Schadensersatz nach Phishing-Angriff: Grobe Fahrlässigkeit des Kunden und Mitverschulden der Sparkasse
OLG Dresden v. 5.6.2025 - 8 U 1482/24
Der Sachverhalt:
Der Kläger begehrt von der beklagten Sparkasse die Wiedergutschrift eines Geldbetrages in Höhe von 49.421,44 Euro, mit welchem sein bei der Beklagten geführtes Girokonto aufgrund zweier Überweisungen (24.422,44 Euro + 24.999 Euro) vom 23.02. und 24.02.2022 auf das Konto einer ihm unbekannten Dritten belastet wurde.
Der Kläger führt das Privatgirokonto bei der Beklagten und nutzte hierfür das Online-Banking (und auch das App-basiert mittels eines mobilen Endgeräts (beispielsweise Smartphone, Tablet, aber auch fest installierter PC) nutzbare S-pushTAN-Verfahren.
Der Kläger erhielt am 20.02.2022 eine E-Mail, die als Absender "Sparkasse Kundenservice" auswies und in der dem Kläger mitgeteilt wurde, dass das Online-Banking aktualisiert werde und dadurch entsprechende Anpassungen vorgenommen werden müssten. Über eine im Text der E-Mail angezeigte Schaltfläche wurde der Kläger auf eine Internetseite weitergeleitet. Er gab daraufhin, um sich im Online-Banking einzuloggen, seine regulären hierfür notwendigen Zugangsdaten ein. Ihm wurde dann angezeigt, dass sich ein Service-Mitarbeiter von der technischen Abteilung der Beklagten mit ihm telefonisch in Verbindung setzen werde.
Am 20.02.2022 erfolgte das erste Login in das Online-Banking des Klägers. Es wurde nach Legitimation mittels Kartennummer und dem Geburtsdatum des Klägers das verfügbare Online-Banking-Limit abgefragt. Am 22.02.2022 wiederholte sich dieser Vorgang. Auch am 23.02.2022 um 16:40:59 Uhr wurde auf diese Weise das Online-Banking-Limit des Klägers gesichtet. In etwa zeitgleich um 16:40 Uhr erhielt der Kläger einen Anruf, der scheinbar von der dem Kläger bekannten Service-Rufnummer der Sparkasse kam. Die Anruferin stellte sich als Frau S...... von der Sparkasse C...... vor. Um die bereits vorangekündigte technische Neuinstallation des Online-Bankings zu veranlassen, bat sie den Kläger darum, über die S-pushTAN zum Neuinstallationsabschluss den Bestätigungs-Icon zu betätigen, den sie gerade ausgelöst habe, um einen Test zu starten. Dem kam der Kläger nach. Um 16:42:05 Uhr wurde zunächst das Tageslimit für Überweisungen von 1.000 Euro auf 24.444 Euro für den 23.02.2022 erhöht. Am 23.02.2022 um 16:42:27 Uhr kam es sodann zu einer Zahlungsanweisung vom Tagesgeldkonto des Klägers auf sein Girokonto in Höhe von 33.333 Euro, welche taggleich wertgestellt wurde. Für diese Transaktion wurde, da es sich um eine Umbuchung zwischen zwei eigenen Konten handelt, keine TAN-Bestätigung von der Beklagten verlangt. Zudem wurde eine Zahlungsanweisung in Höhe von 24.422,44 Euro als sog. Echtzeitüberweisung an ein dem Kläger unbekanntes Postbankkonto ausgelöst (16:43:00 Uhr). Um 16:43:19 Uhr erfolgte die Änderung des Anmeldenamens des Klägers für den Zugang ins Online-Banking, wozu es einer Freigabe in der S-pushTAN-App bedurfte, sodass diesem in der Folge ein Login mit seinen bekannten Daten nicht mehr möglich war.
Am 24.02.2024 um 9:07 Uhr erhielt der Kläger - wie angekündigt - einen weiteren Anruf der vermeintlichen Frau S......, die ihn zur zweimaligen Bestätigung von Aufträgen in der S-pushTAN-App aufforderte, was der Kläger tat. Am 24.02.2022 wurde um 09:06:02 Uhr im Online-Banking-Account des Klägers das verfügbare Tageslimit angesehen und wiederum eine temporäre Erhöhung des Überweisungslimits auf 24.999 Euro veranlasst (09:10:58 Uhr). Um 09:11:17 Uhr erfolgte eine Umbuchung von 21.111 Euro vom Tagesgeld- auf das Girokonto des Klägers. Ume 09:12:08 Uhr wurde eine weitere Echtzeitüberweisung an das Postbankkonto der J...... H...... in Höhe von 24.999 Euro ausgelöst.
Bis zum 09.03.2022 erfolgten keinerlei weitere Zugriffe auf das Online-Banking des Klägers. An diesem Tag wandte er sich an den Kundenservice der Beklagten, da er sich nicht mehr einloggen konnte und wurde in diesem Rahmen über die Unregelmäßigkeiten informiert. Der Versuch einer Rückbuchung der beiden Echtzeit-Überweisungen scheiterte.
Der Kläger meint, dass ihm ein Anspruch aus § 675u Satz 2 BGB gegen die beklagte Zahlungsdienstleisterin zustehe, da er die streitgegenständlichen Zahlungen nicht autorisiert habe. Es fehle an seiner wirksamen Zustimmung (§ 675j BGB).
Das LG wies die Klage ab. Zwar stehe dem Kläger ein Anspruch auf Erstattung der von ihm nicht autorisierten Zahlungen in Höhe von insgesamt 49.421,44 Euro aus § 675u Satz 2 BGB zu, welchem die Beklagte jedoch mit Erfolg einen gegenläufigen Schadensersatzanspruch gemäß § 675v Abs. 3 BGB entgegenhalten könne und der auch nicht durch § 675v Abs. 4 BGB ausgeschlossen sei.
Die Berufung des Klägers hatte vor dem OLG teilweise Erfolg. Die Revision wurde nicht zugelassen.
Die Gründe:
Die Berufung des Klägers ist begründet, soweit das LG die Klage vollständig abgewiesen und dem Kläger keine Kontogutschrift in Höhe von 9.884,29 Euro zuerkannt hat.
Zwar hat der Kläger die streitgegenständlichen Überweisungen von 24.422,44 Euro und 24.999 Euro nicht autorisiert, so dass ihm im Ausgangspunkt gemäß § 675u Satz 2 BGB gegen die Beklagte ein Anspruch auf Wiedergutschrift der Beträge auf seinem Girokonto zusteht. Die Beklagte kann diesem Anspruch jedoch mit Erfolg einen gegenläufigen - aufgrund eigenen Mitverschuldens gemäß § 254 BGB um ein Fünftel geschmälerten - Schadensersatzanspruch gegen den Kläger aus § 675v Abs. 3 Nr. 2 lit. b) BGB entgegenhalten, da dem Kläger im Zusammenhang mit dem Zahlungsvorgang eine grob fahrlässige Verletzung der gesetzlichen Pflicht aus § 675l Abs. 1 Satz 1 BGB sowie von Pflichten aus dem Onlinebanking-Vertrag zur Last fällt.
Dem Kläger steht zunächst aus § 675u Satz 2 BGB ein Anspruch gegen die Beklagte darauf zu, seinem Girokonto den Betrag von insgesamt 49.421,44 Euro (24.422,44 Euro + 24.999 Euro) wieder gutzuschreiben, da er die (Echtzeit-)Überweisungen vom 23.02. und 24.02.2022 an eine ihm unbekannte Dritte (J...... H......) nicht autorisiert hat.
Der Kläger hat hinreichenden Sachvortrag dazu gehalten, dass die streitgegenständlichen Zahlungsvorgänge am 23.02. und 24.02.2022 nicht von ihm autorisiert, sondern durch missbräuchliches Eingreifen eines Dritten manipuliert waren und hat damit einen etwaigen zugunsten der Beklagten streitenden Anscheinsbeweis erschüttert. Demnach steht dem Kläger mangels Autorisierung der Zahlungsvorgänge vom 23.02. und 24.02.2022 ein Aufwendungsersatzanspruch gemäß § 675u Satz 2 BGB zu.
Dem dem Kläger mangels Autorisierung des Zahlungsvorgangs zustehenden Anspruch aus § 675u Satz 2 BGB steht allerdings ein Schadensersatzanspruch der Beklagten gegen den Kläger aus § 675v Abs. 3 Nr. 2 lit. a) und lit. b) BGB in Höhe von insgesamt 39.537,15 Euro (24.422,44 Euro + 24.999 Euro abzüglich Mitverschuldensanteil der Beklagten entgegen. Diesen kann die Beklagte dem Kläger gemäß § 242 BGB nach Treu und Glauben erfolgreich entgegen halten, sodass der Kläger eine Wiedergutschrift der Überweisungsbeträge nur in Höhe von 9.884,29 Euro zuzüglich Zinsen verlangen kann.
Denn die Beklagte hat einen eigenen Schadensersatzanspruch gegen den Kläger gemäß § 675v Abs. 3 Nr. 2 lit. a) und lit. b) BGB, da der Kläger grob fahrlässig eine Pflicht gemäß § 675l Abs. 1 BGB und eine vereinbarte Bedingung für die Ausgabe und Nutzung des Zahlungsinstruments verletzt hat.
Der Kläger hat einem unbekannten Dritten mittelbar Zugriff auf ein personalisiertes Sicherheitsmerkmal gewährt. Denn in der Betätigung der S-pushTAN-App auf Zuruf der Anruferin liegt eine Zugriffsgewährung. Er hat die Kontrolle über das Authentifizierungsinstrument faktisch aus der Hand gegeben und der Anruferin überlassen, indem er ohne vorherige Überprüfung nach ihren Anweisungen gehandelt hat.
Der Kläger hat die aus den Bedingungen für das Online-Banking herzuleitenden Pflichten verletzt, indem er vor der Bestätigung des von Dritten generierten Auftrages in der S-pushTAN-App die angezeigten Daten nicht überprüft hat.
Gegen die Pflichten, sein Smartphone vor unbefugtem Zugriff im Sinne von § 675l Abs. 1 34 Satz 1 BGB zu schützen und die Aufträge entgegen der vereinbarten Bedingungen mit der Beklagten nicht ohne weitere Überprüfung freizugeben, hat der Kläger auch grob fahrlässig verstoßen.
Da die Zahlungsdiensterichtlinie die Ausgestaltung des Begriffs der groben Fahrlässigkeit dem einzelstaatlichen Recht überlässt (Erwägungsgrund Nr. 33 Richtlinie 2007/64/EG vom 13.11.2007 über Zahlungsdienste im Binnenmarkt), kann an die bisherige Rechtsprechung angeknüpft werden. Danach liegt grobe Fahrlässigkeit vor, wenn die im Verkehr erforderliche Sorgfalt in ungewöhnlich grobem Maße verletzt worden ist und auch ganz nahe liegende Überlegungen nicht angestellt worden sind oder dasjenige nicht beachtet worden ist, was im konkreten Fall jedem hätte einleuchten müssen (BGH, Urteil vom 23.09.2008 - XI ZR 253/07). Zu beachten ist jedoch, dass anders als bei einfacher Fahrlässigkeit, die nach einem ausschließlich objektiven Pflichtenmaßstab beurteilt wird, bei grober Fahrlässigkeit auch subjektive, in der Individualität des jeweils Handelnden begründete Umstände zu berücksichtigen sind (BGH, Urteil vom 26.01.2016 - XI ZR 91/14). Selbst ein objektiv grober Pflichtverstoß rechtfertigt für sich noch keinen zwingenden Schluss auf ein entsprechend gesteigertes personales Verschulden (BGH, Urteil vom 26.01.2016 - XI ZR 91/14).
Gemessen an diesen Maßstäben handelte der Kläger unter Berücksichtigung seiner individuellen Kenntnisse und Fähigkeiten sowie seiner Erfahrungen und Kompetenzen im Bereich Online-Banking in der Gesamtschau aller Umstände auch in subjektiver Hinsicht nicht mehr entschuldbar und damit grob fahrlässig im Sinne der Vorschrift.
Der Kläger hatte schon deswegen allen Grund zum Argwohn, weil er vorgeblich von seiner Bank eine - die von dem Landgericht im Einzelnen herausgearbeiteten deutlichen "sprachlichen Warnzeichen" aufweisende - E-Mail erhalten hat, welche ihn ohne nachvollziehbare Relevanz für das eigentliche Anliegen (Aktualisierung/Umzug Online-Banking) zur Verifizierung seiner Person durch die Betätigung eines Links aufgefordert hat. Es hat sich angabegemäß eine Seite geöffnet, die von der Login-Seite zum Online-Banking der Beklagten nicht zu unterscheiden gewesen sei, sodass sich der Kläger mit seinen üblichen Zugangsdaten angemeldet und schließlich über ein Pop-Up-Fenster die Information erhalten habe, dass er telefonisch kontaktiert werde. Die in der Folge stattgefundenen Telefonate waren durch die an zwei Tagen wiederholte Aufforderung zu mehrfachen Freigaben in S-pushTAN-App für einen (eigentlich) technisch überschaubaren Vorgang im Rahmen des Massengeschäfts gekennzeichnet. Dass die Bank ausweislich der (Phishing-)E-Mail vom 20.02.2022) eine mangels individueller Ansprache offenbar alle das Online-Banking nutzenden Kunden ("unsere Kunden") betreffende Aktualisierung, ohne nähere Erläuterungen derart umständlich ausgestaltet, hätte selbst einem technischen Laien als ungewöhnlich auffallen müssen. Jedenfalls in der Kumulation dieser Abläufe und Einzelfallumstände kann das Gesamtverhalten des Klägers nicht mehr als einfacher Pflichtverstoß eingestuft werden.
Es ist allgemein bekannt, dass über sogenannte Phishing-E-Mails Daten von Bankkunden Dritten unberechtigt bekannt werden können. Zudem ist bekannt, dass bei Telefonanrufen leicht über die Identität des Anrufenden getäuscht werden kann und technische Möglichkeiten bestehen, um die auf dem Telefondisplay angezeigte Anrufnummer zu manipulieren. Bei Nutzung einer App, die explizit der Freigabe von Finanztransaktionen und darüber hinaus allenfalls wichtiger sicherheitsrelevanter Einstellungen dient, muss es zudem im Allgemeinen jedem einleuchten, dass eine Nutzung zu anderen Zwecken, wie der Initialisierung einer "Aktualisierung" bzw. eines nicht näher umschriebenen "Umzugs" des Online-Bankings nicht zulässig ist. Unabhängig von der konkreten Warnung kann es keinem verständigen Verbraucher, der Zahlungsdienste nutzt, entgangen sein, dass sämtliche Banken seit Jahren vor so genannten "Phishing"-Nachrichten und betrügerischen Anrufen warnen. Aufgrund der in den letzten Jahren vielfach durch verschiedene Medien bekannt gewordenen Fälle ist die Erkenntnis, dass Kunden durch betrügerische Nachrichten und Anrufe angeblicher Bankmitarbeiter zur Preisgabe von Zugangsdaten zum Online-Banking veranlasst werden sollen, als allgemeines Wissen vorauszusetzen, denn spätestens seit 2006 wurde das kriminelle Phänomen des Phishings öffentlich breit diskutiert (OLG München, Hinweisbeschluss vom 22.09.2022 - 19 U 2204/22). In der Folgezeit gab es fortlaufend eine Fülle von Presseberichten, wonach sich Kriminelle am Telefon als eine andere Person ausgeben und unter Vorspiegelun falscher Tatsachen den Angerufenen zu finanziellen Transaktionen veranlassen (beispielsweise beim sog. Enkeltrick). Hinzu kommt, dass der Kläger als Mitarbeiter des öffentlichen Dienstes - wie er auch eingeräumt hat - regelmäßig, in etwa jährlich, IT-Sicherheitsunterweisungen, welche insbesondere Verhaltenshinweise zum Umgang mit "verdächtigen" E-Mails zum Gegenstand hatten, erhalten hat. Es ist daher davon auszugehen, dass der Kläger jedenfalls allgemeine Kenntnis von der Möglichkeit solcher betrügerischer Vorgänge hatte, auch ohne dass die Beklagte ihn zuvor ausdrücklich informiert. In der konkreten Situation hätte er daher misstrauisch werden können und müssen.
Das Verhalten des Klägers stellt sich daher in der Gesamtschau aller konkreten Umstände als grob fahrlässig dar.
Der (Gegen-)Anspruch der Beklagten aus § 675v Abs. 3 BGB ist allerdings wegen Mitverschulden gemäß § 254 Abs. 1 BGB aufgrund eines Sorgfaltspflichtverstoßes der Beklagten entsprechend § 675m Abs. 1 Satz 1 Nr. 1 BGB i.V.m. § 55 Abs. 1 Satz 1 Nr. 1 ZAG um 20 % (9.884,29 Euro) zu kürzen.
Der Sorgfaltspflichtverstoß der Beklagten besteht hier darin, dass bereits durch ein "einfaches" Login (erforderlich waren lediglich Benutzername und PIN)v auf das Online-Banking-Konto des Klägers zugegriffen werden konnte. Dadurch hat die beklagte Sparkasse aufsichtsrechtlichen Vorgaben in Gestalt der Bereithaltung einer starken Kundenauthentifizierung auch beim Online-Zugriff auf das Zahlungskonto i.S.v. § 55 Abs. 1 Satz 1 Nr. 1 ZAG nicht genügt.
Die Angreifer konnten nach dem Erlangen der lediglich aus einer Kategorie i.S.v. § 1 Abs. 24 ZAG entstammenden Zugangsdaten des Klägers für sein Online-Banking-Login (Benutzername und PIN) der dortigen Anzeige auch (unstreitig) sensible Zahlungsdaten i.S.v. § 1 Abs. 26 ZAG entnehmen, sodass die Ausnahmevorschriften der § 55 Abs. 5 ZAG i.V.m. Art. 10 Abs. 1 der Delegierten Verordnung (EU) 2018/389 vorliegend nicht zugunsten der Beklagten eingreifen.
Vorliegend waren nach einem "einfachen" Login in das Online-Banking der Beklagten nach dem nicht substantiiert bestrittenen Vortrag des Klägers jedenfalls im streitgegenständlich relevanten Zeitraum u.a. das Geburtsdatum und die Nummer seiner Sparkassenkarte einsehbar. Ebendiese Informationen benötigten die Angreifer, um das aktuell verfügbare Tageslimit - ohne Zutun des Klägers - einsehen zu können, wovon sie auch jeweils in unmittelbarem zeitlichen Zusammenhang mit den Anrufen vom 23.02. und 24.02.2022 Gebrauch machten.
Vor diesem Hintergrund war der Verstoß der Beklagten gegen aufsichtsrechtliche Vorschriften für das Gelingen des betrügerischen Angriffs jedenfalls mitursächlich, weil so ohne Zutun des Klägers die aus dem Online-Banking heraus zu veranlassenden Vorbereitungsmaßnahmen und Auftragserstellungen vorgenommen werden konnten. Angesichts des gleichzeitig mitwirkenden und - wie ausgeführt - als grob fahrlässig einzustufenden Verhaltens des Klägers, welches insbesondere dazu geführt hat, dass die Täter überhaupt in den Besitz seiner Zugangsdaten für das Online-Banking gelangt sind und der weiteren Sorgfaltsverstöße im Rahmen der Telefonate, erachtet der Senat im Rahmen der gebotenen Gesamtabwägung insoweit die Berücksichtigung eines Mitverschuldensanteils der Beklagten von 20 % für angemessen und ausreichend.
Mehr zum Thema:
Die vorliegende Entscheidung im Volltext
Beratermodul WM / WuB Wirtschafts- und Bankrecht
WM und WuB in einem Modul: Die WM Zeitschrift für Wirtschafts- und Bankrecht informiert wöchentlich aktuell und umfassend im Rechtsprechungsteil über Urteile und Beschlüsse der Gerichte.
Die WuB Entscheidungsanmerkungen zum Wirtschafts- und Bankrecht informieren monatlich aktuell und praxisbezogen kommentiert über alle wichtigen wirtschafts- und bankrechtlichen Entscheidungen. 4 Wochen gratis nutzen!
Justiz Sachsen
Der Kläger begehrt von der beklagten Sparkasse die Wiedergutschrift eines Geldbetrages in Höhe von 49.421,44 Euro, mit welchem sein bei der Beklagten geführtes Girokonto aufgrund zweier Überweisungen (24.422,44 Euro + 24.999 Euro) vom 23.02. und 24.02.2022 auf das Konto einer ihm unbekannten Dritten belastet wurde.
Der Kläger führt das Privatgirokonto bei der Beklagten und nutzte hierfür das Online-Banking (und auch das App-basiert mittels eines mobilen Endgeräts (beispielsweise Smartphone, Tablet, aber auch fest installierter PC) nutzbare S-pushTAN-Verfahren.
Der Kläger erhielt am 20.02.2022 eine E-Mail, die als Absender "Sparkasse Kundenservice" auswies und in der dem Kläger mitgeteilt wurde, dass das Online-Banking aktualisiert werde und dadurch entsprechende Anpassungen vorgenommen werden müssten. Über eine im Text der E-Mail angezeigte Schaltfläche wurde der Kläger auf eine Internetseite weitergeleitet. Er gab daraufhin, um sich im Online-Banking einzuloggen, seine regulären hierfür notwendigen Zugangsdaten ein. Ihm wurde dann angezeigt, dass sich ein Service-Mitarbeiter von der technischen Abteilung der Beklagten mit ihm telefonisch in Verbindung setzen werde.
Am 20.02.2022 erfolgte das erste Login in das Online-Banking des Klägers. Es wurde nach Legitimation mittels Kartennummer und dem Geburtsdatum des Klägers das verfügbare Online-Banking-Limit abgefragt. Am 22.02.2022 wiederholte sich dieser Vorgang. Auch am 23.02.2022 um 16:40:59 Uhr wurde auf diese Weise das Online-Banking-Limit des Klägers gesichtet. In etwa zeitgleich um 16:40 Uhr erhielt der Kläger einen Anruf, der scheinbar von der dem Kläger bekannten Service-Rufnummer der Sparkasse kam. Die Anruferin stellte sich als Frau S...... von der Sparkasse C...... vor. Um die bereits vorangekündigte technische Neuinstallation des Online-Bankings zu veranlassen, bat sie den Kläger darum, über die S-pushTAN zum Neuinstallationsabschluss den Bestätigungs-Icon zu betätigen, den sie gerade ausgelöst habe, um einen Test zu starten. Dem kam der Kläger nach. Um 16:42:05 Uhr wurde zunächst das Tageslimit für Überweisungen von 1.000 Euro auf 24.444 Euro für den 23.02.2022 erhöht. Am 23.02.2022 um 16:42:27 Uhr kam es sodann zu einer Zahlungsanweisung vom Tagesgeldkonto des Klägers auf sein Girokonto in Höhe von 33.333 Euro, welche taggleich wertgestellt wurde. Für diese Transaktion wurde, da es sich um eine Umbuchung zwischen zwei eigenen Konten handelt, keine TAN-Bestätigung von der Beklagten verlangt. Zudem wurde eine Zahlungsanweisung in Höhe von 24.422,44 Euro als sog. Echtzeitüberweisung an ein dem Kläger unbekanntes Postbankkonto ausgelöst (16:43:00 Uhr). Um 16:43:19 Uhr erfolgte die Änderung des Anmeldenamens des Klägers für den Zugang ins Online-Banking, wozu es einer Freigabe in der S-pushTAN-App bedurfte, sodass diesem in der Folge ein Login mit seinen bekannten Daten nicht mehr möglich war.
Am 24.02.2024 um 9:07 Uhr erhielt der Kläger - wie angekündigt - einen weiteren Anruf der vermeintlichen Frau S......, die ihn zur zweimaligen Bestätigung von Aufträgen in der S-pushTAN-App aufforderte, was der Kläger tat. Am 24.02.2022 wurde um 09:06:02 Uhr im Online-Banking-Account des Klägers das verfügbare Tageslimit angesehen und wiederum eine temporäre Erhöhung des Überweisungslimits auf 24.999 Euro veranlasst (09:10:58 Uhr). Um 09:11:17 Uhr erfolgte eine Umbuchung von 21.111 Euro vom Tagesgeld- auf das Girokonto des Klägers. Ume 09:12:08 Uhr wurde eine weitere Echtzeitüberweisung an das Postbankkonto der J...... H...... in Höhe von 24.999 Euro ausgelöst.
Bis zum 09.03.2022 erfolgten keinerlei weitere Zugriffe auf das Online-Banking des Klägers. An diesem Tag wandte er sich an den Kundenservice der Beklagten, da er sich nicht mehr einloggen konnte und wurde in diesem Rahmen über die Unregelmäßigkeiten informiert. Der Versuch einer Rückbuchung der beiden Echtzeit-Überweisungen scheiterte.
Der Kläger meint, dass ihm ein Anspruch aus § 675u Satz 2 BGB gegen die beklagte Zahlungsdienstleisterin zustehe, da er die streitgegenständlichen Zahlungen nicht autorisiert habe. Es fehle an seiner wirksamen Zustimmung (§ 675j BGB).
Das LG wies die Klage ab. Zwar stehe dem Kläger ein Anspruch auf Erstattung der von ihm nicht autorisierten Zahlungen in Höhe von insgesamt 49.421,44 Euro aus § 675u Satz 2 BGB zu, welchem die Beklagte jedoch mit Erfolg einen gegenläufigen Schadensersatzanspruch gemäß § 675v Abs. 3 BGB entgegenhalten könne und der auch nicht durch § 675v Abs. 4 BGB ausgeschlossen sei.
Die Berufung des Klägers hatte vor dem OLG teilweise Erfolg. Die Revision wurde nicht zugelassen.
Die Gründe:
Die Berufung des Klägers ist begründet, soweit das LG die Klage vollständig abgewiesen und dem Kläger keine Kontogutschrift in Höhe von 9.884,29 Euro zuerkannt hat.
Zwar hat der Kläger die streitgegenständlichen Überweisungen von 24.422,44 Euro und 24.999 Euro nicht autorisiert, so dass ihm im Ausgangspunkt gemäß § 675u Satz 2 BGB gegen die Beklagte ein Anspruch auf Wiedergutschrift der Beträge auf seinem Girokonto zusteht. Die Beklagte kann diesem Anspruch jedoch mit Erfolg einen gegenläufigen - aufgrund eigenen Mitverschuldens gemäß § 254 BGB um ein Fünftel geschmälerten - Schadensersatzanspruch gegen den Kläger aus § 675v Abs. 3 Nr. 2 lit. b) BGB entgegenhalten, da dem Kläger im Zusammenhang mit dem Zahlungsvorgang eine grob fahrlässige Verletzung der gesetzlichen Pflicht aus § 675l Abs. 1 Satz 1 BGB sowie von Pflichten aus dem Onlinebanking-Vertrag zur Last fällt.
Dem Kläger steht zunächst aus § 675u Satz 2 BGB ein Anspruch gegen die Beklagte darauf zu, seinem Girokonto den Betrag von insgesamt 49.421,44 Euro (24.422,44 Euro + 24.999 Euro) wieder gutzuschreiben, da er die (Echtzeit-)Überweisungen vom 23.02. und 24.02.2022 an eine ihm unbekannte Dritte (J...... H......) nicht autorisiert hat.
Der Kläger hat hinreichenden Sachvortrag dazu gehalten, dass die streitgegenständlichen Zahlungsvorgänge am 23.02. und 24.02.2022 nicht von ihm autorisiert, sondern durch missbräuchliches Eingreifen eines Dritten manipuliert waren und hat damit einen etwaigen zugunsten der Beklagten streitenden Anscheinsbeweis erschüttert. Demnach steht dem Kläger mangels Autorisierung der Zahlungsvorgänge vom 23.02. und 24.02.2022 ein Aufwendungsersatzanspruch gemäß § 675u Satz 2 BGB zu.
Dem dem Kläger mangels Autorisierung des Zahlungsvorgangs zustehenden Anspruch aus § 675u Satz 2 BGB steht allerdings ein Schadensersatzanspruch der Beklagten gegen den Kläger aus § 675v Abs. 3 Nr. 2 lit. a) und lit. b) BGB in Höhe von insgesamt 39.537,15 Euro (24.422,44 Euro + 24.999 Euro abzüglich Mitverschuldensanteil der Beklagten entgegen. Diesen kann die Beklagte dem Kläger gemäß § 242 BGB nach Treu und Glauben erfolgreich entgegen halten, sodass der Kläger eine Wiedergutschrift der Überweisungsbeträge nur in Höhe von 9.884,29 Euro zuzüglich Zinsen verlangen kann.
Denn die Beklagte hat einen eigenen Schadensersatzanspruch gegen den Kläger gemäß § 675v Abs. 3 Nr. 2 lit. a) und lit. b) BGB, da der Kläger grob fahrlässig eine Pflicht gemäß § 675l Abs. 1 BGB und eine vereinbarte Bedingung für die Ausgabe und Nutzung des Zahlungsinstruments verletzt hat.
Der Kläger hat einem unbekannten Dritten mittelbar Zugriff auf ein personalisiertes Sicherheitsmerkmal gewährt. Denn in der Betätigung der S-pushTAN-App auf Zuruf der Anruferin liegt eine Zugriffsgewährung. Er hat die Kontrolle über das Authentifizierungsinstrument faktisch aus der Hand gegeben und der Anruferin überlassen, indem er ohne vorherige Überprüfung nach ihren Anweisungen gehandelt hat.
Der Kläger hat die aus den Bedingungen für das Online-Banking herzuleitenden Pflichten verletzt, indem er vor der Bestätigung des von Dritten generierten Auftrages in der S-pushTAN-App die angezeigten Daten nicht überprüft hat.
Gegen die Pflichten, sein Smartphone vor unbefugtem Zugriff im Sinne von § 675l Abs. 1 34 Satz 1 BGB zu schützen und die Aufträge entgegen der vereinbarten Bedingungen mit der Beklagten nicht ohne weitere Überprüfung freizugeben, hat der Kläger auch grob fahrlässig verstoßen.
Da die Zahlungsdiensterichtlinie die Ausgestaltung des Begriffs der groben Fahrlässigkeit dem einzelstaatlichen Recht überlässt (Erwägungsgrund Nr. 33 Richtlinie 2007/64/EG vom 13.11.2007 über Zahlungsdienste im Binnenmarkt), kann an die bisherige Rechtsprechung angeknüpft werden. Danach liegt grobe Fahrlässigkeit vor, wenn die im Verkehr erforderliche Sorgfalt in ungewöhnlich grobem Maße verletzt worden ist und auch ganz nahe liegende Überlegungen nicht angestellt worden sind oder dasjenige nicht beachtet worden ist, was im konkreten Fall jedem hätte einleuchten müssen (BGH, Urteil vom 23.09.2008 - XI ZR 253/07). Zu beachten ist jedoch, dass anders als bei einfacher Fahrlässigkeit, die nach einem ausschließlich objektiven Pflichtenmaßstab beurteilt wird, bei grober Fahrlässigkeit auch subjektive, in der Individualität des jeweils Handelnden begründete Umstände zu berücksichtigen sind (BGH, Urteil vom 26.01.2016 - XI ZR 91/14). Selbst ein objektiv grober Pflichtverstoß rechtfertigt für sich noch keinen zwingenden Schluss auf ein entsprechend gesteigertes personales Verschulden (BGH, Urteil vom 26.01.2016 - XI ZR 91/14).
Gemessen an diesen Maßstäben handelte der Kläger unter Berücksichtigung seiner individuellen Kenntnisse und Fähigkeiten sowie seiner Erfahrungen und Kompetenzen im Bereich Online-Banking in der Gesamtschau aller Umstände auch in subjektiver Hinsicht nicht mehr entschuldbar und damit grob fahrlässig im Sinne der Vorschrift.
Der Kläger hatte schon deswegen allen Grund zum Argwohn, weil er vorgeblich von seiner Bank eine - die von dem Landgericht im Einzelnen herausgearbeiteten deutlichen "sprachlichen Warnzeichen" aufweisende - E-Mail erhalten hat, welche ihn ohne nachvollziehbare Relevanz für das eigentliche Anliegen (Aktualisierung/Umzug Online-Banking) zur Verifizierung seiner Person durch die Betätigung eines Links aufgefordert hat. Es hat sich angabegemäß eine Seite geöffnet, die von der Login-Seite zum Online-Banking der Beklagten nicht zu unterscheiden gewesen sei, sodass sich der Kläger mit seinen üblichen Zugangsdaten angemeldet und schließlich über ein Pop-Up-Fenster die Information erhalten habe, dass er telefonisch kontaktiert werde. Die in der Folge stattgefundenen Telefonate waren durch die an zwei Tagen wiederholte Aufforderung zu mehrfachen Freigaben in S-pushTAN-App für einen (eigentlich) technisch überschaubaren Vorgang im Rahmen des Massengeschäfts gekennzeichnet. Dass die Bank ausweislich der (Phishing-)E-Mail vom 20.02.2022) eine mangels individueller Ansprache offenbar alle das Online-Banking nutzenden Kunden ("unsere Kunden") betreffende Aktualisierung, ohne nähere Erläuterungen derart umständlich ausgestaltet, hätte selbst einem technischen Laien als ungewöhnlich auffallen müssen. Jedenfalls in der Kumulation dieser Abläufe und Einzelfallumstände kann das Gesamtverhalten des Klägers nicht mehr als einfacher Pflichtverstoß eingestuft werden.
Es ist allgemein bekannt, dass über sogenannte Phishing-E-Mails Daten von Bankkunden Dritten unberechtigt bekannt werden können. Zudem ist bekannt, dass bei Telefonanrufen leicht über die Identität des Anrufenden getäuscht werden kann und technische Möglichkeiten bestehen, um die auf dem Telefondisplay angezeigte Anrufnummer zu manipulieren. Bei Nutzung einer App, die explizit der Freigabe von Finanztransaktionen und darüber hinaus allenfalls wichtiger sicherheitsrelevanter Einstellungen dient, muss es zudem im Allgemeinen jedem einleuchten, dass eine Nutzung zu anderen Zwecken, wie der Initialisierung einer "Aktualisierung" bzw. eines nicht näher umschriebenen "Umzugs" des Online-Bankings nicht zulässig ist. Unabhängig von der konkreten Warnung kann es keinem verständigen Verbraucher, der Zahlungsdienste nutzt, entgangen sein, dass sämtliche Banken seit Jahren vor so genannten "Phishing"-Nachrichten und betrügerischen Anrufen warnen. Aufgrund der in den letzten Jahren vielfach durch verschiedene Medien bekannt gewordenen Fälle ist die Erkenntnis, dass Kunden durch betrügerische Nachrichten und Anrufe angeblicher Bankmitarbeiter zur Preisgabe von Zugangsdaten zum Online-Banking veranlasst werden sollen, als allgemeines Wissen vorauszusetzen, denn spätestens seit 2006 wurde das kriminelle Phänomen des Phishings öffentlich breit diskutiert (OLG München, Hinweisbeschluss vom 22.09.2022 - 19 U 2204/22). In der Folgezeit gab es fortlaufend eine Fülle von Presseberichten, wonach sich Kriminelle am Telefon als eine andere Person ausgeben und unter Vorspiegelun falscher Tatsachen den Angerufenen zu finanziellen Transaktionen veranlassen (beispielsweise beim sog. Enkeltrick). Hinzu kommt, dass der Kläger als Mitarbeiter des öffentlichen Dienstes - wie er auch eingeräumt hat - regelmäßig, in etwa jährlich, IT-Sicherheitsunterweisungen, welche insbesondere Verhaltenshinweise zum Umgang mit "verdächtigen" E-Mails zum Gegenstand hatten, erhalten hat. Es ist daher davon auszugehen, dass der Kläger jedenfalls allgemeine Kenntnis von der Möglichkeit solcher betrügerischer Vorgänge hatte, auch ohne dass die Beklagte ihn zuvor ausdrücklich informiert. In der konkreten Situation hätte er daher misstrauisch werden können und müssen.
Das Verhalten des Klägers stellt sich daher in der Gesamtschau aller konkreten Umstände als grob fahrlässig dar.
Der (Gegen-)Anspruch der Beklagten aus § 675v Abs. 3 BGB ist allerdings wegen Mitverschulden gemäß § 254 Abs. 1 BGB aufgrund eines Sorgfaltspflichtverstoßes der Beklagten entsprechend § 675m Abs. 1 Satz 1 Nr. 1 BGB i.V.m. § 55 Abs. 1 Satz 1 Nr. 1 ZAG um 20 % (9.884,29 Euro) zu kürzen.
Der Sorgfaltspflichtverstoß der Beklagten besteht hier darin, dass bereits durch ein "einfaches" Login (erforderlich waren lediglich Benutzername und PIN)v auf das Online-Banking-Konto des Klägers zugegriffen werden konnte. Dadurch hat die beklagte Sparkasse aufsichtsrechtlichen Vorgaben in Gestalt der Bereithaltung einer starken Kundenauthentifizierung auch beim Online-Zugriff auf das Zahlungskonto i.S.v. § 55 Abs. 1 Satz 1 Nr. 1 ZAG nicht genügt.
Die Angreifer konnten nach dem Erlangen der lediglich aus einer Kategorie i.S.v. § 1 Abs. 24 ZAG entstammenden Zugangsdaten des Klägers für sein Online-Banking-Login (Benutzername und PIN) der dortigen Anzeige auch (unstreitig) sensible Zahlungsdaten i.S.v. § 1 Abs. 26 ZAG entnehmen, sodass die Ausnahmevorschriften der § 55 Abs. 5 ZAG i.V.m. Art. 10 Abs. 1 der Delegierten Verordnung (EU) 2018/389 vorliegend nicht zugunsten der Beklagten eingreifen.
Vorliegend waren nach einem "einfachen" Login in das Online-Banking der Beklagten nach dem nicht substantiiert bestrittenen Vortrag des Klägers jedenfalls im streitgegenständlich relevanten Zeitraum u.a. das Geburtsdatum und die Nummer seiner Sparkassenkarte einsehbar. Ebendiese Informationen benötigten die Angreifer, um das aktuell verfügbare Tageslimit - ohne Zutun des Klägers - einsehen zu können, wovon sie auch jeweils in unmittelbarem zeitlichen Zusammenhang mit den Anrufen vom 23.02. und 24.02.2022 Gebrauch machten.
Vor diesem Hintergrund war der Verstoß der Beklagten gegen aufsichtsrechtliche Vorschriften für das Gelingen des betrügerischen Angriffs jedenfalls mitursächlich, weil so ohne Zutun des Klägers die aus dem Online-Banking heraus zu veranlassenden Vorbereitungsmaßnahmen und Auftragserstellungen vorgenommen werden konnten. Angesichts des gleichzeitig mitwirkenden und - wie ausgeführt - als grob fahrlässig einzustufenden Verhaltens des Klägers, welches insbesondere dazu geführt hat, dass die Täter überhaupt in den Besitz seiner Zugangsdaten für das Online-Banking gelangt sind und der weiteren Sorgfaltsverstöße im Rahmen der Telefonate, erachtet der Senat im Rahmen der gebotenen Gesamtabwägung insoweit die Berücksichtigung eines Mitverschuldensanteils der Beklagten von 20 % für angemessen und ausreichend.
Die vorliegende Entscheidung im Volltext
Beratermodul WM / WuB Wirtschafts- und Bankrecht
WM und WuB in einem Modul: Die WM Zeitschrift für Wirtschafts- und Bankrecht informiert wöchentlich aktuell und umfassend im Rechtsprechungsteil über Urteile und Beschlüsse der Gerichte.
Die WuB Entscheidungsanmerkungen zum Wirtschafts- und Bankrecht informieren monatlich aktuell und praxisbezogen kommentiert über alle wichtigen wirtschafts- und bankrechtlichen Entscheidungen. 4 Wochen gratis nutzen!