OLG Bremen: Zahlungsaufträge können bei Täuschung angefochten werden; die Bank schuldet aber bei grober Fahrlässigkeit des Kunden keine Erstattung.
Eine Bank muss eine zunächst autorisierte Zahlung nicht erstatten, wenn der Kunde nach telefonischer Aufforderung durch einen vermeintlichen Bankmitarbeiter per pushTAN eine Überweisung freigegeben hat. Die Zahlungsautorisierung kann der Kunde zwar erfolgreich wegen Irrtums anfechten und den Betrag von der Bank zurückfordern. Der Bank steht jedoch bei nachgewiesener grober Fahrlässigkeit des Kunden ein Schadensersatzanspruch in gleicher Höhe des Rückzahlungsanspruchs des Kunden zu (OLG Bremen, Hinweisbeschluss v. 30. August 2024 – 1 U 32/24).
In dem vom OLG Bremen verhandelten Fall hatte der Kläger zunächst einen Zahlungsauftrag in Höhe von EUR 10.000 zugunsten des Kontos eines Dritten aufgrund eines Telefonats mit einem vermeintlichen Bankmitarbeiter per pushTAN-Verfahren autorisiert. Der Kläger ging dabei täuschungsbedingt davon aus, dass er eine Rückbuchung auf sein eigenes Konto autorisieren würde. Die Täter verwendeten dabei die sog. „Call ID-Spoofing“-Methode, mit der Anrufe unter einer falschen Nummer getätigt werden können (hier: die Rufnummer der beklagten Bank). Noch am selben Tag teilte der Kläger seiner Bank mit, Opfer eines Betrugs geworden zu sein, und forderte sie einige Tage später schriftlich zur Erstattung des Betrags auf. Die Bank verweigerte die Erstattung.
ZDRL II schließt Anfechtung nicht aus
Das Erstattungsverlangen wertete das Gericht aber als Anfechtungserklärung bezüglich der Zahlungsautorisierung. In der bisherigen obergerichtlichen Rechtsprechung wurde offengelassen, ob die Anfechtung einer Zahlungsautorisierung möglich ist (siehe OLG Frankfurt, Urteil v. 6. Dezember 2023 – 3 U 3/23). Das OLG Bremen bezog nun aber klar Stellung. Da die zweite Zahlungsdiensterichtlinie (ZDRL II) keine Regelungen zu Willensmängeln enthalte, seien die Regeln zur Anfechtung nach allgemeinem Schuldrecht anwendbar:
Die Zweite Zahlungsdiensterichtlinie (ZDRL II) und die Umsetzungsbestimmungen des deutschen Rechts in den §§ 675c-676c BGB enthalten insgesamt keine Regelungen zu Willensmängeln, so dass insoweit auch keine abschließende Regelung angenommen werden kann und es auch ist nicht zu befürchten, dass durch die Zulassung einer Anfechtbarkeit generell die Endgültigkeit von Zahlungsaufträgen in Zweifel gezogen werden würde, da ein Anfechtungsrecht immer nur unter engen tatbestandlichen Voraussetzungen bestehen kann, wobei zugleich die Interessen des Zahlungsdienstleisters als Empfänger der anzufechtenden Willenserklärung durch die Schadensersatzpflicht des Zahlers als Anfechtendem nach § 122 BGB geschützt sind (…).
Kläger irrte über den Inhalt der Autorisierung
Das Gericht erkannte zudem an, dass der Kläger sich bei der Freigabe der Zahlung über das pushTAN-Verfahren über den Inhalt seiner Erklärung geirrt hatte (sog. Inhaltsirrtum, § 119 Abs. 1 BGB). Der Kläger dachte, dass er eine Rückbuchung auf sein eigens Konto autorisieren würde, obwohl tatsächlich eine Echtzeitüberweisung zugunsten eines Dritten freigegeben wurde.
Darin liegt ein Inhaltsirrtum nach § 119 I BGB, der nach der Rechtsprechung des BGH auch dann anzunehmen ist, wenn der Erklärende über Rechtsfolgen seiner Willenserklärung irrt und das vorgenommene Rechtsgeschäft wesentlich andere als die beabsichtigten Wirkungen erzeugt (…).
Folge der erfolgreichen Anfechtung ist, dass der von der Bank ausgeführte Zahlungsvorgang ohne die erforderliche Autorisierung erfolgte (§ 142 Abs. 1 BGB). Sofern die Bank, wie vorliegend geschehen, bereits das Konto des Zahlers belastet hatte, ist sie grundsätzlich zur Rückerstattung des Betrags an den Zahler verpflichtet (§ 675u S. 2 BGB).
Kläger verletzt durch pushTAN-Autorisierung ohne Überprüfung des Auftragsinhalts Vertragspflichten
Damit ist der Fall jedoch nicht vorbei. Im Gegenteil – das Gericht wies die Klage vollständig zurück und entschied, dass der Kläger keinen Anspruch auf Rückerstattung der unautorisierten Zahlung gegen seine Bank hat. Der Bank stehe nämlich ihrerseits ein Schadensersatzanspruch gegen den Kläger in derselben Höhe zu. Diesen Schadensersatzanspruch begründen die Richter mit grob fahrlässigen Vertragspflichtverletzungen des Klägers im Rahmen der Zahlungsfreigabe via pushTAN-Verfahren (§ 675v Abs. 3 Nr. 2 BGB).
Zwischen den Parteien war zunächst streitig, ob im Rahmen der pushTAN-Freigabe die konkreten Daten des Zahlungsvorgangs angezeigt wurden (z.B. Betrag, Zahlungsempfänger). Eine Entscheidung dieser strittigen Sachverhaltsfrage hielt das Gericht nicht für erforderlich:
Dabei kann an dieser Stelle dahinstehen, ob der Vortrag des Klägers zur Nichtanzeige der Daten eines Zahlungsvorgangs bei der Freigabe der pushTAN zutrifft. Soweit dies nicht der Fall gewesen sollte, hätte der Kläger gegen seine Verpflichtung nach Ziff. 7.3 der Bedingungen für das Online-Banking der Beklagten verstoßen, vor der Freigabe eines Zahlungsauftrags die Übereinstimmung der ihm angezeigten Daten mit den für den Auftrag vorgesehenen Daten zu prüfen.
Darüber hinaus sah das Gericht als weitere Pflichtverletzung des Klägers, dass dieser die von der Bank kommunizierten Sicherheitshinweise missachtet habe. Die Bank hatte entsprechende Warnungen sowohl auf ihrer Website veröffentlicht als auch an die persönlichen elektronischen Postfächer ihrer Kunden versendet – u.a. nachweislich auch an den Kläger. In diesen Sicherheitshinweisen wurde ausdrücklich darauf hingewiesen, nur von Kunden selbst veranlasste Zahlungsaufträge freizugeben und in der pushTAN-App die Auftragsdaten zu prüfen. Diese Warnungen hatte der Kläger – offensichtlich – nicht beachtet.
Grobe Fahrlässigkeit auch aufgrund medialer Berichterstattung der letzten Jahre
Bei diesen Vertragspflichtverletzungen handelte der Kläger zudem nach Ansicht des Gerichts grob fahrlässig. Dafür ist ein in objektiver Hinsicht schwerer und in subjektiver Hinsicht „schlechthin unentschuldbarer Verstoß“ gegen die Anforderungen der konkret erforderlichen Sorgfalt erforderlich. Diese Voraussetzungen sah das Gericht vorliegend als erfüllt an:
Es ist bereits als allgemein und jedermann einleuchtend anzusehen, dass personalisierte Sicherheitsmerkmale des Bankkunden nicht abweichend von der vereinbarungsgemäß vorgesehenen Verwendung gegenüber Dritten offenbart oder auf Aufforderung eines unbekannten Dritten zur Autorisierung eines nicht vom Kunden selbst gesteuerten Zahlungsvorgangs eingesetzt werden dürfen, wenn nicht die Sicherheit des durch diese Merkmale geschützten Kontozugangs des Kunden gefährdet werden soll.
Zudem leitete das Gericht die grobe Fahrlässigkeit auch aus der medialen Berichterstattung zu vergleichbaren Fällen in den letzten Jahren her:
Zudem ist generell aufgrund der in den letzten Jahren vielfach durch verschiedene Medien bekannt gewordenen Fälle die Kenntnis als allgemeines Wissen vorauszusetzen, dass Kunden durch betrügerische Briefe und Anrufe vorgeblicher Bankmitarbeiter zur Preisgabe oder sonstigen Zulassung der missbräuchlichen Nutzung von Zugangsdaten zum Online-Banking veranlasst werden sollen, denn spätestens seit 2006 wurde das kriminelle Phänomen des Phishings und anderer Methoden, unter Vorspiegelung falscher Tatsachen den Angerufenen zu finanziellen Transaktionen veranlassen, öffentlich breit diskutiert (…).
OLG Bremen legt strengen Sorgfaltsmaßstab an; BGH vor Grundsatzentscheidung
Die Ansicht der Bremer Richter, dass auch im Falle des Call-ID-Spoofings eine grobe Fahrlässigkeit zu bejahen sei, ist nicht unumstritten. Das Landgericht Köln sah dies im Jahr 2024 noch anders (Urteil v. 8. Januar 2024 – 22 O 43/22):
[E]s [fehlt] hier (…) beim Kläger an einer grob fahrlässigen Verletzung (…). Diese Einschätzung stützt das Gericht zum einen darauf, dass sich die Täter des sog. Call-ID Spoofings bedienten. Dem Kläger wurde infolgedessen die Nummer der Beklagten angezeigt, als die Täter ihn anriefen. Für einen verständigen, langjährigen Bankkunden ist die Nutzung einer ihm bekannten Nummer mit besonderem Vertrauen verbunden. Davon, dass die Möglichkeit besteht, eine fremde Nummer zu nutzen, dürfte der Durchschnittsbürger keine Kenntnis haben. Dass dem Kläger der angebliche Mitarbeiter der Beklagten nicht bekannt war, ist für sich genommen noch kein besonders verdächtiger Umstand.
Zudem ist auch bezüglich der Anfechtbarkeit der Zahlungsautorisierung noch nicht das letzte Wort gesprochen. Das oben bereits angesprochene Urteil des OLG Frankfurt (Urteil v. 6. Dezember 2023 – 3 U 3/23) liegt mittlerweile zur Revision beim BGH (Az. XI ZR 224/23). Es ist gut möglich und zudem wünschenswert, dass sich der BGH bei dieser Gelegenheit zu dieser Frage grundsätzlich äußert.
