7 O 114/24

Leitsatz: Hinweis der Dokumentationsstelle des Bundesgerichtshofs: Das Urteil vom 28. Januar 2025 ist durch Beschluss vom 11. Februar 2025 berichtigt worden. Der Berichtigungsbeschluss ist am Ende der Entscheidung angefügt. 1. Die Klage wird abgewiesen. 2. Der Kläger hat die Kosten des Rechtsstreits zu tragen. 3. Das Urteil ist vorläufig vollstreckbar. Der Kläger kann die Vollstreckung der Beklagten durch Sicherheitsleistung in Höhe von 110 % des aufgrund des Urteils vollstreckbaren Betrags abwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in Höhe von 110 % des zu vollstreckenden Betrags leistet. Beschluss Der Streitwert wird auf 6.486,44 € festgesetzt. Die zulässige Klage ist nicht begründet. Nach § 675u S. 1 BGB hat der Zahlungsdienstleister (hier die Beklagte) des Zahlers (hier des Klägers) im Fall eines nicht autorisierten Zahlungsvorgangs gegen diesen keinen Anspruch auf Erstattung seiner Aufwendungen. Er ist nach § 675u S. 2 BGB verpflichtet, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte. Zunächst ist festzustellen, dass der Anwendungsbereich der Vorschriften der §§ 675 c ff. BGB eröffnet ist. Nach der Rechtsprechung des EuGHs (BKR 2021, 234 ff.) ist auch die NFC-Funktion einer Zahlungskarte als Zahlungsinstrument zu qualifizieren. Die Voraussetzungen des § 675u BGB sind erfüllt, da die streitgegenständlichen Zahlungsvorgänge nicht durch den Kläger autorisiert waren. Nach der Legaldefinition des § 675j Abs. 1 S. 1 BGB ist die Autorisierung die wirksame Zustimmung des Zahlers zum Zahlungsvorgang, welche nach § 675j Abs. 1 S. 2 BGB als Einwilligung oder, sofern zwischen dem Zahler und seinem Zahlungsdienstleister zuvor vereinbart, auch als Genehmigung erteilt werden kann. Die vereinzelt vertretene Ansicht, dass in Fällen, in denen der Nutzer seine persönlichen Daten in die Eingabemaske einer manipulierten Webseite eingibt und sie somit unbewusst an den Angreifer weiterleitet, das Einverständnis des Nutzers zu den durch den Angreifer sodann durchgeführten Zahlungsvorgängen nach den Grundsätzen der Rechtscheinsvollmacht zuzurechnen sei (z.B. LG Darmstadt, Urteil v. 28.08.2014, Az. 28 O 36/14, juris Rz. 37 ff.), ist abzulehnen. Gleiches muss für die vorliegende Sonderform der Verschaffung von Kreditkartendaten durch einen Pishing-Angriff und deren Freischaltung für eine digitale Kreditkarte durch eine erschlichene TAN gelten. Die Grundsätze über die Duldungs- und Anscheinsvollmacht finden in Bezug auf die Zustimmung i.S.v. § 675j BGB richtigerweise keine Anwendung (BGH, Urteil v. 26.01.2016, Az. XI ZR 91/14, Rz. 55 ff.; Köndgen in: beck-online. GROSSKOMMENTAR, Stand: 15.07.2024, § 675j BGB Rz. 20). Dass der Kläger die Zahlungsvorgänge mittels digitaler Kreditkarte nicht selbst autorisiert hat, steht für das Gericht fest und wird auch von der Beklagten nicht in Abrede gestellt, denn sie geht in ihrem Vortrag im Übrigen durchaus von einem betrügerischen Vorgehen durch einen Dritten aus. Der Anspruch des Klägers nach § 625u S. 2 BGB ist aber durch wirksame Aufrechnung der Beklagten wieder erloschen, § 389 BGB, bzw. diesem kann die Beklagte den Einwand des § 242 BGB entgegenhalten. Die Beklagte hat nach § 675v Abs. 3 Nr. 2 lit. a), b) BGB Gegenansprüche auf Schadensersatz gegen die Klagepartei jeweils mindestens in Höhe dessen Erstattungsansprüche gemäß § 675u S. 2 BGB. Dabei gilt in rechtlicher Hinsicht, dass nach § 675 v Abs. 3 Nr. 2 BGB der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet ist, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler den Schaden herbeigeführt hat durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehrerer Pflichten gemäß § 675 l Absatz 1 BGB oder einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments. Eine grobe Fahrlässigkeit liegt nach allgemeinen Regeln vor bei einem objektiv schweren und subjektiv nicht entschuldbarem Verstoß gegen die Anforderungen der im Verkehr erforderlichen Sorgfalt, wenn also das außer Acht gelassen wird, was jedem hätte einleuchten müssen. Nach § 675 l Abs. 1 S. 1 BGB ist der Zahler verpflichtet, unmittelbar nach Erhalt eines Zahlungsauthentifizierungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Darunter fallen insbesondere TAN, welche einmal für die Autorisierung einer ganz bestimmten Transaktion eingesetzt werden können, dem Zahlungsdienstnutzer erst im Zusammenhang mit der jeweiligen Transaktion übermittelt werden und nur für eine kurze Zeit gültig sind. Unbefugt ist namentlich jede Verwendung, die ohne oder gegen den Willen des Inhabers des Zahlungsinstruments erfolgt und dementsprechend auf die Auslösung eines nicht autorisierten Zahlungsvorgangs gerichtet ist. Die Klagepartei hatte allgemein dafür Sorge zu tragen, dass nicht dritte Personen die unkontrollierte Zugriffsmöglichkeit auf ihr Online- Banking oder die Banking-App mittels Zugangsdaten und TAN bekommen und so ohne ihr Wissen und Wollen Transaktionen von seinem Konto bei der Beklagten durchführen können. Die vom Zahlungsdienstnutzer geschuldeten Sorgfaltspflichten sind außerdem nach der Art des konkreten Angriffs zu bestimmen. Beim Social Engineering/Pishing/Pharming wird von den Tätern die "Schwachstelle Mensch" ausgenutzt, um auf diese Art und Weise personalisierte Sicherheitsmerkmale auszuspähen und in der Folge Zahlungen auszulösen. Diese Angriffe sind nicht ohne erhebliche Mitwirkung des Zahlungsdienstnutzers möglich. Die vom Zahlungsdienstnutzer zu erwartende angemessene Sorgfalt besteht darin, Zugangsdaten niemandem auf Nachfrage anzuvertrauen, sei es am Telefon, in E-Mails oder im Internet. So ist es auch in Ziff. 7.2 der unstreitig einbezogenen Online- Banking- Bestimmungen (Anlage B1) bestimmt. Diese Pflicht hat der Kläger verletzt, indem er durch das von ihm vorgetragenen Verhalten Dritten ermöglicht hat, seine Kreditkarte digital zu nutzen. Der Kläger hat es durch Eingabe seiner Kreditkartendaten auf der gefälschten Internetseite durch die Eingabe bzw. die App- bedingte Verwendung der Push- TAN das S-ID- Check- Verfahren für seine Kreditkarte registriert und somit die unmittelbar nachfolgenden Verfügungen ermöglicht. Der Kläger hat in seiner Anhörung angegeben, auf seinem Handy eine E-Mail bekommen zu haben mit einem Link, den er dann angeklickt habe. Daraufhin habe sich ein Fenster geöffnet, also ein Webbrowser. Darauf sei (vermeintlich) die Sp. zu sehen gewesen. Dort jedenfalls habe er seine Zugangsnummer und die PIN eingegeben. Dann habe er seinen Namen, Vornamen, die Kreditkartennummer und die Prüfnummer von der Rückseite eingegeben und das Ganze mit Okay bestätigt. Danach sei es nicht mehr weitergegangen, er erinnere nicht, das über eine Push-TAN bestätigt zu haben. Der Zeuge P. hat anhand der Anlage B3 glaubhaft bekundet und erläutert, diese betreffe die Registrierung der Kreditkarte des Klägers in der SID Check-App. Diese Registrierung sei angestoßen worden vom Täter. Der Kläger habe das freigeben sollen und dazu zuvor einen schriftlichen Warnhinweis auf seinem Handy erhalten, die Freigabe um 18:03:40 Uhr sei mittels Biometrie Gesichtserkennung erfolgt. Unter Berücksichtigung aller Umstände des hiesigen Einzelfalls ist das Verhalten des Klägers nach Auffassung des erkennenden Gerichts im Ergebnis als grob fahrlässig einzustufen. Anknüpfungspunkt ist dabei zunächst der (vermeintliche) Verkaufsvorgang auf der Internet- Seite Kleinanzeigen. Nach Mitteilung seiner Email- Adresse durch seine Ehefrau an die vermeintliche Käuferin hat er außerhalb des Systems der Kleinanzeigen eine Nachricht mit einem Link bzw. dem Button "sicheres Bezahlen" auf sein Handy erhalten, dem er sodann gefolgt ist. Bereits zu diesem Zeitpunkt lagen für den Kläger deutliche Anhaltspunkte vor, dass es sich um eine betrügerische Handlung handeln könnte, denn der Absender der Email "information_id.02 l@....com" war auffällig und ließ keinen Rückschluss darauf zu, diese Nachricht stamme von den Kleinanzeigen. Wenn es sich um ein "Sicheres Bezahlen" der Plattform Kleinanzeigen gehandelt hätte, hätte dies sicher nicht die Übersendung einer Nachricht der Käuferin bedurft. Das sodann die vollständige Eingabe der Kreditkartendaten durch den Kläger auf dem gefälschten Formular der Internetseite erforderlich sein sollte, hätte dem Kläger ebenfalls verdächtig vorkommen müssen, da keine Zahlung durch ihn, sondern an ihn geleistet werden sollte. Das alles wird dann "getoppt" von der zu Lasten des Klägers nachgewiesenen Eingabe einer PushTAN/ Face-ID nach Erhalt eines Warnhinweises ("Phishing-Hinweis: Nach der Auftragsfreigabe können Zahlungen im Internet mit der Kreditkarte in Ihrer S-ID-Check-App freigegeben werden."). Die Eingabe einer PushTAN für den Empfang einer Zahlung auf der eigenen Kreditkarte, wie es der Kläger ohne das Lesen des Warnhinweises verstanden haben könnte, ist derart unplausibel, dass er diesen Vorgang hätte abbrechen sollen und müssen. Der Gegenanspruch der Beklagten ist auch nicht gem. § 254 BGB wegen erheblichen Mitverschuldens zu kürzen, beispielsweise weil – wie hier - sogleich nach Digitalisierung der Kreditkarte auf einem neuen Gerät Abbuchungen aus Dubai vorgenommen worden sind. Zwar bestehen im in Ausnahmefällen Zahlungsverkehr Warn- und Hinweispflichten der Kreditinstitute zum Schutz ihrer Kunden vor drohenden Schäden. Im vorliegenden Fall der Nutzung einer zur Verfügung gestellten und freigegebenen digitalen Kreditkarte sind keine weitergehenden Pflichten des Kreditinstituts gegenüber dem individuellen Kunden für gegeben. Das Hanseatischen Oberlandesgerichts in Bremen, Beschluss vom 15. April 2024 – 1 U 47/23 – juris RN 37, hat in einem vergleichbaren Fall ausgeführt: "…..Nach den maßgeblichen europarechtlichen Vorgaben ist im Bereich der elektronischen Zahlungsdiensteabwicklung der Zahlungsdienstleister zur Vorhaltung eines Systems zur Betrugsprävention aber nur zur aufsichtsrechtlichen Überwachung verpflichtet, nicht dagegen zur Überwachung und Vorabkontrolle einzelner Zahlungsvorgänge: Die nach Art. 2 der Delegierten VO 2018/389 vorzuhaltenden Transaktionsüberwachungsmechanismen sind nicht auf eine Echtzeitanalyse einzelner Zahlungsvorgänge gerichtet, durch die im Interesse der betroffenen Zahlungsdienstnutzer gegebenenfalls auffällige Transaktionen vor deren Ausführung zu stoppen wären (so die Auslegung durch die Europäische Bankenaufsichtsbehörde (EBA) in Single Rulebook Q&A, Question ID 2018_4090; ebenso Casper/Terlau- Terlau, 3. Aufl., § 1 ZAG Rn. 520; anders dagegen Linardatos BKR 2021, 665, 675). Systematisch ist dies daraus abzuleiten, dass Art. 2 der Delegierten VO 2018/389 hier von Transaktionsüberwachungsmechanismen spricht, während in Art. 18 diesen dort in Abs. 1 genannten Mechanismen die Echtzeitanalyse in Abs. 2 Buchst. c) gegenübergestellt wird. Auch insoweit verbleibt es dabei, dass die europarechtlichen aufsichtsrechtlichen Regelungen keine hier die Klägerin schützende Sorgfaltspflicht der Beklagten vorsehen; wiederum ist diese aufsichtsrechtliche Wertung auch für den zivilrechtlichen Sorgfaltsmaßstab heranzuziehen, so dass im Ergebnis ein zur Annahme eines Mitverschuldens führender Sorgfaltsverstoß der Beklagten zu verneinen ist." Das erkennende Gericht schließt sich diesen Ausführungen an und macht diese sich zu eigen. Der Schadensersatzanspruch der Beklagten ist auch nicht nach $ 675v Abs. 4 Nr. 1 BGB ausgeschlossen. Danach ist abweichend von den Absätzen 1 und 3 der Vorschrift der Zahler seinem Zahlungsdienstleister unter anderem dann nicht zum Schadensersatz verpflichtet, wenn der Zahlungsdienstleister des Zahlers eine starke Kundenauthentifizierung im Sinne des $ 1 Abs. 24 des Zahlungsdiensteaufsichtsgesetzes (ZAG) nicht verlangt. Vorliegend hat die Beklagte eine starke Kundenauthentifizierung im Sinne des § 1 Abs. 24 ZAG verlangt. Mangels Hauptanspruches besteht auch kein Anspruch auf Zahlung von Zinsen oder Erstattung vorgerichtlicher Rechtsanwaltskosten. Die Kostenentscheidung folgt aus § 91 ZPO, die Entscheidung über die vorläufige Vollstreckbarkeit auf § 709 ZPO. Der Kläger macht gegen die Beklagte einen Anspruch auf Wiedergutschrift nicht autorisierter Abbuchungen auf seinem Kreditkartenkonto und Girokonto geltend. Die Parteien sind über den Girokontovertrag zu Nr. ... verbunden. Das Girokonto kann seit dem 17.10.2017 im Wege des Online-Bankings verwaltet werden. Der Kläger besitzt u.a. eine Mastercard Kreditkarte mit der Nr. … . Die Kreditkarte wird nicht durch die Beklagte ausgegeben, sondern durch die P. Service-Gesellschaft für Kreditkarten-Processing mbH (im Folgenden: "P."). Als der Kläger am 19.03.2024 über die Plattform kleinanzeigen.de eine gebrauchte Babytrage verkaufen wollte, wurde er nach Mitteilung des erfolgreichen Verkaufs aufgefordert, die Zahlung über das kleinanzeigen-System "Sicher Bezahlen" zu bestätigen. Hierfür erhielt er eine E-Mail mit einem Link. Der Kläger klickte den Link an woraufhin sich ein Webbrowser öffnete, vermeintlich der der Beklagten. Dort gab der Kläger seine Zugangsnummer und seine PIN ein und gab das Login frei. Dann wurde – offensichtlich durch den oder die Täter – die Registrierung der Kreditkarte des Klägers in der SID- Check App angestoßen und der Kläger gab hier seinen Vor- und Zunamen, seine Kreditkartennummer nebst dazugehöriger Prüfnummer ein und bestätigte dies um 18:03:40 Uhr mit einer Freigabe mittels Gesichtsfelderkennung.; letzteres ist streitig, der Kläger meint, hier nur mittels eines "Okays" bestätigt zu haben. Vor der Freigabe erschien eine Warnmitteilung auf dem Display des klägerischen Handys: "Phishing-Hinweis: Nach der Auftragsfreigabe können Zahlungen im Internet mit der Kreditkarte in Ihrer S-ID-Check-App freigegeben werden. Geben Sie nur Aufträge frei, die sie selbst beauftragt haben. Wenden Sie sich bei Unklarheiten umgehend an Ihren Berater. Geben Sie telefonisch keine sensiblen Informationen weiter." Sodann wurde die Kreditkarte des Klägers für 3 Zahlungen von Dubai aus verwendet in Höhe von insgesamt 6.486,44 €. Mit Schreiben vom 17.04.2024 (Anlage K10) ließ der Kläger die Beklagte auffordern, den Betrag von 6.486,44 € seinem Konto bis zum 30.04.2024 wieder gutzuschreiben. Die Beklagte lehnte dies mit Schreiben 29.04.2024 (Anlage K11) ab. Für die außergerichtliche Tätigkeit des Prozessbevollmächtigten fielen zu Lasten des Klägers Kosten in Höhe von insgesamt 819,91 € an, die bislang in Höhe 669,91 € von der Rechtsschutzversicherung des Klägers, der E. Rechtsschutz Leistungs- GmbH bezahlt worden sind. Ein Betrag von EUR 150,00 steht noch zur Zahlung durch den Kläger aus. Die E. Rechtsschutz Leistungs- GmbH hat den durch Zahlung auf sie übergegangenen Anspruch wieder an den Kläger abgetreten. Der Kläger hat die Abtretung angenommen. Der Kläger trägt vor, ihm sei nicht erinnerlich, eine Push-TAN mit dem behaupteten Inhalt erhalten zu haben: "Phishing-Hinweis "Nach der Auftragsfreigabe können Zahlungen im Internet mit Ihrer S-ID-Check-App freigegeben werden.". Zudem lasse auch dieser Hinweis nicht erkennen, dass Zahlungen nun durch ein fremdes Gerät freigegeben werden könnten. Auch sei nicht erkennbar, dass die Kreditkarte in dieser App hinterlegt werde. Dabei hätte die Beklagte dies ganz einfach klarstellen können, indem sie darauf hinweist, dass auf einem neuen Gerät eine Installation erfolge. Selbst wenn der Kläger diesen Hinweis also gesehen hätte, hätte er bei Freigabe daher nicht grob fahrlässig gehandelt, da ihm das Risiko, welches er damit faktisch schaffen würde, nicht bewusst gewesen wäre und auch nicht bewusst sein konnte. Der Kläger meint, ihm stehe ein Anspruch auf Wieder- Gutschrift der abgebuchten Beträge in Höhe von 6.486,44 € zu, denn er habe die Abbuchungen zu keiner Zeit autorisiert. Ein aufrechenbarer Schadensersatzanspruch der Beklagten bestehe nicht, denn er habe insbesondere auch nicht fahrlässig oder grob fahrlässig gehandelt. Er habe seine Kreditkarte und sein Handy noch nie einem Dritten überlassen. Bei der Abfrage der Kreditkartendaten bei kleinanzeigen.de nach dem mitgeteilten Verkauf sei es für ihn und auch für jeden anderen durchschnittlich aufmerksamen und verständigen Verbraucher nicht erkennbar gewesen, dass es sich um einen Betrug handeln würde. Bei wertender Betrachtung lasse sich das Verhalten des Klägers im Ergebnis als eine Art "Augenblicksversagen" im Rahmen eines situativ bedingten Fehlverhalten bewerten, indem er unvorbereitet von einem Angriff überrumpelt worden sei. Schon aufgrund der ungewöhnlich hohen Auslandszahlung – direkt nach Einrichtung eines neuen Gerätes zur Authorisierung, wie die Beklagte behauptet – bestünde ein den Schadensersatzanspruch ausschließendes Mitverschulden. Es wäre die als Mindeststandard zu erwartende Sicherheit, dass für jede nach Änderung einer Authorisierungsmethode ausgeführte Zahlung, eine vorherige Nachricht auf das bisher genutzte Gerät oder per E- Mail erfolge, so dass der Kläger überhaupt die Chance hätte, unberechtigte Verfügungen zu stoppen. Bezogen auf Online-Login-Vorgänge könnte die Beklagte außerdem, wenn sie erkenne, dass sich ein neues Gerät einloggt, eine Nachfrage bei dem Kläger auslösen, ob es sich auch um ihn handele und nicht einen Betrüger. Der Kläger beantragt, 1. die Beklagte zu verurteilen, dem bei ihr geführten Girokonto des Klägers mit der IBAN DE … den Betrag von EUR 6.486,44 nebst Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz seit dem 24.04.2024 gutzuschreiben; 2. die Beklagte zu verurteilen, an den Kläger vorgerichtliche Rechtsanwaltskosten in Höhe von EUR 669,91 zzgl. Zinsen in Höhe von 5%-Punkten über dem Basiszinssatz seit Rechtshängigkeit zu zahlen; 3. die Beklagte zu verurteilen, den Kläger von der Zahlung vorgerichtlicher Rechtsanwaltskosten in Höhe von EUR 150,00 gegenüber seinem Prozessbevollmächtigten freizustellen. Die Beklagte beantragt, die Klage abzuweisen. Sie vertritt die Auffassung, ihr stehe - in Höhe der Klagforderung - ein eigener Gegenanspruch aus § 675v Abs.3 Nr. 2 a, b BGB zu, mit dem gegen die Klagforderung aufgerechnet werde; alternativ werde dieser im Wege der dolo-agit-Einrede entgegengehalten. Der Kläger habe in eklatanter Weise gegen seine Sorgfaltspflichten verstoßen. Zumindest habe der Kläger seine Eingaben und die Displayanzeigen in der PushTAN-App am 19.03.2024 nicht überprüft und grob fahrlässig so die Hinterlegung seiner Kreditkarte im S_ID-Check-Verfahren ermöglicht. Ein grob fahrlässiges Verhalten des Klägers nach § 675v Abs. 3 Nr. 2 a, b BGB liege damit. Nicht nachvollziehbar sei, warum der Kläger - als Verkäufer - seine Kartendaten überhaupt habe bekanntgeben wollen; schließlich wäre es in der vorgetragenen Konstellation an ihm gewesen, eine Zahlung zu erhalten. Der Erhalt von Zahlungen auf Kreditkarten sei unüblich. Sie selbst treffe kein Mitverschulden. Sie habe auf ihrer Homepage über Betrugs-/ Missbrauchsfälle, wie auch über "Phishing- Mails unter dem Vorwand der sicheren Bezahlung bei Verkäufen auf kleinanzeigen.de", informiert, vgl. Aktuelle Sicherheitswarnungen | Sp. W. (spk-w..de) informiert, veröffentlicht schon vor dem hier streitigen Vorkommnis. Der Kläger habe die Inhalte dieser Warnung offensichtlich nicht zur Kenntnis genommen. Ein Vorwurf dahingehend, die Überwachungsalgorithmen der Bank hätten die einzelnen Transaktionen unterbinden müssen, würde die Vorgaben aus Art. 22 DSGVO ignorieren. Auch entspreche dies nicht der Zielsetzung dieser technischen Systeme. Eine "individuelle Überwachungspflicht" für Banken gebe es nicht. Anders als etwa soziale Medien oder Internetplattformen dürften Banken keine umfassenden individuellen Kundenprofile anlegen, für die es aufgrund des Gebots der Datensparsamkeit (Art. 5 Abs. 1 litt. b, c DSGVO) bereits an einer datenschutzrechtlichen Grundlage fehlen würde. Hinsichtlich des weiteren Parteivortrags wird Bezug genommen auf die gewechselten Schriftsätze nebst Anlagen. Das Gericht hat den Kläger angehört und Beweis erhoben durch Vernehmung des Zeugen P.; diesbezüglich wird Bezug genommen auf das Protokoll vom 26.11.2024.