I.

Die zulässige Klage ist teilweise begründet. Der Kläger hat gegen die Beklagte einen Anspruch auf Erstattung in tenorierter Höhe gem. § 675 u Satz 2 Hs. 1 BGB (in der bis 12. Januar 2018 gültigen Fassung, im Folgenden a.F.).

1. Zwischen den Parteien ist unstreitig, dass die streitgegenständlichen Geldautomatenverfügungen nicht durch den Kläger selbst und auch nicht mit dessen Zustimmung vorgenommen wurden, sondern durch unbekannte, nichtberechtigte Dritte. Somit steht unmittelbar fest, dass eine Autorisierung durch den Kläger unabhängig von den zwischen den Parteien streitigen Fragen über die Authentifizierung nach der Legaldefinition des § 675 j Abs. 1 S. 1 BGB a.F. nicht erfolgt ist und die Beklagte aufgrund des nicht autorisierten Zahlungsvorgangs den Betrag, mit dem sie das Konto des Klägers bereits belastet hat, verschuldensunabhängig zurückerstatten muss, § 675 u S. 2 Alt. 1 BGB a.F.. Der Erstattungsanspruch kann nach Wahl des Klägers auch wie hier unmittelbar als Zahlungsanspruch geltend gemacht werden, jedenfalls wenn die Kreditlinie des Kontos nicht ausgeschöpft ist (vgl. OLG Stuttgart, Urteil vom 8. Februar 2023 – 9 U 200/22 –, Rn. 19, juris). Zu Letzterem ist nichts vorgetragen.

2. Der Beklagten steht jedoch gegen den Kläger ein Schadensersatzanspruch in Höhe von 150,00 € zu gem. § 675 v Abs. 1 S. 1 BGB (a.F.). Dieser kann einem Anspruch des Zahlers auf Erstattung bzw. Gutschrift gemäß den Grundsätzen von Treu und Glauben unmittelbar entgegengehalten werden (BGH, Urteil vom 17. November 2020 – XI ZR 294/19 –, BGHZ 227, 343-365, Rn. 25).

a. Zwischen den Parteien ist ebenso unstreitig, dass die gegenständlichen Verfügungen am Geldautomaten unmittelbar, nämlich nur ca. 15 bzw. 16 Minuten nach dem Diebstahl der Zahlungskarte des Klägers und zeitlich vor der vom Kläger veranlassten Verlustanzeige nach § 675 l S. 2 BGB a.F. erfolgt sind.

b. Die Zahlungsvorgänge beruhen auch auf der Nutzung des dem Kläger gestohlenen Zahlungsinstruments. Soweit der Kläger dies durch den Vortrag, die Täter hätten eine Kartendublette hergestellt und verwendet, in Frage stellen möchte, greift dieser Einwand nicht durch. Zwar muss die missbräuchliche Verwendung dem Wortlaut des § 675 v Abs. 1 S. 1 BGB a.F. nach auch unter Einsatz des (originalen) Zahlungsinstruments erfolgt sein (vgl. etwa MüKoBGB/Zetzsche, 9. Aufl. 2023, BGB § 675 v Rn. 26) und die Beklagte ist nach den allgemeinen Grundsätzen hierfür beweispflichtig. Allerdings sprechen gute Gründe dafür, die Kausalität zwischen Kartenverlust und dem späteren Missbrauch widerleglich zu vermuten (vgl. MüKoBGB/Zetzsche a.a.O.), in der hier vorliegenden Konstellation des unmittelbar nach dem Diebstahl erfolgten Einsatzes spricht sogar der Beweis des ersten Anscheins für die Verwendung der gestohlenen Originalkarte: Die Verwendung erfolgte lediglich wenige Minuten nach dem Diebstahl und die Täter mussten dabei nach dem eigenen Vortrag des Klägers noch in einem „Affentempo“ den Geldausgabeautomaten anfahren, so dass für das Gericht nicht erklärlich ist, wie sie in dieser Zeit noch eine Dublette der Karte des Klägers hätten herstellen können. Der Kläger geht außerdem selbst davon aus, dass die Täter jedenfalls bei schneller Fahrweise in der zur Verfügung stehenden Zeitspanne den Geldausgabeautomaten erreichen konnten. Hinzu kommt, dass auch dem Gericht nicht einleuchtet, weshalb überhaupt eine Dublette hergestellt werden soll, wenn sich die Täter im Besitz der Originalkarte befinden. Nach der allgemeinen Lebenserfahrung ist daher davon auszugehen, dass unmittelbar nach dem Diebstahl der Originalkarte diese auch bei nachfolgenden Abhebevorgängen zu Einsatz gekommen ist, so dass die Grundsätze über den Beweis des ersten Anscheins bei typischen Geschehensabläufen anwendbar sind und eingreifen. Dem Kläger ist es – abgesehen von den schon reichlich konstruierten Vermutungen des Einsatzes einer Dublette – jedenfalls nicht gelungen nachzuweisen, dass eine solche zum Einsatz gekommen ist. Der Sachverständige … hat dies in seinen umfangreichen Ausführungen sogar nachvollziehbar und für das Gericht überzeugend u.a. deshalb ausgeschlossen, da die im SEPA-Raum auch bereits im Jahr 2015 ausschließlich eingesetzten Chipkarten nicht duplizierbar seien.

c. Der Anspruch nach § 675 v Abs. 1 S. 1 BGB a.F. ist verschuldensunabhängig, so dass auch die streitigen Fragen, ob die (korrekte) PIN des Klägers verwendet oder vom Kläger nicht sicher aufbewahrt wurde, insoweit keine Rolle spielen. Der Höchstbetrag in Höhe von 150,00 € fällt auch bei wie hier vorliegenden mehrfachen Verfügungen nur einmal an.

3. Ein weitergehender Anspruch der Beklagten auf Ersatz des gesamten Schadens gem. § 675 v Abs. 2 Alt. 2 Nr. 1, 2 BGB a.F. besteht nicht. Auch insoweit ist die Beklagte darlegungs- und beweispflichtig für vorsätzliche oder grob fahrlässige Pflichtverletzungen des Klägers, hier namentlich für die Tatsache, dass der Kläger die personalisierten Sicherheitsmerkmale seiner Karte (Geheimzahl, „PIN“) nicht hinreichend vor unbefugtem Zugriff geschützt hat. Hierbei gilt der Maßstab des § 675 w S. 3 Nr. 3, 4 BGB a.F., so dass allein die Aufzeichnung der Nutzung der Karte und Eingabe der PIN nicht notwendigerweise zum Nachweis einer Pflichtverletzung des Klägers ausreichend.

a. Entgegen der Ansicht der Beklagten greift der nach der Rechtsprechung des Bundesgerichtshofs mögliche Anscheinsbeweis, dass der Kläger die persönliche Geheimzahl (unverschlüsselt) auf seiner ec-Karte vermerkt oder sie zusammen mit dieser verwahrt hat (vgl. BGH, Urteil vom 5. Oktober 2004 – XI ZR 210/03 – , BGHZ 160, 308-321, Rn. 22 ff; BGH, Urteil vom 29. November 2011 – XI ZR 370/10 –, Rn. 16, juris), im vorliegenden Fall nicht ein. Die Annahme des Anscheinsbeweises setzt voraus, dass der Missbrauch unter Verwendung der Originalkarte und der zutreffenden Geheimzahl erfolgt ist (BGH, Urteil vom 29. November 2011 – XI ZR 370/10 –, Rn. 16, juris). Diese Umstände hat der Kläger bestritten, so dass die Beklagte hierfür den Beweis erbringen muss. Zwar kann nach den oben dargestellten Grundsätzen (I.2.b.) davon ausgegangen werden, dass die Originalkarte des Klägers zum Einsatz gekommen ist, der Beklagten ist jedoch der Nachweis nicht gelungen, dass die unbekannten Täter auch die korrekte Geheimzahl des Klägers in Erfahrung gebracht und zur Auszahlung verwendet haben.

aa) Die Beklagte beruft sich für die Tatsache, dass der Auszahlungsvorgang nach Eingabe der zutreffenden PIN angestoßen wurde, auf die Vorgangsprotokolle Anlagen K 20 und B 3. Dort ergebe sich aus den Kürzeln „I“ (Anlage K 20) bzw. „1“ (B 3, achte Stelle der Rubrik „POS Data“) dass bei beiden Auszahlungsvorgängen die zutreffende PIN eingegeben worden sei. Zwar hat der Sachverständige Dr. W. dies zunächst in seinem schriftlichen Gutachten vom 18.02.2021 (dort S. 3) bestätigt; im Rahmen der ergänzenden Feststellungen hat er auf weitere Nachfragen jedoch angegeben, sich bei dieser Beurteilung lediglich auf die vorgelegten Protokolle und die hierzu erfolgte Erläuterung der Fa. „First Data“ (Anlage B 2) verlassen und keine eigene Recherchen hierzu durchgeführt zu haben (mündliches Gutachten vom 09.09.2022, Bl. 282R d.A.). Was die von der Beklagten vorgelegten Codes i.E. bedeuten und welche Feststellungen sie beinhalten, etwa ob und wie die PIN tatsächlich überprüft und verifiziert wurde, konnte der Sachverständige nicht erläutern. Auch der Zeuge …, konnte dies nicht mit der für die gerichtliche Überzeugungsfindung erforderlichen Sicherheit angeben. Er konnte lediglich bestätigen, dass anhand des Wertes „1“ ersichtlich sei, dass die „Eingabe einer PIN“ erfolgt sei. Ob diese zutreffend sei, werde jedoch vom Rechenzentrum der Bank selbst geprüft, ob die Eingabe richtig oder falsch sei, sei nur im Rechenzentrum der Beklagten bekannt. Diese Angaben stimmen mit denjenigen der E-Mail der … vom 28.12.2015 (Anlage B 2) überein.

bb) Das Gericht hatte daher die Beklagte bereits mit Verfügung vom 21.02.2023 (Bl. 324 d.A.) darauf hingewiesen, dass weiterer Vortrag der Beklagten erforderlich sein dürfte, ob, wie und mit welchem Ergebnis die Prüfung der Authentifizierung im Rechenzentrum der Beklagten erfolgt ist und ggf. weitergehender Beweis im Hinblick auf die Verifizierung der Geheimzahl anzutreten ist. Die Beklagte hat hierauf jedoch nicht mehr ergänzend vorgetragen.

cc) Die Beklagte ist daher bereits hinsichtlich der Mindestanforderungen der Beweisführung gem. § 675 w S. 2 BGB a.F. beweisfällig geblieben, da für das Gericht nicht erkennbar ist, ob und mit Hilfe welchen Verfahrens sie die personalisierten Sicherheitsmerkmale des Zahlungsinstruments geprüft hat und zu welchem Ergebnis diese Prüfung geführt hat.

b. Die verschlüsselte Aufbewahrung der PIN des Klägers in dessen Portemonnaie gemeinsam mit der Zahlungskarte wertet das Gericht nicht als grob fahrlässige Verletzung der Pflichten des § 675 l S. 1 BGB a.F.

aa) Grob fahrlässig handelt nur, wer die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt, einfachste und nahe liegende Überlegungen nicht anstellt und in der konkreten Situation das nicht beachtet, was sich jedem aufdrängt. Diese Maßstäbe gelten auch im Rahmen des § 675 l S. 1 BGB a.F. Im Gegensatz zur leichten Fahrlässigkeit sind hier auch subjektive, in der Person des Handelnden begründete Faktoren zu berücksichtigen (MüKoBGB/Zetzsche, 9. Aufl. 2023, BGB § 675 v Rn. 42, m.w.N.). Als grob fahrlässig wird daher in der Regel gewertet, wenn der Zahler die persönliche Geheimzahl gemeinsam mit der Karte und nicht räumlich von dieser getrennt mit sich führt. Erlaubt ist es dem Zahler jedoch nach ganz h.M., die PIN verschlüsselt auch gemeinsam mit der Karte vorzuhalten, soweit die Verschlüsselung ausreichend komplex ist, um eine Kenntniserlangung Dritter nach menschlichem Ermessen auszuschließen (vgl. etwa BeckOGK/Hofmann, 1.9.2022, BGB § 675 l Rn. 59 ff. m.w.N. und mit ausdrücklicher Bezugnahme auf Codierung unter Verwendung von Primzahlen).

bb) Nach diesen Maßstäben war die verschlüsselte Vorhaltung der PIN durch den Kläger hinreichend sicher und verstößt noch nicht einmal gegen einfache Sorgfaltspflichten. Der Kläger hat seine Vorgehensweise in seiner persönlichen Anhörung durch das Gericht nachvollziehbar geschildert. Er hat eine komplexe, individuelle Verschlüsselungsmethode entwickelt, die – jedenfalls in Unkenntnis der Methode – auch dem Gericht als ausreichend sicher erscheint. Auch dem Sachverständigen ist es eigenen Angaben zufolge (Gutachten vom 18.02.2021, dort S. 4), obwohl er Kenntnis von der Rechenweise des Klägers hatte, zunächst nicht gelungen, die Zahlenfolge ..... zu dechiffrieren und hieraus die PIN rückzuerrechnen. Der Kläger hatte die Zahlenfolge zudem zusammenhanglos auf einem Zettel mit Telefonnummern notiert ohne zugehörigen Hinweis, dass es sich um eine PIN handelt. Wie den Tätern innerhalb von nur wenigen Minuten eine Decodierung hätte gelingen können ist selbst unter Zugrundelegung des Vortrags des Klägers, es habe sich um organisierte Bandenkriminalität gehandelt, für das Gericht nicht nachzuvollziehen.

c. Zu weiteren möglichen Sorgfaltspflichtverletzungen des Klägers hat die Beklagte bereits nicht hinreichend vorgetragen. Sie mutmaßt zwar offenbar, dass der Kläger – oder dessen Ehefrau – die PIN doch unverschlüsselt gemeinsam mit der Karte verwahrt hat. Konkreter Vortrag hierzu ist jedoch eben sowenig erfolgt wie ein Beweisangebot. Das Gericht hält vielmehr nach der persönlichen Anhörung des Klägers eine solche Pflichtverletzung für ausgeschlossen. Der Kläger hätte sich sicherlich nicht die Mühe gemacht, sich ein Verschlüsselungssystem auszudenken und dieses anzuwenden, wenn er zugleich die PIN auch unverschlüsselt mit sich führt.

4. Insgesamt beläuft sich der Erstattungsanspruch des Klägers daher auf 861,00 €. Der Anspruch ist gem. §§ 286 Abs. 2 Nr. 3, 288 Abs. 1 BGB ab dem tenorierten Zeitpunkt zu verzinsen. Der Freistellungsanspruch bzgl. der vorgerichtlichen Rechtsanwaltskosten folgt aus §§ 286, 280 Abs. 2 BGB. Die Einschaltung eines Rechtsanwalts zur außergerichtlichen Geltendmachung der Forderung war angesichts der Ablehnungshaltung der Beklagten erforderlich und zweckmäßig, die hierfür angefallenen Kosten stellen eine verzugsbedingte Schadensposition dar. Der Höhe nach berechnet sich der Anspruch aus einer 1,3 Geschäftsgebühr brutto aus dem tatsächlich zutreffenden Gegenstandswert von 861,00 €.

II.

Die Kostenentscheidung ergibt sich aus § 92 Abs. 1 ZPO, die Entscheidung über die vorläufige Vollstreckbarkeit aus §§ 708, 711 ZPO.

Die Entscheidung über den Streitwert beruht auf § 3 ZPO, § 63 Abs. 2 S. 1 GKG.