Ausgestaltung von Freigabevorgängen mit Kundenauthentifizierung

1. Ein Zahlungsdienstleister muss Vorgänge, die der Freigabe im Wege einer starken Kundenauthentifizierung bedürfen, so transparent und unmissverständlich gestalten, dass ein durchschnittlicher Zahler in der Lage ist zu verstehen, was er mit der Freigabe des Vorgangs auslöst, d.h. welche Konsequenzen die Freigabe hat, und dass der Zahler gerade im Begriff ist, einen entsprechend konkret bezeichneten Vorgang freizugeben.(Rn.28)

2. Ermöglicht die Freigabe eines solchen Vorgangs die Anmeldung neuer Endgeräte zur Autorisierung von Zahlungen und weist der Zahlungsdienstleister hierauf nicht transparent und unmissverständlich hin, ist für die Anmeldung eines neuen Endgeräts zur Autorisierung von Zahlungen erneut eine Freigabe im Wege der starken Kundenauthentifizierung erforderlich.(Rn.35)

1. Die Beklagte wird verurteilt, an die Klägerin einen Betrag von 4.875,00 € zu zahlen.

2. Die Beklagte wird verurteilt, an die Klägerin vorgerichtliche Rechtsanwaltskosten in Höhe von 540,50 € nebst Zinsen in Höhe von fünf Prozentpunkten über dem jeweils gültigen Basiszins hieraus seit 12.06.2024 zu zahlen.

3. Die Beklagte hat die Kosten des Rechtsstreits zu tragen.

4. Das Urteil ist gegen Sicherheitsleistung in Höhe von 110% des jeweils zu vollstreckenden Betrags vorläufig vollstreckbar.

5. Der Streitwert wird auf 4.875,00 € festgesetzt.

Die Parteien streiten um die Haftung nicht autorisierter Zahlungsvorgänge bei Zahlungsdienstleistungen.

Die Klägerin schloss mit der Beklagten einen Zahlungsdienstvertrag über eine “Mercedes Benz Credit Card Silber“, Kreditkartennummer: ..... Vereinbart wurden u.a. die „Kreditkarten-Kundenbedingungen für die Mercedes Credit Card“ in der Fassung vom 01.03.2022 und die Bedingungen für die Nutzung des BW-Secure-Verfahrens, Stand 27.06.2022.

Am 13.05.2020, 25.07.2022 und 07.12.2022 registrierte die Klägerin zu ihrer BW-Secure-App jeweils ein mobiles Gerät.

Am 04.06.2023 bot die Klägerin über die Verkaufsplattform „Kleinanzeigen“ ein schnurloses Telefon zum Verkauf an. Eine Person signalisierte ihren Kaufwillen unter der Funktion „sofort bezahlen“. Danach erhielt die Klägerin eine SMS mit Absender „eBayKA“ mit dem Inhalt: „Ihr Artikel wurde soeben online bezahlt! Klicken Sie hier, um fortzufahren: www..... Die Transaktion wird nach ihrer Bestätigung abgeschlossen."

Durch Anklicken des Links gelangte die Klägerin auf eine Internetseite, auf der sie ihre Kreditkartendaten eingab.

Anschließend erhielt die Klägerin eine Push-Mitteilung mit dem Inhalt: „Sie haben einen neuen Vorgang zur Freigabe. Bitte öffnen Sie die BW-Secure-App, um die Freigabe durchzuführen.“ Nach öffnen der BW-Secure-App erschien die Anzeige mit den entsprechenden Daten: „ [Uhrzeit] Portal-Vorgang freizugeben bis [Datum], [Uhrzeit]“.Durch Anklicken dieser Anzeige erhielt die Klägerin die neuerliche Anzeige: „Portalanmeldung, Datum [Datum]. Ablehnen/Freigeben“. Die Klägerin klickte auf die Freigabe und bestätigte dies durch ein Sicherheitsverfahren (fünfstellige „BW-Secure-Pin“, Fingerabdruck oder Face-ID).

Nach der Freigabe registrierten unbekannte Dritte ein mobiles Endgerät des Typs iPhone in der Sprachversion „ru“ (= Russisch) zum BW-Secure-Portal. Unmittelbar danach wurden 5 Bezahl-Transaktionen im Wert von insgesamt 4.875,00 € durch Dritte über dieses neu registrierte Endgerät autorisiert. Die Beträge wurden von dem Konto der Klägerin abgebucht.

Am 06.06.2023 stellte die Klägerin die Abbuchungen fest und wandte sich noch am selben Tag umgehend an die Beklagte, um die Kreditkarte sperren zu lassen. Sie reklamierte die Buchungen.

Mit Schreiben vom 20.06.2023 lehnte die Beklagte eine Erstattung ab.

Mit Schreiben vom 20.11.2023 forderte der Prozessbevollmächtigte der Klägerin die Beklagte unter Fristsetzung bis zum 08.12.2023 auf, die Belastungsbuchungen zu korrigieren bzw. den Betrag zurückzuerstatten.

Die Klägerin behauptet, dass sie das streitgegenständliche Vertragsverhältnis durch Kündigung beendet und die Beklagte hierzu mit Schreiben vom 28.08.2024 (Anlage K 12, Bl. 197 d.A.) ihr gegenüber ausdrücklich erklärt habe, dass das „Kartenkonto mit sofortiger Wirkung geschlossen“ sei.

Die Klägerin ist der Ansicht, dass sie nicht grob gegen Sorgfaltspflichten verstoßen habe, da eine Gutschrift auf ein Kreditkartenkonto keineswegs unüblich sei, und sie in Ermangelung einer entsprechend klaren Beschreibung in der Freigabeanforderung einerseits schon der Aktivierung einer neuen BW-Secure-App auf einem iPhone zu ihrer BW-Secure-App nicht wirksam zugestimmt habe und ihr andererseits im Zusammenhang mit einer Freigabe auch keine grobe Fahrlässigkeit zur Last gelegte werden könnte.

Die Klägerin beantragt:

1.) die Beklagte zu verurteilen, an die Klägerin einen Betrag von EUR 4.875,00 zu zahlen.

2.) die Beklagte zu verurteilen, an die Klägerin vorgerichtliche Rechtsanwaltskosten in Höhe von EUR 540,50 nebst Zinsen in Höhe von fünf Prozentpunkten über dem jeweils gültigen Basiszins hieraus seit Rechtshängigkeit zu zahlen.

Die Beklagte beantragt:

Die Klage wird abgewiesen.

Die Beklagte behauptet, dass das Kreditkartenkonto mit der Klägerin weiter fortbestehe.

Die Beklagte ist im Wesentlichen der Ansicht, dass die Klägerin ihre Sorgfaltspflichten grob verletzt habe, weil sie sensible Zahlungsdaten übermittelt, sich nicht über die Bezahlverfahren auf der Plattform „Kleinanzeigen.de“ informiert und ihre Kreditkartennummer angegeben habe, obwohl sie etwas habe verkaufen wollen, sowie eine „Portalanmeldung“ freigeben habe, obwohl ihr wegen der von ihr bereits zuvor von ihr angemeldeten Endgeräte die Bedeutung und Sicherheitsrelevanz der Freigabe einer Portalanmeldung, die sie selbst nicht angefragt habe, hätte bekannt sein müssen. Zuletzt habe sie es auch grob fahrlässig versäumt, sich über die vereinbarten Nutzungsbedingungen für das BW-Secure-Verfahren zu informieren. Zudem ist die Beklagte der Ansicht, dass das von ihr angewandte BW-Secure-Verfahren allen rechtlichen Anforderungen entspreche.

Die Beklagte geht daher davon aus, dass ihr ein Schadensersatzanspruch in Höhe der Klagforderung zustehe, mit der sie gegen die Forderungen der Klägerin aufrechne.

Auf das Protokoll der mündlichen Verhandlung vom 20.01.2024 und die wechselseitigen Schriftsätze der Parteien samt Anlagen wird verwiesen.

Die zulässige Klage ist begründet.

Die Klägerin hat einen Anspruch auf Zahlung von 4.875,00 € aus § § 675u BGB (siehe 1.a) sowie auf Zahlung von Rechtsanwaltskosten in Höhe von 540,50 € aus § 286 Abs. 2 Nr. 1, § 675u S. 3, § 288 Abs. 4 BGB (siehe 2.). Die Beklagte kann dem Anspruch weder einen Schadensersatzanspruch nach § 675v Abs. 3 BGB und Nr. 13.1.5 der von den Parteien vereinbarten „Kreditkarten-Kundenbedingungen für die Mercedes Credit Card“ (siehe 1.b) noch nach § 675v Abs. 1 BGB (siehe 1.c) entgegenhalten.

1.a.

Die Klägerin hat einen Anspruch auf Zahlung von 4.875,00 € aus § 675u BGB, da im Fall eines nicht autorisierten Zahlungsvorgangs - wie hier unstreitig der Fall - der Zahlungsdienstleister verpflichtet ist, dem Zahler den Zahlungsbetrag unverzüglich zu erstatten und, sofern der Betrag einem Zahlungskonto belastet worden ist, dieses Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte.

Die Klägerin kann hier die Zahlung des Betrags verlangen, da das streitgegenständliche Vertragsverhältnis beendet ist. So hat die Beklagte zwar pauschal erklärt, dass das Kreditkartenverhältnis fortbestehe, jedoch auf substantiierten Vortrag zur Beendigung des Vertrags und Bestätigung der Beendigung durch die Beklagte mit Schreiben vom 28.08.2024 (Anlage K 12, Bl. 197 d.A.) nicht (substantiiert) repliziert, womit der klägerische Vortrag als zugestanden gilt (§ 138 Abs. 3 ZPO).

1.b.

Diesen Ansprüchen kann die Beklagte einen eigenen Schadensersatzanspruch nach § 675 v Abs. 3 Nr. 2 a u. b BGB oder nach Nr. 13.1.5 der von den Parteien vereinbarten „Kreditkarten-Kundenbedingungen für die Mercedes Credit Card“ nicht entgegenhalten. Dabei kann es dahinstehen ob die Klägerin ihre Sorgfaltspflichten vor der Freigabe der „Portalanmeldung“ grob verletzt hat.

Denn, der entstandene Schaden wurde nicht durch die vorausgehenden Handlungen der Klägerin „herbeigeführt“ (§ 675v Abs. 3 Nr. 2 BGB) bzw. der Missbrauch nicht durch ihre Handlungen verursacht (Nr. 13.1.5 Kreditkarten-Kundenbedingungen für die Mercedes Credit Card). Vielmehr wurde der Schaden durch eine Pflichtverletzung der Beklagten verursacht bzw. herbeigeführt.

Nach § 55 ZAG ist einen Zahlungsdienstleister verpflichtet, eine starke Kundenauthentifizierung zu verlangen, wenn der Zahler online auf sein Zahlungskonto zugreift, einen elektronischen Zahlungsvorgang auslöst oder über einen Fernzugang eine Handlung vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr oder eines anderen Missbrauchs beinhaltet. Der Zahlungsdienstleister ist daher verpflichtet, Vorgänge, die der Freigabe im Wege einer starken Kundenauthentifizierung bedürfen, so transparent und unmissverständlich zu gestalten, dass ein durchschnittlicher Zahler in der Lage ist zu verstehen, was er mit der Freigabe des Vorgangs auslöst, d.h. welche Konsequenzen die Freigabe hat und dass der Zahler gerade im Begriff ist, einen entsprechend konkret bezeichneten Vorgang freizugeben. Andernfalls würde der durch § 55 ZAG gewollte Schutz des Zahlers ins Leere laufen und ausgehebelt.

Für den Regelungsbereich der Zahlungsdienste ist zudem gemäß § 675j Abs. 1 S. 1 BGB die sog. "Autorisierung" des Zahlungsvorgangs (§ 675f Abs. 4 BGB) als eine spezielle Art der Zustimmung (§ 182 BGB) vorgesehen. Die "Autorisierung" im Sinne des § 675j BGB ist die rechtsgeschäftliche Erklärung des Einverständnisses mit dem tatsächlichen Vorgang des Geldflusses und muss sich jeweils auf den konkreten Zahlungsvorgang beziehen. Hierzu gehört bei Zahlungsvorgängen die - ggf. nur durch Angabe der IBAN konkretisierte - Person des Empfängers sowie die Art des Zahlungsvorgangs und im Falle einer Überweisung auch der Betrag (BeckOK BGB/Schmalenbach, 72. Ed. 1.11.2024, BGB § 675j Rn. 1a, beck-online). Der Zahler kann also nur dann eine wirksame Autorisierung erteilen, wenn ihm mit der Autorisierungsanfrage von der Bank zuvor in hinreichend deutlicher und konkreter Form mitgeteilt wird, wofür genau er seine Zustimmung erklären soll.

Dieser Rechtsgedanke gilt erst recht, wenn der Zahler gegenüber seiner Bank einen Auftrag erteilt und die Bank über ein hierfür gesondert vereinbartes Verfahren - also ein Zahlungsinstrument im Sinne von § 1 Abs. 20 ZAG - um dessen Zustimmung nachsucht, mit dem unbegrenzt Zahlungsvorgänge (§ 675f Abs. 4 BGB) autorisiert werden können. In einem solchen Fall muss der zur Autorisierung anstehende Auftrag in der Freigabeanforderung erst recht so konkret beschrieben sein, dass der Kunde die Folgen einer etwaigen Freigabe zutreffend einschätzen kann.

Die Bezeichnung eines Vorgangs, mit dem im Ergebnis unautorisierten Dritten die grundsätzlich unbegrenzte Zahlung mit der Kreditkarte der Klägerin ermöglicht wird, als „Portalanmeldung“ wird dem dargestellten Maßstab nicht gerecht.

Die Bezeichnung „Portalanmeldung“ ist für einen durchschnittlichen Dritten dabei nicht nur intransparent, sondern auch irreführend. So ist bereits nicht transparent, dass mit dem Begriff „Portalanmeldung“ die Anmeldung zum BW-Secure-Portal und nicht zum Beispiel zum online-Banking-Portal der Beklagten gemeint ist. Irreführend ist der Begriff, da er nicht darauf schließen lässt, welche Folgen eine Freigabe der „Portalanmeldung“ tatsächlich für den Zahler haben kann, insbesondere dass hierdurch nicht nur die Möglichkeit eines Zugangs zu einem Portal eröffnet wird, sondern tatsächlich die Möglichkeit geschaffen wird, ohne weitere Überprüfung im Wege der starken Kundenauthentifizierung Endgeräte zur Autorisierung von Bezahl-Transaktionen im Internet freizuschalten.

Eine wirksame Zustimmung der Klägerin für die Ausführung des auf Aktivierung einer weiteren BW-Secure-App zu ihrer BW-Secure-App gerichteten Auftrags hat die Beklagte tatsächlich nicht erreicht. Demgemäß kann die Beklagte sich schon nicht auf eine wirksame Autorisierung der mit dieser neu aktivierten BW-Secure-App bewerkstelligten Zahlungsvorgänge berufen.

Soweit die Beklagte anführt, dass die Klägerin - unstreitig - bereits zu einem früheren Zeitpunkt „Portalanmeldungen“ freigegeben hat und daher hätte wissen müssen, was sich hinter einer Portalanmeldung verbirgt, ändert dies nichts an der vorausgegangenen Verletzung der dargestellten Pflicht durch die Beklagte. Eine positive Kenntnis der Klägerin darüber, was sich hinter einer Freigabe einer „Portalanmeldung“ verbirgt, wird zudem von der Beklagten schon nicht behauptet und kann auch ca. 6 Monate seit der letzten Anmeldung eines mobilen Geräts (07.12.2022) nicht als ständiges Begleitwissen der Klägerin vermutet werden.

Der Einwand der Beklagten, dass bei der Annahme einer solchen Pflicht eines Zahlungsdienstleisters alle in Deutschland relevanten Kreditinstitute in rechtsunwirksamer Weise ihre Online-Banking-Portalzugänge gestalten würden (Bl. 231 d.A.), geht an der Sache vorbei. So ist gerichtsbekannt, dass andere in Deutschland relevante Kreditinstitute für eine Anmeldung auf ihrem online-Portal eine konkrete Autorisierungsanfrage schicken (z.B. „Einloggen im Online-Banking, für Postbank ID: [Postbank ID]“) und nach einer erfolgten Anmeldung zu einem Online-Portal im Gegensatz zu der Beklagten sich die Anmeldung eines neuen Endgerätes im Wege einer starken Kundenauthentifizierung freigeben lassen. Der Kunde erhält dabei eine konkrete Autorisierungsanfrage (z.B. „diesem Endgerät vertrauen“).

Insoweit ist festzustellen, dass wenn die Beklagte nicht gegen ihre Pflicht verstoßen haben sollte, den Freigabevorgang hinreichend transparent und unmissverständlich zu bezeichnen, sie zumindest gegen die genauso gewichtige Pflicht verstoßen hat, sich durch die berechtigte Person, hier die Klägerin, die Anmeldung eines neuen Endgeräts zur Autorisierung von Zahlungen im Wege der starken Kundenauthentifizierung freigeben zu lassen.

Die Pflichtverletzung der Beklagten hat adäquat kausal zu den Bezahl-Transaktionen geführt. Erst durch die Verletzung der dargestellten Pflicht, die gerade einen Zahler vor einer missbräuchlichen Verwendung seiner Kreditkarte schützen soll, konnte sich der Schaden realisieren. So ist von der Klägerin vorgetragen und von der Beklagten nicht bestritten und daher unstreitig, dass eine hinreichend deutlich formulierte Autorisierungsanfrage, mit dem Ziel der Zustimmung zur Aktivierung einer weiteren BW-Secure-App auf einem iPhone der Klägerin zur ihrer BW-Secure-App sofort aufgefallen wäre, und sie einem solchen Ansinnen die Zustimmung verweigert hätte.

Auch ein mögliches Mitverschulden der Klägerin an dem Schaden führt unter Berücksichtigung des § 254 BGB (vgl. KG Berlin, Urteil vom 29. November 2010 - 26 U 159/09 -, juris, Rn. 71) zu keinem anderen Ergebnis.

Die Freigabe der Portalanmeldung durch die Klägerin, auf die hier ausschließlich abzustellen ist, stellt keine grobe Sorgfaltspflichtverletzung dar. An die Feststellung grober Fahrlässigkeit sind hohe Anforderungen zu stellen. Sie setze einen in objektiver Hinsicht schweren und subjektiv schlechthin unentschuldbaren Verstoß gegen konkrete Sorgfaltspflichten voraus. Selbst ein objektiv grober Pflichtenverstoß erlaube keinen zwingenden Schluss auf ein gesteigert persönliches Verschulden (BGH NJW 2016, 2024 Rn. 71 = ZIP 2016, 757), das bei der Feststellung der groben Fahrlässigkeit jeweils individuell zu prüfen ist (vgl. BeckOK BGB/Schmalenbach, 72. Ed. 1.11.2024, BGB § 675v Rn. 11a, beck-online).

Insofern weist die Beklagte zwar darauf hin, dass die Klägerin eine von ihr nicht initiierte „Portalanmeldung“ nicht hätte freigeben dürfen. Insoweit ging die Klägerin jedoch unstreitig davon aus, dass dieser Vorgang im Zusammenhang mit der Gutschrift auf ihre Kreditkarte steht und die „Portalanmeldung“ diese Gutschrift erst ermöglicht. Ein schwerer und subjektiv schlechthin unentschuldbaren Verstoß kann in dieser Freigabe, die der Logik der betrügerischen Täuschung folgt, nicht gesehen werden.

Es kann im Weiteren dahinstehen, ob die Freigabe der Portalanmeldung durch die Klägerin eine (einfache) Sorgfaltspflichtverletzung darstellt, da selbst bei der Annahme einer solchen sich hier bei Abwägung der verschiedenen Verschuldensanteile ein weit überwiegendes Mitverschulden der Beklagten ergeben würde, so dass im Ergebnis in der Gesamtschau von einem vollständigen Zurücktreten des Verursachungsanteils der Klägerin auszugehen wäre.

1.c.

Die Beklagte kann auch keinen Ersatz ihres Schadens bis zu einem Betrag von 50,00 € nach § 675v Abs. 1 BGB verlangen, da insoweit der Haftungsausschluss nach § 675v Abs. 2 Nr. 1 BGB greift. Der Klägerin war es nicht möglich, die sonstige missbräuchliche Verwendung des Zahlungsinstrumentes vor den nicht autorisierten Zahlungsvorgängen zu bemerken. Aufgrund der irreführenden Bezeichnung des von der Klägerin freigegebenen Vorgangs als „Portalanmeldung“ (siehe oben 1.b) durfte die Klägerin davon ausgehen, dass Zahlungen über ihre Kreditkarte weiterhin nur im Wege der starken Kundenauthentifizierung nur von ihr veranlasst werden können.

2.

Die Klägerin hat zudem Anspruch auf Ersatz außergerichtlicher Rechtsanwaltskosten in Höhe von 540,50 € aus § 286 Abs. 2 Nr. 3 i.V.m. § 675u S. 3, § 288 Abs. 4 BGB.

Die Zinsentscheidung folgt §§ 291, 288 Abs. 1 S. 2 BGB.

3.

Die Kostenentscheidung folgt § 91 Abs. 1 ZPO und die Entscheidung über die vorläufige Vollstreckbarkeit § 709 ZPO.