Gesetze / Rechtsprechung / Landgericht Hamburg
Landgericht Hamburg Urteil vom 12.12.2024 – 332 O 187/23
ECLI:DE:LGHH:2024:1212.332O187.23.00
Orientierungssatz
1. "Phishing" im Sinne der Allgemeinen Versicherungsbedingungen (AVB) für den Zusatzbaustein "Internetschutz" zur Hausratversicherung liegt nur vor, wenn Dritte über eine gefälschte E-Mail an die Zugangs- und Identifikationsdaten des Versicherungsnehmers gelangen. Eine Kontaktaufnahme über SMS oder andere elektronische Wege fällt nicht darunter.(Rn.46)
2. "Pharming" hingegen setzt kumulativ voraus, dass Dritte den Internetauftritt des Geldinstituts nachahmen und der Versicherungsnehmer im Glauben an die Echtheit der Seite Zahlungsvorgänge ausführt. Es genügt nicht, wenn er lediglich Bankdaten oder Codes eingibt, um sich bei einem Bezahlsystem anzumelden.(Rn.56)
Tenor
1. Die Klage wird abgewiesen.
2. Die Kosten des Rechtsstreits hat die Klägerin zu tragen.
3. Das Urteil ist gegen Sicherheitsleistung in Höhe von 110 % des jeweils vollstreckbaren Betrages vorläufig vollstreckbar.
4. Der Streitwert wird festgesetzt auf 5.600,00 €.
Tatbestand
1
Die Klägerin behauptet, am 13.01.2023 Opfer eines Internetbetruges geworden zu sein und nimmt vor diesem Hintergrund ihre Hausratversicherung in Anspruch.
2
Zwischen den Parteien besteht eine Hausratversicherung. Zu den versicherten Gefahren zählt nach Ziffer 2.3.2 der vereinbarten Versicherungsbedingungen (im Folgenden: "AVB") auch ein "Internetschutz", wonach folgendes versichert ist:
3
"2.3.2.1 Zahlungsverkehr im Internet
4
Sie sind geschützt, wenn durch eine der nachfolgend genannten Gefahren ungewollte Zahlungen von Ihrem Konto aus vorgenommen werden.
5
Unter Konto verstehen wir:
6
• Ihre Konten
7
• Ihre Depots
8
• Ihre anderen virtuellen Konten, von den Zahlungen an Dritte ausgeführt oder Zahlungen von Dritten empfangen werden können (beispielsweise "Paypal")
9
Voraussetzung ist, dass Sie diese Konten bei Geldinstituten oder Online-Bezahldiensten in einem der folgenden Länder unterhalten:
10
• In einem Land der Europäischen Union (EU)
11
• In der Schweiz, in Norwegen, Island, Liechtenstein
12
Bitte beachten sie: Wir ersetzen Ihnen den entstandenen Vermögensschaden, maximal jedoch 10.000 Euro je Versicherungsfall.
13
Folgende Gefahren sind versichert:
14
Versicherte Gefahren
15
"Pishing" und "Pharming"
16
Was ist das genau?
17
"Pishing":
18
Dritte gelangen über eine gefälschte E-Mail an die Zugangs- und Identifikationsdaten zu ihrem Konto.
19
"Pharming":
20
• Dritte ahmen den Internetauftritt ihres Geldinstituts/Online-Bezahldienstes nach und leiten dadurch Ihre Anfrage auf eine betrügerische Seite um.
21
• Sie führen im Glauben an die Echtheit der Seite Zahlungsvorgänge aus.
22
Hinsichtlich der weiteren Einzelheiten der zwischen den Parteien bestehenden Hausratversicherung wird auf den als Anlage K 1 zur Akte gereichten Versicherungsschein nebst den als Anlage K 2 zur Akte gereichten vereinbarten Versicherungsbedingungen verwiesen.
23
Die Klägerin meldete der Beklagten den Schaden mit E-Mail vom 03.03.2023 (Anlagen B 1). Die Beklage lehnte ihre Einstandspflicht für den klägerseits behaupteten Schaden am 14.03.2023 ab.
24
Die Klägerin vertritt die Auffassung, sie sei am 13.01.2023 Opfer eines Betruges geworden, der nach der versicherten Gefahr der Beklagten "Internetschutz" versichert sei.
25
Hierzu behauptet sie, sie habe am 13.01.2023 auf der Internetplattform e. Kleinanzeigen einen Kosmetikartikel zum Verkauf angeboten. Hierauf habe sich eine angebliche Erwerberin gemeldet, die über ein neues Bezahlsystem von e. Kleinanzeigen bezahlen habe wollen. Hierzu habe sie gebeten, dass die Klägerin ihre Handynummer mitteilt. Hierauf habe die Klägerin mitgeteilt, dass ihr Bezahlfunktion auf e. leider noch nicht verifiziert sei, ihre Handynummer aber laute. Die Klägerin habe parallel diese Bezahlfunktion bei e. einrichten wollen. Währenddessen habe sie eine SMS erhalten mit folgendem Text:
26
"Dein eBay Kleinanzeigen Verifizierungscode lautet: 9. Er läuft in 15 Minuten ab. Gib diesen Code bitte nicht an Andere weiter. ID:.
27
Ein Benutzer hat Ihr Produkt mit der Funktion "Sicher Bezahlen" bezahlt! Bitte bestätigen Sie den Erhalt des Geldes:
28
www. …"
29
Diesen Link habe die Klägerin auf ihrem Smartphone angetippt. Hierauf habe sich eine Website geöffnet. Dort habe sie die Daten ihrer Debitkarte der in Deutschland ansässigen D. Bank eingegeben in der Annahme, damit den Verifikationsprozess für das "sichere Bezahlen" bei e. abzuschließen. Nachdem sie ihre Debitkarteninformationen auf dieser Website eingegeben habe, sei sie auf eine D.-ähnliche Seite weitergeleitet worden. Zu derselben Zeit habe sie von der D. einen Verifikationscode erhalten. Dieser beinhaltete unstreitig den folgenden Text:
30
"Wichtig: Die D.-App wird gerade neu von dir aktiviert. Melde dich sofort bei uns, wenn du es nicht bist. Gib diesen Code nur in der D.-App ein: [SMS-Code]"
31
Die Klägerin habe den Code sodann dennoch auf der D.-ähnlichen Seite eingegeben und damit wohl eine Neukopplung des TAN-Gerätes im Online-Banking ausgelöst. Jedenfalls sei es den unbekannten Tätern sodann möglich gewesen, über die (echte) Webseite der D. Bank auf das Konto der Klägerin zuzugreifen und zugleich für die Freigabe von Zahlungen per pushTAN / Visa 3D Secure zu sorgen. Auf diese Weise hätten die unbekannten Täter am 13.01.2023 ungewollt das Konto der Klägerin mit einem Betrag in Höhe von 5.600,00 EUR belastet.
32
Währenddessen sei die Klägerin auf eine schlecht übersetzte "Landingpage" umgeleitet worden, auf der gestanden habe, dass der Zahlungsvorgang erfolgreich gewesen sei und ein Kurier die Ware abholen werde. Die Klägerin habe daraufhin ihren Fehler bemerkt und habe noch versucht, sich schnellstmöglich in ihrem Online-Banking einzuloggen und alles zu sperren. Dies habe sie jedoch nicht mehr gekonnt, da die notwendigen Freigaben der D.-Bank ganz offenbar auf ein anderes Gerät umgeleitet worden waren.
33
Hierauf habe die Klägerin den Vorfall am 14.01.2023 bei der Polizei angezeigt.
34
Die Klägerin vertritt die Auffassung, aufgrund der von ihr behaupteten Vorgänge sei eine versicherte Gefahr eingetreten. Wie sich aus der als Anlage K 3 zur Akte gereichte Definition des Begriffs "Pishing" bei Wikipedia ergebe, verstehe man hierunter Versuche, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationpartner in einer elektrischen Kommunikation auszugeben. Nach dem Verständnis eines durchschnittlichen Versicherungsnehmers sei Pishing daher nicht auf eine Kommunikation per E-Mail beschränkt, wie es die AVB der Beklagten vorsehen. Entsprechendes ergebe sich aus der als Anlage K 4 zur Akte gereichten Checkliste Pishing des Bundesamtes für Sicherheit in der Informationstechnik. Jedenfalls liege ein bedingungsgemäßes "Pharming" vor. Unbekannte Täter hätten den Internetauftritt ihres Geldinstitutes/Online-Bezahldienstes nachgeahmt. Die Internetseite, auf die sie mittels des Links in der SMS gelangt sei, habe optisch dem Internetauftritt der D.-Bank entsprochen. Erst nachdem die Klägerin dort ihre Login Daten eingegeben habe, hätten die Betrüger auf ihr Konto zugreifen können. Dagegen sei es nicht erforderlich, dass die Klägerin dort unmittelbar einen Zahlungsvorgang vornimmt. Die Eingabe von Login Daten auf dieser Website würden ein Minus zu einem derartigen Zahlungsvorgang darstellen. Dieses sei jedenfalls das Verständnis eines durchschnittlichen Versicherungsnehmers des Begriffs Pharming nach den Versicherungsbedingungen. Darüber hinaus biete der Versicherungsschutz grundsätzlich Versicherungsschutz für Schäden durch ungewollte Zahlungen, die von dem Konto des Versicherungsnehmers vorgenommen werden. Des Weiteren ergebe sich aus der versicherten Gefahr "Pharming" nicht, dass diese Gefahren kumulativ vorliegen müssen.
35
Die Klägerin hat ursprünglich eine Hauptsacheklage in Höhe von 5.600,00 € erhoben. Nachdem die D.-Bank auf den behaupteten Schadensfall 2.800,00 € gezahlt hat, hat die Klägerin die Klageforderung um diesen Betrag zurückgenommen. Sie beantragt daher nunmehr noch,
36
die Beklagte zu verurteilen, an die Klägerin 2.800,00 € nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit dem 14.03.2023 und einen weiteren Betrag in Höhe von 627,13 € zu zahlen.
37
Die Beklagte beantragt,
38
die Klage abzuweisen.
39
Die Klägerin wurde in der mündlichen Verhandlung vom 10.09.2024 angehört, in der sie sich wie folgt eingelassen hat (Sitzungsprotokoll vom 10.09.2024, Bl. 59 d. A.):
40
"Ich bin ja mit der SMS bzw. dem dortigen Link dann auf eine Seite gelangt, von der ich dachte, sie stammt von der D.. Ich habe dort meine Kreditkartendaten eingegeben und des Weiteren dann auch die Nummer bzw. den Code, den ich zuvor ebenfalls per SMS von der D. erhalten habe. Wenn ich jetzt gefragt werde, was ich damit, mit dieser Eingabe dieses Codes auf dieser Seite bewirken wollte, so wollte ich damit den Bezahldienst bei e. freischalten."
41
Hinsichtlich der weiteren Einzelheiten des Sach- und Streitstandes wird zur Ergänzung des Tatbestandes auf die wechselseitigen Schriftsätze der Parteien nebst Anlagen Bezug genommen.
Entscheidungsgründe
42
Die zulässige Klage ist der Sache nach unbegründet.
I.
43
Die Klägerin hat gegen die Beklagte keinen Zahlungsanspruch in Höhe von 2.800,00 € aus dem zwischen den Parteien bestehenden Hausratversicherungsvertrag.
44
Die Klage ist bereits unschlüssig, da sich nach dem klägerseits dargestellten Schadenablaufs keine der konkret versicherte Gefahren im Rahmen des vereinbarten "Internetschutzes" nach Ziffer 2.3.2 der AVB verwirklicht hat.
45
Weder liegt unter Zugrundelegung des Klagevortrags ein "Pishing" noch ein "Pharming" im Sinne dieser AVB-Regelung vor.
a)
46
Für ein "Pishing" im Sinne der AVB müssten Dritte über eine gefälschte E-Mail an die Zugangs- und Identifikationsdaten zu dem Konto des Versicherungsnehmers gelangt sein. Eine gefälschte E-Mail war jedoch unstreitig nicht Teil der Betrugsmasche, auf die die Klägerin behauptet, hereingefallen zu sein. Vielmehr fand die Kontaktanbahnung zu der Klägerin über die Plattform e. Kleinanzeigen statt, über die sie ihre Handynummer mitgeteilt habe, worauf ihr eine SMS zugesendet worden sein soll, die einen Internetlink enthalten habe, den sie angeklickt und dazu veranlasst habe, dort ihre Bankdaten und Freigabe-Codes einzugeben. In dem gesamten Vorgang war somit unstreitig keine gefälschte E-Mail eingebunden, über die die unbekannten Täter an die Zugangs- und Identifikationsdaten zu ihrem Konto gelangt sind.
47
Ein Pishing im Sinne der in den AVB enthaltenen Definition lag somit gerade nicht vor.
48
Die Regelung ist auch ganz unzweifelhaft wirksam. Weder kommt es für die Definition des "Pishing" auf einen Wikipedia-Eintrag an noch auf Checklisten des Bundesamts für Sicherheit in der Informationstechnik. Vielmehr ist der Versicherer grundsätzlich frei darin, den Umfang des gewährten Versicherungsschutzes zu bestimmen. Dies gilt jedenfalls dann, wenn wie hier im Rahmen einer Hausratversicherung ein zusätzlicher Versicherungsschutz für den Bereich "Zahlungsverkehr im Internet" gewährt wird, für den es ohnehin noch keinen fest umrissenen und etablierten Rahmen gibt. Vor diesem Hintergrund bestehen auch keine AGB-rechtlichen Zweifel an dieser Klausel. Sie werden von der Klägerseite auch gar nicht substantiiert eingewendet.
49
Die AVB-Regelung ist auch hinreichend klar und eindeutig. In Ziffer 2.3.2 der AVB wird zunächst ausgeführt, dass ein Schutz besteht, wenn durch eine der nachfolgend genannten Gefahren ungewollte Zahlungen vom Konto des Versicherungsnehmers vorgenommen werden. Die Beklagte führt in ihrer AVB-Regelung sodann in einer Tabelle im Einzelnen benannte "versicherte Gefahren" in einer Spalte auf. In einer zweiten Spalte fragt sie hierzu: "Was ist das genau?" Auf diese Weise wird in der ersten Spalte neben dem "Pharming" insbesondere das "Pishing" aufgeführt und diese Gefahren sodann in der zweiten Spalte erklärt bzw. juristisch ausgedrückt legaldefiniert. Durch die gegebene Definition des "Pishing", nämlich "Dritte gelangen über eine gefälschte E-Mail an die Zugangs- und Identifikationsdaten zu Ihrem Konto" kann einem durchschnittlichen Versicherungsnehmer – auf den bei der Auslegung von allgemeinen Versicherungsbedingungen abzustellen ist, auch kein Zweifel über den Umfang des gewährten Schutzes entstehen, insbesondere auch nicht darüber, dass wenn Dritte an die Zugangs- und Identifikationsdaten zu dem Konto des Versicherungsnehmers gelangen und dafür nicht eine gefälschte E-Mail, sondern etwa eine SMS oder eine andere elektronische Kontaktaufnahme über das Internet verantwortlich ist, kein Versicherungsschutz besteht.
50
Die Klägerseite behauptet daher im Grunde auch nicht, dass die Regelung als solche unklar ist. Vielmehr vertritt sie die Auffassung, dass sich aus ggf. auch anerkannten Definitionen des Begriffs "Pishing" außerhalb der Vertragsbedingungen ergebe, dass Pishing auch bei einer Kontaktaufnahme über SMS vorliegen könne. Indessen kommt es wie ausgeführt nicht auf andere Definitionen des Begriffs Pishing außerhalb des Bedingungswerks an, sondern darauf, wie die Beklagte diesen Begriff in ihren Bedingungen definiert.
b)
51
Auch ein "Pharming" im Sinne der Versicherungsbedingungen liegt nicht vor.
52
Die Beklagte definiert die versicherte Gefahr "Pharming" in ihren AGB wie folgt: "
53
• Dritte ahmen den Internetauftritt ihres Geldinstituts/Online-Bezahldienstes nach und leiten dadurch Ihre Anfrage auf eine betrügerische Seite um.
54
• Sie führen im Glauben an die Echtheit der Seite Zahlungsvorgänge aus."
55
Demnach müssten Dritte zunächst den Internetauftritt ihres Geldinstituts/Online-Bezahldienstes nachgeahmt haben, wodurch die Anfrage der Klägerin auf eine betrügerische Seite umgeleitet worden sein muss. Bereits insoweit ist fraglich, ob die Beklagte überhaupt hinreichend dazu vorgetragen hat, dass Dritte den Internetauftritt des Geldinstituts der Klägerin, die D.-Bank, nachgeahmt haben. Die Klägerin trägt hierzu lediglich vor, sie habe, nachdem sie den Link in der SMS angetippt habe, ihre eigentlichen Bankdaten, also die Daten ihre Debitkarte der D.-Bank, auf einer Seite eingegeben, von der sie annahm, damit werde der Verifikationsprozess im Rahmen des Bezahlsystems von e. abgeschlossen. Von dieser Seite behauptet die Klägerin somit gar nicht, dass sie dem Internetauftritt ihrer D.-Bank nachgebildet gewesen sei. Erst sodann sei sie auf eine "D.-ähnliche Seite weitergeleitet worden", auf der sie den Code, den sie parallel von der echten D.-Bank erhalten habe, eingegeben habe. Die Kammer hat bereits ernsthafte Zweifel, ob die Klägerin hierdurch substantiiert behauptet hat, es sei der Internetauftritt der D.-Bank im Sinne der Bedingungen nachgeahmt worden, da sich der Vortrag darin erschöpft, sie sei auf eine "D.-ähnliche Seite" weitergeleitet worden.
56
Diese Bedenken können indessen dahinstehen, da jedenfalls nach der zitierten AVB-Regelung auch erforderlich ist, dass die Klägerin im Glauben der Echtheit der Seite Zahlungsvorgänge ausführt. Die Klägerin wollte jedoch unstreitig keine Zahlungsvorgänge im Vertrauen auf die Echtheit der Seite ausführen. Vielmehr wollte sie mit der Eingabe ihrer Bankdaten sowie des von der D. erhaltenen Codes allein den Verifikationsprozess für das Bezahlsystem bei e. abschließen. Hierüber hat sich die Kammer im Rahmen der Anhörung der Klägerin in der mündlichen Verhandlung vom 10.09.2024 noch einmal Gewissheit verschafft. Die Klägerin hat dort ausgeführt, dass sie mit der Eingabe des D.-Codes auf dieser Seite bewirken wollte, dass der Bezahldienst bei e. freigeschaltet wird. Somit wollte die Klägerin gerade nicht im Sinne des Bedingungswortlauts in dem Glauben an die Echtheit der Seite einen Zahlungsvorgang auslösen. Vielmehr wollte sie sich ausschließlich bei einem weiteren Bezahlsystem bei e. anmelden, um damit letztlich Zahlungen erhalten zu können. Ein verständiger Versicherungsnehmer legt diesen Bedingungswortlaut auch nicht so aus, dass in der beabsichtigten Anmeldung zu einem Bezahlsystem, durch das man Zahlungen erhalten und ggf. sodann auch eigentliche Zahlungen erst bewirken will, die Ausführung eines Zahlungsvorgangs im Vertrauen auf die Echtheit der Seite im Sinne des Bedingungswortlauts verstanden werden kann. Die intendierte Anmeldung zu einem neuen Bezahlsystem ist eindeutig keine Ausführung eines Zahlungsvorgangs im Glauben an die Echtheit des vorgetäuschten Internetauftritts der D.-Bank. Dies bedarf nach Ansicht der Kammer keiner weiteren Erläuterung. Entgegen der Auffassung der Klägerseite ist nicht allein entscheidend, dass im Vertrauen auf die Echtheit der Internetseite Login-Daten der Bank eingegeben werden. Die Beklagte bietet nach ihren Bedingungen eindeutig auch keinen grundsätzlichen Versicherungsschutz für Schäden durch ungewollte Zahlungen, die von dem Konto des Versicherungsnehmers vorgenommen werden. All dies sind leider nur die Wunschvorstellungen des Klägervertreters, die mit dem tatsächlich vereinbarten Versicherungsschutz nach den vereinbarten Versicherungsbedingungen, der allein entscheidend ist, nicht im Einklang stehen.
57
Richtig an den Einwendungen der Klägerseite ist allenfalls, dass sich aus dem Bedingungswortlaut nicht unmittelbar ergibt, dass die in zwei Bulletpoints aufgezählte Definition des Pharming kumulativ zu verstehen ist, da der Versicherer (warum auch immer) davon abgesehen hat, diese Bulletpoints durch ein "und" zu verbinden. Statt dessen wird der erste Bulletpoint durch einen "." beendet. Allerdings macht nur eine kumulatives Verständnis der beiden Bulletpoints der gegebenen Definition des "Pharming" Sinn, wonach
58
• Dritte den Internetauftritt des Geldinstituts/Online-Bezahldienstes des Versicherungsnehmers nachahmen und dadurch die Anfrage des Versicherungsnehmers auf eine betrügerische Seite umgeleitet wird und
59
• der Versicherungsnehmer im Glauben an die Echtheit der Seite Zahlungsvorgänge ausführt.
60
Dies gilt vor dem Hintergrund, dass jedes andere Verständnis der beiden Bulletpoints ausscheidet. Insbesondere können diese beiden Bulletpoints nicht alternativ gelesen werden. Zudem sind die beiden Bulletpoints inhaltlich miteinander verbunden, da im zweiten Bulletpoint "im Glauben an die Echtheit der Seite" Zahlungsvorgänge ausgelöst werden müssen. Hiermit wird eindeutig Bezug genommen auf die (Internet-) Seitenbeschreibung im ersten Bulletpoint, wonach Dritte den Internetauftritt des Geldinstituts nachgeahmt haben müssen. Daher kommt hier auch nur die vorgenommene Auslegung in Betracht, wonach beide Bulletpoints für die Definition des "Pharming" maßgeblich sind.
II.
61
Mangels Erfolgs in der Hauptsache sind auch die Nebenforderungen (Zinsen und vorgerichtliche Rechtsanwaltskosten) unbegründet.
III.
62
Die Kostenentscheidung beruht auf den §§ 92 Abs. 1, 269 Abs. 3 S. 2 ZPO.
63
Der Ausspruch zur vorläufigen Vollstreckbarkeit findet seine Grundlagen in den § 709 ZPO.
64
Die Streitwertfestsetzung rechtfertigt sich schließlich nach § 3 ZPO.