Entscheidung 4 U 32/24

1. Auf die Berufung der Beklagten wird das Urteil des Landgerichts Frankfurt (Oder) vom 20.02.2024, Az. 19 O 38/23, abgeändert und die Klage abgewiesen.
   
   
2. Die Kläger haben die Kosten des Rechtsstreits beider Instanzen zu tragen.
   
   
3. Das Urteil ist vorläufig vollstreckbar. Die Kläger können die Vollstreckung gegen Sicherheitsleistung von 110 % des vollstreckbaren Betrages abwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit von 110 % des jeweils zu vollstreckenden Betrages leistet.
   
   
4. Der Streitwert für das Berufungsverfahren wird festgesetzt auf 17.117,80 €.

I.

Die Kläger begehren als Erben des am 01.11.2024 verstorbenen Klägers (im Folgenden gleichwohl weiter: der Kläger) die Wiedergutschrift von 21 Abbuchungen auf dem bei der Beklagten geführten Konto in Höhe von insgesamt 17.117,80 €.

Am 12.04.2022 eröffnete der Kläger unter der Kontonummer … ein Girokonto mit Online-Banking bei der Beklagten. Die Parteien vereinbarten in Ziffer 7.7.3 des Vertrages das pushTAN-Verfahren „zum mobilen Abruf von TAN über das Internet mit der S-pushTAN-App auf einem dafür vorgesehenen Endgerät“. Bei diesem Verfahren meldet sich der Nutzer über die Homepage der Beklagten durch Eingabe eines Anmeldnamens/LegitimationslD und seiner PIN an und nimmt im Online-Banking eine Überweisung oder sonstige Handlung vor. Dann erhält er auf dem zuvor vereinbarten mobilen Endgerät in der S-pushTAN-App die zu bestätigenden Auftragsdaten. Die pushTAN-Verbindung hat der Kläger am 28.05.2022 auf seinem Mobiltelefon (Samsung S 20/Android) eingerichtet. Ebenfalls am 28.05.2022 aktivierte der Kläger die bereits bei Vertragsschluss zwischen den Parteien unter Ziffer 6 des Vertrages vereinbarte digitale („Bank 01“)-Card (Debitkarte) auf seinem Mobiltelefon. Er bestätigte den von ihm erstellten Auftrag zur Registrierung der Karte in der S-pushTAN-App und nutzte das Verfahren seither für sich unter Verwendung von „Google Pay“.

Der Kontoeröffnungsvertrag sah in Ziffer 7.4 Sorgfaltspflichten zum Schutz des Systems vor. Darüber hinaus enthielten die Ziffern 7.1 bis 7.3 der ebenfalls zum Vertragsgegenstand gewordenen Bedingungen für das Online-Banking weitere ausformulierte Sorgfaltspflichten für den Teilnehmer am Online-Banking. Ziffer 7.3 der Bedingungen lautete wie folgt:

7.3 Prüfung der Auftragsdaten mit von der („Bank 01“) angezeigten Daten

Die („Bank 01“) zeigt dem Teilnehmer die von ihr empfangenen Auftragsdaten (z.B. Betrag, Kontonummer des Zahlungsempfängers, Wertpapierkennnummer) über das gesondert vereinbarte Gerät des Teilnehmers an (z.B. mittels mobilem Endgerät [...]). Der Teilnehmer ist verpflichtet, vor der Bestätigung die Übereinstimmung der angezeigten Daten mit den für den Auftrag vorgesehenen Daten zu prüfen.

Am 27.09.2022 gegen 10.00 Uhr nahm der Kläger eine Behandlung beim Augenarzt wahr, in deren Folge er nur noch eingeschränkt sehen konnte. Gegen 15.00 Uhr erhielt er einen Anruf von einer vermeintlichen Mitarbeiterin der Beklagten. Diese teilte ihm mit, dass aus technischen Gründen ein Datenabgleich erfolgen müsse. Er werde einen dazugehörigen Auftrag auf sein Mobiltelefon erhalten, den er über seine S-push-TAN-App bestätigen solle. Der Kläger folgte diesen Anweisungen und bestätigte den Auftrag, obwohl er den Inhalt der für den Auftrag vorgesehenen Daten wegen seiner eingeschränkten Sehfähigkeit nicht lesen und vor diesem Hintergrund auch nicht überprüfen konnte. Er gab durch die Bestätigung seine digitale („Bank 01“)-Card zugunsten eines von unbekannten Dritten genutzten mobilen Endgeräts (iPhone/Apple) frei.

Unbekannte Dritte nahmen zwischen dem 27.09.2022 (16.11 Uhr) und dem 01.10.2022 (18.07 Uhr) u.a. in („Ort 01“), („Ort 02“), („Ort 03“) und („Ort 04“) insgesamt 21 Zahlungen mittels „Apple Pay“ in einer Höhe von insgesamt 17.117,80 € vor. Am 02.10.2022 bemerkte der Kläger die Überziehung seines Kontos und ließ dieses durch die Beklagte sperren. Am 03.10.2022 erstattete er Anzeige bei der Polizei. Einen Tag später meldete der Kläger den Schadensfall in einer Filiale der Beklagten und forderte diese schriftlich zur Rückbuchung der Beträge auf. Die Beklagte lehnte die Erstattung der Transaktionen mit Schreiben vom 12.10.2022 ab, woraufhin der Kläger seinen Prozessbevollmächtigten mit der Durchsetzung seiner Interessen beauftragte. Nach wiederum erfolgloser Aufforderung zur Rückbuchung der Beträge mit Anwaltsschreiben vom 31.10.2022 macht der Kläger seine Ansprüche nunmehr im Wege der Klage geltend.

Der Kläger ist der Ansicht, dass es sich um nicht von ihm autorisierte Zahlungsvorgänge handele, die er sich auch nicht nach Rechtsscheingrundsätzen zurechnen lassen müsse. Insbesondere sei nicht vom Vorliegen eines Anscheinsbeweises nach Maßgabe von § 675w BGB auszugehen. Hierfür reiche die Aufzeichnung der Nutzung des Zahlungsauthentifizierungselements einschließlich der Authentifizierung durch den Zahlungsdienstleister nicht aus. Ohnehin sei von einer Erschütterung des Anscheinsbeweises auszugehen. Der Kläger behauptet insoweit, dass seine Anmeldedaten durch ein Eindringen Dritter in das System der Beklagten erlangt worden seien, nachdem auf keinem seiner Endgeräte eine Schad- oder Virensoftware installiert gewesen sei. Die Anmeldung im Online-Banking sei auch nicht durch eine Zwei-Faktor-Authentifizierung gesichert, sodass seine Daten durch einen gezielten Angriff auf den IT-Dienstleister der („Bank 01“) hätten abgegriffen werden können. Gegenansprüche der Beklagten bestünden nicht, nachdem die vermeintliche Mitarbeiterin der Beklagten Kenntnis von seinen persönlichen Daten gehabt habe und er mit Blick auf die vorangegangene ärztliche Behandlung in seiner Sehfähigkeit eingeschränkt gewesen sei. Der nach der Einrichtung des Auftrags im Online-Banking auf der S-pushTAN-App zum Zwecke der Bestätigung angezeigte Text: „Registrierung einer Karte“ werde zudem der Bedeutung der dadurch eintretenden Vertragserweiterung in Form der Einrichtung eines zusätzlichen Zahlungssystems auf einem weiteren Endgerät mit der Möglichkeit der Kontoverfügung nicht gerecht. Letztlich stünde einem etwaigen Gegenanspruch § 675v Abs. 4 BGB entgegen, nachdem die Zahlungsvorgänge nicht mittels einer starken Kundenauthentifizierung gesichert seien.

Die Beklagte ist der Ansicht, dass zunächst von einem ordnungsgemäßen Zugriff auf ihr Online-Banking-System durch den Kläger auszugehen sei. Die Einwahl sei am 27.09.2022 unter Verwendung seiner einmaligen persönlichen Benutzerkennung und seiner persönlichen Legitimations-ID erfolgt und eine technische Störung insoweit nicht erkennbar. Sodann sei die Freigabe des im Online-Banking erstellten Auftrags zur Einrichtung der („Bank 01“)-Card auf einem weiteren mobilen Endgerät ordnungsgemäß unter Verwendung der S-pushTAN-App erfolgt. Dadurch sei eine - zumindest indirekte - Autorisierung der nachfolgend vorgenommenen Zahlungsvorgänge mittels dieses neuen Endgeräts gegeben. Ohne die Freigabe des nicht vom Kläger initiierten Auftrags hätte kein weiteres Endgerät eingerichtet werden können. Jedenfalls stünden ihr Gegenansprüche mit Blick auf die durch den Kläger grob fahrlässig vorgenommene Bestätigung des Auftrags ohne vorherige Kenntnisnahme der für den Auftrag hinterlegten Daten zu. Der Kläger habe in diesem Zusammenhang auch ihre Warnhinweise nicht berücksichtigt, in denen sie ausdrücklich vor Anrufen durch falsche („Bank 01“)mitarbeiter warne. Entgegen der Ansicht des Klägers liege zudem bei den vorgenommenen Zahlungen mittels „Apple Pay“ eine starke Kundenauthentifizierung vor, die auf der „digitalen Karte“ als Besitzelement und dem Element Inhärenz bzw. Wissen beruhe.

Das Landgericht hat - nach persönlicher Anhörung des Klägers und Vernehmung des präsenten sachverständigen Zeugen („Name 01“) - die Beklagte antragsgemäß dazu verurteilt, das Zahlungskonto des Klägers wieder auf den Stand ohne die 21 Belastungsbuchungen zu bringen und außergerichtliche Rechtsanwaltskosten an den Kläger zu zahlen. Dem Kläger stehe ein Anspruch auf Gutschrift aus § 675u S. 2 BGB zu. Die streitgegenständlichen Zahlungsvorgänge seien ohne Zustimmung des Klägers erfolgt, § 675j Abs. 1 BGB. Zwar habe die Beklagte zur Authentifizierung der Zahlungsvorgänge im Rahmen des sogenannten CDCVM-Verfahrens unwidersprochen vorgetragen. Insoweit handele es sich indes lediglich um die Mindestvoraussetzungen für die Anwendung des Anscheinsbeweises (§ 675w BGB) und aufgrund atypischer Umstände stehe vorliegend gerade ein abweichender Geschehensablauf fest. Denn die streitgegenständlichen Zahlungsvorgänge seien unstreitig mittels „Apple Pay“ und nicht durch den Kläger unter Verwendung seines Android-Mobiltelefons vorgenommen worden. Die Beklagte könne dem Anspruch des Klägers auch nicht den Einwand unzulässiger Rechtsausübung entgegenhalten. Ein Schadensersatzanspruch in gleicher Höhe gemäß § 675v Abs. 3 Nr. 2 BGB stehe ihr nicht zu. Soweit der Kläger gegen seine sich aus § 675l Abs. 1 BGB ergebenden Pflichten oder gegen die sich aus Ziffer 7.1, 7.2 oder 7.3 ergebenden Bedingungen für das Online-Banking verstoßen habe, erweise sich dies nicht als grob fahrlässig. Der Kläger habe jedenfalls subjektiv nicht die verkehrsübliche Sorgfalt individuell in besonders hohem Maße und unentschuldbar verletzt. Vor diesem Hintergrund könne das Eingreifen der Ausschlusstatbestände der § 675v Abs. 4 Nr. 1 BGB und § 675v Abs. 5 BGB dahinstehen.

Gegen dieses, ihr am 23.03.2024 zugestellte Urteil des Landgerichts vom 20.02.2024 richtet sich die am 25.03.2024 (Montag) eingelegte und nach Verlängerung der Berufungsbegründungsfrist bis zum 23.05.2024 am selben Tag begründete Berufung der Beklagten, mit der sie ihr Klageabweisungsbegehren vollumfänglich weiterverfolgt.

Das Landgericht habe verkannt, dass die Parteien ein Zahlungsinstrument vereinbart hätten, durch das die Autorisierung der streitgegenständlichen Zahlungsvorgänge erfolgt sei. Die insoweit erforderliche Zustimmung sei bereits durch die Bestätigung der Registrierung eines weiteren mobilen Endgeräts erfolgt. Die einzelnen Transaktionen seien dadurch indirekt autorisiert. Darüber hinaus sei die Freigabe durch den Kläger in einer Gesamtschau der zu berücksichtigenden objektiven und subjektiven Erwägungen als grob fahrlässig im Sinne von § 675v Abs. 3 Nr. 2b BGB einzustufen. Durch die aufforderungsgemäße Verwendung der TAN aus seiner S-pushTAN-App habe der Kläger unbekannten Dritten Zugriff auf ein personalisiertes Sicherheitsmerkmal gewährt und dadurch gegen § 675l Abs. 1 S. 1 BGB verstoßen. Zudem liege ein Verstoß gegen Ziffer 7.2 und 7.3 der Bedingungen für das Online-Banking vor. Dies sei dem Kläger auch subjektiv vorwerfbar. Die Freigabe einer pushTAN auf telefonischen Zuruf hin begründe den Vorwurf der groben Fahrlässigkeit in objektiver und subjektiver Hinsicht. Denn bei Nutzung einer App, die explizit der Freigabe von Finanztransaktionen diene, müsse es im Allgemeinen jedem einleuchten, dass der zu Grunde liegende Auftrag zur Kenntnis zu nehmen und gründlich zu prüfen sei. Zudem erwiesen sich auch die fehlende Kenntnisnahme der Sicherheitshinweise der Beklagten sowie die fernmündliche Verständigung über die zur Verifizierung des Online-Bankings notwendigen Daten als grob fahrlässig.

Die Beklagte beantragt,

das Urteil des Landgerichts Frankfurt (Oder) vom 20.02.2024 abzuändern und die Klage abzuweisen.

Der Kläger beantragt,

die Berufung zurückzuweisen.

Er verteidigt die angegriffene Entscheidung. Eine indirekte Autorisierung existiere im Recht des Zahlungsverkehrs nicht. Die Zustimmung müsse durch den Zahler als Einwilligung oder im Rahmen eines vereinbarten Zahlungsinstruments erfolgen. Zudem habe das Landgericht auch zutreffend die Einstufung seines Verhaltens als grob fahrlässig abgelehnt. Selbst wenn man einen objektiv groben Pflichtenverstoß annehme, fehle es gleichwohl am gesteigerten personalen Verschulden. Die Einrichtung eines neuen Endgeräts sei zudem nur aufgrund eines Verstoßes der Beklagten gegen ihre Pflichten aus § 55 Abs. 1 ZAG beim Zugriff auf das Online-Banking möglich gewesen.

Der Kläger ist am 01.11.2024 verstorben. Ausweislich des Testaments ist seine Ehefrau („Name 02“) Alleinerbin. Ein Erbschein lag bis zum Schluss der mündlichen Verhandlung nicht vor; ebenso wenig nähere Erkenntnisse zu einer etwaigen Testamentseröffnung.

II.

Die Berufung der Beklagten ist zulässig, insbesondere statthaft nach § 511 Abs. 1 und 2 Nr. 1 ZPO sowie in den gesetzlichen Fristen der §§ 517, 520 Abs. 2 ZPO eingelegt und begründet worden.

Auch in der Sache hat die Berufung Erfolg.

Der Kläger kann von der Beklagten nicht die Wiedergutschrift der 21 Belastungsbuchungen in Höhe von insgesamt 17.117,80 € verlangen. Zwar hat er die streitgegenständlichen Zahlungsvorgänge nicht autorisiert, sodass ihm im Ausgangspunkt ein Anspruch gegen die Beklagte auf Wiedergutschrift der Beträge auf seinem Girokonto gemäß § 675u S. 2 BGB zusteht (dazu 1.). Die Beklagte kann diesem Anspruch jedoch einen Schadensersatzanspruch nach § 675v Abs. 3 Nr. 2b BGB entgegenhalten, da dem Kläger im Zusammenhang mit den Zahlungsvorgängen eine grob fahrlässige Verletzung der Vertragspflichten zur Last fällt (dazu 2.). Ausschlusstatbestände greifen nicht ein (dazu 3.).

Im Einzelnen:

1. Dem Kläger steht zunächst ein Anspruch gegen die Beklagte nach § 675u S. 2 BGB darauf zu, seinem Girokonto den Betrag von 17.117,80 € wieder gutzuschreiben. Denn der Kläger hat die sein Konto belastenden 21 Zahlungen mittels „Apple Pay“ nicht autorisiert.

a) Die Parteien waren mit Blick auf den am 12.04.2022 geschlossenen Privatgirovertrag mit Online-Banking und („Bank 01“)-Card durch einen Zahlungsdiensterahmenvertrag im Sinne von § 675f Abs. 2 BGB miteinander verbunden.

b) Die streitgegenständlichen Bezahlvorgänge unter Verwendung von „Apple Pay“ dienten der Übermittlung eines Geldbetrages und stellen insofern Zahlungsvorgänge im Sinne der §§ 675u S. 2, 675f Abs. 4 S.1 BGB dar.

c) Diese waren mangels Zustimmung des Klägers indes nicht autorisiert, § 675j Abs. 1 S. 1 BGB. Ein Zahlungsvorgang ist nach § 675j Abs. 1 S. 1 BGB gegenüber dem Zahler nur dann wirksam, wenn er diesem zugestimmt hat (Autorisierung). Fehlt es an einer Autorisierung durch den Zahler, so steht dem Zahlungsdienstleister kein Aufwendungsersatzanspruch aus §§ 675c S. 1, 670 BGB und dementsprechend kein Erstattungsanspruch nach § 675u S. 1 BGB zu. So liegt der Fall hier.

aa) Der Kläger selbst hat die Zahlungen nicht vorgenommen und dadurch autorisiert. Dies steht zwischen den Parteien nicht im Streit.

bb) Die Zahlungsvorgänge wurden auch nicht im Rahmen eines zwischen den Parteien vereinbarten Zahlungsinstruments autorisiert. Nach Maßgabe von § 675j Abs. 1 S. 3 und 4 BGB kann die Art und Weise der Zustimmung zwischen dem Zahler und dem Zahlungsdienstleister vereinbart werden, insbesondere kann vereinbart werden, dass die Zustimmung mittels eines bestimmten Zahlungsinstruments erteilt werden kann. Ein Zahlungsinstrument ist gemäß § 1 Abs. 20 ZAG jedes personalisierte, d.h. einem bestimmten Zahlungsdienstnutzer zuzuordnende Instrument oder Verfahren, dessen Verwendung zwischen dem Zahlungsdienstnutzer und dem Zahlungsdienstleister vereinbart wurde und das zur Erteilung eines Zahlungsauftrages verwendet wird. Vorliegend haben die Parteien in Ziffer 7.7.3 des Kreditvertrages zum einen ausdrücklich das pushTAN-Verfahren als Zahlungsinstrument zur Erteilung eines Zahlungsauftrags vereinbart. Die im Streit stehenden Zahlungsvorgänge wurden indes nicht im Online-Banking unter Verwendung des pushTAN-Verfahrens ausgelöst. Zum anderen haben die Parteien in Ziffer 6 des Kreditvertrages eine Vereinbarung hinsichtlich der Einrichtung einer digitalen („Bank 01“)-Card (Debitkarte) in Verbindung mit dem Android-Mobiltelefon des Klägers getroffen. Auch die Übermittlung von Kartendaten unter Verwendung der Technologie der Nahfeldkommunikation stellt ein Zahlungsinstrument im vorgenannten Sinne dar. Indes sind die Zahlungen nicht unter Verwendung des Endgeräts des Klägers erfolgt, sondern durch ein iPhone mittels „Apple Pay“. Vor diesem Hintergrund fehlt es an einer Zustimmung im Rahmen eines zwischen den Parteien vereinbarten Zahlungsinstruments.

cc) Eine indirekte Autorisierung der Zahlungsvorgänge durch die vorherige Bestätigung des Auftrags zur Registrierung eines weiteren Endgeräts durch den Kläger ist nicht erfolgt. Denn ein Zahlungsvorgang ist ausdrücklich nur dann autorisiert und dem Zahler gegenüber wirksam, wenn der Zahler dem Zahlungsvorgang zugestimmt hat, § 675j Abs. 1 S. 1 BGB. Die Zustimmung nach § 675j Abs. 1 S. 1 BGB muss höchstpersönlich vom Zahler stammen (BGH, Urteil vom 26.01.2016 - XI ZR 91/14; OLG Naumburg, Urteil vom 22.05.2024 - 5 U 11/24, Rn. 45). Die Möglichkeit einer indirekten Autorisierung sieht das Recht der Zahlungsdienste nicht vor.

dd) Mit Blick auf die Missbrauchssituation ist auch unter Berücksichtigung der Grundsätze des Anscheinsbeweises nach § 675w BGB keine Autorisierung anzunehmen. Zwar kann der Nachweis der Autorisierung bei Vorliegen bestimmter Mindestvoraussetzungen der technischen Authentifizierung geführt werden, wobei § 675w S. 3 BGB bei Nutzung eines Zahlungsauthentifizierungsinstruments ein Sicherheitssystem erfordert, das allgemein praktisch nicht zu überwinden war (BGH, Urteil vom 26.01.2016 - XI ZR 91/14, Rn. 19). Dieser Nachweis wäre indes mit Blick auf die vorliegende Missbrauchssituation ohnehin erschüttert, weswegen es auf das Vorliegen der Voraussetzungen des § 675w S. 1 und 2 BGB nicht ankommt (vgl. auch OLG Bremen, Beschluss vom 15.04.2024 - 1 U 47/23, Rn. 19; OLG München, Beschluss vom 22.09.2022 - 19 U 2204/22, Rn. 80).

Die Annahme einem Anscheinsbeweis entgegenstehender atypischer Umstände erfordert solche Umstände, die gegen die Autorisierung durch den Kläger und für ein missbräuchliches Eingreifen eines Dritten sprechen. Diese Anforderungen kann der Zahler auch dadurch erfüllen, dass er außerhalb des Sicherheitssystems des Zahlungsdienstleisters liegende Indizien, die für einen nicht autorisierten Zahlungsvorgang sprechen, substantiiert darlegt und bei Bestreiten nachweist (BGH, Urteil vom 26.01.2016 - XI ZR 91/14, Rn. 48). Vorliegend bestehen keine Zweifel an der Auslösung der 21 Zahlungsvorgänge durch unbekannte Dritte. Auch die Beklagte stellt dies nicht ernsthaft in Frage. So befand sich der Kläger nach seiner Augenarztbehandlung am Nachmittag des 27.09.2022 zu Hause in („Ort 05“) und war - im Anschluss an den Anruf der vermeintlichen („Bank 01“)mitarbeiterin gegen 15.00 Uhr und die Freigabe des weiteren Endgeräts - bereits faktisch nicht in der Lage, ab 16.11 Uhr drei Zahlungen im räumlich entfernten („Ort 01“) vorzunehmen. Auch die in den Folgetagen in der Umgebung des Klägers ausgelösten Zahlungen mittels „Google Pay“ sind nicht mit den weiteren Zahlungen anderenorts mittels „Apple Pay“ in Einklang zu bringen. Der Kläger besaß zudem kein iPhone.

ee) Eine Zurechnung der Zustimmung der unbekannten Dritten nach Rechtsscheinsgesichtspunkten kommt ebenfalls nicht in Betracht. Zum einen ist die Auffassung, ein Kontoinhaber müsse Zahlungsaufträge, die ein Dritter unter missbräuchlicher Verwendung eines Zahlungsinstruments erteilt hat, gegen sich gelten lassen, wenn ihm das Handeln des Nichtberechtigten bekannt war oder er es hätte erkennen können, mit den nach § 675e Abs. 1 BGB im Grundsatz abschließenden Regelungen in §§ 675j Abs. 1 S. 4, 675u S. 1 BGB nicht zu vereinbaren. Denn nach dem zwischen Bank und Kunde geschlossenen Vertrag ist bei Nutzung eines personalisierten Zahlungsinstruments, das ohnehin nach § 675l BGB geheim zu halten ist, eine Bevollmächtigung Dritter ausnahmslos ausgeschlossen (BGH, Urteil vom 17.11.2020 - XI ZR 2947/19, Rn. 13; BGH, Urteil vom 26.01.2016 - XI ZR 91/14, Rn. 58 ff.). Zum anderen liegen mit Blick auf den kurzen Zeitraum des Missbrauchs die für die Annahme eines Rechtsscheins erforderlichen Voraussetzungen nicht vor.

ff) Mangels Zustimmung im Sinne von §§ 675u S. 1, 675j Abs. 1 S. 1 BGB muss der Kläger die Belastungsbuchungen nicht als für ihn getätigt und verbindlich gelten lassen.

2. Dem Anspruch des Klägers auf Wiedergutschrift der abgebuchten Beträge in Höhe von 17.117,80 € kann die Beklagte indes im Wege der dolo-agit-Einrede gemäß § 242 BGB nach den Grundsätzen von Treu und Glauben einen Schadensersatzanspruch aus § 675v Abs. 3 Nr. 2b BGB in gleicher Höhe entgegenhalten. Besteht ein Schadenersatzanspruch des Zahlungsdienstleisters, kann in Höhe des Anspruchs eine Gutschrift nach § 675u S. 2 BGB verweigert werden (vgl. BGH, Urteil vom 17.11.2020 - XI ZR 294/19, Rn. 25; BGH, Urteil vom 05.10.2004 - XI ZR 210/03).

a) Ein Schadensersatzanspruch der Beklagten gemäß § 675v Abs. 3 Nr. 2a BGB scheidet aus. Anhaltspunkte dafür, dass der Kläger seine personalisierten Sicherheitsmerkmale nach § 675l Abs. 1 BGB nicht vor dem Zugriff unbefugter Dritter geschützt hätte, sind weder dargetan noch sonst ersichtlich. Dem Kläger ist kein Zahlungsinstrument abhanden gekommen. Auch hat er seine personalisierten Sicherheitsmerkmale im Sinne von § 1 Abs. 25 ZAG nicht am Telefon oder auf andere Art und Weise an Dritte weitergegeben (so wohl OLG Frankfurt am Main, Urteil vom 06.12.2023 - 3 U 3/23; OLG Bremen, Beschluss vom 30.08.2024 - 1 U 32/24, Rn. 23).

b) Allerdings steht der Beklagten ein Schadensersatzanspruch gemäß § 675v Abs. 3 Nr. 2b BGB wegen eines grob fahrlässigen Verstoßes des Klägers gegen die vereinbarten Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments zu.

aa) Der Kläger hat objektiv gegen seine in § 675v Abs. 3 Nr. 2b BGB genannten Pflichten verstoßen, indem er entgegen Ziffer 7.3 der vertragsgegenständlichen Bedingungen für das Online-Banking die Einrichtung eines weiteren Zahlungsinstruments in seiner S-pushTAN-App bestätigt hat, obwohl er wegen der vorangegangenen Augenarztbehandlung nicht in der Lage war, die ihm in der App angezeigten Daten mit den für den vermeintlichen Auftrag vorgesehenen Daten zu vergleichen. Dies hat der Kläger im Rahmen seiner persönlichen Anhörung ausdrücklich eingeräumt. Bei dieser dem Zahlungsdienstnutzer auferlegten Kontrollpflicht handelt es sich um eine objektiv sachlich gerechtfertigte und zugleich verhältnismäßige Pflicht (vgl. OLG Dresden, Urteil vom 13.10.2023 - 8 U 760/22; OLG Bremen, Beschluss vom 30.08.2024 - 1 U 32/24, Rn. 23).

bb) Die vorgenannte Pflichtverletzung erfolgte auch grob fahrlässig.

Grobe Fahrlässigkeit erfordert einen in objektiver Hinsicht schweren und in subjektiver Hinsicht schlechthin unentschuldbaren Verstoß gegen die Anforderungen der konkret erforderlichen Sorgfalt. Sie liegt vor, wenn die verkehrsübliche Sorgfalt in besonders schwerem Maße verletzt wird, schon einfache ganz naheliegende Überlegungen nicht angestellt werden und das nicht beachtet wird, was im gegeben Fall jedem einleuchten musste (BGH, Urteil vom 23.09.2008 - XI ZR 253/07, Rn. 34). Anders als bei einfacher Fahrlässigkeit, die nach einem ausschließlich objektiven Pflichtenmaßstab beurteilt wird, sind bei grober Fahrlässigkeit auch subjektive, in der Individualität des jeweils Handelnden begründete Umstände zu berücksichtigen. Selbst ein objektiv grober Pflichtenverstoß rechtfertigt für sich noch keinen zwingenden Schluss auf ein entsprechend gesteigertes personales Verschulden, wobei sich der Zahlungsdienstleister bei beanstandungsfreier Nutzung eines Zahlungsauthentifizierungsinstruments weder in objektiver noch in subjektiver Hinsicht auf einen Anscheinsbeweis berufen kann (BGH, Urteil vom 26.01.2016 - XI ZR 91/14, Rn. 71 ff.).

Gemessen an diesen Maßstäben trifft den Kläger nicht nur aus objektiver Sicht, sondern auch subjektiv ein schlechthin unentschuldbares Versagen bei der Befolgung der ihm erkennbaren Vertragspflicht zum Datenabgleich vor der Auftragsfreigabe, wodurch ein zusätzliches Zahlungsinstrument in Form der Einrichtung der („Bank 01“)-Card auf einem weiteren Endgerät vereinbart wurde.

(1) Die „blinde“ Bestätigung eines Auftrags in der S-pushTAN-App ohne vorangegangene Kontrolle der dem Auftrag zu Grunde liegenden Daten stellt einen objektiv besonders schweren Verstoß des Klägers gegen die Anforderungen der konkret erforderlichen Sorgfalt dar. Denn in Authentifizierungsverfahren wie dem pushTAN-Verfahren wird ein Auftrag durch die Bestätigung unwiderruflich freigegeben. Die abschließende Kontrolle der Daten stellt als naheliegende Sicherheitsmaßnahme des Zahlungsdienstnutzers den zentralen Schutz vor einer Kompromittierung des Auftrags dar. Sind die Inhalte des Auftrags bereits vor der Freigabe durch den Kunden durch den Zugriff eines Dritten verfälscht worden, kann der Kunde dies bei einer sorgfältigen Prüfung der ihm übermittelten Daten erkennen und seinerseits den Auftrag abbrechen. Die abschließende Kontrolle der Auftragsdaten vor der endgültigen Freigabe gehört vor diesem Hintergrund zu den jedermann bekannten Grundpflichten im Zahlungsverkehr und die Missachtung der unter Ziffer 7.3 vereinbarten Kontrollpflicht stellt sich als Kardinalfehler dar, der die Schutzmechanismen und das grundsätzlich hohe Sicherheitsniveau des pushTAN-Verfahrens ins Leere laufen lässt und regelmäßig eine objektiv schwerwiegende Pflichtverletzung begründet (vgl. insoweit auch OLG Dresden, Urteil vom 13.10.2023 - 8 U 760/22, betreffend die Bestätigung eines Zahlungsauftrags im Chip-TAN-Verfahren).

Die vorstehenden Erwägungen gelten nicht nur für die Bestätigung eines Zahlungsauftrages in der S-pushTAN-App (dazu OLG Dresden, Urteil vom 06.04.2023 - 8 U 578/22; OLG Frankfurt am Main, Urteil vom 06.12.2023 - 3 U 3/23), sondern auch für die Bestätigung einer Vertragserweiterung in Form der Einrichtung eines weiteren Zahlungsinstruments. Sämtliche Freigaben in der S-pushTAN-App begründen im zwischen den Parteien bestehenden Vertragsverhältnis Pflichten. Die Einrichtung eines weiteren Zahlungsinstruments ist - vergleichbar mit einem Zahlungsauftrag - geeignet, dem Zahlungsdienstnutzer einen erheblichen Schaden zuzufügen.

(2) Die unterlassene Kontrolle der Auftragsdaten erweist sich im vorliegenden Einzelfall auch als subjektiv unentschuldbar.

Der Senat verkennt in diesem Zusammenhang nicht, dass der Kläger subjektiv davon ausging, den Anruf einer Mitarbeiterin der Beklagten erhalten zu haben und sich vor diesem Hintergrund keiner Gefahr ausgesetzt sah. Der entsprechend der vorangegangenen Ankündigung auf seiner S-pushTAN-App eingegangene Auftrag stammte aus Sicht des Klägers von der Beklagten. Der Anruf erfolgte zu üblichen Geschäftszeiten und die Anruferin sprach „hochdeutsch“. Zudem waren der Anruferin die persönlichen Daten des Klägers im Zeitpunkt des Anrufs bekannt. Der Kläger gab im Rahmen des Gesprächs ausdrücklich keine Sicherheitsinformationen preis.

Gleichwohl ist dem Kläger die im Anschluss an das Telefonat erfolgte Bestätigung des inhaltlich nicht zur Kenntnis genommenen Auftrags subjektiv vorzuwerfen. Er ist dem ihm zumutbaren Maß an Aufmerksamkeit und Gründlichkeit bei der Nutzung der S-pushTAN-App nicht gerecht geworden.

Der Kläger war nach dem Ergebnis seiner persönlichen Anhörung durch das Landgericht ein durchschnittlich erfahrener Teilnehmer am Online-Banking mit pushTAN-Verfahren. Ihm war bekannt, dass die Bestätigung eines Auftrags in der S-pushTAN-App dafür vorgesehen war, unmittelbare Wirkungen auf sein bei der Beklagten geführtes Konto herbeizuführen - sei es durch die Auslösung einer Überweisung oder in sonstiger Weise. Ihm war ebenfalls bekannt, dass die S-pushTAN-App der Bestätigung von ihm im Online-Banking initiierter Aufträge dient. Der Kläger war in der Lage, die Bedeutung der Datenkontrolle vor der abschließenden Freigabe eines Auftrags intellektuell zu erfassen und nach dieser Einsicht zu handeln. Es liegen keine Anhaltspunkte dafür vor, dass der Kläger nicht die notwendige Sensibilität für die bestehenden Sicherheitsaspekte beim Online-Banking gezeigt hätte. In der konkreten Situation war der Kläger aufgrund seiner Augenarztbehandlung nicht in der Lage, den Text des Auftrags in der S-pushTAN-App zu lesen und inhaltlich zu erfassen. Er befand sich nicht unter Zeitdruck und hätte den Auftrag mangels Dringlichkeit der aus seiner Sicht zu Grunde liegenden Angelegenheit „Datenabgleich“ ohne weiteres zu einem späteren Zeitpunkt bestätigen können. Eine besondere Dringlichkeit wurde auch nicht unter Vorspiegelung falscher Tatsachen durch die Anruferin erzeugt. Nachteilige Folgen eines zeitlichen Aufschubs der Freigabe sind insgesamt nicht ersichtlich. Zudem musste der unangekündigte Telefonanruf den Kläger zu besonderer Vorsicht mahnen und misstrauisch machen. Es ist allgemein bekannt, dass bei Telefonanrufen leicht über die Identität des Anrufenden getäuscht werden kann und sich Kriminelle diesen Umstand zu Nutze machen, um unter Vorspiegelung falscher Tatsachen den Angerufenen zu finanziellen Transaktionen oder diese vorbereitenden Maßnahmen zu veranlassen (vgl. OLG München, Beschluss vom 22.09.2022 - 19 U 2204/22, Rn. 99; OLG Frankfurt am Main, Urteil vom 06.12.2023 - 3 U 3/23, Rn. 93). Der Kläger hat im Rahmen seiner persönlichen Anhörung insoweit angegeben, noch nie von einer mit ihm in einer Vertragsbeziehung stehenden Bank im Zusammenhang mit dem Zahlungsverkehr telefonisch kontaktiert worden zu sein. Der Umstand, dass die Anruferin in der Lage war, einen Bezug zu den persönlichen Daten und dem bestehenden Girovertrag des Klägers herzustellen, führt nicht zu einem anderen Ergebnis. Diese Daten sind vielmehr für einen beliebigen Dritten bei einem unbefugten Zugriff auf das Online-Banking-System einsehbar und konnten daher kein Vertrauen in die Berechtigung der Anruferin begründen (vgl. OLG Bremen, Beschluss vom 15.04.2024 - 1 U 47/23, Rn. 26).

Unter zusammenfassender Würdigung der vorstehenden Umstände des Einzelfalls ist der Kläger subjektiv unentschuldbar „blind“ den Anweisungen einer unbekannten Anruferin gefolgt. Es ist ihm individuell vorzuwerfen, dass er eine aus seiner Sicht derart bedeutungsvolle Handlung wie die Auftragsfreigabe in der S-pushTAN-App trotz fehlender Kontrollmöglichkeit vorgenommen hat.

(3) Nachdem der Schwerpunkt des dem Kläger vorzuwerfenden Verhaltens in der Bestätigung des Auftrags ohne vorangegangene Kenntnisnahme dessen Inhalts liegt, kam es auf den konkreten Text der Bestätigung - „Bitte prüfen Sie Ihre Auftragsdaten“, „Registrierung Karte“ und „Auftrag freigeben“ - nicht maßgebend an. Zwar ist dem Landgericht insoweit zuzustimmen, als der in der S-PushTAN-App angezeigte Bestätigungstext der Tragweite der durch die Freigabe hervorgerufenen Wirkungen in Form einer Vertragserweiterung nicht hinreichend gerecht wird. Indes hat der Kläger vorliegend die Auftragsdaten überhaupt nicht zur Kenntnis genommen. Etwaige Fehlvorstellungen betreffend die durch die Freigabe eintretenden Wirkungen konnten vor diesem Hintergrund nicht entstehen.

cc) Da die streitgegenständlichen Zahlungsvorgänge durch die Freigabe der pushTAN in der S-pushTAN-App und die dadurch erfolgte Vertragserweiterung in Form der Einrichtung eines weiteren mobilen Endgeräts erst möglich gemacht wurden, bestehen an der - jedenfalls kumulativen - Kausalität der klägerischen Pflichtverletzung für die Herbeiführung des Schadens keine Bedenken. Weder die Handlung der unbekannten Dritten in Bezug auf die Initiierung des Auftrags noch die Bestätigung des Auftrags durch den Kläger können hinweggedacht werden, ohne dass der konkrete Erfolg entfiele (vgl. OLG Frankfurt am Main, Urteil vom 06.12.2023 - 3 U 3/23).

c) Angesichts des grob fahrlässigen Verstoßes des Klägers gegen Ziffer 7.3 der vereinbarten Bedingungen für das Online-Banking kommt es nicht mehr darauf an, ob dem Kläger noch weitere grob fahrlässige Pflichtverletzungen im Sinne von § 675v Abs. 3 Nr. 2b BGB vorzuwerfen sind.

3. Der danach dem Grunde nach bestehende gegenläufige Schadensersatzanspruch der Beklagten gegen den Kläger ist nicht ausgeschlossen oder anderweitig beschränkt bzw. geschmälert.

a) Ein Ausschluss nach § 675v Abs. 5 BGB ist nicht ersichtlich. Ausweislich der beklagtenseits vorgelegten detaillierten Transaktionslisten ist der letzte streitgegenständliche Zahlungsvorgang am 01.10.2022 (18.07 Uhr) und damit vor der Kontosperrung durch den Kläger am 02.10.2022 erfolgt. Die mit dem Blick auf das Wochenende (01./02.10.2022) und den sich daran anschließenden Feiertag (03.10.2022) erst am 04.10.2022 erfolgte Wertstellung auf dem Konto des Klägers steht dem nicht entgegen.

b) Ebenso wenig ist der Schadensersatzanspruch der Beklagten nach § 675v Abs. 4 S. 1 Nr. 1 BGB ausgeschlossen.

Die Beklagte als Zahlungsdienstleister hat für die Einrichtung eines weiteren mobilen Endgeräts durch den Zahlungsdienstnutzer die nach § 55 Abs. 1 S. 1 Nr. 3 ZAG erforderliche starke Kundenauthentifizierung im Sinne von § 1 Abs. 24 ZAG verlangt.

aa) Nachdem der Schadensersatzanspruch des Zahlungsdienstleisters („irgend-“)eine vorsätzliche oder grob fahrlässige Pflichtverletzung des Zahlers voraussetzt, ist im Zusammenhang mit dem korrespondierenden Ausschlusstatbestand nicht notwendigerweise auf den konkreten Zahlungsvorgang abzustellen. Vielmehr kommt es entscheidend darauf an, wann der Zahlungsdienstleister zur Vermeidung von Missbrauch des Zahlungsdienstes gehalten ist, eine starke Kundenauthentifizierung zu verlangen. Dies ergibt sich aus § 55 Abs. 1 S. 1 ZAG in Verbindung mit den technischen Regulierungsstandards für eine starke Kundenauthentifizierung durch die Delegierte Verordnung (EU) 2018/389 (im Folgenden: RTS), die seit dem 14.09.2019 unmittelbar geltendes Recht ist. Danach ist neben der Möglichkeit der Geheimhaltung erforderlich, dass sich die Authentifizierung aus mindestens zwei Elementen der Kategorien Wissen, Besitz und Inhärenz zusammensetzt, die voneinander unabhängig sind, sodass ein kompromittiertes Element nicht auch ein anderes kompromittiert bzw. die Überwindung des einen Elements einen gänzlich anderen Aufwand erfordert als die des anderen Elements (Hofmann in: BeckOGK, BGB, Stand: 01.09.2022, § 675v Rn. 99). Dass diese Vorgaben dem Aufsichtsrecht entspringen, steht einem Rückgriff im Rahmen des Ausschlusstatbestands des § 675v Abs. 4 S. 1 Nr. 1 BGB nicht entgegen. Jedenfalls unter Berücksichtigung der zwischen den Parteien wirkenden Treuepflichten kann der Kunde erwarten, dass der Zahlungsdienstleister seine aufsichtsrechtlichen Pflichten erfüllt. Vor diesem Hintergrund ist die zivilrechtliche Haftungsbefreiung nach § 675v Abs. 4 BGB akzessorisch zum Aufsichtsrecht auszulegen (OLG Naumburg, Urteil vom 22.05.2024 - 5 U 11/24, Rn. 60; OLG Frankfurt am Main, Urteil vom 06.12.2023 - 3 U 3/23).

bb) Gemessen an diesen Grundsätzen kommt ein Ausschluss des Schadensersatzanspruchs der Beklagten nicht in Betracht. Zwar erfasst der Auffangtatbestand des § 55 Abs. 1 S. 1 Nr. 3 ZAG die Handlungen des Zahlers, die nicht unter § 55 Abs. 1 S. 1 Nr. 1 oder 2 ZAG fallen, jedoch ein vergleichbares Betrugs- oder Missbrauchsrisiko aufweisen, wozu auch die Vereinbarung eines zusätzlichen Zahlungsinstruments über einen Fernzugang gehört. Indes hat die Beklagte für die Einrichtung eines weiteren mobilen Endgeräts im Zusammenhang mit der Nutzung der („Bank 01“)-Card eine starke Kundenauthentifizierung bestehend aus Wissenselement (Zugang zum Online-Banking) und Besitzelement (Bestätigung durch S-pushTAN-App) vorgesehen. Dies entspricht den aufsichtsrechtlichen Vorgaben und ist auch nicht aus anderen Gründen zu beanstanden.

c) Der Kläger kann der beklagten („Bank 01“) nach allgemeinen Regeln auch keinen Mitverschuldenseinwand nach § 254 BGB entgegenhalten. Zwar kann beim Online-Banking ein Mitverschulden der Bank aus einer mangelnden Systemsicherheit resultieren. Denn die Bank muss ein technisch sicheres System nach dem jeweils aktuellen Stand der Technik bereitstellen (OLG München, Beschluss vom 22.09.2022 - 19 U 2204/22, Rn. 125; OLG Frankfurt, Urteil vom 06.12.2023 - 3 U 3/23, Rn. 109). Hinreichende Anhaltspunkte für die Verwendung eines technisch nicht ausreichend sicheren oder veralteten Systems hat der Kläger indes nicht dargetan.

Insbesondere kann der Beklagten unter dem Gesichtspunkt eines Mitverschuldens nicht zur Last gelegt werden, dass sie beim einfachen Zugang zum Online-Konto keine starke Kundenauthentifizierung verlangt hat. Auch wenn sich nicht ausschließen lässt, dass ein Missbrauch der streitgegenständlichen Art möglicherweise – zu der Frage, auf welche Weise sich die unbekannten Dritten den Zugang zum Online-Konto des Klägers verschafft haben, stützen sich beide Parteien im konkreten Fall lediglich auf unterschiedliche Vermutungen – hätte verhindert oder zumindest erschwert werden können, so ist doch zu berücksichtigen, dass die Beklagte nach den einschlägigen rechtlichen Regelungen nicht verpflichtet war, bereits den Zugang zum Online-Konto als solchen von einer starken Kundenauthentifizierung abhängig zu machen. Mit Blick auf die bestehende Akzessorietät zum Aufsichtsrecht ist insoweit nicht nur auf die Voraussetzungen des § 55 Abs. 1 Nr. 1 ZAG abzustellen, sondern auch auf die dazu in Art. 10 RTS vorgesehenen Ausnahmen. Keiner starken Kundenauthentifizierung bedarf es danach – abgesehen von dem Online-Erstzugriff bei einer erstmaligen Freischaltung des Onlinezugangs –, sofern lediglich der Kontostand und/oder Transaktionen für einen nicht mehr als 90 Tage zurückliegenden Zeitraum abgerufen werden (Olmor in: Schäfer/Olmor/Minberg, ZAG, 1. Aufl. 2022, § 55 Rn. 28). Dafür, dass diese Möglichkeit des Absehens von einer starken Kundenauthentifizierung nur für Konten gelten soll, für die nach den insoweit getroffenen Vereinbarungen ein Online-Banking von vornherein auf eine bloße Einsichtsmöglichkeit beschränkt ist, wie der Kläger im Senatstermin am 18.12.2024 gemeint hat, ist – jedenfalls auf der Grundlage der hier anwendbaren Regelungen des ZAG und der RTS in der bis zum 24.07.2023 geltenden Fassung – kein Anhaltspunkt ersichtlich. Räumt danach aber der Gesetzgeber selbst (einheitlich für die gesamte EU) dem Zahlungsdienstleister zur Erleichterung für die Anwendungspraxis die Möglichkeit ein, sein Sicherheitssystem in der Weise zu gestalten, dass eine starke Kundenauthentifizierung für den Zugang zum Online-Konto als solchen nicht erforderlich ist, so stünde es dazu im Widerspruch, wollte man ihm allein deshalb, weil er von dieser Möglichkeit Gebrauch macht, im Schadensfall – selbst bei grob fahrlässiger Schadensverursachung durch den Zahlungsdienstnutzer – ein Mitverschulden anlasten.

d) Anderweitige Ausschlussgründe für den dem Kläger entgegenzuhaltenden Schadensersatzanspruch der Beklagten sind nicht ersichtlich.

4. Da dem Kläger mit Blick auf das Bestehen dieses Schadensersatzanspruchs nach § 675v Abs. 3 Nr. 2b BGB kein Anspruch auf Wiedergutschrift der Abbuchungen zusteht, hat er auch keinen durchsetzbaren Anspruch auf die geltend gemachten Zinsen sowie die außergerichtlichen Rechtsanwaltskosten.

5. Mit Blick auf das zwischenzeitliche Versterben des Klägers war das Rubrum - nach Anhörung der Parteien in der mündlichen Verhandlung - auf die noch nicht abschließend feststehenden Erben des Klägers abzuändern.

III.

Die Kostenentscheidung beruht auf § 91 Abs. 1 S. 1 ZPO. Die Entscheidung zur vorläufigen Vollstreckbarkeit hat ihre Grundlage in §§ 708 Nr. 10, 711 S. 1, 713 ZPO.

Gründe für die Zulassung der Revision sind nicht ersichtlich, § 543 Abs. 2 S. 1 ZPO. Die Entscheidung beruht auf einer Bewertung und Würdigung von Einzelumständen.

Die Streitwertfestsetzung für das Berufungsverfahren erfolgt nach Maßgabe von § 3 ZPO i.V.m. § 47 Abs. 1 S. 1 GKG.