Landgericht Aachen, Urteil vom 06.02.2024, 10 O 53/23
Gegenstand der Entscheidung:
Verurteilung einer Sparkasse auf Erstattung unautorisierter Zahlungen nach Missbrauch im Online-Banking
Landgericht Aachen, Urteil vom 06.02.2024, 10 O 53/23
Im Namen des Volkes
Urteil
In dem Rechtsstreit
1.
2.
des
der
,
Kläger,
Prozessbevollmächtigte
zu 1, 2:
Rechtsanwälte Stader GbR, Vogelsanger Str. 197a, 50825 Köln,
gegen
Sparkasse Aachen , vertr. d. d. Vorstand, Münsterplatz 7-9, 52062 Aachen,
Beklagte,
Prozessbevollmächtigte:
hat die 10. Zivilkammer des Landgerichts Aachen auf die mündliche Verhandlung vom 12.12.2023 durch den Vorsitzenden Richter am Landgericht Dr. den Richter am Landgericht und die Richterin am Landgericht Dr.
für Recht erkannt:
Die Beklagte wird verurteilt, das bei ihr geführte Girokonto der Kläger mit der IBAN wieder auf den Stand zu bringen, auf dem es sich ohne Belastung durch den nicht autorisierten Zahlungsvorgang vom 28.07.2022 (23:37 Uhr) in Höhe von 25.000,- € und vom 29.07.2022 (00:06 Uhr) in Höhe von 24.000,- € befunden hätte.
Die Beklagte wird weiter verurteilt, das bei ihr geführte Girokonto der Kläger mit der auf den Stand zu bringen, auf dem es sich ohne die Belastung des nicht autorisierten Zahlungsvorgangs vom 29.07.2022 (12:35 Uhr) in Höhe von 4.850,- € befunden hätte.
Die Beklagte wird weiter verurteilt, an die Kläger vorgerichtliche Anwaltskosten in Höhe von 2.147,53 € nebst Zinsen in Höhe von fünf Prozentpunkten über dem Basiszinssatz seit dem 06.10.2022 zu zahlen.
Im Übrigen wird die die Klage abgewiesen.
Die Kosten des Rechtsstreits werden gegeneinander aufgehoben.
Tatbestand
Die Parteien streiten um die Wiedergutschrift nicht autorisierter Zahlungsvorgänge und Ansprüche auf Datenauskünfte aufgrund der DS-GVO.
Die Kläger unterhalten mehrere Konten bei der Beklagten unter anderem mit der IBAN und der IBAN . Der Kläger nutzte seit November 2019 für das online-Banking das sogenannte chipTAN-Verfahren auf der Grundlage der Bedingungen für das Online-Banking (Anlage B1, Bl. 146f GA). In der Zeit vom 25.11.2019 bis zum 18.07.2022 wurden mit diesem Verfahren mit dem Zugang des Klägers der Kläger 76 TANs generiert.
Die Beklagte veröffentliche auf ihrer Online-Banking Webseite Sicherheitshinweise, bei denen unter anderem auf authentisch wirkende betrügerisches Verhalten insbesondere auch die gebotene Skepsis bei Telefonanrufen und SMS-Nachrichten hingewiesen wird und die Online-Banking Benutzer gebeten werden, keine persönlichen Daten oder Zugangsdaten aus Online-Banking weiterzugeben.
Am 28.07.2022 erfolgte um 23:37 Uhr eine Überweisung von dem Konto der Kläger mit der IBAN i.H.v. 50.000,- € zugunsten des Konto des schweizerischen Zahlungsdienstleisters , IBAN bei der , welche von einer unbekannten Person mittels pushTAN um 23:37 Uhr freigegeben wurde. Es folgte eine weitere Überweisung an denselben Zahlungsempfänger in Höhe von 48.000,- €, welche am 29.07.2022 um 00:06 Uhr erneut mittels pushTAN freigegeben wurde. Schließlich wurde von dem Konto mit der IBAN am 29.07.2022 eine weitere Überweisung in Höhe von 9.700,- € getätigt. Auch diese Überweisung wurde von einer unbekannten Person durch eine pushTAN um 12:35 Uhr freigegeben. Die genauen Umstände, wie es zu den Überweisungen kam sind zwischen den Parteien – überwiegend – streitig.
Am Nachmittag des 29.07.2022 stellte die Klägerin die vorbenannten Zahlungsabgänge zufällig fest und informierte den Kläger darüber. Dieser rief daraufhin die Beklagte an und informierte einen Mitarbeiter im Service-Center über die Vorgänge.
Noch am 29.07.2022 erstattete der Kläger Strafanzeige wegen des missbräuchlichen Zugriffs auf die klägerischen Konten (Bl. 1 Beiakte). Das von der Staatsanwaltschaft Aachen unter dem Aktenzeichen geführte Ermittlungsverfahren wurde zwischenzeitlich mangels Erfolgsaussichten der Ermittlungen nach § 170 Abs. 2 StPO eingestellt.
Über den Vorfall und die Anzeige informierte der Kläger die Rechtsabteilung der Beklagten am 01.08.2022 schriftlich. Mit Schreiben vom 04.08.2022 bestätigte die Beklagte die Schadenmeldung.
Mit anwaltlichem Schreiben vom 22.09.2022 forderten die Kläger die Beklagte unter Fristsetzung bis zum 29.09.2022 zur Wiedergutschrift der unautorisierten Zahlungen in Höhe von insgesamt 107.700,- € sowie dem Ausgleich vorgerichtlicher Rechtsanwaltskosten unter Fristsetzung bis zum 05.10.2022 auf.
Die Beklagte lehnte die Forderung mit Schreiben vom 12.10.2022 ab. Hierauf erwiderten die Kläger mit anwaltlichem Schreiben vom 07.11.2022 und baten gem. Art. 15 Abs. 1 DS-GVO um Auskunft über sämtliche, die Kläger betreffenden personenbezogenen Daten, die seitens der Beklagten gespeichert, genutzt und verarbeitet wurden, auch interne Dokumente wie Vermerke, Gesprächsnotizen etc., oder Transaktionsprotokolle. Die Beklagte übersandte den Klägern daraufhin zwei CDs, die zahlreiche Dokumente mit personenbezogenen Daten der Kläger enthalten und erwiderte mit Schreiben vom 01.12.2022 (Anlage B8, Bl.155f GA).
Der Kläger behauptet zu den Umständen, die zu den nicht autorisierten Zahlungen führten, am 22.07.2022 um 16:54 Uhr einen Anruf auf seinem Mobiltelefon erhalten zu haben, auf welchem die Rufnummer „0241 444 6666" angezeigt worden sei. Zwischen den Parteien ist unstreitig, dass die Rufnummer „0241 444 6666" damals von der Beklagten verwendet worden ist. Der Anrufer habe sich als Mitarbeiter der Beklagten namens Herr Winter ausgegeben und dem Kläger erläutert, dass das chipTAN-Verfahren durch das mobile pushTAN-Verfahren abgelöst werden müsse. Der Anrufer habe angegeben, den Kläger bei dem Wechsel unterstützen zu wollen, was dieser abgelehnt habe.
Am 27.07.2022 habe der Kläger um 17:49 Uhr von derselben Rufnummer einen Anruf, diesmal auf seinem Festnetzanschluss, erhalten und habe sich diesmal entschlossen die angebotene TAN-Umstellung mit Hilfe des Anrufers durchzuführen.
Unstreitig ist sodann, dass der Kläger mittels WhatsApp-Nachricht um 17:55 Uhr einen Link https://online-selfservice.com/Oba30a2e-c289-444a-a5aa-6760767273b1 – von einem Account mit dem Namen SPARKASSE und dem Sparkassenzeichen im Profilbild erhalten hat und er diesen Link betätigte. Auf der sich öffnenden Website hat der Kläger – nicht näher spezifizierte – allgemeine Daten zu seinem Konto eingegeben. Der Kläger behauptet, die Website habe optisch dem Kundenservice-Portal der Beklagten entsprochen.
Unstreitig ist wiederum, dass am 27.07.2022 um 18:06:15 eine chipTAN mit der Nummer „ “ verwendet worden ist (vgl. Anlage K1, Bl. 50 GA). Die Beklagte behauptet hierzu, der Kläger habe diese generiert und weitergegeben, wodurch der Wechsel auf das pushTAN Verfahren initiiert worden sei, was der Kläger bestreitet, da in technischen Daten für den Geschäftsvorfall „TAN Wechseln“ um 18:01 Uhr sowohl der Vermerk nicht vollständig bearbeitet, als auch korrekt verarbeitet auftauche (vgl. Bl. 60 GA)
Der Kläger erhielt daraufhin, was zwischen den Parteien ebenfalls nicht in Streit steht, um 18:06 Uhr von der Beklagten auf sein Mobiltelefon eine SMS mit dem authentischen Aktivierungslink der Beklagten für die Aktivierung des pushTAN-Verfahrens. Der Kläger selbst verwendete den Link, wodurch eine Verwendung durch den Täter vereitelt wurde.
Es ist sodann am Abend 27.07.2022 und 28.07.2022 mehrfach zu Saldoabfragen, Abfragen des TAN-Medien-Bestandes, Überweisungsversuchen, zur Anpassung der Überweisungslimits und dem Versuch der Freischaltung einer neuen Mobilfunkverbindung im Online Banking Account des Klägers gekommen. Wegen der weiteren Einzelheiten der einzelnen Online-Banking-Vorgänge auf den klägerischen Konten wird auf Anlage K2, Bl. 54ff GA und verwiesen.
Am 28.07.2023 wurde um 10:47 Uhr das pushTAN Verfahren zurückgesetzt. Der Kläger erhielt unmittelbar einen weiteren Aktivierungslink. Der Täter rief kurz darauf die Festnetznummer der Kläger an. Er erreichte die Klägerin, welche dem Anrufer mitteilte, dass sich der Kläger im Büro befinde. Mittels des als SPARKASSE bezeichneten WhatsApp Account wurde um 10:47 Uhr nach dem Stand der TAN-Umstellung gefragt und erneut Hilfe angeboten (Screenshot, Bl. 19 GA).
Der Kläger kontaktierte am 28.07.2023 um 15:09 Uhr die Nummer seines persönlichen Sachbearbeiters bei der Beklagten. Der Anruf wurde durch die Zeugin angenommen. Der Kläger sprach mit der Zeugin unstreitig über Probleme bei der Einrichtung des pushTAN Verfahrens. Im Rahmen des Gesprächs wurde zudem ausdrücklich ein „Herrn Winter“ erwähnt. Es wurde daher ein Termin zur Einrichtung des pushTAN Verfahrens für den 03.08.2022 vereinbart. Der Kläger behauptet, es sei in dem Gespräch darüber hinaus zugesichert worden, dass der Online-Banking-Zugang bis zu dem Präsenztermin vollständig gesperrt werde.
Der Kläger teilte dem Täter über den als SPARKASSE bezeichneten WhatsApp Account um 17:28 Uhr mit, dass mit der Zeugin ein Termin vereinbart worden sei und der Online-Zugang gesperrt sei, Herr Winter jedoch gerne anrufen könne (Bl. 19 GA).
Nach Freischaltung einer weiteren Mobilfunknummer für das pushTAN Verfahren um 17:40 Uhr wurden, nachdem eine Überweisung zunächst scheiterte, die hier gegenständlichen externen Überweisungen ausgeführt.
Die Kläger sind der Auffassung, dass ihrem Wiedergutschriftsanspruch kein Gegenanspruch der Beklagten entgegengehalten werden könne, denn die Angabe des Anmeldenamens und der dazugehörigen PIN durch den Kläger, habe dem Täter nicht ermöglicht, wirksame Zahlungen zu Lasten der Konten der Kläger zu veranlassen. Erforderlich sei vielmehr die Authentifizierung über einen zweiten Faktor aus den Bereichen „Besitz" oder „Inhärenz" gewesen. Auch seien die – von der Beklagten behauptete – Weitergaben der chipTAN und des ersten Aktivierungslinks ohnehin nicht kausal für die unautorisierten Transaktionen, da diese nicht zur Umstellung des TAN-Verfahrens geführt hätten. Das pushTAN Verfahren sei – wie es auch die Zeugin mittteilte (Bl. 43 BA) – erst am 28.07.2022 um 10:41 Uhr freigeschaltet worden, nachdem dies am vorherigen Abend gescheitert sei. Etwaige vom Kläger mitgeteilte Daten könnten daher die Überweisungen überhaupt nicht verursacht haben. Jedenfalls aber habe der Kläger nicht grob fahrlässig gehandelt.
Die Kläger behaupten zudem, die seitens der Beklagten übersandten CDs hätten nicht alle personenbezogenen Daten enthalten. So seien die in der Beiakte befindlichen personenbezogene Daten enthaltenen E-Mails – namentlich die E-Mail des vom 01.08.2022 (11:37 Uhr) (BI. 28 der Beiakte), die E-Mail des Klägers vom 31.07.2022 nebst anliegendem Protokoll (BI. 30 ff. der Beiakte) und die E-Mail der Zeugin vom 01.08.2022 (15:00 Uhr) (BI. 43 der Beiakte) – nicht enthalten gewesen. Dem Auskunftsanspruch der Kläger sei daher nicht vollständig entsprochen worden. Durch das Vorenthalten der Daten hätten die Kläger jegliche Kontrollmöglichkeit über die Daten verloren. Es drohe nicht nur der Eintritt eines immateriellen Schadens, sondern eines greifbaren materiellen Schadens.
Die Kläger beantragt,
1. die Beklagte zu verurteilen, das bei ihr geführte Girokonto der Kläger mit der IBAN auf den Stand zu bringen, auf dem es sich ohne die Belastungen durch die nicht autorisierten Zahlungsvorgänge, die Abbuchungen in Höhe von EUR 50.000,00 vom
28.07.2022 (23:37 Uhr) und in Höhe von weiteren EUR 48.000,00 vom
29.07.2022 (00:06 Uhr) befunden hätte;
2. die Beklagte zu verurteilen, das bei ihr geführte Girokonto der Kläger mit der IBAN auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den nicht autorisierten Zahlungsvorgang in Höhe von EUR 9.700,00 vom 29.07.2022 (12:35 Uhr) befunden hätte;
3. die Beklagte zu verurteilen, den Klägern Auskunft über alle bei ihr gespeicherten und verarbeiteten Dokumente, die personenbezogene Daten der Kläger enthalten, insbesondere interne E-Mails, Nachrichten, Gesprächsnotizen und Vermerke der Beklagten, zu erteilen, soweit nicht bereits durch Auskunft der Beklagten vom 05.12.2022 erfolgt;
4. die Beklagte zu verurteilen, an den Kläger zu 1) für die unvollständige Erteilung der Datenauskunft nach Art. 15 DS-GVO einen immateriellen Schadensersatz in angemessener Höhe zu zahlen, wobei die Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch
2.500,- € nebst Zinsen i.H.v. 5 %-punkten über dem jeweiligen Basiszinssatz seit Rechtshängigkeit;
5. die Beklagte zu verurteilen, an die Klägerin zu 2) für die unvollständige Erteilung der Datenauskunft nach Art. 15 DS-GVO einen immateriellen Schadensersatz in angemessener Höhe zu zahlen, wobei die Höhe in das pflichtgemäße Ermessen des Gerichts gestellt wird, mindestens jedoch
2.500,- € nebst Zinsen i.H.v. 5 %-punkten über dem jeweiligen Basiszinssatz seit Rechtshängigkeit beträgt;
6. die Beklagte zu verurteilen, an die Kläger vorgerichtliche Rechtsanwaltsgebühren i.H.v. EUR 3.174,92 nebst Zinsen i.H.v. 5 %punkten über dem jeweiligen Basiszinssatz seit dem 06.10.2022 zu zahlen.
Die Beklagte beantragt,
die Klage abzuweisen.
Sie bestreitet die durch den Täter erfolgten Anrufe sowie deren Inhalt mit Nichtwissen.
Sie behauptet, weil die Umstellung von dem chipTAN- auf das pushTAN-Verfahren mittels Zwei-Faktor-Authentifizierung erfolge, könne diese ausschließlich durch Eingabe einer durch den TAN-Generator und der persönlichen Bankkarte des Online-Banking-Nutzers – hier der Sparkassenkarte des Klägers – erzeugten chipTAN freigegeben werden. Eine gültige chipTAN basiere zudem auf der Eingabe eines – ausschließlich im Online-Banking Account des Klägers befindlichen Startcodes, der auf dem Ziffernblock des TAN-Generators eingegeben werden müsse. Ein Zugriff auf den autarken TAN-Generator von außen sei unmöglich. Die zur Freigabe des Wechsels des TAN-Verfahrens verwendete TAN „ “ müsse also durch den Kläger generiert worden und an den Täter herausgegeben worden sein.
Sie behauptet weiter, die Umstellung des TAN-Verfahrens sei noch am 27.07.2023 erfolgreich ausgeführt worden, was sich zweifelsfrei aus den technischen Daten ergebe. Am 28.07.2022 sei um 01:36 Uhr im Online-Banking des Klägers die Freischaltung eines Zweitgeräts initiiert worden, wofür – nach der standardmäßigen Voreinstellung – der postalische Versand eines Registrierungsbriefs erfolge. Dieser sei am 28.07.2022 um 03:03 Uhr gedruckt worden, wobei unstreitig ist, dass der Brief den Kläger am 02.08.2023 erreichte. Am 28.07.2022 sei um 10:41 Uhr der Auftrag erteilt worden, die bereits zusätzliche eingerichtete – jedoch noch nicht aktivierte pushTAN-Verbindung „pushTAN NEU“ zurückzusetzen und um 10:47 Uhr sei sodann die Zurücksetzung und damit der Versand der zweiten SMS mit dem Aktivierungslink an die Mobilfunknummer des Klägers erfolgt. Dieser Link sei um 17:40 Uhr aktiviert worden (Anlage B7), was zwingend eine Weitergabe des Links durch den Kläger an den Täter voraussetze. Denn die Installierung der pushTAN-App könne nur über den personalisierten per SMS übersandten Link, wie ihn auch der Kläger zweimal erhalten hat, erfolgen.
In Bezug auf den datenschutzrechtlichen Auskunftsanspruch sei für die Beklagte nicht nachvollziehbar gewesen, dass die E-Mails auf den CDs fehlten. Jedenfalls sei die Höhe des geltend gemachten Schadensersatzanspruchs übersetzt.
Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf die zwischen den Parteien gewechselten Schriftsätze und die zu den Akten gereichten Unterlagen Bezug genommen.
Das Gericht hat den Kläger persönlich angehört und Beweis erhoben durch Vernehmung der Zeugin und des Zeugen . Wegen des Ergebnisses der Anhörung sowie der Beweisaufnahme wird auf das Protokoll der mündlichen Verhandlung vom 12.12.2023 (Bl. 297ff d.A.) Bezug genommen.
Die Akte der Staatsanwaltschaft Aachen, Az. lag als Beiakte vor und war Gegenstand der mündlichen Verhandlung.
Entscheidungsgründe
Die zulässige Klage ist in dem aus dem Tenor ersichtlichen Umfang begründet.
I.
1. Die Kläger haben gegen die Beklagte einen Anspruch aus § 675u S. 2 BGB, ihr Konto mit der IBAN wieder auf den Stand zu bringen, auf dem es sich ohne die Belastungen durch die streitgegenständlichen Zahlungsvorgänge vom 28.07.2022 (23:37 Uhr) in Höhe von 25.000,- € und vom
29.07.2022 (00:06 Uhr) in Höhe von 24.000,- € sowie hinsichtlich des Kontos mit der IBAN wieder auf den Stand zu bringen, auf dem es sich ohne die Belastung durch den streitgegenständlichen Zahlungsvorgang vom
29.07.2022 (12:35 Uhr) in Höhe von 4.850,- € befunden hätte.
a. Die drei von den klägerischen Konten am 28.07.2022 um 23:37 Uhr in Höhe von 50.000,- €, am 29.07.2022 um 00:06 Uhr in Höhe von 48.000 € und am 29.07.2022 um 12:35 Uhr in Höhe von 9.700 € ausgelösten Überweisungen auf das Konto mit der IBAN erfolgten ohne Zustimmung der Kläger als Zahler und sind daher nicht autorisierte Zahlungen im Sinne von § 675j Abs. 1 BGB (vgl. Zahrte, BKR 2016, 315, 316).
b. Die Beklagte kann den Klägern indes einen Schadensersatzanspruch gemäß § 675v Abs. 3 Nr. 2 BGB wegen einer grob fahrlässigen Sorgfaltspflichtverletzung des Klägers in Höhe der Hälfte der abgeflossenen Zahlungen im Wege der dolo-agit Einrede entgegenhalten.
Nach § 675v Abs. 3 Nr. 2 lit. a/b BGB ist der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der als Folge eines nicht authentifizierten Vorgangs entstanden ist, wenn er ihn durch grob fahrlässige Verletzung einer oder mehrerer in § 675l Abs. 1 BGB niedergelegter Pflichten oder vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsauthentifizierungsinstrumentes herbeigeführt hat. Die Beweislast für Ansprüche aus § 675v Abs. 3 BGB liegt als ihm günstige Tatsache beim Zahlungsdienstleister, hier also der Beklagten.
aa. Entgegen der klägerischen Auffassung ist § 675v BGB auf den vorliegenden Fall anwendbar, denn unabhängig von der technischen Ausgestaltung im Einzelfall stellt der gesamte Transaktionsvorgang im Online-Banking ein Zahlungsinstrument im Sinne der Definition des § 1 Abs. 20 ZAG dar (vgl. BeckOGK/Hofmann, 1.9.2022, BGB § 675v Rn. 84; vgl. MüKoBGB/Zetzsche, 9. Aufl. 2023, BGB § 675v Rn. 22). Dabei ist eine sonstige missbräuchliche Verwendung jede Verwendung des Zahlungsinstruments durch einen Dritten gegen oder ohne den Willen des Zahlers (vgl. MüKoBGB/Zetzsche, 9. Aufl. 2023, BGB § 675v Rn. 23). So also auch die drei nicht autorisierten Überweisungen vom 28. und 29.07.2022.
bb. Der Kläger hat auch eine sich aus § 675l Abs. 1 BGB ergebende Sorgfaltspflicht verletzt, die sich kausal auf die Vornahme der unautorisierten Zahlung ausgewirkt hat.
Nach § 675l Abs. 1 BGB ist der Zahlungsdienstnutzer verpflichtet, unmittelbar nach Erhalt eines Zahlungsinstrumentes alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Die von dem Zahlungsdienstnutzer zu erwartende angemessene Sorgfalt besteht hier darin, Zugangsdaten niemanden auf Nachfrage anzuvertrauen, sei es am Telefon, in E-Mails oder durch Eingabe im Internet (vgl. BeckOK. Stand 01.10.2021, § 675 Abs. 1, Rn. 93). Insbesondere die (telefonische) Weitergabe einer durch den Zahlungsdienstnutzer generierten TAN stellt eine Pflichtverletzung im dem Sinne dar (vgl. LG Saarbrücken Urt. v. 10.6.2022 – 1 O 394/21). Eine Pflichtverletzung liegt bei Anwendung dieses Maßstabs jedenfalls in der durch den Kläger vorgenommenen Eingabe von „allgemeinen Kontodaten“ in der mittels des per WhatsApp erhaltenen Link aufgerufenen Website, denn damit hat der Kläger gegen § 675l Abs. 1 S. 1 BGB und Ziffer 7.1 Abs. 2 lit. a der Bedingungen für das Online-Banking verstoßen, wonach Wissenselemente geheim zu halten sind.
cc. Diese Pflichtverletzung hat auch in zurechenbarer Weise zu den streitgegenständlichen unautorisierten Überweisungen geführt. So hat der Kläger dem Täter Zugriff auf sein Online-Banking verschafft und damit den Wechsel des TAN-Verfahrens und die dadurch später freigegebenen Überweisungen initiiert und ohne weitere wesentliche, den Zurechnungszusammenhang unterbrechende Zwischenschritte, die Umverteilung der Freibeträge und letztlich die Überweisungen verursacht. Dies liegt auch im Rahmen des Schutzzwecks der Norm, denn die Angaben der Online-Banking Daten dienen insbesondere dazu, unautorisierten Nutzern die Vornahme von Bankgeschäften, wie Überweisungen, zu verhindern.
dd. Diese Pflichtverletzung erfolgte auch grob fahrlässig.
Grobe Fahrlässigkeit erfordert einen in objektiver Hinsicht schweren und in subjektiver Hinsicht schlechthin unentschuldbaren Verstoß gegen die Anforderungen der konkret erforderlichen Sorgfalt. Selbst ein objektiv grober Pflichtenverstoß rechtfertigt indes für sich noch keinen zwingenden Schluss auf ein entsprechend gesteigertes personales Verschulden (vgl. BGH, Urteil vom 26.01.2016 – XI ZR 91/14, a.a.O. Rn. 71). Es sind insbesondere alle Umstände des Einzelfalls in objektiver und subjektiver Hinsicht zu berücksichtigen. Dabei müssen die subjektiven, in der Person des jeweils Handelnden begründeten Umstände bedacht werden, sodass die an den jeweils Handelnden individuell zu stellenden Anforderungen bedeutsam sind (vgl. BeckOGK/Hofmann BGB § 675v Rn. 59).
Nach diesem Maßstab ist hier von grober Fahrlässigkeit des Klägers auszugehen. So muss es einem durchschnittlichen sorgfältigen Online-Banking-Kunden Anlass zu Misstrauen gegeben, dass – ausschließlich telefonisch – durch einen Mitarbeiter auf die Notwendigkeit eines Wechsels des TAN-Verfahrens beim Online-Banking hingewiesen wird. Einem Onlinebanking-Nutzer sollte nämlich bekannt sein, dass echte Bankmitarbeiter sie niemals zur Dateneingabe mittels eines Links fragen werden, schon gar nicht am Telefon. Alle Kreditinstitute weisen in ihren Sicherheitshinweisen und den Bedienungsanleitungen für das Onlinebanking – so auch die Beklagte in Ziffer 7.1. der vorgelegten Bedingungen – auf diesen Umstand hin. Der Kläger hat im Rahmen seiner informatorischen Anhörung selbst angegeben, dass im Vorspann des Online-Bankings gestanden habe, dass man nicht angerufen werde. Auch fielen ihm – jedenfalls seit dem streitgegenständlichen Vorfall Warnhinweise der Beklagten, die ihm vorher indes nicht so präsent waren, auf.
Die Kammer hat bei der vorzunehmenden Gesamtbetrachtung auch das besondere Geschick der Täter berücksichtigt. So ist dem Kläger suggeriert worden, dass er von der seitens der Beklagten selbst genutzten Nummer „0241 444 6666“ angerufen worden ist. Dies ergibt für die Kammer mit der nach § 286 ZPO erforderlichen Sicherheit aus den klägerseits vorgelegten Screenshots der Anruferliste (Bl 8, 10 GA) und der Erläuterung des Klägers im Rahmen seiner informatorischen Anhörung, dass ihm bei den Anrufen auf seinem Handy das Sparkassenzeichen angezeigt worden sei, was ihm als Architekten und daher berufsbedingt visuellem Menschen, besonders wichtig gewesen sei.
Gleichwohl ist dem Kläger auch subjektiv ein erheblicher Pflichtverstoß vorzuwerfen. So ist einerseits zu berücksichtigen, dass der Kläger bereits fortgeschrittenen Alters ist, er aber dennoch weiterhin freiberuflich als Architekt tätig ist und regelmäßig Termine im Büro wahrnimmt. Von der individuellen Auffassungsgabe des Klägers hat sich die Kammer auch durch die informatorische Anhörung einen eigenen Eindruck verschafft. So hat die Kammer bei der Anhörung des Klägers klar den Eindruck gewonnen, dass er von seiner Intelligenz keineswegs im Umgang mit Bankdaten überfordert war, vielmehr die Konsequenz der Datenweitergabe verstehen konnte und angemessen zu handeln in der Lage war. So hat er verständlich und jederzeit nachvollziehbar geschildert, wie er den Vorfall selbst erlebt hat. Er hat sich auch durchaus selbstkritisch geäußert und deutlich gemacht, dass er sich von seiner Frustration, dass die technische Umsetzung gescheitert sei, hat leiten lassen. Zu berücksichtigen ist auch, dass der Kläger das Onlinebanking der Beklagten bereits seit 2019 nutzt und daher – auch unter Berücksichtigung des Umstands, dass seine Frau einen Großteil des „Büro-Krams“ übernimmt – ein erfahrener Nutzer ist. Auch der Umstand, dass der Kläger selbst den Eindruck habe, dass bei der Beklagten durchaus regelmäßig mit den Kunden telefoniert werde, schmälert das erhebliche individuelle Verschulden des Klägers nicht. Die vom Kläger herangezogenen Sachverhalte – Telefonate zu Darlehensverträgen und Zinssätzen – sind schon nicht mit den hochsensiblen Online-Banking Daten zu vergleichen, zumal der Kläger selbst angab, dass er – entgegen den Bedingungen zur Nutzung des online-Bankings seinem Bankberater auf Nachfragen stets Tan oder Pin mitgeteilt hätte. Überdies hätte der Umstand, dass dem Kläger ein Herr Winter nicht bekannt war und er mit Herrn Wildschütze einen personalisierten Bankberater und damit Ansprechpartner hat, zu besonderen Misstrauen veranlassen müssen.
ee. Der Ersatzanspruch der Beklagen ist allerdings gemäß § 254 Abs. 1 BGB wegen Mitverschuldens hälftig zu kürzen.
Nach § 254 Abs. 1 BGB hängt die Verpflichtung zum Ersatz sowie der Umfang des zu leistenden Ersatzes von den Umständen, insbesondere davon ab, inwieweit der Schaden vorwiegend von dem einen oder dem anderen Teil verursacht worden ist, wenn bei der Entstehung des Schadens ein Verschulden des Beschädigten mitgewirkt hat. Dies gilt ausweislich des als eigenen Absatz drei zu lesendem § 254 Abs. 2 S. 3 iVm § 278 BGB auch für das Mitverschulden von Erfüllungsgehilfen.
Indes vermochte die Kammer sich nicht die Überzeugung verschaffen, dass die Zeugin , welcher sich die Beklagte zur Erfüllung ihrer Verbindlichkeiten im Kundenservice bedient hat und die daher Erfüllungsgehilfin im Sinne des § 278 BGB ist, dem Kläger bei dem am 28.07.2022 geführten Telefonat zugesichert hat, dass der Kontozugang des Klägers bis zu dem in der nächsten Woche anberaumten persönlichen Gesprächstermin gesperrt werden würde. Diesen Nachweis vermochten die insoweit darlegungs- und beweisbelasteten Kläger nicht zu erbringen.
Der Kläger hat im Rahmen seiner informatorischen Anhörung widerspruchsfrei ausgeführt, die Zeugin habe ihm gesagt, der Online-Zugang werde bis zum persönlichen Termin in der auf das Gespräch folgenden Woche gesperrt. Besondere Glaubhaftigkeit gewinnen diese Erläuterungen aufgrund des konstanten Aussageverhaltens. So hat der Kläger bereits im Rahmen seiner Strafanzeige angegeben, dass eine Kontosperrung vereinbart worden sei (Bl. 3 Beiakte). Auch offenbart der Kläger Gefühlsregungen, die er bei dem Telefonat erlebte. So führt er etwa aus, er habe der Zeugin erzählt, dass das neue Verfahren nicht klappe und er davon genervt gewesen sei. Der Kläger gab insoweit erkennbar selbst erlebtes wieder.
Den Ausführungen des Klägers stehen indes die ebenso glaubhaften Bekundungen der Zeugin entgegen. Zwar konnte sich die Zeugin nicht ad hoc an das Telefonat und etwaige Versprechungen zur Kontosperrung erinnern, gleichwohl vermochte sie zu bestätigen, dass sie in der Ermittlungsakte befindlichen und als Anlage K2 vorgelegten E-Mail vom 01.08.2022, in welcher sie das Telefonat mit dem Kläger beschreibt (Bl. 70 GA und Bl. 43 Beiakte), ihrer Erinnerung an das Telefonat entsprechen. Daraus ergibt sich, dass sie weder eine Sperrung veranlasst noch empfohlen habe. Zudem bekundete die Zeugin nachvollziehbar, dass bei einer beabsichtigten Kontosperrung eine Legitimationsprüfung hätte vorgenommen werden müssen. Dass eine solche gerade nicht stattgefunden hatte, vermochte sie aber sicher zu erinnern. Die Bekundungen der Zeugin sind widerspruchsfrei. Die Zeugin hat zudem erkennbar selbst erlebtes wiedergegeben, was sich nicht zuletzt an der Bekundung zeigt, dass es sich um ein sehr emotionales Telefonat gehandelt habe.
Auch auf die Bekundungen des Zeugen Dr. vermochte die Kammer keine dahingehende Überzeugung zu stützen, dass eine Sperrung des Kontozugangs zwischen dem Kläger und der Zeugin vereinbart worden ist. Die Aussage des Zeugen war vielmehr bereits unergiebig. Zum einen hat der Zeugen Dr. an dem Telefonat selbst nicht teilgenommen, zum anderen aber vermochte er nur zu bekunden, dass nach der Schilderung seines Vaters und Klägers, die Zeugin gesagt habe, dass bis zu dem persönlichen Termin in der Filiale der Zugang zum Banking gesperrt werde, relativiert dies indes durch den unmittelbar angefügten Zusatz „was auch immer das heißen mag“. Zudem bekundete er, dass er nicht mehr genau erinnern könne, wer den Vorschlag mit der Kontosperrung seinerzeit gemacht hätte.
Gleichwohl ist die Kammer nach der durchgeführten Beweisaufnahme davon überzeugt, dass für die Zeugin , deren Verhalten sich die Beklagte – wie ausgeführt – nach § 278 BGB zurechnen lassen muss, aufgrund des Telefonats am 28.07.2022 Anlass bestanden hätte, weitere Nachforschungen anzustellen und aus Sicherheitsgründen den Kontozugang des Klägers zu sperren. Bei einer Kontosperrung zeitnah nach dem Telefonat hätte es nicht mehr zu den streitgegenständlichen Überweisungen kommen können, sodass sich die Beklagte trotz des ganz erheblichen Pflichtverstoßes des Klägers – ein hälftiges Mitverschulden anrechnen lassen muss.
So hat die Zeugin bekundet, dass die Anrufe von Herrn Winter Gegenstand des Gesprächs gewesen seien. Sie habe aber keine Veranlassung gesehen, dem weiter nachzugehen. Schließlich habe dies auch ein Nachbar sein können. Gerade dies hätte aber die Zeugin dazu veranlassen müssen, dem Vorgang im Nachgang zu dem Telefonat weiter nachzugehen und möglicherweise die Kontosperrung zu veranlassen. Denn sie ist ausweislich ihrer eigenen Bekundungen selbst davon ausgegangen, dass ein unbefugter Dritter – wie etwa ein Nachbar (Bl. 304 d.A.) – bei der Umstellung des Tan-Verfahrens beteiligt war. Eben dies namentlich, „wenn der Kunde gesagt hätte, dass ein Dritter ihm bei der Einrichtung geholfen hätte“ (Bl. 302 d.A.) – war ein entsprechender Hinweis, der sie zu weiteren Nachforschungen und einer Kontosperrung hätte veranlassen müssen. Hinzukommt, dass die Zeugin während des Telefonats die Transaktionen des klägerischen Kontos vom 28.07.2022 (Bl. 12 ff Beiakte) in Augenschein genommenen hat. Dort zeigten sich zahlreiche ungewöhnliche Vorgänge, wie fehlgeschlagene Überweisungen, Veränderung von Überweisungslimits und Saldoabfragen, insbesondere auch zur Nachtzeit. In der Gesamtschau dieser Vorgänge misslungene Umstellung des Tan-Verfahrens bei Zuhilfenahme eines der Zeugin nicht bekannten Dritten Person, ein vorhergehendes Telefonat mit einem der Zeugin nicht bekannten Bankmitarbeiter namens Herrn Winter und den ungewöhnlichen, insbesondere während der Nachtzeiten vorgenommene Vorgänge und Transaktionen auf den Konten – wären weitere Nachforschungen anzustellen und aus Sicherheitsgründen gegebenenfalls eine Kontosperrung zu veranlassen gewesen. Die Möglichkeit weiterer Nachforschungen, etwa im Nachhinein herauszufinden, ob Herr Winter Mitarbeiter der Beklagten ist, habe nach den eigenen Bekundungen der Zeugin ohne weiteres bestanden.
Vor dem Hintergrund dieser offensichtlichen Anhaltspunkte für unübliche Vorgänge in einem sicherheitsrelevanten Bereich wie dem Online-Banking, hält die Kammer ein hälftiges Mitverschulden der Beklagten für angemessen.
2. Die Kläger haben auch einen Anspruch auf die mit dem Klageantrag zu 6. geltend gemachten vorgerichtlichen Anwaltskosten in Höhe von 2.147,53 € aus Verzugsgesichtspunkten gemäß § 286 Abs. 1 BGB.
Nach § 675u S. 3 BGB besteht die Verpflichtung, die Wiedergutschrift am Ende des Geschäftsgangs nach der Anzeige des Betrugsverdacht gutzuschreiben. Die schriftliche Mitteilung gegenüber der Beklagten erfolgte durch die Kläger bereits am 01.08.2022, sodass sich die Beklagte seit dem in Verzug befindet. Der Höhe nach sind die vorgerichtlichen Anwaltskosten allerdings nur nach dem Gegenstandswert zu ersetzen, der der berechtigten Wiedergutschrift entspricht. Der Gegenstandswert liegt damit bei 53.850,- €. Demnach errechnet sich bei einer 1,3 Geschäftsgebühr, einer Pauschale nach Nr. 7002 VV RVG in Höhe von 20,00 € und Anrechnung der Mehrwertsteuer in Höhe von 19 % ein Betrag von 2.147,53 €.
3. Der Zinsanspruch basiert aus §§ 286, 288, 187 BGB, denn die Beklagte befindet sich mit der Zahlung der vorgerichtlichen Anwaltskosten seit dem Ablauf der mit anwaltlichem Schreiben vom 22.09.2022 gesetzten Zahlungsfrist bis zum 29.09.2022 in Verzug. Mit Blick auf § 308 Abs. 1 ZPO ist der Zinsanspruch indes antragsgemäß erst ab dem 06.10.2022 zuzusprechen.
4. Soweit die Kläger mit dem Klageantrag zu 3. einen Auskunftsanspruch nach Art. 15 Abs. 1 DS-GVO geltend machen, besteht ein solcher Anspruch nicht, denn dieser wurde bereits im Sinne des § 362 Abs. 1 BGB erfüllt.
Ein Auskunftsanspruch ist erfüllt, wenn die gemachten Angaben nach dem erklärten Willen des Schuldners die Auskunft in dem geschuldeten Umfang darstellen. Dies gilt selbst dann, wenn die Angaben unrichtig sind (vgl. MüKoBGB/Fetzer, 9. Aufl. 2022, § 362 BGB Rn. 38). Es besteht hingegen kein Anspruch auf Auskunftsergänzung, wenn der Gläubiger die Auskunft für unzulänglich hält. Hier besteht allenfalls ein Anspruch auf eidesstattliche Versicherung. Die Beklagte hat den Klägern als Verantwortliche im Sinne des Art. 4 Nr. 7 DS-GVO eine CD mit den personenbezogenen Daten übergeben und geht ausweislich des Vorbringens im Rahmen des Prozesses, insbesondere im Schriftsatz vom 11.09.2023 davon aus, die Auskunft vollständig erteilt zu haben.
5. Die Kläger haben überdies aus keinem erdenklichen rechtlichen Gesichtspunkt einen Anspruch auf ein mit den Anträgen zu 4. zu 5. geforderten immateriellen Schadensersatz wegen verzögerter Datenauskunft. Ein solcher Anspruch ergibt sich insbesondere nicht aus Art. 82 Abs. 1 DSGVO.
Nach Art. 82 Abs. 1 und 2 DS-GVO hat jede natürliche Person, der wegen eines Verstoßes gegen die DS-GVO ein immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen. Ob ein Verstoß gegen die DS-GVO durch die Beklagte als Verantwortlicher nach Art. 4 Nr. 7 DS-GVO gegeben ist, kann hier offen bleiben, da die Kläger das Vorliegen eines immateriellen Schadens nicht hinreichend dargelegt haben.
Bei dem – autonom auszulegenden – Schadensbegriff des Art. 82 DS-GVO ist zwar im Ausgangspunkt eine weite Auslegung vorzunehmen, jedoch ist über den festgestellten Verstoß gegen die Vorschriften des DS-GVO hinaus für eine Entschädigung in Geld der Nachweis eines konkreten (auch immateriellen) Schadens Voraussetzung. Es bedarf einer objektiv nachweisbaren Beeinträchtigung der physischen und psychischen Sphäre oder des Beziehungslebens der Person (vgl. Generalanwalt beim EuGH (Pitruzella), Schlussantrag vom 27.04-2023 – C-340/21, BeckRS 2023, 8707 Rn. 83; OLG Frankfurt am Main, Urteil vom 02.03.2022 – 13 U 206/20). Die Kammer folgt insoweit nach eigener Würdigung den überzeugenden Ausführungen des Oberlandesgerichts Frankfurt am Main, Urteil vom 02.03.2022 13 U 206/20. So ergibt sich ausweislich der Ausführungen des Senats bereits aus dem Wortlaut von Art. 82 Abs. 1 DS-GVO, der über den Verstoß hinaus ausdrücklich die Entstehung eines Schadens voraussetzt ("...Schaden entstanden ist"), dass ein (immaterieller Schaden) vorliegen muss. Hätte der Verordnungsgeber eine nur an den Rechtsverstoß anknüpfende, vom Nachweis eines konkreten Schadens unabhängige Zahlungspflicht anordnen wollen, hätte es demgegenüber nahegelegen, dies – wie z.B. im Luftverkehrsrecht gem. Art. 7 Abs. 1 FluggastrechteVO (EG) 261/2004 – durch Pauschalen zu regeln. Auch vermeidet eine solche Auslegung ein vom Verordnungsgeber nicht gewolltes Ausufern von Schadensersatzforderungen in allen Fällen eines – tatsächlich für den Betroffenen folgenlosen – Datenschutzverstoßes.
Den danach erforderlichen konkreten immateriellen Schaden haben beide Kläger bereits nicht hinreichend dargelegt. So beschränken sich die Kläger darauf zu verweisen, dass die Rechtsverfolgung wesentlich erschwert worden sei, wodurch ein immaterieller Schaden entstanden sei. Was der immaterielle Schaden ist, wird hingegen nicht ausgeführt. Soweit sich die Kläger darauf berufen, dass es zu einer Gefährdung der vermögensrechtlichen Rechtspositionen der Kläger gekommen sei, vermag das Gericht daraus ebenfalls keinen immateriellen Schaden ersehen. Eine Vermögenseinbuße würde schon keinen immateriellen Schaden, sondern allenfalls einen materiellen Schaden darstellen. Auch die vorgelagerte bloße Gefahr einer Vermögenseinbuße stellt gerade keinen Schaden dar. Irgendwelche sonstigen immateriellen Beeinträchtigungen der Kläger vermag das Gericht den Ausführungen nicht zu entnehmen.
Eine Pflicht zur Vorlage nach Art. 267 Abs. 3 AEUV ist trotz der bisher durch den EuGH ungeklärten Auslegung nicht gegeben. Zum einen schon deshalb nicht, weil ein Urteil der hiesigen Kammer nicht als Entscheidung eines Gerichts ergeht, dessen Entscheidungen selbst im Sinne von Art. 267 Abs. 3 AEUV nicht mehr mit Rechtsmitteln des innerstaatlichen Rechts angegriffen werden kann. Vielmehr ist es den Parteien unbenommen, die hiesige Entscheidung im Wege der Berufung durch das Oberlandesgericht Köln überprüfen zu lassen. (In einem vergleichbaren Fall wurde daher die Revision zugelassen, vgl. OLG Köln, Urteil vom 26.07.2019 - I-20 U 75/18 -, Rn. 328, juris). Darüber hinaus liegen die hier maßgeblichen Rechtsfragen dem EuGH bereits in anhängigen Verfahren vor (vgl. BGH, Beschluss vom 26.09.2023 – AZ. VI ZR97/22; BAG, EuGH-Vorlage vom 26. August 2021 – 8 AZR 253/20 (A), Rn. 33, juris; Vorabentscheidungsersuchen des Obersten Gerichtshofs (Österreich) eingereicht am 12. Mai 202, juris).
II.
Die Kostenentscheidung folgt aus § 92 Abs. 1 ZPO.
Die Entscheidung über die vorläufige Vollstreckbarkeit ergibt sich aus § 709 S. 1 und 2 ZPO.
Der Streitwert wird auf 113.700,- € festgesetzt und setzt sich wie folgt zusammen:
Antrag zu 1.: 98.000,- €
Antrag zu 2.: 9.700,- €
Antrag zu 3: 1.000,- € Anträge zu 4. und 5.: jeweils 2.500,- €.
Dr.
Dr.