Aktenzeichen 132 C 49/15
Leitsatz
1 Im Rahmen des § 675 Abs. 1 BGB hat ein Zahlungsdienstnutzer die Pflicht, alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Zum Begriff dieser Sicherheitsmerkmale gehört insbesondere auch eine TAN. (Rn. 26) (red. LS Andy Schmidt)
2 Im Rahmen der missbräuchlichen Nutzung von PIN/TAN durch einen Dritten besteht im Rahmen des Online-Bankings kein Anscheinsbeweis für eine grobe Fahrlässigkeit des Kontoinhabers; insbesondere genügt hierfür nicht die Aufzeichnung der Nutzung eines Zahlungsauthentifizierungsinstruments und die Prüfung der Authentifizierung nach § 675w S. 3 Nr. 4 BGB (ebenso BGH BeckRS 2016, 06445). (Rn. 28) (red. LS Andy Schmidt)
3 Gibt ein Kunde die TAN an einen Dritten weiter, der damit dann eine Überweisung durchführt, liegt hierin kein bloß einfach fahrlässiger Pflichtenverstoß mehr; denn in diesem Fall muss es im Allgemeinen jedem einleuchten, dass es sich um eine TAN handelt, deren Weitergabe nach § 675 Abs. 1 BGB wie auch nach den vertraglichen Bedingungen nicht zulässig ist und die die Gefahr mit sich bringt, eine missbräuchliche Überweisung auszulösen. (Rn. 33) (red. LS Andy Schmidt)
Tenor
1. Die Klage wird abgewiesen.
2. Der Kläger hat die Kosten des Rechtsstreits zu tragen.
3. Das Urteil ist vorläufig vollstreckbar. Der Kläger kann die Vollstreckung der Beklagten durch Sicherheitsleistung in Höhe von 110 % des aufgrund des Urteils vollstreckbaren Betrags abwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in Höhe von 110 % des zu vollstreckenden Betrags leistet.
Beschluss
Der Streitwert wird auf 4.444,44 € festgesetzt.
Gründe
Die zulässige Klage ist unbegründet.
A. Die Klage ist zulässig. Die Zuständigkeit des Gerichts ergibt sich aus §§ 1 ff. ZPO, 23 Nr. 1 GVG (sachlich), §§ 12, 17 I ZPO (örtlich).
B. Die Klage ist unbegründet. Zwar stand dem Kläger und seiner Ehefrau, bzw. nach Abtretung dem Kläger allein ein Anspruch auf Erstattung von 4.444,44 € gemäß § 675 u S. 2 BGB gegen die Beklagte zu, hat die Beklagte gegenüber dieser Forderung wirksam mit einem Gegenanspruch in gleicher Höhe aus § 675 v II BGB aufgerechnet.
I.
Dass die Überweisung vom 13.05.2014 nicht vom Kläger oder seiner Ehefrau autorisiert wurde, hat die Beklagte zwar zunächst mit Nichtwissen bestritten. Sie hat jedoch mit ihrem späteren Sachvortrag, insbesondere mit Schriftsatz vom 28.05.2015, den Sachverhalt und das Prozedere des Phishing-Vorgangs dargelegt und damit letztlich dargelegt, dass sie an ihrem Bestreiten nicht festhält. Die Voraussetzungen des § 675 u S. 2 BGB, der die Erstattung des überwiesenen Betrags vorsieht, liegen damit vor.
II.
Der Beklagten stand in Höhe der Überweisung von 4.444,44 € ein Schadensersatzanspruch aus § 675 v II Nr. 1/2 BGB zu, da die Zeugin Fengler grob fahrlässig Pflichten nach § 675 l BGB sowie zwischen den Parteien vereinbarte Bedingungen für die Ausgabe und Nutzung des Zahlungsauthentifizierungsinstruments verletzt hat.
1. Letztlich nicht endgültig aufzuklären ist, ob die Ehefrau des Klägers auf der Webseite, auf die sie durch die Phishing-Mail geleitet wurde, nur ihre Kontonummer, ihren Namen und ihre Festnetznummer angegeben hat, oder ob noch mehr Daten, insbesondere die PIN und die Online-Banking-Nummer, eingegeben wurden, wie die Beklagte vorträgt. Die Ehefrau hat als Zeugin ausgesagt, dass nur Kontonummer, Name und Festnetznummer von ihr angegeben wurden, der Zeuge …, dass er die entsprechende Seite, auf die verlinkt wurde, kenne, und hier mehr Informationen, insbesondere auch die PIN, angegeben werden sollten. Allein aufgrund dieser sich widersprechenden Aussagen kann sich das Gericht, dass diese Aussagen nach Richterwechsel und mit Zustimmung der Parteien im Wege des Urkundsbeweises würdigt, keine abschließende Meinung bilden. Das eingeholte Gutachten und die Vernehmung des Sachverständigen … konnte ebenso die Frage nicht klären. Es sprechen zwar gewisse Indizien, dass weitere Informationen von der Ehefrau des Klägers eingegeben worden sind – denn nach den nachvollziehbaren Ausführungen des Sachverständigen ist ein Login nur mit den Informationen Kontonummer, Name und (Festnetz-)Telefonnummer gerade nicht möglich, und es bestehen keinerlei Anhaltspunkte, wie diejenigen Personen, die letztlich den Überweisungsvorgang ausgelöst haben, sonst an die für den Login nötigen Informationen gelangt sein können. Letzte Gewissheit konnte das Gericht hier aber nicht erlangen. Insbesondere besteht die fragliche Webseite nicht mehr, so dass das Gericht nicht feststellen kann, in welchem Umfang dort Daten einzutragen waren.
Dies kann in der Sache nach Überzeugung des Gerichts aber dahinstehen. Denn bereits die sonstigen, unstreitigen Umstände begründen eine relevante Pflichtverletzung, die auch grob fahrlässig erfolgte.
2. Eine Pflichtverletzung i.S.v. § 675 v II liegt vor.
Einerseits liegt ein Verletzung der Pflicht nach § 675 l BGB vor. Danach hat der Zahlungsdienstnutzer die Pflicht, alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Zum Begriff dieser Sicherheitsmerkmale gehört insbesondere auch eine TAN (vgl. Beck’scher Online-Kommentar BGB, Bamberger/Roth/Schmalenbach, 40. Edition, Stand: 01.08.2016, § 675 l BGB, Rn. 3). Unstreitig hat die Ehefrau des Klägers die TAN der Anruferin mitgeteilt hat und damit hiergegen verstoßen.
Hierin liegt zugleich ein Verstoß gegen vertragliche Vereinbarungen für die Nutzung des Zahlungsauthentifizierungsinstruments verstoßen, denn nach Ziff. 7 der vereinbarten Sonderbedingungen (Anlage B 3) hat der Nutzer Sorge zu tragen, dass keine andere Personen Kenntnis u.a. von einer TAN erlangt; die telefonische Weitergabe war damit unzulässig.
3. Die nach § 675 v II BGB erforderliche grobe Fahrlässigkeit erfordert einen in objektiver Hinsicht schweren und in subjektiver Hinsicht schlechthin unentschuldbaren Verstoß gegen die Anforderungen der konkret erforderlichen Sorgfalt; selbst ein objektiv grober Pflichtenverstoß rechtfertigt für sich noch keinen zwingenden Schluss auf ein entsprechend gesteigertes personales Verschulden (BGH NJW 2016, 2024, 2030 f., m.w.N.). Im Rahmen der missbräuchlichen Nutzung von PIN/TAN durch einen Dritten besteht im Rahmen des Online-Bankings kein Anscheinsbeweis für eine grobe Fahrlässigkeit des Kontoinhabers; insbesondere genügt hierfür nicht die Aufzeichnung der Nutzung eines Zahlungsauthentifizierungsinstruments und die Prüfung der Authentifizierung nach § 675 w S. 3 Nr. 4 BGB (BGH a.a.O.).
Der Ehefrau des Klägers ist indes im streitgegenständlichen Fall grobe Fahrlässigkeit vorzuwerfen.
a) Die Weitergabe der TAN im Telefongespräch begründet den Vorwurf der groben Fahrlässigkeit in objektiver wie subjektiver Hinsicht.
aa) Zwar ist teilweise umstritten, ob die Weitergabe einer Vielzahl von TANs allein den Vorwurf der groben Fahrlässigkeit begründet. Allerdings bezogen sich die bisherigen hierzu ergangenen, ersichtlichen Entscheidungen auf das iTan-Verfahren, in dem dem Bankkunden eine bestimmte Anzahl fester TANs vorgegeben wird, die nicht in unmittelbarem Zusammenhang mit einer konkreten Überweisung stehen.
Im Falle des mobileTAN-Verfahrens, wie es hier streitgegenständlich ist, besteht dagegen ein entscheidender Unterschied: Denn in diesem Fall wird eine TAN stets für eine konkrete Aktion, vor allem eine konkrete Überweisung erzeugt, und per SMS auf das Mobiltelefon des Kunden verschickt. Die SMS enthält aber gerade nicht nur die TAN, sondern lautet wie hier: „Die mobileTAN für Ihre Überweisung von 4.444,44 EUR auf das Konto … mit BIC C… lautet: …“. Damit wird dem Kunden noch einmal vor Augen geführt, dass es sich nicht um eine beliebige TAN handelt, sondern auch, für welchen konkreten Vorgang diese TAN geschaffen wurde, etwa für eine Überweisung und ferner, auf welches Konto und mit welchem Betrag diese Überweisung erfolgen soll.
Beachtet ein Kunde diese deutlichen Hinweise nicht und und gibt die TAN sodann an einen Dritten weiter, der damit dann eine Überweisung durchführt, liegt hierin kein bloß einfach fahrlässiger Pflichtenverstoß mehr; denn in diesem Fall muss es im Allgemeinen jeden einleuchten, dass es sich um eine TAN handelt, deren Weitergabe nach § 675 l BGB wie auch nach den vertraglichen Bedingungen nicht zulässig ist und die die Gefahr mit sich bringt, eine missbräuchliche Überweisung auszulösen.
bb) Auch in subjektiver Hinsicht liegen die Anforderungen für grobe Fahrlässigkeit vor. Dies ergibt sich aus mehreren Umständen:
– Die Ehefrau des Klägers hatte das Online-Banking-Angebot der Beklagten bereits seit längerer Zeit genutzt. Wie von der Beklagten vorgetragen und von der Klägerin auch nicht bestritten worden ist, hat die Ehefrau des Klägers vor dem streitgegenständlichen Vorfall das Internet-B@nking der Beklagten bereits benutzt, etwa allein 18-mal zwischen dem 19.02.2015 bis 07.05.2015 (wobei die Beklagte hier wohl den 19.02.2014 bis 07.05.2014 meinte, da sie zugleich darlegte, dass der Zeitraum vor dem Vorfall liegen sollte). Jedenfalls ist unstreitig, dass sie vor dem Vorfall das Online-Banking-Angebot der Beklagten vielfach genutzt hat. Im Gegensatz zu Erstnutzern ist ihr daher eine gewisse Erfahrung damit zu unterstellen.
– Dies hat sich damit zum Ausdruck gebracht, dass sie vorgerichtlich wie auch im Rahmen ihrer Zeugenvernehmung selbst vorgetragen hat, dass ihr aufgefallen ist, dass die von ihr während des Telefonats am 13.05.2014 erhaltene SMS genau so aussieht wie eine bei Überweisungen übliche TAN-Mitteilung. Aufgrund dieser Erkenntnis hat sie bei der Anruferin nach eigener Aussage in ihrer Zeugenvernehmung nachgefragt, ob sie im Online-Banking online sein müsste. Sie hat sich mit der Erklärung zufrieden gegeben, dass die Aktivierungscodes so verschickt werden würden.
Dies allein rechtfertigt nach Ansicht des Gerichts den Vorwurf grober Fahrlässigkeit; denn nach der Erkenntnis, dass die SMS einer TAN-SMS für eine Überweisung gleicht, hätte sie in höchstem Maße misstrauisch werden müssen. Selbst wenn man zu Gunsten der Ehefrau des Klägers unterstellen würde, dass sie, wie sie behauptet, auf der Phishing-Webseite keine Daten preis gegeben hat, die den Login auf ihr Online-Banking-Konto ermöglichen würden, hätten aufgrund des Inhalts der SMS alle Warnsignale bei ihr anspringen müssen. Mit der Erklärung, dass Aktivierungscodes immer so verschickt würden, hätte sie sich nicht zufrieden geben dürfen; denn diese Erklärung war offensichtlich fadenscheinig und durchschaubar: Dass die Beklagte als bekanntermaßen eine der größten Banken Deutschlands SMS nicht auf den jeweiligen Zweck anpasst oder anpassen kann, erscheint ausgeschlossen und hätte auch der Beklagten sofort auffallen müssen.
– Die Beklagte hat nicht zuletzt auf ihrer Webseite mehrfach vor Phishing-Angriffen gewarnt. Es erfolgten mehrfache und vielfältige Warnhinweise bei jedem Login, unter anderem im Zeitraum vom 26.02.2014 bis 30.04.2014 ein Hinweis auf die Methode des betrügerischen Anrufs, wie er hier erfolgt ist. Da die Ehefrau des Klägers genau auch in diesem Zeitraum mehrfach das Online-Angebot der Beklagten nutzte, hätte sie die entsprechenden Warnhinweise erkennen und beachten müssen.
3. Die Beklagte hat bereits mit Schriftsatz vom 02.04.2015 die Aufrechnung vorsorglich erklärt.
4. Da der Kläger und seine Ehefrau das Konto gemeinschaftlich innehaben, konnte die Beklagte mit ihrem Anspruch auch gegen Ansprüche des Klägers aufrechnen.
C. Die Kostenentscheidung beruht auf § 91 I 1 ZPO, die Entscheidung über die vorläufige Vollstreckbarkeit auf §§ 708 Nr. 11, 711, 709 S. 2 ZPO.
D. Die Streitwertfestsetzung beruht auf §§ 39 ff., 48 I 1 GKG, 3 ff. ZPO.
