Keine starke Kundenauthentifizierung durch pushTAN-Verfahren

13. August 2025
Click to rate this post!
[Total: 0 Average: 0]
3097 mal gelesen
0 Shares
Person benutzt Online-Banking App am Handy Urteil des OLG Dresden vom 05.06.2025, Az.: 8 U 1482/24

Ein Mann wurde Opfer eines Phishing-Angriffs und gab auf telefonische Aufforderungen verschieden Aufträge in der S-pushTAN App frei. Dabei verletzte er nach dem OLG Dresden zwar grob fahrlässig seine Sorgfaltspflichten aus § 675l Abs. 1 S. 1 BGB und den AGB der Sparkasse, da ihn der Ablauf insbesondere mit der Medienpräsenz von Phishing argwöhnisch machen hätte müssen, aber der Sparkasse kann doch ein Mitverschulden zu Lasten gelegt werden. So muss sie sich ein Mitverschulden von 20 Prozent anrechnen lassen, da das Verfahren gegen aufsichtsrechtliche Vorschriften verstößt. Laut Gericht lassen sich mit dem Zugang zum Online-Banking „sensible Zahlungsdaten“ einsehen, die für den Angriff benötigt wurden und nicht durch eine „starke Kundenauthentifizierung“ gemäß ZAG geschützt seien.

Oberlandesgericht Dresden

Urteil vom 05.06.2025

Az.: 8 U 1482/24

 

Leitsätze

Zur Frage der Autorisierung von Zahlungsvorgängen und einer Limiterhöhung durch mehrfache Freigaben im pushTAN-Verfahren durch den Zahler in der Annahme, diese pushTAN-Bestätigungen seien technisch für notwendige Anpassungen zur Aktualisierung des Online-Banking-Systems erforderlich.

Zur Frage eines Ausschlusses des Schadensersatzanspruchs des Zahlungsdienstleisters nach § 675v Abs. 4 Satz 1 Nr. 1 BGB wegen Nichtverlangens einer starken Kundenauthentifizierung beim Login in das Online-Banking, obwohl dies das Aufsichtsrecht grundsätzlich gebietet (§ 55 Abs. 1 Satz 1 Nr. 1 ZAG).

Zu den Anforderungen an einen Schadensersatzanspruch des Zahlungsdienstleisters gemäß § 675v Abs. 3 Nr. 2 lit. a) und lit b) BGB wegen grob fahrlässiger Pflichtverletzung des Zahlers.

Zur Frage eines Mitverschuldens des Zahlungsdienstleisters im Zusammenhang mit der Ausgestaltung des Logins in das Online-Banking.

 

Tenor

I. Auf die Berufung des Klägers wird das Urteil des Landgerichts Chemnitz vom 24.10.2024 (6 O 544/22) im Kostenpunkt aufgehoben und insgesamt wie folgt neu gefasst:

Die Beklagte wird verurteilt, dem bei der Beklagten geführten Girokonto des Klägers mit der Kontonummer 00000000097, IBAN: DE00 0000 0000 0000 0000 97, einen Betrag in Höhe von 9.884,29 Euro nebst Zinsen in Höhe von fünf Prozentpunkten über dem jeweiligen Basiszinssatz seit dem 11.03.2022 wieder gutzuschreiben.
Die Beklagte wird verurteilt, an den Kläger vorgerichtliche Rechtsanwaltskosten in Höhe von 1.119,79 Euro nebst Zinsen in Höhe von fünf Prozentpunkten über dem jeweiligen Basiszinssatz seit dem 22.03.2021 zu zahlen.
Im Übrigen wird die Klage abgewiesen.

II. Die weitergehende Berufung des Klägers wird zurückgewiesen.

III. Von den Kosten des Rechtsstreits haben der Kläger 4/5 und die Beklagte 1/5 zu tragen.

Dieses Urteil ist ohne Sicherheitsleistung vorläufig vollstreckbar. Der jeweilige Vollstreckungsschuldner kann die Zwangsvollstreckung durch Sicherheitsleistung in Höhe von 110 % des aufgrund des Urteils vollstreckbaren Betrages abwenden, wenn nicht der jeweilige Vollstreckungsgläubiger vor der Zwangsvollstreckung Sicherheit in Höhe von 110 % des jeweils zu vollstreckenden Betrages leistet.
Die Revision wird nicht zugelassen.

Gründe

A.

Der Kläger begehrt von der beklagten Sparkasse die Wiedergutschrift eines Geldbetrages in Höhe von 49.421,44 Euro nebst Verzugszinsen, mit welchem sein bei der Beklagten geführtes Girokonto (IBAN DE00 0000 0000 0000 0000 97) aufgrund zweier Überweisungen (24.422,44 Euro + 24.999 Euro) vom 23.02. und 24.02.2022 auf das Konto einer ihm unbekannten Dritten belastet wurde. Darüber hinaus beansprucht er die Erstattung vorgerichtlicher Anwaltskosten nebst Zinsen.

Der Kläger führt das vorgenannte Privatgirokonto bei der Beklagten und nutzte hierfür das Online-Banking (seit dem 07.08.2008 – vgl. Anlage B 11) und auch das App-basiert mittels eines mobilen Endgeräts (beispielsweise Smartphone, Tablet, aber auch fest installierter PC) nutzbare S-pushTAN-Verfahren. Das Smartphone des Klägers (Typ: Huawei Mate20 lite, Betriebssystem: EMUI/Android), welches im System der Beklagten unter der Bezeichnung „Handy J…“ hinterlegt war, wurde am 29.06.2020 nach dem Durchlaufen eines Registrierungsprozesses für die Nutzung im Online-Banking mit dem S-pushTAN-Verfahren freigeschaltet. Bei dem Verfahren „S-pushTAN 2.0“, das die Beklagte seit dem 20.06.2021 nach der Bereitstellung eines Software-Updates (Version 3.2) zur verpflichtenden Nutzung vorhält, wird die für die Durchführung der Online-Überweisung benötigte TAN in einem anderen Programm (zertifikatgeschützte App, sog. TAN-App) generiert als demjenigen, das den Bankzugang vermittelt (sog. Banking-App oder browsergestütztes Online-Banking über die Website der Beklagten). Das Endgerät, auf dem die TAN-App installiert ist, und das Endgerät, mit dem das Online-Banking im Browser oder in der App betrieben wird, kann dasselbe sein. Die TAN-App kann der Nutzer nur mit einem von ihm vergebenen Passwort (alternativ per Touch-ID oder Face-ID) aktivieren. Das Login in das Online-Banking erfolgt unabhängig vom Zugriff über den Browser oder die Banking-App unterschiedslos durch die Eingabe des Anmeldenamens, der Kontonummer und einer statischen PIN. Mithilfe des S-pushTAN-Verfahrens wird die für eine zuvor im Online-Banking angelegte Überweisung benötigte, zweckgebundene („dynamisch verknüpfte“) TAN generiert. Hierzu wird zunächst eine Push-Mitteilung auf das gekoppelte Endgerät gesandt und nach der Anmeldung in der S-pushTAN-App der konkrete Auftrag (Art/Höhe der Zahlung, IBAN des Empfängers) angezeigt. Er ist dann vom Kunden zu kontrollieren und mit dem Button „Auftrag freigeben“ in der TAN-App freizugeben oder abzulehnen. Die erteilte Freigabe überträgt sich automatisiert ins Online-Banking, anders als dies in der vorherigen S-pushTAN-App-Version der Fall war, wo noch numerische TANs generiert wurden, die der Kunde manuell im Online-Banking zum Zwecke der Freigabe des jeweiligen Auftrags eingeben musste. Bei der Änderung des Tageslimits für Überweisungen im Online-Banking und zur Änderung des Anmeldenamens für das Online-Banking handelt es sich ebenfalls um TAN-gestützte Geschäftsvorfälle. Für die bloße Ansicht des aktuell gültigen Online-Banking-Limits eines Teilnehmers wird nach dem Login ins Online-Banking hingegen eine Sicherheitsabfrage gestellt, die die Eingabe des Geburtsdatums und der Sparkassen-Kartennummer des Kunden erfordert. Hinsichtlich der konkret verwendeten IT-Sicherungsmechanismen zur Absicherung dieser Vorgänge, insbesondere der Abschirmung der Kommunikation zwischen dem Endgerät des Kunden und der Clearingstelle der Bank bzw. deren Server, wird auf die Ausführungen der Beklagten im Schriftsatz vom 10.03.2023 (eA I 288 ff.) verwiesen.

Der Kläger erhielt am 20.02.2022 eine E-Mail (eA I 16), die als Absender „Sparkasse Kundenservice“ auswies und in der dem Kläger mitgeteilt wurde, dass das Online-Banking zum 01.03.2022 aktualisiert werde und dadurch entsprechende Anpassungen vorgenommen werden müssten. Über eine im Text der E-Mail angezeigte Schaltfläche wurde der Kläger auf eine Internetseite weitergeleitet, die für ihn nicht von der Webpräsenz der Beklagten zu unterscheiden war, was die Beklagte in Abrede stellt, und hat daraufhin, um sich im Online-Banking einzuloggen, seine regulären hierfür notwendigen Zugangsdaten eingegeben. Ihm wurde dann angezeigt, dass sich ein Service-Mitarbeiter von der technischen Abteilung der Beklagten mit ihm telefonisch in Verbindung setzen werde.

Am 20.02.2022 erfolgte das erste Login des vermeintlichen Täters in das Online-Banking des Klägers. Es wurde nach Legitimation mittels Kartennummer und dem Geburtsdatum des Klägers das verfügbare Online-Banking-Limit abgefragt. Am 22.02.2022 wiederholte sich dieser Vorgang. Auch am 23.02.2022 um 16:40:59 Uhr wurde auf diese Weise das Online-Banking-Limit des Klägers gesichtet. In etwa zeitgleich um 16:40 Uhr erhielt der Kläger einen Anruf, der scheinbar von der dem Kläger bekannten Service-Rufnummer der Sparkasse C… (Absenderrufnummer +49 000 000004) ausging (Anrufübersicht des Smartphones des Klägers; eA I 17, 84) und ausweislich des Anrufprotokolls des Smartphones des Klägers 4 Minuten und 56 Sekunden dauerte. Die Anruferin stellte sich als Frau S… von der Sparkasse C… vor. Um die bereits vorangekündigte technische Neuinstallation des Online-Bankings zu veranlassen, bat sie den Kläger darum, über die S-pushTAN zum Neuinstallationsabschluss den Bestätigungs-Icon zu betätigen, den sie gerade ausgelöst habe, um einen Test zu starten. Dem kam der Kläger nach. Um 16:42:05 Uhr wurde zunächst das Tageslimit für Überweisungen von 1.000 Euro auf 24.444 Euro für den 23.02.2022 erhöht. Am 23.02.2022 um 16:42:27 Uhr kam es sodann zu einer Zahlungsanweisung vom Tagesgeldkonto des Klägers auf sein Girokonto in Höhe von 33.333 Euro, welche taggleich wertgestellt wurde. Für diese Transaktion wurde, da es sich um eine Umbuchung zwischen zwei eigenen Konten handelt, keine TAN-Bestätigung von der Beklagten verlangt. Zudem wurde eine Zahlungsanweisung in Höhe von 24.422,44 Euro als sog. Echtzeitüberweisung an ein dem Kläger unbekanntes Postbankkonto mit der Empfängerangabe „J… H…“ ausgelöst (16:43:00 Uhr). Um 16:43:19 Uhr erfolgte die Änderung des Anmeldenamens des Klägers für den Zugang ins Online-Banking, wozu es einer Freigabe in der S-pushTAN-App bedurfte, sodass diesem in der Folge ein Login mit seinen bekannten Daten nicht mehr möglich war. Am 24.02.2024 um 9:07 Uhr erhielt der Kläger – wie angekündigt – einen weiteren Anruf der vermeintlichen Frau S…, die ihn zur zweimaligen Bestätigung von Aufträgen in der S-pushTAN-App aufforderte, was der Kläger tat. Am 24.02.2022 wurde um 09:06:02 Uhr im Online-Banking-Account des Klägers das verfügbare Tageslimit angesehen und wiederum eine temporäre Erhöhung des Überweisungslimits auf 24.999 Euro veranlasst (09:10:58 Uhr). Um 09:11:17 Uhr erfolgte eine Umbuchung von 21.111 Euro vom Tagesgeld- auf das Girokonto des Klägers. Um 09:12:08 Uhr wurde eine weitere Echtzeitüberweisung an das Postbankkonto der J… H… in Höhe von 24.999 Euro ausgelöst. Bis zum 09.03.2022 erfolgten keinerlei weitere Zugriffe auf das Online-Banking des Klägers. An diesem Tag wandte er sich an den Kundenservice der Beklagten, da er sich nicht mehr einloggen konnte und wurde in diesem Rahmen über die Unregelmäßigkeiten informiert. Der Versuch einer Rückbuchung der beiden Echtzeit-Überweisungen scheiterte. Der Kläger stellte am 09.03.2022 Strafantrag aus allen in Betracht kommenden Straftatbeständen.

Die Beklagte hat sich dem Online-Banking-System des Sparkassenverbandes extern angeschlossen; d.h. die Beklagte arbeitet mit einer Clearing-Stelle und einem externen Softwareanbieter zusammen, der das Online-Banking-System einheitlich für alle Sparkassen in Deutschland entwickelt hat. Sie wirbt auf ihrer Internetpräsenz mit der Marke „TÜV geprüfter Datenschutz und Datensicherheit“ für die Sicherheit des von ihr angebotenen Online-Banking-Systems und gibt an, dass dem S-pushTAN-Verfahren zudem eine „wirksame Absicherung der von außen zugänglichen technischen Systeme gegen unbefugte Benutzung“ zugrunde liege.

Der Kläger trägt zu den näheren Umständen der Vorgänge am 23.02. und 24.02.2022 vor, dass – wie ihm telefonisch angekündigt worden war – in der S-pushTAN-App tatsächlich ein offener „Auftrag“ ohne weitere Angaben oder irgendeine Bezeichnung hinterlegt gewesen sei, den er lediglich freigegeben habe. Insbesondere seien vor den Bestätigungs-Icons keinerlei konkrete Angaben (beispielsweise ein Zahlungsempfänger, ein Geldbetrag oder gar eine IBAN) angezeigt worden. Es sei keinerlei TAN, wie bei einer Freigabe mittels der S-pushTAN-App sonst üblich, generiert worden. Auch am 24.02.2022 als der Kläger gegen 09.07 Uhr erneut von derselben Person angerufen worden sei, nachdem über Nacht das neue Online-Banking aufgespielt worden sein sollte, sei er gebeten worden noch zweimal den Bestätigungs-Icon zu betätigen, um die Installation nunmehr abzuschließen. Es seien erneut keine konkreten Angaben (beispielsweise Empfänger oder Betrag) angezeigt worden. Die Eingabe einer TAN sei erneut nicht erforderlich gewesen. Der Kläger habe keine Überweisungen eingegeben oder ausgelöst und auch keine TANs für Überweisungsvorgänge abgefordert oder Zahlungen mit solchen autorisiert. Er wisse auch nicht, ob und wie etwaige Dritte das Tageslimit für Überweisungen am 23.02. und 24.02.2022 erhöhen konnten. Er habe keine Wahrnehmungen dazu, ob es einen Zusammenhang zwischen den Anrufen und den damit einhergehenden Auftragsbestätigungen sowie den streitigen Zahlungsanweisungen gebe. Seine Anmeldedaten für das Online-Banking habe der Kläger selbst zu keiner Zeit geändert. Er sei im Zeitpunkt der jeweiligen Überweisungen nicht im zugangsgesicherten Online-Banking eingeloggt gewesen, was die Beklagte anhand der IP-Adresse, die nicht der üblichen IP-Adresse des Klägers entsprochen habe, auch nach ihrem eigenen Vorbringen erkannt habe. Es sei vielmehr so, dass die IP-Adressen, welche die Beklagte den Ermittlungsbehörden als diejenigen mitgeteilt habe, von denen ausgehend die verfahrensgegenständlichen Echtzeitüberweisungen ausgelöst worden seien, keinerlei Rückschluss auf den Kläger zuließen. Dessen Provider sei die D… Online GmbH, wohingegen die fraglichen IP-Adressen zum einen auf die Vodafone GmbH und zum anderen die Leaseweb Deutschland GmbH zurückzuführen seien.

Der Kläger habe der Beklagten nach Bekanntwerden der Unregelmäßigkeiten am 09.03.2022 umgehend die Nichtautorisierung dieser Kontobewegungen mitgeteilt und sofort die Sperrung seines Onlinezugangs beauftragt und eine Schadensmeldung aufgegeben.

Etwaige Überblendungen der Visualisierungstexte in der S-pushTAN-App könnten durch die ihm unerkannt gebliebene Manipulation seines Smartphones durch Schadsoftware herbeigeführt worden sein. Zur Tathandlung gehöre vorliegend der detaillierte Zugriff auf das Online-Banking unter Ausnutzung von Insiderinformationen, welche sich die Täter offenbar auch zur Person des Klägers verschafft hätten.

Der Kläger behauptet, er habe darauf vertraut, dass es sich bei dem von ihm genutzten S-pushTAN-Verfahren um ein sicheres Verfahren handele, wie es von der Beklagten unter Bezugnahme auf Zertifikate der TÜV Rheinland AG auch öffentlich beworben worden sei. Tatsächlich habe die TÜV Rheinland AG indes über keinerlei Akkreditierungen i.S.v. Art. 43 DSGVO im Bereich des verbraucherschützenden Datenschutzes und der Datensicherheit nach BDSG/DSGVO verfügt und damit die von der Beklagten verwendeten Zertifikate unrechtmäßig ausgestellt. Hätte der Kläger, dem die Datensicherheit sehr wichtig gewesen sei, hiervon Kenntnis gehabt, hätte er sich für ein Chip-basiertes Online-Banking-Verfahren entschieden.

Es bestehe die begründete Vermutung, dass die Beklagte Opfer einer Datenmanipulation geworden sei und sich unbekannte Täter in Echtzeit als autorisierte Kontoinhaber gegenüber der Beklagten ausgaben, sich zwischen die Verbindung zum Server der Clearingstelle der Beklagten schalteten (sog. „Man-in-the-Middle-Angriff“) und so das Online-Banking der Beklagten massiv manipuliert hätten. Zudem sei der Beklagten als IT-Produktverantwortlicher des hier angebotenen Online-Bankings, eine ganze Serie an Fehlern unterlaufen, die die Tat nicht bloß begünstigt, sondern überhaupt erst kausal ermöglicht hätte. So sei bereits der Zugang zum Online-Banking bei der Beklagten nur unzureichend geschützt worden, da zum Login nur ein statischer Anmeldename und eine statische kurze PIN benötigt werde. Die gesonderte Eingabe einer TAN als zweites und unabhängiges Autorisierungselement sei jedenfalls für das Login zum Online-Banking-Profil im Tatzeitpunkt nicht erforderlich gewesen, worin ein Verstoß gegen §§ 1 Abs. 24, 55 Abs. 1 Nr. 1 Zahlungsdiensteaufsichtsgesetzes (ZAG) mit der Folge des § 675v Abs. 4 BGB liege. Das Fehlen einer gesetzlich vorgeschriebenen „starken Kundenauthentifizierung“ auch beim Login zum Online-Banking habe hier erkennbar dazu beigetragen, dass die Täter durch eine Spear-Phishing-Mail, eine gefälschte Webseite und das Mitlesen der PIN überhaupt Zugriff auf das Online-Banking erhalten hätten. Dort seien – wiederum ohne eine starke Kundenauthentifizierung abzuverlangen – sensible Zahlungsdaten i.S.v. § 1 Abs. 26 ZAG abrufbar gewesen (Verfügungsrahmen, Tageslimit, IBANs der verschiedenen Kontonummern des Klägers, Kontostand und Buchungen im Soll und Haben, Geburtsdatum und Handynummer des Klägers etc.). Erst nach dem streitgegenständlichen Vorfall habe die Beklagte beispielsweise die Anzeige der Sparkassen-Kartennummer auf die letzten vier Ziffern beschränkt.

Hinzu komme, dass das angebotene S-pushTAN-Verfahren generell nur als zweitklassiges „Ein-Wege-TAN-Verfahren“ gelte, dessen technische Unzulänglichkeiten und Unsicherheit schon mehrfach, jedenfalls ab dem Jahr 2015 Gegenstand von kritischen Fach- und Presseberichten gewesen sei (eA I 28, 157 – BaFin Journal aus 2015). Der Beklagten liege zudem der sparkassenseitig (Deutscher Sparkassen- und Giroverband e. V.) in Auftrag gegebene „Security-Review der Sparkassen pushTAN-App“ vom 24.09.2021 vor, aus dem sich ergebe, dass es sich hierbei gerade nicht um ein technisch unüberwindbares System handele (Volltext: Anlagenheft Kläger; Anlage zum Schriftsatz vom 18.08.2023).

Sicherheitshinweise habe die Beklagte dem Kläger nie übermittelt oder hervorgehoben zugänglich gemacht. Tatsächlich seien die Sicherheitshinweise auf der Internetpräsenz der Beklagten innerhalb der Rubrik „Service“ versteckt, d.h. selbst dort nicht ohne Weiteres auffindbar.

Der Kläger meint, dass ihm ein Anspruch aus § 675u Satz 2 BGB gegen die beklagte Zahlungsdienstleisterin zustehe, da er die streitgegenständlichen Zahlungen nicht autorisiert habe. Es fehle an seiner wirksamen Zustimmung (§ 675j BGB). Nach § 675w BGB habe die Bank die Behauptung einer Autorisierung durch den Kläger zu beweisen.

Dem Kläger könne kein grob fahrlässiges Verhalten i.S.v. § 675v Abs. 3 Nr. 2 BGB, wofür es auch keinen Anscheinsbeweis gebe, vorgeworfen werden. Er habe die Bedingungen für die Nutzung des Zahlungsinstruments eingehalten und niemandem wissentlich seine Zugangsdaten verraten. E-Mails habe er von der Beklagten bereits in der Vergangenheit erhalten. Diese hätten im Impressum stets einen Link auf die Internetseite der Beklagten enthalten, von wo aus der Kläger sich in das Online-Banking habe einloggen können. Seine Hardware (Laptop, Smartphone) habe er nur über übliche Betriebssysteme genutzt und alle Sicherheitspatches aktuell gehalten; gleiches gelte für S-pushTAN-App. Zu einem Sicherheitsupdate derselben sei er nie aufgefordert worden.

Schließlich werde § 675v Abs. 3 BGB vorliegend ohnehin durch § 675v Abs. 4 Nr. 1 BGB gesetzlich ausgeschlossen, da die Beklagte für den Zugriff auf das Online-Banking-System gerade keine „starke Kundenauthentifizierung“ i.S.v. §§ 1 Abs. 24, 55 Abs. 1 Nr. 1 ZAG verlangt habe. § 1 Abs. 24 ZAG regele, dass hierfür mindestens zwei voneinander unabhängige Elemente zur Authentifizierung abgefragt werden müssten, wohingegen das Login ins Online-Banking der Beklagten nur durch die Eingabe eines Benutzernamens und einer statischen PIN auf einer einzigen Website bzw. in einer einzigen App erfordere. Die Beklagte könne sich insoweit auch nicht auf die Ausnahmeregelung in § 55 Abs. 5 ZAG i.V.m. Art. 98 der Richtlinie (EU) 2015/2366 i.V.m. Art. 10 Abs. 1 der Delegierten Verordnung (EU) 2018/389 berufen, da diese nur greife, wenn im Online-Banking-System keine „sensiblen Zahlungsdaten“ nach § 1 Abs. 26 ZAG einsehbar wären, was indes nicht der Fall gewesen sei. Auch durch die Ermöglichung einer Transaktion vom Tagesgeld- auf das Girokonto des Klägers ohne Abfrage einer starken Kundenauthentifizierung verstoße die Beklagte gegen § 55 Abs. 1 Nr. 2 ZAG. Zudem sei der Anwendungsbereich des § 675v Abs. 4 BGB bezüglich der Zahlungsvorgänge auch deshalb eröffnet, weil in der S-pushTAN-App unstreitig nie der Name des Zahlungsempfängers, sondern nur dessen IBAN angezeigt werde, was einen Verstoß gegen Art. 5 Abs. 1 lit. a) der Delegierten Verordnung (EU) 2018/389 zur Ergänzung der Richtlinie (EU) 2015/2366 darstelle. Vor der Ausführung der zu autorisierenden Zahlung müsse der Zahlungsdienstleister den Zahler durch die Erfüllung seiner gesetzlich festgeschriebenen Anzeigepflichten im Rahmen der „dynamischen Verknüpfung“ i.S.v. Art. 5 Abs. 1 der Delegierten Verordnung (EU) 2018/389 in die Lage versetzen, die Zahlungsanweisung zu prüfen. Hierzu müsse der Zahlungsempfänger, d.h. „eine natürliche oder juristische Person, die den Geldbetrag, der Gegenstand eines Zahlungsvorgangs ist, als Empfänger erhalten soll“, angezeigt werden.

Jedenfalls fehle es für einen Anspruch der Beklagten aus § 675v Abs. 3 Nr. 2 BGB auch an der notwendigen Kausalität für den entstandenen Schaden. Es habe ein standardisiertes Tageslimit von 1.000 Euro pro Tag gegeben, bei dem es sich um eine echte Limitierung des Verfügungsrahmens unabhängig vom Kontostand gehandelt habe, an welches sich die Beklagte, welche Verfügungen in Höhe von insgesamt 49.421,44 Euro an zwei aufeinander folgenden Tagen ausgeführt habe, nicht gehalten habe. Der Beklagten hätte die Pflicht oblegen, ein System anzubieten, mit dem das vereinbarte Tageslimit nicht so einfach auszuhebeln gewesen wäre. Diese und die dargestellten zahlreichen Sicherheitslücken im Online-Banking-System der Beklagten hätten den Großteil der Tathandlung, neben der sozialen Manipulation des Klägers, überhaupt erst ermöglicht, insofern sei der Beklagten jedenfalls ein Mitverschulden i.S.v. § 254 BGB anzulasten.

Dem Kläger stehe überdies ein (verschuldensunabhängiger) Schadensersatzanspruch aus Art. 82 DS-GVO i.V.m. § 83 Abs. 1 Satz 1 BDSG gegen die Beklagte zu, da diese als Datenschutzverantwortliche u.a. durch die Werbung mit unrechtmäßig vergebenen Datenschutz- und Datensicherheitszertifikaten der TÜV Rheinland AG (fehlende Akkreditierung nach Art. 43 DS-GVO), eine Verletzung der Anforderungen des Art. 32 DS-GVO an die Sicherheit der Datenverarbeitung („Stand der Technik“) durch das Nichtbereithalten einer „starken Kundenauthentifizierung“ und dem Bereithalten eines Multibanking, welches dem Prinzip der Datenminimierung (Art. 5 Abs. 1 lit. c) DS-GVO) widerspreche, mehrfach gegen grundlegende datenschutzrechtliche Vorschriften verstoßen habe. Der Schaden, der dem Kläger hierdurch entstanden sei, könne ebenfalls im Wege der Kontoberichtigung geltend gemacht werden, da die buchmäßige Naturalrestitution ebenfalls Teil einer zulässigen Schadenskompensation i.S.v. § 249 Abs. 1 BGB (Wiederherstellung des vorherigen Zustandes) sei.

Schließlich stehe dem Kläger noch ein deliktsrechtlicher Anspruch aus § 823 Abs. 2 BGB i.V.m. § 55 Abs. 1 Nr. 1 bis 3, § 1 Abs. 24 ZAG zur Seite, weil die Beklagte im Tatzeitpunkt gegen ihre gesetzliche Pflicht aus § 55 Abs. 1 Nr. 1 ZAG i.V.m. § 1 Abs. 24 ZAG zur Bereithaltung einer „starken Kundenauthentifizierung“ verstoßen habe und diese gesetzliche Anforderung (kundenschützende) drittschützende Wirkung entfalte.

Die Beklagte meint, einem etwaigen Erstattungsanspruch des Klägers aus § 675u BGB seine Haftung aus § 675v Abs. 3 BGB entgegenhalten zu können. Er habe durch die streitgegenständlichen Verfügungen seine vertraglichen und gesetzlichen Sorgfaltspflichten grob fahrlässig verletzt.

Die Beklagte selbst sei keinem Täuschungsmanöver unterlegen. Es habe auch keine „Innentäter-Attacke“ und kein Datenleck bei der Beklagten gegeben. Es habe keinen Angriff auf ein Zahlungssystem der Beklagten gegeben, das für den vorliegenden Tathergang ursächlich gewesen sei. Eine Datenmanipulation auf den Servern der Clearingstelle bzw. des IT-Dienstleisters der Beklagten, die völlig ohne jede Anknüpfungstatsache ins Blaue hinein behauptet würden, habe nicht stattgefunden.

Dem Kläger seien durch die Reaktion auf eine Phishing-Mail und Fake-Anrufe „Kardinalfehler“ unterlaufen, vor denen die Beklagte jedoch gewarnt habe.

Der Kläger habe gegen die in der Rahmenvereinbarung über die Teilnahme am Online-Banking Verfahren (Anlage B 12) geregelten Sorgfaltspflichten verstoßen, gemäß deren Ziffer 13 u.a. die Geltung der Bedingungen für das Online-Banking (Anlage B 1) und der Bedingungen für die Echtzeit-Überweisung (Anlage B 2) vereinbart worden seien. Dies betreffe konkret Nr. 9 der Rahmenvereinbarung über die Teilnahme am Online-Banking-Verfahren (Sorgfaltspflichten des Teilnehmers und Schutz des Teilnehmersystems, wörtlich wiedergegeben eA I 73) und Nr. 7 der Bedingungen für das Online-Banking (wörtlich wiedergegeben eA I 73-75). Die Beklagte habe keine Kenntnis darüber, dass der Kläger sein für das Online-Banking genutztes System im Sinne dieser vereinbarten Sicherheitsanforderungen ausgestattet bzw. dieses sich auf dem aktuellsten Stand befunden habe.

Das S-pushTAN-Verfahren sei sicher, TÜV-geprüft und entspreche den aktuellen Sicherheitsstandards. Die TÜV Rheinland AG habe eine Produktzertifizierung vorgenommen, die den Nachweis dafür darstelle, dass die geprüfte S-pushTAN-App alle relevanten Sicherheits- und Qualitätsanforderungen erfülle. Auf der Grundlage dieser Erkenntnisse stehe die allgemeine praktische Unüberwindbarkeit des hier eingesetzten Sicherungsverfahrens (S-pushTAN) und dessen fehlerfreie Funktion im konkreten Einzelfall fest. Das Auftreten eines sog. Man-in-the-Middle-Angriffs werde durch spezifische Sicherheitsmechanismen praktisch ausgeschlossen. Der Beklagten seien keinerlei Fälle bekannt, in welchen diese Methode erfolgreich gewesen sei.

Wenn der Kläger Opfer eines Phishing-Vorgangs geworden sei, so habe der Angreifer vorliegend aufgrund der Preisgabe der Daten lediglich dessen Online-Banking-Zugang übernommen, nicht aber seine individualisierte S-pushTAN-Verbindung. Über diese habe der Kläger durch insgesamt fünf Freigaben vielmehr aktiv an den streitgegenständlichen Geschäftsvorfällen mitgewirkt. Es sei technisch ausgeschlossen, dass bei einer Betätigung des Bestätigungs-Icons in der S-pushTAN-App, die entsprechenden Aufträge nicht angezeigt oder überblendet worden seien. Der Kläger habe vielmehr jeweils einen Visualisierungstext (beispielsweise „Limitänderung, Vertragsinhaber: J… P…, Temp. Tageslimit neu: 24.444,00 €, Zeitraum Temp. Tageslimit: 23.02.2022-23.02.2022“ oder „Bitte prüfen Sie Ihre Auftragsdaten./ Echtzeit-Überweisung/ 24.422,44 € bzw. 24.999,00 €/ IBAN: DE00 0000 0000 0000 0000 39/ 23.02.2022, 16:41:58 Uhr bzw. 24.02.2022, 09:08:52 Uhr“, oder „Anmeldename ändern“, vgl. Anlage B 7) in seiner S-pushTAN-App sehen können. Die Informationen hinsichtlich der Inhalte, die einem Online-Banking-Teilnehmer vor der Freigabe eines konkreten Auftrags in der S-pushTAN-App angezeigt werden, würden im System der Beklagten in Form des sog. „Online-Banking Revisions-Logging“-Protokolls/ HBCI-Transaktionsprotokoll gespeichert und könnten daher zweifelsfrei – auch durch den Abgleich mit der als Anlage B 3 vorgelegten TAN-Liste und den Einzelbuchungsnachweisen für die Echtzeitüberweisungen vom 23.02. und 24.02.2022 (Anlagen B 13 und B 14) – nachvollzogen werden (Anlagen B 4 und B 5 – Erläuterung der dort verwendeten Kürzel und Angaben eA I 333 ff.). Die ordnungsgemäße Aufzeichnung, Verbuchung und störungsfreie, keine technischen Auffälligkeiten aufweisende technische Abwicklung der in Rede stehenden Transaktionen werde im „Zahlungsverkehrs-Tagesgesamtprotokoll“ elektronisch erfasst, welches auch die streitgegenständlichen Transaktionen beinhalte. Hieraus könnten lückenlos alle systemseitigen Prüfungen, welche der elektronische Zahlungsauftrag vor seiner Ausführung durchlaufen habe, entnommen werden (Anlage B 15 – 23.02.2022; Anlage B 16 – 24.02.2022).

Die Anzeige der Auftragsdaten in der S-pushTAN-App könne mittels einer etwaig auf dem Endgerät des Klägers aktiven Schadsoftware weder überblendet noch anderweitig manipuliert werden, es sei denn, es läge ein sog. Root bzw. Jailbreak vor. Nur dann könne ein Angreifer tiefgreifende Änderungen in den Geräteeinstellungen bzw. im Betriebssystem vornehmen und so Nutzungsbeschränkungen entfernen, die für eine konkrete App standardisiert festgelegt seien. Die S-pushTAN-App sei serienmäßig gegen die Überlagerung durch andere Anwendungen gesperrt. Eine Überblendung der S-pushTAN-App sei zudem praktisch – auch im Fall eines Jailbreaks – nicht durchführbar, da ihre Root- bzw. Jailbreak-Erkennung dann verhindert hätte, dass die App hätte aufgerufen oder geöffnet werden können.

Ergänzend zur – im Übrigen unstreitigen Funktionsweise des S-pushTAN-Verfahrens – sei darauf hinzuweisen, dass eine Transaktion ausschließlich nach Anzeige in der S-pushTAN- App durch eine Aktion des Kunden freigegeben werden könne. Da das S-pushTAN-Verfahren aus Sicherheitsgründen an die Hardware des Smartphones bzw. Tablets gekoppelt sei, müsste zur Anmeldung eines neuen Geräts, mit dem die Betrüger sich eigenständig Zugang zu den Zahlungsmitteln des Klägers verschaffen könnten, der Registrierungsprozess erneut durchlaufen werden. Der hierfür erforderliche Registrierungslink zur Neueinrichtung wäre indes als SMS-Nachricht an die im Kundensystem hinterlegte Rufnummer des Klägers versandt worden, sodass diesem der Vorgang hätte auffallen müssen. Der Versand an eine beliebig neu zu erfassende Rufnummer sei hingegen ausgeschlossen. Im streitgegenständlichen Fall habe weder eine Rücksetzung, Neueinrichtung noch die Hinterlegung eines Zweitgeräts stattgefunden. Vielmehr sei bereits am 29.06.2020 das unter der Bezeichnung „Handy J…“ geführte TAN-empfangsberechtigte Endgerät registriert worden (Anlage B 8). Sämtliche der über den Online-Banking-Teilnehmervertrag des Klägers initiierten Geschäftsvorfälle seien nur mittels ebendiesen Endgeräts freigegeben worden (vgl. Anlage B 3).

Die Nummer der SparkassenCard, welche u.a. für die Legitimationsabfrage zur Einsicht in das aktuelle Tageslimit benötigt werde, könne bei Aufrechterhaltung der standardisierten Voreinstellungen der Beklagten lediglich hinsichtlich der letzten vier Ziffern unter dem Menü-Punkt „Debitkarten-Details“ im Online-Banking eingesehen werden (vgl. Anlage B 21), was der Kläger als erst nach den streitgegenständlichen Vorgängen eingeführte Neuerung in Abrede stellt.

Der Kläger sei vorwerfbar Opfer einer Phishing-Attacke geworden, obwohl die Beklagte ihren Kunden stets aktualisiert Sicherheitstipps, -hinweise und auch Informationen über das hier offenbar praktizierte Phishing-Verfahren zur Verfügung gestellt habe. Die jeweils aktuellen Warnhinweise könnten unmittelbar nach dem Login ins Online-Banking direkt durch die Betätigung des Links, der zu den aktuellen Sicherheitshinweisen führe, unschwer abgerufen werden. Vor dem streitgegenständlichen Geschehen sei der Kläger zuletzt jedenfalls am 14.02.2022 im Online-Banking angemeldet gewesen und hätte von den dort hinterlegten Sicherheitshinweisen, die vor ähnlichen Methoden gewarnt hätten, Kenntnis nehmen können.

Die Beklagte versende niemals E-Mails, welche über einen Link oder Button in das Online-Banking führten, ebenso wenig fordere sie Kunden via E-Mail zur Dateneingabe auf.

Vorliegend liege es außerdem nahe, dass der Kläger über eine längere Zeit seine S-pushTAN- App nicht aktualisiert habe. Darin liege ebenfalls ein Verstoß gegen die Sicherheitshinweise.

Das Gesamtgeschehen sei aus Beklagtensicht auch nicht als auffällig einzustufen. Vor dem Hintergrund, dass TAN-autorisierte Limitänderungen im Online-Banking lediglich bis zu einem Betrag von 25.000 Euro zulässig seien, sei es nicht ungewöhnlich, dass Kunden beispielsweise hohe Kaufpreise splitteten und über mehrere Tage hinweg transferierten. So habe auch der Kläger bereits in der Vergangenheit im Zeitraum von Juni 2019 bis Juli 2021 vier derartige temporäre Limitänderungen, davon zwei auf 25.000 Euro, vorgenommen (vgl. Anlage B 19).

Der Kläger verkenne die Vorgaben des § 1 Abs. 24 ZAG an eine starke Kundenauthentifizierung. Das S-pushTAN-Verfahren kombiniere zwei der im Gesetz genannten Merkmale (Kategorie Besitz: S-pushTAN-App auf registriertem Endgerät und Kategorie Wissen: PIN bzw. Kategorie Inhärenz: Fingerabdruck). Soweit es um die bloße Anmeldung zum Online-Banking, ohne Bezug zu einem konkreten Zahlungskonto gehe, genüge ohnehin eine einfache Authentifizierung; gleiches gelte für den Abruf des Kontostandes (vgl. Art. 10 Abs. 1 der Delegierten Verordnung (EU) 2018/389).

Im Termin zur mündlichen Verhandlung am 11.07.2023 hat das Landgericht den Kläger informatorisch zu den streitgegenständlichen Vorgängen im Februar bzw. März 2022 angehört. Auf die Sitzungsniederschrift vom 11.07.2023 wird insoweit verwiesen.

Das Landgericht hat mit Beweisbeschluss vom 03.08.2023 in der Gestalt des Beschlusses vom 13.09.2023 den Sachverständigen für Systeme und Anwendungen der Informationsverarbeitung sowie Überprüfung von Geldspielgeräten M. A. RCM, Dipl.-Inf. (FH) A… bestellt und ein Gutachten eingeholt. Hinsichtlich des Beweisergebnisses wird auf das Gutachten vom 28.10.2023 Bezug genommen.

Auf Antrag der Beklagten hat das Landgericht mit Beschluss vom 21.12.2023 ein Ergänzungsgutachten im Hinblick auf die im Schriftsatz vom 20.12.2023 (eA I 547 ff.) formulierten Fragen und Einwände eingeholt. Hinsichtlich der weiteren Ausführungen des Sachverständigen wird auf das Ergänzungsgutachten vom 07.02.2024 verwiesen.

Mit Beschluss vom 12.08.2024 hat das Landgericht ein Ablehnungsgesuch der Beklagten gegen den Sachverständigen Dipl.-Inf. (FH) A… vom 10.05.2024, welches vordergründig mit der mangelnden fachlichen Qualität der Gutachten begründet wurde, zurückgewiesen.

Mit dem Kläger am 24.10.2024 zugestellten Urteil vom 24.10.2024 hat das Landgericht die Klage abgewiesen. Zwar stehe dem Kläger ein Anspruch auf Erstattung der von ihm nicht autorisierten Zahlungen in Höhe von insgesamt 49.421,44 Euro aus § 675u Satz 2 BGB zu, welchem die Beklagte jedoch mit Erfolg einen gegenläufigen Schadensersatzanspruch gemäß § 675v Abs. 3 BGB entgegenhalten könne und der auch nicht durch § 675v Abs. 4 BGB ausgeschlossen sei.

Die Zahlungsvorgänge vom 23.02.2022 (24.422,44 Euro) und 24.02.2022 (24.999 Euro) von seinem Girokonto an eine ihm unbekannte Dritte habe der Kläger nicht autorisiert; es fehle an seiner Zustimmung i.S.v. § 675j Abs. 1 Satz 1 BGB hierzu. Zwar habe die Beklagte die Authentifizierung durch die Dokumentation der ordnungsgemäßen Aufzeichnung, Verbuchung und Störungsfreiheit der Zahlungsvorgänge (§ 675w Satz 1 BGB) belegen können. Dennoch fehle es an dem beklagtenseitigen zu erbringenden Nachweis der Autorisierung der Zahlungen. Es könne dahinstehen, ob für die Autorisierung der Zahlungen durch den Kläger ein Anscheinsbeweis streite, weil das S-pushTAN-Verfahren als technisch unüberwindbar anzusehen sei. Der Kläger habe einen etwaigen Anscheinsbeweis jedenfalls zu erschüttern vermocht. Er habe erheblichen Sachvortrag dazu gehalten, dass die streitgegenständlichen Zahlungsvorgänge durch das missbräuchliche Eingreifen eines Dritten manipuliert gewesen seien (E-Mail und Anruf einer vorgeblichen Sparkassenmitarbeiterin zur anstehenden Aktualisierung seines Online-Bankings, pushTAN-Freigabe von „Aufträgen“ in diesem Zusammenhang) und daher keine bewusste Autorisierung durch den Kläger stattgefunden habe. Dieser habe nicht gewusst, dass er tatsächlich Überweisungen getätigt habe. Auf das u.a. zur Frage der technischen Unüberwindbarkeit eingeholte Gutachten des Sachverständigen Dipl.-Inf. (FH) A… sei es vor diesem Hintergrund nicht mehr angekommen.

Der Beklagten stehe ein Schadensersatzanspruch gegen den Kläger in gleicher Höhe aus § 675v Abs. 3 Nr. 2 lit. b) BGB zu, den sie dem Kläger gemäß § 242 BGB entgegen halten könne. Der Kläger habe seine gesetzliche Sorgfaltspflicht aus § 675l Abs. 1 Satz 1 BGB grob fahrlässig verletzt, indem er nach dem Erhalt des Zahlungsinstruments nicht alle zumutbaren Vorkehrungen getroffen habe, um seine personalisierten Sicherheitsmerkmale (PIN, TAN, Kenn-, Passworte) vor dem unbefugten Zugriff Dritter zu schützen. Vielmehr habe er unbekannten Tätern durch die Freigabe von Aufträgen in der S-pushTAN-App „auf Zuruf“ mittelbar Zugang gewährt. Zudem habe er eine vereinbarte Bedingung für die Ausgabe und Nutzung des Zahlungsinstruments i.S.v. § 675v Abs. 3 Nr. 2 lit. b) BGB verletzt. Nach Ziffer 7.2 der Bedingungen für das Online-Banking der Beklagten, welche Bestandteil ihrer wirksam einbezogenen Allgemeinen Geschäftsbedingungen seien, müsse der Teilnehmer am Online-Banking die Sicherheitshinweise auf der Internetpräsenz der Beklagten beachten. Hiergegen habe der Kläger – was nicht mehr als einfacher Pflichtverstoß eingestuft werden könne – verstoßen, indem er dem Link in der ihm am 20.02.2022 übermittelten E-Mail gefolgt sei und durch das Login in das vermeintliche Online-Banking der Beklagten sensible Daten weitergegeben habe. Die E-Mail habe er keiner näheren Prüfung unterzogen, da ihm anderenfalls aufgefallen wäre, dass diese Nachricht nicht von der Beklagten gestammt haben könne. Sie enthalte, was näher ausgeführt wird, grammatikalische und orthographische Fehler und sei umgangssprachlich formuliert. Das Verhalten der vermeintlichen Sparkassen-Mitarbeiterin am Telefon sei ebenfalls als ungewöhnlich einzustufen. Dass er einen nicht näher bezeichneten „Auftrag“ mehrfach habe bestätigen sollen, hätte den Kläger zu Zweifeln veranlassen müssen. Generell sei die S-pushTAN-App explizit für die Freigabe von Finanztransaktionen konzipiert, sodass es dem Kläger habe einleuchten müssen, dass deren Verwendung zu anderen Zwecken, wie der Neueinrichtung des Online-Bankings nicht zulässig sei. Hinsichtlich des Themas „Phishing“ müsse ein durchschnittlicher Online-Banking-Nutzer schon allein aufgrund dessen Medienpräsenz sensibilisiert sein. Zudem habe die Beklagte auf ihrer Website entsprechende Warnungen zu Phishing-Mails und -Anrufen sowie möglicher „Rufnummernfälschung“ veröffentlicht.

Es sei zweifelhaft, dass der Kläger einen modifizierten Visualisierungstext in der S-pushTAN-App angezeigt bekommen habe. Eine Überblendung sei technisch ausgeschlossen, wozu auf das Senatsurteil vom 11.04.2024 – 8 U 1023/23 – verwiesen wird. Es sei vielmehr davon auszugehen, dass der Kläger, durch die Anrufe abgelenkt, den in der S-pushTAN-App angezeigten Text nicht hinreichend aufmerksam wahrgenommen habe. Das Verhalten des im Online-Banking versierten Klägers, der als Mitarbeiter eines Jobcenters in der Lage gewesen sei, die Sicherheitshinweise der Beklagten zu erfassen und nach dieser Einsicht zu handeln, stelle sich insgesamt als leichtfertig dar. Der Anspruch der Beklagten sei auch nicht nach § 675v Abs. 4 BGB ausgeschlossen, da sie eine starke Kundenauthentifizierung i.S.v. §§ 1 Abs. 24, 55 ZAG verlangt habe. Auch für die Anmeldung zum Online-Banking werde jeweils nach 90 Tagen eine starke Kundenauthentifizierung gefordert, was entsprechend § 55 Abs. 5 ZAG i.V.m. Art. 97, 98 der Richtlinie (EU) 2015/2366 i.V.m. Art. 10 Abs. 2 der Delegierten Verordnung (EU) 2018/389 ausreichend sei.

Die Beklagte treffe auch kein Mitverschulden nach § 254 BGB. Sie habe dem betrügerischen Einwirken auf den Kläger hinreichend durch die stetige Warnung vor derartigen Angriffen vorgebeugt. Ihr System sei technisch sicher und befinde auch auf dem aktuellen Stand der Technik; absolute Sicherheit gebe es nicht und könne der Beklagten daher nicht abverlangt werden. Konkrete Sicherheitsmängel habe der Kläger nicht aufgezeigt. Zudem habe sich das Risiko, dass Online-Banking und die App-gestützte TAN-Generierung auf ein und demselben Endgerät betrieben werden können, vorliegend gerade nicht ausgewirkt. Etwa bekannt gewordene Sicherheitslücken habe die Beklagte auch nach den Ausführungen des Sachverständigen Dipl.-Inf. (FH) A… durch entsprechende Updates geschlossen. Zudem habe dieser festgestellt, dass die Beklagte anhand der ihr übermittelten Daten über die Zahlungsvorgänge und Limiterhöhungen Auffälligkeiten und Störungen nicht habe erkennen können. Die vom Sachverständigen festgestellte „konzeptionelle Schwäche“ des S-pushTAN-Verfahrens habe ich sich im vorliegenden Fall nicht verwirklicht. Einzelfallbezogene Ausführungen lasse das Gutachten (insoweit) ohnehin vermissen. Auch unter Berücksichtigung von Gutachten des Sachverständigen Dr. Ing. a C… aus Parallelverfahren zeige sich letztlich nur, dass die Einstufung der tatsächlichen Sicherheit des S-pushTAN-Verfahrens einen Beurteilungsspielraum in Abhängigkeit von der Schwerpunktsetzung den Bewertungsprämissen des jeweiligen Sachverständigen eröffne.

Die Beklagte hätte unter Berücksichtigung der Massenhaftigkeit der Geschäftsvorgänge dieser Art und mangels Auffälligkeiten auch keinen Anlass gehabt, die streitgegenständlichen Überweisungen einer näheren Prüfung zu unterziehen.

Schließlich sei zu beachten, dass der Kläger selbst die streitigen Transaktionen ausgelöst habe, abstrakte Sicherheitsbedenken, die allgemeinhin gegen das nicht als Zwei-Wege-Verfahren ausgestaltete S-pushTAN-Verfahren im Raum stünden, hätten sich vorliegend nicht verwirklicht, sodass hieraus auch kein Mitverschulden der Beklagten resultieren könne.

Hiergegen richtet sich die am 30.10.2024 eingelegte und am 11.11.2024 begründete Berufung des Klägers mit der er seine erstinstanzlich gestellten Anträge weiterverfolgt und ergänzend die Vorlage konkret ausformulierter Fragen an den Europäischen Gerichtshof zur Vorabentscheidung anregt.

Das Erstgericht sei von einer teilweise fehlerhaften Tatsachengrundlage ausgegangen, indem es den konkreten und unter Beweis gestellten Sachvortrag des Klägers sowie das eingeholte Sachverständigengutachten des Dipl.-Inf. (FH) A… nicht beachtet bzw. falsch gewürdigt habe. Außerdem beruhe das Urteil auf einer Verletzung des Rechts. Insgesamt habe das Landgericht die Waffengleichheit der Parteien missachtet und den Sachverhalt, vor allem in Bezug auf das Vorliegen einer groben Fahrlässigkeit im Rahmen des Gegenanspruchs der Beklagten aus § 675v Abs. 3 BGB, entweder unvollständig oder durchweg einseitig zu Ungunsten des Klägers gewürdigt.

Noch zutreffend habe das Ausgangsgericht das Vorliegen einer Autorisierung des Klägers von Zahlungsvorgängen verneint und somit einen Anspruch aus § 675u Satz 2 BGB bejaht, wobei es ebenfalls zutreffend anhand der beklagtenseitig vorgelegten Authentifizierungsprotokolle und der dort dokumentierten IP-Adressen festgestellt habe, dass sich Dritte in das Online-Banking des Klägers eingeloggt hätten. Vor dem Hintergrund dieser Manipulation des Zahlungsvorgangs habe es kein Bewusstsein des Klägers hinsichtlich der Freigabe von Überweisungsvorgängen feststellen können.

Das Landgericht habe in tatsächlicher Hinsicht verkannt, obschon sowohl der im Streitfall bestellte als auch der Sachverständige Dr. Ing. a C… davon ausgegangen seien, dass es technisch im Bereich des Möglichen liege, dass Banking-Apps durch Schadsoftware manipuliert werden könnten. Dies habe das Landgericht durch einen bloßen Verweis auf eine Entscheidung des Oberlandesgerichts Dresden vom 11.04.2024 (8 U 1023/23) übergangen und stattdessen – entgegen der sachverständigen Einschätzung und ohne etwaige eigene Fachkunde darzulegen – eine technische Unüberwindbarkeit des S-pushTAN-Verfahrens der Beklagten angenommen. Den substantiierten und durch das eingeholte Sachverständigengutachten erwiesenen Klägervortrag, wonach Banking-Trojaner, die dazu in der Lage seien, Bildschirmansichten zu verändern („Overlay-Technik“, „Looking-Glass-Methode“) und dies – wie sogar das sparkassenseitig intern in Auftrag gegebene Security Review aufzeige – auch die beklagtenseitig angebotene Technologie betreffen könne, habe das Landgericht übergangen und sich schlichtweg auf eine nicht bindende Passage des vorgenannten Senatsurteils bezogen. Soweit sich das Landgericht auf Feststellungen des Sachverständigen Dr. Ing. a C… stütze, verkenne es, dass das als Anlage B 23 eingeführte Gutachten zu anderen Beweisfragen erstattet worden sei und überdies – wie erstinstanzlich ausgeführt worden sei – unter eklatanten Widersprüchen und methodischen Mängeln leide.

Die Annahme einer groben Fahrlässigkeit des Klägers, die einen Anspruch der beklagten Sparkasse aus § 675v Abs. 3 BGB begründe, habe das Landgericht unter einseitiger Würdigung des konkreten Einzelfallsachverhalts mit abwegiger Begründung hergeleitet, obwohl es zunächst bei der Prüfung der Autorisierung der Zahlungsvorgänge von „deutlichen Indizien“ für eine Kompromittierung ausgegangen sei. Bereits im Hinblick auf die in der Klageschrift abgebildete Phishing-Mail wende es einen „realitätsfernen“ Maßstab an, indem es kaum auffällige orthographische und grammatikalische Fehler, die in der Schnelllebigkeit des Alltags leicht übersehen werden könnten, heranziehe, um hieraus auf ein für den Kläger erkennbares Wirken von Straftätern zu schließen. Weiterhin habe es dem Kläger einen Verstoß gegen ihm unbekannte Sicherheitshinweise der Beklagten unterstellt. Der Kläger habe weder auf der Webseite der Beklagten noch bei der regulären Nutzung seines Online-Bankings unmittelbar relevante Sicherheitshinweise angezeigt bekommen, sodass der zugrunde gelegte Tatsachenkern streitig gewesen sei. Eine Verpflichtung aus Ziffer 7.2 der Bedingungen für das Online-Banking (Kenntnisnahme von Sicherheitshinweisen) sei dem Kläger nicht bekannt (eA II 57). Überdies sei diese Klausel überraschend i.S.v. § 305c BGB und wegen ihrer Unbestimmtheit auch unwirksam.

Darüber hinaus meint der Kläger, dass es auf die Frage des Vorliegens grober Fahrlässigkeit nicht entscheidungserheblich ankomme, da der Anspruch der Beklagten wegen ihres Verstoßes gegen das Vorhalten einer starken Kundenauthentifizierung sowohl beim Login in das Online-Banking als auch bei der Autorisierung von Zahlungsvorgängen gemäß § 675v Abs. 4 BGB ausgeschlossen sei. Rechtsfehlerhaft gehe das Landgericht von dem Eingreifen der Ausnahmevorschrift Art. 10 Abs. 2 der Delegierten Verordnung (EU) 2018/389 aus. Auch der ins Feld geführte Aspekt, dass eine starke Kundenauthentifizierung daran scheitere, dass die Beklagte vor der Auftragsfreigabe in der S-pushTAN-App nicht den Namen des Zahlungsempfängers anzeige und damit nicht die europarechtliche Vorgabe einer sog. dynamischen Verknüpfung i.S.v. Art. 5 Abs. 1 der Delegierten Verordnung (EU) 2018/389 erfülle, werde im Urteil nicht behandelt. Beim Zahlungsvorgang selbst fehle es indes ebenfalls, anders als es das Landgericht ohne nähere Begründung ausgeführt habe, an einer starken Kundenauthentifizierung, weil die auf dem Endgerät des Kunden betriebene S-pushTAN-App kein taugliches Besitzelement darstelle, da die Gerätekennung (das sog. Coding) Schwachstellen aufweise, was erstinstanzlich vorgetragen und vom Sachverständigen Dipl.-Inf. (FH) A… bestätigt worden sei.

Im Rahmen der Mitverschuldensprüfung (§ 254 BGB) seien die Aspekte der fehlenden starken Kundenauthentifizierung wegen der Verkennung der technischen und rechtlichen Anforderungen erneut nicht berücksichtigt worden. Zudem habe das Landgericht die Kausalität zwischen dem Fehlen der starken Kundenauthentifizierung beim Login ins Online-Banking und der Schadensentstehung verkannt. Mit einer starken Kundenauthentifizierung bei der Einwahl ins Online-Banking hätten die Betrüger keinen Zugriff auf die für die Tat erforderlichen Kundendaten des Klägers erhalten.

Der Kläger ist der Auffassung, dass es bei Annahme grober Fahrlässigkeit i.S.v. § 675v Abs. 3 BGB einer Vorlage des Rechtsstreits an den Europäischen Gerichtshof gemäß Art. 267 AEUV bedürfe, da die europarechtskonforme Auslegung der Rückausnahmeregelung in § 675v Abs. 4 BGB umstritten sei. Das nationale Recht setze in dieser Vorschrift Art. 74 Abs. 2 der vollharmonisierenden Richtlinie (EU) 2015/2366 um. In anderen Mitgliedsstaaten, wie Frankreich und Österreich, sähen die korrespondieren Normen, anders als hierzulande, ausdrücklich die Notwendigkeit einer starken Kundenauthentifizierung schon beim Login ins Online-Banking vor.

Der Kläger beantragt zuletzt,

unter Aufhebung des Urteils des Landgerichtes Chemnitz vom 24.10.2024, Az. 6 O 544/22, zugestellt an den Kläger am 25.10.2024, die Beklagte dazu zu verurteilen:

1. dem Kläger die nachfolgend dargestellten abgehenden Zahlungen vom Privatgirokonto J… P… bei der Sparkasse C… 00000000097, IBAN: DE00 0000 0000 0000 0000 97 in Höhe von insgesamt 49.421,44 Euro
Valuta: 23.02.2022, Erläuterung: Überweisung beleglos J… H…, Datum: 23.02.2022, 16:43 Uhr, Betrag: – 24.422,44 Euro sowie
Valuta: 24.02.2022, Erläuterung: Überweisung beleglos J… H…, Datum: 24.02.2022, 09:12 Uhr, Betrag – 24.999,00 Euro
zu den darin ausgewiesenen Wertstellungsdaten (23.02.2022 und 24.02.2022) dem Konto mit der IBAN DE00 0000 0000 0000 0000 97 in den Kontokorrent als Haben-Betrag wieder gutzuschreiben nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz aus 49.421,44 EUR seit dem 27.02.2022,

2. an den Kläger die vorgerichtlich angefallene Geschäftsgebühr in Höhe von 2.474,61 Euro nebst Zinsen in Höhe von fünf Prozentpunkten über dem jeweiligen Basiszinssatz seit dem 20.03.2021 zu zahlen.

Die Beklagte beantragt,

die Berufung zurückzuweisen.

Sie verteidigt das erstinstanzliche Urteil, insbesondere hinsichtlich der landgerichtlichen Erwägungen zum Vorliegen grober Fahrlässigkeit beim Kläger. Eine solche sei aufgrund der sonstigen und schwerwiegenden Sorgfaltspflichtverstöße selbst bei einer Wahrunterstellung des klägerischen Vorbringens, er habe während der Telefonate „leere Aufträge“ freigegeben, anzunehmen.

Soweit das Landgericht von einer Autorisierung der Zahlungsvorgänge ausgegangen sei, bleibe anzumerken, dass der Kläger die Transaktionen unstreitig selbst durch die Betätigung des entsprechenden Buttons in der S-pushTAN-App freigegeben habe. Das von dem Erstgericht angenommene Vorstellungsbild des Klägers, keine Zahlungsaufträge ausgelöst zu haben, bleibe in Abrede gestellt. Es könne nicht sein, dass dem Kläger in der S-pushTAN-App „leere Aufträge“ angezeigt worden seien.

Da das Authentifizierungsverfahren korrekt abgewickelt worden sei, sei von einer wirksamen Autorisierung auch dann auszugehen, wenn sich der Kunde – wie hier – täuschungsbedingt über den Zweck seines Zahlungsauftrags irre. Es liege dann lediglich ein unbeachtlicher Irrtum vor, da sich der Kläger jedenfalls darüber im Klaren gewesen sei, dass er etwas Rechtserhebliches (hier: Neuinstallation des Online-Bankings) veranlasst habe.

Sowohl das Landgericht als auch der Senat haben den Kläger informatorisch angehört. Es wird insoweit auf die Protokolle der mündlichen Verhandlungen vom 11.07.2023 und 13.03.2025 Bezug genommen.

Hinsichtlich des weiteren Vorbringens der Parteien wird auf die gewechselten Schriftsätze nebst Anlagen sowie die Sitzungsniederschrift vom 13.03.2025 verwiesen.

 

B.

Die zulässige, insbesondere form- und fristgerecht eingelegte und begründete Berufung des Klägers hat teilweise Erfolg.

Die Berufung des Klägers ist begründet, soweit das Landgericht die Klage vollständig abgewiesen und dem Kläger keine Kontogutschrift in Höhe von 9.884,29 Euro nebst Zinsen in Höhe von fünf Prozentpunkten über dem jeweiligen Basiszinssatz seit dem 11.03.2022 und keine vorgerichtlichen Rechtsanwaltskosten in Höhe von 1.119,79 € nebst Zinsen seit dem 22.03.2022 zuerkannt hat.

Zwar hat der Kläger die streitgegenständlichen Überweisungen von 24.422,44 Euro und 24.999 Euro nicht autorisiert, so dass ihm im Ausgangspunkt gemäß § 675u Satz 2 BGB gegen die Beklagte ein Anspruch auf Wiedergutschrift der Beträge auf seinem Girokonto zusteht (Ziffer I.1). Die Beklagte kann diesem Anspruch jedoch mit Erfolg einen gegenläufigen – aufgrund eigenen Mitverschuldens gemäß § 254 BGB um ein Fünftel geschmälerten – Schadenersatzanspruch gegen den Kläger aus § 675v Abs. 3 Nr. 2 lit. b) BGB entgegenhalten, da dem Kläger im Zusammenhang mit dem Zahlungsvorgang eine grob fahrlässige Verletzung der gesetzlichen Pflicht aus § 675l Abs. 1 Satz 1 BGB sowie von Pflichten aus dem Onlinebanking-Vertrag zur Last fällt (Ziffer I.3).

Dem Kläger steht zunächst aus § 675u Satz 2 BGB ein Anspruch gegen die Beklagte darauf zu, seinem Girokonto den Betrag von insgesamt 49.421,44 Euro (24.422,44 Euro + 24.999 Euro) nebst Zinsen in Höhe von fünf Prozentpunkten über dem Basiszinssatz seit dem 11.03.2022 wieder gutzuschreiben, da er die (Echtzeit-)Überweisungen vom 23.02. und 24.02.2022 an eine ihm unbekannte Dritte (J… H…) nicht autorisiert hat.

a) Ein Zahlungsvorgang ist nach § 675j 1 Satz 1 BGB gegenüber dem Zahler nur wirksam, wenn er diesem zugestimmt hat (Autorisierung). Fehlt es an einer Autorisierung durch den Zahler (hier: den Kläger), so steht dem Zahlungsdienstleister kein Aufwendungsersatzanspruch aus §§ 675c Satz 1, 670 BGB und dementsprechend kein Erstattungsanspruch nach § 675u Satz 1 BGB zu; vielmehr hat er dem Zahler den Zahlbetrag gemäß § 675u Satz 2 BGB unverzüglich zu erstatten und das Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.

Die Zustimmung zu einem Zahlungsvorgang kann entweder als Einwilligung oder als Genehmigung erteilt werden, wobei die Art und Weise der Zustimmung zwischen dem Zahler und seinem Zahlungsdienstleister zu vereinbaren ist. Insbesondere kann vereinbart werden, dass die Zustimmung mittels eines bestimmten Zahlungsinstruments erteilt werden kann, § 675j Abs. 1 Sätze 2 bis 4 BGB (BGH, Urteil vom 05.03.2024 – XI ZR 107/22, juris Rn. 31, 34). Nach h.M. handelt es sich bei der Zustimmung um eine einseitige, empfangsbedürftige Willenserklärung (vgl. MüKoHGB/Linardatos, 5. Aufl., K, Rn. 58; Grüneberg/Grüneberg, BGB, 84. Aufl., § 675j Rn. 3, m.w.N.; BeckOK BGB/Schmalenbach, 73. Ed., § 675j Rn. 2; Staudinger/Omlor (2020) BGB § 675j Rn. 6 – geschäftsbesorgungsrechtliche Weisung; MüKoBGB/Jungmann, 9. Aufl., BGB § 675j Rn. 16; Zahrte, BKR 2016, 315, 316).

b) Ist – wie im Streitfall – die Autorisierung ausgeführter Zahlungsvorgänge streitig, hat der beklagte Zahlungsdienstleister nach § 675w Satz 1 BGB nachzuweisen, dass eine Authentifizierung erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht sowie nicht durch eine Störung beeinträchtigt wurde. Bereits in der hinsichtlich Satz 1 wortlautidentischen Vorgängerregelung § 675w BGB a.F. kam nach der Rechtsprechung des Bundesgerichtshofs der allgemeine Rechtsgedanke zum Ausdruck, dass der Zahlungsdienstleister die Beweislast für die Autorisierung eines Zahlungsvorgangs durch den Zahler trägt, wenn diese streitig ist (vgl. BGH, Urteil vom 05.03.2024 – XI ZR 107/22, juris Rn. 37 m.w.N.; Grüneberg/Grüneberg, BGB, 84. Aufl., § 675u Rn. 8). Das aus dem Rechtsgedanken des § 675w BGB folgende weite Verständnis der Beweislastverteilung ist sachgerecht und gilt nach dem Wortlaut der Vorschrift sowohl für Ansprüche des Zahlungsdienstleisters gegen den Zahler (§ 675u Satz 1 BGB) als auch für solche des Zahlers gegen den Zahlungsdienstleister, § 675u Satz 2 BGB (BGH, Urteil vom 05.03.2024 – XI ZR 107/22, juris Rn. 40 f.).

Mit dem Begriff der Autorisierung ist die Zustimmung des Zahlers zum Zahlungsvorgang gemäß § 675j Abs. 1 BGB gemeint. Unter Authentifizierung ist demgegenüber die technische und formalisierte Überprüfung der Identitätsbehauptung des Zahlers zu verstehen (MüKoHGB/Linardatos, 5. Aufl., K, Rn. 239). Eine Authentifizierung ist erfolgt, wenn der Zahlungsdienstleister die Nutzung eines bestimmten Zahlungsinstruments, einschließlich seiner personalisierten Sicherheitsmerkmale, mit Hilfe eines Verfahrens überprüft hat. Dabei steht die Ausgestaltung des Authentifizierungsverfahrens im Organisationsermessen des Zahlungsdienstleisters (Senat, Urteil vom 13.10.2022 – 8 U 760/22, BKR 2023, 626, 628; Urteil vom 06.02.2014 – 8 U 1218/13, juris Rn. 52 m.w.N.; Urteil vom 06.04.2023 – 8 U 578/22, juris Rn. 52; MüKoBGB/Zetzsche, BGB, 9. Aufl., § 675w Rn. 9; Erman/Graf von Westphalen, BGB, 17. Aufl., § 675w Rn. 5; BeckOK BGB, Hau/Poseck/Schmalenbach, 73. Edition, § 675w Rn. 10; vgl. § 55 Abs. 5 ZAG i.V.m. Art. 2 Abs. 2, Art. 4 der Delegierten Verordnung (EU) 2018/389 zur Vorhaltung auch das Authentifizierungsverfahren betreffender Transaktionsüberwachungsmechanismen).

aa) Die von der Beklagten vorgelegten Unterlagen belegen, dass eine Authentifizierung, d.h. eine technische und formalisierte Überprüfung der Nutzung des Zahlungsinstruments einschließlich personalisierter Sicherungsinstrumente durch die Beklagte, erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht sowie nicht durch eine Störung beeinträchtigt wurde (§ 675w Satz 1 BGB).

Ausweislich des von der Beklagten vorgelegten Online-Banking-Revisions-Logging-Protokolls (Anlage B 4: 23.02.2022) wurde unter der Legitimations-Identifikationsnummer (Legitimations-ID) 4181895581879998 am 23.02.2022 um 16:42:05 Uhr zunächst das für das Girokonto des Klägers vereinbarte Tageslimit für Überweisungen von 1.000 Euro auf 24.444 Euro erhöht (Vorgangsnummer: 1458-02-23-16.40.59.012822), wofür nach der Anzeige eines entsprechenden Visualisierungstextes („Limitänderung „) um 16:41:58 Uhr, eine S-pushTAN-App-Freigabe erfolgte, was im Protokoll der Angabe „Eingesetztes Merkmal: App-Passwort“ entnommen werden kann (Protokollseite 04692). Taggleich um 16:42:27 Uhr kam es sodann zu einer Zahlungsanweisung vom Tagesgeldkonto des Klägers auf sein Girokonto in Höhe von 33.333 Euro (Protokollseite: 04695). Für diese Transaktion wurde, da es sich um eine Umbuchung zwischen zwei eigenen Konten handelt, keine TAN-Freigabe benötigt. Dies ergibt sich aus dem Protokoll durch die Angabe „TAN-Ausnahme-Grund: Zahlung an eigenes Konto“. In der Folge wurde um 16:43:00 Uhr eine Zahlungsanweisung in Höhe von 24.422,44 Euro als sog. Echtzeit-Überweisung an ein dem Kläger unbekanntes Postbankkonto mit der Empfängerangabe „J… H…“ erfasst, nachdem um 16:42:56 Uhr ein entsprechender Visualisierungstext („Echtzeit-Überweisung…“) angezeigt und die App-Freigabe angefragt worden war (Protokollseite 04703: „Eingesetztes Merkmal: App-Passwort“). Um 16:43:19 Uhr erfolgte die Änderung des Anmeldenamens des Klägers für den Zugang ins Online-Banking, wozu es wiederum nach entsprechender Visualierung um 16:43:19 Uhr einer Freigabe in der S-push TAN-App bedurfte (Protokollseite 04709: „Eingesetztes Merkmal: App-Passwort“). Die Anlage B 4 enthält überdies hinsichtlich aller Aufträge einheitlich eine Übermittlernummer bzw. Benutzerkennung (0000000071), welche dem Kläger vertraglich zugeordnet ist (vgl. Anlage B 6). In dem auszugsweise als Anlage B 15 vorgelegten „Zahlungsverkehr-Tagesgesamtprotokoll“ vom 23.02.2022 findet sich auf Seite 3603 der bankenseitig ausgeführte SEPA-Echtzeit-Überweisungsauftrag von 16:42 Uhr unter Verweis auf das HBCI-Protokoll wieder. Die dort erkennbaren Informationen spiegeln sich wiederum in dem als Anlage B 13 eingereichten Einzelverbindungsnachweis wider.

Die Vorgänge vom 24.02.2022 sind im vorgelegten Online-Banking-Revisions-Logging-Protokoll (Anlage B 5) und korrespondierend im „Zahlungsverkehr-Tagesgesamtprotokoll“ vom 24.02.2022 auf Seite 4034 sowie dem Einzelbuchungsnachweis (Anlage B 14) dokumentiert. Auch aus diesen Unterlagen ergibt sich, dass die streitgegenständlichen Aufträge von der dem Kläger vertraglich zugewiesenen, vorgenannten Benutzerkennung und Legitimations-ID ausgelöst worden sind. Im Einzelnen: Um 09:07:10 Uhr wurde erneut das Tageslimit für Überweisungen von 1.000 Euro erhöht auf 24.999 Euro (Vorgangsnummer: 6722-02-24-09.06.02.412822), wofür nach der Anzeige eines entsprechenden Visualisierungstextes („Limitänderung…“) um 09:08:52 Uhr, eine S-pushTAN-App-Freigabe erfolgte, was im Protokoll der Angabe „Eingesetztes Merkmal: App-Passwort“ entnommen werden kann (Protokollseite 00937). Taggleich um 09:11:17 Uhr kam es sodann zu einer Zahlungsanweisung vom Tagesgeldkonto des Klägers auf sein Girokonto in Höhe von 21.111 Euro (Protokollseite: 00940). Für diese Transaktion wurde, wie sich aus dem Protokoll durch die Angabe „TAN-Ausnahme-Grund: Zahlung an eigenes Konto“ ergibt, keine TAN benötigt. In der Folge wurde um 09:11:48 Uhr eine Zahlungsanweisung in Höhe von 24.999 Euro als sog. Echtzeit-Überweisung an ein dem Kläger unbekanntes Postbankkonto mit der Empfängerangabe „J… H…“ erfasst, nachdem um 09:11:48 Uhr ein entsprechender Visualisierungstext („Echtzeit-Überweisung…“) angezeigt und die App-Freigabe angefragt wurde (Protokollseite 00948: „Eingesetztes Merkmal: App-Passwort“).

Aus der als Anlage B 3 vorgelegten TAN- bzw. Freigabeliste zur Legitimations-ID des Klägers werden wiederum korrespondierend für den 23.02.2022 drei erfolgreiche pushTAN-Freigaben für die Geschäftsvorfälle „IKSAN“ (Abkürzung für Tageslimitänderung) um 16:42:05 Uhr, „DKIPC“ (Abkürzung für Echtzeit-Überweisung) um 16:43:00 Uhr und „DKANA“ (Abkürzung für Anmeldungsänderung) um 16:43:25 Uhr dokumentiert. Für den 24.02.2022 sind der Aufstellung zwei erfolgreiche pushTAN-Freigaben für die Geschäftsvorfälle „IKSAN“ um 09:10:58 Uhr und „DKPIC“ um 09:12:08 Uhr zu entnehmen.

Aus diesen insgesamt vier vorgelegten Arten von Transaktionsprotokollen bzw. Vorgangsdokumentation, kann entnommen werden, dass die zur Umsetzung der betrügerischen Taten erforderlichen Schritte einheitlich und zeitlich kongruent sowie unter den dem Kläger zugeordneten Identifikationsmerkmalen, wie seiner Legitimations-ID und Benutzerkennung, angestoßen worden sind. Soweit der Kläger bemängelt, dass der Beklagten anhand der jeweils verwendeten Kommunikations-, d.h. IP-Adresse, hätte auffallen müssen, dass es sich nicht um „diejenige“ bzw. „die sonst übliche“ des Klägers handele, übersieht er, dass es sich bei einer IP-Adresse nicht um ein zur Kundenauthentifizierung geeignetes Merkmal handelt, da diese keine belastbaren Rückschlüsse auf die Person des Nutzers zulässt.

In der Gesamtschau belegen die hier vorgelegten und beklagtenseitig ausführlich erläuterten Unterlagen, dass eine Authentifizierung erfolgt ist und die Zahlungsvorgänge ordnungsgemäß aufgezeichnet, verbucht sowie nicht durch eine Störung beeinträchtigt wurden (vgl. § 675w Satz 1 BGB). Die Beklagte hat die Nutzung des Zahlungsinstruments einschließlich der personalisierten Sicherheitsmerkmale überprüft und konnte den Kläger anhand der verwendeten Legitimations-ID und Benutzerkennung sowie der unter Nutzung des für seinen Vertrag registrierten Endgeräts mit der hiermit gekoppelten S-pushTAN-App als Zahlungsdienstnutzer identifizieren. Der Kläger hat im Rahmen seiner informatorischen Anhörung am 11.07.2023 vor dem Landgericht überdies bestätigt, sein Smartphone stets selbst in Besitz gehabt zu haben. Soweit der Kläger einwendet, dass aufgrund einer Schwachstelle des S-pushTAN-Verfahrens bezüglich der Gerätekennung des verwendeten Endgeräts (sog. Coding) nicht ausgeschlossen werden könne, dass Dritte unter der Gerätekennung des Klägers die streitgegenständlichen Freigaben veranlasst hätten, spricht hiergegen zum einen, dass der Sachverständige Dipl.-Inf. (FH) A… diese Möglichkeit zwar als theoretisch denkbar eingeschätzt, aber im vorliegenden Fall nach Sichtung der vorgelegten Transaktionsprotokolle in seinem Gutachten vom 28.10.2023 (dort Seite 20) zu dem Schluss gelangt ist, dass die aktenkundigen Protokolle keine Auffälligkeiten aufweisen. Zum anderen liegt ein solches Szenario in Anbetracht des – insoweit unstreitigen Geschehensablaufs – hier fern, da es dann von vornherein nicht der telefonischen Involvierung des Klägers bedurft hätte, sondern die Täter ohne dessen Zutun die erzielten Freigaben hätten vornehmen können.

bb) Mit dieser Authentifizierung nach § 675w Satz 1 BGB stehen allerdings lediglich die Grund- bzw. Mindestvoraussetzungen für die Anwendung eines Anscheinsbeweises für eine ordnungsgemäße Autorisierung des Zahlungsvorgangs durch den Kläger fest (Senat, Urteil vom 13.10.2022 – 8 U 760/22, BKR 2023, 626, 628; vgl. Schnauder/Beesch, jurisPR-BKR 4/2019 Anm. 4, juris, S. 5, m.w.N.).

Kann der Zahlungsdienstleister – wie hier – einen in technischer Hinsicht störungsfreien Zahlungsvorgang nachweisen, so spricht für die Autorisierung durch den Zahlungsdienstnutzer eine gewisse, aber nicht unwiderlegliche Vermutung, die jedoch nach § 675w Satz 3 BGB „allein nicht notwendigerweise“ zum Nachweis der Autorisierung ausreicht. § 675w Satz 3 BGB erfordert vielmehr die Berücksichtigung der Gesamtumstände des Einzelfalls im Rahmen richterlicher Beweiswürdigung gemäß § 286 ZPO. Nach der Rechtsprechung des Bundesgerichtshofs (BGH, Urteil vom 26.01.2016 – XI ZR 91/14, juris Rn. 24) ist eine Anwendung der Grundsätze des Anscheinsbeweises beim Online-Banking nicht von vornherein ausgeschlossen. § 675w Satz 3 BGB begrenzt aber den Beweiswert einer schlichten Dokumentation des technischen Authentifizierungsvorgangs, um den Zahlungsdienstnutzer, der weder den Authentifizierungsvorgang technisch gestalten noch dessen korrekte Funktion im Einzelfall überblicken kann, nicht über § 675v Abs. 1 BGB hinaus mit den Risiken eines Missbrauchs technischer Authentifizierungsinstrumente zu belasten. Deshalb dürfen die Grundsätze des Anscheinsbeweises im Zahlungsdiensterecht beim Einsatz technischer Authentifizierungsinstrumente nicht so gehandhabt werden, dass sie bei Vorliegen der in § 675w Satz 3 BGB genannten technischen Merkmale aus praktischer Sicht einer Beweislastumkehr gleichkommen (BGH, a.a.O., Rn. 26, m.w.N.). Aus diesem Grund erachtet der Bundesgerichtshof für die Anwendung der Grundsätze des Anscheinsbeweises allein die korrekte Aufzeichnung der Nutzung des Zahlungsauthentifizierungsinstruments nicht als ausreichend. Zudem bedarf die Erschütterung des Anscheinsbeweises nicht zwingend der Behauptung und gegebenenfalls des Nachweises technischer Fehler des dokumentierten Authentifizierungsverfahrens (BGH, a.a.O., Rn. 27). Voraussetzung für die Anwendung des Anscheinsbeweises ist das Erreichen eines technischen Schutzniveaus, bei dem auf Grundlage aktueller Erkenntnisse die allgemeine praktische Unüberwindbarkeit des konkret eingesetzten Sicherungsverfahrens und dessen Beachtung im konkreten Einzelfall feststehen (vgl. BGH, a.a.O., Rn. 27 ff., 28, 32). An dieser Rechtslage hat die Umsetzung der Zweiten Zahlungsdiensterichtlinie (Richtlinie (EU) 2015/2366) nichts geändert (Omlor, BKR 2019, 105, 110; Linardatos, NJW 2017, 2145, 2150; Hofmann, BKR 2018, 62, 68 f.; Beesch, jurisPR-BKR 11/2019 Anm. 1).

Der Anscheinsbeweis ist erschüttert, wenn Tatsachen dargelegt und ggf. zur vollen Überzeugung des erkennenden Gerichts bewiesen werden, die die ernsthafte, ebenfalls in Betracht kommende Möglichkeit einer anderen Ursache nahelegen. Der Zahlungsdienstnutzer muss also zur Erschütterung des Anscheinsbeweises keinen konkreten und erfolgreichen Angriff gegen das Authentifizierungsinstrument beweisen, sondern nur solche Umstände, die gegen die Autorisierung durch ihn und für ein missbräuchliches Eingreifen eines Dritten sprechen. Diese Anforderungen kann der Zahler auch dadurch erfüllen, dass er außerhalb des Sicherheitssystems des Zahlungsdienstleisters liegende Indizien, die für einen nicht autorisierten Zahlungsvorgang sprechen, substantiiert darlegt und bei Bestreiten nachweist (BGH, Urteil vom 26.01.2016 – XI ZR 91/14, juris Rn. 48).

cc) Der Kläger hat – wie das Landgericht zutreffend ausgeführt hat – hinreichenden Sachvortrag dazu gehalten, dass die streitgegenständlichen Zahlungsvorgänge am 23.02. und 24.02.2022 nicht von ihm autorisiert, sondern durch missbräuchliches Eingreifen eines Dritten manipuliert waren und hat damit einen etwaigen zugunsten der Beklagten streitenden Anscheinsbeweis erschüttert. Vor diesem Hintergrund, erweist sich die Frage, ob das S-pushTAN-Verfahren als „praktisch unüberwindbar“ eingestuft werden kann, unter den vorliegenden Gegebenheiten an dieser Stelle als nicht entscheidungserheblich und damit nicht beweisbedürftig. Das Landgericht hat insoweit zu Recht in diesem Zusammenhang nicht auf das eingeholte Sachverständigengutachten des Dipl.-Inf. (FH) A… abgestellt.

(1) Der Kläger hat dargetan, dass er während der Anrufe der vermeintlichen Sparkassenmitarbeiterin S… selbst nicht im Online-Banking der Beklagten eingeloggt gewesen sei, sondern auf Bitten derselben die S-pushTAN-App geöffnet und dort die ihm angekündigten, nicht näher bezeichneten „Aufträge“ freigegeben zu haben. Dies habe er getan, weil er wenige Tage zuvor am 20.02.2022 eine E-Mail erhalten habe, die er ausweislich des Absenderangabe der Sparkasse zugeordnet habe und in der ihm angekündigt worden sei, dass eine Aktualisierung des Online-Bankings zwingend eine Umstellung erfordere, wozu eine Bestätigung bzw. Verifizierung der Kundendaten erfolgen müsse. Hierzu werde ihm ggf. ein Berater zugeteilt, um die Anpassungen vorzunehmen. Er sei sodann dem in der E-Mail enthaltenen Link-Button gefolgt. Auf der angesteuerten – nach seiner Wahrnehmung – täuschend echt aussehenden Startseite des Online-Bankings der Beklagten habe er sich unter Eingabe seines Anmeldenamens und der (statischen) PIN eingeloggt und die Information angezeigt erhalten, dass er zeitnah von einem Sparkassenmitarbeiter telefonisch kontaktiert werde, was am 23.02.2022 ab circa 16.40 Uhr erstmals und am 24.02.2022 ab circa 09.07 Uhr ein weiteres Mal erfolgte. Die Anruferin habe ihn – wie angekündigt – um Mithilfe bei der Aktualisierung durch die Freigabe von hierfür angelegten Aufträgen in der S-pushTAN-App gebeten. Tatsächlich seien ihm jeweils – wie angekündigt – in der App nicht näher bezeichnete Aufträge angezeigt worden, die er jeweils freigegeben habe.

(2) Die aktenkundige Geschehensschilderung des Klägers ist grundsätzlich in sich schlüssig und wurde vom Kläger sowohl in seiner persönlichen Anhörung vor dem Landgericht als auch vor dem Senat wiederholt so angegeben. Auch die Beklagte geht davon aus, dass es sich bei der E-Mail vom 20.02.2022 um eine Phishing-Nachricht gehandelt habe, mittels derer unbekannte Dritte die Login-Daten des Klägers für das Online-Banking der Beklagten erbeutet hätten. Die überdies geschilderten und im Kern ebenfalls unstreitigen „Fake-Anrufe“ fanden zeitgleich mit den vom Kläger grundsätzlich eingeräumten pushTAN-Freigaben bzw. „Auftragsbestätigungen“ statt. Die Beklagte hat zudem den substantiierten Vortrag des Klägers, dass er, was sich schon anhand der dokumentierten IP-Adressen ableiten lasse, zu den jeweiligen Tatzeitpunkten selbst nicht im Online-Banking eingeloggt gewesen sei, nicht bestritten. Gleiches gilt für den Umstand, dass die streitgegenständlichen Zahlungen auf das Konto einer dem Kläger unbekannten, gesondert strafrechtlich verfolgten Finanzagentin geflossen sind. Folglich steht bereits nach den unstreitigen Abläufen zur Überzeugung des Senates fest, dass der Zahlungsvorgang manipuliert worden ist und dass dem Kläger im Zeitpunkt der Freigaben nicht bewusst war, dass mit seinem Zutun u.a. Echtzeit-Überweisungen in erheblicher Höhe bewirkt wurden. Vor diesem Hintergrund kann an dieser Stelle dahinstehen, ob es den Tätern mithilfe von Schadsoftware gelungen ist, die Bildschirmanzeige der S-pushTAN-App auf dem Smartphone des Klägers zu manipulieren und damit die aus der Dokumentation der Beklagten ersichtlichen, spezifischen Visualisierungstexte, welche vor den jeweiligen Freigaben im „Normalbetrieb“ angezeigt werden, zu überblenden. Relevant ist einzig, dass dem Kläger aufgrund der ihm unterbreiteten Legende im Moment der Freigaben nicht klar war, dass er damit – im Hintergrund unbemerkt von Dritten initialisiert – Echtzeit-Überweisungsaufträge bestätigte. Die Beklagte stellt das geschilderte Vorstellungsbild des Klägers mit dem pauschalen Vortrag in Abrede, dass diesem jedenfalls klar gewesen sein müsse, dass er durch die Freigaben „etwas Rechtserhebliches“ veranlasse. Unabhängig von der Berücksichtigungsfähigkeit dieses angesichts der klägerseitig dargelegten Gesamtumstände unsubstantiierten Bestreitens, hat sich im Rahmen der persönlichen Anhörung des Klägers jedenfalls nicht bestätigt, dass ihm bewusst war, tatsächlich Transaktionen oder Änderungen der für die Nutzung seines Online-Banking-Zugangs voreingestellten Parameter (Überweisungslimit etc.) vorzunehmen.

(3) Soweit die Beklagte ungeachtet des danach zur Überzeugung des Senats feststehenden missbräuchlichen Eingriffs in das Online-Banking in ihrer rechtlichen Bewertung davon ausgeht, dass der Kläger die streitgegenständlichen Zahlungsvorgänge dennoch selbst autorisiert habe, vermag der Senat dem nicht beizutreten.

Die Beklagte trägt vor, der Kläger müsse im Rahmen des zur Anwendung gelangten S-push-TAN-Verfahrens auf seinem Smartphone die ihm in der App angezeigten Daten, namentlich die IBAN der Zahlungsempfängerin und den Überweisungsbetrag, jeweils freigegeben haben. Beim S-pushTAN-Verfahren 2.0 werde unmittelbar durch die Freigabe in der App der Zahlungsauftrag autorisiert, ohne dass es der finalen Eingabe einer App-generierten TAN auf der Online-Banking-Ebene bedürfe. Die Autorisierung des Zahlungsvorgangs i.S.v. § 675j Abs. 1 Satz 1 BGB sei somit durch den Kläger selbst vorgenommen worden, auch wenn dieser sich ggf. nicht über die tatsächliche Bedeutung seines Tuns im Klaren gewesen sei.

Zu Recht weist Linardatos jedoch in diesem Zusammenhang darauf hin, dass die – von der Beklagten vertretene – Ansicht, eine Autorisierung läge immer vor, wenn der Zahler infolge einer Täuschung selbst gehandelt hat, unzutreffend sein dürfte (so aber Köbrich, VuR 2015, 9, 11). Denn damit würde entgegen §§ 675u, 675v BGB das Missbrauchsrisiko pauschal dem Zahler zugewiesen, obwohl primärer Träger eines solchen Risikos der Zahlungsdienstleister ist (MüKoHGB/Linardatos, K, 5. Aufl., Rn. 66).

(a) In Rechtsprechung und Schrifttum ist umstritten, ob von Dritten unter Nutzung eines Zahlungsauthentifizierungsinstruments einschließlich seiner personalisierten Sicherheitsmerkmale veranlasste Zahlungsvorgänge dem Zahler nach den Grundsätzen der Anscheinsvollmacht zugerechnet werden können (vgl. BGH, Urteil vom 26.01.2016 – XI ZR 91/14, juris Rn. 56, m.w.N.; MüKoHGB/Linardatos, K, 5. Aufl., Rn. 61). Die Frage ist im Online-Banking besonders relevant, da beim erfolgreichen Ausspähen der Authentifizierungsdaten ein Dritter typischerweise „unter fremdem Namen“ handelt, nämlich unter demjenigen des berechtigten Nutzers. In diesem Fall sind die §§ 164 ff. BGB analog anwendbar, so dass ein Rückgriff auf allgemeine Rechtsscheingrundsätze naheliegend erscheint (MüKoHGB/Linardatos, K, 5. Aufl., Rn. 61).

(aa) Höchstrichterlich ist die Frage für die vorliegende Fallkonstellation noch nicht abschließend entschieden. Allerdings äußerte der Bundesgerichtshof in einer Entscheidung aus 2016 in einem obiter dictum mit Blick auf das zahlungsdienstrechtliche Haftungsregime systematische Bedenken (BGH, Urteil vom 26.01.2016 – XI ZR 91/14, juris Rn. 57 ff.) und hat dies in einer weiteren Entscheidung bekräftigt (vgl. BGH, Urteil vom 17.11.2020 – XI ZR 294/19, juris Rn. 13). Die Auffassung, ein Kontoinhaber müsse Zahlungsaufträge, die ein Dritter unter missbräuchlicher Verwendung eines Authentifizierungsinstruments erteilt bzw. erstellt hat, nach Rechtsscheingrundsätzen gegen sich gelten lassen, wenn ihm das Handeln des Nichtberechtigten bekannt war oder er es hätte erkennen können, sei mit den nach § 675e Abs. 1 BGB im Grundsatz abschließenden Regelungen in § 675j Abs. 1 Satz 4, § 675u Satz 1 BGB nicht zu vereinbaren. Denn nach dem zwischen Bank und Kunde geschlossenen Vertrag sei bei Nutzung eines – gemäß § 675l BGB ohnehin geheim zu haltenden – personalisierten Zahlungsauthentifizierungsinstruments eine Bevollmächtigung Dritter ausnahmslos ausgeschlossen. Zudem sei der in § 675v Abs. 2 BGB (a.F.) festgelegte Grundsatz, dass der Kontoinhaber für einen nicht autorisierten Zahlungsvorgang nur bei Vorsatz oder grober Fahrlässigkeit einzustehen habe, berührt, wenn daneben dessen Haftung nach den Regeln eines Handelns unter fremdem Namen auch für einfache Fahrlässigkeit in Betracht käme (BGH, Urteil vom 26.01.2016 – XI ZR 91/14, juris Rn. 58, m.w.N.).

(bb) Gleichwohl wurde und wird zum Teil im Schrifttum und in der instanzgerichtlichen Rechtsprechung im Fall schadsoftwaregestützter Manipulationen eine Zahlungsautorisierung unter bestimmten Voraussetzungen und mit verschiedenen Begründungsansätzen – vornehmlich nach den Grundsätzen der Anscheinsvollmacht – bejaht (vgl. LG Darmstadt, Urteil vom 28.08.2014 – 28 O 36/14, juris für einen Man-in-the-Middle-Angriff (Schadsoftware mit Freischaltungstrojaner) im Smart-TAN-plus-Verfahren; OLG Schleswig-Holstein, Beschluss vom 19.07.2010 – 3 W 47/10, juris Rn. 3 für die Weitergabe von Zugangsdaten wie Kontonummer, Online-PIN, nicht verbrauchter TAN an einen Dritten; KG, Urteil vom 29.11.2010 – 26 U 159/09, juris Rn. 35 für eine angeblich fehlgeschlagene Anmeldung und Aufforderung zur Eingabe von vier unverbrauchten TAN für Login; OLG Köln, Beschluss vom 21.03.2016 – 13 U 223/15, juris und (vorangehend) LG Köln, Urteil vom 16.10.2015 – 30 O 330/14, juris für sogenannte Testüberweisungen (durch Freischaltungs-Trojaner); zustimmend: Zahrte, BKR 2016, 315, 316 f.; so auch LG Bonn, Urteil vom 11.10.2016 – 17 O 30/15, juris; offen gelassen bei schadsoftwaregesteuerter Testüberweisung: OLG Oldenburg, Beschluss vom 28.06.2018 – 8 U 163/17, juris, dort über § 675v Abs. 2 Nr. 2 BGB (a.F.) unter Annahme grober Fahrlässigkeit gelöst; ähnlich AG Bonn, Urteil vom 15.04.2014 – 109 C 223/13, juris sowie OLG Frankfurt, Urteil vom 06.12.2023 – 3 U 3/23, juris Rn. 51; OLG Schleswig-Holstein, Hinweisbeschluss vom 11.09.2024 – 5 U 99/24, juris Rn. 46 ff. und OLG Bremen, Hinweisbeschluss vom 30.08.2024, 1 U 32/24, juris Rn. 20 f. für sog. Rücküberweisungsfälle bei Verwendung der pushTAN- App). Letztlich wird die rechtliche Einordnung stark von den Einzelumständen der jeweiligen Fallgestaltung geprägt. Eine differenzierte Betrachtung ist angesichts der Vielzahl unterschiedlich ansetzender und verschieden wirkender missbräuchlicher Eingriffe in das Online-Banking auch geboten (Senat, Urteil vom 13.10.2022 – 8 U 760/22, juris Rn. 59; Urteil vom 06.04.2023 – 8 U 578/22, juris Rn. 68).

(cc) Anstelle einer Anwendung von Rechtsscheingrundsätzen auf missbräuchliche Eingriffe eines Dritten im Online-Banking wird teilweise eine Differenzierung danach vorgeschlagen, ob durch Auslegung des Verhaltens des Zahlers gemäß §§ 133, 157 BGB analog die Abgabe einer Zustimmungserklärung festgestellt werden kann (MüKoHGB/Linardatos, K, 5. Aufl., Rn. 66). Danach kommt es darauf an, ob der Zahler beim jeweils problematischen Zahlungsvorgang im Bewusstsein der eingetretenen Rechtsfolge, folglich mit Erklärungsbewusstsein, gehandelt hat (MüKoHGB/Linardatos, K, 5. Aufl., Rn. 66).

So handelt etwa bei einem sogenannten Rücküberweisungs-Trojaner, bei dem der Zahler unter Mitteilung einer angeblich versehentlich auf sein Konto erfolgten Überweisung (Gutschrift) aufgefordert wird, einen bestimmten Betrag auf ein bestimmtes Empfängerkonto (zurück) zu überweisen, mit entsprechendem Erklärungsbewusstsein und mit einem auf die konkrete Überweisung gerichteten Geschäftswillen. Im Irrtum ist er nur über die zugrunde liegenden Motive. Aus diesem Grunde ist bei dieser Fallgestaltung von einer Zahlungsautorisierung auszugehen (so auch OLG Brandenburg, Urteil vom 31.01.2018 – 13 U 5/17, juris Rn. 37 ff.; OLG Schleswig-Holstein, Hinweisbeschluss vom 11.09.2024 – 5 U 99/24, juris Rn. 46 ff.; OLG Bremen, Hinweisbeschluss vom 30.08.2024 – 1 U 32/24, juris Rn. 20 f.; AG Köln, Urteil vom 26.06.2013 – 119 C 143/13, juris Rn. 14; Zahrte, BKR 2016, 315, 316; Grüneberg/Grüneberg, 84. Aufl., § 675j Rn. 3). Zu dieser Fallgruppe werden zuweilen auch die sogenannten Test- oder Probeüberweisungsfälle gezählt (vgl. OLG Köln, Beschluss vom 21.03.2016 – 13 U 223/15, juris und (vorangehend) LG Köln, 16.10.2015 – 30 O 330/14, juris; Zahrte, BKR 2016, 315, 316; MüKoHGB/Linardatos, K, 5. Aufl., Rn. 67), da – ähnlich wie bei den Rücküberweisungsfällen – ein auf Vornahme einer Überweisung gerichteter Geschäftswille und damit eine Autorisierung anzunehmen sei.

Sog. Freischaltungs-Trojaner-Fälle zeichnen sich demgegenüber dadurch aus, dass der Zahler aufgefordert wird, zur Freischaltung seines Konto-Zugangs bzw. Verifizierung seiner Kontoberechtigung eine aktuelle TAN einzugeben, während im Hintergrund stattdessen eine Überweisung initiiert wird. In solchen Sachverhalten wird die Autorisierung bezweifelt, da der Kunde kein entsprechendes Erklärungsbewusstsein hat, sondern gleichsam über die rechtliche Qualität seines Tuns irrt (vgl. Zahrte, BKR 2016, 315, 316, m.w.N.; MüKoHGB/Linardatos, K, 5. Aufl., Rn. 68). Dem Zahler ist – anders als bei den Rücküberweisungs- (und Testüberweisungs-)Fällen – in dieser Konstellation nicht bewusst, dass er eine Überweisung veranlasst. Er agiert vielmehr in dem Glauben, er würde lediglich seinen Konto-Zugang freischalten oder den Fortbestand seiner Kontoberechtigung bestätigen (MüKoHGB/Linardatos, K, 5. Aufl., Rn. 68).

(b) Die vorliegende Fallgestaltung ähnelt am meisten der Sachlage bei einem Freischaltungs-Trojaner. Anders als bei einer Aufforderung zur Rücküberweisung eines bestimmten Betrages an einen bestimmten Zahlungsempfänger handelte der Kläger vorliegend nicht in dem Bewusstsein, Beträge in Höhe von insgesamt 49.421,44 Euro an eine Frau J… H… bzw. auf deren Konto bei der Postbank zu überweisen. Nach der glaubhaften Darstellung des Klägers hatte er nicht die Absicht, eine oder mehrere Finanztransaktionen zu tätigen. Vielmehr wollte er, als er die Freigaben in der S-pushTAN-App auslöste, bei der notwendigen Aktualisierung seines Online-Banking-Zugangs, mithin einem technischen Vorgang, mitwirken. Wegen des – verdeckt ablaufenden – Missbrauchs ist unter den vorliegenden Einzelfallumständen eine Autorisierung zu verneinen (vgl. OLG München, Urteil vom 22.09.2022 – 19 U 2204/22, juris Rn. 79; Senat, Urteil vom 06.04.2023 – 8 U 578/22, juris Rn. 73; wohl auch: Ellenberger/Bunte BankR-HdB/Maihold, 6. Aufl., § 33 Rn. 263, 361; Omlor, EWiR 2014, 701, 702 – Anm. zu LG Darmstadt, Urteil vom 28.08.2014 – 28 O 36/14, die annehmen, dass ein verfälschter Zahlungsauftrag zwar nicht zu einer Autorisierung führe, aber, sofern der Bankkunde die abschließende Kontrolle der Zahlungsdaten unterlasse, eine Pflichtverletzung darstelle, die im Falle grober Fahrlässigkeit zur Haftung des Kunden nach § 675v Abs. 3 BGB führe; vgl. auch OLG Oldenburg, Beschlüsse vom 28.06.2018 und vom 21.08.2018 – 8 U 163/17, juris; LG Frankfurt, Urteil vom 04.06.2020 – 2-02 O 271/19, juris). Bei dieser Sachlage kann nicht von einer Autorisierung des Vorgangs ausgegangen werden, sofern man – wie der Senat (Urteil vom 06.04.2023 – 8 U 578/22, juris) – im Einklang mit der Rechtsprechung des Bundesgerichtshofs (BGH, Urteil vom 26.01.2016 – XI ZR 91/14, juris Rn. 57 ff.; BGH, Urteil vom 17.11.2020 – XI ZR 294/19, juris Rn. 13) und des Oberlandesgerichts München (Urteil vom 22.09.2022 – 19 U 2204/22, juris Rn. 79) eine Zurechnung nach Rechtsscheingrundsätzen verneint. Die Auffassung, für die Autorisierung komme es lediglich darauf an, dass der Kunde die den Zahlungsauftrag abschließende TAN korrekt eingibt bzw. den Zahlungsauftrag in der App freigibt, ist auch mit dem umfassenden Grundsatz der Vertraulichkeit aller Elemente des Authentifizierungsverfahrens nach § 1 Abs. 24 ZAG unvereinbar (vgl. Ellenberger/Bunte BankR-HdB/Maihold, 6. Aufl., § 33 Rn. 145 f.). Vorliegend waren unstreitig unbekannte Dritte, welche die Anmeldedaten des Klägers für seinen Online-Banking-Zugang zunächst unrechtmäßig erlangt und dann ohne dessen Kenntnis verändert haben, während des App-gestützten Autorisierungsvorgangs der streitgegenständlichen Zahlungsvorgänge im Online-Banking eingeloggt. Die Abwicklung des Online-Zahlungsvorgangs, welcher sowohl die Erstellung des Zahlungsauftrags im Online-Banking als auch dessen abschließende Freigabe über die S-pushTAN-App umfasst, war durch einen verdeckt ablaufenden Missbrauch kompromittiert, was eine wirksame Autorisierung von vornherein folglich ausschließt (vgl. Senat, Urteil vom 11.04.2024 – 8 U 1023/23). Angesichts dessen bedarf es im Streitfall nicht der Prüfung, ob der Kläger diese mangels Erklärungsbewusstseins entsprechend § 119 Abs. 1 F. 2 BGB angefochten hat. Unabhängig davon bestehen im Hinblick auf die Anwendung der damit einhergehenden Rechtsfolgenregelung des verschuldensunabhängigen Vertrauensschadensersatzanspruchs gemäß § 122 BGB (vgl. hierzu OLG Bremen, Hinweisbeschluss vom 30.08.2024 – 1 U 32/24, juris Rn.18 ff., 24 m.w.N.) im Zahlungsdiensterecht Bedenken (zum Streitstand; MüKoHGB/Linardatos, 5. Aufl., K, Rn. 90). Hierdurch würde das gesetzliche Wertungssystem, konkret die Risikoverteilung der §§ 675u, 675v BGB (vgl. BGH, Urteil vom 05.03.2024 – XI ZR 107/22, juris Rn. 53; Urteil vom 17.11.2020 – XI ZR 294/19, juris Rn. 43 – zur Sperrwirkung von § 675v Abs. 2 BGB für andere vertragliche Schadensersatzansprüche des Zahlungsdienstleisters), unterlaufen werden (vgl. Casper/Reich, ZBB/JBB 2023, 139 f.; BeckOK BGB/Schmalenbach, BGB, 73. Edition, § 675v Rn. 24).

c) Nach alledem steht dem Kläger mangels Autorisierung der Zahlungsvorgänge vom 23.02. und 24.02.2022 ein Aufwendungsersatzanspruch gemäß § 675u Satz 2 BGB nebst Zinsen in Höhe von fünf Prozentpunkten über dem Basiszinssatz seit dem 11.03.2022 zu. Der Zinsanspruch folgt aus § 286 2 Nr. 1 BGB i.V.m. § 675u Satz 3 BGB und besteht ab dem Folgetag des Geschäftstages an welchem dem beklagten Zahlungsdienstleister angezeigt wurde, dass der Zahlungsvorgang nicht autorisiert ist, oder er auf andere Weise davon Kenntnis erhalten hat (vgl. Grüneberg/Grüneberg, BGB, 84. Aufl., § 675u Rn. 6). Vorliegend hat der Kläger unstreitig am 10.03.2022 im Rahmen eines Telefonats mit einer Mitarbeiterin der Beklagten mitgeteilt, dass er die streitgegenständlichen Zahlungsvorgänge nicht veranlasst oder autorisiert habe.

Die Beklagte kann dem Anspruch des Klägers auf Wiedergutschrift aus § 675u Satz 2 BGB gemäß § 242 BGB einen – aufgrund Mitverschuldens gemäß § 254 BGB geschmälerten – gegenläufigen Schadensersatzanspruch aus § 675v Abs. 3 Nr. 2 BGB wegen grob fahrlässigen Verhaltens entgegen halten (vgl. BGH, Urteil vom 05.03.2024 – XI ZR 107/22, juris Rn. 49). Ein Anspruchsausschluss nach § 675v Abs. 4 Satz 1 Nr. 1 BGB ist – anders als der Kläger meint – vorliegend nicht einschlägig.

Im Anwendungsbereich des § 675v Abs. 4 Satz 1 Nr. 1 BGB kommt es nicht darauf an, dass die Beklagte auch für das Login ins Online-Banking eine starke Kundenauthentifizierung verlangt (a). Das für die streitgegenständlichen Zahlungsvorgänge verwendete S-pushTAN-Verfahren erfüllte im Schädigungszeitraum zudem die technischen Anforderungen an eine starke Kundenauthentifizierung i.S.v. § 1 Abs. 24 ZAG (b).

Nach § 675v Abs. 4 Satz 1 Nr. 1 BGB ist der Zahler seinem Zahlungsdienstleister abweichend von den Absätzen 1 und 3 nicht zum Schadensersatz verpflichtet, wenn der Zahlungsdienstleister des Zahlers eine starke Kundenauthentifizierung im Sinne des § 1 Abs. 24 ZAG nicht verlangt.

Eine starke Kundenauthentifizierung liegt nach der Legaldefinition in § 1 Abs. 24 ZAG vor, wenn die Authentifizierung so ausgestaltet ist, dass die Vertraulichkeit der Authentifizierungsdaten geschützt ist und dies unter Heranziehung von mindestens zwei der folgenden, in dem Sinne voneinander unabhängigen Elementen geschieht und zwar so, dass die Nichterfüllung eines Kriteriums die Zuverlässigkeit der anderen nicht in Frage stellt: Kategorie Wissen, also etwas, das nur der Nutzer weiß (1), Kategorie Besitz, also etwas, das nur der Nutzer besitzt (2) oder Kategorie Inhärenz, also etwas, das der Nutzer ist (3).

a) Der Senat hält an seiner bisherigen Rechtsprechung, der die Annahme zugrunde liegt, dass der Anwendungsbereich des § 675v 4 Satz 1 Nr. 1 BGB auf das Fehlen der starken Kundenauthentifizierung bei der Autorisierung des Zahlungsvorgangs beschränkt ist, fest (vgl. Senat, Urteil vom 11.04.2024 – 8 U 1023/23, Urteilsumdruck Seite 24). Der klägerseits bemängelte Umstand, dass die Beklagte im streitgegenständlichen Zeitraum (Ende Februar 2022) unstreitig für das Login in das persönliche Online-Banking ihrer Kunden, folglich auch des Klägers, keine starke Kundenauthentifizierung i.S.v. § 1 Abs. 24 ZAG gefordert hat, sondern hierfür die Eingabe eines (statischen) Benutzernamens und einer (statischen) PIN ausreichen ließ, führt nicht dazu, dass ein etwaiger Schadensersatzanspruch der beklagten Sparkasse gemäß § 675v Abs. 3 BGB wegen § 675v Abs. 4 Satz 1 Nr. 1 BGB von vornherein ausgeschlossen ist.

Der durch den Verweis in § 675v Abs. 4 BGB in Bezug genommene § 1 Abs. 24 ZAG regelt lediglich „wie“ eine starke Kundenauthentifizierung zu realisieren ist; „wann“, d.h. in welchen Fällen, diese vom Zahlungsdienstleister verlangt werden muss, ist hingegen § 55 ZAG, einer im Aufsichtsrecht verankerten Vorschrift, zu entnehmen. § 55 Abs. 1 ZAG verpflichtet den Zahlungsdienstleister, eine starke Kundenauthentifizierung zu verlangen, wenn der Zahler online auf sein Zahlungskonto zugreift (1); einen elektronischen Zahlungsvorgang auslöst (2); über einen Fernzugang eine Handlung vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs beinhaltet (3).

aa) Es ist insoweit umstritten, ob und inwieweit eine – ggf. im Rahmen einer richtlinienkonformen Auslegung zu erzielende – Herbeiführung eines Gleichlaufs von Zivil- und öffentlich-rechtlichem Aufsichtsrecht geboten ist (vgl. zum Streitstand: BeckOGK/Hofmann, Stand 1.9.2022, BGB, § 675v Rn. 94 m.w.N.; siehe auch Schulte am Hülse/Steinsdörfer, VuR 5/2025, 172 ff.), d.h. ob der Schadensersatzanspruch des Zahlungsdienstleisters i.S.v. § 675v3 BGB, welcher (nur) die Ersatzfähigkeit von Schäden infolge eines nicht autorisierten Zahlungsvorgangs i.S.v. § 55 Abs. 1 Satz 1 Nr. 2 ZAG regelt, auch bereits dann gemäß § 675v Abs. 4 BGB ausgeschlossen sein soll, wenn der Zahlungsdienstleister gegen eine andere Verpflichtung des § 55 Abs. 1 Satz 1 ZAG, wie beispielsweise das Erfordernis einer starken Kundenauthentifizierung beim Online-Zugriff auf das Zahlungskonto (Nr. 1), verstoßen hat.

(1) Entgegen der Auffassung des Klägers ergibt sich nicht bereits aus der in § 675c Abs. 3 BGB gleich zu Beginn des Untertitels „Zahlungsdienste“ geregelten allgemeinen Verweisung auf das Zahlungsdiensteaufsichtsgesetz die unmittelbare Geltung von § 55 ZAG im Haftungssystem der §§ 675u, 675v BGB. In Bezug genommen werden in § 675c Abs. 3 BGB vielmehr ausdrücklich nur die „Begriffsbestimmungen“ (u.a.) des Zahlungsdiensteaufsichtsgesetzes. Es handelt sich dabei systematisch um „Legaldefinitionen kraft Verweisung“ (vgl. BeckOK BGB/Schmalenbach, 73. Ed., BGB, § 675c Rn. 15). Insbesondere in Ansehung dieser konkret begrenzten Verweisungsnorm vermag die Auffassung, der deutsche Gesetzgeber habe entgegen dem Wortlaut eine umfassende Bezugnahme auf das Aufsichtsrecht nur übersehen (vgl. Staudinger/Omlor (2020) BGB § 675v Rn. 35, 37), schwer zu überzeugen.

(2) Vielmehr deckt sich der Wortlaut von § 675v Abs. 4 BGB mit der im nationalen Recht üblichen Regelungssystematik, unionsrechtliche Vorgaben in zivil- und aufsichtsrechtliche Anforderungen aufzuschlüsseln und im jeweiligen Rechtsgebiet gesondert umzusetzen (Ellenberger/Bunte BankR-HdB/Maihold, 6. Aufl., § 33 Rn. 86).

675v Abs. 4 BGB setzt mit Wirkung zum 13.01.2018 Art. 74 Abs. 2 der Richtlinie (EU) 2015/2366 (Zweite Zahlungsdienste Richtlinie), welche in Art. 107 eine Vollharmonisierung vorsieht, um. Art. 74 Abs. 2 Satz 1 der Richtlinie (EU) 2015/2366 gibt vor, dass der Zahler einen finanziellen Verlust infolge eines nicht autorisierten Zahlungsvorgangs (vgl. Artikelüberschrift), der ihm entstanden ist, weil der Zahlungsdienstleister keine starke Kundenauthentifizierung verlangt hat, nur zu tragen hat, wenn der Zahler in betrügerischer Absicht gehandelt hat. § 55ZAG wurde vom nationalen Gesetzgeber demgegenüber zur Umsetzung der Art. 97, 4 Nr. 30 der Richtlinie (EU) 2015/2366 in das Zahlungsdiensteaufsichtsgesetz eingefügt (vgl. Casper/Terlau/Zahrte, 3. Aufl., ZAG § 55 Rn. 1 f.; Schäfer/Omlor/Mimberg/Omlor, 2. Aufl., ZAG § 55 Rn. 3 f.).

(3) Auch der Gedanke eines einheitlichen Regelungskonzepts rechtfertigt es nicht, ohne klaren gesetzgeberischen Auftrag aufsichtsrechtliche Regelungen pauschal in zivilrechtliche Haftungsvorschriften zu implementieren. Denn der europäische Gesetzgeber überlässt es – trotz der von Art. 107 Abs. 1 Richtlinie (EU) 2015/2366 vorgesehenen Vollharmonisierung – auch insoweit den nationalen Gesetzgebern, in welcher Weise sie den unionsrechtlichen Vorgaben Geltung verschaffen (Ellenberger/Bunte BankR-HdB/Maihold, 6. Aufl., § 33 Rn. 86, 386).

(4) Für § 675v Abs. 4 BGB ist somit die Definition der starken Kundenauthentifizierung in § 1 Abs. 24 ZAG kraft ausdrücklicher Verweisung maßgeblich. Die vom Gesetzgeber im zivilrechtlichen Zahlungsdiensterecht nicht in Bezug genommenen aufsichtsrechtlichen Regelungen in § 55 ZAG und der diese Vorschrift konkretisierenden Delegierten Verordnung (EU) 2018/389 betreffen hingegen öffentlich-rechtliche Pflichten und regeln die Aufsicht staatlicher Stellen. Zivilrechtlich werden dadurch die Pflichten von Kreditinstituten gegenüber Kunden im Allgemeinen weder einschränkt noch erweitert. Lediglich im Einzelfall können verfestigte aufsichtsrechtliche Grundsätze zur Bestimmung von Vertragsinhalten herangezogen werden, wenn sie Ausdruck einer allgemeinen Rechtspraxis sind (Ellenberger/Bunte BankR-HdB/Maihold, 6. Aufl., § 33 Rn. 394 m.w.N.). Zwar wird in der obergerichtlichen Rechtsprechung zum Teil eine Akzessorietät des Zivil- gegenüber dem Aufsichtsrecht vertreten (OLG Brandenburg, Urteil vom 15.01.2025 – 4 U 32/24, juris Rn. 55; OLG Naumburg, Urteil vom 22.05.2024 – 5 U 11/24, juris Rn. 60; OLG Frankfurt/Main, Urteil vom 06.12.2023 – 3 U 3/23, juris Rn. 55), aber – soweit es entscheidungserheblich auf die Reichweite des Haftungsausschlusses ankommt – angenommen, dass die geforderte „Akzessorietät“ keinen gänzlichen normativen Gleichlauf gebiete, sondern in Ansehung des Gesamtzusammenhangs und systematischen Kontexts im Rahmen des § 675v Abs. 4 Satz 1 Nr. 1 BGB nur auf den konkreten Zahlungsvorgang abzustellen sei (OLG Naumburg, Urteil vom 22.05.2024 – 5 U 11/24, juris Rn. 71; Urteil vom 10.01.2024 – 5 U 83/23, juris Rn. 59).

(5) Dieses Verständnis überzeugt nicht zuletzt angesichts der § 675v Abs. 4 BGB zugrunde liegenden europäischen Gesetzgebung in Gestalt von Art. 74 Abs. 2 Richtlinie (EU) 2015/2366. Bereits die Artikelüberschrift („Haftung des Zahlers für nicht autorisierte Zahlungsvorgänge“) gibt deutlich zu erkennen, dass die von den Mitgliedsstaaten umzusetzende Haftungsvorschrift, wonach den Zahler finanzielle Verluste aufgrund des Fehlens einer starken Kundenauthentifizierung nur treffen sollen, wenn dieser in betrügerischer Absicht gehandelt hat, auf konkrete Zahlungsvorgänge abstellt. Die in Art. 97 f. Richtlinie (EU) 2015/2366 i.V.m. der Delegierten Verordnung (EU) 2018/389 vorgesehenen weiteren Erfordernisse für die Bereithaltung einer starken Kundenauthentifizierungen zeigen zwar, dass das Gemeinschaftsrecht weitergehende Schutzvorschriften vorsieht, aber nicht jeden Verstoß gegen solche gleichermaßen und zwingend mit einem strikten Haftungsausschluss zugunsten des Zahlers sanktionieren möchte.

bb) Vor diesem Hintergrund sieht sich der Senat – mangels Klärungsbedürfnisses – nicht veranlasst, ein Vorabentscheidungsverfahren durch den Europäischen Gerichtshof nach Art. 267AEUV zur Beantwortung der Vorlagefragen gemäß Ziffer 3 der Berufungsanträge des Klägers herbeizuführen.

cc) Angesichts des aufgezeigten Verständnisses der Reichweite § 675v 4 Satz 1 Nr. 1 BGB kann es dahinstehen, ob sich die Beklagte auch im vorliegenden Einzelfall, wie sie meint, auf die Ausnahmevorschrift des § 55 Abs. 5 ZAG i.V.m. Art. 10 Abs. 1 Delegierte Verordnung (EU) 2018/389, wonach es bei dem bloßen „lesenden“ Zugriff auf Kontostände und Transaktionen der letzten 90 Tage ohne die Anzeige sensibler Daten i.S.v. § 1 Abs. 26 ZAG keiner starken Kundenauthentifizierung bedarf, stützen kann.

b) Der Kläger kann einen generellen Ausschluss eines etwaigen Anspruchs der Beklagten gemäß § 675v 3 Satz 1 BGB ebenso wenig daraus ableiten, dass das angewendete S-pushTAN-Verfahren im Zeitpunkt der schädigenden Ereignisse aufgrund struktureller Sicherheitsdefizite generell nicht den technischen Anforderungen an eine starke Kundenauthentifizierung i.S.v. § 1 Abs. 24 ZAG beim Zahlungsvorgang genügt habe (aa) oder ein erfolgreicher technischer Angriff im Einzelfall das System der starken Kundenauthentifizierung überwunden habe (bb). Darüber hinaus hat die Beklagte auch eine hinreichende Transaktionsbindung vorgehalten (cc).

aa) Die beklagte Zahlungsdienstleisterin verlangt im Zusammenhang mit der Verwendung des S-pushTAN-Verfahrens für Zahlungsvorgänge eine starke Kundenauthentifizierung i.S.v. § 675v 4 BGB i.V.m. § 1 Abs. 24 ZAG.

Zur Autorisierung eines Zahlungsvorgangs unter Verwendung des S-pushTAN-Verfahrens muss sich der Zahler nach der Erstellung des Zahlungsauftrags in seinem Online-Banking zusätzlich, aber nicht notwendigerweise auf einem anderen Endgerät, in der S-pushTAN-App durch Eingabe einer PIN (Kategorie Wissen, § 1 Abs. 24 Nr. 1 ZAG) oder unter Verwendung biometrischer Merkmale (Kategorie Inhärenz, § 1 Abs. 24 Nr. 3 ZAG) anmelden und dort den ihm angezeigten Zahlungsauftrag nach Überprüfung der Angaben freigeben, wodurch vermittelt über das zuvor registrierte Endgerät das zweite Element aus der Kategorie „Besitz“ (§ 1 Abs. 24 Nr. 2 ZAG) verlangt wird (vgl. OLG Frankfurt, Urteil vom 06.12.2023 – 3 U 3/23, juris Rn. 83; OLG Naumburg, Urteil vom 30.10.2024 – 5 U 35/24, juris Rn. 72 m.w.N.).

(1) Der vom Kläger kritisierte Umstand, dass das Online-Banking und die S-pushTAN-App grundsätzlich parallel auf ein und demselben Endgerät betrieben werden könne und damit keine Zwei-Faktor-Authentifizierung verlangt werde, ändert nichts daran, dass das streitgegenständliche Zahlungsinstrument eine starke Kundenauthentifizierung gewährleistet.

So sieht § 55 Abs. 5 ZAG i.V.m. Art. 9 Abs. 2, 3 lit. a) der Delegierten Verordnung (EU) 2018/389 vor, dass insbesondere für die Verwendung von sog. Mehrzweckgeräten, wie Smartphones, Sicherheitsvorkehrungen bzw. Risikominierungsmaßnahmen getroffen werden müssen. Damit implizieren die europarechtlichen Vorgaben bereits, dass eine Ein-Gerätenutzung grundsätzlich möglich sein soll (vgl. BeckOK BGB/Schmalenbach, 73. Ed., BGB § 675v Rn. 15b).

(2) Auch der Sachverständige Dipl.-Inf. (FH) A… hat in seinem Gutachten vom 28.10.2023 nachvollziehbar bestätigt, dass das S-pushTAN-Verfahren grundsätzlich die Anforderungen an eine starke Kundenauthentifizierung erfüllt (Frage 2, Seite 18). Dass – wovon auch der Sachverständige ausgeht – App-basierte Zahlungsverfahren gewisse strukturell bedingte Sicherheitslücken aufweisen können und insoweit auch die Beklagte verbleibende „Restrisiken“ einräumt (vgl. Security-Review der Sparkassen pushTAN App vom 24.09.2021, Seite 16), führt indes nicht dazu, dass die allgemeine praktische Sicherheit des eingesetzten Sicherungsverfahrens (vgl. Grüneberg/Grüneberg, BGB, 84. Aufl., § 675w Rn. 4) in Frage steht, wenn hinreichende Risikominderungsmaßnahmen i.S.v. Art. 9 Abs. 3 lit. a) der Delegierten Verordnung (EU) 2018/389 durch den Zahlungsdienstleister vorgesehen werden (vgl. auch Ellenberger/Bunte BankR-HdB/Maihold, 6. Aufl., § 33 Rn. 393). Es kann mangels Kausalität offen bleiben, ob solche Maßnahmen von der Beklagten ergriffen worden sind, da die schädigenden Vorfälle im Streitfall nach dem unstreitigen Klägervortrag nicht bei der Verwendung eines sog. Mehrzweckgerätes für die Zahlungsfreigabe und die Erstellung des Zahlungsauftrags von statten gegangen sind.

bb) Darüber hinaus steht nicht zur Überzeugung des Senats fest, dass ein für die technische Sicherheit des Systems der Beklagten relevanter Angriff stattgefunden hat und damit die Anforderungen an eine starke Kundenauthentifizierung im Einzelfall nicht vorgelegen haben.

Aus dem – insoweit unstreitigen – Klägervortrag zum Ablauf des Missbrauchsgeschehens wird vielmehr deutlich, dass der Kläger Opfer von sog. Social Engineering in Gestalt eines Phishing-Angriffs geworden ist. Dabei wird durch – wie hier technisch aufwändige – Täuschungsmaßnahmen (Phishing mittels Fake-Mails und Fake-Webseiten, Call-ID-Spoofing) auf das Vorstellungsbild des Opfers eingewirkt und so dessen Mitwirkung bei der Preisgabe von Informationen und Autorisierung von Transaktionen herbeigeführt.

(1) Die Beklagte hat durch die unter B.I.1.b)aa) behandelte Transaktionsdokumentation – wie ausgeführt – im Ausgangspunkt aufgezeigt, dass vorliegend eine Authentifizierung erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht sowie nicht durch eine Störung beeinträchtigt wurde. Gegenteiliges hat auch der Sachverständige Dipl.-Inf. (FH) A…, welchem die entsprechenden Unterlagen vorlagen, nicht feststellen können (Gutachten vom 28.10.2023, Frage 4, Seite 20). Dieser Befund deckt sich mit der Auswertung des Senats und wird auch nicht durch den klägerseitigen Einwand, dass eine ihm nicht zuordenbare IP-Adresse für den Zugriff auf das Online-Banking verwendet wurde, in Frage gestellt. Dieser Aspekt ist im Rahmen von § 675v Abs. 4 Satz 1 Nr. 1 BGB dafür, ob die Beklagte (in technischer Hinsicht) eine starke Kundenauthentifizierung i.S.v. § 1 Abs. 24 ZAG vorgehalten hat, nicht relevant, da er nicht die beiden voneinander unabhängigen Elemente aus den Kategorien Wissen, Besitz oder Inhärenz betrifft.

Für die klägerseits benannten, grundsätzlich denkbaren Software-bezogenen Angriffsszenarien (beispielsweise Man-in-the-Middle-Angriff, Angriffe auf die S-pushTAN-App durch Schadsoftware wie Banking-Trojaner) hat der Sachverständige Dipl.-Inf. (FH) A… im Streitfall keine objektiven Anhaltspunkte ausmachen können. Zwar betont dieser sowohl in dem Gutachten vom 28.10.2023 als auch in dem im Hinblick auf die beklagtenseitigen Einwendungen eingeholten Ergänzungsgutachten vom 07.02.2024, dass App-basierte Online-Banking-Verfahren, wie das streitgegenständliche, aufgrund der Verwendung von grundsätzlich angreifbarer und sich nicht im Einfluss- und Kontrollbereich der Beklagten befindlicher Hardware in Form von sog. Mehrzweckgeräten in Verbindung mit der Verwendung lediglich fortgeschrittener, aber nicht qualifizierter elektronischer Signaturmechanismen (vgl. Ergänzungsgutachten vom 07.02.2024, Seiten 9, 23), konzeptionelle Sicherheitsdefizite aufwiesen, welche durch Schutzvorkehrungen auch nicht gänzlich behoben werden könnten. Unter Berücksichtigung der Gesamtumstände des Einzelfalls führen die abstrakt aufgezeigten Manipulationsmöglichkeiten, wie die „Installation einer manipulierten push-TAN-App durch einen Angreifer“ (Gutachten vom 28.10.2023, Frage 6, Seite 22) und sonstigen allgemeinen Sicherheitsbedenken aber nicht dazu, dass von einem tatsächlichen kriminellen Einwirken auf die Sicherheitsinfrastruktur auszugehen ist und damit ein Defizit bei der starken Kundenauthentifizierung nahe läge.

(2) Von dem Zutreffen des einzig greifbaren tatsächlichen Anhaltspunkts, der klägerseitig für einen unmittelbaren Angriff auf die auf dem Smartphone des Klägers befindliche Software, mithin das Element aus der Kategorie Besitz gemäß § 1 Abs. 24 Nr. 2 ZAG, vorgebracht wird, nämlich die Überblendung bzw. Verfälschung der App-Anzeige bei der Auftragsfreigabe, vermochte sich der Senat im Ergebnis der persönlichen Anhörung des Klägers nicht zu überzeugen.

Es sprechen gewichtige Anhaltspunkte dafür, dass der Kläger die App-Anzeige während der streitgegenständlichen Vorfälle am 23.02. und 24.02.2022 nicht hinreichend überprüft hat und im Nachhinein zu dem Schluss gelangt ist, dass ihm eine im Rahmen von Auftragsfreigaben übliche Ansicht (vgl. Anlage B 7) nicht angezeigt worden sein kann oder er dies zumindest nunmehr so angibt.

Während der Anrufe der vorgeblichen Sparkassenmitarbeiterin verwendete der Kläger sein Smartphone sowohl für das Telefonat als auch zur Bedienung der S-pushTAN-App. Hierzu musste er das Gerät vom Ohr nehmen, um die App zum Zwecke der Anmeldung und der Bestätigung der Aufträge betätigen zu können. Diese unübliche und umständliche Verwendung der S-pushTAN-App während eines laufenden Telefonats und die Ablenkung des Klägers durch die ihm unterbreitete Legende bezüglich der Notwendigkeit von Aktualisierungsmaßnahmen im Zusammenhang mit seinem Online-Banking sprechen dafür, dass der Fokus des Klägers nicht notwendigerweise auf der App-Anzeige gelegen haben muss. Vielmehr hat sich der Kläger offenbar eher durch eine entsprechende Nachfrage bei der Anruferin rückvergewissert, wofür die Freigaben erforderlich seien sowie dass alles seine Richtigkeit habe und sich letztlich mit der erhaltenen Erklärung zufrieden gegeben, sodass nach seiner Schilderung für ihn auch keine zwingende Veranlassung mehr bestand, den Smartphonebildschirm noch genau zu kontrollieren. Die Vorgänge, welche einer starken Kundenauthentifizierung bedurften (Tageslimitänderung, Änderung des Benutzernamens für das Online-Banking und Echtzeitüberweisung), wurden zeitlich allesamt während der Telefonate vorgenommen, was ein Abgleich des vorgelegten Screenshots der Anrufliste des Klägers (eA I 17, 84) und der in den als Anlagen B 4 (23.02.2022) und B 5 (24.02.2022) vorgelegten Revisions-Logging-Protokolle zeigt. Dabei fällt auf, dass zwischen den systemseitig dokumentierten Visualisierungsanzeigen und Freigabezeitpunkten jedenfalls am 23.02.2022 (Limitänderung – Visualisierungstext: 16:41:58 Uhr, Freigabe: 16:42:05 Uhr; Echtzeitüberweisung – Visualisierungstext: 16:42:56, Freigabe: 16:43:00; Änderung Benutzername – Visualisierungstext: 16:43:19, Freigabe: 16:43:25) jeweils nur wenige Sekunden liegen und die an diesem Tag vorgenommenen drei Freigaben insgesamt innerhalb von weniger als anderthalb Minuten erfolgt sind. Dies dokumentiert eine äußert schnelle Dynamik der Abläufe, die wenig Zeit für eine eingehende Sichtung der App-Anzeige gelassen hat und vielmehr dafür spricht, dass der Kläger den Instruktionen der Anruferin gleichsam „blind“ Folge geleistet hat. Am Folgetag war das tatsächliche Geschehen demgegenüber durch die klägerseitig vorgetragenen mehrfachen Abbrüche der Telefonverbindung geprägt, die notwendigerweise die Aufmerksamkeit des Klägers durch mehrfache Wechsel zwischen der S-pushTAN-App und der Telefonanzeige erfordert haben dürften. Dafür, dass sich der Kläger – anders als er vorgibt – die tatsächliche Anzeige des App-Bildschirms während der Freigaben nicht hinreichend vergegenwärtigt hat und damit aus einer erlebten Erinnerung heraus schildern konnte, spricht ferner, dass ihm die Betrugsvorfälle erst am 09.03.2022, mithin knapp zwei Wochen später, bekannt geworden sind und er folglich die tatsächliche Tragweite der Situation erst in diesem Moment reflektiert bzw. für sich rekonstruiert hat. So hat der Kläger zu keiner Zeit, auch nicht im Rahmen seiner Online-Strafanzeige vom 10.03.2022, einen Tag nach dem Bekanntwerden, die korrekte Anzahl der seinerseits am 23.02.2022 getätigten App-Freigaben, nämlich drei, erinnert, sondern exakt zwei angegeben. Erst auf Nachfrage des Senats im Rahmen der Anhörung hat er eingeräumt, dass es sich auch um drei Freigaben gehandelt haben könne. Der Senat hegt schließlich auch deshalb Zweifel an der generellen Aufmerksamkeit des Klägers im Zusammenhang mit der Benutzung der S-pushTAN-App, weil seine Angaben in der mündlichen Verhandlung gezeigt haben, dass er auch bei sonstigen regulären Zahlungsvorgängen nicht sämtliche Informationen wahrgenommen hat, die im Zusammenhang mit der regulären Auftragsfreigabe unstreitig angezeigt worden sind. Dies betrifft zum einen den Umstand, dass der Kläger in der Anhörung vor dem Senat erst auf konkrete Nachfrage vage bestätigt hat, dass vor einer regulären Zahlungsfreigabe über die S-pushTAN-App auch der Zahlbetrag angezeigt wird. Von sich aus hat der Kläger nur die Anzeige der von ihm im Rechtsstreit ohnehin als unzureichend bemängelten IBAN benannt. Zum anderen betrifft dies die beklagtenseits aufgeworfene Thematik der ab Mitte 2021 erforderlichen App-Aktualisierung auf die Version 2.0. Insoweit hat die Beklagte konkret vorgetragen, dass in der App ein entsprechender Aktualisierungshinweis (vgl. Anlage B 10) angezeigt worden sein muss, da der Kläger, wie er auch selbst in der Anhörung bestätigt hat, ausweislich der als Anlage B 3 vorgelegten TAN- und Freigabeliste noch bis zu seiner letzten Überweisung vor den streitgegenständlichen Vorfällen am 16.02.2022 die Zahlungsfreigaben über die Eingabe einer TAN realisiert hat, was nur bei der veralteten App-Version noch möglich war. Dann muss ihm jedoch in der App bei den jeweiligen Zahlungsvorgängen bis zu diesem Zeitpunkt stets der vorgenannte Hinweistext angezeigt worden sein, an den sich der Kläger aber ebenfalls nicht erinnern kann.

(3) Im Ergebnis steht damit ein durch betrügerisches Einwirken von außen geprägter Geschehensablauf, wie er bei sog. Social Engineering Szenarien typisch ist, fest. Es fehlt demgegenüber an Anknüpfungspunkten, dafür dass es darüber hinaus auch zu einer technischen Manipulation des klägerseits benutzten Zahlungsinstruments gekommen ist und damit die Funktionalität des Authentifizierungsprozesses, insbesondere der starken Kundenauthentifizierung, in Frage stünde.

c) Schließlich verfängt auch der Einwand des Klägers, dass es mangels einer hinreichenden Transaktionsbindung im Sinne einer dynamischen Verknüpfung bei den streitgegenständlichen Zahlungsvorgängen am 23.02. und 24.02.2022 an einer starken Kundenauthentifizierung i.S.v. § 675v 4 Satz 1 Nr. 1 BGB, § 55 Abs. 2, 5 ZAG i.V.m. Art. 5 Abs. 1 lit. a), Abs. 2 lit. a) der Delegierten Verordnung (EU) 2018/389 gefehlt habe, nicht. Darin, dass in der verwendeten S-pushTAN-App-Version dem Zahler neben dem Zahlbetrag – unstreitig – nicht namentlich der jeweilige Zahlungsempfänger, sondern nur dessen IBAN angezeigt worden ist, liegt kein Verstoß gegen das Erfordernis der Bereithaltung einer dynamischen Verknüpfung bei elektronischen Fernzahlungsvorgängen.

Ein Erfordernis, dass zu jeder Zeit während des Autorisierungsverfahrens in der S-pushTAN- App der Name des Zahlungsempfängers visualisiert werden muss, kann weder dem Wortlaut der einschlägigen Vorschriften entnommen werden noch wird – soweit ersichtlich – eine solche Anforderung im Schrifttum oder von der obergerichtlichen Rechtsprechung aufgestellt (vgl. zur Frage der permanenten Anzeige der „Kerndaten“ während des gesamten Zahlungsvorgangs: OLG Naumburg, Urteil vom 30.10.2024 – 5 U 35/24, juris Rn. 73 f.).

Handelt es sich bei dem elektronischen Zahlungsvorgang nach § 55 Abs. 1 Satz 1 Nr. 2 ZAG um einen elektronischen Fernzahlungsvorgang, d.h. einen Zahlungsvorgang, der – wie hier – über das Internet oder mittels eines Geräts, das für die Fernkommunikation verwendet werden kann (§ 1 Abs. 19 ZAG), ausgeführt wird, hat der Zahlungsdienstleister eine (qualifiziert) starke Kundenauthentifizierung zu verlangen, die Elemente umfasst, die den Zahlungsvorgang dynamisch mit einem bestimmten Betrag und einem bestimmten Zahlungsempfänger verknüpfen (§ 55 Abs. 2 ZAG).

Sowohl der bereits wiedergegebene Wortlaut des § 55 Abs. 2 ZAG als auch derjenige von Art. 5 Abs. 1 lit. a), Abs. 2 lit. a) der Delegierten Verordnung (EU) 2018/389, die gemäß § 55 Abs. 5 ZAG näheres zu Erfordernissen und Verfahren zur starken Kundenauthentifizierung regeln, setzen, neben anderen Informationen, die Anzeige des „Zahlungsempfängers“ voraus. Sinn und Zweck der dynamischen Verknüpfung ist es, dem Zahler die Kerndaten des Zahlungsvorgangs (Betrag und Kundenkennung des Empfängers) fälschungssicher zum Abgleich anzuzeigen, bevor rechtlich bindend der Zahlungsauftrag erteilt wird. Auf dieser Grundlage soll die finale Entscheidung über die Erteilung des Zahlungsauftrags getroffen werden (Schäfer/Omlor/Mimberg/Omlor, 2. Aufl., ZAG, § 55 Rn. 39; vgl. auch Ellenberger/Bunte BankR-HdB/Maihold, 6. Aufl., § 33 Rn. 388, der von vornherein die Anzeige der „IBAN des Zahlungsempfängers“ verlangt). Eine Identifikation des Zahlungsempfängers ist durch die Angabe seiner IBAN gleichermaßen bzw. sogar präziser möglich, da ein nur namentlich benannter Zahlungsadressat nicht selten über mehrere ihm zugeordnete Konten verfügen kann.

Es kann daher bezüglich der Beanstandung des Klägers, dass das Zahlungssystem der Beklagten eine dynamische Verknüpfung nicht gewährleiste, dahinstehen, ob eine Verfehlung dieser – wiederum aufsichtsrechtlich verankerten – technischen Anforderung den Haftungsausschluss nach § 675v Abs. 4 Satz 1 Nr. 1 BGB zu begründen vermag.

Dem dem Kläger mangels Autorisierung des Zahlungsvorgangs zustehenden Anspruch aus § 675u Satz 2 BGB steht allerdings ein – wie unter B.I.2 ausgeführt, nicht gemäß § 675v Abs. 4 Satz 1 Nr. 1 BGB ausgeschlossener – Schadensersatzanspruch der Beklagten gegen den Kläger aus § 675v Abs. 3 Nr. 2 lit. a) und lit. b) BGB in Höhe von insgesamt 39.537,15 Euro (24.422,44 Euro + 24.999 Euro abzüglich Mitverschuldensanteil der Beklagten, hierzu 3.b) entgegen. Diesen kann die Beklagte dem Kläger gemäß § 242 BGB nach Treu und Glauben erfolgreich entgegen halten, sodass der Kläger eine Wiedergutschrift der Überweisungsbeträge nur in Höhe von 9.884,29 Euro zuzüglich Zinsen verlangen kann. Besteht ein gegenläufiger Schadensersatzanspruch des Zahlungsdienstleisters, kann dieser in entsprechendem Umfang eine Gutschrift nach § 675u Satz 2 BGB gemäß den Grundsätzen von Treu und Glauben verweigern (vgl. BGH, Urteil vom 05.03.2024 – XI ZR 107/22, juris Rn. 49; Urteil vom 17.11.2020 XI ZR 294/19, juris Rn. 25; Urteil vom 05.10.2004 – XI ZR 210/03, juris; Senat, Urteil vom 06.04.2023 – 8 U 578/22, juris Rn. 77).

a) Die Beklagte hat einen eigenen Schadensersatzanspruch gegen den Kläger gemäß § 675v 3 Nr. 2 lit. a) und lit. b) BGB, da der Kläger grob fahrlässig eine Pflicht gemäß § 675l Abs. 1 BGB und eine vereinbarte Bedingung für die Ausgabe und Nutzung des Zahlungsinstruments verletzt hat. Mit der Schaffung des in § 675v Abs. 3 BGB geregelten Schadensersatzanspruchs hat der Gesetzgeber dem Umstand Rechnung getragen, dass betrügerische Handlungen im Zusammenhang mit Online-Banking-Vorgängen auch in die Risikosphäre des Bankkunden fallen können und die Bank deshalb nicht für jegliche Folgen solcher Angriffe allein aufzukommen hat.

aa) Der Kläger hat gegen die Verpflichtung nach § 675l 1 BGB verstoßen (vgl. § 675v Abs. 3 Nr. 2 lit. a) BGB).

(1) Gemäß § 675l Abs. 1 Satz 1 BGB hat der Zahlungsdienstnutzer die Pflicht, unmittelbar nach Erhalt eines Zahlungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale (vgl. 675j BGB) vor unbefugtem Zugriff zu schützen. Zum Begriff dieser Sicherheitsmerkmale gehören insbesondere auch Besitzmerkmale im Sinne des § 1 Abs. 24 Nr. 2 ZDG. Erfasst sind insbesondere PIN, TAN und Kenn- bzw. Passworte. Insbesondere auch die Verwendung der S-pushTAN-App, die auf einem hierfür registrierten Mobiltelefon des Zahlungsdienstnutzers installiert ist, stellt ein solches Sicherheitsmerkmal dar, denn über den Besitz an seinem Mobiltelefon hat nur der Zahlungsdienstnutzer Zugriff hierauf (Grüneberg/Grüneberg, BGB, 84. Aufl., § 675v Rn. 10).

(2) Der Kläger hat einem unbekannten Dritten mittelbar Zugriff auf ein personalisiertes Sicherheitsmerkmal gewährt. Denn in der Betätigung der S-pushTAN-App auf Zuruf der Anruferin liegt eine Zugriffsgewährung. Er hat die Kontrolle über das Authentifizierungsinstrument faktisch aus der Hand gegeben und der Anruferin überlassen, indem er ohne vorherige Überprüfung nach ihren Anweisungen gehandelt hat. Die wirksame Einbeziehung der Allgemeinen Geschäftsbedingungen der Beklagten ist in diesem Rahmen ohne Relevanz. Denn die Pflicht, alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale (vgl. 675j BGB) vor unbefugtem Zugriff zu schützen, ist eine gesetzliche Sorgfaltspflicht des Zahlungsdienstnutzers in Bezug auf Zahlungsinstrumente. Der Zugriff des Dritten erfolgte auch unbefugt. Unbefugt ist ein Zugriff Dritter, der durch die vertragliche Vereinbarung zur Nutzung des Zahlungsinstruments nicht gedeckt ist (Grüneberg/Grüneberg, BGB, 84. Aufl., § 675l Rn. 2).

bb) Wie das Landgericht zutreffend ausgeführt hat, hat der Kläger zudem eine vertraglich vereinbarte Bedingung für die Ausgabe und Nutzung des Zahlungsinstruments verletzt (vgl. § 675v 3 Nr. 2 lit. b) BGB).

(1) Die Allgemeinen Geschäftsbedingungen der Beklagten zum Online-Banking sind Vertragsbestandteil. Im Rahmen des Abschlusses der Vereinbarung zum Online-Banking am 07.08.2008 (vgl. Anlage B 11) wurden diese unter Punkt 9 wirksam einbezogen und waren nachfolgend jederzeit auf der Webseite der Beklagten veröffentlicht und unter „AGB“ zugänglich. Nach Ziffer 7.2 der Bedingungen für das Online-Banking müssen die Teilnehmer die Sicherheitshinweise auf der Online-Banking Seite der Sparkasse, insbesondere die Maßnahmen zum Schutz der von ihr eingesetzten Hard- und Software, beachten. Nach Ziffer 7.3 der Bedingungen für das Online-Banking zeigt die Sparkasse dem Teilnehmer die von ihr empfangenen Auftragsdaten (z.B. Betrag, Kontonummer des Zahlungsempfängers, Wertpapierkennnummer) über das gesondert vereinbarte Gerät des Teilnehmers an (z.B. mittels mobilem Endgerät, Chipkartenlesegeräte mit Display). Der Teilnehmer ist verpflichtet, vor der Bestätigung die Übereinstimmung der angezeigten Daten mit den für den Auftrag vorgesehenen Daten zu prüfen. Diese Klauseln sind – entgegen der Auffassung des Klägers – weder überraschend i.S.v. § 305c Abs. 1 BGB noch wegen ihrer Unbestimmtheit unwirksam. Dass sicherheitsrelevante Verhaltensanforderungen des Kunden für die Nutzung eines Systems, dessen Integrität ganz erheblich von deren Einhaltung abhängt, vertraglich – wie hier in den entsprechenden Nutzungsbedingungen – festgehalten werden, liegt nahe. Abgesehen davon ist die vertragliche Verpflichtung zur Kenntnisnahme von den (jeweils aktuellen) Sicherheitshinweisen auf der Internetpräsenz der Beklagten auch nicht zu unbestimmt. Es bedurfte nicht der Festlegung eines bestimmten Intervalls, da sich von selbst versteht, dass die jeweils im Zeitpunkt der Überweisungsvornahme relevanten und zur Verfügung stehenden Hinweise beachtet werden müssen. Vor diesem Hintergrund hat die Beklagte auch – was der Kläger im Rahmen seiner Anhörung vor dem Senat nicht mehr in Abrede gestellt hat – einen entsprechenden Link im Online-Banking-Bereich der Kunden vorgehalten, mit dem unschwer die Sicherheitshinweise geöffnet werden konnten.

(2) Diese Pflicht hat der Kläger verletzt, indem er vor der Bestätigung des von Dritten generierten Auftrages in der S-pushTAN-App die angezeigten Daten nicht überprüft hat. Insoweit kann auf die unter B.I.2 ausgeführten Erwägungen verwiesen werden, in denen ausgeführt wird, welche Gesichtspunkte für die Überzeugung des Senats, dass der Kläger – anders als er vorgibt – seinen Überprüfungspflichten nicht genügt hat, leitend waren.

cc) Gegen die Pflichten, sein Smartphone vor unbefugtem Zugriff im Sinne von § 675l 1 Satz 1 BGB zu schützen und die Aufträge entgegen der vereinbarten Bedingungen mit der Beklagten nicht ohne weitere Überprüfung freizugeben, hat der Kläger auch grob fahrlässig verstoßen.

(1) Da die Zahlungsdiensterichtlinie die Ausgestaltung des Begriffs der groben Fahrlässigkeit dem einzelstaatlichen Recht überlässt (Erwägungsgrund Nr. 33 Richtlinie 2007/64/EG vom 13.11.2007 über Zahlungsdienste im Binnenmarkt), kann an die bisherige Rechtsprechung angeknüpft werden. Danach liegt grobe Fahrlässigkeit vor, wenn die im Verkehr erforderliche Sorgfalt in ungewöhnlich grobem Maße verletzt worden ist und auch ganz nahe liegende Überlegungen nicht angestellt worden sind oder dasjenige nicht beachtet worden ist, was im konkreten Fall jedem hätte einleuchten müssen (BGH, Urteil vom 23.09.2008 – XI ZR 253/07, juris Rn. 34 m.w.N.). Zu beachten ist jedoch, dass anders als bei einfacher Fahrlässigkeit, die nach einem ausschließlich objektiven Pflichtenmaßstab beurteilt wird, bei grober Fahrlässigkeit auch subjektive, in der Individualität des jeweils Handelnden begründete Umstände zu berücksichtigen sind (BGH, Urteil vom 26.01.2016 – XI ZR 91/14, juris Rn. 73; Ellenberger/Bunte BankR-HdB/Maihold, 6. Aufl., § 33 Rn. 246). Selbst ein objektiv grober Pflichtverstoß rechtfertigt für sich noch keinen zwingenden Schluss auf ein entsprechend gesteigertes personales Verschulden (BGH, Urteil vom 26.01.2016 – XI ZR 91/14, juris Rn. 73, m.w.N.). Den Teilnehmer am Online-Banking muss nicht nur aus objektiver Sicht, sondern auch subjektiv ein schlechthin unentschuldbares Versagen bei der Befolgung ihm erkennbarer Pflichten treffen (Ellenberger/Bunte BankR-HdB/Maihold, 6. Aufl., § 33 Rn. 246).

In den nicht selten komplexen und wegen ihrer großen Vielfalt nicht von jedem ohne Weiteres zu überblickenden Online-Banking-Verfahren können auch die Unerfahrenheit oder Unbeholfenheit des Kunden grobe Fahrlässigkeit ausschließen. Zu beachten sind deswegen individuelle Kenntnisse, technische Erfahrung und praktische Gewandtheit des konkreten Teilnehmers am Online-Banking (Ellenberger/Bunte BankR-HdB/Maihold, 6. Aufl., § 33 Rn. 247).

(2) Gemessen an diesen Maßstäben handelte der Kläger unter Berücksichtigung seiner individuellen Kenntnisse und Fähigkeiten sowie seiner Erfahrungen und Kompetenzen im Bereich Online-Banking in der Gesamtschau aller Umstände auch in subjektiver Hinsicht nicht mehr entschuldbar und damit grob fahrlässig im Sinne der Vorschrift.

Der Kläger hatte schon deswegen allen Grund zum Argwohn, weil er vorgeblich von seiner Bank eine – die von dem Landgericht im Einzelnen herausgearbeiteten deutlichen „sprachlichen Warnzeichen“ aufweisende – E-Mail erhalten hat, welche ihn ohne nachvollziehbare Relevanz für das eigentliche Anliegen (Aktualisierung/Umzug Online-Banking) zur Verifizierung seiner Person durch die Betätigung eines Links aufgefordert hat. Es hat sich angabegemäß eine Seite geöffnet, die von der Login-Seite zum Online-Banking der Beklagten nicht zu unterscheiden gewesen sei, sodass sich der Kläger mit seinen üblichen Zugangsdaten angemeldet und schließlich über ein Pop-Up-Fenster die Information erhalten habe, dass er telefonisch kontaktiert werde. Die in der Folge stattgefundenen Telefonate waren durch die an zwei Tagen wiederholte Aufforderung zu mehrfachen Freigaben in S-pushTAN-App für einen (eigentlich) technisch überschaubaren Vorgang im Rahmen des Massengeschäfts gekennzeichnet. Dass die Bank ausweislich der (Phishing-)E-Mail vom 20.02.2022) eine mangels individueller Ansprache offenbar alle das Online-Banking nutzenden Kunden („unsere Kunden“) betreffende Aktualisierung, ohne nähere Erläuterungen derart umständlich ausgestaltet, hätte selbst einem technischen Laien als ungewöhnlich auffallen müssen. Jedenfalls in der Kumulation dieser Abläufe und Einzelfallumstände kann das Gesamtverhalten des Klägers nicht mehr als einfacher Pflichtverstoß eingestuft werden.

Es ist allgemein bekannt, dass über sogenannte Phishing-E-Mails Daten von Bankkunden Dritten unberechtigt bekannt werden können. Zudem ist bekannt, dass bei Telefonanrufen leicht über die Identität des Anrufenden getäuscht werden kann und technische Möglichkeiten bestehen, um die auf dem Telefondisplay angezeigte Anrufnummer zu manipulieren. Bei Nutzung einer App, die explizit der Freigabe von Finanztransaktionen und darüber hinaus allenfalls wichtiger sicherheitsrelevanter Einstellungen dient, muss es zudem im Allgemeinen jedem einleuchten, dass eine Nutzung zu anderen Zwecken, wie der Initialisierung einer „Aktualisierung“ bzw. eines nicht näher umschriebenen „Umzugs“ des Online-Bankings nicht zulässig ist. Unabhängig von der konkreten Warnung kann es keinem verständigen Verbraucher, der Zahlungsdienste nutzt, entgangen sein, dass sämtliche Banken seit Jahren vor so genannten „Phishing“-Nachrichten und betrügerischen Anrufen warnen. Aufgrund der in den letzten Jahren vielfach durch verschiedene Medien bekannt gewordenen Fälle ist die Erkenntnis, dass Kunden durch betrügerische Nachrichten und Anrufe angeblicher Bankmitarbeiter zur Preisgabe von Zugangsdaten zum Online-Banking veranlasst werden sollen, als allgemeines Wissen vorauszusetzen, denn spätestens seit 2006 wurde das kriminelle Phänomen des Phishings öffentlich breit diskutiert (OLG München, Hinweisbeschluss vom 22.09.2022 – 19 U 2204/22, BeckRS 2022, 36075 Rn. 68, beck-online). In der Folgezeit gab es fortlaufend eine Fülle von Presseberichten, wonach sich Kriminelle am Telefon als eine andere Person ausgeben und unter Vorspiegelung falscher Tatsachen den Angerufenen zu finanziellen Transaktionen veranlassen (beispielsweise beim sog. Enkeltrick). Hinzu kommt, dass der Kläger als Mitarbeiter des öffentlichen Dienstes – wie er auch eingeräumt hat – regelmäßig, in etwa jährlich, IT-Sicherheitsunterweisungen, welche insbesondere Verhaltenshinweise zum Umgang mit „verdächtigen“ E-Mails zum Gegenstand hatten, erhalten hat. Es ist daher davon auszugehen, dass der Kläger jedenfalls allgemeine Kenntnis von der Möglichkeit solcher betrügerischer Vorgänge hatte, auch ohne dass die Beklagte ihn zuvor ausdrücklich informiert. In der konkreten Situation hätte er daher misstrauisch werden können und müssen. Zur Vermeidung von Wiederholungen wird insoweit aus die zutreffenden Ausführungen des Landgerichts in dem angefochtenen Urteil Bezug genommen. Anders als der Kläger meint, kann die „Schnelllebigkeit des Alltags“ das Übersehen der ungewöhnlichen, teilweise grammatikalisch falschen Formulierungen, fehlenden namentlichen Ansprache, Schreibfehler etc. nicht rechtfertigen oder entschuldigen, da eine per se mit besonderer Sorgfalt zu behandelnde Nachricht seiner Hausbank in Rede stand. Es wäre vor diesem Hintergrund notwendig gewesen, zunächst inne zu halten und entsprechenden Aufforderungen nur nachzukommen, wenn die Berechtigung des Anliegens – ggf. nach Rücksprache mit dem persönlichen Bankberater oder einer Rückversicherung auf der Webseite der Beklagten – geprüft worden ist. Der Kläger hat selbst angegeben, dass die Bank ihm zwar gelegentlich E-Mails zukommen ließ. Dass diese aber vergleichbare Inhalte zu unmittelbar sicherheitsrelevanten Themen enthielten, konnte der Kläger nicht bestätigen, sodass es sich für ihn ungeachtet der äußeren Anhaltspunkte auch generell im Hinblick auf die Kommunikation mit seiner Bank als ungewöhnlich darstellen musste, dass derartige Anliegen auf diesem Weg an ihn herangetragen werden.

Zudem hatte die Beklagte ausweislich der vorgelegten Aktuellen Sicherheitswarnungen (eA I 78 ff.) bereits im März 2021 vor betrügerischen Telefonanrufen bei Kunden durch vermeintliche Sparkassen-Mitarbeiter gewarnt und konkret geschildert, dass die Anrufer, um zu täuschen, ihre Rufnummer so verfälschten, dass es so aussehe, als ob es sich wirklich um einen Anruf von der Sparkasse handele. Die Anrufer würden häufig Kontostände und Umsätze kennen und die Anrufe erfolgten am Abend oder am Wochenende und damit außerhalb der normalen Geschäftszeiten, damit keine Möglichkeit bestehe, bei der Sparkasse nachzufragen. Während des Telefonats würde der Kunde aufgefordert, den Auftrag in der S-pushTAN-App freizugeben. Die Beklagte warnte zudem eindringlich und ausdrücklich unter dem 27.12.2021 (eA I 271 f.) vor Phishing-Mails, mithilfe derer Kunden zum Aufruf betrügerischer Web-Seiten bewegt werden sollten, um dort Zugangsdaten und weitere persönliche Daten abzufragen, welche sodann im Rahmen betrügerischer Anrufe zur Freigabe nicht autorisierter Online-Banking-Überweisungen missbraucht werden könnten. Der Kläger hat im Rahmen der mündlichen Verhandlung eingeräumt, trotz der ihm bekannten, einfachen Zugänglichkeit nicht regelmäßig die Sicherheitshinweise der Beklagten aufgerufen zu haben, was auch für sich genommen einen grob fahrlässigen Verstoß i.S.v. § 675v Abs. 3 Nr. 2 lit. b) BGB darstellt. Auch wenn der Kläger vor diesem Hintergrund die Warnung vom 27.12.2021 nicht las, wäre es ihm bei Anwendung der im Verkehr erforderlichen Sorgfalt grundsätzlich ohne Weiteres möglich gewesen.

Die Kontrolle der Überweisungsdaten stellt als abschließende Kontrolle der Zahlungsdaten den zentralen Schutz vor einer Kompromittierung des Zahlungsauftrages dar. Dafür, dass im Streitfall ein technischer Angriff auf das System der Beklagten oder die App-Software stattgefunden hat, konnten auch im Rahmen einer sachverständigen Begutachtung keine objektivierbaren Anhaltspunkte festgestellt werden (s.o.). Werden folglich, wovon hier auszugehen ist, Zahlungsaufträge bereits vor abschließender Freigabe durch den Kunden durch den Zugriff eines Dritten generiert, kann der Kunde dies bei einer sorgfältigen Prüfung der ihm übermittelten Zahlungsdaten erkennen und seinerseits den jeweiligen Zahlungsauftrag abbrechen. Unterlässt der Bankkunde diese abschließende Kontrolle der Zahlungsdaten, stellt dies eine schwerwiegende Pflichtverletzung dar, die im Falle auch subjektiv festzustellender grober Fahrlässigkeit zur Haftung des Kunden nach § 675v Abs. 3 BGB führt. Die abschließende Kontrolle der Zahlungsdaten vor deren endgültigen Freigabe gehört zu den jedermann bekannten Grundpflichten im Zahlungsverkehr (Ellenberger/Bunte BankR-HdB/Maihold, 6. Aufl., § 33 Rn. 362).

Der Kläger hat mit der Freigabe des von Dritten generierten Auftrags in seiner S-pushTAN-App seine Sorgfaltspflichten – wie das Landgericht zutreffend festgestellt hat – in ihm auch subjektiv vorwerfbarer Weise grob fahrlässig vernachlässigt. Der Rahmen einfacher Fahrlässigkeit ist schon wegen der zahlreichen deutlichen Indizien für einen durch Dritte kompromittierten Zahlungsvorgang überschritten, die dem Kläger die Einsicht aufdrängen mussten, dass die Anruferin betrügerisch handelt und Freigaben oder „Auftragsbestätigungen“ in der S-pushTAN-App nicht erfolgen durften. Er hat sich trotz individuell vorhandener Einsichtsmöglichkeiten leichtfertig über Bedenken hinweggesetzt, die sich jedem hätten aufdrängen müssen.

Der Kläger war aufgrund seiner individuellen Kenntnisse und Fähigkeiten ohne Weiteres in der Lage, die Bedeutung der Überprüfung der ihm angezeigten Daten vor Freigabe in der S-pushTAN-App intellektuell zu erfassen und nach dieser Einsicht zu handeln. Er betreibt nach eigenen Angaben seit vielen Jahren Online-Banking und war mit den entsprechenden Abläufen vertraut. Die Vornahme von Überweisungen war ihm geläufig. Aufgrund der darin ebenfalls erlangten Routine war ihm bewusst, dass mit der Betätigung der S-pushTAN-App ein Überweisungsvorgang ausgelöst werden kann und ohne deren Betätigung keine Überweisung erfolgt. Vor diesem Hintergrund mag der Umstand, dass kurz vor oder im Zusammenhang mit den streitgegenständlichen Überweisungsvorgängen eine Aktualisierung der S-pushTAN-App stattgefunden hat, zwar dazu geführt haben, dass für die Freigabe der streitgegenständlichen Vorgänge und Überweisungen nicht mehr – wie bisher – TANs generiert und anschließend händisch im Online-Banking eingegeben werden mussten, sondern durch einen einfachen Klick auf den Freigabe-Button in der App eine automatisierte TAN-Übermittlung veranlasst wird, eine gewisse Abweichung von den dem Kläger bisher bekannten Abläufen dargestellt haben. Doch ändert dieser Umstand, dessen nähere Hintergründe (Wer hat wann die App aktualisiert?) auch im Rahmen der Anhörung des Klägers nicht erhellt werden konnten, nichts an der Tatsache, dass die S-pushTAN-App dem Kläger nach seinen eigenen Angaben bisher nur als Zahlungsinstrument, nicht aber zur Autorisierung sonstiger administrativer Vorgänge bekannt war und ihm daher schon die Verwendung zu den von den Angreifern geschilderten Zwecken hätte argwöhnisch machen müssen.

Das Verhalten des Klägers stellt sich in der Gesamtschau aller konkreten Umstände als grob fahrlässig dar.

dd) Der Beklagten ist kausal infolge der Pflichtverletzung des Klägers ein Schaden entstanden. Die Beklagte hat schlüssig dargelegt und durch Vorlage der Transaktionsprotokolle belegt, dass die Überweisung ermöglicht wurde, indem der Kläger die S-pushTAN-App auf seinem Mobilfunkgerät nutzte.

Selbst wenn weitere – von dem Kläger nicht preisgegebene (sondern anders erlangte) – Zugangsdaten für die Überweisung notwendig waren, würde sich an der Kausalität der klägerischen Pflichtverletzung nichts ändern. Denn es würde kumulative Kausalität vorliegen. Keine der Handlungen könnte hinweggedacht werden, ohne dass der Erfolg entfiele (vgl. § 840 Abs. 1 BGB).

b) Der Anspruch der Beklagten aus § 675v 3 BGB ist gemäß § 254 Abs. 1 BGB aufgrund eines Sorgfaltspflichtverstoßes der Beklagten entsprechend § 675m Abs. 1 Satz 1 Nr. 1 BGB i.V.m. § 55 Abs. 1 Satz 1 Nr. 1 ZAG um 20 % (9.884,29 Euro) zu kürzen.

aa) Vorliegend hat die beklagte Sparkasse aufsichtsrechtlichen Vorgaben in Gestalt der Bereithaltung einer starken Kundenauthentifizierung auch beim Online-Zugriff auf das Zahlungskonto i.S.v. § 55 1 Satz 1 Nr. 1 ZAG nicht genügt. Unter Berücksichtigung der zwischen den Parteien wirkenden Treuepflichten kann der Kunde erwarten, dass der Zahlungsdienstleister seine aufsichtsrechtlichen Pflichten erfüllt (vgl. Brandenburgisches OLG, Urteil vom 15.01.2025 – 4 U 32/24, juris Rn. 55 – dort allerdings im Rahmen des Haftungsausschlusses § 675v Abs. 4 BGB thematisiert) und damit den umfassenden europarechtlichen Vorgaben entstammenden Sicherheitsvorkehrungen genügt. Zwar löst die fehlende Vorhaltung einer starken Kundenauthentifizierung für das Login ins Online-Banking nach Auffassung des Senates nicht den zugunsten des Kunden eingreifenden (vollständigen) Haftungsausschluss i.S.v. § 675v Abs. 4 Satz 1 Nr. 1 BGB aus. Unabhängig davon ist die Verletzung der vorgenannten (aufsichtsrechtlichen) Verpflichtung der Beklagten indes aufgrund ihrer Mitursächlichkeit für das Gelingen von Betrugsfällen, wie dem Vorliegenden, in Gestalt einer Beschränkung der Ersatzpflicht des Klägers aufgrund eines mitwirkenden „Verschuldens der Beklagten gegen sich selbst“ i.S.v. § 254 Abs. 1 BGB zu berücksichtigen. Bei dieser Vorschrift handelt es sich um eine Ausprägung des Grundsatzes von Treu und Glauben (Grüneberg/Grüneberg, BGB, 84. Aufl. § 254 Rn. 1), welche Raum für eine sachgerechte und einzelfallbezogene Verschuldensabwägung lässt.

Die Angreifer konnten nach dem Erlangen der lediglich aus einer Kategorie i.S.v. § 1 Abs. 24 ZAG entstammenden Zugangsdaten des Klägers für sein Online-Banking-Login (Benutzername und PIN) der dortigen Anzeige auch (unstreitig) sensible Zahlungsdaten i.S.v. § 1 Abs. 26 ZAG entnehmen, sodass die Ausnahmevorschriften der § 55 Abs. 5 ZAG i.V.m. Art. 10 Abs. 1 der Delegierten Verordnung (EU) 2018/389 vorliegend nicht zugunsten der Beklagten eingreifen. Darin liegt zugleich der entscheidende Unterschied zu der beklagtenseits zitierten Entscheidung des Brandenburgischen Oberlandesgerichts (Urteil vom 15.01.2025 – 4 U 32/24, juris Rn. 58), welches die Berücksichtigung des auch hier in Rede stehenden Verstoßes gegen die originär aufsichtsrechtliche Verpflichtung zur Vorhaltung einer starken Kundenauthentifizierung für das Login ins Online-Banking als im Rahmen der Mitverschuldensprüfung beachtlichen Umstand bewertet, jedoch im Einzelfall einen Verstoß auf einer vom Streitfall abweichenden Tatsachengrundlage verneint hat.

Sensible Zahlungsdaten i.S.v. § 1 Abs. 26 ZAG sind Daten, einschließlich personalisierter Sicherheitsmerkmale, die für betrügerische Handlungen verwendet werden können. Vorliegend waren nach einem „einfachen“ Login in das Online-Banking der Beklagten nach dem nicht substantiiert bestrittenen Vortrag des Klägers jedenfalls im streitgegenständlich relevanten Zeitraum u.a. das Geburtsdatum und die Nummer seiner Sparkassenkarte einsehbar. Ebendiese Informationen benötigten die Angreifer, um das aktuell verfügbare Tageslimit – ohne Zutun des Klägers – einsehen zu können, wovon sie auch jeweils in unmittelbarem zeitlichen Zusammenhang mit den Anrufen vom 23.02. und 24.02.2022 Gebrauch machten (vgl. Anlagen B 4 und B 5).

Vor diesem Hintergrund war der Verstoß der Beklagten gegen aufsichtsrechtliche Vorschriften für das Gelingen des betrügerischen Angriffs jedenfalls mitursächlich, weil so ohne Zutun des Klägers die aus dem Online-Banking heraus zu veranlassenden Vorbereitungsmaßnahmen und Auftragserstellungen vorgenommen werden konnten. Angesichts des gleichzeitig mitwirkenden und – wie ausgeführt – als grob fahrlässig einzustufenden Verhaltens des Klägers, welches insbesondere dazu geführt hat, dass die Täter überhaupt in den Besitz seiner Zugangsdaten für das Online-Banking gelangt sind und der weiteren Sorgfaltsverstöße im Rahmen der Telefonate, erachtet der Senat im Rahmen der gebotenen Gesamtabwägung insoweit die Berücksichtigung eines Mitverschuldensanteils der Beklagten von 20 % für angemessen und ausreichend.

bb) Für nicht berücksichtigungsfähig erachtet der Senat hingegen die weiteren Einwände des Klägers bezüglich der fehlenden Einhaltung des Sicherheitsstandards nach dem „aktuellen/marktüblichen Stand der Technik“ bei dem verwendeten Zahlungsverfahren (1) sowie einer von der Beklagten nur unzureichend ausgeführten Transaktionsüberwachung (2).

(1) Zwar wird vertreten (vgl. OLG Frankfurt, Urteil vom 06.12.2023 – 3 U 3/23, juris Rn. 109 m.w.N.; MüKoHGB/Linardatos, 5. Aufl., K, Rn. 233), dass die Verwendung eines nicht dem aktuellen bzw. marktüblichen Sicherheitsstandard genügenden Zahlungsinstruments ein im Rahmen des Mitverschuldens beachtlicher Umstand sein kann. Vorliegend ist jedoch davon auszugehen, dass das S-pushTAN-Verfahren im Zeitpunkt der Echtzeit-Überweisungen dem Stand der Technik von App-basierten Zahlungsverfahren entsprach.

So gelangen letztlich alle drei aktenkundigen technischen Expertisen (Sachverständigengutachten Dipl.-Inf. (FH) A…, Gutachten Dr. Ing. a C… – Anlage B 23 – und Security-Review der Beklagten vom 24.09.2021) übereinstimmend und nachvollziehbar zu dem Ergebnis, dass das S-pushTAN-Verfahren zwar aufgrund seiner grundsätzlichen Konzeptionierung Angriffsmöglichkeiten bietet, diese aber nur „Restrisiken“ einer Kompromittierung eröffnen. Auch aus dem Gutachten des Sachverständigen Dipl.-Inf. (FH) A… nebst Ergänzungsgutachten ergibt sich – anders als der Kläger meint – nichts Gegenteiliges. Der Sachverständige hält im Ausgangspunkt nur HBCI-Chipkarten-basierte Verfahren, welche qualifiziert elektronische Signaturen zur Verschlüsselung nutzen, im Zahlungsverkehr für ausreichend sicher (Ergänzungsgutachten vom 07.02.2024, Seite 8). Damit spricht er jedoch im Ergebnis pauschal allen am Markt angebotenen „RDH-Sicherheitsverfahren für das Online-Banking“, mithin App-basierten Zahlungsverfahren, aufgrund ihrer – systemimmanenten (Ergänzungsgutachten vom 07.02.2024, Seite 19) – Sicherheitslücken, die er auf konzeptionelle Schwächen zurückführt, die Eignung und damit Einhaltung des „aktuellen Stands der Technik“ ab. Dies stellt mangels Betrachtung der marktüblichen Vergleichsgruppe „App-basierte Banking-Verfahren“ und angesichts der grundsätzlichen gesetzlichen Zulassung solcher Zahlungsinstrumente bereits keine taugliche Prämisse dar.

(2) Es liegen keine Anhaltspunkte dafür vor, dass die Beklagte Auffälligkeiten bei den streitgegenständlichen Vorgängen hätte bemerken und den Kläger folglich warnen oder die Ausführung der Zahlungsvorgänge verhindern müssen.

Es bedarf keiner vertieften Ausführungen zu der Frage, ob und inwieweit Banken gegenüber ihren Kunden eine Transaktionsüberwachung zum Schutz vor betrügerischen Angriffen schulden und welche konkreten Anhaltspunkte im Einzelfall – unter Berücksichtigung der Gegebenheiten des automatisierten Zahlungsverkehrs – sie zu einer Warnung des Kunden veranlassen müssen. Vorliegend hat die Beklagte jedenfalls durch die Vorlage der Anlage B 20, gegen deren inhaltliche Richtigkeit sich der Kläger nicht gewandt hat, aufgezeigt, dass der Kläger selbst in der jüngeren Vergangenheit der streitgegenständlichen Vorfälle (Mitte 2019 und Mitte 2021) das Tageslimit für sein Online-Banking bereits zweimal auf 25.000 Euro erhöht hat. Schon vor diesem Hintergrund begründete aus Sicht der Beklagten die Erhöhung des Limits keine „Auffälligkeit“. Auch die Ausführung der angewiesenen Echtzeit-Überweisungen an ein bislang „unbekanntes“ Konto über hohe Beträge, stellt keinen zivilrechtlich relevanten Sorgfaltspflichtverstoß der Beklagten dar. Dieser Umstand kann schon in allgemeiner Hinsicht nicht als auffällig und als Indikator für einen möglichen missbräuchlichen Kontozugriff angesehen werden, da es vielmehr im unbaren Zahlungsverkehr typisch ist, dass Zahlungen auch an solche Empfänger erfolgen, an die bislang noch keine Zahlungen erfolgt waren (OLG Bremen, Beschluss vom 30.08.2024 – 1 U 32/24, juris Rn. 39). Dass die streitgegenständlichen Zahlungsvorgänge unter Verwendung von nicht notwendigerweise dem Kläger zuordenbaren IP-Adressen ausgeführt worden sind, stellt – wie bereits ausgeführt – ebenfalls keine Auffälligkeit dar, welche die Beklagte hätte zu einer Warnung oder Verweigerung der Transaktionsausführung veranlassen müssen. Weitere hinweisbedürftige Auffälligkeiten hat der Kläger nicht angeführt.

Die nach Art. 2 der Delegierten VO 2018/389 vorzuhaltenden Transaktionsüberwachungsmechanismen sind nicht auf eine Echtzeitanalyse einzelner Zahlungsvorgänge gerichtet, durch die im Interesse der betroffenen Zahlungsdienstnutzer gegebenenfalls auffällige Transaktionen vor deren Ausführung zu stoppen wären (vgl. die Auslegung durch die Europäische Bankenaufsichtsbehörde (EBA) in Single Rulebook Q&A, Question ID 2018_4090; ebenso OLG Bremen, Beschluss vom 30.08.2024 – 1 U 32/24, juris Rn. 39; Casper/Terlau-Terlau, 3. Aufl., § 1 ZAG Rn. 520; Zahrte, BKR 2024, 593, 599; ; a. A. Linardatos, BKR 2021, 665, 675 – in Bezug auf kontaktlose Zahlungen).

Ein weitergehender Schadensersatzanspruch kann auch nicht aus den überdies (erstinstanzlich) angeführten Anspruchsgrundlagen § 823 Abs. 2 BGB i.V.m § 55 ZAG und Art. 82DSGVO abgeleitet werden.

Hinsichtlich eines Schadensersatzanspruchs aus § 823 Abs. 2 BGB, der an eine Schutzgesetzverletzung von § 55 ZAG anknüpft, ergeben sich aus den ausgeführten Erwägungen keine weitergehenden Schadensersatzansprüche des Klägers.

Hinsichtlich des behaupteten Verstoßes der Beklagten i.S.v. Art. 82 Abs. 1 DSGVO gegen Art. 43 DSGVO erweist sich der Klägervortrag – jedenfalls im Hinblick auf die Kausalität und den Schadenseintritt – bereits als unschlüssig.

Der Kläger rügt, die Beklagte habe mit einem TÜV-Siegel der TÜV Rheinland AG für die Sicherheit und Datenschutzkonformität ihres Online-Banking-Verfahrens geworben, ohne dass die Prüfgesellschaft – wie vorausgesetzt – eine Zertifizierungsstelle i.S.v. Art. 43 DSGVO gewesen sei.

Grundsätzlich ersatzfähig sind materielle und immaterielle Schäden, die durch einen Verstoß gegen die Datenschutz-Grundverordnung verursacht wurden. Der Nachweis der Ursächlichkeit und des Eintritts eines Schadens als haftungsbegründendem Umstand obliegt dabei dem Betroffenen. Beweiserleichterungen gelten hierfür nicht (Plath/Becker, DSGVO/BDSG/TTDSG, 4. Aufl., Art. 82 EUV 2016/67, Rn. 4). Es ist nicht vorgetragen oder naheliegend, dass es dem Kläger darum gegangen wäre, sein Online-Banking ausschließlich bei einem von einer Zertifizierungsstelle i.S.v. Art. 43 DSGVO geprüften Kreditunternehmen zu unterhalten. Ferner erschließt sich im Hinblick auf die haftungsausfüllende Kausalität nicht, inwieweit der gerügte Verstoß für die beim Kläger eingetretenen Schäden ursächlich gewesen sein soll.

III. Der Kläger hat Anspruch auf vorgerichtliche Rechtsanwaltskosten aus §§ 280 Abs. 1, 249 BGB berechnet aus dem erfolgreichen Teil seiner Rechtsverfolgung nebst Verzugszinsen in Höhe von fünf Prozentpunkten über dem Basiszinssatz gemäß §§ 280 Abs. 1 Satz 2, 286 Abs. 2 Nr. 1 BGB i.V.m. § 675u Satz 3 BGB ab dem Folgetag der anwaltlichen Vertretungsanzeige und Zahlungsaufforderung vom 21.03.2021 gegenüber der Beklagten (Anlage K 5). Der Höhe nach beläuft sich dieser Anspruch auf Ersatz vorgerichtlicher Anwaltskosten auf 1.119,79 Euro, ermittelt aus einem Gebührenstreitwert in Höhe von 9.884,29 Euro. Im Hinblick auf die geltend gemachte Geschäftsgebühr Nr. 2300 VV RVG, für die der Klägervertreter in Ausübung seines Ermessens einen Gebührensatz von 2,2 angesetzt hat (vgl. Gerold/Schmidt/Mayer, 26. Aufl., RVG VV 2300 Rn. 36), erachtet der Senat allerdings keine nahe des oberen gesetzlichen Rahmens von 2,5 liegende Festsetzung des Gebührensatzes für angemessen, sondern geht vor dem Hintergrund des überdurchschnittlichen Aufwands und Umfangs des Verfahrens von einem Gebührensatz von 1,5 aus. Soweit der Klägervertreter den besonderen Aufwand im Rahmen der außergerichtlichen Vertretung u.a. mit der notwendigen Kommunikation mit den Strafverfolgungsbehörden begründet, führt dieser Umstand angesichts der gesonderten Erteilung einer „Vollmacht zur Vertretung als Strafgeschädigter“ vom 10.03.2022 (Ermittlungsakte der Staatsanwaltschaft Hildesheim zum Az. 16 Js 29765/22, Bl. 23), wodurch insoweit eigenständige Vergütungsansprüche begründet worden sind (vgl. VV RVG – Teil 4 Strafsachen – Vorbemerkung 4), nicht zu einer weiteren Erhöhung der Geschäftsgebühr.

 

C.

Die Kostenentscheidung beruht auf §§ 92 Abs. 1 Satz 1, 97 Abs. 1 ZPO.

Der Ausspruch zur vorläufigen Vollstreckbarkeit folgt aus §§ 708 Nr. 10, 711 ZPO.

Anlass, die Revision zuzulassen besteht nicht. Die Entscheidung beruht auf einer Bewertung und Würdigung von Einzelumständen. Insbesondere verpflichtet die Ablehnung einer Vorlage des Rechtsstreits das nicht letztinstanzlich entscheidende Berufungsgerichts – unabhängig von der Zulassung der Revision – nicht zu einer Vorlage an den Europäischen Gerichtshof (vgl. Calliess/Ruffert/Wegener, 6. Aufl., AEUV, Art. 267 Rn. 27; Vedder/Heintschel von Heinegg/Pache, Europäisches Unionsrecht, 2. Aufl., AEUV, Art. 267 Rn. 28). Darüber hinaus ist der Senat nicht im Sinne einer Divergenz (§ 543 Abs. 2 Satz 1 Nr. 2 F. 2 ZPO) von gegenteiligen Obersätzen von der Rechtsprechung anderer Obergerichte oder des Bundesgerichtshofs abgewichen. Soweit das Oberlandesgericht Brandenburg im Hinblick auf den Ausschlusstatbestand des § 675v Abs. 4 Satz 1 Nr. 1 BGB ausgeführt hat, dass diese Vorschrift akzessorisch zum Aufsichtsrecht auszulegen sei und es einen Ausschluss des Anspruchs des Zahlungsdienstleisters aus § 675v Abs. 3 BGB auch dann für möglich gehalten hat, wenn dieser die Erfordernisse des § 55 Abs. 1 Satz 1 Nr. 3 ZAG nicht eingehalten hat (OLG Brandenburg, Urteil vom 15.01.2025 – 4 U 32/24, juris Rn. 55), kam es darauf nicht entscheidungserheblich an. Denn das Oberlandesgericht Brandenburg hat im Ergebnis einen Verstoß gegen die aufsichtsrechtliche Pflicht aus § 55 Abs. 1 Satz 1 Nr. 3 ZAG verneint (OLG Brandenburg a.a.O. Rn. 56). Gleiches gilt für die Entscheidung des Oberlandesgerichts Frankfurt vom 06.12.2023 (3 U 3/23, juris Rn. 55).

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Jetzt zum Newsletter anmelden!

Erlaubnis zum Versand des Newsletters: Ich möchte regelmäßig per E-Mail über aktuelle News und interessante Entwicklungen aus den Tätigkeitsfeldern der Anwaltskanzlei Hild & Kollegen informiert werden. Diese Einwilligung zur Nutzung meiner E-Mail-Adresse kann ich jederzeit für die Zukunft widerrufen, in dem ich z. B. eine E-Mail an newsletter [at] kanzlei.biz sende. Der Newsletter-Versand erfolgt entsprechend unserer Datenschutzerklärung.

n/a