12 U 47/24

1. Der Senat weist darauf hin, dass er beabsichtigt, die Berufung des Klägers gegen das am 13.03.2024 verkündete Urteil der 2. Zivilkammer des Landgerichts Bonn – 2 O 204/23 – gemäß § 522 Abs. 2 ZPO zurückzuweisen. 2. Der Kläger erhält Gelegenheit zur Stellungnahme, ggf. Rücknahme seines Rechtsmittels innerhalb von vier Wochen ab Zugang dieses Beschlusses. G r ü n d e : I. Die Berufung des Klägers hat nach derzeitigem Stand der Sach- und Rechtslage offensichtlich keine Aussicht auf Erfolg. Es ist nicht ersichtlich, dass die angefochtene Entscheidung auf einer Rechtsverletzung beruht (§ 546 ZPO) oder nach § 529 ZPO zugrunde zu legende Tatsachen eine andere Entscheidung rechtfertigen (§ 513 Abs. 1 ZPO). Die Rechtssache hat auch keine grundsätzliche Bedeutung. Ebenso wenig ist eine Entscheidung des Senats durch Urteil zur Fortbildung des Rechts oder zur Sicherung einer einheitlichen Rechtsprechung oder aus anderen Gründen eine mündliche Verhandlung geboten (§ 522 Abs. 2 ZPO). Mit dem angefochtenen Urteil hat das Landgericht die Klage zu Recht und mit zutreffender Begründung abgewiesen. 1. Mit zutreffender Begründung hat das Landgericht einen Anspruch des Klägers gemäß § 675u S. 2 BGB, sein Konto wieder auf den Stand zu bringen, den es ohne die streitgegenständlichen, nicht vom Kläger autorisierten Zahlungsvorgänge hätte, verneint, weil dieser Anspruch durch Aufrechnung mit auf § 675v Abs. 3 BGB gestützten Gegenansprüchen der Beklagten gegen den Kläger erloschen sei. Die mit der Berufung gegen diese Beurteilung erhobenen Einwendungen greifen nicht durch. 2. Dem Kläger steht zwar ein Anspruch gemäß § 675u S. 2 BGB zu, weil es sich bei den streitgegenständlichen Abbuchungen unstreitig um nicht vom Kläger autorisierte Zahlungsvorgänge handelt. Der gesamte Vorgang unter Freischaltung eines neuen BestSign-Verfahrens auf einem dem Kläger unbekannten mobilen Endgerät und die sich daran anschließende „Autorisierung“ der hier in Rede stehenden Zahlungsaufträge von diesem Fremdgerät aus, von der der Kläger keine Kenntnis hatte und der er nicht zugestimmt hatte, sind unstreitig. 3. Dieser Anspruch, das Konto des Klägers wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch die nicht autorisierten Zahlungsvorgänge befunden hätte, ist jedoch erloschen, weil die Beklagte, wie das Landgericht zutreffend festgestellt hat, mit einem auf § 675v Abs. 3 Nr. 2 BGB gestützten Schadensersatzanspruch konkludent aufgerechnet hat, § 389 BGB. a. Nach § 675v Abs. 3 Nr. 2 BGB ist der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler den Schaden herbeigeführt hat durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehrerer Pflichten gemäß § 675l Abs. 1 BGB oder einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung eines Zahlungsinstruments. aa. Das Landgericht ist zutreffend davon ausgegangen, dass der Schaden durch das Verhalten des Klägers herbeigeführt worden ist. Der Kläger, der darauf vertraute, dass er mit einem Mitarbeiter der Beklagten sprach, hat angenommen, dass es aufgrund betrügerischer Handlungen Dritter erforderlich geworden war, sein BestSign-Verfahren zu sperren und nunmehr ein neues freizugeben. Dazu hat der „Mitarbeiter“ einen Aktivierungscode angefordert, der dem Kläger per SMS mitgeteilt wurde. Der Kläger hat diesen Aktivierungscode dem vermeintlichen Mitarbeiter telefonisch mitgeteilt, sodass es diesem möglich war, eine Freigabe des BestSign-Verfahrens auf dem mobilen Endgerät eines Unbekannten zu erreichen, was Letzterem wiederum die Möglichkeit gab, ohne Wissen und Zustimmung des Klägers Zahlungsaufträge von dem Fremdgerät aus freizugeben. bb. Das Verhalten des Klägers hat das Landgericht auch zu Recht als grob fahrlässig bewertet. Grobe Fahrlässigkeit erfordert einen in objektiver Hinsicht schweren und in subjektiver Hinsicht schlechthin unentschuldbaren Verstoß gegen die Anforderungen der konkret erforderlichen Sorgfalt (BGH, Urteil vom 26.01.2016, XI ZR 91/14, BGHZ 208, 331, Rn. 71 m.w.N., juris). Diese Sorgfalt muss in ungewöhnlich hohem Maße verletzt und es muss dasjenige unbeachtet geblieben sein, was im gegebenem Fall sich jedem aufgedrängt hätte (BGH, Urteil vom 30.01.2001, VI ZR 49/00, Rn. 12; Urteil vom 17.10.2000, XI ZR 42/00, Rn. 21 m.w.N.; juris). (1) Die telefonische Weitergabe des Aktivierungscodes an einen Dritten stellt einen solchen schweren und unentschuldbaren Sorgfaltspflichtverstoß dar (für die Weitergabe von TANs: OLG Bremen, Beschluss vom 15.04.2024, 1 U 47/23, WM 2024, S. 1509, 1511 m.w.N.). Es ist zum einen allgemein und als jedermann einleuchtend anzusehen, dass dem Bankkunden persönlich zugesandte Sicherheitsmerkmale von diesem nicht abweichend von der vereinbarungsgemäß vorgesehenen Verwendung gegenüber Dritten offenbart werden dürfen (vgl. OLG Bremen, a.a.O.). Diese Pflicht ist in § 675l Abs. 1 S. 1 BGB ausdrücklich normiert, wonach alle zumutbaren Vorkehrungen zu treffen sind, um personalisierte Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Hiervon erfasst sind insbesondere PIN, TAN, Kenn- und Passwörter, wozu auch der Aktivierungscode zählt. Die telefonische Weitergabe stellt sich als unbefugt i.S.d. Norm dar, da ein Zugriff unbefugt ist, wenn er – wie hier – durch die vertraglichen Vereinbarungen nicht gedeckt ist. In den Besonderen Bedingungen R. ist in Ziff. 7.1. Abs. 2 ausdrücklich aufgeführt, dass (a) Wissenselemente wie z.B. das Online-Banking-Passwort, geheim zu halten sind und nicht mündlich (z.B. telefonisch oder persönlich) weitergegeben werden dürfen und (b) Besitzelemente (z.B. TAN) nicht außerhalb des Online-Banking mündlich (z.B. per Telefon) oder in Textform (z.B. per E-Mail, Messenger-Dienst) weitergegeben werden dürfen. Darüber hinaus wurde in der konkreten SMS, mit der der Aktivierungscode verschickt wurde, der Kläger ausdrücklich angewiesen, den Aktivierungscode „in der App oder im Banking“, also nicht außerhalb des Online-Bankings, einzugeben. Die telefonische Weitergabe des Codes stellte damit einen schweren objektiven Verstoß gegen die gesetzlichen und vertraglich vereinbarten Sorgfaltspflichten dar. (2) Es liegt auch ein für die Bejahung grober Fahrlässigkeit in subjektiver Hinsicht schlicht unentschuldbarer Verstoß gegen die Anforderungen der konkret erforderlichen Sorgfalt vor. Nicht nur musste dem Kläger durch die allgemeine mediale Berichterstattung bekannt sein, dass Betrüger durch verschiedene Maßnahmen versuchen, Bankkunden dazu zu bewegen, ihnen Zugangsdaten für das Online-Banking mitzuteilen und insbesondere dazu betrügerische Textnachrichten oder Anrufe zum Zwecke des sog. Phishings verwenden. Im vorliegenden Fall wurde der Kläger in den Besonderen Bedingungen R. ausdrücklich und konkret vor dem Risiko, das mit der Weitergabe eines Aktivierungscodes außerhalb des Online- Bankings zusammenhängt, gewarnt und es wurden ihm entsprechende Sorgfaltspflichten auferlegt. In den Besonderen Bedingungen R. ist – wie bereits ausgeführt – in Ziff. 7.1. Abs. 2 (b) ausdrücklich unter Nennung von Beispielen vereinbart, dass Besitzelemente nicht außerhalb des Online-Bankings mündlich oder in Textform weitergegeben werden dürfen. Weiter wird der Teilnehmer, der von der Bank einen Code zur Aktivierung des Besitzelements (z.B. Mobiltelefon mit Anwendung für das Online-Banking) erhalten hat, nicht nur dazu verpflichtet, diesen vor dem unbefugten Zugriff anderer Personen sicher zu verwahren, sondern zudem darauf hingewiesen, dass andernfalls die Gefahr bestehe, dass andere Personen ihr Gerät als Besitzelement für das Online-Banking des Teilnehmers aktivieren. Darüber hinaus wurde der Kläger in der SMS, mit der der Aktivierungscode verschickt wurde, nochmals ausdrücklich angewiesen, den Aktivierungscode „in der App oder im Banking“, also wie in Ziff. 7.1 Abs. 2 (b) vereinbart, und nicht außerhalb des Online-Bankings einzugeben. Der Kläger war danach seitens der Beklagten gerade auf das Risiko, das mit der Weitergabe eines Aktivierungscodes außerhalb des Online-Bankings verbunden ist, hingewiesen worden und hat dennoch pflichtwidrig den Code telefonisch weitergegeben. Selbst wenn man unterstellte, dass der Kläger – wie es bei Allgemeinen Geschäftsbedingungen etwa im Rahmen alltäglicher Geschäfte vorkommen dürfte – die Besonderen Bedingungen R. nicht ausreichend zur Kenntnis genommen hätte, wäre auch ein solches Verhalten angesichts der objektiv erhöhten und allgemein bekannten Missbrauchsgefahren des Online-Bankings insgesamt als grob fahrlässig zu bewerten. cc. Die vom Kläger angeführten Einwendungen stehen dieser Beurteilung nicht entgegen. Es ist dem Kläger zwar einzuräumen, dass die Umstände des Telefonats, die er anführt, den Anschein erwecken mögen, er habe es mit einem echten Mitarbeiter der Beklagten zu tun, der nach der Aufdeckung eines Missbrauchs das BestSign-Verfahren gesperrt hat und nunmehr mit Hilfe des Klägers erneut freigeben will. Hierzu hat der Kläger angeführt: - Es wurde für den Anruf am 18.04.2023 mittels des sog. Spoofings die dem Kläger bekannte Telefonnummer der Beklagten angezeigt. - Der „Mitarbeiter“ sprach einwandfreies Deutsch, sodass aus seiner Sicht insoweit kein Verdachtsmoment, vergleichbar etwa mit Rechtsschreibfehlern in schriftlichen Mittteilungen, vorlag, das ihm Veranlassung gegeben hätte, dem „Mitarbeiter“ gegenüber von vornherein kritisch gegenüberzustehen. - Der „Mitarbeiter“ nahm eine Verifizierung vor und bat um den vollen Namen und Geburtsdatum des Klägers, wie es der Kläger von Telefonaten mit echten Mitarbeitern der Beklagten kannte. - Der „Mitarbeiter“ teilte dem Kläger seinen aktuellen Kontostand und die letzte Transaktion mit, sodass der Kläger erkennen konnte, dass sein Gesprächspartner Zugriff auf sein Konto hatte, wie er es ebenfalls in Gesprächen mit echten Mitarbeitern der Beklagten erlebt hatte. - Es wurde ihm von dem „Mitarbeiter“ eine SMS angekündigt, die auch zeitnah unter Nennung der Beklagten auf seinem Mobiltelefon einging. - Es handelte sich dabei um einen Aktivierungscode, nicht etwa um eine TAN, von der – so der Kläger – jeder Nutzer wisse, dass sie zur Autorisierung von Zahlungsaufträgen missbraucht werden könne. Diese Umstände führen jedoch letztlich nicht zu einer anderen Bewertung. Denn selbst wenn es sich bei dem unbekannten Anrufer tatsächlich um einen Mitarbeiter der Bank gehandelt hätte, hätte der Kläger mit der telefonischen Weitergabe des Aktivierungscodes außerhalb des Online-Bankings gegen die gesetzliche und vertraglich vereinbarte Sorgfaltspflicht verstoßen und grob fahrlässig gehandelt, da ihm die Verwendung der Sicherheitsmerkmale, zu denen auch der Aktivierungscode gehört, außerhalb des Online-Bankings generell untersagt war (so auch OLG Bremen, Beschluss vom 15.04.2024, 1 U 47/23, WM 2024, S. 1508, 1511; OLG Frankfurt, Urteil vom 06.12.2023, 3 U 3/23, Rn. 84, juris), er jedenfalls aus den vertraglichen Regelungen die Risiken einer telefonischen Weitergabe kannte bzw. kennen musste und insoweit in den Besonderen Bedingungen nicht zwischen Dritten und Mitarbeitern unterschieden wird, sondern es maßgeblich auf eine Verwendung innerhalb oder außerhalb des Online-Bankings ankommt. Die Aufforderung des vermeintlichen Mitarbeiters, ihm ein Sicherheitsmerkmal telefonisch mitzuteilen, obwohl eine telefonische Weitergabe von Sicherheitsmerkmalen in den vertraglichen Vereinbarungen ausdrücklich untersagt und auf die entsprechenden damit einhergehenden Risiken hingewiesen worden war, hätte den Kläger, trotz der ihm suggerierten Ausnahmesituation, vielmehr misstrauisch machen müssen. Er hätte das Telefonat beenden und sich von sich aus bei der Beklagten melden und sich vergewissern müssen. Dies gilt auch, soweit der vermeintliche Mitarbeiter ihm ein Szenario darstellte, das beim Kläger berechtigterweise erhebliche Sorge auslösen konnte. Denn nach dem unstreitigen Tatbestand des angefochtenen Urteil Landgerichts (S. 4) und seinen eigenen Angaben aus der Anhörung (Bl. 221 eA LG) hatte er die Information erhalten, dass man einen Sicherheitsverstoß festgestellt hatte, der behauptete Zugriffsversuch durch die Sicherheitsabteilung jedoch bereits unterbunden worden war, worüber er froh gewesen sei. Er erhielt zudem die Information, dass zur weiteren Bearbeitung des Betrugsfalles das BestSign-Verfahren gesperrt und ein neues beantragt werden müsse, weshalb eine Verifizierung erforderlich sei. Da der Kläger danach davon ausging, dass ein unberechtigter Zugriffsversuch bereits unterbunden worden war, die Sicherheitsabteilung sein Konto im Blick hatte, war ein unverzügliches Handeln, das keine Verzögerung durch eine seitens des Klägers initiierte Nachfrage bei der Beklagten duldete, auch aus Sicht des Klägers nicht erforderlich, sondern eine Nachfrage vielmehr angesichts des ungewöhnlichen, dem vertraglich Vereinbarten geradezu zuwiderlaufenden Gesprächsverlaufs ohne weiteres geboten. b. Auf die in § 675v Abs. 4 S. 1 Nr. 1 BGB geregelte Ausnahme, wonach der Zahler abweichend von den Absätzen 1 und 3 seinem Zahlungsdienstleister nicht zum Schadensersatz verpflichtet ist, wenn der Zahlungsdienstleister des Zahlers eine starke Kundenauthentifizierung im Sinne des § 1 Abs. 24 des Zahlungsdiensteaufsichtsgesetzes (ZAG) nicht verlangt, kann sich der Kläger nicht stützen. aa. Es ist unstreitig, dass die Beklagte im Rahmen ihres BestSign-Verfahrens für die Autorisierung von Zahlungsvorgängen eine starke Kundenauthentifizierung i.S.d. § 1 Abs. 24 ZAG verlangt, wie sie gemäß § 55 Abs. 1 Nr. 2 ZAG gefordert wird. bb. Soweit der Kläger, der für das Vorliegen der Voraussetzungen des Ausnahmetatbestands des § 675v Abs. 4 BGB darlegungs- und beweisbelastet ist (vgl. Grüneberg in: Grüneberg, BGB, 83. Aufl., § 675v Rn. 13) rügt, dass für einen bloßen Lesezugriff auf die Online-Banking-Seite keine starke Kundenauthentifizierung verlangt werde, ist sein Vortrag bereits in sich widersprüchlich. Denn zum einen behauptet er, es fehle für den Lesezugriff an einer starken Kundenauthentifizierung, weshalb die Täter auf den aktuellen Kontostand und seine letzte Transaktion zugreifen und ihn mithilfe dieser Informationen überhaupt erst hätten täuschen können. Auf der anderen Seite hat er insbesondere bei seiner persönlichen Anhörung am 31.01.2024 behauptet, dass er sich in Sicherheit gewiegt habe, es bei seinem Telefonat mit einem echten Mitarbeiter zu tun zu haben, weil dieser Zugriff auf sein Konto gehabt habe, und bereits um den Kontostand einsehen zu wollen, eine Zweifaktor-Authentifizierung durchlaufen werden müsse (Bl. 223 eA LG). Selbst wenn, wie der Kläger es für den bloßen Lesezugriff – entgegen seiner Darstellung im Rahmen seiner Anhörung – schriftsätzlich behauptet hat, keine starke Kundenauthentifizierung verlangt worden sein sollte, wäre ein Verstoß seitens der Beklagten gegen § 1 Abs. 24 ZAG nicht hinreichend dargetan. Denn nach § 55 Abs. 5 ZAG i.V.m. Art. 10 Delegierte Verordnung (EU) 2018/389 der Kommission vom 27. November 2017 zur Ergänzung der Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards für eine starke Kundenauthentifizierung und für sichere offene Standards für die Kommunikation kann auf eine starke Kundenauthentifizierung verzichtet werden, wenn der Kunde nur den Kontostand eines oder mehrerer bezeichneter Zahlungskonten oder Informationen von über solche Konten innerhalb der letzten 90 Tage ausgeführte Zahlungsvorgänge abruft, wenn der Kunde bereits online auf das betreffende Zahlungskonto zugegriffen hat und wenn seit dem letzten Zugriff und der letzten starken Kundenauthentifizierung nicht mehr als 90 Tage verstrichen sind. Hierzu verhält sich der Vortrag des Klägers nicht. cc. Soweit der Kläger weiter rügt, dass jedenfalls die Einrichtung des BestSign-Verfahrens auf dem fremden mobilen Endgerät mithilfe eines per SMS versandten Codes nicht den Anforderungen an eine starke Kundenauthentifizierung erfülle, folgt der Senat dieser Beurteilung nicht. (1) Was die Einrichtung des BestSign-Verfahrens auf dem fremden mobilen Endgerät betrifft, sind die Voraussetzungen unstreitig. Der Nutzer kann auf seiner Online-Banking-Seite ein neues Endgerät einrichten, welches er im Rahmen des BestSign-Verfahrens nutzen will. Dazu erhält er eine SMS mit einem Aktivierungscode, mit dem er das neue Gerät freischalten kann. Um auf die Internetseite zu gelangen, muss der Nutzer zumindest die R. ID und PIN eingeben (Wissen) und erhält dann auf seinem mobilen Endgerät, dessen Telefonnummer er bei der Beklagten hinterlegt hat (Besitz), per SMS den Aktivierungscode. Hierbei handelt es sich entgegen der Einschätzung des Klägers um eine starke Kundenauthentifizierung, weil zwei Elemente aus unterschiedlichen Kategorien gemäß § 1 Abs. 24 ZAG für die Freigabe erforderlich sind. (2) Auch der Einwand des Klägers, das System per SMS auf mobile Endgeräte TANs zu versenden, sei als solches veraltet und risikobehaftet, weshalb die meisten Banken, so auch die Beklagte selbst, im Wesentlichen davon abgerückt seien, führt zu keinem anderen Ergebnis. Die Beklagte hätte zwar die Freischaltung eines mobilen Endgeräts bei bereits vorhandenem BestSign-Verfahren ebenfalls an das sicherere BestSign-Verfahren anknüpfen können, aber nicht müssen, weil auch das bisherige Freischaltungsverfahren eine Kombination von Wissenselement und Besitzelement verlangt und damit den Anforderungen des § 1 Abs. 24 ZAG genügt. c. Der Beklagten ist infolge der Pflichtverletzung des Klägers auch adäquat kausal ein Schaden entstanden, da sie durch die Ausführung nicht vom Kläger autorisierter Zahlungsvorgänge dem Erstattungsanspruch des Klägers aus § 675u S. 1 BGB ausgesetzt ist. Auch wenn der Kläger nicht unmittelbar an der Freigabe der Zahlungsaufträge beteiligt war, so hat erst seine telefonische Mitteilung des Aktivierungscodes es den Tätern überhaupt ermöglicht, ein neues BestSign-Verfahren freischalten und darüber die nicht autorisierten Zahlungsaufträge von der Beklagten ausführen zu lassen, sodass dem Kläger der Schaden auch zuzurechnen ist. d. Der Schadensersatzanspruch der Beklagten ist schließlich auch nicht unter dem Gesichtspunkt des Mitverschuldens nach § 254 Abs. 1 BGB zu kürzen. Beim Online-Banking kann ein Mitverschulden der Bank u.a. aus der mangelnden Systemsicherheit resultieren. Sie muss ein technisch sicheres System nach dem jeweils aktuellen Stand der Technik bereitstellen. Dass die Beklagte dies nicht getan hat, ist nicht hinreichend dargetan. aa. Soweit der Kläger behauptet, es sei üblich, Warnhinweise zum Verbot der mündlichen/schriftlichen Weitergabe auch an Mitarbeiter der Bank mit SMS-TANs an Kunden zu übermitteln, was die Beklagte unterlassen habe, so mögen solche Warnhinweise wünschenswert sein, deren Fehlen vermag jedoch vorliegend einen Mitverschuldensvorwurf nicht zu begründen. Denn die Beklagte hat die Risiken in ihren Besonderen Bedingungen aufgezeigt und entsprechende Sorgfaltspflichten und Handlungsanweisung mit ihren Kunden vereinbart. Überdies war auch in der SMS mit dem Aktivierungscode angegeben, dass der Code „in die App oder im Online-Banking“ einzugeben sei. bb. Auch mit dem Einwand, zur Sicherstellung, dass personalisierte Sicherheitsmerkmale eines Zahlungsinstruments nur der zur Nutzung berechtigten Person zugänglich sind, gehöre es nach dem aktuellen Stand der Technik, Zahlungsaufträge doppelt mittels eines weiteren Wissenselements abzusichern, etwa die Zahlungsüberweisung noch vor Versand der TAN auf die TAN-App durch ein Passwort abzusichern, lässt sich kein Mitverschulden begründen, da die Zahlungsaufträge hier unstreitig durch eine starke Kundenauthentifizierung gesichert waren. Dass dies nicht dem aktuellen Stand der Technik entspräche, ist nicht hinreichend dargetan oder sonst ersichtlich. cc. Des Weiteren wendet der Kläger ein, bei der Übermittlung der SMS hätte ein kundenspezifischer Code (sog. Administrator-User Zertifizierung) zugewiesen werden können, anhand dessen der Kunde Phishing-Nachrichten einfach und effektiv erkennen könne. Auch dieser Einwand greift nicht durch, da die SMS mit dem Aktivierungscode tatsächlich von der Beklagten stammte, sodass bei Verwendung eines kundenspezifischen Codes, dieses auf der SMS angebracht gewesen wäre. dd. Gleiches gilt für den Einwand, die Übersendung von SMS-TANs sei allgemein unzureichend und entspreche nicht mehr dem aktuellen Stand der Technik, weil bekannt sei, dass diese von versierten Hackern abgefangen werden könnten. Es sei offenkundig, dass es den Tätern gelungen sein müsse, das zuvor etablierte Push-TAN Verfahren auf ein SMS-TAN Verfahren umzuschalten, ohne eine Zweifaktor-Authentifizierung. Von Offenkundigkeit kann angesichts des unstreitigen Vorfalls eines abgebrochenen Bezahlvorgangs auf einer Parfümseite, in dessen Zusammenhang der Kläger seine Zugangsdaten eingegeben hatte, nicht die Rede sein, da damit eine andere Möglichkeit als das Hacken von SMS besteht, wie die Täter sich den Lesezugriff auf das Konto des Klägers verschafft haben können. Es erfolgte vorliegend auch keine „Umschaltung“ vom Push-TAN Verfahren auf das veraltete SMS-TAN-Verfahren durch die Täter, sondern das SMS-TAN-Verfahren ist vielmehr von der Beklagten für die Fälle der Freischaltung von Sicherheitsverfahren auf einem (neuen) mobilen Endgerät beibehalten worden, weil bei einer erstmaligen Freischaltung in der Regel noch kein anderes Sicherheitsverfahren beim Kunden vorhanden ist. Da es sich insoweit ebenfalls um eine starke Kundenauthentifizierung handelt, bestehen insoweit ebenfalls keine Sicherheitsbedenken, zumal unstreitig ist, dass der Aktivierungscode vom Kläger telefonisch weitergegeben worden ist, und auch nicht vorgetragen oder sonst ersichtlich ist, dass außer der einen SMS mit dem Aktivierungscode, noch andere SMS versandt worden wären, die die Täter hätten abgefangen können. ee. Soweit der Kläger einwendet, es handele sich um einen wesentlichen Verstoß gegen elementare IT-Sicherheitsparameter und die Legitimationsprüfung nach § 154 Abs. 2 AO seitens der Beklagten, weil auf einem Fremdgerät das BestSign-Verfahren habe etabliert werden können, ohne das sich der wahre Kontoinhaber gegenüber der Beklagten als berechtigt habe identifizieren müssen, begründet auch dieser Einwand kein Mitverschulden seitens der Beklagten. Denn der Nachweis der Berechtigung desjenigen, der auf einem mobilen Endgerät das BestSign-Verfahren einrichten will, geschieht im System der Beklagten gerade durch die Übersendung eines Aktivierungscodes an diejenige Handynummer, die der Berechtigte bei der Beklagten hinterlegt hat. Da der Zugang zum Online-Banking zumindest die Kenntnis von R. ID und PIN und zusätzlich von dem an ein im Besitz des Berechtigten befindliches mobiles Endgerät übermittelten Aktivierungscode verlangt, ist auch insoweit eine starke und damit den gesetzlichen Anforderungen entsprechende Kundenauthentifizierung gewährleistet. ff. Soweit der Kläger schließlich der Ansicht ist, dass die Beklagte ein Überweisungslimit habe einrichten müssen, lässt sich auch daraus kein den Schadensersatzanspruch minderndes oder ausschließendes Mitverschulden der Beklagten ableiten, weil die Einrichtung eines Überweisungslimits zum einen ohne Weiteres auch vom Kundenselbst eingerichtet werden kann und zum anderen nicht ersichtlich ist, woraus sich eine Schutzpflicht der Banken ergeben sollte, Kunden hinsichtlich einzelner Transaktionen unabhängig vom Kontostand in ihrer Verfügungsfreiheit zu beschränken. gg. Der Hinweis des Klägers auf eine schwerwiegende Sicherheitslücke bei der Kundenauthentifizierung im Online-Banking der Beklagten führt nicht weiter, weil insoweit ein Zusammenhang mit dem streitgegenständlichen Vorfall weder konkret dargetan noch sonst ersichtlich ist. II. Der Kläger erhält Gelegenheit, zu diesem Hinweis binnen vier Wochen ab Zugang dieses Beschlusses Stellung zu nehmen. Auf die Möglichkeit der Rücknahme der Berufung zur Vermeidung weiterer Kosten wird ausdrücklich hingewiesen. Streitwert für das Berufungsverfahren: 8.973 €