SIM-Swap und mTAN-Betrug: Keine Haftung des Telekom-Anbieters gegenüber Bank

Die Berufung der Klägerin gegen das am 17.09.2020 verkündete Urteil der 8. Zivilkammer des Landgerichts Düsseldorf wird zurückgewiesen.

Die Kosten des Rechtsstreits in zweiter Instanz werden der Klägerin auferlegt.

Das Urteil ist vorläufig vollstreckbar. Der Klägerin wird gestattet, die Zwangsvollstreckung durch Sicherheitsleistung in Höhe von 110 % des beizutreibenden Betrages abzuwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in der genannten Höhe leistet.

I.

Die klägerische Bank nimmt das beklagte Telekommunikationsunternehmen auf Ersatz eines Schadens in Anspruch, welcher dadurch entstanden ist, dass sich Straftäter Zugang auf das online geführte Bankkonto eines Kunden der Klägerin verschafft und von diesem Kunden nicht autorisierte Überweisungen veranlasst haben. Die Tat wurde dadurch möglich, dass die Täter die Beklagte zur Ausstellung einer so bezeichneten A.-Card als Ersatz für die SIM-Card veranlasst und sich in den Besitz dieser A.-Card gebracht haben. Dadurch konnten sie die an den Kunden gerichtete mobile TAN im Rahmen des Online-Banking abfangen. Sie veranlassten Überweisungen vom Konto des Kunden in Höhe von insgesamt 75.000 € auf ein tschechisches Bankkonto. Die Klägerin hat die zunächst dem Konto des Kunden belasteten Beträge diesem wieder gutgeschrieben. Sie stützt ihre Klage auf einen durch den Kunden an sie abgetretenen vermeintlichen Schadensersatzanspruch gegen die Beklagte. Diesen begründet sie insbesondere damit, dass die Beklagte bei der Ausstellung der A.-Card keine ausreichende Identifikationsprüfung durchgeführt habe. Demgegenüber beruft sich die Beklagte unter anderem darauf, dass die gemäß Ziffer 7.2 ihrer AGB vorgeschriebene Zustimmung zur Abtretung der Ansprüche nicht vorliege, sie aber auch keine Pflichtverletzung begangen habe. Die Tat sei vielmehr infolge fahrlässigen Verhaltens des Kunden möglich geworden, der seine Zugangsdaten nicht ausreichend gesichert bzw. schuldhaft preisgegeben habe. Sie erhebt zudem die Einrede der Verjährung.

Wegen des weiteren streitigen und unstreitigen Vortrags der Parteien in erster Instanz sowie wegen ihrer erstinstanzlichen Anträge wird auf den Tatbestand des angefochtenen Urteils verwiesen.

Das Landgericht hat die Klage abgewiesen. Zur Begründung hat es im Wesentlichen ausgeführt, die Klägerin sei nicht Inhaberin des Schadensersatzanspruches geworden. Nach Ziffer 7.2 der AGB der Beklagten sei die Abtretung von Ansprüchen in der Weise beschränkt, dass sie nur nach vorheriger schriftlicher Zustimmung durch die Beklagte erfolgen könne. Diese habe aber nicht vorgelegen. Darüber hinaus könne dahinstehen, ob die Zustimmung der Beklagten zur Abtretung der Ansprüche inzwischen zu erteilen wäre und sich die Beklagte daher nicht auf das Fehlen der Aktivlegitimation berufen könne. Denn in diesem Falle stünde dem Anspruch die von der Beklagten erhobene Einrede der Verjährung entgegen. Wegen der weiteren Begründung wird auf die Entscheidungsgründe des angefochtenen Urteils verwiesen.

Gegen die Abweisung der Klage wendet sich die Klägerin unter Ergänzung und Vertiefung ihres erstinstanzlichen Vorbringens. Sie beruft sich insbesondere auf die Unwirksamkeit der Abtretungsbeschränkung in Ziffer 7.2 der AGB der Beklagten. Diese ergebe sich aus § 307 Abs. 1 BGB. Das hinter der Abtretungsbeschränkung bestehende Interesse des Klauselverwenders an einer übersichtlichen Vertragsabwicklung sei in erster Linie auf die Erfüllung der Hauptleistungspflichten beschränkt. Hingegen unterliege die Erfüllung von Ansprüchen aufgrund von Leistungsstörungen nicht einem vorgegebenen Zeitplan; es sei insoweit kein schützenswertes Interesse an einer Abtretungsbeschränkung ersichtlich. Auf Verjährung könne sich die Beklagte nicht berufen. Selbst wenn man unterstelle, dass die Klägerin bei Klagezustellung noch nicht aktivlegitimiert gewesen sei, sei nicht nur die Berufung auf die Verweigerung der Zustimmung zur Abtretung, sondern auch die Berufung auf die Verjährung selbst als rechtsmissbräuchlich anzusehen.

Sie beantragt,

das angefochtene Urteil abzuändern und die Beklagte zu verurteilen, an sie 75.000,00 € nebst Zinsen in Höhe von 9 Prozentpunkten über dem jeweiligen Basiszinssatz seit dem 01.09.2019 zu zahlen,

sowie hilfsweise

das angefochtene Urteil aufzuheben und das Verfahren an das Landgericht Düsseldorf zur erneuten Verhandlung und Entscheidung zurückzuverweisen.

Die Beklagte beantragt,

die Berufung zurückzuweisen.

Sie rügt die Unzulässigkeit der Berufung im Hinblick darauf, dass sich die Klägerin in der Berufungsbegründung allein mit der Frage der Abtretungsbeschränkung und der Verjährung befasse, aber nicht darlege, wie die Entscheidung ohne die vermeintlichen Rechtsfehler ausgefallen wäre. Darüber hinaus erachtet sie die Berufung als unbegründet und verteidigt die Klageabweisung unter Vertiefung ihres erstinstanzlichen Vorbringens als zutreffend.

Wegen des weiteren Vortrages der Parteien in zweiter Instanz wird auf die zur Akte gereichten Schriftsätze verweisen.

II.

Die Berufung der Klägerin ist entgegen der Rechtsauffassung der Beklagten zulässig, insbesondere genügt die Berufungsbegründung den Anforderungen des § 520 Abs. 3 Satz 1 und Satz 2 Nr. 2 ZPO. Etwas anderes ergibt sich nicht etwa daraus, dass sich die Klägerin nur mit dem Abtretungsverbot und der Verjährung auseinandergesetzt hat. Allein auf diese Gesichtspunkte hat das Landgericht die Klageabweisung gestützt. Nach § 520 Abs. 3 ZPO sind in der Berufungsbegründung nur diejenigen Punkte rechtlicher oder tatsächlicher Art darzulegen, die der Berufungskläger als unzutreffend ansieht, und dazu sind die Gründe anzugeben, aus denen die Fehlerhaftigkeit jener Punkte und deren Erheblichkeit für die angefochtene Entscheidung vom Berufungskläger hergeleitet werden. Zur Darlegung der Fehlerhaftigkeit ist somit lediglich die Mitteilung der Umstände erforderlich, die das Urteil aus der Sicht des Berufungsklägers in Frage stellen (BGH, Beschl. v. 21.05.2003 – VIII ZR 133/02). Dies ist umfassend geschehen. Hingegen musste sich die Klägerin nicht mit Umständen auseinandersetzen, welche die abweisende Entscheidung möglicherweise auch stützen, zur Begründung der Entscheidung aber nicht angeführt worden sind (vgl. BGH, VU vom 14.11.2005 – II ZR 16/04).

Der Berufung bleibt jedoch in der Sache der Erfolg versagt. Denn das Landgericht hat die Klage im Ergebnis zu Recht abgewiesen, wenn auch mit nicht überzeugender Begründung. Das Urteil ist daher weder abzuändern noch, wie von der Klägerin hilfsweise beantragt, unter Zurückweisung der Sache an das Landgericht aufzuheben. Im Einzelnen gilt:

1.

Der Klägerin stehen keine eigenen Ansprüche gegen die Beklagte aus §§ 280 Abs. 1. 241 Abs. 2 BGB zu. Sie ist an dem Vertragsverhältnis zwischen ihrem Kunden und der Beklagten, in dem es zu der behaupteten Pflichtverletzung gekommen sein soll, nicht beteiligt. Eigene Ansprüche der Klägerin ergeben sich auch nicht unter dem Gesichtspunkt des Vertrages mit Schutzwirkung für Dritte. Denn die Voraussetzungen dieses allgemein anerkannten Rechtsinstituts sind nicht erfüllt.

Insoweit fehlt es schon an der erforderlichen Leistungsnähe der Klägerin. Ein Vertrag kann Schutzwirkungen nur für solche Dritte entfalten, die nach Sinn und Zweck des Vertrages („bestimmungsgemäß“) derart mit einer vertraglichen Leistung in Berührung kommen, dass sie den gleichen Gefahren ausgesetzt sind wie der Gläubiger dieser Leistung und deshalb nach Treu und Glauben ebenso wie dieser zu schützen sind (BeckOGK-BGB/Mäsch, Stand: 1.1.2021, § 328 Rn. 170). Dies ist jedoch nicht der Fall. Die Pflicht der Beklagten, vor Ausgabe der sogenannten A.-Card eine sorgfältige Identitätsprüfung vorzunehmen, deren Erfüllung durch die Vorschriften der §§ 280 Abs. 1, 241 Abs. 2 BGB gewährleistet werden soll, dient allein dem Interesse des Anschlussinhabers vor missbräuchlicher Nutzung seiner Rufnummer. Das typische Risiko, vor dem der Kunde bewahrt werden soll, besteht demnach darin, dass Nutzungsentgelte generiert werden, welche der Kunde nicht veranlasst hat, sondern ein Unbefugter, der eine etwaige Lücke bei der Identitätsprüfung genutzt hat, um sich in den Besitz der A.-Card zu bringen. Demgegenüber entspricht es nicht der „Bestimmung“ der Pflicht zur Identitätsprüfung, an dem Vertrag nicht beteiligten Dritten die Möglichkeit zu verschaffen, hochsensible Daten, welche den Zugriff auf ein bestehendes Bankkonto ermöglichen, über die Telefonleitung im Wege der SMS zu versenden. Demnach gebieten die Grundsätze von Treu und Glauben die Einbeziehung der Klägerin nicht.

Zudem fehlt es an der Gläubigernähe der Klägerin zu ihrem Kunden. Erforderlich ist, dass der vertragliche Gläubiger der verletzten Pflicht ein berechtigtes Interesse an der Einbeziehung des Dritten in den Schutzbereich des Vertrags hat, was zunächst mit dem inzwischen als zu eng empfundenen „Wohl-und-Wehe“-Erfordernis umschrieben worden ist (dazu BeckOGK-BGB/Mäsch, Stand: 1.1.2021, § 328 Rn. 174ff.). Ein solches Interesse des Kunden kann nicht daraus hergeleitet werden, dass dieser in einer vertraglichen Verbindung auch zur Klägerin steht. Daraus ergibt sich nämlich keine irgendwie geartete Fürsorge- oder Obhutspflicht des Kunden gegenüber „seiner“ Bank im Hinblick auf nicht autorisierte Zahlungsvorgänge. Zudem nimmt die Vorschrift des § 675u BGB die Risikoverteilung in dem Sinne vor, dass der Zahlungsdienstleister im Verhältnis zum Kunden das Risiko eines solchen nicht autorisierten Zahlungsvorganges allein zu tragen hat. Ist der Kunde aber aus der Problematik gleichsam „herausgehalten“, so hat er auch kein schützenswertes Interesse an der Einbeziehung der Bank in den Schutzbereich des Vertrages.

Schließlich ist die mit der Zuerkennung einer Schutzwirkung für Dritte verbundene Ausweitung der Haftung für den Vertragspartner, hier die Beklagte, nur dann gerechtfertigt, wenn diese das zusätzlich von ihr zu tragende Haftungsrisiko auch erkennen kann. Dies ist vorliegend jedoch nicht der Fall. Naturgemäß hat die Beklagte keinen Einfluss auf den Inhalt der über ihre Verbindungen versendeten Kurznachrichten. Auch ist sie nicht berechtigt, diese Inhalte einzusehen. Vor diesem Hintergrund kann die Beklagte nicht erkennen, dass eine Dritte, hier die Klägerin, die bestehende Verbindung zur Versendung von Transaktionsnummern verwendet, welche für die Durchführung von Überweisungen im Online-Banking-Verfahren benötigt werden. Damit hat sie keine Möglichkeit, die Ausweitung ihrer Haftung zu erkennen, was der Einbeziehung einer Unbeteiligten in die Schutzwirkungen des Vertrages entgegensteht.

2.

Der Klägerin stehen auch keine im Wege der Abtretung von ihrem Kunden erworbenen Schadensersatzansprüche gegen die Beklagte aus §§ 280 Abs. 1, 241 Abs. 2, 398 BGB zu.

a) Ob die Abtretung des etwaigen Schadensersatzanspruches an die Klägerin wegen fehlender vorheriger schriftlicher Zustimmung im Sinne der Ziffer 7.2 der AGB der Beklagten unwirksam ist, wie es das Landgericht angenommen hat, erscheint jedoch schon im Hinblick auf den Wortlaut dieser Klausel zweifelhaft. Denn diese bezieht sich ausschließlich auf „Rechte und Pflichten aus diesem Vertrag“, was dahin zu verstehen ist, dass lediglich eine Abtretung der Primäransprüche dem Zustimmungserfordernis unterworfen ist. Ein Schadensersatzanspruch, wie er hier in Rede steht, ist dagegen kein „Recht“ (gemeint: keine Forderung) „aus dem Vertrag“, sondern ein Anspruch aufgrund einer Pflichtverletzung, wenn es sich auch um die Verletzung von Pflichten aus dem Vertrag handelt.

Für dieses Verständnis sprechen neben dem Wortlaut auch Sinn und Zweck der Klausel, welche dem Telekommunikationsanbieter eine Handhabung seiner Vertragsbeziehungen, die er im Massengeschäft eingeht, ermöglichen soll. Diese Schutzrichtung gebietet es aber nicht, auch die Abtretung von Sekundäransprüchen auf Schadensersatz unter den Vorbehalt der Zustimmung zu stellen, da diese ohnehin einer individuellen Bearbeitung bedürfen und nicht etwa unter das teils automatisiert abgewickelte Massengeschäft fallen.

Letztlich kann die Frage der Wirksamkeit der Abtretung allerdings aus den nachfolgend dargestellten Gründen dahinstehen.

b) Die Abtretung scheitert nämlich bereits daran, dass der Kunde keinen Anspruch auf Leistung von Schadensersatz gegen die Beklagte aus §§ 280 Abs. 1, 241 Abs. 2 BGB, der Gegenstand der Abtretung sein könnte, erworben hat. Denn der Kunde hat durch die etwaige Pflichtverletzung der Beklagten keinen Schaden erlitten. Im Verhältnis zur Beklagten war diese nämlich gemäß § 675u Satz 2 BGB zur Stornobuchung verpflichtet. Nach dieser Vorschrift muss der Zahlungsdienstleister dem Zahler den Betrag unverzüglich erstatten und, sofern der Betrag dessen Konto belastet worden ist, dieses wieder auf den Stand bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang befunden hätte. Dies hat die Klägerin auch getan mit der Folge, dass bei dem Kunden kein wirtschaftlicher Schaden eingetreten ist.

c) Für eine Drei-Personen-Konstellation, die dadurch gekennzeichnet ist, dass der Schädiger eine Pflicht verletzt, der Schaden aber nicht bei der Person eingetreten ist, gegenüber der die verletzte Pflicht bestanden hat, sondern bei einem Dritten, haben sich die Grundsätze der Drittschadensliquidation herausgebildet. Voraussetzung für deren Anwendung ist, dass eine aus der Sicht des Schädigers zufällige Verlagerung des Schadens stattfindet. Nach dem Grundgedanken der Drittschadensliquidation soll der Schädiger infolge dieser zufälligen Verlagerung nicht entlastet werden, sondern im Ergebnis in gleicher Weise haften, wie wenn der Schaden in der Person des eigenen Vertragspartners eingetreten wäre.

Diese Voraussetzungen sind vorliegend jedoch nicht erfüllt, da es bereits nicht zu einer zufälligen Schadensverlagerung gekommen ist. Mit der Vorschrift des § 675u BGB, welche die Klägerin zur Begründung der Drittschadensliquidation heranzieht, lässt sich eine solche zufällige Schadensverlagerung nicht begründen. Durch die von den Tätern angestoßene Überweisung der 75.000 € ist nämlich zu keinem Zeitpunkt ein Schaden im Vermögen des Kunden eingetreten, der sich auf die Klägerin verlagert haben könnte. Bei einer vom Zahlungsdienstnutzer verlangten Überweisung schuldet dieser seinem Zahlungsdienstleister nach §§ 675c Abs. 1, 670 BGB Erstattung des für die Überweisung notwendigen Geldbetrages als Aufwendungsersatz. Bei der hier vorliegenden unbaren Überweisung verschafft sich die überweisende Bank den Überweisungsbetrag durch die Belastungsbuchung (Casper in MünchKomm-BGB, 8. Aufl. 2020, § 675f Rn. 78). Die von den Straftätern veranlasste Überweisung berührte also nicht unmittelbar das Vermögen des Kunden, da die Überweisung aus dem Vermögen des Zahlungsdienstleisters erfolgt und dieser dadurch einen Aufwendungsersatzanspruch erwirbt, dies jedoch nur, wenn die Überweisung tatsächlich von dem Kunden veranlasst worden ist. Insofern unterscheidet sich die Situation etwa von einem Diebstahl, bei dem der Täter unmittelbar Zugriff auf das Vermögen seines Opfers nimmt. Hier jedoch haben die Täter die Klägerin getäuscht, indem diese durch die Verwendung der TAN sowie der weiteren Zugangsdaten gegenüber der Klägerin den Anschein der Autorisierung einer Überweisung gesetzt haben. Tatsächlich lag diese Autorisierung nicht vor, so dass der Kunde von vornherein mangels Veranlassung des Zahlungsvorganges im Rahmen des mit der Klägerin bestehenden Zahlungsdienstevertrages niemals Erstattung der Aufwendungen in Höhe des Überweisungsbetrages aus §§ 675c Abs. 1, 670 BGB geschuldet hat.

Im Ergebnis hat die etwaige Pflichtverletzung seitens der Beklagten weder dazu geführt, dass die Straftäter unmittelbar Zugriff auf das Vermögen des Kunden genommen haben noch, dass durch ihr Verhalten ein Anspruch gegenüber dem Kunden entstanden ist. Somit hat sich nicht etwa ein Schaden des Kunden auf die Klägerin verlagert, sondern der Kunde war von vornherein in keiner Hinsicht in seinem Vermögen beeinträchtigt. Eine Beeinträchtigung des Kundenvermögens ist erst dadurch erfolgt, dass die Klägerin zu Unrecht die Belastungsbuchung vorgenommen hat. Die Drittschadensliquidation findet jedoch nur dann Anwendung, wenn ohne eine entsprechende vertragliche Vereinbarung oder gesetzliche Vorschrift der Schaden nicht verlagert worden wäre. Die sich aus § 675u BGB ergebende Pflicht zur Rückgutschrift ist aber insoweit keine zufällige Schadensverlagerung, als diese lediglich die ohnehin geltende Rechtsfolge anordnet, dass eine mangels Aufwendungsersatzanspruches erfolgte Belastung des Kontos des Kunden rückgängig zu machen ist.

Die Klägerin ist demnach nicht Dritte im Sinne der Drittschadensliquidation, auf die sich ein Schaden aufgrund einer gesetzlichen Bestimmung oder vertraglichen Vereinbarung aus der Sicht des Schädigers zufällig verlagert hat. Vielmehr ist die Klägerin lediglich mittelbar Geschädigte. Infolge der behaupteten Pflichtverletzung seitens der Beklagten war es den Tätern nämlich möglich, die Klägerin zu täuschen, indem sie ihr gegenüber den Anschein einer wirksamen Autorisierung durch den Kunden gesetzt haben. Lediglich mittelbar Geschädigte haben zur Vermeidung einer ausufernden Haftung jedoch nach den Grundgedanken des deutschen Schadensersatzrechts grundsätzlich keinen Ersatzanspruch gegen den Schädiger. Aufgrund dieser Wertung verbietet sich die Anwendung der Grundsätze der Drittschadensliquidation im vorliegenden Fall.

Zum selben Ergebnis gelangt man, wenn man in § 675u BGB eine mit Ausnahme der Fälle des § 675v BGB endgültige Risikozuweisung an den Zahlungsdienstleister erblickt, und zwar über das Verhältnis zum Kunden hinaus auch im Verhältnis zu Dritten. Zwar regelt die genannte Vorschrift unmittelbar nur das Verhältnis zwischen dem Zahler und dem Zahlungsdienstleister. Dass sie zugleich aufgrund ihrer Schutzrichtung auch die Anwendung der Grundsätze der Drittschadensliquidation und den Rückgriff auf den Anbieter von Telekommunikationsleistungen ausschließt, ergibt sich aber aus folgender Überlegung:

Im Wege der Drittschadensliquidation macht regelmäßig derjenige, gegenüber dem eine Pflicht verletzt worden ist, hier der Kunde, den auf einen Dritten, hier die Bank, verlagerten Schaden geltend. Schutzzweck des § 675u BGB ist es aber auch, den Kunden als Zahler aus sämtlichen Streitigkeiten herauszuhalten. Dies gewährleistet die Vorschrift, indem sie ihm gegen die Bank einen Anspruch auf unverzügliche Rückbuchung des seinem Konto belastenden Betrages gewährt.

Wendet man jedoch auf die vorliegende Sachverhaltsgestaltung die Grundsätze der Drittschadensliquidation an, so wäre es an dem Kunden, den Schaden, den die Bank erlitten hat, zu liquidieren, also notfalls im Klagewege gegenüber dem vermeintlichen Schädiger geltend zu machen. Der Kunde, dessen Konto zu Unrecht belastet worden ist, soll derlei Streitigkeiten aber gerade nicht führen müssen. Zwar haben die Parteien vorliegend eine Abtretung des Anspruchs des Kunden an die Klägerin vereinbart. Doch wenn der Kunde aufgrund seines Rechtsverhältnisses zum Anbieter der Telekommunikationsleistungen seinen Anspruch gegen diesen nicht abtreten dürfte, weil etwa ein wirksames Abtretungsverbot vereinbart worden ist, so bliebe nur der Weg, dass der Kunde selbst den Rechtsstreit gegen den Anbieter führt. Gerade dies soll durch § 675u BGB jedoch vermieden werden.

Gegen die Anwendung der Grundsätze der Drittschadensliquidation spricht zudem der Schutzzweck der verletzten Norm. Aus dem Dienstvertrag mit dem Kunden schuldete die Beklagte diesem gegenüber eine ordnungsgemäße Identitätsprüfung vor der Ausstellung der sog. A.-Card. Die Einhaltung dieser Nebenpflicht wird durch die Vorschrift der §§ 280 Abs. 1, 241 Abs. 2 BGB gewährleistet, welcher eine Verletzung mit der Pflicht zum Ersatz des daraus entstehenden Schadens sanktioniert. Diese Pflicht besteht jedoch nach den obigen Ausführungen zur Schutzwirkung des Vertrages nur im Verhältnis zum Kunden, nicht aber im Verhältnis zu irgendeinem Dritten, der das bestehende Vertragsverhältnis für Mitteilungen im Wege der Kurznachricht nutzt. Wendete man vorliegend die Drittschadensliquidation an, so würde dies bedeuten, dass der Schutzzweck der Pflichten auf gänzlich Unbeteiligte erstreckt wird. Dies verbietet sich jedoch, da die Reichweite vertraglicher Pflichten allein vertragsbezogen zu bestimmen ist, also allein im Hinblick auf das Schutzinteresse des Vertragspartners. Das Sicherheitsbedürfnis einer am Vertragsverhältnis unbeteiligten Bank bleibt außer Betracht, so dass der Schutzzweck der Norm der Anwendung der Grundsätze der Drittschadensliquidation entgegensteht.

3.

Überdies scheidet eine Haftung der Beklagten im Verhältnis zur Klägerin unter dem Aspekt des Handelns der Klägerin auf eigene Gefahr aus. Dabei kann die genaue dogmatische Einordnung offenbleiben, nämlich ob dieser Umstand die objektive Zurechenbarkeit zwischen der Pflichtwidrigkeit und dem Schaden ausschließt, ob dies nach § 254 BGB ein Mitverschulden begründet, hinter welches das etwaige Verschulden der Beklagten gänzlich zurücktritt, oder ob dieser Aspekt der Klägerin unter dem Gesichtspunkt von Treu und Glauben nach § 242 BGB die Inhaftungnahme der Beklagten verwehrt (zur Einordnung etwa Teichmann in Jauernig, BGB, 18. Aufl. 2021, § 254 Rn. 14). Nach dem historisch gewachsenen Verständnis handelt auf eigene Gefahr, wer sich in eine Situation drohender Eigengefährdung begibt, obwohl er die besonderen Umstände kennt, die für ihn eine konkrete Gefahrenlage begründen (BGH, Urt. v. 02.10.2012 – VI ZR 311/11 – Rn. 12 m.w.N.). Damit nimmt der Handelnde nämlich ein Risiko in Kauf, dessen Verwirklichung dem Schädiger anzulasten unbillig wäre.

Dass die Klägerin auf eigene Gefahr gehandelt hat, indem sie die Dienste der Beklagten in Anspruch genommen hat, und eine Haftung der Beklagten unbillig wäre, ergibt sich hier aus folgenden Umständen: Basierte das Bankwesen ursprünglich auf einer Filialstruktur, bei der der Kunde in „seiner“ Filiale vorsprach, um Bankgeschäfte zu tätigen, so hat sich der Schwerpunkt inzwischen zum Online-Banking verlagert. Dies erlaubt den Geldinstituten die Schließung zahlreicher Filialen und ermöglicht dadurch eine erhebliche Kostenersparnis. Das Online-Banking beruht darauf, dass der Gang des Kunden zur Filiale dadurch ersetzt wird, dass die Bank hochsensible Daten, nämlich die mobile Transaktionsnummer, dem Kunden über das Telekommunikationsunternehmen zukommen lässt. Im Ergebnis nutzt die Bank für das Online-Banking ein bestehendes Vertragsverhältnis des Kunden zu seinem Anbieter, an dem die Bank nicht beteiligt ist, demnach also dem Anbieter keine gesonderte Vergütung für seine besonders gefahrenträchtige Inanspruchnahme zahlt. Durch die Versendung der TAN schafft die Bank zur Verwirklichung ihres eigenen wirtschaftlichen Interesses ein erhebliches Risiko. Der Anbieter wird durch die Einbeziehung in das Online-Banking in besonderer Weise zu einer Zielscheibe der Cyberkriminellen. Deren Methoden werden immer perfider, auch sind im modernen Massenverkehr, wie es der Telefonverkehr darstellt, individuelle Fehler im Einzelfall niemals auszuschließen. Letztlich wird es nicht möglich sein, dass der Anbieter Schutzmaßnahmen trifft, die jegliches Missbrauchsrisiko in welcher Form auch immer ausschließen. Es wäre daher unbillig, den Anbieter in die Verantwortung dafür zu nehmen, dass sein System so abgesichert ist, wie es im Interesse der an der Vertragsbeziehung nicht einmal beteiligten Bank erforderlich wäre. Indem das Telekommunikationsunternehmen einen Vertrag mit seinem Kunden eingegangen ist, schuldet es diesem zwar sichere Telekommunikation, und zwar im Rahmen dessen, was der Kunde, der ein verhältnismäßig geringes Entgelt für die Dienstleistung zahlt, erwarten darf. Dazu gehört aber nicht, dass der Anbieter Schutz vor jedwedem denkbaren Angriff durch Straftäter bietet, denn dies wird trotz aller Bemühungen niemals zu gewährleisten sein. Die Interessen der Bank sind hingegen für die Bestimmung des vom Anbieter geschuldeten Sicherheitsstandards ohne Belang.

Die Klägerin weist zudem selbst daraufhin, dass es in der Vergangenheit immer wieder Betrugsfälle im Zusammenhang mit der mobilen TAN gegeben hat. Aus diesen Erfahrungen lässt sich jedoch nicht folgern, dass der Anbieter gehalten wäre, seine Sicherheitsstandards soweit zu erhöhen, dass sich auch die an der Vertragsbeziehung nicht beteiligte Bank gleichsam beruhigt zurücklehnen kann. Denn der Anbieter schuldet seinem Kunden nur Schutz vor vertragstypischen Gefahren, soweit diese überhaupt abwehrbar sind. Das damit von dem Anbieter nach oben stehenden Ausführungen zu tragende Risiko der Entstehung von Nutzungsentgelten infolge missbräuchlicher Verwendung der Rufnummer ist ein wirtschaftlich überschaubares Risiko, dem der Anbieter zudem durch geeignete Maßnahmen etwa bei Entstehung eines ungewöhnlich hohen Gebührenaufkommens entgegenwirken kann.

Gefahren aus dem Inhalt der Kommunikation sind hingegen für den Anbieter nicht mehr vorhersehbar. Dadurch, dass er seitens der Bank gleichsam als Vehikel für das Online-Banking genutzt wird, würde ein für den Anbieter in keiner Weise mehr kalkulierbares Risiko entstehen. Weiß die Bank aber darum, dass das mobile TAN-Verfahren gefahrgeneigt ist und greift sie dennoch im eigenen wirtschaftlichen Interesse darauf zurück, so geht sie sehenden Auges ein Risiko von erheblicher Tragweite ein. Es wäre aus den dargestellten Gründen aber unbillig, das Telekommunikationsunternehmen, welches naturgemäß auf den Inhalt der über seine Dienste versendeten SMS keinerlei Einfluss nehmen kann, an diesem Risiko zu beteiligen. Sachgerecht ist es allein, dass das Risiko derjenige vollumfänglich trägt, der im Wissen um die Gefahren des Verfahrens dieses im alleinigen wirtschaftlichen Interesse nutzt. Dies gilt umso mehr, als auch Verfahren zur Verfügung stehen, welche einen höheren Sicherheitsstandard bieten als das mobile TAN-Verfahren, nämlich etwa die Nutzung einer speziellen App zur Abfrage der TAN.

4.

Aber selbst wenn man von einer grundsätzlichen Haftung der Beklagten gegenüber der Klägerin ausginge, so wäre diese vorliegend zu verneinen, weil der Beklagten allenfalls einfache Fahrlässigkeit vorgeworfen werden kann, ihre Haftung aber auf Fälle grober Fahrlässigkeit, Vorsatz und betrügerischer Absicht beschränkt ist. Denn die für das Deckungsverhältnis zwischen Zahler und Zahlungsdienstleister normierte Haftungsprivilegierung aus § 675v Abs. 3 BGB wirkt auch im Verhältnis der Bank zum Telekommunikationsunternehmen. Die in dieser Vorschrift genannte Privilegierung ist nämlich gerechtfertigt, weil die Banken durch die Einführung des Online-Banking-Verfahrens ein im Verhältnis zur Einreichung eines Überweisungsträgers am Bankschalter erheblich gesteigertes Missbrauchsrisiko geschaffen haben. Derjenige, der ein Risiko setzt, muss grundsätzlich auch die Folgen davon tragen, dass sich dieses Risiko verwirklicht. Eine Ausnahme gilt nur bei grober Fahrlässigkeit, Vorsatz oder betrügerischer Absicht des Kunden. Wenn aber im Deckungsverhältnis zum Kunden, der selbst am Online-Banking teilhat, das Haftungsprivileg gilt, muss dies erst recht in Bezug auf einen Dritten gelten, der an dem Online-Banking-Verfahren nicht beteiligt ist und daher auch keinen Nutzen daraus zieht, sondern lediglich dem damit geschaffenen Risiko ausgesetzt ist.

Zum schlüssigen Vortrag der die Haftung der Beklagten begründenden Tatsachen gehört damit die Darlegung von Umständen, aus denen sich ein grob fahrlässiges Fehlverhalten der Beklagten ergibt. Für Zahlungskartensysteme hat der Bundesgerichtshof entschieden, dass ein Verhalten als grob fahrlässig einzustufen ist, welches über das gewöhnliche Maß an unsachgemäßem oder sorgfaltswidrigem Verhalten hinausgeht. Die im Verkehr erforderliche Sorgfalt muss in ungewöhnlich hohem Maße verletzt und ganz naheliegende Überlegungen nicht angestellt oder beiseitegeschoben worden sein. Es muss insgesamt dasjenige unbeachtet geblieben sein, was sich im gegebenen Fall jedem aufgedrängt hätte (BGH, Urt. v. 17.10.2000 – XI ZR 42/00). Davon kann vorliegend nicht die Rede sein. Das Fehlverhalten, welches die Klägerin der Beklagten vorliegt, ist lediglich als einfache Fahrlässigkeit zu qualifizieren. Denn die Klägerin trägt lediglich eine Pflichtenvernachlässigung vor, wie sie im modernen Massengeschäft auch bei generell hoher Sorgfalt im Einzelfall dem Anbieter unterlaufen kann. Angesichts der großen Mengen an Vorgängen und Vertragsbeziehungen liegt es in der Natur des Menschen, dass Fehler vorkommen. Es kann aber nicht davon gesprochen werden, dass der vorliegend behauptete Pflichtenverstoß, gemessen an den oben genannten Anforderungen, auf einer ungewöhnlich hohen Verletzung der im Verkehr erforderlichen Sorgfalt beruht.

5.Zudem wäre eine etwaige Haftung der Beklagten auf einen Betrag von 12.500 € begrenzt. Diese Begrenzung gilt nach § 44a TKG, soweit eine Verpflichtung des Anbieters von öffentlich zugänglichen Telekommunikationsdiensten zum Ersatz eines Vermögensschadens gegenüber einem Endnutzer besteht und wie hier nicht auf Vorsatz beruht. Die Vorschrift dient gerade dem Schutz des Anbieters vor unüberschaubaren finanziellen Risiken (Heilmann/Herrmann in Paschke/Berlit/ Meyer/Kröner, Hamb. Komm. MedienR, 4. Aufl. 2021, § 44a TKG Rn. 38), wie es sich vorliegend verwirklicht hat. Diese Begrenzung ist zudem von den Parteien durch Einbeziehung von Ziffer 5.2 der AGB der Beklagten Gegenstand der vertraglichen Vereinbarung geworden, auch wenn sie zur Geltung keiner Einbeziehung bedarf (Ditscheid/Rudloff, Beck’scher TKG-Komm., 4. Aufl. 2013, § 44a Rn. 5). Im Falle einer Haftung der Beklagten müsste sich die Klägerin diese nach § 404 BGB entgegenhalten lassen.

6.

Die Kostenentscheidung beruht auf § 97 Abs. 1 ZPO.

Die Entscheidung über die vorläufige Vollstreckbarkeit hat ihre Grundlage in § 708 Nr. 10 Satz 1, 711 ZPO.

7.

Die Zulassung der Revision ist nicht veranlasst.

8.

Streitwert in zweiter Instanz: 75.000 €