LG Frankfurt am Main Urteil vom 16.07.2021 – 2 -10 O 432/19

Tenor: Die Klage wird abgewiesen.

Gründe:

I.

Die Kläger unterhalten bei der Beklagten ein Girokonto mit der IBAN (nachfolgend: ,,Konto“). Der Kläger zu 1 verfügt auch über eine von der Beklagten ausgegebene Kreditkarte mit der Nummer (nachfolgend: ,,Kreditkarte“). Die Beklagte gibt ihren Online-Banking-Kunden folgende „Sicherheitsgarantie“ […]

Die Kläger nutzten für Überweisungen im Online-Banking-System das Photo-TAN-App-Verfahren, bei dem ein Web-Browser und ein Mobiltelefon eingesetzt werden müssen. In der Folge kam es über die Kreditkarte zu folgendem Kreditkartenzahlungen an Wertpapierhändlerin:

–           Am 03.12.2018 (Buchungsdatum) 5.000 Euro an

–           am 10.12.2018 (Buchungsdatum): 3.000 Euro an

–           am 11.12.2018 (Buchungsdatum): 7.000 Euro an

Von dem Konto erfolgte an die am 11.12.2018 eine Zahlung von 15.000 Euro. Am 12.12.2018 erstattete der Kläger zu 1 bei der Polizei Strafanzeige gegen Unbekannt wegen Computerbetrugs.

Am 29.01.2019 widersprach der Kläger zu 1 dem Jahresabschluss über seine Konten und forderte die Beklagte zum Schadensersatz auf, was die Beklagte am 21.02.2019 ablehnte. Hierauf forderte der Kläger zu 1 die Beklagte durch anwaltliches Schreiben vom 04.03.2019 erneut zur Zahlung auf, unter Fristsetzung zum 13.03.2019.

Mit Schreiben vom 11.03.2019 teilte die Beklagte der Klägerin zu 2 mit, dass das „engmaschige Frühwarnsystem“ angezeigt habe, dass „ein von Ihnen verwendeter PC mit einem Computervirus oder einem sogenannten, Trojanischen Pferd infiziert“ sei und „davon auszugehen, sei, dass die […] Zugangsdaten […] anderen Personen bekannt“ seien, weshalb der Zugang der Klägerin zu 2 zu ihrem Digital-Banking gesperrt worden sei.

Es folgte weitere Korrespondenz über vom Kläger zu 1 verfolgte Ansprüche gegen die Beklagte, wobei die Beklagte die Forderungen des Klägers stets zurückwies.

Die Kläger behaupten, von den bezeichneten Zahlungen aus Dezember 2018 hätten sie jeweils erst im Nachhinein erfahren. Sie nutzten gemeinsam einen PC für das Online-Banking, der mit einer Ausspähsoftware infiziert gewesen sei, wodurch sie Opfer von „Hacking“ oder Phishing geworden seien. Auf ihrem PC sei (im streitgegenständlichen Zeitraum) eine aktuelle Version des kostenfreien Antiviren-Programms Avira installiert gewesen. Aufgrund der Infizierung des PC mit der Ausspähsoftware habe die Beklagte im März 2019 auch den Digital-Banking-Zugang der Klägerin zu 2 gesperrt.

Die Kläger tragen vor, das photo-TAN-Verfahren der Beklagten sei unschwer manipulierbar, was auch aus einem Pressebericht der X-Zeitung aus 2016 hervorgehe.

[…]

Seit der mündlichen Verhandlung vom 05.05.2021 beantragen die Kläger,

  1. die Beklagte zu verurteilen, den Klägern zu 1 und zu 2 als Gesamtgläubiger einen Betrag in Höhe von 15.000 Euro, nebst Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz seit dem 13.03.2019, auf dem Konto mit der IBAN […] gutzuschreiben;

hilfsweise zu 1:

die Beklagte zu verurteilen, an den Kläger zu 1 und die Klägerin zu 2 als Gesamtgläubiger einen Betrag in Höhe von 15.000 Euro, nebst Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz seit dem 13.03.2019, zu zahlen;

  1. die Beklagte zu verurteilen, dem Kläger zu 1 einen Betrag in Höhe von 15.000 Euro nebst Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz seit dem 13.03.2019 auf dem Konto mit der IBAN X gutzuschreiben;

hilfsweise zu 2:

die Beklagte zu verurteilen, an den Kläger zu 1 einen Betrag in Höhe von 15.000 Euro, nebst Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz seit dem 13.03.2019, zu zahlen.

Die Beklagte beantragt,

die Klage abzuweisen.

Die Beklagte behauptet, die Zahlungen seien von den Klägern autorisiert und nach Überprüfung der Autorisierung verbucht worden, wobei es keine Auffälligkeiten gegeben habe. Ein Ausspähen der maßgeblichen Daten sei technisch nicht möglich; das von der Beklagten verwendete Verfahren sei praktisch unüberwindbar und bislang auch nicht überwunden worden. Der Pressebericht der Zeitung X aus 2016 sei insofern unbehelflich, weil dieser nur Laborbedingungen abbilde uns sich überdies nicht auf das konkret verwendete Verfahren beziehe. Vielmehr sei das System – wie es sich aus einem Artikel des Y-Hefts Oktober 2020 ergebe – sehr sicher.

Der Kläger zu 1 habe (vor den streitgegenständlichen Zahlungen) einem Wertpapierhändler seine Teilnehmernummer und seine Online-Banking-PIN weitergegeben. Insofern ist die Beklagte insbesondere der Ansicht, der Schaden sei durch die Kläger selbst verschuldet.

Das Schreiben vom 11.03.2019 habe nicht auf einem Schadsoftware-Befall des PC’s der Klägerin zu 2 beruht, sondern aus Erkenntnissen aus einem anderen Verfahren im Zusammenhang mit Überweisungen von Anfang des Jahres 2019. Der Verdacht von betrügerischen Transaktionen über das Konto der Kläger habe sich insofern nicht bestätigt.

Wegen der weiteren Einzelheiten des Sach- und Streitstands wird auf die Schriftsätze der Parteien nebst Anlagen Bezug genommen. Das Gericht hat den Kläger informatorisch an- gehört und anschließend Beweis erhoben durch Vernehmung der Zeugen A und B.

Wegen der informatorischen Anhörung und des Ergebnisses der Beweisaufnahme wird auf die Sitzungsprotokolle Bezug genommen.

II.

Die Klage ist unbegründet.

Die Kläger haben gegen die Beklagte keinen Anspruch auf Gutschrift (dies betrifft die Hauptanträge) bzw. Erstattung (dies betrifft die Hilfsanträge) der Zahlbeträge vom 03.12., 10.12. und 11.12.2018 gemäߧ 675u Satz 2 BGB.

Die Beklagte hat die Wirksamkeit der Zahlungsvorgänge durch Autorisierung (§ 676j Abs. 1 Satz 1 BGB) – nämlich die Authentifizierung, ordnungsgemäße Verbuchung, Aufzeichnung und Störungsfreiheit hinreichend nachgewiesen. Es war insofern zunächst Sache der Beklagten, diesen Nachweis zu führen. Ist nämlich – wie hier – die Autorisierung eines Zahlungsvorgangs streitig, hat der Zahlungsdienstleister nach§ 675 w Satz 1 BGB zunächst die Authentifizierung sowie die ordnungsgemäße Aufzeichnung, Verbuchung und störungsfreie, keine Auffälligkeiten aufweisende technische Abwicklung des Zahlungsvorgangs nachzuweisen. Wenn diese Voraussetzungen nicht erfüllt sind, ist der Nachweis einer Autorisierung mithilfe des betroffenen Zahlungsauthentifizierungsinstruments gescheitert (vgl. BGH, NJW 2016, 2024 m.w.N.).

Die Beklagte hat Entsprechendes dargelegt und den Nachweis durch den Zeugen B geführt. Dabei ist das Gericht dabei zu der im Sinne von § 286 ZPO dahingehend gelangt, dass das System der Beklagten sicher im Sinne der Kriterien der Entscheidung des BGH war und überdies, dass im konkreten Fall der Kläger zu 1 und gerade kein Dritter die Überweisungen veranlasst hat.

Nach§ 286 ZPO hat das Gericht unter Berücksichtigung des gesamten Inhalts der Verhandlungen und des Ergebnisses einer Beweisaufnahme nach freier Überzeugung zu entscheiden, ob eine tatsächliche Behauptung für wahr oder für nicht wahr zu erachten ist. Nach § 286 ZPO hat der Tatrichter ohne Bindung an Beweisregeln und nur seinem Gewissen unterworfen die Entscheidung zu treffen, ob er an sich mögliche Zweifel überwinden und sich von einem bestimmten Sachverhalt als wahr überzeugen kann. Jedoch setzt das Gesetz eine von allen Zweifeln freie Überzeugung nicht voraus. Das Gericht darf keine unerfüllbaren Beweisanforderungen stellen und keine unumstößliche Gewissheit bei der Prüfung verlangen, ob eine Behauptung wahr und erwiesen ist. Vielmehr darf und muss sich der Richter in tatsächlich zweifelhaften Fällen mit einem für das praktische Leben brauchbaren Grad von Gewissheit begnügen, der den Zweifeln Schweigen gebietet, ohne sie völlig auszuschließen (vgl. BGH, Urt. v. 14.01.1993 – IX ZR 238/91 = NJW 1993, 935, 937).

Nach dem glaubhaften Bekunden des Zeugen B ist eine Authentifizierung (§ 675 w S. 2 BGB) vorliegend erfolgt, weil die Beklagte als der Zahlungsdienstleister die Nutzung des vereinbarten Zahlungsauthentifizierungsinstruments, einschließlich seiner personalisierten Sicherheitsmerkmale, mithilfe eines tauglichen Verfahrens überprüft hat. Der Zeuge B hat bekundet, dass das Sicherheitssystem der Beklagten allgemein praktisch nicht zu überwinden war, im konkreten Einzelfall ordnungsgemäß angewendet worden ist und fehlerfrei funktioniert hat (vgl. zu hierzu: BGH, NJW 2016, 2024 Rn. 19).

Der Zeuge B, der bei der Beklagten im Bereich des Digitalen-Bankings tätig ist, hat das überweisungsbegründende Legitimationsverfahren (der 2-Faktor-Authentifizierung) technisch sicher und zugleich verständlich geschildert. Insofern hat er anschaulich das Zusammenwirken von Web-Browser und Mobiltelefon herausgestellt und nachvollziehbar bekundet, dass allein durch das Scannen des QR-Codes im Rahmen der Authentifizierung unter Einfluss von durch das Mobiltelefon generierte Faktoren eine TAN generiert werde, deren Eingabe Überweisungsauslösend und deren „Aufbewahrung“ (d.h. Speicherung für eine andere als die intendierte Überweisung) nicht möglich sei. Der Zeuge hat glaubhaft geschildert, dass es bislang in praktischer Hinsicht kein „Hacking“ oder Angriffe auf das System gegeben habe. Auch hat der Zeuge greifbar beschrieben, dass durch die Eingrenzungsfaktoren „Useragent“, ,,IP-Bereich“ und „Sessionhandling“ ein geräteübergreifendes Agieren systemisch ausgeschlossen sei. Nichts Anderes folgt daraus, dass der Zeuge angegeben hat, dass eine IP-Verschleierung oder Ähnliches denkbar sei, und, dass es Fälle gäbe, in denen Sessions übernommen würden – etwa durch Werkzeuge wie Teamviewer oder Ähnliches. Dies ändert nämlich nichts daran, dass nach den glaubhaften Schilderungen des Zeugen die Überweisungen wegen des 2-Faktor-Authentifizierungsverfahrens gerade nicht nur anhand von im PC erzeugten Daten freigegeben werden, sondern korrespondierende Daten des richtigen Mobiltelefons benötigen, die erst durch das Scannen der Foto-TAN generiert werden. Es kommt hinzu, dass der Zeuge greifbar geschildert hat, dass bei den Transkationen tatsächlich auch Foto-TANs verwendet worden seien.

Hiernach kommt der Beklagten ein Anscheinsbeweis hinsichtlich der Autorisierung des Zahlungsvorgangs zugute, dessen Erschütterung den Klägern oblag.

Es kommt vorliegend indes noch hinzu, dass das Gericht unter ergänzender Würdigung der Angaben des Klägers zu 1 in dessen informatorischer Anhörung – der selbst beschrieben hat, QR-Codes gescannt zu haben – zu der Überzeugung im Sinne von § 286 ZPO gelangt ist, dass im konkreten Fall der Kläger zu 1 an den Überweisungen beteiligt war und gerade kein Dritter die Überweisungen veranlasst hat.

Soweit der Kläger zu 1 im Zusammenhang mit den streitgegenständlichen Zahlungen angegeben hat, dass er (bei dem Gespräch mit dem Zeugen A erklärt habe, dass er) QR-Codes gescannt und die TAN generiert, aber keine TAN eingegeben habe (vgl. Protokoll vom 11.11.2020, S. 2, BI. 119 d.A.), ist das Gericht auf Grund der technischen Schilderungen des Zeugen B hiervon nicht überzeugt (§ 286 ZPO). Auf Grundlage der Angaben des Klägers zu 1, unter ergänzender Berücksichtigung der glaubhaften Angaben des Zeugen B musste der Kläger zu 1 für die Generierung der TAN zunächst einen bestimmten Überweisungsvorgang einleiten. Insofern hat der Zeuge die Abläufe bei den Überweisungsvorgängen detailliert und anschaulich beschrieben und nachvollziehbar dargelegt, dass das Scannen von QR-Codes nur dann möglich sei, wenn jeweils eine bestimmte Transaktion eingeleitet sei.

Der Zeuge B hat auch anschaulich geschildert, dass das System nämlich Foto-TANs erst generiere, wenn eine Transaktion bereits aufgerufen und ausgefüllt sei und auf „Prüfen“ geklickt worden sei (vgl. Protokoll vom 05.05.2021, S. 10, BI. 169 d.A.). Hiernach hat sich der Kläger zu 1 schon nach eigenem Bekunden und im Übrigen auch auf Grundlage der Schilderungen des Zeugen bei der TAN-Generierung am PC gefunden und so die Transaktionsausführung (mindestens) aktiv begleitet. Dass die Überweisungen unfreiwillig erfolgten, glaubt das Gericht schon vor dem Hintergrund, dass der Kläger zu 1 selbst angab, QR-Codes gescannt zu haben nicht. Es erschließt sich im Übrigen nicht, weshalb der Kläger zu 1 TANs generiert habe, diese aber dann nicht verwendet haben wolle. Hierzu hat der Zeuge B glaubhaft und nach Schilderung der technischen Funktionsweise auch uneingeschränkt nachvollziehbar geschildert, dass bei den Online-Banking- und Kreditkarten-Transaktionen jeweils eine Foto-TAN verwendet (d.h. auch eingegeben) worden sei.

Soweit die Kläger sich auf ein „Hacking bzw. Phishing“ bezogen haben, ist das Vorbringen zu der konkreten Form der behaupteten Beeinträchtigung durchgehend lediglich vage geblieben und nicht hinreichend substantiiert. Gegen „Hacking bzw. Phishing“ spricht auch das von dem Zeugen A glaubhaft geschilderte Gespräch im Zusammenhang mit den streitgegenständlichen Überweisungen. Der Zeuge hat so angegeben, dass der Kläger zu 1 ihm gegenüber, im Anschluss an einen „Fehler“ im Online-Banking, angegeben habe, dass er seine Teilnehmernummer an Dritte weitergegeben habe, damit diese seinen „Vermögenshintergrund“ prüfen könnten, woraufhin er – A – versucht habe, die Überweisung schnell zurückzufordern.

Das Gericht ist auf Grundlage dieser Schilderung davon überzeugt (§ 286 ZPO), dass der Kläger zu 1 dem Zeuge A gegenüber die unmittelbar zurückliegenden Vorgänge im Zusammenhang mit den streitgegenständlichen Überweisungen schilderte – und gerade nicht einen weiter zurückliegenden Vorgang – und dass diese vom Zeugen A dann entsprechend notiert wurden. Der Zeuge hat den Gesprächsinhalt mit dem Kläger zu 1 im Kontext mit dem „Fehler im Online-Banking“ ohne Brüche geschildert. Seine Schilderungen decken sich auch mit der Gesprächsnotiz. Die Schilderung des Zeugen A bildet zur Überzeugung des Gerichts auch das Geschehen unmittelbar nach den gegenständlichen Überweisungen ab. Der Zeuge A zeigte sich auch in der Vernehmung von dem damaligen Vorgang – den er als außergewöhnlich eingestuft hatte – noch beeindruckt und nahm auch Bezug auf eine Stellungnahme, die er gegenüber der Beklagten abgegeben hatte. Diese – insofern von der Beklagtenvertreterin zum Protokoll überreicht – bezieht sich auf einen Vorgang, der auf die Referenz […] (11.12.2018) Bezug nimmt und das vom Zeugen A ersichtlich ohne jede Anreicherungstendenz geschilderte Gespräch thematisiert. Denn der Zeuge A erinnerte den Inhalt der Gesprächsnotiz nicht mehr in Gänze, allerdings deckte sich seine Schilderung mit der Notiz und dennoch blieb diese insgesamt hinter dieser zurück. Der Zeuge hat dabei glaubhaft geschildert, dass er die Gesprächsnotiz in dem zeitlichen Zusammenhang gefertigt habe, in dem ihm der Kläger zu 1 ihm einen „Fehler im Online-Banking“ mitgeteilt und befürchtet habe, Opfer eines „Hackings“ geworden zu sein. Dies ergänzend ist aus der Referenznummer der Notiz,, [ … ]“ ersichtlich, dass diese jedenfalls im Zusammenhang mit dem Datum 11.12.2018 stand. Entsprechendes wird auch durch den Inhalt der Notiz belegt.

Von deren Richtigkeit ist das Gericht aufgrund der Schilderungen des Zeugen A überzeugt. Hierin findet sich neben einer konkreten Vorfallsschilderung (Weitergabe von PIN und TAN zwecks vermeintlicher Liquiditätsprüfung) der Hinweis darauf, dass der Kläger zu 1 davon ausgegangen sei, betrogen worden zu sein. Hierzu passt, dass der Zeuge A versuchte, die streitgegenständlichen Zahlungen schnell zurückzuholen. Dem Zeugen A war dementsprechend (aufgrund des Gesprächs mit dem Kläger zu 1) eindeutig klar, um welche Zahlungen es dem Kläger zu 1 (auch in zeitlicher Hinsicht) ging.

Zu einer anderen Überzeugung führen die Angaben des Klägers zu 1 in dessen informatorischer Anhörung nicht. Zwar hat der Kläger zu 1 hierin Bezug genommen auf einen zeitlich vorausgehenden Vorgang, bei dem er Bitcoins erworben habe, die er auch behalten wollte, allerdings vermochte er den Inhalt des Gesprächs mit dem Zeugen nicht nachvollziehbar zu erklären. Soweit er angab, dass er nicht so recht gewusst habe, wo er anfangen sollte, stellt dies den Inhalt der von dem Zeugen gefertigten Gesprächsnotiz nicht nachhaltig in Frage. Während der Zeuge den Vorgang anschaulich wiederzugeben vermochte, hat der Kläger sich zu der in der Gesprächsnotiz enthaltenen Schilderung in seiner informatorischen Anhörung im Anschluss an die Einvernahme der Zeugen A und nicht mehr konkret verhalten, sondern lediglich auf eine Vorgangsvermischung Bezug genommen, die aber nicht zu erklären vermochte, weshalb der Umstand Weitergabe von PIN und TAN zwecks vermeintlicher Liquiditätsprüfung sich in der Gesprächsnotiz befand. Das Gericht ist nach dem persönlichen Eindruck von dem Zeugen A auch überzeugt, dass der Zeuge die dortigen Angaben tatsächlich einem Gespräch mit dem Kläger entnommen und nicht etwa erfunden hat.

Bereits den Anscheinsbeweis, der der Beklagten zugutekommt, haben die Kläger nicht erschüttert.

Ein Anscheinsbeweis wird bereits dadurch erschüttert, dass der Prozessgegner atypische Umstände des Einzelfalls darlegt und im Fall des Bestreitens Tatsachen nachweist, die die ernsthafte, ebenfalls in Betracht kommende Möglichkeit einer anderen Ursache nahelegen (vgl. BGH, NJW 2016, 2024 Rn. 24, 48). Insofern kann die Darlegung und gegebenenfalls der Nachweis aller und damit auch außerhalb des technischen Zahlungsvorgangs liegender Tatsachen genügen, die die ernsthafte Möglichkeit eines Missbrauchs nahelegen (vgl. BGH, NJW 2016, 2024 Rn. 29). Er muss dabei keinen konkreten und erfolgreichen Angriff gegen das Authentifizierungsinstrument beweisen, sondern nur solche Umstände, die gegen die Autorisierung durch ihn und für ein missbräuchliches Eingreifen eines Dritten sprechen.

Diese Anforderungen kann er auch dadurch erfüllen, dass er außerhalb des Sicherheitssystems des Zahlungsdienstleisters liegende Indizien, die für einen nicht autorisierten Zahlungsvorgang sprechen, substanziiert darlegt und bei Bestreiten nachweist (BGH, NJW 2016, 2024 Rn. 48).

Gemessen an diesen Anforderungen haben die Kläger allerdings hinreichende Erschütterungsumstände nicht dargetan.

Zunächst ist aus dem von den Klägern vorgelegten Artikel bei der Zeitung X aus 2016 heraus nicht ersichtlich, dass das von den Klägern in Anspruch genommene System der Beklagten praktisch überwindbar war, denn Entsprechendes ergibt sich daraus gerade nicht, weil der Artikel Sicherheitsbedenken bei einer anderen Funktionsweise des Online-Bankings thematisiert.

Auch ist die Schilderung des Vorgangs um das „Hacking oder Phishing“ nur sehr pauschal und wenig greifbar. Hierzu stützen sich die Kläger allein auf ein Schreiben der Beklagten aus März 2019. Soweit die Kläger sich aber auf dieses Schreiben der Beklagten stützen, dessen Inhalt nach der von der Klägerin zu 2 verwendete PC mit einem Computervirus oder mit einem Trojanischen Pferd infiziert hätte sein sollen, ist zunächst festzustellen, dass das Schreiben nur die Klägerin zu 2 – und damit nur deren persönlichen Zugang – betraf. Auch stammt das Schreiben aus einem Zeitraum deutlich nach den gegenständlichen Überweisungen. Hierzu hat überdies der Zeuge glaubhaft beschrieben, dass es sich um ein Standardschreiben bezüglich einer bestimmten Teilnehmernummer (nämlich derjenigen der Klägerin zu 2) gehandelt habe. Dieses habe seinen Ursprung gerade nicht in einem Virenbefall auf dem PC der Klägerin zu 2 (und damit auch nicht auf dem PC des Klägers zu 1, der nach dem klägerischen Vorbringen denselben PC nutzte, wie die Klägerin zu 2), sondern in einem betrügerischen Zugriff bezüglich eines anderen Kunden gehabt, woraufhin ein Cross-Check durchgeführt worden sei, der die Klägerin zu 2 als „auch betroffen“ ausgemacht habe.

Einen Anspruch können die Kläger schließlich auch nicht aus der Garantieerklärung der Beklagten herleiten. Denn die Voraussetzungen für eine hieraus resultierende Haftung der Beklagten sind von den Klägern nicht dargelegt. Voraussetzung für eine Haftung der Beklagten aus der Garantieerklärung ist, dass durch Phishing oder Schadsoftware ein Schaden entstanden ist. Dies jedoch haben die Kläger nicht hinreichend dargelegt. Soweit sie diesbezüglich darauf Bezug nehmen, dass die Beklagte mit Schreiben vom 11.03.2019 mitteilte, dass der von der Klägerin zu 2 verwendete PC mit einem Computervirus oder mit einem Trojanischen Pferd infiziert sei, reicht dies nicht aus. Das Vorbringen der Kläger zu dem „Hacking“ bzw. ,,Phishing-Angriff“ ist lediglich pauschal. Es hätte den Klägern – soweit sie ihre Ansprüche aus der Garantieerklärung herleiten – oblegen, darzulegen, um welchen konkreten Angriff es sich gehandelt haben soll, zumal von der Garantieerklärung gerade nur die Fälle Phishing oder Schadsoftware erfasst sind. Diesbezüglich hat die Beklagte die mangelnde Substanz des Vorbringens der Kläger gerügt. Auch datiert das von den Klägern herangezogene Schreiben – wie ausgeführt – der Beklagten erst drei Monate nach den streitgegenständlichen Vorfällen und betraf dem glaubhaften Bekunden des Zeugen B nach nur deshalb die Klägerin zu 2, weil diese infolge eines Cross-Checks als „auch betroffen“ ausgemacht worden war.

Die nachgelassenen Schriftsätze beinhalten kein neues entscheidungserhebliches Tatsachenvorbringen, weshalb insbesondere die Voraussetzungen des § 156 ZPO nicht vorlagen.

Die Nebenforderungen teilen das Schicksal der Hauptforderung.

Die Kostenentscheidung beruht auf§ 91 ZPO.

Die Entscheidung über die vorläufige Vollstreckbarkeit folgt aus§ 709 S. 1 und 2 ZPO.

 

OLG Frankfurt am Main (19. Senat) Beschluss vom 20.12.2021 – 19 U 207/21

Vorinstanz: LG Frankfurt, Urteil vom 16.7.2021 – 2-10 O 432/19

Beschluss:

In dem Rechtsstreit weist der Senat darauf hin, dass er beabsichtigt, die Berufung der Kläger durch einstimmigen Beschluss gemäß § 522 Abs. 2 ZPO zurückzuweisen, weil die Berufung offensichtlich keine Aussicht auf Erfolg erkennen lässt, die Rechtssache keine grundsätzliche Bedeutung hat, die Fortbildung des Rechts oder die Sicherung einer einheitlichen. Rechtsprechung eine Entscheidung des Berufungsgerichts nicht erfordert und eine mündliche Verhandlung nicht geboten ist.

I.

Mit der vorliegenden Klage begehren die Kläger von der Beklagten die Gutschrift von durch Überweisung und Kreditkartenzahlungen ihres bei der beklagten Bank geführten und belasteten Kontos.

Wegen der Einzelheiten zum erstinstanzlichen Sach- und Streitstand wird auf die Feststellungen im angefochtenen Urteil vom 16.07.2021 (BI. 226 ff. d.A.) Bezug genommen. Diese werden nur dahingehend ergänzt und klargestellt, dass im

Online-Banking-System der Beklagten zum streitgegenständlichen Zeitpunkt für dessen Zugang eine Identifikationsnummer und eine PIN erforderlich waren. Zur Freigabe eines jeden Auftrags, z.B. einer Überweisung, war zudem vorliegend eine einmalig gültige TAN zu generieren, indem eine nach Eingabe der (Überweisungs)Daten vom System der Beklagten erstellte und auf dem genutzten Rechner angezeigte Grafik (QR-Code) mit einem weiteren Gerät, z.B. einem Smartphone, gescannt wurde und daraus die Photo-Tan-App jeweils für die jeweilige Transaktion die einmalig gültige TAN anzeigte, welche sodann im Online­ Banking eingegeben werden musste, um die Transaktion freizugeben. Für die Nutzung dieses sog. Photo-Tan-App-Verfahrens war allein das Smartphone des Klägers im System der Beklagten verifiziert und hinterlegt. Für eine Kreditkartenzahlung war zudem das sog. MasterCard-SecureCode-Verfahren aktiviert, wonach für die Freigabe einer jeden Transaktion ebenso eine einmalig gültige Tan über das Photo-Tan-App-Verfahren generiert und benutzt werden musste.

Das Landgericht hat die Klage durch Urteil vom 16.07.2021 abgewiesen und zur Begründung seiner Entscheidung ausgeführt, dass zur Überzeugung des Gerichts erwiesen sei, dass der Kläger die Überweisung und die Kreditkartenzahlungen jeweils autorisiert habe, sodass keine Ansprüche an die Beklagte auf Wiedergutschrift oder Erstattung derselben bestünden. Dies stehe auf Grund der durchgeführten Beweisaufnahme und Würdigung des Beweisergebnisses fest. Die Kläger könnten sich zudem nicht auf eine Garantieerklärung der Beklagten im Zusammenhang mit dem Online-Banking berufen, da die hierfür erforderlichen Voraussetzungen nicht gegeben seien, insbesondere die Kläger nicht hinreichend dargelegt und bewiesen hätten, Opfer einer Phising-Attacke oder einer Schadsoftware geworden zu sein. Wegen der Einzelheiten der Begründung wird auf die Entscheidungsgründe des angefochtenen Urteils verwiesen. […]

In der Sache verfolgen die Kläger ihr erstinstanzliches Begehren weiter. Zur Begründung hierfür tragen sie vor, dass die Kammer bereits zu Unrecht einen· nicht hinreichenden Vortrag zum Hacking bzw. Phising angenommen habe. Die Kläger hätten hierzu ausreichend vorgetragen und ihre Behauptung auch unter Beweis gestellt. In der Folge habe das Landgericht verkannt, dass ein klägerischer Anspruch bereits aus der Garantieerklärung der Beklagten im Zusammenhang mit dem Online-Banking folge, weil die Kläger zweifelsfrei nicht „vorsätzlich“ im Sinne der Garantie gehandelt hätten. Daneben sei die Beweiswürdigung der Kammer anzugreifen, da die Beklagte weder die Authentifizierung der einzelnen Aufträge noch die ordnungsgemäße Aufzeichnung und Abwicklung der Zahlungsvorgänge bewiesen habe. Denn insoweit habe die Kammer zu Unrecht einen Anscheinsbeweis zu Gunsten der Beklagten herangezogen. Dessen ungeachtet hätten die Kläger diesen aber auch erschüttert, indem der Zeuge eingeräumt habe, dass das System der Beklagten überwunden werden könne.

Die Kläger beantragen,

unter Abänderung des Urteils des Landgerichts Frankfurt am Main vom 16.07.2021 (2-10 0 432/19) nach ihren Schlussanträgen erster Instanz zu erkennen.

Die Beklagte beantragt,

die Berufung zurückzuweisen.

Die Beklagte verteidigt die angefochtene Entscheidung.

II.

Die Berufung ist zulässig; sie hat in der Sache aber keinen Erfolg. Die angefochtene Entscheidung beruht nicht auf einer Rechtsverletzung (§§ 513 Abs. 1, 546 ZPO). Ferner haben die Kläger weder neue berücksichtigungsfähige Tatsachen vorgetragen (§ 529 Abs. 1 Nr. 2 ZPO), noch konkrete Anhaltspunkte aufgezeigt, die Zweifel an der Richtigkeit und Vollständigkeit der entscheidungserheblichen. Tatsachenfeststellungen begründen könnten (§ 529 Abs. 1 Nr. 1 ZPO).

Das Landgericht hat die Klage im Ergebnis zu Recht abgewiesen.

Ein möglicher Ersatzanspruch der Kläger gegen die Beklagte aus § 675u BGB wie auch aus der „Garantieerklärung“ der Beklagten ist zu verneinen, da die Beklagte den von ihr zu erbringenden Nachweis einer Zustimmung des Zahlers (Autorisierung) zu der streitigen Überweisung und den drei streitigen Kreditkartenzahlungen nach § 675j Abs. 1 Satz 1 BGB erbracht hat.

Gemäß § 675j Abs. 1 Satz 3 BGB ist die Art und Weise der Zustimmung zwischen dem Zahler und dem Zahlungsdienstleister zu vereinbaren. Dabei kann nach § 675j Abs. 1 Satz 4 BGB festgelegt werden, dass die Zustimmung mittels eines Zahlungsauthentifizierungsinstruments im Sinne des § 1 Abs. 5 ZAG erteilt werden kann. Vorliegend haben die Parteien für die Autorisierung im Online-Banking und analog auch bei der Nutzung von Kreditkartenzahlungen, deren Erstattung zu Lasten des Kontos der Kläger hiernach erfolgen darf, die Nutzung des von der Beklagten angebotenen Photo-TAN-Verfahrens vereinbart, bei dem ein Zahlungsvorgang durch die Eingabe von PIN und TAN (Online-Banking) bzw. Nutzung der • Kreditkartennummer, Ablaufdatums der Kreditkarte und Kreditkartenprüfziffer und TAN (Kreditkartenzahlung im Internet) autorisiert wird, wobei die TAN – wie oben ausgeführt – auf dem hierfür zwischen den Beteiligten verifizierten Smartphone des Klägers jeweils generiert wird und sodann benutzt werden muss.

Die Beklagte hat die Authentifizierung sowie die ordnungsgemäße Aufzeichnung, Verbuchung und störungsfreie, keine Auffälligkeiten aufweisende technische Abwicklung des Zahlungsvorgangs gemäß § 675w Satz 1 BGB nachgewiesen. Ist – wie hier – die Autorisierung eines Zahlungsvorgangs streitig, hat der Zahlungsdienstleister nach § 675w Satz 1 BGB zunächst die Authentifizierung sowie die ordnungsgemäße Aufzeichnung, Verbuchung und störungsfreie, keine Auffälligkeiten aufweisende technische Abwicklung des Zahlungsvorgangs nachzuweisen (BGH, Urteil vom 26. Januar 2016 – XI ZR 91/14, Rn. 16, juris).

Eine Authentifizierung ist nach § 675w Satz 2 BGB erfolgt, wenn der Zahlungsdienstleister die Nutzung des vereinbarten Zahlungsauthentifizierungsinstruments, einschließlich seiner personalisierten Sicherheitsmerkmale, mithilfe eines Verfahrens überprüft hat. Sind diese Voraussetzungen nicht erfüllt, ist der Nachweis einer Autorisierung mithilfe des betroffenen Zahlungsauthentifizierungsinstruments gescheitert (BGH, Urteil vom 26. Januar 2016 -XI ZR 91/14, Rn. 16, juris; Palandt-Sprau, BGB, 80. Aufl. 2021, § 675w Rn. 2).

Vorliegend hat das Landgericht die erfolgreiche Überprüfung der streitigen Überweisung und der drei Kreditkartenzahlungen durch die Beklagte anhand der vorgelegten Transaktionsprotokolle (Anlage XXX) und der durchgeführten Zeugenvernehmung und damit den Nachweis der Authentifizierung dieser Zahlungsvorgänge sowie den Nachweis der Verbuchung, Aufzeichnung und Störungsfreiheit festgestellt. Dies wird mit der Berufung nicht angegriffen. Es sind auch keine konkreten Anhaltspunkte für Zweifel an der Richtigkeit oder Vollständigkeit dieser Feststellung ersichtlich.

Nach § 675w Satz 3 Nr. 1 BGB reicht die Authentifizierung und die Aufzeichnung der Nutzung des Zahlungsauthentifizierungsinstruments einschließlich der personalisierten Sicherheitsmerkmale indes nicht aus, den dem Zahlungsdienstleister – hier der Beklagten – obliegenden Nachweis einer Autorisierung des Zahlungsvorgangs zu führen (BGH, Urteil vom 26. Januar 2016 – XI ZR 91/14, Rn. 18, juris). Diesen Beweis zu führen, ist der Beklagten indes ebenso gelungen. Sie hat zur Überzeugung der Kammer zumindest einen Anscheinsbeweis geführt. Statt des Vollbeweises kann der Zahlungsdienstleister sich gegenüber dem Zahler unter bestimmten Voraussetzungen zum Nachweis der strittigen Autorisierung auf einen Beweis des ersten Anscheins berufen, der allerdings bei Nutzung eines Zahlungsauthentifizierungsinstruments den besonderen Anforderungen des § 675w Satz 3 BGB genügen muss. Danach ist Voraussetzung eines Anscheinsbeweises bei Nutzung eines Zahlungsauthentifizierungsinstruments ein Sicherheitssystem, das allgemein praktisch nicht zu überwinden war, im konkreten Einzelfall ordnungsgemäß angewendet worden ist und fehlerfrei funktioniert hat (BGH, Urteil vom 26. Januar 2016 – XI ZR 91/14, Rn. 19, juris). Insoweit ist ein allgemein praktisch nicht zu überwindendes und im konkreten Einzelfall ordnungsgemäß angewendetes und fehlerfrei funktionierendes Sicherheitssystem Voraussetzung für die Anwendung der Grundsätze des Anscheinsbeweises (BGH, Urteil vom 26. Januar 2016 – XI ZR 91/14, Rn. 28, 78, juris).

Die von der Berufung in diesem Zusammenhang im Wesentlichen angegriffene Beweiswürdigung des Landgerichts teilt der Senat. Das Landgericht hat die gesetzlichen Vorgaben nach § 286 ZPO eingehalten. Nach dieser Vorschrift soll der Richter nach seiner freien Überzeugung entscheiden. Das bedeutet, dass er lediglich an Denk- und Naturgesetze sowie an Erfahrungssätze und ausnahmsweise gesetzliche Beweisregeln gebunden ist, ansonsten aber die im Prozess gewonnenen Erkenntnisse nach seiner individuellen Einschätzung zu bewerten hat. Das Landgericht hat die leitenden Gründe und die wesentlichen Gesichtspunkte für seine Überzeugungsbildung nachvollziehbar im Urteil dargelegt. Dabei ist es nicht erforderlich, auf jedes einzelne Parteivorbringen und Beweismittel ausführlich einzugehen; es genügt, dass nach der Gesamtheit der Gründe eine sachentsprechende Beurteilung stattgefunden hat (vgl. dazu KG Berlin, Urteil vom 08.01.2004 – 12 U 184/02, juris; Zöller-Greger, ZPO, 33. Aufl. 2020, § 286 Rn. 13). Der Senat hat diese tatrichterliche Würdigung auf Grund der Angriffe des Beklagten aber nicht allein im Sinne einer reinen Rechtskontrolle zu überprüfen. Bei der Berufungsinstanz handelt es sich auch nach Inkrafttreten des Zivilprozessreformgesetzes um eine zweite – wenn auch eingeschränkte – Tatsacheninstanz, deren Aufgabe in der Gewinnung einer ,,fehlerfreien und überzeugenden“ und damit „richtigen“ Entscheidung des Einzelfalles besteht (vgl. BGH, Urteil vom 09.03.2005 – VIII ZR 266/03, juris; Urteil vom 21.06.2016 – VI ZR 403/14, juris). Daher können sich Zweifel an der Richtigkeit oder Vollständigkeit der entscheidungserheblichen Feststellungen im Sinne von § 529 Abs. 1 Nr. 1 ZPO auch aus der Möglichkeit unterschiedlicher Bewertungen der erstinstanzlichen Beweisaufnahme ergeben (vgl. BGH, a.a.O.). Besteht aus der für das Berufungsgericht gebotenen Sicht eine gewisse – nicht notwendig überwiegende – Wahrscheinlichkeit dafür, dass im Fall der Beweiserhebung die erstinstanzliche Feststellung keinen Bestand haben wird, ist es somit zu einer erneuten Tatsachenfeststellung verpflichtet. Hält es das Berufungsgericht indes nicht für denkbar, dass die von der Berufung aufgeworfenen Fragen zu einer anderen Würdigung führen können, besteht kein Anlass für die Überlegung, ob für die andere Würdigung zumindest eine gewisse Wahrscheinlichkeit spricht.

Derart verhält es sich hier. Dass ein allgemein praktisch nicht zu überwindendes und im konkreten Einzelfall ordnungsgemäß angewendetes und fehlerfrei funktionierendes Sicherheitssystem bei allen vier Zahlungen verwandt wurde, hat der Zeuge glaubhaft, detailreich sowie auch auf Nachfrage konstant bekundet. Er hat dargelegt, dass zu der Überweisung die PIN und alle richtigen Zugangsdaten für das Online-Banking sowie eine ordnungsgemäß generierte TAN verwendet worden sei. Bei den drei Kreditkartenzahlungen seien neben korrekter Kartennummer und richtigem Ablaufdatum sowie zutreffender Prüfziffer auch jeweils drei ordnungsgemäß generierte TAN eingesetzt worden. Er hat zudem ausführlich dargelegt, dass im System der Beklagten bislang kein erfolgreicher Angriff bekannt sei und dies auch in dem von der Beklagten verwandten sog. 2- Faktor-Authentifizierungsverfahren praktisch nicht möglich sei, zumal vorliegend neben einem Computer auch das Smartphone des Klägers genutzt worden sei.

Ausgehend hiervon ist die Annahme eines gegen die Kläger streitenden Anscheinsbeweises durch die Kammer vorliegend nicht zu beanstanden. Denn irgendwelche konkreten Anhaltspunkte für einen tatsächliche Überwindbarkeit des Systems oder eine im konkreten Fall unrichtige Anwendung desselben haben die Kläger gerade nicht aufgezeigt oder ausgeführt. Der von ihnen herangezogene Zeitungsartikel weist vielmehr ebenso auf die Unüberwindbarkeit des Systems gerade bei einem – wie hier angewandten – sog. 2-Faktor­ Authentifizierungsverfahren hin. Dass zudem eine dritte Person das für jede Zahlung zwingend notwendige Smartphone des Klägers missbraucht oder kompromittiert haben könnte, haben die Kläger ebenso nicht ausgeführt, so dass auch der pauschal behauptete Angriff auf den Computer der Kläger nicht weiter aufzuklären ist. Dass sie die Zahlungen selbst physisch nicht hätten veranlassen können, ist ebenso nicht dargetan oder sonst festgestellt.

Diesen somit gegen die Kläger streitenden Anscheinsbeweis haben die Kläger aber auch nicht erschüttern können. Ein Anscheinsbeweis ist erschüttert, wenn der Beweisgegner Tatsachen darlegt und gegebenenfalls zur vollen Überzeugung des erkennenden Gerichts beweist (BGH, Urteil vom 18. Dezember 1952 – VI ZR 54/52, BGHZ 8, 239, 240), die die ernsthafte, ebenfalls in Betracht kommende Möglichkeit einer anderen Ursache nahelegen (BGH, Urteile vom 3. Juli 1990 – VI ZR 239/89, NJW 1991, 230, 231 mwN und vom 17. Januar 1995 – X ZR 82/93, VersR 1995, 723, 724). Danach muss der Zahlungsdienstnutzer zur Erschütterung des Anscheinsbeweises keinen konkreten und erfolgreichen Angriff gegen das Authentifizierungsinstrument beweisen, sondern nur solche Umstände, die gegen die Autorisierung durch ihn und für ein missbräuchliches Eingreifen eines Dritten sprechen. Diese Anforderungen kann der Zahler auch dadurch erfüllen, dass er außerhalb des Sicherheitssystems des Zahlungsdienstleisters liegende Indizien, die für einen nicht autorisierten Zahlungsvorgang sprechen, substantiiert darlegt und bei Bestreiten nachweist. Diesen Anforderungen sind die Kläger indes nicht gerecht geworden. Die Kläger haben lediglich ein „Phising“ oder „Hacking“ ihres einzigen Rechners behauptet, ohne dies aber näher zu begründen. Eine Entwendung der Kreditkarte, da für diese Zahlungen deren Daten nötig waren, haben die Kläger nicht behauptet, ebenso wenig wie einen Missbrauch oder eine Kompromittierung des für alle Zahlungen nötigen Smartphones des Klägers. Gerade letzteres spricht indes schon gegen einen Missbrauch Dritter. Ganz erheblich gegen eine Erschütterung des Anscheinsbeweises sprechen aber die eigenen Einlassungen des Klägers. Denn der Kläger hat selbst in seiner Anhörung eingeräumt, dass er seinen Online-Pin und seine dazugehörige Identifikationsnummer in dritte Hände gegeben haben will, ebenso wie sämtliche Daten seiner Kreditkarte. Zudem hat der Kläger auch eingeräumt, jeweils – zu den Zahlungsvorgängen – TANs generiert zu haben – somit mit seinem Smartphone diese erstellt zu haben -, diese sodann „aber nicht eingegeben zu haben“. Der Senat hält diesen Vortrag zwar in Teilen für wenig nachvollziehbar, da der Kläger einerseits seine sensiblen Daten irgendwelchen Personen, die nicht näher benannt werden, übergeben haben will, andererseits räumt der Kläger aber doch ein, bei Erstellung der TANs mittels seines Smartphones, dessen Kompromittierung nicht behauptet wird, aktiv an allen Zahlungsvorgängen mitgewirkt zu haben. Da jede TAN nur für eine bestimmte Transaktion erstellt werden kann, muss der Kläger somit die Transaktionen gekannt haben. Es ist in diesem Zusammenhang aber auch für den Senat nicht plausibel, dass der Kläger überhaupt TANs erstellt hat, um diese sodann nicht zu nutzen. Dies macht in sich schon keinen Sinn. Dagegen spricht wiederum die glaubhafte Aussage des Zeugen A, den der Kläger unmittelbar nach Ausführung der Überweisung um deren Rückholung ersucht hat. Dies ist schlüssig und nachvollziehbar, sofern eine bewusst durchgeführte Überweisung „bereut“ oder „gestoppt“ werden soll. In jedem Fall lassen sich weder aus diesen Einzelumständen allein noch aus einer Gesamtwürdigung derselben eine ernsthafte, ebenfalls in Betracht kommende Möglichkeit einer anderen Ursache für die vier Zahlungen feststellen.

Letztlich hat das Landgericht damit auch eine Zahlungspflicht der Beklagten aus der „Garantie“ von Rechts wegen beanstandungsfrei verneint. Denn sofern die Kammer wie auch der Senat der richterlichen Überzeugung sind, dass die Zahlungen von den Klägern autorisiert wurden, liegt schon kein „Schaden“ auf Klägerseite im Sinne der Garantieerklärung der Beklagten vor, da ein Missbrauch zu Lasten der Kläger dann gerade nicht dargelegt wurde oder sonst erwiesen ist. Nach alledem erweist sich das angefochtene Urteil auch im Lichte der Berufung als zutreffend.