Rechtsprechung / Oberlandesgericht Düsseldorf
Oberlandesgericht Düsseldorf Beschluss vom 18.06.2025 – 14 U 83/24
14. Zivilsenat · ECLI:DE:OLGD:2025:0618.14U83.24.00
Gründe
I.
Die Klägerin nimmt die Beklagte, bei der sie ein Girokonto unterhält, darauf in Anspruch, das Konto wieder auf den Stand zu bringen, auf dem es ohne drei Überweisungen wäre, die nach Vortrag der Klägerin nicht von ihr autorisiert waren.
Die Klägerin nutzte das von ihr bei der Beklagten unterhaltene Girokonto unter anderem für das Onlinebanking. Dazu bediente sich die Klägerin über mehrere Jahre des mTAN-Verfahrens, bei dem die zur Freigabe des jeweiligen Zahlungsauftrages erforderliche TAN jeweils per SMS an die von der Klägerin hinterlegte Mobilfunknummer versandt wurde. Die Einzelheiten zu den Sorgfaltspflichten des Bankkunden waren in Ziffer 7 der „Bedingungen für die Teilnahme am Online-Banking“ in Ziffer 1.4 der AGB der Beklagten geregelt. Am 18.11.2023 erfolgte die Registrierung eines neuen mobilen Endgerätes und ein Wechsel auf das von der Beklagten ebenfalls angebotene easyTAN-Verfahren. Darüber informierte die Beklagte die Klägerin per E-Mail vom selben Tage, verbunden mit dem Hinweis, sich bei der Beklagten zu melden, wenn dies nicht von ihr veranlasst worden sein sollte.
Nach der mitgeteilten Registrierung für das easyTAN-Verfahren erfolgte noch taggleich eine Anmeldung zum Online-Banking der Klägerin. Da die Klägerin zu diesem Zeitpunkt für das easyTAN-Verfahren registriert war, war voreingestellt, dass die Autorisierung zunächst auf das easyTAN-Verfahren ging. Eine am 18.11.2023 11:39:53 an das neu registrierte easyTAN-Gerät iPhone übersandte Autorisierungsanfrage wurde nicht bestätigt. Am 18.11.2023 11:40:35 wurde die Autorisierungsanfrage auf das mTAN-Verfahren mit der hinterlegten Mobilfunknummer der Klägerin aktiv gewechselt und eine entsprechende mTAN angefordert. Die Beklagte versandte die entsprechende mTAN an die Mobilfunknummer der Klägerin. Am 18.11.2023 um 11:40:54 gab die Klägerin die entsprechende mTAN 000000 aus der SMS korrekt ein.
Zu Lasten des klägerischen Kontos wurden die folgenden streitgegenständlichen Auslandsüberweisungen angewiesen und im Wege des easyTAN-Verfahrens mittels eines iPhones autorisiert:
23.11.2023: 9.978,56 EUR an A.
24.11.2023: 9.875,10 EUR an B.
27.11.2023: 6.750,15 EUR an C.
Das Landgericht hat die Klage mit dem angefochtenen Urteil abgewiesen.
Zur Begründung hat es im Wesentlichen ausgeführt, der Klägerin stehe kein durchsetzbarer Anspruch gegen die Beklagte nach § 675u Satz 2 BGB darauf zu, ihr Girokonto auf den Stand zu bringen, auf dem es sich ohne die streitgegenständlichen Belastungen befunden hätte.
Es könne dahinstehen, ob die in Rede stehenden Überweisungen von der Klägerin im Sinne des § 675j Abs. 1 Satz 1 BGB autorisiert worden seien.
Jedenfalls könne die Beklagte einem Anspruch der Klägerin aus § 675u Satz 2 BGB gemäß § 242 BGB entgegenhalten, dass ihr wegen der - unterstellt - nicht autorisierten Zahlungsvorgänge Schadensersatzansprüche nach § 675v Abs. 1 und Abs. 3 Nr. 2 a) BGB gegen sie zustünden. Voraussetzung für einen unbegrenzten Anspruch der Beklagten auf Schadensersatz nach §§ 675v, 280 Abs. 1 BGB sei, dass die Klägerin als Kontoinhaberin den nicht autorisierten, zum Schaden führenden Zahlungsvorgang gemäß § 675v Abs. 3 Nr. 2 BGB zumindest grob fahrlässig nach § 675l BGB oder unter Verletzung der mit der Bank vereinbarten Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments zu verantworten habe. Nach zutreffender Auffassung werde die Anzeigepflicht nach § 675l Abs. 1 S. 2 BGB auch schon durch die Gefahr einer unautorisierten Nutzung des Zahlungsinstruments ausgelöst. Unstreitig sei jedenfalls, dass am 18.11.2023 um 11:40:35 die Autorisierungsanfrage auf das mTAN-Verfahren mit der klägerischen Mobilfunknummer aktiv gewechselt und eine entsprechende mTAN angefordert worden sei und die Beklagte daraufhin die entsprechende mTAN an diese Nummer versandt habe, die am 18.11.2023 um 11:40:54 die entsprechende mTAN aus der SMS korrekt eingegeben habe. Die Klägerin habe daher jedenfalls vor den in Rede stehenden - ihre Behauptungen als wahr unterstellt - nicht autorisierten Verfügungen wissen müssen, dass ein Dritter unbefugt für ihr Girokonto das easyTAN-Verfahren registriert hatte, woraus sich ganz offensichtlich die Gefahr der nicht autorisierten Nutzung ihres Online-Bankings als Zahlungsinstrument ergeben habe. Dies hätte sie der Beklagten nach § 675l Abs. 1 S. 2 BGB unverzüglich anzeigen müssen. Dann wären die in Rede stehenden Zahlungsvorgänge nicht von der Beklagten ausgeführt worden. Dieser Verstoß sei grob fahrlässig. Jedem hätte sich an Stelle der Klägerin aufdrängen müssen, dass sie ihr Girokonto nicht für das easyTAN-Verfahren registriert hatte, dies mithin von Dritten unbefugt erfolgt sein musste und damit die eklatante Gefahr bestand, dass diese Dritten mittels des easyTAN-Verfahrens ihr Online-Banking zu nicht autorisierten Verfügungen missbrauchen würden.
Wegen der weiteren Einzelheiten des erstinstanzlichen Sach- und Streitstandes und der landgerichtlichen Feststellungen im Übrigen wird auf das angefochtene Urteil verwiesen (§ 540 Abs. 1 Satz 1 Nr. 1 ZPO).
Mit ihrer Berufung rügt die Klägerin die Feststellungen des Landgerichts, dass sie grob fahrlässig gehandelt habe und sich daher einen Anspruch aus § 675v Abs. 3 Nr. 2 BGB entgegenhalten lassen müsse, als rechtsfehlerhaft. Dabei unterstelle das Landgericht unzutreffend, dass die Klägerin die E-Mail der Beklagten vom 18.11.2023 gelesen und den Inhalt nicht beachtet habe. Diese Nichtbeachtung sei allenfalls als einfache Fahrlässigkeit zu bewerten. Ferner habe das Landgericht rechtsfehlerhaft ein Mitverschulden der Beklagten nicht berücksichtigt. So sei das Betrugserkennungssystem der Beklagten unzureichend gewesen, denn es hätte das Betrugsmanöver erkennen und die Transaktionen verhindern müssen. Es habe zahlreiche verdächtige Anhaltspunkte gegeben, auf die systemseitig Alarm hätte ausgelöst werden müssen. Auch sei bei den streitgegenständlichen Verfügungen eine 2-Faktor-Authentifizierung mittels m-TAN (SMS-Tan) zur Anwendung gekommen. Dieses Verfahren sei nicht sicher. Der Beklagten stehe daher kein Anscheinsbeweis für die Autorisierung des Zahlungsvorgangs durch die Klägerin aufgrund korrekter Aufzeichnung der Transaktionsvorgänge zur Verfügung. Im Übrigen wäre dieser durch den Geschehensablauf und die geschilderten Umstände auch erschüttert.
Erstmalig in der Berufungsreplik behauptet sie, dass nicht sie am 18.11.2023 um 11:40:54 Uhr zur Autorisierung des Online-Banking-Verfahrens auf das mTAN-Verfahren zurückgewechselt sei. Der Schluss des Landgerichts, wonach zwingend feststehe, dass sie es gewesen sei, die die SMS auf der von ihr hinterlegten Mobilfunknummer erhielt, weil von dort aus die Freigabe erfolgte, sei falsch und lasse sich keineswegs aus der richtigen Protokollierung der technischen Vorgänge ableiten.
Zudem ist sie der Ansicht, dass eine Haftung der Beklagten jedenfalls gem. § 675v Abs. 4 BGB entfalle, da der Zahlungsdienstleister hier keine starke Kundenauthentifizierung i.S.d. § 1 Absatz 24 des Zahlungsdiensteaufsichtsgesetzes (ZAG) verlangt habe, weil beide Elemente ein und dasselbe Gerät, das Smartphone der Klägerin, beträfen.
Sie beantragt sinngemäß,
das Urteil des Landgerichts Düsseldorf vom 12.06.2024, 13 O 2/24 abzuändern und die Beklagte zu verurteilen,
1. das Konto Nr. 0000000000 der Klägerin wieder auf den Stand zu bringen, auf dem sich dieses ohne die am 23., 24. und 27.11.2023 vorgenommenen Belastungsbuchungen befunden hätte, insbesondere eine Gutschrift-Rückbuchung i.H.v. 26.603,81 € vorzunehmen;
2. an die Klägerin vorgerichtliche Rechtsanwaltskosten i.H.v. 1.501,19 € nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit dem 13.12.2023 zu zahlen.
Die Beklagte beantragt,
die Berufung zurückzuweisen.
Sie verteidigt das angefochtene Urteil. Der Klägerin hätte zeitlich vor den streitgegenständlichen Überweisungen bewusst sein müssen, dass ein Dritter eine Registrierung für das easyTAN-Verfahren vorgenommen hatte und daher die Gefahr bestand, dass nicht autorisierte Zahlungen erfolgen. Dies hätte die Klägerin unverzüglich der Beklagten anzeigen müssen. Zu berücksichtigen sei, dass das Landgericht die Kenntnis der Klägerin von der Einrichtung des easyTAN-Verfahrens nicht darauf stütze, dass die Beklagte die Klägerin durch die Übersendung der E-Mail informiert war. Es sei unstreitig, dass nach der erfolgten Registrierung für das easyTAN-Verfahren noch taggleich eine ordnungsgemäße Anmeldung zum Online-Banking durch die Klägerin erfolgte. Die Klägerin sei zu diesem Zeitpunkt für das easyTAN-Verfahren registriert gewesen. In diesem Fall sei voreingestellt, dass die Autorisierung zunächst auf das easyTAN-Verfahren gehe.
Nachdem eine Bestätigung durch das neu registrierte easyTAN-Gerät (iPhone von D.) nicht erfolgt sei, sei am 18.11.2023 um 11:40:35 eine Autorisierungsanfrage auf das mTAN-Verfahren, Rufnummer +000000000000 aktiv gewechselt und eine entsprechende mTAN angefordert worden. Diese an das im Besitz der Klägerin befindliche Mobiltelefon gesandte mTAN sei am 18.11.2023 um 11:40:54 korrekt eingegeben worden. Dies sei unstreitig.
Sie, die Beklagte, treffe auch kein Mitverschulden. Darlegungs- und beweisbelastet für einen Mitverschuldenseinwand sei die Klägerin. Es fehle bereits substantiierter Sachvortrag nebst Beweisantritt dafür, dass die streitgegenständlichen Überweisungen „so auffällig“ waren, dass ein System hätte Alarm schlagen müssen. Soweit die Klägerin meine, dass die streitgegenständlichen Überweisungen sämtlich an unbekannte, bislang noch nie als Empfänger einer klägerischen Überweisung in Erscheinung getretene Kontoinhaber mit bislang niemals von der Klägerin angesprochenen Konten erfolgten, sei dieser Vortrag neu und werde bestritten, so dass die Klägerin damit präkludiert sei. Mit Nichtwissen werde ferner die unsubstantiierte und gem. § 531 Abs. 2 ZPO präkludierte Behauptung bestritten, dass von nicht näher bezeichneten anderen Kreditinstituten Sicherheitssysteme eingesetzt würden, die bei mit den streitgegenständlichen Überweisungen vergleichbaren Überweisungen „Alarm geschlagen“ hätten. Bestritten werde zudem, dass das sogenannte mTAN-Verfahren nicht sicher ist. Auch mit diesem erstmals in zweiter Instanz erhobenen Vortrag sei die Klägerin gem. § 531 Abs. 2 ZPO präkludiert.
Der Senat hat die Klägerin mit Hinweisschreiben des stellvertretenden Vorsitzenden vom 05.03.2025 darauf hingewiesen, dass beabsichtigt sei, ihre Berufung durch einstimmigen Beschluss zurückzuweisen.
Dies hat der Senat im Wesentlichen damit begründet, dass der Beklagten ein Schadensersatzanspruch gem. § 675v Abs. 1 und Abs. 3 Nr. 2 a) BGB in gleicher Höhe zustehe, den sie dem klägerischen Anspruch entgegenhalten könne. Es sei grob fahrlässig gewesen, die Beklagte nicht unverzüglich auf die bei erneuter Anmeldung zum Onlinebanking und Umstellung zurück auf das mTAN-Verfahren durch die Klägerin am 18.11.2023 um 11:40:54 Uhr erkennbare, zuvor erfolgte Umstellung des TAN-Verfahrens durch Dritte hinzuweisen. Die Haftung der Klägerin sei auch nicht durch § 675v Abs. 4 BGB ausgeschlossen. Die Klägerin, die dazu erstmalig in der Berufung ausführe, habe bereits nicht dargetan, dass die Beklagte keine starke Kundenauthentifizierung i.S.d. § 1 Abs. 24 ZAG verlangte.
Der Beklagten sei auch kein Mitverschulden gem. § 254 BGB anzulasten, da ihr insbesondere keine allgemeine Prüf- und Warnpflicht oblegen habe und auch nicht dargetan sei, dass die Sicherungssysteme der Beklagten nicht ausreichend gewesen seien.
Wegen der weiteren Einzelheiten des Hinweisschreibens vom 05.03.2025 wird auf dieses Bezug genommen (Bl. 114 - 117 OLG).
Gegen die ihr erteilten Hinweise wendet sich die Klägerin mit Schriftsätzen vom 13.03.2025 (Bl. 125 - 128 OLG) und 15.05.2025 (Bl. 152- 155 OLG). Letzterer erfolgte in Erwiderung auf die Stellungnahme der Beklagten mit Schriftsatz vom 13.05.2025 (Bl. 141 - 148 OLG).
Sie macht geltend, dass nicht unstreitig sei, dass die Klägerin das neue mTAN-Verfahren selbst durch Eingabe einer ihr zuvor übersandten SMS autorisiert habe. Zudem befasse sich der Senat nicht mit der Frage, ob eine Haftung der Klägerin allein deshalb entfalle, weil die Beklagte versäumt habe, ein weniger anfälliges Verfahren des Onlinebankings als das mTAN-Verfahren anzubieten. Der Senat verkenne zudem, dass eine Haftung der Klägerin gem. § 675v BGB jedenfalls infolge der mangelnden zweifachen Kundenauthentifizierung entfalle. Die Darlegungslast liege insoweit bei der Beklagten und nicht bei der Klägerin. Zudem sei von einem Mitverschulden auszugehen. Der Senat verkenne hier die Beweislast, wenn er ausführe, es sei nicht dargetan, dass die Sicherungssysteme der Beklagten nicht ausreichend gewesen seien. Grundsätzlich trage der Zahlungsdienstleister die Beweislast für alle den Anspruch begründenden Umstände. Dies bedeute, dass der Zahlungsdienstleister nachweisen müsse, dass die IT-Sicherungssysteme ausreichend und ordnungsgemäß waren, um eine Haftung zu vermeiden.
Dem ist die Beklagte mit dem vorgenannten Schriftsatz entgegengetreten.
Die Ausführungen des Landgerichts und des Senats zum erneuten Wechsel zum mTAN-Verfahren unter Eingabe der entsprechenden mTAN seien zutreffend und erstinstanzlich unstreitig gewesen. Bestritten habe die Klägerin lediglich den vorherigen Wechsel zum easy-TAN-Verfahren. Daher seien die Ausführungen im Tatbestand des landgerichtlichen Urteils auch nicht widersprüchlich. Die Ausführungen des Senates, dass der Vorgang vom 18.11.2023 um 11:40:54 Uhr sowie die Verwendung einer an die Mobilfunknummer der Klägerin versandte SMS mit der mTAN Anlass für die Klägerin hätten sein müssen, die Beklagte unverzüglich zu informieren, stützten sich mithin auf unstreitigen Sachvortrag.
Soweit sich die Klägerin erneut darauf berufe, dass die Beklagte es versäumt habe, ein Verfahren für das Online-Banking anzubieten, das nicht anfällig für Online-Angriffe sei, werde der diesbezügliche Vortrag bestritten. Mit diesem Vortrag sei die Klägerin auch präkludiert.
Ebenfalls erstmals in zweiter Instanz behaupte die Klägerin, dass eine Haftung der Klägerin der Beklagten gegenüber an der Bestimmung des § 675v Abs. 4 BGB scheitere. Auch mit dem diesbezüglichen Vortrag sei die Klägerin präkludiert. Es sei zudem unzutreffend, dass die Darlegungs- und Beweislast diesbezüglich bei der Beklagten liege. Unerheblich seien insoweit die Ausführungen der Klägerin, dass grundsätzlich der Zahlungsauslösedienstleister nachzuweisen habe, dass in seinem Verantwortungsbereich eine Authentifizierung erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet sowie nicht durch eine Störung beeinträchtigt wurde. Vorliegend gehe es nicht darum, eine Autorisierung nachzuweisen. Die Klägerin berufe sich auf den Haftungsausschluss gem. § 675v Abs. 4 S. 1 BGB. Es handele sich hierbei um eine für die Klägerin „günstige Tatsache“, so dass die Darlegungs- und Beweislast bei ihr liege.
Ihr falle auch kein Mitverschulden zur Last. Die Ausführungen im Schriftsatz vom 13.03.2025 gäben keinen Anlass für eine anderweitige Beurteilung. Unter Verkennung der Darlegungs- und Beweislast führe die Klägerin lediglich aus, dass einem Zahlungsdienstleister die Beweislast für alle den Anspruch begründenden Umstände obliege. Dabei verkenne die Klägerin, dass es sich bei dem Mitverschuldenseinwand gerade nicht um eine anspruchsbegründende, sondern um eine anspruchsausschließende bzw. -mindernde Einwendung handele.
Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf die gewechselten Schriftsätze nebst Anlagen verwiesen.
II.
Die zulässige Berufung der Klägerin ist aus den uneingeschränkt fortgeltenden Gründen des Senatshinweises vom 05.03.2025 offensichtlich unbegründet.
Die Sache hat keine rechtsgrundsätzliche Bedeutung; auch erfordern die Fortbildung des Rechts und die Sicherung einer einheitlichen Rechtsprechung keine Entscheidung durch Urteil des Berufungsgerichts. Schließlich ist nach den Umständen des Falls auch sonst keine mündliche Verhandlung geboten (§ 522 Abs. 2 ZPO).
Solche Umstände zeigt die Berufungsbegründung nicht in verfahrensrechtlich erheblicher Weise auf. Das Berufungsvorbringen der Klägerin in Verbindung mit dem neuen Vortrag aus den Schriftsätzen vom 13.03.2025 und 15.05.2025 gibt dem Senat lediglich Veranlassung zu folgenden Ausführungen:
A.
Der Klägerin steht der mit dem Antrag zu 1. geltend gemachte Anspruch gem. § 675u Satz 2 BGB im Ergebnis nicht zu.
1.
Der Beklagten steht jedenfalls ein Anspruch gem. §§ 675v Abs. 1 und Abs. 3 Nr. 2 a), 675l BGB in gleicher Höhe zu, den sie der Klägerin gem. § 242 BGB entgegenhalten kann.
Besteht ein Schadensersatzanspruch des Zahlungsdienstleisters, kann letzterer in Höhe dieses Anspruchs die Erfüllung des Anspruchs des Zahlers aus § 675u Satz 2 BGB gemäß den Grundsätzen von Treu und Glauben verweigern (vgl. BGH, Urteil vom 05.03.2024 - XI ZR 107/22, juris, Rn. 50; BGH, Urteil vom 17.11.2020 - XI ZR 294/19, juris, Rn. 25).
Ein solcher Anspruch steht der Beklagten zu, da die Klägerin grob fahrlässig handelte, als sie die Beklagte nicht auf den für die Klägerin erkennbaren zwischenzeitlichen - nach Vortrag der Klägerin durch Dritte vorgenommenen - Wechsel des TAN-Verfahrens für das Onlinebanking ihres Girokontos hinwies.
Grob fahrlässig handelt, wer die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt und nicht beachtet, was im gegebenen Falle jedem einleuchten musste (vgl. BeckOGK/Schaub, 01.03.2025, BGB § 276 Rn. 94; MüKoBGB/Zetzsche, 9. Aufl. 2023, BGB § 675v Rn. 42). Der Maßstab ist kein rein objektiver, sondern weist auch subjektive Elemente auf. Ausgangspunkt ist eine gruppenspezifische Betrachtung (vgl. BeckOGK/Schaub, a.a.O. Rn. 95).
Hier musste, ausgehend von den unstreitigen Umständen, einem Bankkunden bewusst sein, dass die Gefahr einer missbräuchlichen Nutzung des Kontos bestand. Der Sorgfaltsmaßstab beim Online- und Mobile-Banking hat sich an einem durchschnittlichen Computer- und Smartphone-Nutzer zu orientieren, der technische Details nicht verstehen muss. Dennoch kann von einem Zahlungsdienstnutzer, der sich moderner Formen des Bankings bedient, verlangt werden, dass er Grundkenntnisse von den Gefahren durch Manipulationen des Online-Bankings hat und in der Lage ist, bei Auftreten von konkreten Verdachtsmomenten angemessen zu reagieren (vgl. MüKoBGB/Jungmann, 9. Aufl. 2023, BGB § 675l Rn. 49). Insbesondere kann auch von einem durchschnittlichen Computer- und Smartphone-Nutzer erwartet werden, dass er die Nutzung des Online-Bankings bzw. des Mobile Bankings einstellt, wenn die Umstände sehr zweifelhaft sind und auf fragwürdige oder sogar illegale Tätigkeiten hindeuten können (vgl. MüKoBGB a.a.O., Rn. 52).
Einem Bankkunden und somit auch der Klägerin hätte nach der in erster Instanz unstreitigen erneuten Anmeldung im Onlinebanking am 18.11.2023 um 11:40:54 Uhr und dem anschließenden Wechsel zurück zum mTAN-Verfahren (unter Eingabe der an die Mobilfunknummer der Klägerin versandten mTAN-Nummer) unmittelbar bewusst sein müssen, dass ein Dritter zuvor eine Registrierung für das easyTAN-Verfahren und mithin eine grundlegende Änderung des bisherigen Authentifizierungsverfahrens vorgenommen hatte, die die Kenntnis der dazu erforderlichen Daten erforderte. Dieser Umstand kann einem - das Online-Banking regelmäßig nutzenden - Bankkunden aufgrund des erforderlichen Wechsels des Anmeldeverfahrens nicht verborgen geblieben sein. Damit bestand die konkrete Gefahr, dass es zu einem erneuten Wechsel des Anmeldeverfahrens und sich anschließenden, nicht autorisierten Zahlungen kommen konnte.
Dies hätte die Klägerin unverzüglich der Beklagten gem. § 675l Abs. 1 S. 2 BGB anzeigen müssen, was sie indes unterlassen hat. Die Annahme eines grob fahrlässigen Verhaltens der Klägerin beruht mithin nicht auf einem Anscheinsbeweis, sondern auf den unstreitigen Sachverhaltsumständen.
Soweit die Beklagte mit der Berufungsreplik vom 08.10.2024 - und damit über einen Monat nach Ablauf der Berufungsbegründungsfrist - nun erstmalig geltend macht, dass sie für die Autorisierung des Online-Banking-Verfahrens am 18.11.2023 um 11:40:54 Uhr nicht auf das mTAN-Verfahren zurückgewechselt sei, ist sie mit diesem neuen, bestrittenen und den unstreitigen Feststellungen des Landgerichts widersprechenden Vorbringen gem. §§ 529 Abs. 1 Nr. 2, 531 Abs. 2 Satz 1 ZPO ausgeschlossen.
Der landgerichtliche Tatbestand ist für den Senat gem. § 314 ZPO bindend (vgl. BGH, Urteil vom 17.01.2012 - XI ZR 457/10, juris, Rn. 18), da sich aus dem Urteil keine Widersprüche ergeben (vgl. Feskorn in: Zöller, Zivilprozessordnung, 35. Auflage 2024, § 314 ZPO, Rn. 5/6). Vermeintliche Widersprüche im Tatbestand des landgerichtlichen Urteils, auf die sich die Klägerin beruft, bestehen nicht. Die Klägerin hatte erstinstanzlich lediglich bestritten, den vorherigen Wechsel zum easy-TAN-Verfahren selbst vorgenommen zu haben.
2.
Die Haftung der Klägerin ist vorliegend auch nicht gem. § 675v Abs. 4 Satz 1 Nr. 1 BGB ausgeschlossen.
Für diesen Ausschlusstatbestand ist der Zahler, also hier die Klägerin, entgegen der Rechtsansicht der Klägerin darlegungs- und beweispflichtig. Vorliegend geht es nicht darum, eine Autorisierung nachzuweisen. Die Klägerin beruft sich vielmehr auf den Haftungsausschluss gem. § 675v Abs. 4 S. 1 BGB. Dabei handelt es sich um eine für die Klägerin günstige Tatsache, so dass die Darlegungs- und Beweislast nach allgemeinen Regeln bei der Klägerin liegt (vgl. Grüneberg in: Grüneberg, BGB, 84. Aufl., § 675v Rn. 13; MüKoBGB/Zetzsche, 9. Aufl. 2023, BGB § 675v Rn. 73; Graf v Westphalen in: Erman BGB, Kommentar, 17. Auflage 2023, § 675v BGB, Rn. 29).
Auch mit diesem neuen Vortrag ist die Klägerin gem. § 531 Abs. 2 ZPO ausgeschlossen.
Bei dem entsprechenden, erstmalig in der Berufungsreplik vorgebrachten, Vorbringen der Klägerin handelt es sich um ein neues Angriffsmittel im Sinne des § 531 Abs. 2 ZPO. Angriffs- und Verteidigungsmittel sind alle zur Begründung des Sachantrages oder zur Verteidigung dagegen vorgebrachten tatsächlichen und auch rechtlichen Behauptungen (vgl. Heßler in: Zöller, Zivilprozessordnung, 35. Auflage 2024, § 531 ZPO, Rn. 21). Bei dem Vorbringen, dass die Beklagte für das Onlinebanking vom Konto der Klägerin keine starke Kundenauthentifizierung verlangte, handelt es sich um eine gleichermaßen tatsächliche wie rechtliche Behauptung zur Begründung des geltend gemachten Anspruchs.
Das Vorbringen ist auch nicht unstreitig und deshalb zu berücksichtigen. Den dahingehenden Vortrag bestreitet die Beklagte ausdrücklich. So hat sie in ihrer Stellungnahme vom 13.05.2025 (Bl. 141 ff. OLG) „bestritten, dass es eine unzureichende zweifache Kundenauthentifizierung durch ein- und dasselbe Gerät gebe“. Es könne gerade nicht davon ausgegangen werden, dass es technisch nicht möglich ist, den Anforderungen des § 1 Abs. 24 ZAG durch Verwendung desselben mobilen Endgerätes zu genügen.
Aber auch wenn das Vorbringen zu berücksichtigen wäre, wäre es jedenfalls nicht hinreichend substantiiert. Eine starke Kundenauthentifizierung i.S.d. § 1 Abs. 24 ZAG erfordert, dass mindestens zwei voneinander unabhängige Elemente der Kategorien „Wissen“, „Besitz“ und „Inhärenz“ verwendet werden.
a.
Hinsichtlich des ursprünglich vereinbarten und genutzten mTAN-Verfahren, bei dem es sich um ein SMS-TAN-Verfahren handelt, ist mit den Ausführungen im Hinweisbeschluss nichts dafür ersichtlich, dass die Beklagte keine starke Kundenauthentifizierung verlangte. Die TAN wird im Rahmen dieses Verfahrens an ein gesondertes Gerät geschickt („Wissen“) und die AGB der Beklagten sehen („verlangt“) die Nutzung eines weiteren Gerätes („Besitz“) für den eigentlichen Bankingvorgang vor. Bei einer entsprechenden Trennung der Kommunikationswege ist gegen die Sicherheit dieses Verfahrens nicht einzuwenden (vgl. Ellenberger/Bunte BankR-HdB/Maihold, 6. Aufl. 2022, § 33. Rn. 28-33 und 390). Im Übrigen wird zur Vermeidung von Wiederholungen auf die Ausführungen im Hinweisschreiben des Senats Bezug genommen.
b.
Dass bezüglich des für die streitgegenständlichen Überweisungen genutzten easyTAN-Verfahrens keine starke Kundenauthentifizierung i.S.d. § 1 Abs. 24 ZAG verlangt war, legt die darlegungs- und beweispflichtige Klägerin auch auf den entsprechenden Hinweis nicht dar. Ihre Stellungnahme vom 13.03.2025 lässt nicht erkennen, auf welches Verfahren sich die dortigen Ausführungen beziehen. Konkrete Ausführungen zum easyTAN-Verfahren sind dem Vorbringen der Klägerin nicht zu entnehmen
3.
Der Beklagten ist auch kein anspruchsminderndes Mitverschulden gem. 254 BGB anzulasten.
Der Beklagten oblag insbesondere keine allgemeine Prüfungs- oder Warnpflicht. Eine Bank muss weder generell prüfen, ob die Abwicklung eines Zahlungsverkehrsvorgangs Risiken für einen Beteiligten begründet, noch Kontobewegungen allgemein und ohne besondere Anhaltspunkte überwachen. Eine Warnpflicht besteht erst dann, wenn die Bank ohne nähere Prüfung im Rahmen der normalen Bearbeitung eines Zahlungsverkehrsvorgangs aufgrund einer auf massiven Verdachtsmomenten beruhenden objektiven Evidenz den Verdacht einer Veruntreuung schöpft (vgl. BGH, Urteil vom 24.04.2012 - XI ZR 96/11, juris, Rn. 32). Derartige Umstände hat die darlegungs- und beweispflichtige Klägerin auch auf den Hinweis des Senates nicht dargelegt.
Die Klägerin hat auch nicht dargetan, dass die Sicherungssysteme der Beklagten nicht ausreichend gewesen sein könnten. Ihr Vorbringen beschränkt sich insoweit auf allgemeine Vermutungen ohne konkreten Fallbezug. Konkrete Schwächen der Sicherungssysteme zum maßgeblichen Zeitpunkt werden nicht aufgezeigt.
Die Klägerin schuldet daher der Beklagten gem. §§ 675v Abs. 1 und Abs. 3 Nr. 2 a), 675l BGB den Ersatz des aus ihrem Verhalten resultierenden Schadens.
Dieser besteht in den streitgegenständlichen Überweisungen, deren Ersatz die Klägerin gem. § 675u BGB verlangen könnte.
Wäre die Klägerin ihren Sorgfaltspflichten nachgekommen, hätte die Beklagte den Zugriff auf das Konto der Klägerin noch am 18.11.2023 unterbinden und insbesondere das Onlinebanking sperren können. Dann wären die Überweisungen zwischen dem 23. und 27.11.2023 nicht möglich gewesen und der Schaden ausgeblieben.
B.
Mangels Anspruchs in der Hauptsache steht der Klägerin auch aus keinem Rechtsgrund ein Anspruch auf Ersatz ihrer vorgerichtlichen Rechtsanwaltskosten zu.
III.
Die Kostenentscheidung folgt aus § 97 Abs. 1 ZPO.