Berufung gegen Abweisung wegen Autorisierung einer unautorisierten Überweisung zurückgewiesen

Die Berufung der Kläger gegen das am 2. 3. 2023 verkündete Urteil des Landgerichts Köln – 15 O 333/22 – wird gemäß § 522 Abs. 2 ZPO zurückgewiesen.

Die Kläger tragen die Kosten des Berufungsverfahrens.

Das angefochtene Urteil und dieser Beschluss sind ohne Sicherheitsleistung vorläufig vollstreckbar.

I.

Von der Darstellung eines Tatbestandes wird gemäß § 522 Abs. 2 S. 4 ZPO i. V. m. § 544 Abs. 2 Nr. 1 ZPO abgesehen.

II.

Die zulässige Berufung bleibt in der Sache ohne Erfolg. Das Landgericht hat die Klage rechtsfehlerfrei abgewiesen. Zur Begründung nimmt der Senat zunächst auf seinen Hinweis vom 7. 8. 2023 Bezug; an der dort geäußerten Rechtsauffassung hält er uneingeschränkt fest. Die Stellungnahme der Berufungskläger gibt lediglich zu folgenden Ergänzungen Anlass:

Soweit nunmehr vorgetragen wird, die Internetseite der Beklagten müsse „gehackt“ worden sein, so ist dieser Vortrag neu. Erstinstanzlich hatten die Kläger lediglich behauptet, das Konto müsse „gehackt“ worden sein, mit anderen Worten, unbekannte Täter hätten Zugriff auf es gehabt. Wenn sie nunmehr behaupten, die Internetseite https://www.A..de sei „gehackt“ worden, mithin von unbekannten Tätern übernommen worden, so ist dieser Vortrag in der Berufungsinstanz neu und nicht nach § 531 Abs. 2 ZPO zulassungsfähig. Erstinstanzlich hatten sie sich stets auf den Standpunkt gestellt, der Kläger habe sich auf der „echten“ Internetseite der Beklagten eingeloggt. Der Senat hat lediglich darauf hingewiesen, dass die Bewertung der Berufung, dieses Vorbringen sei unstreitig, nicht zutreffe, und daher die von ihr aus diesem Umstand gezogenen Schlussfolgerungen nicht zwingend sind. Tatsächlich hat sich die Beklagte von Anfang an darauf berufen, der Kläger müsse statt der echten Internetseite eine „Phishing“-Seite aufgerufen haben.

Maßgeblich für die Bewertung des Verhaltens des Klägers als grob fahrlässig ist allein der Umstand, dass er die streitgegenständliche Zahlung ausdrücklich freigegeben hat, obwohl auch ihm nach den vom ihm vorgetragenen Umständen klar sein musste, dass er keine Zahlung autorisieren wollte. In diesem Zusammenhang kommt dem Umstand, dass er den ausdrücklichen Warnhinweis in der pushTAN-App bestreitet – oder nicht wahrgenommen haben will – keine ausschlaggebende Bedeutung zu. Der von ihm in diesem Zusammenhang vorgelegte Bildschirmausdruck ist nichtssagend, und es ist unklar, welche Sparkasse ihn zu welchem Zeitpunkt verwendet haben soll.

Entscheidend ist, dass die gesamten Umstände im hohen Maße geeignet waren, den Kläger davor zu warnen, eine von ihm nicht beauftragte Zahlung zu autorisieren. Dies gilt insbesondere vor dem Hintergrund, dass er zuvor eine SMS erhalten hatte, nach der die App in einen „Stornierungsmodus“ versetzt worden sei, von dem er – nach seinen eigenen Angaben in der mündlichen Verhandlung – nie zuvor gehört hatte, und obwohl – unstreitig – die Beklagte nicht mit ihm per SMS kommuniziert. Dass der Kläger auch tatsächlich stutzig geworden ist, folgt aus seiner eigenen Angabe, dass er die unbekannte Anruferin noch einmal fragte, ob er den Auftrag „Echtzeit-Überweisung 9.800 EUR“ nun freigeben oder ablehnen solle, und erst auf ihre Aufforderung hin freigab. Die genannten Umstände rechtfertigen aus Sicht des Senats auch die Bewertung des Verhaltens des Klägers als subjektiv grob fahrlässig. Dem Kläger war bekannt, dass ein Zugriff unbekannter Dritter auf sein Konto in Rede stand, und er erkannte auch die Verdachtsmomente, und war grundsätzlich in der Lage, die ihm erteilten Anweisungen kritisch zu überprüfen. Wenn er in dieser Situation dennoch eine „Echtzeit-Überweisung 9.800 EUR“ freigab, handelte er subjektiv schlechthin unentschuldbar.

Soweit in der Stellungnahme zu dem Hinweis erstmals vorgetragen wird, die Beklagte verwende keine starke Kundenauthentifizierung im Sinn des § 1 Abs. 24 ZAG, so dass die Haftung des Klägers nach § 675v Abs. 4 BGB entfalle, so ist dies mit dem bisherigen Sach- und Streitstand nicht vereinbar. Nach den unstreitigen Feststellungen des Landgerichts verlangte die Beklagte zur Freigabe des streitgegenständlichen Auftrags die Eingabe eines nur dem Kunden bekannten Passworts zur Öffnung der pushTAN-App (Element Wissen), um dann die Freigabe auf seinem Mobiltelefon (Element Besitz) zu fordern. Damit sind die Anforderungen des § 1 Abs. 24 ZAG gewahrt. Auf die Frage nach einer Ausnahme im Sinn von Art. 10 der delegierten Verordnung der Kommission vom 27.11.2017 (EU) 2018/389 stellt sich damit nicht. Nur ergänzend ist daher noch darauf hinzuweisen, dass grundsätzlich öffentlich zugängliche Daten wie Telefonnummern oder die Namen von Kundensachbearbeitern der Bank keine „sensiblen Zahlungsdaten“ darstellen. Sensible Zahlungsdaten sind solche, mit denen der Kunde einen Zahlungsvorgang auslösen kann (Casper/Terlau, ZAG, 3. Aufl. 2023, § 1 Rn. 542). Das ist bei seiner Telefonnummer und dem Namen des zuständigen Sachbearbeiters nicht der Fall.

Wie ebenfalls im Hinweis ausgeführt, hat die Sache auch weder grundsätzliche Bedeutung, noch erfordern die Fortbildung des Rechts oder die Sicherung einer einheitlichen Rechtsprechung eine Entscheidung des Berufungsgerichts durch Urteil. Schließlich erscheint auch eine mündliche Verhandlung angesichts des gegebenen Sach- und Streitstands und der relevanten rechtlichen Fragen nicht geboten, so dass die Berufung – wie bereits im Hinweis angekündigt – gemäß § 522 Abs. 2 ZPO durch Beschluss ohne mündliche Verhandlung zurückzuweisen ist.

Die Kostenentscheidung beruht auf § 97 ZPO. Die Entscheidung über die vorläufige Vollstreckbarkeit beruht auf §§ 708 Nr. 10 S. 2, 713 ZPO.

Streitwert: 9.800,00 EUR.