6 O 339/14 – Bürgerliches Recht

Die Klage wird abgewiesen. Der Kläger trägt die Kosten des Rechtsstreits. Das Urteil ist vorläufig vollstreckbar. Der Kläger darf die Vollstreckung gegen Sicherheitsleistung in Höhe von 110 % des zu vollstreckenden Betrages abwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in Höhe von 110 % des jeweils zu vollstreckenden Betrages leistet. Tatbestand Der Kläger ist Kunde der Beklagten. Diese führt in ihrer Niederlassung in F aufgrund Girovertrages ein Girokonto für den Kläger unter der Nr. …. Der Kläger betreibt für dieses Konto nach entsprechender Vereinbarung mit der Beklagten Telefon- und Internet-Banking. Am 27.03.2014 erhielt der Kläger eine E-Mail, die vermeintlich von der Beklagten stammte und in der es unter der Überschrift „Ihr Q-Konto wurde vorübergehend eingeschränkt“ wie folgt heißt: „Auf Ihrem Q Konto wurde ein versuchter Fremdzugriff entdeckt. Dieser konnte durch unser sensibles Sicherheitssystem erfolgreich gestoppt werden. Deshalb haben wir Ihr Konto vorübergehend eingeschränkt. Um die Limitierung aufzuheben, müssen wir Sie bitten, sich zu identifizieren. Dazu folgen Sie dem untenstehenden Link https://....de/... Vielen Dank für Ihre Mithilfe … Die Verifizierung muss bis zum 31.03.2014 durchgeführt werden, ansonsten wird Ihr Konto dauerhaft gesperrt. …“. Auf die Anl. K1, Bl. 8 der Akten wird verwiesen. Der Kläger aktivierte den angegebenen Link und füllte die sich öffnende Maske vollständig aus. Neben seinen Kontoverbindungsdaten gab er dabei unter anderem die PIN des Telefon-Bankings an. E-Mail bzw. Webseite wurden allerdings nicht durch die Beklagte, sondern durch unbekannte Täter versandt bzw. eingerichtet und verwaltet. Am 24.04.2014 wurde zulasten des Girokontos des Klägers eine Überweisung in Höhe von 7.200 € an eine Person namens L auf das Konto einer österreichischen Bank ausgeführt. Noch am gleichen Tage wurde durch den Empfänger über das Geld verfügt. Diese Überweisung ist nicht vom Kläger in Auftrag gegeben worden. Vielmehr hatte sich ein unbekannter Täter telefonisch bei der Beklagten gemeldet, sich als der Kläger ausgegeben und die Überweisung unter Verwendung der zuvor erhaltenen Telefon-Banking-PIN sowie weiterer persönlicher Daten des Klägers beauftragt, mit denen er die Sicherheitsabfragen des Mitarbeiters der Beklagten beantwortete. Die Beklagte weigerte sich auch nach anwaltlicher Aufforderung, dem Kläger den überwiesenen Betrag zu „erstatten“. Der Kläger behauptet, er habe zu keinem Zeitpunkt Zweifel daran gehegt, dass die E-Mail vom 27.03.2014 von der Beklagten stamme und ebenso wie die von ihm ausgefüllte Maske ein Original, gefertigt durch Mitarbeiter der Beklagten, gewesen sei. Er ist der Auffassung, angesichts des Layouts von E-Mail und Webseite habe er hiervon ausgehen dürfen. Er habe seine Verpflichtung, seine PIN sowie TAN vor unbefugtem Zugriff zu schützen und hierfür Vorkehrungen zu treffen, vollumfänglich erfüllt. Daher, so meint er, treffe ihn weder eine Obliegenheitsverletzung in Form des Vorsatzes noch der groben Fahrlässigkeit. Aus diesem Grunde trage die Beklagte das Risiko, dass der Überweisungsauftrag gefälscht bzw. inhaltlich verfälscht gewesen sei. Der Kläger beantragt, die Beklagte zu verurteilen, ihm einen Betrag in Höhe von 7.200 € nebst 5 % Zinsen über dem Basiszinssatz seit dem 19.06.2014 auf dem bei der Beklagten geführten Girokonto gutzuschreiben und die außergerichtlichen Kosten der Inanspruchnahme der N Rechtsanwälte, N1-Straße …, … E, in Höhe von 729,23 € zu zahlen. Die Beklagte beantragt, die Klage abzuweisen. Sie ist der Auffassung, dem Kläger stünde kein Anspruch gegen sie zu. Er habe einen wirksamen Überweisungsauftrag erteilt. Der Kläger selbst trage - in grob fahrlässiger Weise - die Verantwortung dafür, dass diese Überweisung möglich geworden sei, indem er auf die E-Mail reagiert, den Link geöffnet und seine persönlichen Daten in die Maske eingeben habe. Die Beklagte behauptet, sie habe bereits am 27.03.2014 auf ihrer Online – Banking - Webseite zudem warnend auf betrügerische Methoden wie die in diesem Fall verwendete hingewiesen. Ohnehin habe dem Kläger nicht zuletzt durch Berichte in den Medien bekannt sein müssen – so meint die Beklagte –, dass durch betrügerische E-Mails versucht werde, an persönliche Daten der Bankkunden zu gelangen. Einem gewissenhaften Bankkunden hätten daher erhebliche Zweifel kommen müssen und er hätte bei ihr – der Beklagten – nachfragen müssen, ob die E-Mail tatsächlich von ihr gestammt habe. Entscheidungsgründe Die zulässige Klage ist nicht begründet. Der Kläger hat keinen Anspruch auf Wiedergutschreibung des Betrags von 7.200,- € auf seinem Girokonto gegen die Beklagte. 1. Ein derartiger Anspruch besteht zwar grundsätzlich gemäß § 675u Satz 2 BGB. Die Überweisung des Betrages von 7.200 € war durch den Kläger nicht autorisiert. Die Beklagte als Zahlungsdienstleister hat daher dem Zahler, d.h. hier dem Kläger, den Zahlungsbetrag unverzüglich zu erstatten, indem sie sein Zahlungskonto wieder auf den Stand bringt, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte. 2. Jedoch hat die Beklagte gegen den Kläger einen Schadensersatzanspruch auf Rückbelastung in gleicher Höhe gemäß § 675v Abs. 2 Satz 2 Nr. 1 BGB, den sie dem Kläger erfolgreich im Wege des sog. dolo – agit – Einwandes (§ 242 BGB) entgegen halten kann. Nach der eingangs genannten Vorschrift ist der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn er ihn durch grob fahrlässige Verletzung einer Pflicht gemäß § 675l BGB herbeigeführt hat. a) Der nicht autorisierten Zahlungsvorgang, hier die Überweisung in Höhe von 7.200 € auf das Konto eines Unbekannten bei einer österreichischen Bank wurde allein dadurch ermöglicht, dass der Kläger auf die vermeintlich von der Beklagten stammende E-Mail reagierte, den Link anklickte und sodann in der erscheinenden Maske diverse persönliche und Kontodaten angab, darunter seine Telefon-Banking-PIN. Dieses Verhalten des Klägers war letztlich ursächlich für die Beauftragung und Durchführung der Überweisung. Ein Fehlverhalten der Beklagten lag dagegen nicht vor. Diese war, nachdem der Anrufer sowohl die PIN für das Telefon-Banking richtig angeben als auch die Sicherheitsabfrage zutreffend beantworten konnte, verpflichtet, die Überweisung auszuführen. Insbesondere stand es ihr nicht zu, die Sinnhaftigkeit der Überweisung zu hinterfragen. Sie hat die Aufträge ihrer Kunden technisch einwandfrei, einfach und schnell abzuwickeln und sich schon wegen dieses begrenzten Geschäftszwecks und der Massenhaftigkeit der Geschäftsvorgänge grundsätzlich nicht um die beteiligten Interessen ihrer Kunden zu kümmern (BGH, Urteil vom 24.04.2012, XI ZR 96/11, zitiert nach juris, dort Rn. 34). Die Beklagte hatte zudem keine Möglichkeit, die E-Mail an den Beklagten oder bereits die Einrichtung einer der Webseite der Beklagten ähnlich sehenden Webseite zu verhindern oder derartigen Manipulationen vorzubeugen. Die Beklagte hat weder Zugriff auf den globalen E-Mail-Verkehr noch kann sie sämtliche Websites auf Manipulationsversuche überprüfen. Eine andere Beurteilung könnte sich nur dann ergeben, wenn die unbekannten Täter zumindest auch die Infrastruktur der Beklagten für ihre Täuschung genutzt hätten, beispielsweise nach einem Hacker-Angriff. Derartige Angriffe müsste die Beklagte im zumutbaren Maß zu vermeiden suchen. Für einen Hacker-Angriff oder vergleichbares gibt es jedoch keinerlei Anhaltspunkte. Allgemeine Warn- oder Hinweispflichten bestehen dagegen grundsätzlich nicht (BGH XI ZR 96/11). Eine Bank muss weder generell prüfen, ob die Abwicklung eines Zahlungsvorgangs Risiken für einen Beteiligten begründet noch Kontobewegungen überwachen. Eine Warnpflicht besteht erst dann – und so liegt der Fall hier gerade nicht –, wenn eine Bank ohne nähere Prüfung im Rahmen der normalen Bearbeitung eines Zahlungsverkehrsvorgangs aufgrund einer auf massiven Verdachtsmomenten beruhenden Evidenz den Verdacht einer Veruntreuung schöpft (BGH a. a. O.). Soweit ersichtlich, hat die Beklagte gleichwohl warnende Informationen für ihre Kunden online gestellt, wobei lediglich unklar ist, ob der Sicherheitshinweis zum Online-Banking der Beklagten bereits am 27.03.2014, dem Datum der Versendung der E-Mail an den Kläger, auf der Webseite der Beklagten zu finden war. Da die Methoden der Straftäter, die ihre Taten mit Hilfe des Internets verüben, jedoch ständig variieren, ist es einer Bank weder möglich noch zumutbar, jedwede Bedrohung durch sofortige konkrete Warnhinweise zu minimieren. Jedes Kreditinstitut kann lediglich durch allgemein gefasste Hinweise generell vor Gefahren z. B. durch sog. Phishing warnen, auf eine konkrete Bedrohung – z. B. einen sprunghaft ansteigenden Versand gefälschter E-Mails mit dem Inhalt, sensible Daten einzugeben – aber erst dann reagieren , wenn ein derartiger Missbrauch in concreto auftritt. b) Die Eingabe der persönlichen Daten des Klägers in die in der E-Mail verlinkte Maske erfolgte grob fahrlässig. Grob fahrlässig handelt, wer die im Verkehr erforderliche Sorgfalt in ungewöhnlich hohem Maße verletzt, indem beispielsweise ganz nahe liegende Überlegungen nicht angestellt oder beiseite geschoben werden und dasjenige unbeachtet bleibt, was im gegebenen Fall jedem hätte einleuchten müssen (BGH, Urteil vom 18.11.2004, VI ZR 141/13, zitiert nach juris, dort Rn. 21). Dabei orientiert sich die im Verkehr erforderliche Sorgfalt daran, was von einem durchschnittlichen Angehörigen des jeweiligen Verkehrskreises in der jeweiligen Situation erwartet werden kann. Im vorliegenden Fall ist daher auf die Sorgfalt eines durchschnittlichen Verwenders von Telefon- und Online-Banking abzustellen, bei dem unterstellt werden kann, dass er über einigermaßen gesicherte Grundkenntnisse der Funktionsweise des Internets einschließlich des E-Mail-Verkehrs verfügt und die Berichterstattung über Online-Banking zumindest in groben Zügen verfolgt. Einem mit diesen Kenntnissen ausgestatteten durchschnittlichen Verwender der Telefon- und Online-Banking-Funktionen seiner Bank muss bekannt sein, dass im Internet leider unter anderem Kriminelle versuchen, mittels der Versendung von E-Mails an sensible Daten Dritter zu gelangen. Ihm muss des Weiteren bekannt sein, dass keine Bank jemals mittels E-Mail oder überhaupt außerhalb eines Transaktionsvorgangs sensible Daten von ihm abfragt, noch dazu mehrere persönliche und Kontodaten während eines einzigen Eingabevorgangs. Auch werden bei Nutzung des Online-Bankings keinerlei Daten abgefragt, die ausschließlich der Nutzung des Telefon-Bankings dienen. Dem entgegen wird seit Jahren in sämtlichen Medien regelmäßig von so genannten Phishing-Attacken berichtet, in denen meist unbekannt bleibende Täter beispielsweise durch E-Mails versuchen, Bankkunden gerade zur Eingabe von zahlreichen persönlichen Daten gleichzeitig auf zuvor von ihnen entworfenen, täuschend echt aussehenden vermeintlichen Webseiten ihrer Banken zu bewegen. Phishing bezeichnet dabei die Täuschung eines Nutzers von Internetdiensten mithilfe technischer Manipulationen, um diesen zur Mitteilung vertraulicher Daten an einen Nichtberechtigten zu verleiten (BGH, Urteil vom 24.04.2012, XI ZR 96/11, zitiert nach juris, dort Rn. 26). Der durchschnittliche Online-Banking-Kunde muss daher bei diesem Thema in erheblichem Umfange sensibilisiert sein und somit darauf achten, ausschließlich die „echten“ Webseiten seiner jeweiligen Bank zu nutzen. Diese naheliegenden Sorgfaltsmaßnahmen ließ der Kläger jedoch außer Acht. Den genannten Warnungen in den Medien zum Trotz erkannte er die E-Mail und die verlinkten Webseiten nicht als Phishing-Angriff, obwohl auch die E-Mail und die verlinkten Website massive Anhaltspunkte für einen derartigen Angriff boten. Sowohl die E-Mail als auch die Website sind zwar im Layout der Beklagten gehalten. Die Inhalte sind jedoch extrem ungewöhnlich und mussten dem Kläger verdächtig erscheinen. So ist bereits unerklärlich, wieso ein versuchter Fremdzugriff dazu führen sollte, dass „das Konto“ des Klägers vorübergehend eingeschränkt wurde. Die Einschränkung wird weder näher bezeichnet noch ist eine derartige Mitteilung einer wie auch immer gearteten „Einschränkung“ sonst bei Banken üblich. Ungewöhnlich ist darüber hinaus der Link, der unmittelbar auf eine Eingabemaske führt, die nicht der Eingangsmaske der Beklagten entspricht - diese fordert lediglich zur Eingabe von Kontonummer und Online-Banking-PIN auf. Spätestens bei Durchsicht der in der Maske einzugebenden persönlichen und Kontodaten musste aber jedem durchschnittlichen Online-Banking-Nutzer gleichsam ins Auge springen, dass diese Eingaben von seiner Bank niemals gefordert würden, insbesondere nicht in dieser Menge und Kombination. Sämtliche dieser Verdachtsmomente ignorierte der Kläger jedoch. Dagegen liegt ein Mitverschulden der Beklagten im Sinne des § 254 BGB mangels eigenen Fehlverhaltens nicht vor (siehe oben a)). 3. Die Beklagte durfte diesen gegenläufigen Schadensersatzanspruch in das Kontokorrent einstellen und damit das Girokonto ihres Kunden belasten (vgl. BGH, Urteil vom 05.10.2004, XI ZR 210/03, zitiert nach juris, dort Rn. 19). 4. Mangels Hauptforderung hat der Kläger auch keinen Anspruch auf die begehrte Nebenforderung in Form des Ersatzes der vorgerichtlich entstandenen Rechtsanwaltsgebühren, §§ 280 I, 249 ff. BGB. 5. Die Kostenentscheidung beruht auf §§ 91 Abs. 1 S. 1, 281 Abs. 3 Satz 1 ZPO, die Entscheidung über die vorläufige Vollstreckbarkeit folgt aus §§ 708 Nr. 11, 711 S. 1, S. 2 ZPO.