sei jedoch wegen der durch die Beklagte erklärten Aufrechnung mit einem Schadensersatzanspruch in gleicher Höhe aus § 675v Abs. 3 Nr. 2 BGB erloschen. Das Verhalten der Klägerin stelle eine grob fahrlässige Verletzung ihrer Pflichten aus Ziffer 7.1 Abs. 2 der Sonderbedingungen für das Online-Banking dar. Die Anforderung des Freischaltcodes sei durch die Klägerin oder zumindest mit deren Hilfe erfolgt. Denn der Zeuge N. habe glaubhaft ausgesagt, dass der Freischaltcode nur auf ausdrückliche Anforderung des Kunden von der Bank generiert werde. Trotz ihrer aus den Sonderbedingungen resultierenden Geheimhaltungspflicht habe sie den Freischaltcode an eine ihr nicht bekannte E-Mail-Adresse versandt und so den Zugriff auf ihr Konto erst ermöglicht. Bei der Weitergabe derart sensibler Daten auf einem so ungewöhnlichen Weg hätte sie zumindest rückfragen und sich vergewissern müssen, dass sie auch tatsächlich mit einem Mitarbeiter der Beklagten kommuniziert habe. Der Rückruf sei hierfür nicht ausreichend gewesen. Hinzu komme der ausdrückliche Hinweis in dem postalischen Schreiben, dass eine Eingabe oder ein Upload des Freischaltcodes außerhalb der SecureGo-App nicht erforderlich sei. Auch angesichts dieses Hinweises hätte sich der Klägerin aufdrängen müssen, dass hier etwas nicht stimmen könne. Außerdem hätte sie den Freischaltcode einfach vernichten können, wenn sie nicht beabsichtigt habe, an dem neuen Verfahren teilzunehmen. Wegen der weiteren Einzelheiten der Ausführungen des Landgerichts wird auf die Entscheidungsgründe des angefochtenen Urteils Bezug genommen (§ 540 Abs. 1 Satz 1 Nr. 1 ZPO). Hiergegen richtet sich die Berufung der Klägerin, mit der diese ihre erstinstanzlichen Anträge vollumfänglich weiterverfolgt. Vom gesamten Ablauf des Geschehens lasse sich eine grobe Fahrlässigkeit der Klägerin nur unter der unbewiesenen Prämisse annehmen, dass die Klägerin nicht nur den Freischaltcode, sondern auch weitere Daten an Dritte weitergegeben habe. Dabei sei das Gericht den Aussagen des Zeugen N., eines Mitarbeiters der Beklagten, als “sachverständigem“ Zeugen für den technischen Ablauf der Überweisungen gefolgt und habe daraus geschlossen, dass die Klägerin ihre Daten weitergegeben habe. Sie habe aber weder den VRNetkey noch die PIN weitergegeben. Technische Alternativmöglichkeiten, wie die Installation von Schadsoftware entweder auf ihrem PC oder dem System der Beklagten, hätte das Gericht durch die Einholung eines Sachverständigengutachtens ausschließen müssen. Auch bestehe die Möglichkeit, dass sich Dritte Kenntnis von den Zugangsdaten verschafft hätten, als sie von der Beklagten an die Klägerin versandt worden seien. Zu diesen internen Vorgängen und zu den internen Sicherheitsvorkehrungen zum Schutz dieser Daten habe die Beklagte nichts vorgetragen. Unabhängig davon scheide grobe Fahrlässigkeit schon deshalb aus, weil die Beklagte auf ihrer Homepage zur Kontaktaufnahme E-Mail-Adressen ihrer Mitarbeiter, unter anderem die des Banksachbearbeiters der Klägerin und ihre Service Mail Adresse, veröffentliche. Die Beklagte verteidigt das Urteil des Landgerichts und beantragt unter Wiederholung und Ergänzung ihres erstinstanzlichen Vorbringens, die Berufung zurückzuweisen. Der Senat hat die Klägerin ergänzend angehört, die Zeugen P. H. und D. H. zu dem Telefongespräch mit einem Mitarbeiter der IT-Abteilung der Beklagten nach den vorgenommenen Überweisungen vernommen sowie die Akten der Staatsanwaltschaft M. … UJs … beigezogen und zum Gegenstand der mündlichen Verhandlung gemacht. Wegen der weiteren Einzelheiten des Berufungsvorbringens der Parteien wird auf den Inhalt der im Berufungsrechtszug gewechselten Schriftsätze nebst Anlagen Bezug genommen, wegen der Anhörung der Klägerin und des Ergebnisses der Beweisaufnahme auf das Protokoll der mündlichen Berufungsverhandlung vom 10. September 2024 (dort S. 2 ff. = II 52 ff.). II. Die zulässige Berufung der Klägerin ist nicht begründet. Das Landgericht hat zu Recht die Klage abgewiesen. Die Klägerin hatte gegen die Beklagte gemäß § 675u Satz 2 BGB einen Anspruch auf Zahlung von 26.196 EUR (dazu 1.). Dieser ist jedoch durch die Aufrechnung der Beklagten (§§ 387, 389 BGB) mit einem ihr zustehenden Schadensersatzanspruch nach § 675v Abs. 3 Nr. 2 lit. a) und b), § 675l Abs. 1 Satz 1 BGB iVm Ziffer 7.1 Abs. 2 lit. b der Sonderbedingungen für das Online-Banking in gleicher Höhe erloschen (dazu 2.). 1. Der Klägerin stand gegen die Beklagte gemäß § 675u Satz 2 BGB ein Anspruch auf Zahlung von 26.196 EUR zu. Die streitgegenständlichen Überweisungen in dieser Höhe wurden unstreitig nicht von der Klägerin autorisiert. Die Klägerin hätte die Auszahlung des Betrages verlangen können, weil sie bei der Beklagten keine Konten mehr unterhält (vgl. nur OLG München, Beschluss vom 22. September 2022 – 19 U 2204/22 –, BeckRS 2022, 36075 Rn. 35 mwN; BeckOK BGB/Schmalenbach, Stand: 1. August 2024, § 675u Rn. 4). 2. Der Anspruch der Klägerin ist durch die von der Beklagten erklärte Aufrechnung mit ihrem gleichartigen und fälligen Schadensersatzanspruch gegen die Klägerin nach § 675v Abs. 3 Nr. 2 lit. a) und b), § 675l Abs. 1 Satz 1 BGB iVm Ziffer 7.1 Abs. 2 lit. b der Sonderbedingungen für das Online-Banking erloschen (§§ 387, 389 BGB). Die Klägerin hat ihre Pflicht aus Ziffer 7.1 Abs. 2 lit. b der Sonderbedingungen für das Online-Banking verletzt (dazu a)). Dabei handelte sie grob fahrlässig (dazu b)) und verursachte dadurch den Schaden (dazu c)). Weder trifft die Beklagte ein die Höhe des Schadensersatzanspruches minderndes Mitverschulden (§ 254 Abs. 1 BGB (dazu d)) noch ist die Haftung der Klägerin gemäß § 675v Abs. 5 Satz 1 BGB ausgeschlossen (dazu e)). a) Die Klägerin verletzte eine Pflicht aus Ziffer 7.1 Abs. 2 lit. b der Sonderbedingungen für das Online-Banking, als sie den Freischaltcode an einen Dritten weitergab. aa) Nach den dem Online-Banking zugrundeliegenden Sonderbedingungen muss ein Teilnehmer, der von der Bank einen Code zur Aktivierung des Besitzelements (zB Mobiltelefon mit Anwendung für das Online-Banking) erhalten hat, diesen vor dem unbefugten Zugriff anderer Personen sicher verwahren. Mit dieser Pflicht soll verhindert werden, dass außenstehende Personen ein fremdes Mobiltelefon unberechtigt für das Online-Banking-Verfahren registrieren können, weil sie Zugriff auf den an den Nutzer versandten Aktivierungscode erhalten haben (vgl. Maihold in Ellenberger/Bunte, BankR-HdB, 6. Aufl., § 33 Rn. 331). Entgegen der Auffassung der Klägerin (Schriftsatz vom 8. Oktober 2024 S. 1 = II 69) ist Ziffer 7 der Sonderbedingungen (Anlage B3) als Allgemeine Geschäftsbedingung weder intransparent noch überraschend, § 305 Abs. 2 Nr. 2 BGB, § 305c Abs. 1 BGB, und hält der Inhaltskontrolle nach § 307 Abs. 1 Satz 2 BGB stand. Ziffer 7 der Sonderbedingungen ist nicht deshalb intransparent, weil nur dort das Wort „Besitzelemente“ verwendet wird und daher der Verbraucher nicht in der Lage sein soll, den Begriff für ihn nachvollziehbar zu definieren und seine Pflichten zu erkennen. Zum einen ist bereits der Ausgangspunkt der Klägerin unzutreffend. Denn in Ziffer 2 der Sonderbedingungen „Voraussetzungen zur Nutzung des Online-Banking“, also in einer der grundlegenden Regelungen, werden in Absatz 3 die Authentifizierungselemente aufgelistet. Dort sind unter anderem die Besitzelemente aufgeführt und erläutert (2. Spiegelstrich). Zum anderen wird in Ziffer 7 der Sonderbedingungen selbst in dessen Absatz 1 auf Ziffer 2 verwiesen und der Begriff zusätzlich in dessen Absatz 2 (b) mehrfach durch Beispiele in Klammerzusätzen erläutert. bb) Gegen die Pflicht zur sicheren Verwahrung hat die Klägerin verstoßen, indem sie den ihr von der Beklagten übermittelten Freischaltcode, der ein Code zur Aktivierung eines Mobiltelefons über die SecureGo-App für das Online-Banking ist, per E-Mail an die Empfängeradresse service@v...bank-support.de verschickt hat. Entgegen der Auffassung der Klägerin liegt eine Pflichtverletzung unabhängig davon vor, ob die Empfängeradresse service@v...bank-support.de der Beklagten zuzuordnen ist. Denn die Beklagte hat nicht nur in dem Schreiben vom 21. Mai 2021 (Anlage K2) darauf hingewiesen, dass eine Eingabe oder ein Upload des Codes außerhalb der SecureGo-App nicht erforderlich ist. Vielmehr wird bereits in Ziffer 7.1 Abs. 2 lit. b der Sonderbedingungen für das Online-Banking ausdrücklich darauf hingewiesen, dass der Kunde den Code vor dem unbefugten Zugriff anderer Personen sicher verwahren muss, weil ansonsten die Gefahr bestehe, dass andere Personen ihr Gerät als Besitzelement für das Online-Banking des Teilnehmers aktivieren. Dies wäre auch für einen Mitarbeiter der Bank möglich, wie die Klägerin selbst vermutet. Zudem hat das Landgericht nach § 529 Abs. 1 Nr. 1 ZPO für den Senat bindend festgestellt (LGU 4 = 7 f.), dass die E-Mail-Adresse einem Dritten zuzuordnen ist. Gegen die auf den polizeilichen Ermittlungen basierende Feststellung, die Domain v…bank-support.de sei auf einem an einen A. V., … N., Ukraine vermieteten Cloudserver gespeichert gewesen (vgl. das Schreiben der Betreiberin des Cloudservers, Anlage B8 und die Akten der Staatsanwaltschaft M. … UJs …, S. 64 ff.: Auskunftsersuchen, S. 69 f.: Antwort), erinnert die Klägerin in der Sache nichts, sondern begründet ihren Antrag auf Einholung eines Sachverständigengutachtens nur damit, es sei nicht bekannt, welche Erfahrungen die Mitarbeiter der Polizei hatten (Schriftsatz vom 29. August 2022 S. 5 = I 67). Dies ist angesichts der belegten Ermittlungen unerheblich. b) Die Klägerin hat grob fahrlässig gegen diese Pflicht verstoßen. aa) Grobe Fahrlässigkeit liegt vor, wenn die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt worden ist, schon einfachste, ganz naheliegende Überlegungen nicht angestellt wurden und das nicht beachtet wurde, was im gegebenen Fall jedem hätte einleuchten müssen. Es muss eine auch subjektiv schlechthin unentschuldbare Pflichtverletzung vorliegen, die das in § 276 Abs. 2 BGB bestimmte Maß erheblich überschreitet (vgl. nur BGH, Beschluss vom 17. Dezember 2020 – II ZB 31/14 –, BeckRS 2020, 40730 Rn. 270 mwN). bb) Dies ist hier bei einer Würdigung aller Einzelfallumstände der Fall. (1) Die Klägerin handelte objektiv grob fahrlässig. Bereits die Umstände der ersten Kontaktaufnahme hätten der Klägerin deutlichen Anlass zum Misstrauen geben müssen. Dabei teilte der als der Bankberater der Klägerin auftretende Anrufer der Klägerin am Telefon mit, sie werde einen automatisch von der Bank versendeten Brief erhalten, der einen Freischaltcode enthalte, den sie per E-Mail zurücksenden müsse, damit sie weiter am Online-Banking teilnehmen könne. Selbst wenn zugunsten der Klägerin unterstellt wird, dass sie den Freischaltcode nicht zuvor selbst bei der Beklagten angefordert hatte und während des Anrufs auf dem Telefondisplay eine der Beklagten zuzuordnende Telefonnummer angezeigt wurde, erscheint eine derartige Vorgehensweise ungewöhnlich. Sie widerspricht den deutlichen Warnungen in den Sonderbedingungen, in denen die Funktion und die Gefahr bei Weitergabe eines solchen Aktivierungscodes ausdrücklich geschildert ist: „ansonsten besteht die Gefahr, dass andere Personen ihr Gerät als Besitzelement für das Online-Banking des Teilnehmers aktivieren“. Zudem ist fast schon allgemein bekannt, dass die Banken ihre Kunden nicht zur Weitergabe sensibler Daten am Telefon und per E-Mail auffordern (vgl. Herresthal in Langenbucher/Bliesener/Spindler, Bankrechts-Kommentar, 3. Aufl., 1. Teil, 3. Kapitel, § 675v Rn. 64; zum Pflichtverstoß bei Weitergabe: BeckOGK/Hofmann, Stand: 1. September 2022, § 675l BGB Rn. 95). Die Klägerin wurde denn auch misstrauisch und führte mittels der Rückruftaste einen Kontrollrückruf durch, den sie allerdings – wegen des gleichzeitigen Eintretens ihrer Chefin in ihr Büro – sofort abbrach, nachdem sich der Gesprächspartner mit dem Namen des ihr persönlich nicht bekannten Bankberaters meldete. Damit war indessen ersichtlich keine neue Erkenntnis verbunden. Schwer wiegt zu Lasten der Klägerin, dass die Angaben des Anrufers nicht mit den Angaben in dem Schreiben der Beklagten vom 21. Mai 2021 nebst Informationsblatt (Anlagen K2 und B7) vereinbar sind, welches die Klägerin am selben Abend mitsamt dem Freischaltcode in ihrem Briefkasten fand. Zum einen passt das Anschreiben nicht zu der von der Klägerin in ihrer Anhörung vor dem Senat geschilderten Mitteilung des Anrufers am 27. Mai 2021, das Online-Banking würde zum 1. Juni 2021 umgestellt (Protokoll der mündlichen Berufungsverhandlung S. 3 = II 53). Bei einem so kurzfristig vor der angeblichen Umstellung – automatisch – übersandten Schreiben wäre zum einen zu erwarten, dass die Umstellung im Anschreiben zumindest erwähnt wird. Zum anderen ist darin nicht die Rede davon, dass der Freischaltcode, wie der Anrufer mitgeteilt hatte, zur Fortsetzung des Online-Bankings an den Support, die Bank oder an den Bankberater geschickt werden soll. Vielmehr heißt es ausdrücklich, eine Eingabe oder ein Upload des Codes außerhalb der SecureGo-App sei nicht erforderlich; wenn die Klägerin hierzu aufgefordert werde, solle sie die Beklagte über die bekannten Kommunikationswege kontaktieren. Zusätzlich sind am Ende eine Telefonnummer und die E-Mail-Adresse e...@v.bank.de für Rückfragen angegeben. Die Klägerin hat das nur eine Seite umfassende Schreiben nach eigenen Angaben gelesen. Spätestens nach der Lektüre des Schreibens durch die Klägerin erscheint es dem Senat unverständlich, weshalb sie angesichts der aufgezeigten Unstimmigkeiten vor der Übermittlung des Freischaltcodes an eine nicht in dem Schreiben erwähnte E-Mail-Adresse nicht nochmals über die „bekannten Kommunikationswege“ oder die angegebene Telefonnummer oder E-Mail-Adresse bei der Beklagten rückfragte. Eine solche Rückfrage erübrigte sich nicht deshalb, weil in dem Schreiben nach Ansicht der Klägerin nicht deutlich wird, dass nur die angegebenen Kontaktdaten genutzt werden dürften und deshalb die darin zu sehenden Allgemeinen Geschäftsbedingungen intransparent seien. Bei dem Schreiben handelt es sich schon nicht um Allgemeine Geschäftsbedingungen, da sie keine vertraglichen Regelungen enthalten (§ 305 Abs. 1 Satz 1 BGB). Eine AGB-rechtliche Beurteilung scheidet daher von vornherein aus. Unabhängig davon ist der Hinweis auf die Adresse der für Rückfragen zuständigen Stelle deutlich. Zudem wird der Klägerin nicht vorgeworfen, eine Rückfrage an die „falsche“ E-Mail-Adresse gesandt zu haben, sondern ohne eine solche Rückfrage den Freischaltcode preisgegeben zu haben. Schließlich kommt hinzu, dass der Freischaltcode in einem durch Schwarzdruck gesicherten geschlossenen Umschlag übersandt wurde, wie dies bei geheim zu haltenden Informationen (zB PIN oder Freigabecode) üblich ist. Dies ist ein weiterer offensichtlicher Hinweis darauf, dass der Inhalt nicht für Dritte bestimmt ist. Angesichts dieser sich bereits bei einfachsten Überlegungen aufdrängenden Verdachtsmomente ist eine andere Bewertung auch vor dem Hintergrund der orthographisch weitgehend fehlerfrei formulierten und im E-Mail-Header mit der richtigen Adresse ihres Bankberaters versehenen E-Mail vom 28. Mai 2021 (Anlage K3) nicht geboten. Darin wird die Klägerin gebeten, den Freischaltcode „bei unserem nächsten Rückruf (…) an unser ServiceCenter Team telefonisch durch[zugeben]“ oder an die E-Mail-Adresse service@v...bank-support.de zu senden. Angesichts des Inhalts des Briefes und der Funktion des Freischaltcodes ausschließlich für die SecureGo-App war bei einfacher Überlegung ersichtlich, dass kein Zusammenhang mit dem Online-Banking-Verfahren bestand. Zusätzlich hätte sich der Klägerin die Frage aufdrängen müssen, weshalb sie für die angebotene telefonische Übermittlung des Freischaltcodes auf einen Rückruf des angeblichen ServiceCenter Teams warten sollte und – anders als etwa in dem postalischen Schreiben der Beklagten (Anlage K2) – keine Telefonnummer für einen eigenen Rückruf des Kunden genannt war. Zudem entsprach die angegebene E-Mail-Adresse der Serviceabteilung nicht dem Standard der Beklagten. Sie endete nämlich nicht mit „@v.bank.de“, sondern mit „@v…bank-support.de“. Die Beklagte firmiert aber nicht unter „V…bank“, sondern unter „V.-Bank“. (2) Es liegt auch eine subjektiv schlechthin unentschuldbare Pflichtverletzung vor, die das in § 276 Abs. 2 BGB bestimmte Maß erheblich überschreitet (vgl. nur BGH, Beschluss vom 17. Dezember 2020 – II ZB 31/14 –, BeckRS 2020, 40730 Rn. 270 mwN). Die Klägerin nimmt als Leiterin der W. d. S. M. eine anspruchsvolle Tätigkeit wahr, zu der auch ein Umgang mit EDV gehört. Der Senat hat sich durch die informatorische Anhörung der Klägerin davon überzeugt, dass sie erfahren im Umgang mit der Nutzung des Online-Bankings war. Sie nahm ihren Angaben zufolge seit 2002 am Online-Banking teil und hatte sich, nachdem sie von Bekannten von der geplanten Umstellung auf das SecureGo-Verfahren gehört hatte, ihre Meinung zu dieser Umstellung gebildet, die sie nicht vornehmen wollte (Protokoll der mündlichen Berufungsverhandlung S. 2 =II 52). Zudem war sie in der Lage, „intuitiv“ ihren Zugang zum Online-Banking zu sperren, als sie – weil ihre korrekt eingegebenen Zugangsdaten nicht akzeptiert wurden – den Verdacht hatte, dass etwas nicht stimmen könnte. Vor diesem Hintergrund ist ihre Einlassung, für sie sei alles stimmig gewesen, sie habe es so verstanden, dass sie den Freigabecode zurückschicken müsse, damit sie weiterhin das Online-Verfahren machen könne, und zwar so wie sie es bisher gemacht habe, mit der TAN-Methode (Protokoll der mündlichen Berufungsverhandlung S. 2 =II 52), nicht nachvollziehbar. Im Übrigen steht sie im Widerspruch zu ihrer E-Mail vom 28. Mai 2021 (Anlage K4), mit der sie den Code übermittelte. Denn damit fragte sie konkret nach, ob das Online-Banking „nur noch über eine App möglich“ sei. Sie nutze kein Handy, sondern ausschließlich den PC und bitte um Rückmeldung. Zudem wusste sie, dass sie ihre PIN nicht weitergeben durfte. Warum sie – unabhängig davon, dass sie die Sonderbedingungen nicht zeitnah vor dem Vorfall gelesen haben dürfte – nicht den zwingenden Schluss gezogen hat, das gleiche gelte für den im geschützten Umschlag übersandten Freischaltcode, leuchtet dem Senat nicht ein. Ihre Angabe „Dass hier der Freigabecode sowas ähnliches ist wie eine PIN, das habe ich nicht begriffen“ (Protokoll der mündlichen Berufungsverhandlung S. 2 = II 52) ist angesichts der Umstände der Übersendung nicht nachvollziehbar. Hinzu kommt der Hinweis im Schreiben, dass es nicht erforderlich ist, den Freischaltcode außerhalb der SecureGo-App einzugeben. Auch wenn ein Hinweis noch deutlicher hätte dahin formuliert werden können, dass eine Weitergabe des Codes in keinem Falle erfolgen darf, so war er jedenfalls ohne weiteres insbesondere vor dem beruflichen Hintergrund der Klägerin, der den Umgang mit Schriftsprache beinhaltet, für sie dahin zu verstehen, dass dieser nur für die App benötigt wird. Warum ihrer Meinung nach die Rücksendung – und zB nicht einfach die Vernichtung des Umschlags – für die Ablehnung des neuen und die Fortsetzung des alten Verfahrens erforderlich sein sollte, ist nicht nachvollziehbar. Besondere Umstände, die die angeführte Pflichtverletzung der nach dem Eindruck des Senats durchaus geschäftsgewandten Klägerin verständlicher machen, sind weder vorgetragen noch sonst ersichtlich. c) Die grob fahrlässig begangene Pflichtverletzung der Klägerin war ursächlich für den eingetretenen Schaden der Beklagten, der darin liegt, die nicht autorisierten Überweisungen ausgeführt zu haben, ohne einen Aufwendungsersatzanspruch gegen die Klägerin erlangt zu haben. Die Übersendung des Freischaltcodes an den Dritten versetzte diesen in die Lage, auf einem in seinem Besitz befindlichen Mobiltelefon die SecureGo-App zu installieren, diese für das Konto der Klägerin freizuschalten und die Überweisungen vorzunehmen. Diese Ursächlichkeit entfiele selbst dann nicht, wenn – was die Klägerin unter Beweisantritt behauptet – auf ihrem Rechner keine Schadsoftware installiert war und der Täter auf andere Art und Weise Kenntnis von den Zugangsdaten für das Online-Banking erlangt hätte. Denn erst durch die Übersendung des Freigabecodes waren die Aufhebung der Verfügungslimite und die Überweisungen möglich. d) Der Schadensersatzanspruch der Beklagten ist nicht im Hinblick auf ein Mitverschulden gemäß § 254 Abs. 1 BGB zu kürzen. Die Beklagte traf kein Mitverschulden, das an der Entstehung des Schadens mitgewirkt hat. aa) Beim Mitverschulden handelt sich begrifflich nicht um eine Verpflichtung gegenüber dem Schädiger auf Erfüllung einer ihm gegenüber obliegenden Leistungspflicht, sondern um die Pflicht gegenüber dem Schädiger, den durch zurechenbares eigenes Verschulden verursachten Teil des Schadens selbst zu übernehmen. Handelt es sich also im Rahmen des § 254 BGB nicht um eine dem Schädiger gegenüber obliegende Leistungspflicht des Geschädigten, sondern um eine Pflicht des Geschädigten gegen sich selbst, so ist in jedem Einzelfall zu prüfen, was zur Verhinderung oder Minderung und Beseitigung des Schadens zu tun war (vgl. BGH, Urteil vom 31. März 1960 – III ZR 37/59 –, BGHZ 33, 136-144, juris Rn. 19). Das Verschulden iSd § 254 Abs. 1 BGB besteht daher in einem „Verschulden gegen sich selbst“ (vgl. MüKoBGB/Oetker, 9. Aufl. 2022, BGB § 254 Rn. 3). bb) Nach diesem Maßstab trifft die Beklagte kein Vorwurf, eine Obliegenheit verletzt zu haben, die an der Entstehung des Schadens mitgewirkt hat. (1) Ein Mitverschulden liegt nicht deshalb vor, weil der Verlust eines der Zahlungsinstrumente (VRNetkey, PIN oder Freischaltcode) durch eine der Beklagten gemäß § 278 BGB zuzurechnende Handlung eines Erfüllungsgehilfen verursacht worden wäre (vgl. dazu OLG Stuttgart, Urteil vom 26. Februar 2003 – 9 U 158/02 –, Rn. 18 ff., juris). (a) Die für das Mitverschulden darlegungs- und beweisbelastete Klägerin hat nicht bewiesen, dass der Bankberater H. den Verlust eines Zahlungsinstruments verursacht hat. Im Gegenteil hat das Landgericht festgestellt, dass der Zeuge H. den Anruf vom 27. Mai 2021 nicht getätigt hat (LGU 10). An diese von der Klägerin im zweiten Rechtszug nicht angegriffene Feststellung ist der Senat nach § 529 Abs. 1 Nr. 1 ZPO gebunden. (b) Die Klägerin hat ebenso wenig bewiesen, dass ein anderer Mitarbeiter der Bank oder eines IT-Dienstleisters der Bank den Verlust eines Zahlungsinstruments verursacht hat. Zwar ist unstreitig, dass die Klägerin das Telefongespräch mit einem Mitarbeiter der IT-Abteilung der Beklagten geführt hat. Der Senat ist allerdings nach der Anhörung der Klägerin und aufgrund der Vernehmung der Zeugen PH. und H. nicht davon überzeugt (§ 286 ZPO), dass der angerufene Mitarbeiter mitgeteilt hat, es habe Unregelmäßigkeiten im System der Bank gegeben, weshalb der Schaden von der Bank erstattet werde. (aa) Schon die Angaben der Klägerin in ihrer Anhörung sind – weder allein noch zusammen mit der Aussage des Zeugen PH. (s. sogleich unter (bb)) – nicht geeignet, verlässliche Anhaltspunkte dafür zu bieten, dass aufgrund von „Unregelmäßigkeiten“ ein Mitarbeiter der Bank oder des IT-Dienstleisters auf ihre persönlichen Zugangsdaten zugreifen konnte oder sonstige Sicherheitslücken bestanden. Der Senat ist nicht mit der notwendigen Sicherheit davon überzeugt, dass der Mitarbeiter der IT-Abteilung Unregelmäßigkeiten im Sicherheitssystem eingeräumt und gesagt hat, die Bank erstatte den Schaden (so Schriftsatz vom 28. April 2024 S. 2 = I 33) oder sie treffe eine Teil- oder Mitschuld. Es verbleiben nach der Beweisaufnahme bei einer Würdigung der Gesamtumstände Zweifel, die den Senat daran hindern, sich die nach den Maßstäben des § 286 ZPO notwendige Überzeugung von der Wahrheit der behaupteten Tatsache zu bilden. Die Angaben der Klägerin zum Gespräch waren – abgesehen von dem sinngemäß wiedergegebenen Satz über die Unregelmäßigkeiten und die Teil- oder Mitschuld der Bank – dürftig. Die Klägerin konnte keine Angaben dazu machen, welcher Art die „Unregelmäßigkeiten“ gewesen sein sollen, von denen ihr Gesprächspartner gesprochen haben soll. Diese habe er nicht näher erläutert. Sie habe auch nicht nachgefragt, was aber in dieser Situation zu erwarten wäre. Angesichts der konkreten Fragen, die die Klägerin gestellt hatte, nämlich nach der Heraufsetzung der Limite ohne Legitimation und warum kein Sicherheitssystem anspringe, wenn so viele Überweisungen getätigt werden (Protokoll der mündlichen Berufungsverhandlung S. 3 = II 53), wäre im Übrigen mit Sicherheit zu erwarten, dass der Mitarbeiter darauf eine Antwort geben kann und gibt. Dies gilt umso mehr, als er schon vor dem Telefonat über den Vorgang informiert war. Jedenfalls die Frage nach einer Aufhebung der Limite „ohne Legitimation“ ist für jemanden, der mit dem System vertraut ist, ohne weiteres dahin zu beantworten, dass hier die erforderliche Legitimation durch die Kenntnis der Zugangsdaten und die Freigabe über die von der im System erkannten SecureGo-App generierte TAN vorlag. Nach den Angaben der Klägerin hat der Mitarbeiter indes „inhaltlich nicht viel [zu den Fragen] gesagt“ (Protokoll der mündlichen Berufungsverhandlung S. 3 =II 53), während der Zeuge PH. ausgesagt hat, der Mitarbeiter habe die Fragen gar nicht beantworten können, allerdings ebenfalls ohne zu wissen, was der Mitarbeiter genau geäußert hat (Protokoll der mündlichen Berufungsverhandlung S. 4 =II 54). Von etwaigen Lücken des Sicherheitssystems oder gar dem Zugriff eines Mitarbeiters der Bank oder des IT-Dienstleisters auf die Daten war jedenfalls nicht die Rede. Auch die Dauer des Gesprächs bleibt unklar. Während die Klägerin das Gespräch als „sehr kurz“ bezeichnete (Protokoll der mündlichen Berufungsverhandlung S. 3 =II 53), sprach der Zeuge PH. von etwa 10 Minuten. Die Angaben der Klägerin waren nach alldem abgesehen von der relativ genauen Wiedergabe des ihr günstigen Satzes nicht geeignet, ein lebensnahes Bild des Gesprächs zu vermitteln. Hinzu kommt, dass im ersten Rechtszug noch von einer Zusage, „den Schaden zu erstatten“, die Rede war (Schriftsatz vom 28. April 2024 S. 2 = I 33) und erstmals im Berufungsrechtszug (nur) von einer Teil- oder Mitschuld der Bank. Abgesehen von der wohl kaum bestehenden Vertretungsmacht für eine solche Zusage ist es nicht nachvollziehbar, warum ein Mitarbeiter der IT-Abteilung, ohne danach gefragt worden zu sein, die Erstattung des Schadens zusagen sollte, während unbestritten die Abteilung Compliance für die Prüfung solcher Fragen zuständig ist. Der Zeuge PH. hat im Widerspruch zur Klägerin immerhin den Zusatz des Mitarbeiters erwähnt, dass dieser über die Höhe nicht entscheiden könne, sondern die Compliance oder Rechtsabteilung (Protokoll der mündlichen Berufungsverhandlung S. 4 = II 54). (bb) Die Aussage des Zeugen PH. kann den Senat ebenfalls nicht davon überzeugen, dass der Mitarbeiter der IT-Abteilung irgendwelche Angaben zu sicherheitsrelevanten Unregelmäßigkeiten und einer Teil- oder Mitschuld der Bank gemacht hat. Der Zeuge hielt sich in seiner Aussage strikt an einen Aufschrieb, den er mitgebracht hatte. Dies schließt zwar nicht per se die Glaubhaftigkeit einer Aussage oder die Glaubwürdigkeit des Zeugen aus. Der Zeuge haftete allerdings gänzlich an dessen Inhalt. Dieser stammte nach den Angaben des Zeugen aus einem Vermerk, den sich die Klägerin nach dem Telefonat gemacht und den der Zeuge vor dem Termin abgeschrieben hatte. Der Senat hat daher erhebliche Zweifel, ob der Zeuge bei der Aussage überhaupt noch eine eigene aktuelle Erinnerung an den Inhalt des Telefonats hatte. Es ist nicht auszuschließen, dass seine Wahrnehmung durch den Vermerk und weitere Gespräche mit der Klägerin über den Vorfall maßgeblich geprägt war. Diese Möglichkeit wird zusätzlich durch die auf Frage erfolgte Angabe des Zeugen nach dem Zeitpunkt des Telefonats gestützt, das während der Kontoeröffnung erfolgt sein soll, die erst danach beendet wurde (Protokoll der mündlichen Berufungsverhandlung S. 4 =II 54). Dieser Ablauf wäre höchst ungewöhnlich und legt nahe, dass der Zeuge an die Abläufe in der Bank keine eigene verlässliche Erinnerung hat. Schließlich sprechen die unter (aa) dargelegten Bedenken gegen eine Zusage des Mitarbeiters und die Richtigkeit der Aussage des Zeugen. (cc) Es kommt deshalb nicht mehr darauf an, dass die Aussage des Zeugen H., er könne sich weder an den Namen des angerufenen Gesprächspartners noch an den Inhalt des Gesprächs erinnern, nicht überzeugend war. Es ist für den Senat zwar nicht ohne weiteres nachvollziehbar, dass der Zeuge H., der damals gerade erst seine Ausbildung beendet hatte und im Vorfeld des Gesprächs die erfahrenen Kollegen befragt hatte, wie er in einem solchen Fall vorgehen solle, keinerlei Erinnerung an dieses außergewöhnliche Ereignis haben will. Denn selbst wenn unterstellt wird, dass der Zeuge sich an mehr erinnern könnte, als er angegeben hat, kann hieraus nicht auf die Richtigkeit des klägerischen Vortrags geschlossen werden. (dd) Die Voraussetzungen für eine von der Klägerin geforderte Beweislastumkehr infolge Beweisvereitelung durch die Beklagte (Schriftsatz vom 8. Oktober 2024 S. 2 = II 70), weil diese den Gesprächspartner aus der IT-Abteilung nicht benannt hat, liegen nicht vor. Unabhängig von der Frage, ob eine Beweisvereitelung überhaupt zur Umkehr der Beweislast führen kann, fehlt es an einer Beweisvereitelung. Diese setzt ein missbilligenswertes Verhalten vor oder während des Prozesses voraus, durch welches die Beweisführung unmöglich gemacht oder erschwert wird (vgl. nur Greger in: Zöller, Zivilprozessordnung, 35. Aufl., § 286 ZPO, Rn. 14b mwN). Ein solches Verhalten kann nicht festgestellt werden. Die Beklagte hat bereits im ersten Rechtszug erklärt, den Zeugen H. zu dem Gespräch, dessen Inhalt und seinem Gesprächspartner befragt zu haben. Dieser habe allerdings keine Erinnerung mehr an den Gesprächspartner gehabt. Im Berufungsrechtszug hat sie zusätzlich präzisiert, gegebenenfalls in Betracht kommende Personen könnten sich an ein solches Telefonat nicht erinnern und entsprechend in einer Zeugenvernehmung auch nichts dazu beitragen (Schriftsatz vom 7. Juni 2024 S.1 = II 37. Dass die Beklagte – wie die Klägerin vermutet – die Benennung des Gesprächspartners bewusst unterlassen hat, steht danach nicht fest. Gesetzliche Dokumentationspflichten hat die Beklagte nicht verletzt, indem ihr Mitarbeiter (§ 278 BGB) die Teilnehmer und den Inhalt des Gesprächs nicht dokumentiert hat. Hinzu kommt, dass bereits die eigenen Angaben der Klägerin in ihrer Anhörung und die auf dem durch sie schriftlich niedergelegten Inhalt des Gesprächs beruhende Aussage des Zeugen PH. nicht den Schluss auf ihre Behauptung zulassen (siehe oben (aa)). (2) Ein Mitverschulden trifft die Beklagte nicht, weil sie die Sicherheit ihres Online-Banking-Verfahrens und der dazu eingesetzten Systeme nicht ausreichend gewährleistet hätte. Ein Kreditinstitut ist zur Gewährleistung der Sicherheit eines von ihm zur Verfügung gestellten Online-Banking-Verfahrens und der dazu eingesetzten Systeme verpflichtet. Dies erfordert einen effektiven Schutz aller darin zum Einsatz kommender Verfahren und Einrichtungen, der dem aktuellen Stand der Technik entspricht. Die Verletzung solcher Pflichten kann nach § 254 BGB zu berücksichtigen sein (vgl. Maihold in Ellenberger/Bunte, BankR-HdB, 6. Aufl., § 33 Rn. 121; BeckOK BGB/Schmalenbach, Stand: 1. August 2024, § 675v Rn. 19a; KG, Urteil vom 29. November 2010 – 26 U 159/09 – Rn. 72 ff., juris). Konkrete Tatsachen für eine kausale Verletzung solcher Pflichten durch die Beklagte trägt die Klägerin nicht vor. Auf die angeblichen Angaben eines Mitarbeiters der IT-Abteilung der Beklagten kann sie sich in diesem Zusammenhang nicht berufen (siehe oben (1)). Ihren verschiedenen Beweisanträgen auf Einholung eines Sachverständigengutachtens zum Beweis der pauschalen Behauptung, dass die Beklagte nicht die erforderlichen Sicherheitsvorkehrungen eingehalten habe (vgl. nur I 33 ff., I 64 f., I 74 ff., II 70), ist daher nicht nachzugehen. (a) Der Einwand der Berufung, dass das Landgericht sich zu Unrecht auf die Angaben des im Lager der Beklagten stehenden Bankmitarbeiters N. für den technischen Ablauf der Überweisungen stütze, verkennt, dass die primäre Darlegungs- und Beweislast für das Mitverschulden und damit einen Systemfehler bei der Klägerin liegt. Die Beklagte ist einer etwaigen sekundären Darlegungslast zur grundsätzlichen Funktionsweise ihres Online-Banking-Systems nachgekommen. Basierend auf diesen Angaben ist das Online-Banking-System der Beklagten sicher. Danach greift ein Nutzer des Online-Bankings auf den Account durch Eingabe des individuellen VRNetkey und der individuellen PIN zu. Der Beklagten ist lediglich der VRNetkey, nicht aber die PIN des Kunden bekannt. Kein Mitarbeiter der Beklagten kennt die für die Durchführung einer Überweisung erforderliche TAN und den für die Freischaltung der SecureGo-App erforderlichen Freischaltcode. Das Überweisungsverfahren entsprach damit in den technischen Abläufen den gesetzlichen Anforderungen an die Autorisierung einer Überweisung im Online-Banking. (b) Es kann dahinstehen, ob die Beklagte – wie in der mündlichen Berufungsverhandlung erörtert – nach den damals geltenden Sicherheitsstandards gehalten war, der Klägerin eine Nachricht zu senden, wenn von einem bisher nicht verwendeten Endgerät auf ihren Online-Banking-Account zugegriffen wird (vgl. auch den Schriftsatz der Klägerin vom 8. Oktober 2024, S. 2 = II 70). Denn es steht nicht fest, dass eine etwaige Pflichtverletzung ursächlich für den Eintritt des streitgegenständlichen Schadens geworden ist. Die Klägerin hat nicht vorgetragen, dass sie eine solche Benachrichtigung noch in der Nacht vom 30. auf den 31. Mai 2021 rechtzeitig zur Kenntnis genommen hätte, um die nicht autorisierten Überweisungen aufhalten zu können. Im Gegenteil hat sie sich auf den Standpunkt gestellt, sie sei als Kundin nicht verpflichtet, sich solche zusätzlichen Überwachungsarbeiten aufzubürden. (c) Ein Anhaltspunkt für einen Systemfehler folgt nicht aus dem Umstand, dass es im vorliegenden Fall unbekannt ist, auf welche Weise der oder die Täter an den VRNetkey und die PIN der Klägerin gelangt sind, die nach dem Vortrag der Beklagten neben einer TAN für die Durchführung einer Überweisung erforderlich sind. Denn es ist nicht ausgeschlossen, dass diese Daten aus der Sphäre der Klägerin (etwa durch Weitergabe per Telefon oder E-Mail, Eingabe in eine „Phishing-Seite“ oder eine Schadsoftware auf einem von der Klägerin für das Online-Banking benutzten Rechner) an den oder die Täter gelangt sind. Dem Antrag der Klägerin auf Einholung eines Sachverständigengutachtens dafür, dass auf ihrem Rechner keine Schadsoftware installiert war, ist nicht nachzugehen, weil dadurch die – dem ständig mit Bankrechtsverfahren befassten Senat bekannten – anderen Möglichkeiten eines Datenverlustes aus der Sphäre der Klägerin nicht ausgeschlossen werden können. (d) Aus diesem Grund taugt auch der Umstand, dass der oder die Täter über zahlreiche Kundendaten der Klägerin (zB ihre Büronummer, Namen und Kontaktdaten ihres Bankberaters) verfügten, nicht als Anhaltspunkt für einen Systemfehler. Denn diese Daten lassen sich unstreitig aus dem Online-Banking-Bereich der Klägerin entnehmen. Dies ist nicht zu beanstanden. (e) Die Ausführungen in dem Zeitungsartikel vom 5. Juni 2021 im Mannheimer Morgen (Anlage K13) bilden keinen ausreichenden tatsächlichen Anhaltspunkt für ein Mitverschulden der Beklagten wegen Lücken im Sicherheitsstandard. Daraus geht hervor, dass die erste berichtete DDos-Attacke erst am 3. Juni 2021 und damit bereits nach den streitgegenständlichen Abbuchungen erfolgt ist. Auf den Vortrag der Beklagten, dass die DDos-Attacke nicht sicherheitsrelevant sei und die anschließende Frage, ob ein etwa dennoch erfolgter Datenverlust auf einem von der Beklagten zu vertretenden Systemfehler beruht, kommt es daher nicht mehr an. (3) Ein Mitverschulden der Beklagten kann schließlich nicht darauf gestützt werden, dass durch die nicht autorisierten Überweisungen der zwischen den Parteien vereinbarte tägliche Verfügungsrahmen der Konten der Klägerin von 2.000 EUR und 5.000 EUR überschritten wurde. (a) Ein die einzelne Transaktion unabhängig vom Kontostand beschränkender Verfügungsrahmen hat zwar kundenschützende Wirkung. Seine Missachtung kann ein Mitverschulden der Bank begründen (vgl. BGH, Urteil vom 24. April 2012 – XI ZR 96/11 –, NJW 2012, 2422 Rn. 37; BGH, Urteil vom 29. November 2011 – XI ZR 370/10 –, WM 2012, 164 Rn. 28 (EC-Karte); MüKoBGB/Zetsche, 9. Aufl., § 675v Rn. 57; BeckOK BGB/Schmalenbach, Stand:1. August 2024, § 675v Rn. 19; Maihold in Ellenberger/Bunte, BankR-HdB, 6. Aufl., § 33 Rn. 98 ff., 101; 381; vgl. auch BT-Drucks. 16/11643, S. 106). (b) Allerdings fehlt es hier an einem dahingehenden Mitverschulden der Beklagten. (aa) Die Beklagte durfte basierend auf ihrem Online-Banking-System davon ausgehen, dass die Klägerin die unstreitig vereinbarten Verfügungslimite von 2.000 EUR und 5.000 EUR gemäß Ziffer 1 Abs. 3 Satz 2 der Sonderbedingungen für das Online-Banking geändert hatte. Zwar waren diese Erhöhungen ebenso wie die anschließenden Überweisungen nicht durch die Klägerin autorisiert und entfalten daher im rechtsgeschäftlichen Sinne keine Wirkung für und gegen die Klägerin (vgl. dazu BGH, Urteil vom 26. Januar 2016 – XI 91/14 –, NJW 2016, 2024 Rn. 57 ff. mwN). Allerdings wurden die Erhöhungen gegenüber der Beklagten jeweils durch die Eingabe einer TAN legitimiert. (bb) Ein Mitverschulden kann nicht auf eine unzureichende Absicherung des Verfahrens zur Erhöhung vereinbarter Verfügungslimite gestützt werden. Es ist nicht zu beanstanden, dass – wie in Ziffer 1 Abs. 3 Satz 2 der Sonderbedingungen für das Online-Banking statuiert – vereinbarte Tageslimite durch gesonderte Vereinbarung erhöht werden können. Eine solche Erhöhung kann durch eine Eingabe im Online-Banking bei Einhaltung der starken Kundenauthentifizierung erfolgen und stellt damit entgegen der Auffassung der Klägerin grundsätzlich eine ausreichende Legitimation dar. Denn im Bankverkehr besteht senatsbekannt eine praktische Notwendigkeit der Kunden für die Durchführung einzelner größerer Überweisungen im Online-Banking, beispielsweise bei größeren Anschaffungen oder Umbuchungen von Festgeldern. Die Bankkunden vor solchen Transaktionen für die Erhöhung des Verfügungslimits auf eine Filiale oder die Post zu verweisen, erscheint heute nicht mehr zeitgemäß. Es führt nicht zu einem schadensmindernden Mitverschulden gemäß § 254 BGB, dass eine Änderung des Verfügungslimits durch den im Online-Banking eingeloggten Kunden allein durch die Eingabe einer TAN veranlasst werden kann. Diese Art der Autorisierung entspricht der in § 675v Abs. 4 Satz BGB iVm § 1 Abs. 24 ZAG geforderten starken Kundenauthentifizierung. Diese ist nicht nur für eine Überweisung erforderlich, sondern auch für die Erhöhung des Verfügungslimits (vgl. OLG Frankfurt, Urteil vom 6. Dezember 2023 – 3 U 3/23 –, Rn. 56, juris) und stellt zugleich eine ausreichende Sicherung dar. Das mit dem Verlust einer einzigen TAN verbundene Risiko ist auf die Höhe des festgelegten Verfügungslimits beschränkt. Ein Bankkunde kann bei einer solchen Gestaltung im Vorfeld die Risiken des Online-Bankings ausreichend effektiv auch für den Fall grob fahrlässigen Verhaltens begrenzen (vgl. zur Funktion des Verfügungslimits Maihold in Ellenberger/Bunte, BankR-HdB, 6. Aufl., § 33 Rn. 98 ff.). Dies gilt nicht ohne weiteres, wenn der Bankkunde – wie hier die Klägerin – nicht eine TAN weitergibt, sondern den Freigabecode für die SecureGo-App im Rahmen der starken Kundenauthentifizierung mit den Daten für den Onlinezugang. Denn in diesem Fall ist es – wie hier – einem Dritten, der zB im Wege des Phishings die Zugangsdaten zum Online-Banking erlangt hat, nach Initialisierung der App möglich, das Verfügungslimit heraufzusetzen und eine Vielzahl von Überweisungen vorzunehmen. Dennoch bedurfte es zur Vermeidung eines Mitverschuldens keiner weitergehenden Sicherheitsmaßnahmen für die Erhöhung des Verfügungslimits. Die gesetzlichen Vorgaben auf nationaler und europäischer Ebene hat die Beklagte eingehalten. Eine Anspruchskürzung gemäß § 254 Abs. 1 BGB hängt allerdings nicht stets davon ab, dass der Geschädigte eine Rechtspflicht verletzt hat (vgl. MünchKommBGB/Oetker, 9. Aufl., § 254 Rn. 3). Insbesondere ist es nicht erforderlich, dass er gegen eine gesetzliche Vorschrift verstößt (vgl. BGH, Urteil vom 17. Juni 2014 – VI ZR 281/13 –, Rn. 8, juris mwN). Ungeachtet des hohen Schadensrisikos bei mindestens grob fahrlässigem Verhalten des Bankkunden waren weitergehende Sicherheitsmaßnahmen als die getroffenen nicht zu verlangen. Dabei ist zu berücksichtigen, dass weitere die Sicherheit erhöhende Maßnahmen im Hinblick auf dieses Verfahren eingerichtet sind. So wird auf das (besondere) Risiko des Missbrauchs des Freigabecodes in den Sonderbedingungen des Online-Banking ausdrücklich hingewiesen. Dieser wird ausschließlich auf Anforderung an die Privatanschrift des Bankkunden übersandt und ist nur zeitlich beschränkt gültig. In dem Begleitschreiben wird ausdrücklich darauf hingewiesen, dass eine Verwendung außerhalb der App nicht erforderlich ist. Einen zusätzlichen und entgegen der nach Schluss der mündlichen Verhandlung geäußerten Auffassung der Klägerin ihr zumutbaren Schutz kann eine Information über die Limiterhöhung in ein ePostfach darstellen, in dem sich ggfs. zusätzlich eine E-Mail-Info einrichten lässt. (vgl. dazu LG Halle, Urteil vom 23. Juni 2023 – 4 O 133/22 –, Rn. 52, juris). Die Klägerin hat im Übrigen nicht vorgetragen, dass sie von einer solchen Nachricht in der Nacht überhaupt rechtzeitig Kenntnis erlangt hätte und auf eine mögliche Gefährdung noch hätte reagieren können. Ob es darüberhinausgehende technische Autorisationsfunktionen gibt, kann dahinstehen. Von einem „Verschulden gegen sich selbst“ könnte selbst in diesem Fall nicht gesprochen werden, weil solche Funktionen, wie der ständig mit Bankrechtsfällen befasste Senat weiß, auch heute neben der starken Kundenauthentifizierung nicht dem allgemeinen Sicherheitsstandard der Kreditinstitute entsprechen. (4) Der Beklagten fällt kein Mitverschulden in Form der Verletzung einer Warnpflicht zur Last. (a) Eine Bank muss weder generell prüfen, ob die Abwicklung eines Zahlungsverkehrsvorgangs Risiken für einen Beteiligten begründet, noch Kontobewegungen allgemein und ohne besondere Anhaltspunkte überwachen. Eine Warnpflicht besteht erst dann, wenn die Bank ohne nähere Prüfung im Rahmen der normalen Bearbeitung eines Zahlungsverkehrsvorgangs auf Grund einer auf massiven Verdachtsmomenten beruhenden objektiven Evidenz den Verdacht einer Veruntreuung schöpft (vgl. BGH, Urteil vom 24. April 2012 – XI ZR 96/11 –, NJW 2012, 2422 Rn. 32; Maihold in Ellenberger/Bunte, BankR-HdB, 6. Aufl., § 33 Rn. 384 mwN). (b) Darauf basierend bestand entgegen der Auffassung der Klägerin (Schriftsatz vom 21. September 2022, S. 3 = I 76) vorliegend keine Warnpflicht der Beklagten. Zwar sind vorliegend in einem kurzen Zeitraum zahlreiche Überweisungen zu je 444 EUR mit dem fortlaufend nummerierten Betreff „Corona Auszeit“ auf ein einzelnes Konto im Ausland durchgeführt worden. Dies musste der Bank allerdings nicht im Rahmen der normalen maschinellen Bearbeitung eines Zahlungsvorgangs außerhalb der Bankzeiten auffallen. e) Schließlich ist die Haftung der Klägerin nicht gemäß § 675v Abs. 5 Satz 1 BGB ausgeschlossen. Danach ist der Zahler abweichend von den Absätzen 1 und 3 nicht zum Ersatz von Schäden verpflichtet, die aus der Nutzung eines nach der Anzeige gemäß § 675l Absatz 1 Satz 2 BGB verwendeten Zahlungsinstruments entstanden sind. Dies ist hier nicht der Fall. Dabei kann es dahinstehen, ob die an den E-Mail-Account des Bankberaters H. versandte E-Mail der Klägerin vom 31. Mai 2021 (Anlage K5), in der sie diesem mitteilt, dass ihr Zugang für das Online-Banking nach der Übersendung des Freischaltcodes per Mail trotz der Eingabe der korrekten Zugangsdaten gesperrt sei, überhaupt eine Sperranzeige gemäß § 675l Abs. 1 Satz 2 BGB darstellt. Denn die nicht autorisierten Überweisungen und damit die Verwendungen des Zahlungsinstruments erfolgten zwischen dem 30. Mai 2021, 23.47 Uhr und dem 31. Mai, 4.29 Uhr und damit vor der Übermittlung der E-Mail. Dass die Beklagte die im Streit stehenden Überweisungen nach der Kenntnis (oder im Zeitpunkt des Kennenmüssens) der E-Mail durch Herrn H. noch hätte stoppen können, ist weder vorgetragen noch sonst ersichtlich. III. Die Kostenentscheidung beruht auf § 97 Abs. 1 ZPO, die Entscheidung über die vorläufige Vollstreckbarkeit auf §§ 708 Nr. 10, 711 ZPO. Gründe für die Zulassung der Revision liegen nicht vor. Die Entscheidung orientiert sich an der höchstrichterlichen Rechtsprechung.