OLG München, Urteil vom 23.01.2012 - 17 U 3527/11
Fundstelle
openJur 2013, 23216
  • Rkr:
  • AmtlSlg:
  • PM:
Tenor

I. Auf die Berufung der Beklagten wird das Endurteil des Landgerichts Landshut vom 14.07.2011, Az.: 24 O 1129/11, aufgehoben.

II. Die Klage wird abgewiesen.

III. Der Kläger trägt die Kosten des Rechtsstreits.

IV. Das Urteil ist vorläufig vollstreckbar.

V. Die Revision wird nicht zugelassen.

Gründe

I.

Der Kläger verlangt als Geschädigter eines Phishing-Angriffs die Erstattung eines Zahlbetrages, den unbekannte Täter von seinem bei der Beklagten geführten Girokonto abgebucht haben.

Der Kläger nutzte bei diesem Privatkonto das von der Beklagten angebotene online-banking. Als Authentifizierungsinstrument wurde dabei das "iTAN-Verfahren" verwendet. Einen entsprechenden Rahmenvertrag zur Nutzung des online-bankings hatte der Kläger am 18.01.2008 mit der Beklagten abgeschlossen (Anlage B1).

Am 20.02.2011 wurde der Kläger Opfer eines sogenannten Phishing-Angriffs, in dessen Folge unbekannte Täter am 23.02.2011 vom Konto des Beklagten insgesamt 6.000,- Euro in sechs Einzelüberweisungen zu je 1.000,-- Euro auf fremde Konten überwiesen. Der Kläger verlangt von der Beklagten Erstattung dieses Betrages.

Das Landgericht hat der Klage in vollem Umfang stattgegeben. Es war der Auffassung, dem Kläger stehe ein Rückzahlungsanspruch gegen die Beklagte aus § 675 u Satz 2 BGB zu, die Beklagte ihrerseits habe keinen begründeten Schadensersatzanspruch gemäß § 675 v Abs. 2 BGB, mit dem sie gegen den Anspruch des Klägers aufrechnen könne. Dem Kläger könne im Zusammenhang mit dem Phishing-Angriff kein grobfahrlässiges Verhalten zum Vorwurf gemacht werden.

Der Senat nimmt gemäß § 540 Abs. 1 Nr. 1 ZPO Bezug auf die tatsächlichen Feststellungen im angefochtenen Urteil des Landgerichts Landshut vom 14.07.2011.

Mit ihrer Berufung verfolgt die Beklagte ihr ursprüngliches Ziel, eine Abweisung der Klage zu erreichen, fort.

Zum Sachvortrag im Berufungsrechtszug wird auf die gewechselten Schriftsätze der Parteien und wegen der Berufungsanträge auf das Protokoll über die mündliche Verhandlung vom 23.1.2012 verwiesen.

II.

Die gemäß §§ 511, 517, 519, 520 ZPO zulässige Berufung der Beklagten hat in vollem Umfang Erfolg. Das Urteil des Landgerichts Landshut vom 14.07.2011 war daher aufzuheben und die Klage abzuweisen.

9Der Senat ist entgegen der landgerichtlichen Sichtweise der Auffassung, dass der Kläger der Beklagten in Höhe der Klageforderung zum Schadensersatz verpflichtet ist, weil er die nicht autorisierten Überweisungen der unbekannten Täter durch grobfahrlässige Verletzung seiner eigenen Pflichten ermöglicht hatte:

Der Kläger ist am 20.02.2011 Opfer eines Phishing-Angriffes geworfen. Als er an diesem Tag bei Aufruf des online-bankings für sein Girokonto seine PIN eingegeben hatte, öffnete sich auf der Internetseite der Beklagten eine gefälschte Internetseite: Dem Kläger wurde darin mitgeteilt, es müssten wegen der Einführung neuer Sicherheitsmaßnahmen aus Sicherheitsgründen alle laufenden TAN-Listen aus dem Verkehr gezogen werden. Zusätzlich enthielt der Text die Aufforderung an den Kläger, seine Informationen über die aktuelle TAN-Liste zur Verfügung zu stellen. Der Kläger hat auf diese Aufforderung hin in diese Seite alle TAN-Nummern eingegeben, die ihm seitens der Beklagten in einer nur für ihn bestimmten Liste zugeleitet worden waren.

Der Kläger besaß bereits einschlägige Erfahrung mit dem online-banking. Er hatte wie er in der Berufungsverhandlung mitteilte – bereits circa zwei Jahre lang vor dem streitgegenständlichen Vorfall regelmäßig und dabei mehrmals im Monat mit dem Online-Banking gearbeitet.

So liegt es auf der Hand, dass er in Anbetracht der Aufforderung, alle TANs einzugeben, unbedingt hätte Verdacht schöpfen müssen. Er hätte angesichts dieses einmaligen, von der vertrauten Gestaltung spektakulär abweichenden Vorganges ohne weiteres erkennen müssen, dass er allen Anlass hatte, zunächst einmal zu klären, wie dieser Vorgang einzuordnen war.

Der Kläger hat sich stattdessen mit niemand beraten, er hat weder bei seiner Bankfiliale nachgefragt noch diese auf irgendeine Weise von dem Vorgang in Kenntnis gesetzt. Wie er selbst erklärt hat, hatte ihn die Aufforderung, alle TANs einzugeben, durchaus stutzig gemacht, so dass er insgesamt dreimal nacheinander die Seite der Beklagten durch Eingabe seiner PIN aufgerufen hat. Schließlich hat er mit großem Zeitaufwand alle TANs in die gefälschte Internetseite, die nach jedem Aufruf wieder erschienen war, eingegeben. Er hat es – obwohl ihn selbst ein unsicheres Gefühl beschlichen hatte auch danach nicht für erforderlich gehalten, der Sache nachzugehen. Erkundigungen einzuholen und Rat zu suchen.

Der Kläger wusste außerdem, da er regelmäßig das online-banking praktiziert hatte, dass für jeden einzelnen Überweisungsvorgang nur eine einzige TAN einzugeben war, die unmittelbar nach Abschluss der jeweiligen Kontoverfügung für jeden weiteren Akt dieser Art verbraucht war. Er wusste auch, dass im Datenverarbeitungssystem der Beklagten zum online-banking die dem Kläger in einer Liste ausgereichten TANs bekannt sein mussten, weil die Beklagte sonst nicht hätte feststellen können, ob der Berechtigte selbst Auslöser der jeweiligen Kontoverfügung war.

Hinzu kam, dass der angehörte Kläger ausgesagt hat, einige Zeit nach der vorgenommenen Eingabe sämtlicher ihm vorliegender TAN-Nummern zwecks angeblicher Entwertung noch einen Überweisungsvorgang unbeanstandet durch (erneute) Eingabe einer dieser TAN-Nummern durchgeführt zu haben.

Der Senat vermag nicht zu erkennen, was den Kläger objektiv daran hätte hindern sollen, unmittelbar nach diesem Vorgang die Beklagte zu verständigen oder zumindest bei ihr nachzufragen. Der Phishing-Angriff war am 20.02.2011 erfolgt, die Einzelabbuchungen der unbekannten Täter wurden erst am 23.02.2011 vollzogen. Der Kläger hat die dazwischen liegende Zeit nicht genutzt, um die Beklagte von dem Vorfall zu verständigen. Er ist einfach zur Tagesordnung übergegangen, als wäre nichts gewesen. Er hat dadurch nach Überzeugung des Senats insgesamt grobfahrlässig verhindert, dass die Beklagte auf den Phishing-Angriff noch hätte wirksam reagieren und den Schaden abwenden können.

Entgegen der Annahme des Erstgerichts, das den Kläger selbst nicht angehört hat, um sich ein Bild von dessen Persönlichkeit machen zu können, hat der Senat bei seiner Anhörung des Klägers in der Berufungsverhandlung ganz klar den Eindruck gewonnen, dass der Kläger von seiner Intelligenz und seinem Sprachverständnis her keineswegs überfordert war, die Sache zu verstehen und angemessen zu handeln. Der Kläger ist – wie vom Erstgericht ausgeführt - zwar osteuropäischer Herkunft, er lebt aber beinahe 20 Jahre in Deutschland. Der Kläger besitzt nach dem Eindruck des Senats sehr gute Sprachkenntnisse. Er hat verständlich und jederzeit nachvollziehbar geschildert, wie er den Vorfall selbst erlebt hat. Er hat sich auch durchaus selbstkritisch geäußert und dabei auch anklingen lassen, dass er in dieser Sache zu leichtfertig gehandelt haben könnte.

Die Beklagte selbst hatte, da sie von dem Phishing-Angriff nichts wusste, ihrerseits keine Möglichkeit, die unberechtigten Abbuchungen ins Leere laufen zu lassen. Nach Überzeugung des Senats hat der Kläger objektiv wie subjektiv grob fahrlässig gehandelt. Daher steht der Beklagten gegen den Kläger ein eigener Schadensersatzanspruch nach der Vorschrift des § 675 v Abs. 2 BGB in Höhe der Klageforderung zu, mit dem sie gemäß § 389 BGB wirksam gegen die Forderung des Klägers aufrechnen konnte.

III.

Die Kostenentscheidung beruht auf § 97 Abs. 1 ZPO.

Der Ausspruch über die vorläufige Vollstreckbarkeit hat seine Rechtsgrundlage in § 708 Nr. 10, § 713 ZPO.

Die Revision war nicht zuzulassen, da die Voraussetzungen hierfür nicht vorliegen (§ 543 Abs. 2 Satz 1 ZPO).