1. Die Parteien streiten um wechselseitige Ansprüche aus einem zwischen ihnen bestehenden Zahlungsdiensterahmenvertrag.

Die Klägerin zu 1) und der Kläger zu 2) sind Eheleute, der Kläger zu 3) ihr gemeinsamer Sohn.

Die Beklagte ist ein in der Rechtsform einer Genossenschaft organisiertes Kreditinstitut.

Alle Kläger führten seit 2001 Konten bei der Beklagten, die Klägerin zu 1) eines mit der Kontonummer ..., die Klägerin zu 1) und der Kläger zu 2) ein gemeinsames mit der Kontonummer … und der Kläger zu 3) eines mit der Kontonummer … Alle drei Konten verfügten über einen gemeinsamen Online-Banking-Zugang, der von der Klägerin zu 1) in Absprache mit den übrigen Klägern genutzt wurde. Ersteres und letzteres Konto wurden auf Antrag der Kläger zum 29.10.2021 und das dritte Konto zum 30.11.2021 aufgelöst - mithin nach Rechtshängigkeit der vorliegenden Klage am 12.08.2021 (s. hinter Bl. 9 f. d.A.).

In den jeweiligen Vereinbarungen über die Nutzung des Online-Bankings zwischen den Klägern und der Beklagten (Anlagenkonvolut B 1) ist gemäß Ziffer 5 lit. a) aa) unter anderem geregelt:

„Der Teilnehmer ist verpflichtet, die technische Verbindung zum ..-NetWorld-Angebot der Bank nur über folgende Zugangskanäle herzustellen:

Internet-Adresse	http://www…
Telefon-Nr.
HBCIPIN/TAN URL:	httpsy/…

Das HBCI-Verfahren ist ein verschlüsseltes Kommunikationsverfahren zwischen Bank und Kunden zwecks Online-Bankings.

In den Sonderbedingungen für das Online-Banking der Beklagten (Anlage B 2) ist unter Ziffer 7.1 Abs. 1 ist bestimmt:

„Der Teilnehmer hat alle zumutbaren Vorkehrungen zu treffen, um seine Authentifizierungselemente (siehe Nummer 2 dieser Bedingungen) vor unbefugtem Zugriff zu schützen. Ansonsten besteht die Gefahr, dass das Online-Banking missbräuchlich verwendet oder in sonstiger Weise nicht autorisiert genutzt wird (…).“

Nach Ziffer 2 Abs. 3 der Sonderbedingungen für das Online-Banking sind „Authentifizierungselemente“ unter anderem „Wissenselemente, also etwas, das nur der Teilnehmer weiß (z.B. persönliche Identifikationsnummer [PIN] oder der Nutzungscode für die elektronische Signatur“.

In Ziffer 7.1 Abs. 2 lit. a ist vereinbart:

„Wissenselemente, wie z.B. die PIN, sind geheim zu halten; sie dürfen insbesondere

- nicht mündlich (z.B. telefonisch oder persönlich) mitgeteilt werden,

- nicht außerhalb des Online-Banking in Textform (z.B. per E-Mail, Messenger-Dienst) weitergegeben werden, (…)“

In Ziffer 10.2.1 Abs. 3 der Sonderbedingungen für das Online-Banking ist bestimmt: „Kommt es vor der Sperranzeige zu nicht autorisierten Zahlungsvorgängen und hat der Teilnehmer (…) seine Sorgfalts- und Anzeigepflichten nach diesen Bedingungen (…) grob fahrlässig verletzt, trägt der Kunde (…) den hierdurch entstandenen Schaden in vollem Umfang. Grobe Fahrlässigkeit des Teilnehmers kann insbesondere vorliegen, wenn er einer seiner Sorgfaltspflichten nach

- Nummer 7.1 Abs. 2 (…)

dieser Bedingungen verletzt hat.“

Ziffer 7.2 regelt zudem:

„Der Teilnehmer muss die Sicherheitshinweise auf der Online-Banking-Seite der Bank, insbesondere die Maßnahmen zum Schutz der eingesetzten Hard- und Software (Kundensystem), beachten.“

Die Beklagte warnte auf ihrer Website (s. Anlage B 3) im Jahr 2020 mehrfach davor, dass es zu betrügerischen Briefen und Telefonanrufen angeblicher Bankmitarbeiter komme, bei denen die Empfänger der Briefe dazu aufgefordert werden, Zugangsdaten und personenbezogene Informationen auf einer Phishing-Website preiszugeben.

Die Klägerin zu 1) erhielt unter dem Datum 19.04.2021 ein unstreitig nicht von der Beklagten stammendes Schreiben (Anlage K 1) unter dem Betreff „Willkommensbrief zur Aktivierung des ePostfach TAN-Verfahrens“. Darin wurde angekündigt, die Klägerin zu 1) erhalte „nun bequem und einfach Ihre ePostfach TAN direkt über Ihr eBanking Postfach“. Sie erhalte binnen weniger Tage einen „Zugangsbrief“ postalisch zugesandt. Diesen solle sie „per Fotoaktivierung in unserer WebApp“ aktivieren. Zum Zwecke der „Fotoaktivierung“ wurde angegeben:

„https://www

APPID: …“

Die Aktivierung müsse bis spätestens 05.05.2021 vorgenommen werden. Dazu wird eine Anleitung gegeben. Die Klägerin zu 1) müsse auf die angegebene Internetadresse gehen und dort zunächst ihren „.KEY“ angeben. Der sog. ..-NetKey ist eine personenbezogene Kennung für das Online-Banking bei …banken in Deutschland. Dann solle die Klägerin zu 1) den „gesonderten QR Code Brief“ mithilfe der Kamerafunktion ihres Smartphones aktivieren.

Dieser Brief enthielt eine Reihe orthographischer Fehler. So wurde in der Adresszeile der angeblichen Absenderin „…bank“ angegeben - es fehlt mithin ein „b“. Im ersten Absatz nach der Anrede ist der sich stetig „änderne“ globale Finanzmarkt angesprochen - es fehlt ein „d“. Auch in der Folge ist von „vernanlassten“ die Rede, wo es korrekterweise „veranlassten“ heißen müsste.

Das Schreiben vom 19.04.2021 enthielt im Gegensatz zu echten Schreiben der Beklagten eine Reihe von Unterschieden. Wo sonst neben dem Logo „.“ angeführt ist, steht dort in diesem Schreiben „.banken“. Als Adresse ist lediglich ein - nicht existentes - „Postfach .“ angegeben, 19 U 2204/22 - Seite 4 - dazu keine Postleitzahl und kein Ort. Anders als die Beklagte und generell in Geschäftsbriefen von Kreditinstituten üblich, gibt dieses Schreiben nicht die kompletten Kontaktdaten - neben der vollständigen Anschrift auch die Telefonnummer und die E-Mail-Adresse -, die Website, den BIC-Code, die Umsatzsteuer-ID-Nr., die Namen der Vorstände und des Aufsichtsratsvorsitzenden, das Registergericht und die Bankverbindung an. Dies fehlt dort sämtlich. Stattdessen ist der Brief von einem angeblichen „Bereichsleiter Privatkundengeschäft“ namens „.“ und einem vorgeblichen „Bereichsleiter Firmenkundengeschäft“ namens „.“ jeweils mit „ppa.“ unterzeichnet - beide keine Mitarbeiter der Beklagten. Echte allgemeine Schreiben der Beklagten enthalten lediglich - ohne jede Namensangabe die Schlussformel

„Freundliche Grüße …“

Unter dem Datum vom 23.04.2021 erhielt die Klägerin zu 1) ein tatsächlich von der Beklagten stammendes Schreiben (Anlage K 2), das all die o.g., üblichen Angaben in Geschäftsbriefen von Kreditinstituten enthielt und keinerlei orthographische Fehler aufwies. Mit diesem erhielt sie - in Form eines zweidimensionalen QR-Codes und eines alphanumerischen Codes - den Freischaltcode zur Nutzung des sog. SecureGo-Verfahrens. Dabei handelt es sich um ein Verfahren, um Transaktionsnummern (TAN), mithin Einmalkennworte für Online-Banking-Transaktionen, direkt in der App der Beklagten auf einem mobilen Endgerät (z.B. einem Smartphone oder Tablet) zu erhalten. Ob dieser Freischaltcode nur auf Anforderung der Kunden von der Beklagten versandt wird, ist zwischen den Parteien streitig. Laut Beklagter sei für die Anforderung des Freischaltcodes zudem die Kenntnis des ..-NetKey sowie der Persönlichen Identifikationsnummer (PIN) der Kläger für das Online-Banking erforderlich. Jedenfalls haben die Kläger den Freischaltcode unbestritten nicht angefordert. In dem Schreiben der Beklagten vom 23.04.2021 ist angegeben, dass zur Freischaltung des SecureGo-Verfahrens die SecureGo-App auf einem mobilen Endgerät zu öffnen sei. Dann sei der QR-Code in der SecureGo-App einzuscannen oder der alphanumerische Code per Hand einzugeben. Danach könne die SecureGo-App für die Durchführung TANpflichtiger Transaktionen im Online-Banking verwendet werden. Die App-ID für die SecureGo-App der Beklagten wird mit „.“ angegeben. Außerdem wird dazu aufgefordert: „Bitte prüfen Sie, ob die angegebene App-ID korrekt ist‘.

Am 28.04.2021 erhielt der Kläger zu 2) einen Anruf eines Unbekannten unter der anzeigten Rufnummer „…“. Er wurde in dem Telefonat darauf hingewiesen, dass die Freischaltung auf jeden Fall bis 05.05.2021 erfolgen müsse, da andernfalls die Zugangscodes verfallen würden. Diese Telefonnummer existiert bei der Beklagten nicht. Die der Stammnummer „…“ nachfolgenden Durchwahlen sind bei der Hauptgeschäftsstelle der Beklagten durchweg dreistellig und bei der Geschäftsstelle in Haimhausen nur zweistellig.

Die Klägerin zu 1) folgte daraufhin nicht den Anweisungen im echten Schreiben der Beklagten vom 23.04.2021, sondern denen im betrügerischen Schreiben vom 19.04.2021 und gab auf der darin genannten Phishing-Website den Freischaltcode für das SecureGo-Verfahren ein.

Vom 01. bis 03.05.2021 überwiesen unbekannte Täter daraufhin einen Betrag von insgesamt 20.242 € zu Lasten der Kläger auf andere Konten weiter. Im Einzelnen kam es zu folgenden Überweisungen (s. Anlage K 3):

- am 01.05.2021:

2.000 € vom Konto Nr. … der Klägerin zu 1) und des Klägers zu 2),

2.998 € vom Konto Nr. ... der Klägerin zu 1) und des Klägers zu 2),

2.995 € vom Konto Nr. ... des Klägers zu 3),

- am 02.05.2021:

2.252 € vom Konto Nr. ... der Klägerin zu 1),

2.000 € vom Konto Nr. .. des Klägers zu 3),

2.999 € vom Konto Nr. ... des Klägers zu 3),

- am 03.05.2021:

2.995 € vom Konto Nr. ... des Klägers zu 3),

2.003 € vom Konto Nr. ... des Klägers zu 3).

Die Kläger begehren von der Beklagten die Wiedergutschrift eines Betrages von 20.117 € auf ihre Konten, da die Kontoverfügungen in Höhe dieses Betrages von ihnen nicht autorisiert worden seien. Sie ziehen von der Summe von 20.242 € mit Blick auf § 675v Abs. 1 BGB Haftungsanteile von 50 € hinsichtlich des Kontos der Klägerin zu 1), 25 € bezüglich des Klägers zu 2) hinsichtlich des gemeinsamen Kontos und 50 € hinsichtlich des Kontos des Klägers zu 3) ab.

Die Beklagte rechnet mit einem Schadensersatzanspruch nach § 675v Abs. 3 Nr. 2 lit. a), b) BGB in Höhe der Klageforderung gegen die jeweiligen Ansprüche der Kläger auf. Die Kläger hätten den unbekannten Tätern grob fahrlässig und pflichtwidrig den Zugriff auf die Zugangsdaten zu ihren Konten ermöglicht und es zugelassen, dass diese TAN generieren konnten, die zur Autorisierung von Überweisungen mittels Online-Banking erforderlich waren. Die Beklagte sei dafür nicht verantwortlich.

Das Landgericht hat die Klage mit Urteil vom 11.03.2022 (Bl. 57 ff. d.A.) abgewiesen. Die auf Gutschrift gerichteten Klageanträge gingen ins Leere, da die Kläger über keine Konten bei der Beklagten mehr verfügten. Dessen ungeachtet seien die streitgegenständlichen Zahlungsvorgänge zwar nicht autorisiert gewesen. Jedoch habe die Beklagte einen Gegenanspruch auf Schadensersatz in gleicher Höhe gegen die Kläger, mit welchem sie wirksam aufgerechnet habe. Wegen der Einzelheiten wird gemäß § 522 Abs. 2 S. 4 ZPO auf das angegriffene Urteil Bezug genommen.

Dagegen richtet sich die mit Schriftsatz vom 12.04.2022 (Bl. 83 f. d.A.) eingelegte und mit Schriftsatz vom 09.06.2022 (Bl. 94 ff. d.A.) begründete Berufung der Kläger. Sie beantragen, das Urteil des Landgerichts abzuändern und zu erkennen wie folgt:

„1. Die Beklagte wird verurteilt, dem Konto der Klägerin zu 1) bei der Beklagten Nr. … den Betrag i.H.v. 2.202 € nebst Zinsen i.H.v. 5 Prozentpunkten über dem Basiszinssatz seit dem 10.05.2021 gutzuschreiben.

2. Die Beklagte wird verurteilt, dem gemeinsamen Konto der Klägerin zu 1) und des Klägers zu 2) bei der Beklagten Nr. . den Betrag i.H.v. 4.973 € nebst Zinsen i.H.v. 5 Prozentpunkten über dem Basiszinssatz seit dem 10.05.2021 gutzuschreiben.

3. Die Beklagte wird verurteilt, dem Konto des Klägers zu 3) bei der Beklagten Nr. . den Betrag i.H.v. 12.942 € nebst Zinsen i.H.v. 5 Prozentpunkten über dem Basiszinssatz seit dem 10.05.2021 gutzuschreiben.

4. Die Beklagte wird verurteilt, an die Kläger vorgerichtliche Anwaltskosten i.H.v. 876,67 € nebst Zinsen i.H.v. 5 Prozentpunkten über dem Basiszinssatz seit Rechtshängigkeit zu zahlen.“

Hilfsweise wird statt der obigen Anträge 1 bis 3 beantragt,

Die Beklagte beantragt,

die Berufung zurückzuweisen.

Wegen der Einzelheiten des Parteivortrages wird auf die Berufungsbegründung vom 09.06.2022 (Bl. 94 ff. d.A.), die Berufungserwiderung vom 17.08.2022 (Bl. 105 ff. d.A.) sowie die weiteren Schriftsätze der Parteien verwiesen. - Seite 7 - 11.

Der Senat ist einstimmig der Auffassung, dass die Berufung offensichtlich keine Aussicht auf Erfolg hat, der Rechtssache auch keine grundsätzliche Bedeutung zukommt, weder die Fortbildung des Rechts noch die Sicherung einer einheitlichen Rechtsprechung eine Entscheidung des Berufungsgerichts erfordert und die Durchführung einer mündlichen Verhandlung über die Berufung nicht geboten ist.

Die angefochtene Entscheidung des Landgerichts ist richtig. Dessen Urteil beruht nicht auf einer Rechtsverletzung (§§ 513 Abs. 1,546 ZPO). Vielmehr rechtfertigen die Tatsachen, die der Senat im Rahmen des durch § 529 ZPO festgelegten Prüfungsumfangs der Beurteilung des Streitstoffes zugrunde zu legen hat, keine andere Entscheidung. Die Ausführungen der Klagepartei in der Berufungsinstanz vermögen dem Rechtsmittel nicht zum Erfolg zu verhelfen, da sie das Ersturteil, auf das Bezug genommen wird, nicht erschüttern.

1. Die Kläger haben keine Ansprüche aus §§ 675u S. 2, 675f BGB auf Gutschrift oder Erstattung von insgesamt 20.117 € gegenüber der Beklagten.

a) Derartige Ansprüche der Kläger sind zwar - was das Landgericht nur sehr summarisch erörtert hat - zunächst entstanden.

aa) § 675u S. 2 BGB begründet, in Verbindung mit den zwischen den Parteien unstreitig bestehenden Kontoverträgen i.S. von Zahlungsdiensterahmenverträgen (§ 675f Abs. 2 BGB), vorliegend Ansprüche der Kläger auf Auszahlung der Beträge, mit denen ihre Konten jeweils zu Unrecht belastet worden sind.

(1) Als Rechtsfolge gewährt § 675u S. 2 BGB einen Erstattungsanspruch. „Erstattung“ ist der Oberbegriff für die Auszahlung und die Stornobuchung, d.h. die Wertstellung in Höhe der nicht autorisierten Zahlung.

Der Anspruch ist in der Regel auf Wertstellung in Höhe der nicht autorisierten Zahlung gerichtet (Schulte-Nölke in: Schulze, BGB, 11. Aufl., § 675u Rz. 2).

Auszahlung ist geboten, wenn der Nutzer beim Dienstleister kein Zahlungskonto unterhält (Zetzsche in: Münchener Kommentar zum BGB, 8. Aufl., § 675u Rz. 19), insbesondere falls die Kontobeziehung zwischenzeitlich aufgelöst wurde (OLG Celle, Beschluss v. 17.11.2020, Az. 3 U 122/20, juris Rz. 19; OLG Frankfurt a.M., Urteil v. 11.05.2017, Az. 1 U 224/15, juris Rz. 14; LG Darmstadt, Urteil v. 28.08.2014, Az. 28 O 36/14, juris Rz. 26; Zimmermann in: beckonline.GROSSKOMMENTAR, Stand: 01.09.2022, § 675u BGB Rz. 25; Schmalenbach in: BeckOK BGB, 63. Ed., Stand: 01.08.2022, § 675u Rz. 5). Dies ist vorliegend unstreitig bezüglich aller drei verfahrensgegenständlicher Konten der Fall.

Die auf Gutschrift gerichteten Berufungs-Hauptanträge 1 bis 3 sind somit - was das Landgericht rechtsfehlerfrei angenommen hat - seit Auflösung der Konten der Kläger bei der Beklagten am 29.10.2021 bzw. 30.11.2021 unbegründet.

(2) Die - erstmals in der Berufungsinstanz gestellten - auf Zahlung an die Kläger gerichteten Hilfsanträge sind nach § 264 Nr. 3 ZPO zulässig.

Änderungen des Klageantrags gemäß § 264 Nr. 3 ZPO sind auch in zweiter Instanz nicht als Klageänderung anzusehen, so dass § 533 ZPO auf sie keine Anwendung findet (BGH, Urteil v. 07.05.2015, Az. VII ZR 145/12, Rz. 24; Urteil v. 08.12.2005, Az. VII ZR 191/04, Rz. 13; Urteil v. 19.03.2004, Az. V ZR 104/03, juris Rz. 25).

Nach § 264 Nr. 3 ZPO kann das ursprüngliche Klagebegehren durch ein anderes ersetzt werden, um einer später eingetretenen Änderung Rechnung zu tragen. Eine nachträgliche Veränderung liegt nach verbreiteter Auffassung grundsätzlich nur vor, wenn sie nach Rechtshängigkeit eingetreten ist (z.B. OLG Hamm, Urteil v. 19.08.1999, Az. 22 U 143/98, juris Rz. 14). In welcher Beziehung sich der andere Gegenstand von dem ursprünglichen Klagegegenstand unterscheidet, ist regelmäßig unerheblich. Erforderlich ist lediglich, dass der neue Gegenstand nach dem Klägervorbringen aufgrund einer späteren Veränderung als Surrogat (oder Schadensersatz) an die Stelle des ursprünglich geforderten Gegenstandes getreten ist (Bacher in: BeckOK ZPO, 45. Ed., Stand: 01.07.2022, § 264 Rz. 8).

Ob die Veränderung auf dem Verhalten einer Partei oder auf einem Zufall beruht, ist unerheblich. Der neue materielle Anspruch muss demselben Klagegrund wie der alte entstammen (Anders/Gehle, ZPO, 80. Aufl., § 264 Rz. 8; Saenger in: Saenger, ZPO, 9. Aufl., § 264 Rz. 7).

Diese Voraussetzungen sind hier gegeben. Nach Rechtshängigkeit der ursprünglich auf Gutschrift gerichteten Klage am 12.08.2021 wurden die Konten der Kläger im Oktober bzw. November 2021 aufgelöst. Somit konnten die Kläger ab diesem Zeitpunkt nicht mehr die zunächst geschuldete Stornobuchung, sondern nur noch Auszahlung der streitigen Beträge verlangen. Folgerichtig gingen sie - wenn auch erst zweitinstanzlich und nur hilfsweise - auf Zahlungsanträge über. Der diesen Klageanträgen zugrunde liegende Lebenssachverhalt und selbst die Anspruchsgrundlage - § 675u S. 2 BGB - sind unverändert.

bb) Unstreitig kam es zu Überweisungen von 20.242 € von den jeweiligen Konten der Kläger bei der Beklagten auf Konten unbekannter Täter.

Die Kläger machen indessen klageweise lediglich Beträge von alles in allem 20.117 € geltend, welche sie mit Blick auf § 675v Abs. 1 BGB durch Abzug von Haftungsanteilen in Höhe von insgesamt 125 € errechnen.

Mit Blick auf § 308 Abs. 1 S. 1 ZPO sind nur die von der Klageseite geforderten Beträge verfahrensgegenständlich.

cc) Die streitgegenständlichen Überweisungen von den Konten der Kläger waren von diesen nicht autorisiert.

Nach der Legaldefinition des § 675j Abs. 1 S. 1 BGB ist die Autorisierung die wirksame Zustimmung des Zahlers zum Zahlungsvorgang, welche nach § 675j Abs. 1 S. 2 BGB als Einwilligung oder, sofern zwischen dem Zahler und seinem Zahlungsdienstleister zuvor vereinbart, auch als Genehmigung erteilt werden kann.

Selbst eine Stellvertretung insoweit ist grundsätzlich möglich (Jungmann in: Münchener Kommentar zum BGB, 8. Aufl., § 675j Rz. 14; Berger in: Jauernig, BGB, 18. Aufl., § 675j Rz. 1; differenzierend Köndgen in: beckonline.GROSSKOMMENTAR, Stand: 01.04.2022, § 675j BGB Rz. 17 ff.; Schmalenbach in: BeckOK BGB, 62. Ed., Stand: 01.05.2022, § 675j Rz. 3).

Die vereinzelt vertretene Ansicht, dass in Fällen, in denen der Nutzer seine persönlichen Daten in die Eingabemaske einer manipulierten Webseite eingibt und sie somit unbewusst an den Angreifer weiterleitet, das Einverständnis des Nutzers zu den durch den Angreifer sodann durchgeführten Zahlungsvorgängen nach den Grundsätzen der Rechtscheinsvollmacht zuzurechnen sei (z.B. LG Darmstadt, Urteil v. 28.08.2014, Az. 28 O 36/14, juris Rz. 37 ff.), ist abzulehnen. Die Grundsätze über die Duldungs- und Anscheinsvollmacht finden in Bezug auf die Zustimmung i.S.v. § 675j BGB richtigerweise keine Anwendung (BGH, Urteil v. 26.01.2016, Az. XI ZR 91/14, Rz. 55 ff.; Urteil v. 16.06.2015, Az. XI ZR 243/13, Rz. 22 ff.; Köndgen in: beckonline.GROSSKOMMENTAR, Stand: 01.04.2022, § 675j BGB Rz. 20; Schulte-Nölke in: Schulze, BGB, 11. Aufl., § 675j Rz. 2; Köbrich, VuR 2015, 9 [12 f.]).

Die Kläger tragen vor, dass sie keine der streitgegenständlichen Überweisungen veranlassten, sondern unbekannte Dritte ohne ihr Wissen und Wollen. Dies wird von der Beklagten zugestanden, so dass es auf die Frage der Darlegungs- und Beweislast für die Autorisierung der Überweisungen - welche gemäß § 675w S. 1 BGB bei der Beklagten läge - vorliegend nicht ankommt.

b) Der Anspruch der Kläger nach § 625u S. 2 BGB ist aber - was das Landgericht richtigerweise bejaht hat - durch wirksame Aufrechnung der Beklagten wieder erloschen, § 389 BGB.

aa) Die Beklagte hat bereits in der Klageerwiderung vom 28.09.2021 (S. 8 = Bl. 23 d.A.) die Aufrechnung erklärt, § 388 BGB.

bb) Die Beklagte hat nach § 675v Abs. 3 Nr. 2 lit. a), b) BGB Gegenansprüche auf Schadensersatz gegen die Kläger jeweils mindestens in Höhe deren Erstattungsansprüche gemäß § 675u S. 2 BGB.

(1) Die Kläger haben grob fahrlässig Pflichten gemäß § 675l Abs. 1 S. 1 BGB verletzt, § 675v Abs. 3 Nr. 2 lit. a) BGB.

(a) Nach § 675l Abs. 1 S. 1 BGB ist der Zahler verpflichtet, unmittelbar nach Erhalt eines Zahlungsauthentifizierungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen.

Personalisierte Sicherheitsmerkmale sind gemäß § 1 Abs. 25 ZAG - in der hier maßgeblichen, vom 29.12.2020 bis 30.06.2021 geltenden Fassung - personalisierte Merkmale, die der Zahlungsdienstleister einem Zahlungsdienstnutzer zum Zwecke der Authentifizierung bereitstellt. Darunter fallen insbesondere TAN, welche einmal für die Autorisierung einer ganz bestimmten Transaktion eingesetzt werden können, dem Zahlungsdienstnutzer erst im Zusammenhang mit der jeweiligen Transaktion übermittelt werden und nur für eine kurze Zeit gültig sind (Casper/Terlau, ZAG, 2. Aufl., § 1 Rz. 438). Richtigerweise wird darunter - gleichsam als „Vorstufe“ - auch der Freischaltcode für das SecureGo-Verfahren zu fassen sein, ermöglicht er doch die Erzeugung und Erlangung von TAN auf mobilen Endgeräten.

Unbefugt ist namentlich jede Verwendung, die ohne oder gegen den Willen des Inhabers des Zahlungsinstruments erfolgt und dementsprechend auf die Auslösung eines nicht autorisierten Zahlungsvorgangs gerichtet ist (Jungmann in: Münchener Kommentar zum BGB, 8. Aufl., § 675l Rz. 19).

Die Kläger hatten allgemein dafür Sorge zu tragen, dass nicht dritte Personen die unkontrollierte Zugriffsmöglichkeit auf ihr Online-Banking oder die Banking-App mittels Zugangsdaten und TAN bekommen und so ohne ihr Wissen und Wollen Transaktionen von ihren Konten bei der Beklagten durchführen können (generell zum Sorgfaltsmaßstab beim Online-Banking und beim Mobile Banking ausführlich: Jungmann in: Münchener Kommentar zum BGB, 8. Aufl., § 675l Rz. 42 m.w.N.; s. auch Hofmann in: beckonline.GROSSKOMMENTAR, Stand: 01.10.2021, § 675l Rz. 82 ff.).

Die vom Zahlungsdienstnutzer geschuldeten Sorgfaltspflichten sind außerdem nach der Art des konkreten Angriffs zu bestimmen (Hofmann in: beckonline.GROSSKOMMENTAR, Stand: 01.10.2021, § 675l BGB Rz. 93).

Hier sind die Kläger Opfer des sog. Phishing geworden. Dieser Begriff bezeichnet die Täuschung eines Nutzers von Internetdiensten, um diesen zur Mitteilung vertraulicher Daten an einen Nichtberechtigten zu verleiten. Dazu wird der Nutzer typischerweise auf eine Internetseite geleitet, die einen vertrauenswürdigen Betreiber vortäuscht, so dass der Nutzer arglos geschützte Daten preisgibt (zum Begriff s. bspw. BGH, Urteil v. 24.04.2012, Az. XI ZR 96/11, Rz. 26; Jungmann in: Münchener Kommentar zum BGB, 8. Aufl., § 675l Rz. 38; Maihold in: Ellenberger/Bunte, Bankrechts-Handbuch, 6. Aufl., § 33 Rz. 49; Marberth-Kubicki, Computer- und Internetstrafrecht, 2. Aufl., Rz. 71; einen ausführlichen Überblick hierzu geben z.B. Popp, MMR 2006, 84; Borges, NJW 2005, 3313).

Beim Phishing wird von den Tätern die „Schwachstelle Mensch“ ausgenutzt, um auf diese Art und Weise personalisierte Sicherheitsmerkmale auszuspähen und in der Folge Zahlungen auszulösen (Keßler in: Ebenroth/Boujong/Joost/Strohn, HGB, 4. Aufl., § 675l BGB Rz. 7).

Phishing-Angriffe sind nicht ohne erhebliche Mitwirkung des Zahlungsdienstnutzer möglich. Die von den Zahlungsdienstnutzer zu erwartende angemessene Sorgfalt besteht hier darin, Zugangsdaten niemandem auf Nachfrage anzuvertrauen, sei es am Telefon, in E-Mails oder im Internet. Zulässig und wegen der Warnwirkung sogar erforderlich ist es, dass die Zahlungsdienstleister ihre Kunden darauf hinweisen, dass sie Zugangsdaten ausschließlich über die Eingabemasken auf den institutseigenen Internetseiten abfragen und jede anderweitige Weitergabe personalisierter Sicherheitsmerkmale daher sorgfaltswidrig ist. Bei deren Weitergabe auf anderen Wegen liegt dann stets ein Sorgfaltspflichtverstoß vor und - abhängig von den Besonderheiten des Einzelfalls, insbesondere subjektiven Gesichtspunkten - der Vorwurf grob fahrlässigen Verhaltens nahe (s. hierzu insg. Hofmann in: beckonline.GROSSKOMMENTAR, Stand: 01.10.2021, § 675l BGB Rz. 93).

Wenn sich jedem Zahlungsdienstnutzer in der entsprechenden Situation sowie dem betroffenen Zahlungsdienstnutzer ganz individuell geradezu aufdrängen musste, dass es sich nicht um einen regulären Vorgang handeln kann, ist von grober Fahrlässigkeit auszugehen (Hofmann in: beckonline.GROSSKOMMENTAR, Stand: 01.10.2021, § 675l BGB Rz. 96).

Ob der Zahlungsdienstnutzer erkennen muss, dass konkret ein Phishing-Angriff stattfindet, ist stets Frage des Einzelfalls (Jungmann in: Münchener Kommentar zum BGB, 8. Aufl., § 675l Rz. 64, 65).

Ein grob fahrlässiger Verstoß gegen die Pflicht, personalisierte Sicherheitsmerkmale nicht an Dritte weiterzugeben, liegt jedenfalls dann vor, falls sich der Zahlungsdienstnutzer beharrlich allen Hinweisen darauf verschließt, dass er nicht mit dem Zahlungsdienstleister, sondern einem Dritten kommuniziert (s. hierzu LG Köln, Urteil v. 10.09.2019, Az. 21 O 116/19, juris Rz. 22 ff.).

(b) Gegen die Pflicht nach § 675l Abs. 1 S. 1 BGB, personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen, haben die Kläger vorliegend grob fahrlässig verstoßen.

Grob fahrlässig handelt, wer die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt, einfachste und nahe liegende Überlegungen nicht anstellt und in der konkreten Situation das nicht beachtet, was sich jedem aufdrängt (stRspr., z.B. BGH, Urteil v. 13.12.2004, Az. II ZR 17/03; Urteil v. 17.10.2000, Az. XI ZR 42/00 [NJW 2001, 286]; Urteil v. 29.09.1992, Az. XI ZR 265/91 [NJW 1992, 3235]; Urteil v. 05.12.1983, Az. II ZR 252/82 [NJW 1984, 789]; Urteil v. 11.05.1953, Az. IV ZR 170/52 [NJW 1953, 1139]).

Unter Berücksichtigung aller Umstände des hiesigen Einzelfalls ist das Verhalten der Klägerin zu 1), das sich die Kläger zu 2) und 3) gemäß § 278 BGB zurechnen lassen müssen, als grob fahrlässig einzustufen.

Dahinstehen kann, ob die Beklagte durch die Warnhinweise auf ihrer Online-Banking-Seite hinreichend vor derartigen Phishing-Attacken gewarnt hat und die Kläger gemäß Ziffer 7.2 der Sonderbedingungen für das Online-Banking dazu verpflichtet waren, diese regelmäßig einzusehen. Aufgrund der in den letzten Jahren vielfach durch verschiedene Medien bekannt gewordenen Fälle ist die Erkenntnis, dass Kunden durch betrügerische Briefe und Anrufe vorgeblicher Bankmitarbeiter zur Preisgabe von Zugangsdaten zum Online-Banking auf Fake-Websites veranlasst werden sollen, als allgemeines Wissen vorauszusetzen. Jedenfalls seit 2006 wurde das kriminelle Phänomen des Phishing öffentlich breit diskutiert (Kochheim, Cybercrime und Strafrecht in der Informations- und Kommunikationstechnik, 2. Aufl., Rz. 1464). Die Klägerin zu 1) musste daher von der Möglichkeit solcher betrügerischen Vorgänge, wenn auch in unterschiedlicher Ausgestaltung, jedenfalls allgemeine Kenntnis haben. Falls nicht, wäre dies zumindest als grob fahrlässige Unkenntnis einzustufen. Darüber hinaus - mag die Klägerin zu 1) auch technische Laiin in Computerangelegenheiten sein - ist sie nach eigenem Vorbringen mit dem Online-Banking vertraut.

Offenbleiben kann ebenso, ob der Freischaltcode von der Beklagten nur auf Anforderung der Kunden versandt wird, was strittig ist. Nach Angaben der Beklagten wäre hierfür die Kenntnis des ..-NetKey sowie der PIN der Kläger notwendig, wobei dann fraglich wäre, wie die unbekannten Täter diese erlangt hätten, da die Kläger den Freischaltcode unbestritten nicht anforderten.

Dessen ungeachtet musste sich den Klägern geradezu aufdrängen, dass hier (möglicherweise) ein Phishing-Angriff vorlag und die - im Einvernehmen mit den Klägern zu 2) und 3) handelnde - Klägerin zu 1) hätte keinesfalls den von der Beklagten übersandten Freischaltcode für das SecureGo-Verfahren ohne Weiteres auf der im betrügerischen Schreiben vom 19.04.2021 genannten Fake-Website eingeben dürfen. Damit wurde leichtfertig den unbekannten Tätern die Möglichkeit zur Generierung von TAN auf einem mobilen Endgerät eröffnet, um so die streitgegenständlichen Überweisungen zu Lasten der Kläger vorzunehmen Dem Landgericht ist zuzugeben, dass die orthographischen Fehler im betrügerischen Schreiben vom 19.04.2021 überlesen werden können; gleichwohl fällt auf, dass solche im echten Schreiben der Beklagten vom 23.04.2021 nicht enthalten sind. Jedoch sind bereits die äußerlichen Unterschiede des Schreibens vom 19.04.2021 und des Schreibens vom 23.04.2021 selbst bei flüchtiger Durchsicht augenfällig:

- die Bezeichnung der Bank neben dem Logo differiert ebenso wie das gesamte Schriftbild;

- im Schreiben vom 23.04.2021 ist - wie üblich ein Geschäftsschreiben von Kreditinstituten - die vollständige Anschrift, die Telefonnummer, die E-Mail-Adresse, die Website, der BIC-Code, die Umsatzsteuer-ID-Nr., der Vorstand und der Aufsichtsratsvorsitzende, das Registergericht und die Bankverbindung der Beklagten angegeben;

- all dies fehlt im Schreiben vom 19.04.2021; stattdessen ist dort ohne jede Ortsangabe nur ein „Postfach …“ vermerkt.

Dies ist vor dem Hintergrund zu sehen, dass die Kläger zu dieser Zeit bereits in vieljährigem Geschäftskontakt zur Beklagten standen.

Keinesfalls entgehen durfte der Klageseite indes, dass die in den Schreiben jeweils geschilderten Freischaltverfahren, völlig differierten:

- im echten Schreiben der Beklagten vom 23.04.2021 wird vorgegeben, dass für die Freischaltung die SecureGo-App der Beklagten auf einem mobilen Endgerät zu öffnen und der Freischaltcode dort (als QR-Code) einzuscannen oder (alphanumerisch) per Hand einzugeben sei; außerdem ist dort von einem „SecureGo-Verfahren“ die Rede;

- im betrügerischen Schreiben vom 19.04.2021 wird verlangt, eine dort angegebene Internetadresse zu öffnen und dort der QR-Code „mithilfe der Kamerafunktion“ zu aktivieren sei; hier wird von einem „ePostfach TAN-Verfahren“ gesprochen.

Schon die Tatsache, dass in zwei Schreiben, welche die Klägerin zu 1) binnen weniger Tage erhielt, derart verschiedene Freischaltverfahren mit differierender Bezeichnung geschildert werden, hätte sie dazu veranlassen müssen, misstrauisch zu werden, zumindest bei der Beklagten nachzufragen, wenn nicht sogar ein betrügerisches Vorgehen zu wähnen.

Dazu kommt, dass im echten Schreiben der Beklagten vom 23.04.2021 ausdrücklich darauf hingewiesen wird, dass die Klägerin zu 1) prüfen soll, ob die angegebene App-ID „…“ korrekt ist. Im betrügerischen Schreiben vom 19.04.2021 wird eine davon abweichende App-ID „…“ genannt.

Schließlich verpflichteten sich alle drei Kläger in den jeweiligen Vereinbarungen über die Nutzung des Online-Bankings - jeweils Ziffer 5 lit. a) aa) - gegenüber der Beklagten auf das Online-Banking ausschließlich über die Internet-Adressen „http://www de‘ oder „https://…‘ zuzugreifen. Entgegen dessen gab die Klägerin zu 1) gleichwohl den Freischaltcode auf der Website „https://www ‘ preis. Zudem sticht ins Auge, dass die von der Beklagten vorgegeben Internetadressen die länderspezifische Top-Level-Domain „.de‘ für Deutschland aufweisen, die im betrügerischen Schreiben angegebene dagegen die länderunspezifische generische Top-Level-Domain „.net‘.

Bei Gesamtbetrachtung sämtlicher Umstände des hiesigen Falles stellt sich das Handeln der Klageseite somit als objektiv schwerwiegender und subjektiv nicht entschuldbarer Verstoß gegen die Anforderungen der im Verkehr erforderlichen Sorgfalt dar.

Der grob fahrlässige Pflichtenverstoß fußt ausschließlich im Verantwortungsbereich der Kläger und ist in keiner Weise der Beklagten anzulasten.

(2) Die Kläger haben daneben grob fahrlässig vereinbarte Bedingungen für die Ausgabe und Nutzung des Zahlungsauthentifizierungsinstrument verletzt, § 675v Abs. 3 Nr. 2 lit. b) BGB.

(a) Gemäß Ziffer 7.1 Abs. 1, Abs. 2 lit. a der unbestritten in das Vertragsverhältnis einbezogenen AGB der Beklagten (Sonderbedingungen für das Online-Banking, Anlagen B 2) hatten die Kläger ihre Authentifizierungsinstrumente vor unbefugtem Zugriff zu schützen, insbesondere Wissenselemente nicht außerhalb des Online-Bankings weiterzugeben. Als solche i.S.v. Ziffer 2 Abs. 3 ist der Freischaltcode zur Nutzung des SecureGo-Verfahrens - sowohl in Form eines QR-Codes als auch alphanumerisch - einzustufen.

Gemäß Ziffer 5 lit. a) aa) der jeweiligen Vereinbarungen der Kläger mit der Beklagten über die Nutzung des Online-Bankings waren ausschließlich die dort genannten Zugangskanäle zulässig.

(b) Auch gegen diese vertraglichen Bestimmungen verstießen die Kläger grob fahrlässig, indem sie den Freischaltcode leichtfertig auf der im betrügerischen Schreiben vom 19.04.2021 angegebenen Website preisgaben und so den unbekannten Tätern die Möglichkeit zu Zugriff und Verfügung über ihre Konten eröffneten. Insoweit wird auf die vorstehenden Ausführungen Bezug genommen.

(3) Der Anspruch besteht jedenfalls in der Höhe des klageweise geltend gemachte Erstattungsansprüche nach § 675u S. 2 BGB.

(a) Ein Verstoß im Sinne des § 675v Abs. 3 BGB löst eine der Höhe nach unbeschränkte - und nicht, wie die Kläger meinen eine nach § 675v Abs. 1 BGB betragsmäßig beschränkte - Haftung des Zahlers gegenüber seinem Zahlungsdienstleister für den gesamten entstandenen Schaden aus; es gelten die allgemeinen Grundsätze aus §§ 249ff. BGB (Zetzsche in: Münchener Kommentar zum BGB, 8. Aufl., § 675v Rz. 57; Berger in: Jauernig, BGB, 18. Aufl., §§ 675u - 675w, Rz. 4; Herresthal in: Langenbucher/Bliesener/Spindler, Bankrechts-Kommentar, 3. Aufl., § 675v Rz. 70).

Die Kläger sind mithin zum Ersatz des durch die nicht autorisierten Zahlungsvorgänge entstandenen Schadens verpflichtet, insbesondere der dadurch an die unbekannten Täter überwiesenen Beträge (Sprau in: Grüneberg, BGB, 81. Aufl. § 675v Rz. 4) - hier 20.242 €. Damit übersteigt die Gegenforderung der Beklagten sogar die Hauptforderung der Kläger geringfügig.

(b) Ein gegebenenfalls anspruchsminderndes Mitverschulden der Beklagten nach § 254 BGB - was grundsätzlich zu berücksichtigen wäre (Herresthal in: Langenbucher/Bliesener/Spindler, Bankrechts-Kommentar, 3. Aufl., § 675v Rz. 71) - ist von Klageseite nicht schlüssig vorgetragen.

Alleine die Tatsache, dass die Beklagte im Schreiben vom 23.04.2021 nicht darauf hinwies, dass der Versand des Freischaltcodes nur auf Anforderung des Kunden erfolgt - was die Kläger übrigens bestreiten - vermag eine Mitverschuldensvorwurf nicht zu begründen. In Übereinstimmung mit dem Landgericht mag die Erteilung eines solchen Hinweises eventuell als wünschenswert erscheinen. Eine Rechtspflicht hierzu ist indessen nicht ersichtlich. Dazu kommt, dass ein derartiger Hinweis aller Voraussicht nach die Klägerin zu 1) auch nicht davon abgehalten hätte, den Freischaltcode auf der Fake-Website einzugeben. Haben sie doch selbst die anderen, oben ausgeführten Unstimmigkeiten im Schreiben vom 19.04.2021 und Differenzen 19 U 2204/22 - Seite 15 - zum Schreiben vom 23.04.2021 nicht misstrauisch werden lassen. Dass nun gerade ein solcher Hinweis daran etwas geändert hätte, ist nicht plausibel dargetan.

Das klägerische Verlangen eines Warnhinweises der Beklagten, dass sie Briefe „auf Buchstaben überprüfen sollen“, liegt ersichtlich neben der Sache.

Beim Online-Banking kann ein Mitverschulden der Bank auch aus der mangelnden Systemsicherheit resultieren. Sie muss ein technisch sicheres System nach dem jeweils aktuellen Stand der Technik bereitstellen (Herresthal in: Langenbucher/Bliesener/Spindler, Bankrechts-Kommentar, 3. Aufl., § 675v Rz. 72; Zetzsche in: Münchener Kommentar zum BGB, 8. Aufl., § 675v Rz. 58; Köbrich, VuR 2015, 9 [13]). Soweit die Kläger pauschal „eine Sicherheitslücke“ bei der Beklagten vermuten, ist dieser Vortrag völlig unsubstantiiert, ersichtlich „ins Blaue“ hinein gemacht und daher nicht berücksichtigungsfähig (vgl. hierzu bspw. BGH, Beschluss v. 16.03.2021, Az. 5 StR 35/21, Rz. 5 ff. m.w.N.).

(4) Ein Schadenersatzanspruch aus § 280 Abs. 1 BGB scheidet dagegen aus.

Ansprüche des Zahlungsdienstleisters gegen den Zahler im Falle von nicht autorisierten Zahlungsvorgängen sind nach § 675v Abs. 1, 3 BGB in seinem Anwendungsbereich abschließend geregelt; für eine Anwendung von § 280 Abs. 1 BGB ist daneben kein Raum (OLG Karlsruhe, Urteil v. 12.04.2022, Az.17 U 823/20, Rz. 112 ff.).

cc) Die übrigen Voraussetzungen einer Aufrechnungslage nach § 387 BGB sind ebenso gegeben wie kein Aufrechnungsausschluss, namentlich nach §§ 390 ff. BGB, greift.

2. Verzugszinsen und außergerichtliche Rechtsverfolgungskosten sind somit von der Beklagten demgemäß ebenso nicht zu ersetzen.

III.

Die Rechtssache hat keine grundsätzliche Bedeutung (§§ 522 Abs. 2 S. 1 Nr. 2, 543 Abs. 2 S. 1 Nr. 1 ZPO). Auch erfordern weder die Fortbildung des Rechts noch die Sicherung einer einheitlichen Rechtsprechung eine Entscheidung des Senats als Berufungsgericht oder die Zulassung der Revision (§§ 522 Abs. 2 S. 1 Nr. 3, 543 Abs. 2 S. 1 Nr. 2 ZPO). Wie dargestellt, liegen den vorstehenden Ausführungen die von der obergerichtlichen und höchstrichterlichen Rechtsprechung entwickelten Leitlinien zugrunde. Außerdem handelt es sich hier um eine Einzelfallentscheidung.

Dazu ist keine mündliche Verhandlung geboten (§ 522 Abs. 2 S. 1 Nr. 4 ZPO), da keine besonderen Gründe vorgetragen oder sonst ersichtlich sind, bei denen nur die Durchführung einer mündlichen Verhandlung der prozessualen Fairness entspräche.

IV.

Bei dieser Sachlage wird schon aus Kostengründen empfohlen, die Berufung zurückzunehmen, was eine Ermäßigung der Gebühren für das „Verfahren im Allgemeinen“ von 4,0 (Nr. 1220 GKG-KV) auf 2,0 (Nr. 1222 GKG-KV) mit sich brächte.

Zu diesen Hinweisen besteht Gelegenheit zur Stellungnahme binnen drei Wochen nach Zustellung dieses Beschlusses. Der Senat soll nach der gesetzlichen Regelung die Berufung unverzüglich durch Beschluss zurückweisen, falls sich Änderungen nicht ergeben. Mit einer einmaligen Verlängerung dieser Frist um maximal drei weitere Wochen ist daher nur bei Glaubhaftmachung konkreter, triftiger Gründe zu rechnen (vgl. OLG Rostock, Beschluss v. 27.05.2003, Az. 6 U 43/03, juris Rz. 7 ff.). Eine Fristverlängerung um insgesamt mehr als einen Monat ist daneben entsprechend § 520 Abs. 2 S. 3 ZPO nur mit Zustimmung des Gegners möglich.