Online-Banking: Vorsicht vor Datenweitergabe an Betrüger!
In einem Urteil des OLG Frankfurt, Az.: 3 U 84/23, wurde entschieden, dass Kunden, die ihre Online-Banking-Zugangsdaten an Betrüger weitergeben, grob fahrlässig handeln. Dies führt dazu, dass die Bank nicht für die daraus resultierenden Schäden haften muss. Das Gericht betonte, dass Bankkunden eine Sorgfaltspflicht zum Schutz ihrer Online-Banking-Zugänge haben und die Weitergabe von sensiblen Daten an Dritte, selbst wenn diese sich als Bankmitarbeiter ausgeben, dieser Pflicht widerspricht.
Weiter zum vorliegenden Urteil Az.: 3 U 84/23 >>>
✔ Das Wichtigste in Kürze
Die zentralen Punkte aus dem Urteil:
- Kunden tragen eine erhebliche Sorgfaltspflicht zum Schutz ihrer Online-Banking-Zugänge.
- Die Weitergabe von Zugangsdaten an Dritte, auch bei Vorgabe als Bankmitarbeiter, wird als grob fahrlässig eingestuft.
- Die Bank haftet nicht für Schäden, die durch solche grob fahrlässigen Handlungen der Kunden entstehen.
- Die Beweislast für das Nichtvorliegen von Grobfahrlässigkeit liegt beim Kunden.
- Warnungen der Bank über Betrugsversuche auf deren Website sind als ausreichende Informationsmaßnahme anzusehen.
- Technische Sicherheitsmaßnahmen (z.B. BestSign-Verfahren) fordern eine starke Kundenauthentifizierung und erhöhen die Sicherheit.
- Ein Mitverschulden der Bank wurde nicht angenommen, da kein Mangel in der Systemsicherheit nachgewiesen wurde.
- Kunden werden ermutigt, die Rücknahme der Berufung zu erwägen, um zusätzliche Gerichtskosten zu vermeiden.
Übersicht
- 1 Online-Banking: Vorsicht vor Datenweitergabe an Betrüger!
- 2 ✔ Das Wichtigste in Kürze
- 3 ✔ FAQ: Wichtige Fragen kurz erklärt
- 3.1 Welche Pflichten haben Bankkunden beim Umgang mit ihren Online-Banking-Zugangsdaten?
- 3.2 Was versteht man unter grober Fahrlässigkeit im Zusammenhang mit Online-Banking?
- 3.3 Inwiefern spielt die Kundenauthentifizierung eine Rolle bei der Haftung für unautorisierte Überweisungen?
- 3.4 Welche Beweislast besteht bei Streitigkeiten um unautorisierte Überweisungen im Online-Banking?
- 4 Das vorliegende Urteil
Online-Banking: Vorsicht vor unberechtigten Überweisungen!
Im digitalen Zeitalter ist Online-Banking für viele Menschen eine Selbstverständlichkeit. Doch mit dem Komfort des digitalen Bankgeschäfts gehen auch Risiken einher. Insbesondere die Weitergabe von Zugangsdaten an Dritte kann zu unberechtigten Überweisungen und finanziellen Schäden führen.
In solchen Fällen stellt sich die Frage, inwieweit Banken für die Folgen solcher Betrugsfälle haften. Die Rechtslage ist komplex und es gibt zahlreiche Gerichtsurteile, die sich mit dieser Thematik befassen.
In den folgenden Abschnitten werden wir uns näher mit der Haftung von Banken für unautorisierte Überweisungen bei Weitergabe von Zugangsdaten beschäftigen.
Wir werden untersuchen, in welchen Fällen die Bank haftet und in welchen Fällen der Kunde selbst die Verantwortung trägt. Außerdem werden wir Tipps geben, wie man sich vor Online-Banking-Betrug schützen kann.
Im Zentrum des Falles standen mehrere unautorisierte Überweisungen, die von einem Online-Banking-Konto getätigt wurden, nachdem die Kontoinhaber, ein Ehepaar und Kunden einer Bank, ihre Zugangsdaten an Betrüger weitergegeben hatten. Diese Betrüger gaben sich als Mitarbeiter der Bank aus und nutzten dabei eine Telefonnummer, die der offiziellen Nummer der Bank ähnelte. Die Täter konnten die Kläger dazu bewegen, sensible Daten preiszugeben, indem sie vorgaben, für die Sicherheit des Kontos zu sorgen. In der Folge wurden mehrere Transaktionen zu Lasten der Kläger durchgeführt, ohne deren Zustimmung. Die Kläger forderten daraufhin von der Bank die Rückbuchung der Beträge, was zu einer rechtlichen Auseinandersetzung führte.
Betrugsmaschen im Online-Banking erkennen
Die Betrüger aktualisierten das Chip-TAN-Verfahren des Online-Bankings und kontaktierten anschließend die Kläger, um ein neues Verfahren, das sogenannte BestSign-Verfahren, zu implementieren. Für die Freischaltung dieses Verfahrens wurde den Klägern ein Code postalisch zugesandt, den sie dann, wie von den Betrügern gefordert, preisgaben. Es erfolgten unautorisierte Überweisungen in erheblicher Höhe an eine dritte Person, was die Kläger veranlasste, den Vorfall bei der Polizei zu melden und die Rückbuchung der Beträge von ihrer Bank zu fordern.
Sorgfaltspflicht von Online-Banking-Nutzern
Das Landgericht Hanau wies die Klage der Geschädigten ab und begründete seine Entscheidung damit, dass die Kläger grob fahrlässig gehandelt hätten. Die Weitergabe von sensiblen Zugangsdaten an Dritte, selbst wenn diese sich als Mitarbeiter der Bank ausgeben, verstößt gegen die grundlegenden Sicherheitsanforderungen im Online-Banking. Das Gericht stellte fest, dass Bankkunden eine gewisse Sorgfaltspflicht tragen, um ihren Online-Banking-Account vor unbefugtem Zugriff zu schützen. Diese Pflicht wurde von den Klägern nicht erfüllt.
Rechtliche Bewertung und Entscheidungsgründe
Der Fall wurde vor dem Oberlandesgericht Frankfurt weitergeführt, wo die Berufung der Kläger zurückgewiesen wurde. Das OLG bekräftigte die Entscheidung des Landgerichts und betonte, dass die Kläger durch die Weitergabe ihrer Daten grob fahrlässig gehandelt hätten. Die Bank hatte auf ihrer Website vor derartigen Betrugsversuchen gewarnt und ihre Kunden über die Risiken informiert. Die Richter führten aus, dass von einem durchschnittlichen Online-Banking-Nutzer erwartet wird, dass er mit den grundlegenden Sicherheitsrisiken vertraut ist und entsprechende Vorsicht walten lässt.
Verantwortung und Vorsicht im digitalen Zeitalter
Das Urteil unterstreicht die Bedeutung der Eigenverantwortung von Bankkunden im Umgang mit ihren Online-Banking-Daten. Es macht deutlich, dass im Falle einer Weitergabe von Zugangsdaten an Betrüger, selbst wenn diese sich als Bankmitarbeiter ausgeben, die Kunden eine erhebliche Mitverantwortung tragen und die Bank nicht automatisch für die entstandenen Schäden haftet. Die Entscheidung betont die Notwendigkeit für Kunden, stets wachsam zu sein und sich über die neuesten Sicherheitshinweise ihrer Bank zu informieren, um sich vor Betrug zu schützen.
✔ FAQ: Wichtige Fragen kurz erklärt
Welche Pflichten haben Bankkunden beim Umgang mit ihren Online-Banking-Zugangsdaten?
Bankkunden haben beim Umgang mit ihren Online-Banking-Zugangsdaten eine Reihe von Pflichten, um die Sicherheit ihrer Konten zu gewährleisten. Zu den wichtigsten Pflichten gehören:
- Sorgfältige Auswahl und Umgang mit Zugangsdaten: Kunden sollten ihre Zugangsdaten sorgfältig auswählen und vorsichtig damit umgehen. Dazu gehört, dass sie ihre PINs und Passwörter nicht auf dem Computer oder Smartphone speichern und auch nicht den Browser die Daten speichern lassen.
- Verwendung sicherer TAN-Verfahren: Kunden sollten sichere TAN-Verfahren wählen und die Transaktionsnummern vertraulich behandeln.
- Keine Weitergabe von Zugangsdaten: Kunden dürfen ihre Zugangsdaten nicht an Dritte weitergeben, insbesondere nicht per Telefon oder E-Mail.
- Schutz der persönlichen Geräte: Online-Banking sollte möglichst nur von eigenen, gesicherten Geräten aus betrieben werden. Öffentliche Computer oder unsichere Netzwerke sollten vermieden werden.
- Regelmäßige Kontrolle der Kontobewegungen: Kunden sollten ihre Kontobewegungen regelmäßig überprüfen und bei Verdacht auf Unregelmäßigkeiten sofort handeln.
- Vorsicht vor Phishing: Kunden sollten Phishing-E-Mails und -Anrufe ignorieren und keine Anhänge oder Links aus unbekannten Quellen öffnen.
- Sofortige Sperrung bei Verdacht: Bei Verdacht auf Missbrauch sollten Kunden ihren Online-Banking-Zugang umgehend sperren lassen.
- Aktualisierung von Software: Kunden sollten sicherstellen, dass die Software auf ihren Geräten, einschließlich Betriebssystem und Virenschutz, stets aktuell ist.
- Verwendung verschlüsselter Verbindungen: Beim Online-Banking sollten nur verschlüsselte Verbindungen genutzt werden, erkennbar an der URL, die mit „https“ beginnt.
- Keine Speicherung von Zugangsdaten in der Browserleiste: Kunden sollten ihre Bank-URL nicht als Lesezeichen speichern, sondern stets neu eingeben.
Diese Pflichten dienen dazu, das Risiko eines Betrugs oder Missbrauchs zu minimieren und die Sicherheit beim Online-Banking zu erhöhen. Verstöße gegen diese Pflichten können dazu führen, dass Kunden im Falle eines Betrugs selbst für den entstandenen Schaden haften müssen.
Was versteht man unter grober Fahrlässigkeit im Zusammenhang mit Online-Banking?
Grobe Fahrlässigkeit im Zusammenhang mit Online-Banking bezieht sich auf Situationen, in denen ein Bankkunde seine Sorgfaltspflichten in erheblichem Maße vernachlässigt und dadurch einen Schaden verursacht. Dies kann beispielsweise der Fall sein, wenn der Kunde seine persönlichen Sicherheitsdaten leichtfertig preisgibt oder auf betrügerische Anfragen reagiert, die er bei Beachtung seiner Sorgfaltspflichten hätte erkennen können.
Ein Beispiel für grobe Fahrlässigkeit wäre, wenn ein Kunde auf eine ungewöhnliche Aufforderung reagiert, eine Transaktionsnummer (TAN) für eine angebliche Demo-Überweisung einzugeben. Ein durchschnittlicher Online-Banking-Nutzer sollte bei solchen ungewöhnlichen Aufforderungen misstrauisch werden und den Vorgang abbrechen. Ein weiteres Beispiel wäre, wenn ein Kunde auf einen betrügerischen Brief reagiert und seine Zugangsdaten zum Online-Banking preisgibt.
Gemäß § 675v Abs. 3 BGB ist der Zahler dem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler den Schaden durch grob fahrlässige Verletzung der Bedingungen für die Nutzung des Zahlungsinstruments verursacht hat.
Es ist zu beachten, dass die Banken in der Regel die gesetzlichen und technischen Anforderungen an ein sicheres Zahlungssystem erfüllen müssen und gegebenenfalls auch auffällige Überweisungen unterbinden müssen. Wenn jedoch der Kunde grob fahrlässig handelt, kann die Bank von ihrer Haftung befreit sein.
Inwiefern spielt die Kundenauthentifizierung eine Rolle bei der Haftung für unautorisierte Überweisungen?
Die Rolle der Kundenauthentifizierung bei der Haftung für unautorisierte Überweisungen ist zentral, um die Sicherheit elektronischer Zahlungen zu gewährleisten und Betrugsrisiken zu minimieren. Eine starke Kundenauthentifizierung ist grundsätzlich für alle elektronischen Zahlungen vorgeschrieben und dient dazu, die Identität des Zahlenden zu verifizieren, bevor eine Transaktion autorisiert wird. Dies geschieht durch die Verwendung von Sicherheitsmerkmalen, die der Kunde bei der Freigabe der Zahlung einsetzen muss.
Wenn eine Bank oder ein Zahlungsdienstleister keine starke Kundenauthentifizierung verlangt, kann dies dazu führen, dass der Kunde im Falle einer unautorisierten Zahlung nicht für den entstandenen Schaden verantwortlich gemacht wird. Dies gilt auch, wenn der Zahlungsempfänger oder dessen Bank die erforderliche Mitwirkung für eine starke Kundenauthentifizierung nicht leistet. In solchen Fällen trägt der Kunde den Schaden nicht, es sei denn, es liegt grobes Verschulden seinerseits vor, wie beispielsweise die Weitergabe von Sicherheitsdaten.
Die Rechtsprechung und gesetzliche Regelungen sehen vor, dass im Falle einer nicht autorisierten Überweisung die Bank dem Kunden den Zahlungsbetrag unverzüglich erstatten muss, sofern der Kunde den Schaden nicht durch grobe Fahrlässigkeit oder vorsätzliches Handeln verursacht hat. Die Bank hat keinen Anspruch auf Erstattung ihrer Aufwendungen gegen den Kunden, wenn sie die Rückbelastung des Zahlungskontos vornimmt.
In einem spezifischen Fall entschied das Amtsgericht Langen, dass eine Bank für unautorisierte Kreditkartenabbuchungen haftet, selbst wenn ein SMS-TAN-Verfahren verwendet wurde. Dies unterstreicht, dass die Bank die Beweislast trägt, dass eine Transaktion ordnungsgemäß autorisiert wurde. Wenn der Kunde seine Sorgfaltspflichten nicht verletzt hat, haftet er nicht für die unautorisierten Abbuchungen.
Zusammenfassend spielt die Kundenauthentifizierung eine entscheidende Rolle bei der Bestimmung der Haftung für unautorisierte Überweisungen. Sie schützt sowohl die Kunden als auch die Banken vor Betrugsrisiken, indem sie sicherstellt, dass Transaktionen nur nach einer erfolgreichen Verifizierung der Identität des Zahlenden durchgeführt werden. Im Falle eines Missbrauchs ohne starke Kundenauthentifizierung oder bei Vorliegen von grober Fahrlässigkeit des Kunden kann die Haftung jedoch unterschiedlich geregelt sein.
Welche Beweislast besteht bei Streitigkeiten um unautorisierte Überweisungen im Online-Banking?
Bei Streitigkeiten um unautorisierte Überweisungen im Online-Banking liegt die Beweislast grundsätzlich bei der Bank. Dies bedeutet, dass die Bank nachweisen muss, dass eine Zahlung tatsächlich vom Kontoinhaber autorisiert wurde oder dass der Kunde durch grob fahrlässiges Handeln zum Schaden beigetragen hat. Wenn Unbefugte die korrekte PIN zur Erteilung eines Zahlungsauftrags per Online-Banking eingesetzt haben, muss die Bank beweisen, dass der Kunde das Abhandenkommen der PIN zu vertreten hat.
Die Bank ist verpflichtet, für eine sichere Abwicklung des Online-Bankings zu sorgen und die Prozesse sicherheitstechnisch stets zu optimieren. Kunden haben im Grundsatz einen Anspruch auf Wiedergutschrift gemäß § 675u S. 2 BGB, wenn Dritte sich unbefugt Zugang zum System verschaffen und mittels der TAN der Bank Zahlungsaufträge erteilen.
Allerdings kann die Bank von ihrer Haftung befreit sein, wenn sie dem Kunden eine grob fahrlässige Verletzung der Pflichten im Zusammenhang mit dem Online-Banking nachweisen kann. In solchen Fällen scheidet eine Haftung der Bank aus.
Das Bundesgerichtshof hat entschieden, dass die Anwendung des Anscheinsbeweises für eine Autorisierung durch den Zahler im Online-Banking nicht generell angenommen werden kann. Die Bank trägt die Beweislast dafür, dass eine Transaktion ordnungsgemäß autorisiert wurde. Wenn der Kunde seine Sorgfaltspflichten nicht verletzt hat, haftet er nicht für die unautorisierten Abbuchungen.
Zusammengefasst bedeutet dies, dass Banken in Fällen von unautorisierten Überweisungen nachweisen müssen, dass der Kunde entweder die Transaktion autorisiert hat oder durch grobe Fahrlässigkeit zum Schaden beigetragen hat. Gelingt der Bank dieser Nachweis nicht, muss sie die unautorisierten Beträge dem Kunden erstatten.
Das vorliegende Urteil
OLG Frankfurt – Az.: 3 U 84/23 – Beschluss vom 22.09.2023
In dem Rechtsstreit wird darauf hingewiesen, dass beabsichtigt ist, die Berufung der Kläger gegen das am 04.05.2023 verkündete Urteil der 3. Zivilkammer des Landgerichts Hanau – Az.: 3 O 1055/22 – durch einstimmigen Beschluss nach § 522 Abs. 2 ZPO zurückzuweisen.
Nach Vornahme der gemäß § 522 Abs. 1 und 2 ZPO gebotenen Prüfungen ist der Senat einstimmig davon überzeugt, dass die Berufung offensichtlich keine Aussicht auf Erfolg hat. Die Sache hat auch weder grundsätzliche Bedeutung, noch erfordern die Fortbildung des Rechts oder die Sicherung einer einheitlichen Rechtsprechung eine Entscheidung durch Urteil. Eine mündliche Verhandlung ist nicht geboten.
Es besteht Gelegenheit zur Stellungnahme zur beabsichtigten Zurückweisung binnen zwei Wochen.
Gründe
I.
Die Kläger begehren von der Beklagten Rückbuchungen auf ihr Girokonto wegen behaupteter missbräuchlicher Nutzung ihres Online-Kontozugangs.
Die Kläger sind Kunden der Beklagten und führen dort ein gemeinschaftliches Girokonto mit der Nr. …. Die Beklagte informierte auf ihrer Website www.(…).de darüber, dass es wiederholt zu Anrufen von Betrügern käme, welche sich als Mitarbeiter der Beklagten ausgäben und dabei die Telefonnummer der Beklagten anzeigen ließen. Mitte Mai 2022 konnten sich die Kläger nicht mehr in das Online-Portal einwählen, da das Chip-TAN-Verfahren aktualisiert worden war. Kurz darauf meldeten sich – eine Telefonnummer der Beklagten nutzend – Personen, die sich als Mitarbeiter der Beklagten ausgaben. Die Klägerin teilte den Anrufern die Zugangsdaten zu ihrem Online-Banking mit. Der Anrufer hinterlegte daraufhin ein BestSign-Verfahren bei der Beklagten. Dessen Freischaltung erfolgte durch einen den Klägern postalisch übersandten Code. Am 30.05.2022 wurden zwei Zahlungen über € 2.189,00 sowie € 2.679,90 an einen Herrn X getätigt. Am 31.05.2022 wurden weitere € 2.189,00 an dieselbe Person überwiesen. Die Kläger hatten diese Überweisungen nicht veranlasst und zeigten am 02.06.2022 den Vorfall polizeilich an.
Die Beklagte hat behauptet, dass die besonderen Bedingungen für das Online-Banking (Anlage B1) einbezogen worden seien.
Mit Urteil vom 04.05.2023 (Bl. 71ff. d.A.), auf dessen Feststellungen im Übrigen Bezug genommen wird, hat das Landgericht die Klage abgewiesen. Die Kläger hätten gegen die Beklagte keinen Anspruch auf Zahlung von € 7.057,90. Zwar habe die Beklagte im Falle eines nicht autorisierten Zahlungsvorgangs gegen die Kläger keinen Anspruch auf Erstattung von Aufwendungen, sondern habe den Zahlungsbetrag unverzüglich zu erstatten. Die Kläger hafteten jedoch nach § 675v Abs. 3 BGB in Höhe des entstandenen Schadens, weil sie grob fahrlässig eine Pflicht nach § 675l Abs. 1 BGB verletzt hätten. Sie hätten ihren Onlinebanking-Account nicht vor unbefugtem Zugriff geschützt. Dabei sei von einem Onlinebanking-Nutzer auszugehen, der mit Sicherheitsrisiken durchaus vertraut sei und eine entsprechende Vorsicht walten lasse. Komfort und Nutzen des Systems gingen mit systemtypischen Gefahren, insbesondere der missbräuchlichen Nutzung durch Dritte nach einem Ausspähen und Verfälschen der Daten im Internet, einher, so dass die einzelnen Schritte der Auftragserteilung durch den Nutzer des Onlinebankings von diesem sorgfältig und aufmerksam zu verwenden seien. Diesen Anforderungen hätten die Kläger nicht genügt. Sie hätten unstreitig die Daten an nicht identifizierte Anrufer am Telefon weitergegeben. Dabei sei die Anzeige der Telefonnummer der Beklagten unerheblich. Es sei allgemein bekannt, dass am Telefon keine Zugangsdaten weitergegeben werden dürften. Auch die Freischaltung des BestSign-Verfahrens sei durch die Kläger durch Eingabe eines den Klägern postalisch übersandten Codes erfolgt. Dieses Verhalten sei grob fahrlässig, da es ihnen hätte bewusst sein müssen, dass durch die Freigabe des Zugangs auch Änderungen vorgenommen werden könnten. Es sei zwar nachvollziehbar, dass die Kläger aufgrund des fortgeschrittenen Alters mit der Anwendung nicht so vertraut seien. Dies könne jedoch nicht zu Lasten der Beklagten gehen. Die Beklagte habe den Betrügern den Zugang nicht gewährt. Sie sei nicht verpflichtet, jeden Kunden postalisch über Betrugsversuche zu unterrichten. Die Warnung auf der Website und die Berichterstattung in den Medien sei ausreichend.
Gegen die Abweisung der Klage wenden sich die Kläger mit ihrer Berufung, mit der sie ihren erstinstanzlichen Antrag weiterverfolgen. Das Landgericht habe den Antrag zu Unrecht abgewiesen. Es gehe zu Unrecht von einer grob fahrlässigen Pflichtverletzung der Klägerin aus. Die Kläger hätten sich Mitte Mai 2022 nicht mehr in ihr Online-Portal einwählen können. Daraus sei erkennbar, dass sich in einem mehrgliedrigen Betrugsverlauf Dritte Zugang zum System der Beklagten verschafft hätten, um derartige Probleme wie das hiesige hervorzurufen. Im Anschluss sei über die gefälschte Telefonnummer eine Lösung des Problems angeboten worden. Hätte das Online-Banking regulär funktioniert, hätte keinerlei Anlass bestanden, einem vermeintlichen Mitarbeiter der Beklagten die Zugangsdaten mitzuteilen. Es liege ein Mitverschulden der Beklagten vor. Diese sei dem Zugriff Dritter nicht entschieden entgegengetreten. Sie hätte eindringlicher und nicht nur über ihre Website warnen müssen. Zudem treffe die Beklagte die Beweislast für den Autorisierungsnachweis, wozu sie ein fehlerfrei funktionierendes Sicherheitssystem darlegen müsse. Dies sei hier nicht erfolgt. Auch sei dem Beweisangebot unter Ziffer II.3. des Schriftsatzes vom 03.03.2023 nicht nachgegangen worden.
Die Kläger beantragen, unter Abänderung des am 4. Juli 2023 verkündeten Urteils des Landgerichts Hanau, Az. 3 O 1055/22, die Beklagte zu verurteilen, an die Kläger 7.057,90 € nebst Zinsen i.H.v. 5 Prozentpunkten über dem Basiszinssatz seit dem 1. September 2022 zu zahlen.
Die Beklagte beantragt, die Berufung zurückzuweisen,
und verteidigt das angefochtene Urteil. Sie bestreitet, dass das Online-Banking nicht regulär funktioniert habe.
II.
Die Berufung der Kläger ist zulässig. Sie ist insbesondere form- und fristgerecht eingelegt und begründet worden.
1. In der Sache hat sie offensichtlich keinen Erfolg, da das Landgericht die Klage zu Recht abgewiesen hat. Weder die vorgebrachten Berufungsgründe noch die gemäß § 529 Abs. 2 S. 2 ZPO von Amts wegen durchzuführende Prüfung lassen erkennen, dass die Klageabweisung auf einer Rechtsverletzung beruht oder die dem Berufungsverfahren zugrunde zu legenden Tatsachen eine andere Entscheidung rechtfertigen (§ 513 ZPO). Den Klägern steht gegen die Beklagte kein Anspruch auf Zahlung von € 7.057,90 zu.
a) Zwar ist zwischen den Parteien unstreitig, dass die streitgegenständlichen Überweisungen nicht von den Klägern autorisiert worden sind, so dass der Beklagten aus §§ 675c Abs. 1, 670 BGB kein Anspruch auf Aufwendungsersatz zustand, weshalb zugunsten der Kläger zwar zunächst ein Anspruch aus § 675u S. 2 BGB entstanden ist.
b) Der Anspruch der Kläger nach § 675u S. 2 BGB ist aber durch wirksame Aufrechnung der Beklagten wieder erloschen, § 389 BGB, was das Landgericht im Ergebnis zutreffend erkannt hat. Die Beklagte hat mit dem Berufen auf den Schadensersatzanspruch in gleicher Höhe konkludent die Aufrechnung erklärt, § 388 BGB.
aa) Die Beklagte hat nach § 675v Abs. 3 Nr. 2 lit. a), b) BGB Gegenansprüche auf Schadensersatz gegen die Kläger jeweils mindestens in Höhe deren Erstattungsansprüche gemäß § 675u S. 2 BGB.
Gemäß § 675v Abs. 3 Nr. 2a BGB ist der Zahler zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler vorsätzlich oder grob fahrlässig die im Verkehr erforderliche Sorgfalt außer Acht gelassen hat, indem er die Pflichten gemäß § 675l BGB nicht beachtet hat. Nach § 675l BGB muss der Zahlungsdienstnutzer unmittelbar nach Erhalt eines Zahlungsinstruments alle zumutbaren Vorkehrungen treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen.
Die nach § 675 v Abs. 2 BGB erforderliche grobe Fahrlässigkeit erfordert einen in objektiver Hinsicht schweren und in subjektiver Hinsicht schlechthin unentschuldbaren Verstoß gegen die Anforderungen der konkret erforderlichen Sorgfalt. Selbst ein objektiv grober Pflichtenverstoß rechtfertigt für sich noch keinen zwingenden Schluss auf ein entsprechend gesteigertes personales Verschulden (BGH v. 26.01.2016, Az. XI ZR 91/14, BGHZ 208, 331 = NJW 2016, 2024 m. Anm. Knops = VuR 2016, 264 m. Anm. Metz, Rn. 71).
Den Klägern ist, wie es das Landgericht zutreffend festgestellt hat, grobe Fahrlässigkeit vorzuwerfen. Das Gesamtverhalten der Klägerin, das dem Kläger nach § 278 BGB zuzurechnen ist, begründet den Vorwurf der groben Fahrlässigkeit in objektiver und subjektiver Hinsicht.
Aufgrund der in den letzten Jahren vielfach durch verschiedene Medien bekannt gewordenen Fälle ist die Erkenntnis, dass Kunden durch betrügerische Briefe und Anrufe vorgeblicher Bankmitarbeiter zur Preisgabe von Zugangsdaten zum Online-Banking veranlasst werden sollen, als allgemeines Wissen vorauszusetzen, denn spätestens seit 2006 wurde das kriminelle Phänomen des Phishings öffentlich breit diskutiert (OLG München Hinweisbeschluss v. 22.9.2022 – 19 U 2204/22, BeckRS 2022, 36075 Rn. 68, beck-online). In der Folgezeit gab es fortlaufend eine Fülle von Presseberichten, wonach sich Kriminelle am Telefon als eine andere Person ausgeben und unter Vorspiegelung falscher Tatsachen den Angerufenen zu finanziellen Transaktionen veranlassen (beispielsweise beim sog. Enkeltrick). Die Klägerin musste daher von der Möglichkeit solcher betrügerischen Vorgänge, wenn auch in unterschiedlicher Ausgestaltung, jedenfalls allgemeine Kenntnis haben, auch ohne dass die Beklagte sie ausdrücklich zuvor informieren musste. In konkreter Hinsicht hätte sie daher misstrauisch werden müssen. Daran, dass dies nicht geschehen ist, hat das Landgericht zu Recht Anstoß genommen. Erstens hatte die Klägerin schon deswegen allen Grund zum Argwohn, weil überhaupt eine „Bankmitarbeiterin“ bei ihr anrief und sie zur Freischaltung des Sicherheitsverfahrens für das Online-Banking aufforderte. Üblicherweise wendet sich ein Kunde an die Bank oder Sparkasse, um das Online-Banking wieder freischalten zu lassen. Hinzu kommt, dass die Kläger den ihnen postalisch zugesandten Freischaltcode ebenfalls weitergegeben haben müssen, da ohne eine entsprechende Freischaltung das BestSign-Verfahren nicht nutzbar gewesen wäre. Dazu äußern sie sich mit keinem Wort. Nach Auffassung des Senats stellt bereits jeder der vorgenannten Umstände ein Alarmzeichen dar, dessen Nichtbeachtung den Vorwurf der groben Fahrlässigkeit rechtfertigt. Jedenfalls aber in der Kumulation dieser beiden Weitergaben der Zugangs- bzw. Freischaltdaten kann das Gesamtverhalten der Kläger nicht mehr als einfacher Pflichtenverstoß eingestuft werden.
bb) Der Anspruch ist auch nicht nach § 675v Abs. 4 BGB ausgeschlossen. Nach dieser Vorschrift besteht keine Schadensersatzpflicht des Zahlers gegenüber dem Zahlungsdienstleister, sofern dieser eine starke Kundenauthentifizierung nicht verlangt oder nicht akzeptiert. Von einem solchen Sachverhalt kann hier nicht ausgegangen werden. Unstreitig fordert die Beklagte für Überweisungen im Online-Banking eine Freigabe mittels des BestSign-Verfahrens, so dass eine starke Kundenauthentifizierung im Sinne des § 1 Abs. 24 des Zahlungsdiensteaufsichtsgesetzes verlangt wird.
cc) Ein gegebenenfalls anspruchsminderndes Mitverschulden der Beklagten nach § 254 BGB – was grundsätzlich zu berücksichtigen wäre (Herresthal in: Langenbucher/Bliesener/Spindler, Bankrechts-Kommentar, 3. Aufl., § 675v Rz. 71) – ist von Klageseite nicht schlüssig vorgetragen.
(1) Beim Online-Banking kann ein Mitverschulden der Bank auch aus der mangelnden Systemsicherheit resultieren. Sie muss ein technisch sicheres System nach dem jeweils aktuellen Stand der Technik bereitstellen (Herresthal in: Langenbucher/Bliesener/Spindler, Bankrechts-Kommentar, 3. Aufl., § 675v Rz. 72; Zetzsche in: Münchener Kommentar zum BGB, 8. Aufl., § 675v Rz. 58; Köbrich, VuR 2015, 9 [13]). Die Kläger behaupten lediglich, dass sich die Betrüger im Vorfeld Zugang zum System der Beklagten verschafft hätten. Dieser Zugang kann aber nicht zu den hier streitgegenständlichen Überweisungen geführt haben, da die Täter nach dem Vortrag der Kläger zunächst die Zugangsdaten und den Freischaltcode für das BestSign-Verfahren haben erhalten müssen. Gerade die Mitteilung dieser Daten begründet aber die grobe Fahrlässigkeit der Kläger und schließt wegen überholender Kausalität das von den Klägern angeführte Mitverschulden der Beklagten aus. Daher war auch dem Beweisangebot der Kläger im Schriftsatz vom 03.03.2023 (Bl. 53 d.A.) nicht nachzugehen. Im Übrigen war die Umstellung auf das neue Verfahren deshalb vorzunehmen, weil das Verfahren unstreitig geändert wurde, wie es das Landgericht im unstreitigen Parteivorbringen des angefochtenen Urteils festgestellt hat. Die Betrüger mussten daher entgegen der Behauptung der Kläger gar nicht in das System der Beklagten eindringen, um das bisherige Chip-TAN-Verfahren abzuschalten.
(2) Zu einer gesonderten postalischen Warnung aller Kunden war die Beklagte nicht verpflichtet. Demjenigen, der das über die Website der Beklagten erreichbare Online-Banking nutzt, ist es zuzumuten auch die Sicherheitshinweise der Beklagten, die ausdrücklich vor der Verwendung der Telefonnummer der Beklagten warnen, auf deren Website zur Kenntnis zu nehmen.
2. Angesichts dessen ist eine mündliche Verhandlung, von der ein weiterer Erkenntnisgewinn nicht zu erwarten ist, nicht geboten. Die Sache hat auch weder grundsätzliche Bedeutung, noch erfordern die Fortbildung des Rechts oder die Sicherung einer einheitlichen Rechtsprechung eine Entscheidung des Senats durch Urteil.
3. Vor diesem Hintergrund empfiehlt der Senat den Klägern zur Vermeidung einer Zurückweisung der Berufung durch einen Beschluss, dessen Begründung sich in einer Bezugnahme auf diesen Hinweisbeschluss erschöpfen könnte, eine Rücknahme der Berufung in Erwägung zu ziehen. Eventuellem neuen Sachvortrag setzt die Zivilprozessordnung enge Grenzen. Eine Zurücknahme der Berufung hätte eine deutliche Reduzierung der Gerichtskosten zur Folge, da sich die Verfahrensgebühren für das Berufungsverfahren im Allgemeinen von vier auf zwei Gerichtsgebühren halbieren würden.