Dieser Inhalt ist frei verfügbar. Mit einem Abonnement der RdW erhalten Sie die Zeitschrift in Print und vollen digitalen Zugriff im Web, am Smartphone und Tablet. Mehr erfahren…
Testen Sie
ALLE 13 Zeitschriftenportale
30 Tage lang kostenlos.
Der Zugriff endet nach 30 Tagen automatisch.
Der Umfang von Schutz- und Sorgfaltspflichten, wie etwa die Frage von Beratungs- und Aufklärungspflichten von Banken, ist grds eine Frage des Einzelfalls. Gegenteiliges gilt nur dann, wenn eine grobe Fehlbeurteilung vorliegt, die im Interesse der Rechtssicherheit korrigiert werden müsste. Der bloße Umstand, dass zu lösende Fragen in einer Vielzahl von Fällen auftreten mögen, bewirkt entgegen der Ansicht des Kl noch nicht deren Erheblichkeit iSd § 502 Abs 1 ZPO. Auch eine Vielzahl von Geschädigten ändert nichts daran, dass die Frage, wie weit Aufklärungspflichten gehen, dennoch auch dabei stets von den ganz konkreten Umständen des Einzelfalls abhängt.
Im vorliegenden Fall war der Kl Opfer eines betrügerischen Phishing-Systems geworden und hatte die strittigen Zahlungsaufträge (insg fünf Auslandsüberweisungen, eine davon iHv 20.000 €, die anderen alle unter 10.000 €) selbst autorisiert (daher keine Haftung der Bank gem §§ 67, 68 ZaDiG 2018). Gerade auch ein autorisierter Zahlungsvorgang kann ein betrügerischer Zahlungsvorgang sein. Dies ist der Grund für das zusätzliche Transaktionsüberwachungssystem der bekl Bank, das eine Überprüfung des bereits autorisierten Zahlungsvorgangs vornimmt und auch im vorliegenden Fall eine der Überweisungen stoppte, weil Betrag (20.000 €) und Empfängerkonto vom üblichen Buchungsverhalten des Kl abwichen. Wenn die Vorinstanzen im konkreten Einzelfall – aufgrund der bestehenden Transaktionsüberwachung und der im Vorfeld getätigten Warnungen – eine Verletzung dieser Schutz- und Sorgfaltspflichten durch die Bekl verneint haben, ist dies nicht korrekturbedürftig.
Sachverhalt
Der Kl ist Kontoinhaber eines Girokontos bei der bekl Bank und verfügt über Internetbanking. Die Bekl bietet ihren Internetbanking-Kunden ein Zwei-Faktor-Authentifizierungs-System an, das mit jeweils zwei der drei möglichen Faktoren Wissen, Besitz oder Inhärenz arbeitet, um Zahlungsvorgänge zu autorisieren. Darüber hinaus gibt es eine automatisierte Transaktionsüberwachung, die aufgrund von Algorithmen erkennt, wenn eine – auch ordnungsgemäß autorisierte Zahlungsanweisung – vom sonstigen Kundenverhalten abweicht. Der Kl erhielt vor dem verfahrensgegenständlichen Vorfall eine Warnung der Bekl vor betrügerischen „Phishing“-Nachrichten.
Am Vorfallstag klickte der Kl auf einen Link in einer – als Nachricht eines Paketzustellers getarnten – SMS-Nachricht und gab dort einige persönliche Daten sowie seine Verfügernummer für das Internetbanking bei der Bekl an. In der Folge hob er insgesamt 7.500 € bar von seinem Konto ab und tätigte verschiedene Erledigungen.
Noch währenddessen wurde der Kl von einer ihm unbekannten Nummer angerufen. Es wurde ihm mitgeteilt, dass auf das Konto des Kl zugegriffen werde. Der Kl verschob das Telefonat zuerst, bis er zu Hause war. Dort rief er die aufscheinende Nummer zur Kontrolle zurück. Dabei wurde über Tonband ein Geldinstitut angegeben, bei dem der Kl kein Konto hat.
Am selben Abend wurde der Kl von einem unbekannten Täter mit einer deutschen Telefonnummer angerufen. Der Anrufer ersuchte den Kl, sein Internetbanking einzusehen. Zwischenzeitig hatte der unbekannte Täter über einen Desktop die Web-Anwendung des Internetbankings des Kl gestartet und die Verfügernummer des Kl eingegeben. Der Kl öffnete daraufhin die App auf seinem Smartphone und bestätigte durch die Eingabe seiner PIN neben seinem eigenen Login über die Kontroll-App auch den Login des unbekannten Täters über die Web-Version. So gelang es dem unbekannten Täter, in das Internetbanking des Kl einzusteigen. Dieser teilte dem Kl mit, er müsse nun seinen Anweisungen folgen und verschiedene Dinge bestätigen, damit das Geld – das nach den Angaben des unbekannten Täters vom Konto des Kl widerrechtlich abgebucht werden sollte – zurückgeholt werden könne.
Der unbekannte Täter bereitete eine Auslandsüberweisung iHv 20.000 € vor, die der Kl einsehen konnte und mit seinen Daten freigab. Obwohl diese Überweisung damit ordnungsgemäß autorisiert war, stoppte das „Fraud-Transaction-Monitoring“ Programm der Bekl die Überweisung, weil Betrag und Empfängerkonto vom üblichen Buchungsverhalten des Kl abwich.
Anschließend übermittelte der unbekannte Täter dem Kl vier weitere bereits ausgefüllte Überweisungsaufträge über zweimal 9.000 €, 3.950 € und 5.700 € auf dasselbe Konto. Der Kl gab alle diese Überweisungen ordungsgemäß mit beiden Schritten seiner App frei. Er bemerkte im Zuge der Abbuchungsvorgänge, dass das Geld auf seinem Girokonto weniger und weniger wurde und Abbuchungen stattfanden, lies sich aber von dem unbekannten Täter beschwichtigen, dass dies dazu diene, Betrugsversuche zu „bearbeiten“ und sich sein Kontostand dann regulieren werde. Diese Überweisungen von insgesamt 27.650 € wurden vom „Fraud-Transaction-Monitoring“ der Bekl nicht mehr gestoppt und ließen sich auch nicht mehr zurückholen.
Der Kl fordert von der Bekl die Löschung der Kontobuchungen; in eventu, die Zahlung von 27.650 €.
Er brachte – Soweit im Revisionsverfahren noch relevant, brachte der Kl vor, das Kontrollsystem der Bekl hätte auch die weiteren Überweisungen als nicht gewollt erkennen müssen, und wendet die Bekl ein, ihre Kontrollsysteme würden alle gesetzlichen Vorgaben mehr als erfüllen, sie habe den Kl ausreichend vor Pishing gewarnt und der Kl habe selbst grob fahrlässig gehandelt.
Das Klagebegehren blieb in allen drei Instanzen erfolglos.
Entscheidung
Da die Feststellungen, welche Vorgehensweise im Bankwesen „üblich“ wäre und welche Buchungen das frühere Transaktionsüberwachungssystem der Bekl gestoppt hätte, an dieser Beurteilung nichts ändern würden, liegen – entgegen der Ansicht des Kl – auch keine sekundären Feststellungsmängel vor.
Keine im Einzelfall aufzugreifende Fehlbeurteilung stellt im Übrigen auch die – selbstständig tragfähige – Hilfsbegründung des BerufungsG dar, wonach – selbst ausgehend von einer Sorgfaltspflichtverletzung der Bekl – das festgestellte Verhalten des Kl diese derart in den Hintergrund drängen würde, dass es zur Gänze vernachlässigt werden könnte (vgl etwa RS0027202 [T12]).
Der Anregung des Kl auf Einleitung eines EuGH-Vorabentscheidungsverfahrens zur Frage des Zusammenspiels der Begriffe „nicht autorisierter“ und „betrügerischer“ Zahlungsvorgang in Art 2 DelVO (EU) 2018/389 ist nicht nahezutreten, weil keine Zweifel iZm Fragen aus dem Unionsrecht aufkommen (RS0082949 [T16]).
