LG Halle (Saale) | ||
Urteil vom 23.06.2023 | ||
4 O 133/22 | ||
Zulassung des chip-TAN-Verfahrens manuell ohne Anzeige von Zahlungsempfänger und Zahlungsbetrag im Display des TAN-Generators | ||
JurPC Web-Dok. 136/2023, Abs. 1 - 53 | ||
Leitsätze: | ||
1. Ein Schadensersatzanspruch der Bank gegen den Zahler ist gemäß § 675 v Abs. 4 Ziffer 1 BGB ausgeschlossen, wenn die Bank des Zahlers eine starke Kundenauthentifizierung im Sinne des § 1 Abs. 24 des Zahlungsdiensteaufsichtsgesetzes (ZAG) nicht verlangt hat. 2. Eine starke Kundenauthentifizierung im Sinne des § 1 Abs. 24 ZAG verlangt im elektronischen Fernzahlungsverkehr eine solche, die Elemente umfasst, die den Zahlungsvorgang dynamisch mit einem bestimmten Betrag und einem bestimmten Zahlungsempfänger verknüpfen (vgl. Artikel 97 Abs. 2 RL (EU) 2015/2366, § 55 Abs. 2 ZAG, welcher Art. 97 II RL umsetzt). 3. Gemäß Art. 5 VO (EU) 2018/389 VO über technische Regulierungsstandards für eine starke Kundenauthentifizierung müssen Zahlungsdienstleister für elektronische Fernzahlungsvorgänge eine starke Kundenauthentifizierung verlangen, die Elemente umfasst, die den Zahlungsvorgang dynamisch mit einem bestimmten Betrag und einem bestimmten Zahlungsempfänger verknüpfen und deshalb zusätzlich zu den sonst vorzunehmenden Sicherheitsmaßnahmen solche vorsehen, dass Zahlungsbetrag und Zahlungsempfänger dem Zahler angezeigt werden in allen Phasen der Authentifizierung (Generierung, Übertragung und Verwendung des Authentifizierungscodes). | ||
Tatbestand: | ||
| Der Kläger nimmt die Beklagte auf rückwirkende Wertgutschrift wegen nicht von ihm autorisierter Zahlungsvorgänge in Anspruch. Die Nichtautorisierung ist streitig ebenso das Bestehen eines im Wege der Aufrechnung geltend gemachten Schadensersatzanspruchs der Beklagten gegen den Kläger nach Grund und Höhe. | Abs. 1 | |
| Der Kläger führt einen Handwerksbetrieb ohne weitere Angestellte. Seine anderweitig berufstätige Ehefrau, die Zeugin S, kümmert sich um die Rechnungslegung und den Zahlungsverkehr des Betriebes. Sie ist bereits seit 2003 als Verfügungsberechtigte für das bei der Beklagten geführte Geschäftsgirokonto eingesetzt ist (vgl. Girovertrag Anlage B 1 Blatt 28 d.A.). Bei der Beklagten unterhält der Kläger neben dem Geschäftskonto noch ein privates Girokonto, ein Sparkonto sowie ein Festgeldkonto. | Abs. 2 | |
| Am 28.06.2004 vereinbarten die Parteien eine Teilnahme des Klägers am Onlinebanking bzgl. alle bestehenden und zukünftigen Konten des Klägers für alle Online-Geschäftsvorfälle (Anlage K 1 Blatt 7 ff d.A. und Anlage B 2 Blatt 30 f d.A.) unter Einbeziehung der sog. Online-Banking Bedingungen mit PIN und TAN (vgl. Anlage K 1 Blatt 8 d.A.). | Abs. 3 | |
| Für die Zeugin wurde keine Vereinbarung geschlossen. Dennoch kümmerte sie sich um die Bezahlung der Rechnungen und den Zahlungsverkehr des Betriebes über den Online-Banking-Zugang des Klägers, was den Mitarbeitern der Beklagten in der zuständigen Filiale auch bekannt war. | Abs. 4 | |
| Genutzt wurde ein TAN-Verfahren. Die Verwendung der auf den zugesandten TAN- Listen vermerkten TANs wurde abgelöst durch die mittels eines TAN-Generators (vgl. Abbildung Anlage K 4 Blatt 103 d.A. vorgelegt im Termin) übermittelten TANs, welche die Zeugin entsprechend der dem TAN-Generator beigefügten Bedienungsanleitung (vgl. Anlage K 5 Blatt 104 f d.A. vorgelegt im Original im Termin) nach Scannen eines sog. Flicker-Codes vom Computermonitor mit dem TAN-Generator generierte, auf dem Bildschirm des TAN-Generators ablas und sodann im Online-Banking eingab. | Abs. 5 | |
| Die Parteien hatten zwar in der ursprünglichen Online-Banking-Vereinbarung (Anlage K 1) ein Limit nicht vereinbart. Dies geschah jedoch unstreitig zu einem späteren Zeitpunkt, 2011 oder 2012, durch schriftliche Vereinbarung eines Tageslimits für Überweisungen in Höhe von 10.000,00 EUR (vgl. Seite 2 SS v. 10.05.2023 Blatt 156 d.A.). | Abs. 6 | |
| Im Zuge der Fusion der Kreissparkasse S und der Sparkasse M zur Beklagten und der weiteren Automatisierung der Online-Banking-Zahlungsdienste auf Seiten der Beklagten durch die technische Migration auf ein IT-System wurde dieses Limit in das System der Beklagten übertragen und zentral erfasst, worauf die Kunden schriftlich hingewiesen wurden (vgl. Blatt 119 d.A.). | Abs. 7 | |
| Eine Änderung des Tageslimits wurde seither seitens des Klägers nie beantragt, vielmehr richtete der Kläger seinen Zahlungsverkehr stets entsprechend dem vereinbarten Tageslimit aus. | Abs. 8 | |
| Am Samstag, dem 31.10.2020 wurde per Online-Banking zunächst vom Tagesgeldkonto des Klägers ein Betrag von 20.000,00 EUR auf das Privatkonto des Klägers übertragen, sodann 39.000,00 EUR in zwei Teilbeträgen in Höhe von 7.000,00 EUR und 32.000,00 EUR auf das Geschäftskonto des Klägers. | Abs. 9 | |
| Sodann wurde um 13.11 Uhr im Online-Banking eine Erhöhung des Tageslimits von 10.000,00 EUR auf 94.999,00 EUR in Auftrag gegeben und seitens der Beklagten ausgeführt sowie nachfolgend um 13.15 Uhr eine Einzelüberweisung in Höhe von 7.222,00 EUR und um 13.19 Uhr eine weitere Überweisung in Höhe von 7.445,00 EUR in Auftrag gegeben und ausgeführt. | Abs. 10 | |
| Am Sonntag, dem 01.11.2020 um 11.09 Uhr erfolgte erneut eine Änderung des Tageslimits, diesmal auf 80.000,00 EUR im Online-Banking. Im Anschluss wurden im Online-Banking weiter zwei Einzelüberweisungen in Höhe von 8.787,00 EUR um 11.12 Uhr und in Höhe von 16.000,00 EUR um 11.15 Uhr ausgeführt. | Abs. 11 | |
| Ein Zugang zu seinem Online-Banking war dem Kläger am 01.11.2020 nach Ausführung der Zahlungsdienste nicht mehr möglich. Daraufhin ließ der Kläger das Online-Banking am selben Abend gegen 20.00 Uhr über den Sperrnotrufdienst telefonisch sperren. Die beauftragten Zahlungsdienste waren zu diesem Zeitpunkt automatisch längst ausgeführt worden. Der Kläger und seine Ehefrau versuchten am 02.11.2020 die Beklagte um 07.30 Uhr zu kontaktieren, was ihnen über ihr Festnetztelefon nicht möglich war. Die sodann mit dem Mobiltelefon erreichte Beklagte teilte dem Kläger mit, dass die nicht autorisierten Überweisungen nicht mehr gestoppt werden könnten und informierte ihn über die notwendigen weiteren Schritte. Der Kläger machte bei der Polizeidienststelle in Sangerhausen eine Strafanzeige gegen Unbekannt. Die Sperre des Online-Bankings ließ der Kläger aus Sicherheitsgründen bis zum gegenwärtigen Zeitpunkt bestehen. Zahlungsdienste betreffend sein Geschäftskonto beauftragt er seither nicht mehr online, sondern wie im Übrigen betreffend seine Privatkonten ohnehin wieder auf klassischem Weg über einen Bankautomaten oder per kostenpflichtigen Überweisungsschein, wie vor 2004. | Abs. 12 | |
| Der Kläger bestreitet, die seitens der Beklagten ihm mitgeteilten von ihr ausgeführten Zahlungsdienste autorisiert zu haben. Er behauptet hierzu, seine Ehefrau, die Zeugin S, habe während des Online-Bankings am 30.10.2020 im Onlinebankingzugang des Klägers eine Meldung der Beklagten entdeckt, dass der TAN-Generator neu konfiguriert werden müsse. Nach dem Ausloggen habe sie sich in den E-Mail-Account des Klägers bei T-online eingeloggt, um die E-mails zu kontrollieren. Dabei habe sie die als Anlage K 2 (Blatt 9 d.A.) vorgelegte E-Mail entdeckt, welche sie mit der Meldung, dass der TAN-Generator neu konfiguriert werden müsse, in Verbindung gebracht habe. Sie habe auf den Button "weiter zur Registration" geklickt, wodurch sich eine Internetseite geöffnet habe, auf der sie folgende Daten ihres Mannes eingegeben hat: Nachname, Geburtsdatum, die letzten 4 Ziffern und das Ablaufdatum der Sparkassenkarte (Beweis: S Bl 3). Danach sei eine Bestätigungs-E-Mail eingegangen, in der gestanden habe, dass sich in Kürze ein Kundenberater, Herr T. W. melden würde und wofür sie sich noch eine PIN, welche in der Mail gestanden habe, habe merken oder aufschreiben sollen, was sie getan habe. | Abs. 13 | |
| Am Samstag, dem 31.10.2020, sei zwischen 13.00 Uhr und 14.00 Uhr auf dem Festnetztelefon ein Anruf mit der Telefonnummer der Beklagten ... im Display eingegangen, weshalb die Zeugin davon ausgegangen sei, dass der Anruf tatsächlich von der Beklagten stamme. Es habe sich der bereits angekündigte T. W. als Mitarbeiter der Beklagten gemeldet. Nach Aufforderung des Anrufers habe die Zeugin die Tasten 1 und 2 auf dem TAN-Generator gleichzeitig 3 Sekunden lang gedrückt, danach auf weitere Anweisung des Anrufers die Sparkassenkarte in den TAN- Generator gesteckt und sei den weiteren Anweisungen des Anrufers gefolgt. Der Anrufer habe der Zeugin zunächst einen sog. Start-Code mitgeteilt, nämlich Ziffernfolgen, welche die Zeugin eingetippt und mit "ok" bestätigt habe. Danach habe der Anrufer der Zeugin 2 oder 3 andere Ziffernfolgen mitgeteilt, die sie ebenfalls eintippen und jeweils mit "ok" habe bestätigen sollen, was sie auch getan habe. | Abs. 14 | |
| Daraufhin sei auf dem TAN-Generator eine mindestens 6-stellige Nummer erschienen, die die Zeugin dem Anrufer telefonisch durchgegeben habe. Diesen Vorgang habe die Zeugin 4- oder 5-mal nach Weisung des Anrufers wiederholt, weil es ein technisches Problem gegeben habe. Schließlich habe der Anrufer angekündigt, am Sonntag noch einmal anzurufen, um alle Vorgänge ordnungsgemäß abzuschließen. | Abs. 15 | |
| Am 01.11.2020 habe sich der Anrufer noch einmal unter der Telefonnummer der Beklagten gemeldet und die Zeugin noch einmal 2 der beschriebenen Vorgänge durchführen lassen. | Abs. 16 | |
| Der Kläger meint, die Beklagte hätte die Überweisungen nicht ausführen dürfen, weil diese von dem bisherigen Kontoverlauf in ganz auffälliger Weise abwichen. Er trägt vor, die Zeugin habe bei den Telefonaten mit dem vermeintlichen Mitarbeiter der Beklagten nicht erkennen können, dass sie TAN-Nummern preisgebe. Denn weder dem Kläger noch der Zeugin sei bekannt gewesen, dass man mit dem TAN-Generator nicht nur online durch Scannen eines Flimmerbildes, das im Onlinebanking gezeigt wird, TANs generieren kann, sondern auch offline, und wie hierfür der TAN-Generator zu bedienen wäre noch, dass solche TANs 6-stellig sind (Beweis: Kläger, Zeugin Bl 6). Die Display- Anzeige des TAN-Generators habe nicht erkennen lassen, dass TANs für Überweisungen und Limitänderungen generiert und mit OK freigegeben wurden. Weder seien Kommabeträge in Euro und Cent angezeigt worden noch IBAN-Nummern oder eine Limitänderung erkennbar gewesen. Der Kläger sei von der Beklagten nicht über die Möglichkeiten neuer Online-Zahlungsdienste informiert worden, insbesondere nicht darüber, dass man Verfügungslimite online aufheben oder ändern kann und dass Echtzeitüberweisungen möglich sind. Die jeweilige Bank könne technisch bestimmen, was im Display des TAN-Generators angezeigt werde, habe jedoch nicht dafür gesorgt, dass bei der Benutzung des Generators wie von dem Anrufer gefordert das Wort TAN und Angaben zum Zahlungsdienstevorgang angezeigt worden seien. Jedenfalls meint der Kläger nicht für Zahlungsvorgänge, die über das vereinbarte Tageslimit hinaus vorgenommen worden seien, zu haften. | Abs. 17 | |
| Der Kläger beantragt, | Abs. 18 | |
| die Beklagte zu verurteilen, dem Girokonto des Klägers DE wertmäßig zum 31.10.2020 einen Betrag in Höhe von 7.222,00 EUR und einen Betrag in Höhe von 7.445,00 EUR sowie wertmäßig zum 01.11.2020 einen Betrag in Höhe von 8.787,00 EUR und einen Betrag in Höhe von 16.000,00 EUR gutzuschreiben | Abs. 19 | |
| Die Beklagte beantragt, | Abs. 20 | |
| die Klage abzuweisen. | Abs. 21 | |
| Die Beklagte meint, ein Anspruch des Klägers aus § 675 u BGB sei nicht gegeben, weil die ausgeführten Zahlungsdienstaufträge seitens des Klägers autorisiert worden seien. Denn die Online-Banking Aufträge seien mit den Zugangsdaten des Klägers, den richtigen Antworten der Sicherheitsabfragen nach dem Geburtsdatum des Klägers und der vollständigen Kartennummer des Klägers, sowie den jeweils zu den einzelnen Aufträgen mittels des TAN-Generators des Klägers unter Einsatz der Bankkarte des Klägers erzeugten TANs, welche manuell im Online-Banking eingegeben worden seien, eingegangen. Dem Kläger seien die beauftragten Zahlungsdienstleistungen insbesondere auch die Limitänderungen nach den Grundsätzen der Anscheinsvollmacht zuzurechnen, weil er sie fahrlässig verursacht habe. | Abs. 22 | |
| Jedenfalls stehe der Beklagten ein Schadensersatzanspruch gegen den Kläger gemäß § 675 v Abs. 3 Ziffer 2 BGB in Höhe der geltend gemachten Wertgutschriften zu. Der Kläger habe wegen grob fahrlässiger Herbeiführung der streitgegenständlichen Zahlungsvorgänge den gesamten Schaden zu tragen. Es sei erkennbar gewesen, dass mittels des TAN-Generators unter Einsatz der Bankkarte des Klägers TANs erzeugt und diese telefonisch weitergegeben worden seien. Die Beklagte behauptet, zur Anforderung der TAN sei jeweils die TAN-Taste gedrückt worden. Weiter behauptet die Beklagte, die Ehefrau des Klägers habe auf der mit der E-Mail verlinkten Internetseite auch den Anmeldenamen und die PIN eingegeben (Blatt 163 d.A. Bd. I). Auch die Änderung des Tageslimits und der anschließende das bisherige Tageslimit überschreitende Zahlungsvorgang sei allein durch das schuldhafte Verhalten des Klägers verursacht worden und somit von diesem zu ersetzen. Im Detail seien Limitänderung und Überweisungen bei händischem Gebrauch des chipTAN-Generators abgelaufen wie auf Seite 5 des Schriftsatzes 10.05.2023 (Blatt 159 d.A.) unter c) dargestellt. | Abs. 23 | |
| Die Beklagte habe auf neue Funktionen über Hinweise und Werbeanzeigen auf ihrer Webseite und in der Sparkassen-App aufmerksam gemacht, zugleich würden Sicherheits- und Warnhinweise auf allen genutzten Kanälen angepasst, so dass auch auf die speziellen Risiken der neuen Funktionen und mögliche Betrugsszenarien hingewiesen werde (Beweis: Zeugnis Vollrath Blatt 160 d.A.). | Abs. 24 | |
| Es ist Beweis erhoben worden durch eine persönliche Anhörung des Klägers, der Inaugenscheinnahme des TAN-Generators und der Bedienungsanleitung sowie die Vernehmung der Zeugin S mit dem aus der Sitzungsniederschrift vom 06.06.2023 ersichtlichen Ergebnis. | Abs. 25 | |
Entscheidungsgründe: | ||
| Die Klage ist in vollem Umfang begründet. | Abs. 26 | |
| Der Kläger kann von der Beklagten verlangen, dass sie sein Zahlungskonto wieder auf den Stand bringt, auf dem es sich ohne die Belastungen durch die nicht autorisierten Zahlungsvorgänge befunden hat (§ 675 u S. 2 BGB). | Abs. 27 | |
| Diese Verpflichtung der Beklagten ist weder durch die erklärte Aufrechnung mit Schadensersatzansprüchen gegenüber dem Kläger gemäß § 675 v Abs. 3, 249 BGB erloschen noch kann die Beklagte entsprechende Schadensersatzansprüche der Klageforderung im Wege der sog. dolos agit Einrede entgegenhalten. Denn entsprechende Ansprüche sind vorliegend gemäß § 675 v Abs. 4 Satz 1 BGB ausgeschlossen. | Abs. 28 | |
| Abweichend von § 675 v Abs. 3 BGB ist der Zahler seinem Zahlungsdienstleiter nicht zum Schadensersatz verpflichtet, wenn der Zahlungsdienstleister des Zahlers eine starke Kundenauthentifizierung im Sinne des § 1 Abs. 24 des ZAG nicht verlangt. Dieser Haftungsausschlusstatbestand ist vorliegend erfüllt, weil die Beklagte eine starke Kundenauthentifizierung im Sinne des §§ 1 Abs. 24, 55 Abs. 1 und 2 des Zahlungsdiensteaufsichtsgesetzes i.V.m. Artikel 5 Abs. 1 und 2 der VO EUR 2018/389 über technische Regulierungsstandards für eine starke Kundenauthentifizierung und für sichere offene Standards für die Kommunikation gültig seit dem 14.09.2019 nicht verlangt hat für die konkreten streitgegenständlichen Zahlungsvorgänge. Im Übrigen bestünden Ansprüche der Beklagten gegen den Kläger gemäß § 675 v Abs. 3 BGB lediglich in Höhe von 16.009,00 EUR, weil die Beklagte aufgrund der bestehenden Tageslimitvereinbarung mit dem Kläger jeweils lediglich die Überweisung vom 31.10.2020 in Höhe von 7.222,00 EUR und die Überweisung vom 01.11.2020 in Höhe von 8.787,00 EUR hätte ausführen dürfen, weil der jeweils weitere nicht autorisierte Zahlungsvorgang das vereinbarte Tageslimit überschritt und eine Änderung des Tageslimit seitens des Klägers nicht autorisiert worden war. Eine Änderung des vereinbarten Tageslimits im Online-Banking ohne seine vorherige ausdrückliche Zustimmung zu einer solchen Änderungsmöglichkeit musste der Kläger nicht vorhersehen, weshalb die Beklagte in dem von ihr verursachten Umfang den Schaden gemäß § 254 Abs. 1 BGB zu tragen hat. | Abs. 29 | |
| Inwiefern die Beklagte an die Haftungsbegrenzungsregelung Ziffer 10.2 Abs. 5 ihrer Online-Banking AGB i.d.F. vom 14.09.2019 (Anlage K 3 Blatt 61 ff, 63 d.A.) gebunden ist, wonach hier ein Schadensersatzanspruch der Höhe nach auf die Summe der Tageslimite, mithin 20.000,00 EUR begrenzt wäre, kann offenbleiben (vgl. hierzu BGH, Urteil v. 29.11.2011 – XI ZR 370/10 – Rz. 27 f). | Abs. 30 | |
| 1. Der Kläger kann von der Beklagten die rückwirkende Wertgutschrift aufgrund der nicht von ihm autorisierten Zahlungsvorgänge am 31.10.2020 und 01.11.2020 zu Lasten seines bei der Beklagten unterhaltenen Geschäftsgirokontos verlangen. Der Anspruch ist gemäß § 675 u Satz 2 2. Alt. BGB entstanden. | Abs. 31 | |
| Zwischen den Parteien besteht ein Zahlungsdiensterahmenvertrag i.S.d. § 675 f) Abs. 2 BGB. Für das Vertragsverhältnis galten zum streitgegenständlichen Zeitpunkt die aktuellen Regelungen des Untertitels 3 §§ 675 c -676 c BGB. Für die streitgegenständlichen Vorgänge waren gemäß § 675 e Abs. 1 BGB zum Nachteil des Zahlungsdienstnutzers abweichende Vereinbarungen nicht zulässig. | Abs. 32 | |
| Die Beklagte war aufgrund des bestehenden Bankvertrages und der Vereinbarung über die Teilnahme am Online-Banking dem Kläger als Zahlungsdienstnutzer verpflichtete, für ihn einzelne und aufeinanderfolgende Zahlungsvorgänge auszuführen sowie für sie ein auf ihren Namen lautendes Zahlungskonto zu führen. Wobei als Zahlungsvorgang jede Bereitstellung, Übermittlung oder Abhebung eines Geldbetrages ist und Zahlungsauftrag jeder Auftrag ist, den ein Zahler seinem Zahlungsdienstleister zur Ausführung eines Zahlungsvorgangs entweder unmittelbar oder mittelbar erteilt. | Abs. 33 | |
| Die unstreitig am 31.10.2020 und 01.11.2020 seitens der Beklagten ausgeführten Zahlungsvorgänge waren nicht von dem Kläger autorisiert. | Abs. 34 | |
| Die Beklagte hat eine Autorisierung der Zahlungsvorgänge durch den Kläger nicht nachgewiesen. Gemäß § 675 w) Satz 3 BGB reicht es zum Nachweis dafür, dass der Kläger als Zahlender die streitgegenständlichen Zahlungsvorgänge am 31.10.2020 und 01.11.2020 autorisiert hatte, nicht notwendigerweise aus, dass die Beklagte die Nutzung des Zahlungsinstruments, nämlich das Verwenden des chip-TAN-Verfahren manuell einschließlich der Authentifizierung durch sie aufgezeichnet hatte. Zwar wäre im Wege eines Anscheinsbeweises eine Autorisierung durch die Klägerin nach der Rechtsprechung (zur a.F., aber nach Verabschiedung der ZDRL II ergangenen Entscheidung BGH NJW 2016, 2024 Tz 23 mwN, Sprau in Grüneberg, BGB § 675 w Rz 4 für eine Fortführung, ebenso Bremen, NJW RR 2021, 1063/67) anzunehmen, wenn mindestens durch den Zahlungsdiensteleister nachgewiesen ist, dass zum Einen aufgrund aktueller Erkenntnis die allgemeine praktische Sicherheit des eingesetzten Sicherungsverfahrens zum damaligen Zeitpunkt, zum anderen dessen ordnungsgemäße Anwendung und fehlerfreie Funktion im konkreten Einzelfall feststehen und seitens des Zahlungsdienstenutzers keine besonderen Umstände vorgetragen und nachgewiesen wären, die für einen nicht autorisierten Zahlungsvorgang sprechen. Vorliegend liegen jedoch eindeutige sogar unstreitige Verdachtsmomente für eine missbräuchliche Verwendung des Zahlungsinstruments vor. Unstreitig hatte der Kläger bislang stets das chip-TAN-Verfahren mittels Flickercode online verwendet, noch nie zuvor das 2011 oder 2012 schriftlich vereinbarte Tageslimit erhöht und dieses übersteigende Überweisungen oder je Echtzeitüberweisungen vorgenommen. Er ließ am 01.11.2020 abends um 20.00 Uhr seinen Online-Banking-Zugang sperren und informierte sich bei der Beklagten über die erfolgten Zahlungsvorgänge und die notwendigen weiteren Schritte, erstattete Strafanzeige bei der Polizei. Im Ergebnis der Anhörung des Klägers und der Vernehmung der Zeugin S steht zur hinreichenden Überzeugung gemäß § 286 Abs. 1 ZPO fest, dass die Zahlungsvorgänge nicht durch den Kläger oder die durch den Kläger bevollmächtigte Zeugin S ihm zurechenbar gemäß § 164 Abs. 1 BGB beauftragt worden sind sondern durch unbekannte kriminelle Dritte. Die Zeugin S bestätigte, am 31.10.2020 und 01.11.2020 den TAN-Generator des Klägers mit der eingesteckten Bankkarte des Klägers während eines geführten Telefonates mit einem unbekannten Dritten in dem Glauben, es handelte sich um einen Bankmitarbeiter der Beklagten, welcher den TAN- Generator mit ihrer Hilfe habe neu konfigurieren wollen, wie ihr ein Tag zuvor durch eine Mitteilung während des Online-Bankings sowie eine E-Mail angekündigt, betätigt und dem Anrufer die auf dem Display erschienen Ziffern mitgeteilt zu haben. Die Zeugin S bestätigte plausibel, detailreich und widerspruchsfrei den Klägervortrag und ihre eigenen schriftlichen Angaben gegenüber der Beklagten vom 06.11.2020 (Anlage B 4). Die Zeugin machte ebenso wie der persönlich angehörte Kläger selbst einen glaubwürdigen Eindruck. Der Kläger brachte den seit dem Vorfall nicht mehr in Benutzung befindlichen TAN-Generator nebst Bedienungsanleitung zum Termin mit und legte diese Gegenstände dem Gericht und der Beklagten zur Inaugenscheinnahme vor. Der Kläger hält bis heute die Online-Banking-Sperre aufgrund der Ereignisse aus Sicherheitsgründen aufrecht, weshalb er sämtliche Zahlungsaufträge auf klassische Weise wie vor der Vereinbarung des Online-Banking im Juni 2004 entgeltpflichtig erteilt. Zweifel an einem kriminellen Angriff unbekannter Dritter und der fehlenden Kenntnis des Klägers und seiner Ehefrau, der Zeugin S, von den tatsächlichen Vorgängen und deren Bedeutung sowie das Fehlen eines rechtsgeschäftlichen Erklärungsbewusstseins der Zeugin S bei dem Befolgen der technischen Anweisungen des Anrufers und der Mitteilung von Ziffern bestehen nicht. | Abs. 35 | |
| Für die Annahme einer Duldungsvollmacht fehlt es an der Kenntnis des Klägers oder der Zeugin S von den seitens des unbekannten Dritten tatsächlich erteilten Zahlungsaufträgen. Denn eine Duldungsvollmacht ist nur gegeben, wenn der Vertretene es wissentlich geschehen lässt, dass ein anderer für ihn wie ein Vertreter auftritt und der Geschäftsgegner dieses Dulden nach Treu und Glauben dahin versteht und auch verstehen darf, dass der als Vertreter Handelnde bevollmächtigt ist (vgl. Ellenberger in Grüneberg BGB § 172 Rn8). | Abs. 36 | |
| Die Zurechnung rechtsgeschäftlichen Handelns bei missbräuchlicher Nutzung eines Zahlungsinstruments nach den Grundsätzen für eine Anscheinsvollmacht ist abzulehnen. | Abs. 37 | |
| Anderenfalls würde die gemäß § 675 v Abs. 3 BGB lediglich bei vorsätzlicher oder grob fahrlässiger Schadensherbeiführung durch den Zahler vorgesehene unbeschränkte Haftung ins Leere laufen, da in diesen Fällen eine fahrlässig verursachte missbräuchliche Nutzung eines Zahlungsinstruments durch den Nutzer und damit ein nach den Grundsätzen des Anscheinsbeweises autorisierter Zahlungsvorgang anzunehmen wäre (vgl. ebenso argumentierend BGH, Urteil vom 26.01.2016 – XI ZR 91/14- Rz. 58; wegen Verneinung der Voraussetzung einer gewissen Dauer und Häufigkeit als Voraussetzung für den die Zurechnung rechtfertigenden Sorgfaltsverstoß BGH, Urteil v. 6.4.2017- III ZR 368/16 -, NJW 2017, 2273; BGH Urteil v. 24.04.2012 – XI ZR 96/11 – Fahrlässigkeit zur Begründung eines Schadensersatzanspruchs gem. § 280 Abs. 1 BGB nach altem Recht; a.A. LG Darmstadt, Urteil vom 28.08.2014 – 28 O 36/14- Rz. 39 ff, 44 betr. einen sog. „man-in-the-middle-Angriff“, OLG Schleswig, 3 W 47/10. ) Eine solche Umkehr der gesetzlichen Regelung widerspräche der abschließenden Regelung der gesetzlichen Regelungen §§ 675 e Abs. 1, 675 v Abs. 3 BGB (vgl. BGH, III ZR 368/16). Zudem fehlt es in dem hier betroffenen automatisierten Zahlungsverkehr an der Grundlage für eine Anscheinsvollmacht, nämlich ein tatsächliches Vertrauen des Geschäftspartners in einen schuldhaft verursachten Rechtsschein. Stattdessen regelt der Gesetzgeber in Verbindung mit der Bankenaufsicht durch die Aufstellung von Sicherheitsstandards und Sorgfaltspflichten die Haftungsrisiken der Vertragspartner speziell und abschließend bei der Benutzung von Zahlungsinstrumenten zur Authentifizierung, wobei die Risikoverteilung nicht stets nur den individuellen Schutz der Vertragspartei im Einzelfall im Blick hat (vgl. § 675 v Abs. 4 BGB). Durch die Beweislast der Bank hinsichtlich der Autorisierung eines Zahlungsvorgangs sowie der ausdrücklichen Regelung des § 675 w S. 3 Nr. 1 und S. 4 BGB, wonach insoweit die Bank zumindest die Kenntnis des Zahlungsdienstnutzers von den konkreten Zahlungsvorgängen nachweisen muss, werden die Voraussetzungen für eine Autorisierung eines Zahlungsvorgangs durch die Zustimmung des Zahlers zu einem Zahlungsvorgang i.S.d. § 675 j Abs. 1 S. 1 BGB festgelegt. Anhaltspunkte dafür, dass der Kläger oder seine Ehefrau von den konkreten Zahlungsvorgängen oder Zahlungsvorgängen im betroffenen Zeitraum aufgrund des ihnen bekannten Sachverhaltes zu Lasten der Konten des Klägers Kenntnis hatte, sind weder vorgetragen noch ersichtlich. | Abs. 38 | |
| Der somit entstandene Klageanspruch auf wertmäßige Gutschrift der nicht autorisierten Zahlungsvorgänge ist nicht aufgrund eines bestehenden Schadensersatzanspruchs der Beklagten gegen den Kläger erloschen oder nicht durchsetzbar aufgrund der konkludent erhobenen dolos agit Einrede wegen des Bestehens eben solcher Schadensersatzansprüche (§ 242 BGB). | Abs. 39 | |
| Eine Aufrechnungslage besteht nicht, weil der Schadensersatzanspruch und der Klageanspruch auf wertmäßige Gutschrift nicht gleichartig sind, wenngleich eine Gegenläufigkeit gegeben ist. Ein bestehender Schadensersatzanspruch gemäß § 675 v Abs. 3 BGB, welcher darauf gerichtet wäre den Zustand herzustellen, welcher ohne die infolge der nicht autorisierten Zahlungsvorgänge eingetretenen gesamten Schaden bestehen würde, stünde jedoch nach Treu und Glauben der Geltendmachung der Ansprüche auf wertmäßige Gutschrift der Belastungen infolge der nicht autorisierten Zahlungsvorgänge entgegen. Denn nach Treu und Glauben handelt arglistig, wer etwas fordert, was er zurückzugeben verpflichtet ist. | Abs. 40 | |
| Ein Schadensersatzanspruch der Beklagten gegen den Kläger aufgrund einer grob fahrlässigen Herbeiführung des Schadens infolge der streitgegenständlichen nicht autorisierten Zahlungsvorgänge am 31.10.2020 und 01.11.2020 ist vorliegend ausgeschlossen gemäß § 675 v Abs. 4 Satz 1 Nr. 1 BGB. | Abs. 41 | |
| Nach dieser vom Gesetzgeber nicht so sehr im Interesse des Individualrechtschutzes sondern zum Zwecke eines überindividuellen Schutzes, nämlich auf das rechtspolitische Ziel der Schaffung von Systemsicherheit und einem möglichst hohem Sicherheitsniveau im bargeldlosen Zahlungsverkehr gerichtet (vgl. Omlor, Staudinger BGB 675 v Rz. 30), getroffenen Haftungsausschlussregelung, haftet der Zahler trotz eigener grober Fahrlässigkeit dann nicht für den Schaden gemäß § 675 v Abs. 3 BGB, wenn sein Zahlungsdienstleister eine starke Kundenauthentifizierung (SCA) im Sinne des § 1 Abs. 24 des Zahlungsdiensteaufsichtsgesetzes nicht verlangt hat. | Abs. 42 | |
| Die Vorschriften sind mit Blick auf die europäischen Zahlungsdiensterichtlinie und den hierzu ergangenen verbindlichen europäischen Regelungen auszulegen. Die Durchsetzung dieser EU-Richtlinie erfolgte mit § 55 Abs. 1 und 2, 5 Zahlungsdiensteaufsichtsgesetz (ZAG) i.V.m. aufgrund Artikel 98 der Richtlinie erlassenen RTS, wonach für Online-Überweisungen seit dem 14.09.2019 uneingeschränkt von den Banken eine starke Kundenauthentifizierung zu verlangen ist, zu überwachen in Deutschland durch die zuständigen Aufsichtsbehörden, der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und die Deutsche Bundesbank. Gemäß § 55 Abs. 2 ZAG hat eine starke Kundenauthentifizierung Elemente zu umfassen, die den Zahlungsvorgang dynamisch mit einem bestimmten Betrag und einem bestimmten Zahlungsempfänger verknüpfen. | Abs. 43 | |
| Gemäß Erwägungsgrund 96 sollen Zahlungsdienste, die über das Internet oder über andere Fernkommunikationskanäle angeboten werden und nicht davon abhängig sind, an welchem Ort sich das für die Auslösung des Zahlungsvorgangs verwendete Gerät oder das verwendete Zahlungsinstrument tatsächlich befinden, die Authentifizierung von Zahlungsvorgängen durch dynamische Codes enthalten, damit der Nutzer stets Klarheit über den Betrag und über den Empfänger der Zahlung hat, die er veranlasst. Entsprechend verlangt Artikel 97 Abs. 2 der Zahlungsdiensterichtlinie (§ 55 Abs. 2 ZAG) im Falle der Einleitung elektronischer Fernzahlungsvorgänge bzw. einen elektronischen Zahlungsvorgang, dass die Mitgliedstaaten sicherstellen, dass die Zahlungsdienstleiter eine starke Kundenauthentifizierung verlangen, die Elemente umfasst, die den Zahlungsvorgang dynamisch mit einem bestimmten Betrag und einem bestimmten Zahlungsempfänger verknüpfen. | Abs. 44 | |
| Was unter einer dynamischen Verknüpfung gemäß dieser Richtlinienregelung zu verstehen ist, ergibt sich aus der Verordnung über technische Regulierungsstandards für eine starke Kundenauthentifizierung und Kommunikation RTS VO (EU) 2018/389 gültig seit dem 14.09.2019. Nach Artikel 5 Abs. 2 und 1 a) dieser Verordnung müssen Zahlungsdienstleister gemäß Artikel 97 Abs. 2 der Richtlinie PSD II (§ 55 Abs. 2 ZAG) Sicherheitsmaßnahmen ergreifen, die erfüllen, dass der Zahlungsbetrag und Zahlungsempfänger dem Zahler angezeigt wird und zwar in allen Phasen der Authentifizierung, einschließlich der Generierung, Übertragung und Verwendung des Authentifizierungscodes. | Abs. 45 | |
| Dies war vorliegend bei den streitgegenständlichen Zahlungsvorgängen und Zahlungsaufträgen zur hinreichenden Überzeugung des Gerichtes nach dem Ergebnis der mündlichen Verhandlung und Beweisaufnahme durch Einvernahme der Zeugin S nicht der Fall. | Abs. 46 | |
| Die Zeugin hatte entsprechend dem klaren und eindeutigen Klägervortrag während des Hantierens mit dem TAN-Generator anhand der Displayanzeige nicht erkennen können, dass es sich um Zahlungsvorgänge oder darauf zielende Zahlungsdiensteaufträge handelte. Es erschien im Display des TAN-Generators kein Hinweis darauf, dass es sich bei den Ziffern um eine IBAN eines Zahlungsempfängers handelt oder um Zahlbeträge. Die für eine starke Kundenauthentifizierung geforderte Anzeige des Zahlungsbetrages und des Zahlungsempfängers war nach diesem Vortrag vorliegend für den Zahler während der Generierung der TAN mittels des TAN-Generators manuell betreffend sämtlicher streitgegenständlicher Zahlungsvorgänge nicht gegeben. Dennoch wurde der Zahlungsvorgang seitens der Beklagten veranlasst. Diesen konkreten Vortrag des Klägers im Schriftsatz vom 24.02.2023 (Blatt 102 d.A. Bd. I) und im Schriftsatz vom 13.04.2023, Seite 4 f (Blatt 151 f d.A. I) hat die Beklagte in ihrer konkreten Erwiderung hierzu mit Schriftsätzen vom 21.03.2023 (Blatt 112 ff d.A.) und vom 10.05.2023, Seite 5 unter 2.c. (Blatt 159 d.A.) nicht mehr bestritten und damit unstreitig gestellt. | Abs. 47 | |
| Dass vorliegend ausnahmsweise eine starke Kundenauthentifizierung nicht für die konkreten Online-Zahlungsvorgänge zu fordern war, ist weder vorgetragen noch ersichtlich. Von den Ausnahmeregelungen der Artikel 11-20 der Verordnung über technische Regulierungsstandards VO EU 2018/389 käme allenfalls die Ausnahme gemäß Artikel 18 RTS VO in Betracht, weil im Ergebnis der im Rahmen der Transaktionsüberwachungsmechanismen die streitgegenständlichen Zahlungsvorgänge mit niedrigem Risiko bewertet worden wären. Hierzu fehlt jedoch seitens der Beklagten notwendiger Vortrag und bestehen Zweifel an dem Vorliegen der Voraussetzungen aufgrund der Zahlungsvorgangshistorie des Klägers und der Benutzung des chip-TAN- Verfahrens manuell zum ersten Mal. | Abs. 48 | |
| Ebenso liegt eine gesetzliche Ausnahme von dem Haftungsausschluss gemäß § 675 v Abs. 4 S. 2 BGB nicht vor. Der Kläger und seine Ehefrau haben nicht in betrügerischer Absicht gehandelt. Gegenteiliges wird von der Beklagten nicht behauptet. | Abs. 49 | |
| Im Ergebnis haftet der Kläger gemäß § 675 u Abs. 3 BGB trotz vorliegend aufgrund des unstreitigen Sachverhaltes wohl zu bejahenden grob fahrlässigen Mitherbeiführens des Schadens durch ihn sowie durch das ihm gemäß § 278 Satz 1 BGB zuzurechnenden Verhalten seiner Ehefrau als seiner Erfüllungsgehilfin im Zahlungsverkehr gänzlich nicht, weil die Beklagte vorliegend ein Authentifizierungsverfahren, das chip-TAN Verfahren manuell, zugelassen hat, bei welchem im Display des TAN-Generators nicht der Zahlbetrag und der Zahlungsempfänger während der Generierung der TAN angezeigt wurden, sondern unverständliche Zifferfolgen. | Abs. 50 | |
| Im Übrigen wäre die Haftung des Klägers gemäß § 675 v Abs. 3 BGB – unterstellt ein Anspruch dem Grunde nach wäre nicht gemäß Abs. 4 ausgeschlossen – auf die Zahlungsvorgänge am 31.10.2020 über 7.222,00 EUR und am 01.11.2020 über 8.787,00 EUR begrenzt, da die beiden weiteren Zahlungsvorgänge jeweils das zwischen den Parteien wirksam vereinbarte und von den Parteien nicht abgeänderte Tageslimit überschritten (vgl. insoweit offenlassend BGH, 24.04.2012, XI ZR 96/11 – Rz. 37) und seitens der Beklagten deshalb überhaupt nicht hätten ausgeführt werden dürfen. Die Beklagte hatte diesen Schaden gemäß § 254 Abs. 1 BGB schuldhaft mitverursacht und im Ergebnis der Abwägung der Verursachungsbeiträge selbst zu tragen. In den AGB wurde keine Bestimmung über die Möglichkeit einer Limitänderung im Online-Banking getroffen. Aufgrund des Zwecks des Tageslimits durfte der Kläger davon ausgehen, dass das Tageslimit nicht online und schon gar nicht ohne gesonderte Sicherheitsvorkehrungen wie z.B. eine zeitliche Verzögerung und insbesondere eine vorherige gesonderte Benachrichtigung änderbar ist. Eine durch ihn autorisierte Limitänderung war nicht erfolgt. Auf die entsprechend geltenden Ausführungen oben zu dem Klageanspruch auf wertmäßige Gutschrift wird Bezug genommen. Zweck eines Limits ist es, die Parteien vor Missbrauch des Kontos zu schützen und eventuelle Schäden zu begrenzen. | Abs. 51 | |
| Die Nebenentscheidungen folgen aus §§ 91 Abs. 1, 709 Satz 1 ZPO. | Abs. 52 | |
| Die Streitwertfestsetzung beruht auf §§ 63 Abs. 2 S. 1, 39 ff, 40, 48 Abs. 1 GKG, 3 ZPO. Die seitens der Beklagten erklärte Aufrechnung mit einem Schadensersatzanspruch führt – wenn gleich als Hilfsaufrechnung zu werten – nicht zu einer Erhöhung des Streitwertes, weil eine rechtskräftige Entscheidung über sie nicht ergangen ist mangels Vorliegens einer Aufrechnungslage wegen fehlender Gleichartigkeit der Ansprüche. | Abs. 53 | |
| (online seit: 26.09.2023) | ||
| Zitiervorschlag: Gericht, Datum, Aktenzeichen, JurPC Web-Dok, Abs. |
| Zitiervorschlag: Halle (Saale), LG, Zulassung des chip-TAN-Verfahrens manuell ohne Anzeige von Zahlungsempfänger und Zahlungsbetrag im Display des TAN-Generators - JurPC-Web-Dok. 0136/2023 |
