271 C 16677/24

1. Die Klage wird abgewiesen. 2. Die Klägerin hat die Kosten des Rechtsstreits zu tragen. 3. Das Urteil ist vorläufig vollstreckbar. Die Klägerin kann die Vollstreckung der Beklagten durch Sicherheitsleistung in Höhe von 110 % des aufgrund des Urteils vollstreckbaren Betrags abwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in Höhe von 110 % des zu vollstreckenden Betrags leistet. A. Die zulässige Klage erweist sich als unbegründet. 1. Die Klägerin kann keinen Erstattungsanspruch gemäß § 675u BGB gegenüber der Beklagten geltend machen, da sie nach Überzeugung des Gerichts die verfahrensgegenständliche Transaktion maßgeblich selbst zu verantworten hat. Die Beklagte verfügt damit jedenfalls über einen Schadenersatzanspruch in nämlicher Höhe gegenüber der Klägerin, mit dem sie erfolgreich die Aufrechnung erklärt hat. a) Für einen Erstattungsanspruch gemäß § 675 u BGB ist das Vorliegen eines nicht-autorisierten Zahlungsvorgangs Voraussetzung. Die Autorisierung fehlt, wenn der Nutzer keine Zustimmung (Einwilligung oder Genehmigung) zu dem Zahlungsvorgang i.S.d. § 675j Abs. 1 Satz 1, 2 BGB erteilt hat (MüKo BGB 9. Aufl. 2023, § 675u BGB Rn. 10). Die Art und Weise der Zustimmung sind zwischen Zahler und Zahlungsdienstleister zu vereinbaren (§ 675j Abs. 1 Satz 2 und 3 BGB). Die Darlegungs- und Beweislast trifft grundsätzlich die Beklagte (BGH Urteil vom 05.03.2024, Az.: XI ZR 107/22). Das Gericht geht aufgrund der Angaben beider Parteien sowie des Zeugen H… und dem in Augenschein genommenen Mobiltelefon der Klägerin von dem folgenden Geschehensablauf aus: Der Zeuge H… hat am 06.01.2024 zunächst die Kreditkartendaten auf einer Fake-C…-Seite angegeben, wobei er sich nicht mit einem Benutzerkonto eingeloggt hat. Der Vortrag der Beklagten, dass diese in ihren Systemen feststellen konnte, dass das Mastercard 3D-Secure Verfahren per Banking App für die Kreditkarte der Klägerin am 06.01.2024 um 13:30 Uhr aktiviert wurde, und zur Aktivierung dieses Verfahrens auf dem neuen Gerät eine SMS-TAN an die im Vertrag hinterlegte Mobilfunknummer der Klägerin (…) versandt wurde,, wurde durch Inaugenscheinnahme des Mobiltelefons der Klägerin bestätigt. Dort befindet sich, wie protokolliert, eine SMS vom 06.01.2024 13:29 Uhr mit dem Inhalt: „… ist Ihre TAN für die Aktivierung von Mastercard Identity Check vom 06.01.2024 13:44 Uhr.“ Der Eingang der SMS um 13:29 Uhr war im eingesehenen Nachrichtenverlauf wie protokolliert um 13:29 Uhr dokumentiert und wird auch durch das als Anlage B6 vorgelegte IT-Protokoll belegt. Der Vortrag der Klägerin, keine SMS-TAN erhalten zu haben und dass ihr Mobiltelefon nicht in die Freigabe involviert war, erwies sich damit als widerlegt. Die Beklagte hat unbestritten vorgetragen, dass aufgrund der manuellen Eingabe einer an die Mobilfunknummer der Klägerin versandten SMS-Tan ein Fremdzugriff technisch ausgeschlossen ist. Es wurde ein neues Gerät im Online-Banking der Klägerin als Freigabeinstrument im Rahmen des 2-Faktor-Authentifizierungsverfahrens hinterlegt. Hierzu war – technisch zwingend – die Eingabe der SMS-Tan erforderlich. Die Klägerin buchte keine Reise, sondern erwarb Giftcards von einem in den Niederlanden (Amsterdam) ansässigen Unternehmen, …. Das Gericht ist daher davon überzeugt, dass die Klägerin durch Preisgabe der SMS-Tan Dritten eine Registrierung eines Geräts ermöglicht hat, wobei die Preisgabe persönlicher Sicherheitsmerkmale an Dritte gemäß der vertraglichen Bestimmungen untersagt war. Dabei muss der Richter persönlich subjektiv voll von der Wahrheit der behaupteten Tatsache überzeugt sein. Er darf und muss sich in tatsächlich zweifelhaften Fällen mit einem für das praktische Leben brauchbaren Grad von Gewissheit begnügen, der den Zweifeln Schweigen gebietet, ohne sie völlig auszuschließen (stRspr. BGH NJW 2018, 3513, Rn. 34). Das Gericht berücksichtigte in diesem Zusammenhang, dass die Klägerin nach eigenen Angaben auch keine smsTAN erhalten hat, was sich als widerlegt herausstellte. Das Gericht ist davon überzeugt, dass es zwar keine wirksame Autorisierung für die streitgegenständliche Zahlung gegeben hat. Zwar lag bei einer technischen Betrachtung und aus der ex-ante Sicht der Beklagten eine solche Autorisierung (durch die Banking App) vor. Diese war aber nicht wirksam, da sie der Klägerin nicht zugerechnet werden kann. Die sogenannte Autorisierung als zustimmende Willenserklärung gemäß § 675j BGB muss tatsächlich vom Kunden stammen oder diesem über die Regeln der Stellvertretung zuzurechnen sein. Eine Vollmacht der Klägerin zugunsten der unbekannt gebliebenen Täter kann ausgeschlossen werden. Danach lag zwar eine technisch nicht zu beanstandende Autorisierung vor, die aber indessen nicht von der Klägerin stammte. b) Die Beklagte haftet dennoch nicht für den streitgegenständlichen Zahlungsvorgang. Denn die Klägerin hat in grob fahrlässiger Weise gegen die gesetzliche Vorgabe in § 675v Abs. 3 Nr. 2 a) BGB in Verbindung mit § 675 l Abs. 1 BGB verstoßen. Bei dem sogenannten SMS-Tans (Freigabecodes) handelt es sich um personalisierte Sicherheitsmerkmale im Sinne dieser Vorschriften. Die Klägerin hat ein solches Merkmal zur Überzeugung des Gerichts aus nicht nachvollziehbaren Gründen dritten Personen zugänglich gemacht. Freigabecodes dürfen ausschließlich dem Zahlungsdienstleister im Rahmen der vorgesehenen Prozesse offenbart werden und keinen dritten Personen. Das Verhalten der Klägerin bewertet das Gericht als grob fahrlässig. Es ist eine Sache, wenn man seine Kreditkartendaten offenbart. Diese werden bei jeder Verwendung offenbart und können auch von der Karte abgelesen werden. Im Übrigen sind derartige Datensets in geradezu beliebiger Menge im sogenannten „D.“ verfügbar und werden dort gehandelt. Die Weitergabe eines im Rahmen einer Zwei-Faktor-Autorisierung erhaltenden Zugangscodes kann nicht damit gleichgesetzt werden. Mit dieser Weitergabe hilft der Nutzer (Kläger) die Sicherheitsarchitektur grundlegend auszuhebeln. Es muss jedem verständigen Nutzer solcher Kreditkarten klar sein, welches Risiko er mit der Weitergabe derartiger Daten schafft. Die Klägerin mag dies nicht bewusst getan haben und es mag ihm auch nicht erinnerlich sein. Indessen lässt sich der Vorgang plausibel nicht anders erklären. Die Weitergabe eines Verifizierungscodes an eine andere Person oder die Eingabe eines solches Codes auf einer Internetpräsenz, die nicht der Bank des Nutzers zugeordnet werden kann, verbietet sich von selbst. In den letzten Jahren wurden vielfach durch verschiedene Medien Fälle von betrügerischen Vorgängen bekannt. Die Klägerin musste daher von der Möglichkeit solcher betrügerischer Vorgänge, wenn auch in unterschiedlicher Ausgestaltung, jedenfalls allgemeine Kenntnis haben. Falls nicht, wäre dies zumindest als grob fahrlässige Unkenntnis einzustufen (vgl. OLG München, Hinweisbeschluss vom 22.09.2022, 19 U 2204/22, BeckRS 2022, 36075 Rn. 68, beck-Online). Hinsichtlich der Gesamtumstände ist ferner zu berücksichtigen, dass der Zeuge H…, wie im Termin vom 02.10.2024 angegeben, sich vor Eingabe der Kreditkartendaten nicht auf der vermeintlichen … – Seite einloggte, was eine erhebliche Abweichung von einem regulären Buchungs- und Bezahlvorgang darstellt. c) Ein Mitverschulden der Beklagten aufgrund Umsetzung der Zahlung trotz vorangegangener Sperrung kommt nicht in Betracht. aa) Die Beklagte hat unter Vorlage der entsprechenden Unterlagen zu den vertraglichen Vereinbarungen mit dem Kreditkartenunternehmen unbestritten vortragen. Nach dem Inhalt dieser Vereinbarung kann eine autorisierte Transaktion seitens der Beklagten nicht angehalten oder storniert werden. Die streitgegenständliche Transaktion war wie vertraglich vorgesehen autorisiert. Ein Zurückholen der Transaktion war der Beklagten daher aus vertraglichen Gründen nicht möglich. Eine Verletzung des mit dem Kläger bestehenden Dienstleistungsvertrags kann der Beklagten daher insoweit nicht vorgeworfen werden. Die Einholung eines Sachverständigengutachtens war vor diesem Hintergrund nicht erforderlich. bb) Soweit die Klageseite rügte, dass die Beklagte ein nicht hinreichend sicheres Authentifizierungssystem implementiert habe, war auch insoweit keine Einholung eines Sachverständigengutachtens veranlasst. Denn die Authentifizierung erfolgte gemäß der zwischen den Parteien vereinbarten Regelungen. Darüber hinaus erfolgt durch die Übermittlung der smsTAN an eine individuell zugeordnete Mobilfunknummer eine hinreichende Sicherstellung, dass lediglich der Vertragspartner diese smsTAN zur Freischaltung der Banking App erhält. Dass dann mit der Banking-App Transaktionen freigegeben werden können, ist durch den vorangegangenen Identity Check gerechtfertigt. 2. Die Nebenforderungen teilen das Schicksal der Hauptforderung. B. Die Kostenfolge bestimmt sich aus § 91 Abs. 1 ZPO, die Entscheidung über die vorläufige Vollstreckbarkeit aus §§ 708 Nr. 11, 711 ZPO. Der Streitwert wurde gemäß § 3 ZPO bestimmt.