Anforderungen an die Sorgfaltspflicht des Zahlers und die starke Kundenauthentifizierung im ZahlungsverkehrLeitsätze 1. Zur grob fahrlässigen Verletzung einer Pflicht durch den Zahler i.S.v. § 675v Abs. 3 Nr. 2 Buchst. a BGB.
2. Ist der Schaden durch eine Überweisung eingetreten und hat der Zahlungsdienstleister für das Auslösen dieser Überweisung eine starke Kundenauthentifizierung gemäß § 1 Abs. 24 ZAG verlangt, ist sein Schadensersatzanspruch aus § 675v Abs. 3 BGB gegen den Zahler nicht gemäß § 675v Abs. 4 Satz 1 Nr. 1 BGB ausgeschlossen, unabhängig davon, ob der Zahlungsdienstleister für die Anmeldung im Online-Banking eine starke Kundenauthentifizierung verlangt hat. - A.
Problemstellung Beruhen nicht autorisierte Zahlungsvorgänge (vgl. § 675j BGB) auf der Nutzung eines verloren gegangenen, gestohlenen oder sonst abhandengekommenen Zahlungsinstruments oder auf der sonstigen missbräuchlichen Verwendung eines Zahlungsinstruments, kann der Zahler von seinem Zahlungsdienstleister gemäß § 675u Satz 2 BGB verlangen, dass das Zahlungskonto auf den Stand gebracht wird, auf dem es sich ohne die Belastungsbuchung wegen des nicht autorisierten Zahlungsvorgangs befunden hätte. Dagegen haftet der Zahler im Regelfall nur bis zu einem Betrag von 50 Euro auf den Ersatz eines dem Zahlungsdienstleister hierdurch entstandenen Schadens (§ 675v Abs. 1, 2 BGB), so dass ihm der Zahlungsdienstleister einen entsprechenden Gegenanspruch nur in dieser Höhe im Wege des dolo-agit-Einwands aus § 242 BGB entgegenhalten kann (vgl. Rn. 23 des Besprechungsurteils; BGH, Urt. v. 05.03.2024 - XI ZR 107/22 Rn. 50 - BGHZ 240, 23; BGH, Urt. v. 17.11.2020 - XI ZR 294/19 Rn. 23 ff. - BGHZ 227, 343). Etwas anderes gilt jedoch gemäß § 675v Abs. 3 Nr. 2 BGB, wenn der Zahler den Schaden vorsätzlich oder grob fahrlässig herbeigeführt hat, indem er eine oder mehrere seiner Sorgfaltspflichten nach § 675l BGB oder nach den vertraglich getroffenen Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments in Bezug auf den Schutz der personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff verletzt hat. In diesem Fall haftet der Zahler auf vollen Schadensersatz, so dass sein Anspruch aus § 675u Satz 2 BGB wirtschaftlich betrachtet in der Regel vollständig aufgezehrt wird. Der Schadensersatzanspruch der Bank nach § 675v Abs. 3 Nr. 2 BGB ist jedoch wiederum seinerseits gemäß § 675v Abs. 4 Satz 1 Nr. 1 BGB ausgeschlossen, wenn „der Zahlungsdienstleister des Zahlers eine starke Kundenauthentifizierung im Sinne des § 1 Abs. 24 ZAG nicht verlangt“. Im Streitfall standen in diesem Zusammenhang drei Themenkomplexe in Rede: Erstens ging es um die Frage, ob das Berufungsgericht der Klägerin, die einem durchaus trickreichen Telefonbetrug zum Opfer gefallen war und so den Zugriff Dritter auf ihr Onlinebanking ermöglicht hatte, zu Recht grobe Fahrlässigkeit i.S.v. § 675v Abs. 3 Nr. 2 Buchst. a BGB attestiert hat; dies hat der BGH bejaht. Zweitens ging es um die Frage, ob der daraus resultierende Schadensersatzanspruch der Zahlungsdienstleisterin – einer Sparkasse – nach § 675v Abs. 4 Satz 1 Nr. 1 BGB ausgeschlossen ist, weil die Sparkasse eine starke Kundenauthentifizierung i.S.v. § 1 Abs. 24 ZAG nur für das Auslösen des Überweisungsvorgangs, nicht aber für den Login in das Onlinebanking verlangt hatte. Da der BGH dies verneint hat, ging es schließlich noch um die Frage, ob der letztgenannte Umstand der Sparkasse im Streitfall zumindest zum Mitverschulden gereichen konnte (§ 254 Abs. 1 BGB).
- B.
Inhalt und Gegenstand der Entscheidung I. Die Klägerin und der Kläger führten bereits seit dem Jahr 2014 ein Gemeinschaftsgirokonto im Onlinebanking bei der beklagten Sparkasse. Für die Anmeldung im Onlinebanking waren ein persönlicher Anmeldename und eine PIN erforderlich. Für die Autorisierung von Zahlungsaufträgen war das chipTan-Verfahren vorgesehen, bei dem mittels eines TAN-Generators dynamische TANs erzeugt werden. Die Klägerin hatte in der Vergangenheit ausschließlich das optische chipTan-Verfahren genutzt, bei dem auf dem Bildschirm eine animierte „Flickergrafik“ angezeigt wird. An einem Samstag im Juli 2022 versuchte die Klägerin mehrfach vergeblich, ihre PIN für den Login im Onlinebanking zu ändern. Als die Klägerin am Abend des gleichen Tages nochmals versuchte, die PIN zu ändern, wurde sie in einem Pop-Up-Fenster ihres Browsers dazu aufgefordert, eine neue „Sicherheitssoftware“ zu installieren; die Klägerin behauptet, dieses Fenster sofort wieder geschlossen zu haben. Kurze Zeit später erhielt sie einen Telefonanruf einer angeblichen „Mitarbeiterin“ der Beklagten, wobei auf dem Display aufgrund von sog. Caller-ID-Spoofing zugleich fälschlich eine Telefonnummer der Beklagten angezeigt wurde. Die angebliche „Mitarbeiterin“ legitimierte sich gegenüber der Klägerin, indem sie ihr den Namen der für sie zuständigen Sachbearbeiterin und die letzten drei Buchungsvorgänge auf dem Gemeinschaftsgirokonto nannte. Sie erklärte der Klägerin, es müsse ein neues Sicherheitsprogramm für das Onlinebanking installiert werden, wofür sich die Klägerin jedoch identifizieren müsse, indem sie zunächst Zahlenfolgen in den TAN-Generator eingebe und dann im Gegenzug der „Mitarbeiterin“ eine generierte TAN durchgebe. In Wahrheit sollte auf diese Weise auf dem Gemeinschaftsgirokonto zunächst das Überweisungslimit erhöht und sodann eine Überweisung durchgeführt und für diese Vorgänge eine Autorisierung im manuellen chipTAN-Verfahren erreicht werden; dies erkannte die Klägerin nicht, weil sie dieses Verfahren noch nie genutzt hatte. Die Klägerin vertippte sich während des Vorgangs mehrfach. Schließlich brach das Gespräch ab, bevor die Überweisung autorisiert wurde. Die „Mitarbeiterin“ meldete sich in der Folge erneut und man vereinbarte, am Folgetag – einem Sonntag – um 18 Uhr erneut die „Installation“ des „Sicherheitsprogramms“ zu versuchen. Zum vereinbarten Termin wurde der Vorgang wiederholt, dieses Mal jedoch „erfolgreich“. In der Folge wurde von dem Gemeinschaftsgirokonto aus eine Echtzeit-Überweisung i.H.v. 35.555 Euro zugunsten eines unbekannten Kontos bei einer anderen Bank freigeschaltet und ausgeführt. II. Die auf § 675u Satz 2 BGB gestützte Klage hatte vor dem Landgericht im Wesentlichen Erfolg (LG Halle, Urt. v. 04.01.2024 - 4 O 187/23). Einen gegenläufigen Schadensersatzanspruch der Sparkasse hat das Landgericht der beklagten Sparkasse nur im Umfang von 50 Euro gemäß § 675v Abs. 1 BGB zugesprochen. Einen weiter gehenden Schadensersatzanspruch aus § 675v Abs. 3 Nr. 2 BGB hat es dagegen verneint, weil der Klägerin nicht der Vorwurf grober Fahrlässigkeit gemacht werden könne (LG Halle, Urt. v. 04.01.2024 - 4 O 187/23 Rn. 20 ff., 32). Maßgeblich war dabei für das Landgericht zum einen, dass die Beklagte in der Vergangenheit während eines Aufenthalts der Klägerin im Ausland bereits einen telefonischen Beratungszugang in Fragen des Onlinebanking eröffnet hatte (LG Halle, Urt. v. 04.01.2024 - 4 O 187/23 Rn. 25 f.), und zum anderen „der Konnex aus der Professionalität des Vorgehens der Dritten einerseits […] und dem unmittelbaren Sachzusammenhang des Telefonbetrugs mit selbst initiierten Modifikationsversuchen der PIN im Onlinebanking andererseits“. Der gesamte Geschehensablauf habe der Klägerin nachhaltig den Zweck der TAN-Generierung verschleiert und sich ihr auch im Lichte der zahlreichen von der „Mitarbeiterin“ genannten Legitimationskennzeichen nicht als besonders auffällig aufdrängen müssen (LG Halle, Urt. v. 04.01.2024 - 4 O 187/23 Rn. 29, vgl. auch Rn. 27). III. Dagegen hat das OLG Naumburg die Klage auf die Berufung der Beklagten vollumfänglich abgewiesen, weil dem Anspruch der Klägerin aus § 675u Satz 2 BGB in gleicher Höhe ein Schadensersatzanspruch der Beklagten aus § 675v Abs. 3 Nr. 2 BGB entgegenstehe; das Verhalten der Klägerin sei als grob fahrlässig einzuordnen (OLG Naumburg, Urt. v. 22.05.2024 - 5 U 11/24 Rn. 35, 47 - ZIP 2025, 23; Rn. 11 f. des Besprechungsurteils; zust. Schulteis, ITRB 2025, 152, 153). Im Ausgangspunkt habe sie stutzig machen müssen, dass sich in ihrem Browser unvermittelt ein Pop-Up-Fenster geöffnet habe, das sie zur Eingabe persönlicher Daten aufgefordert habe. Umso mehr habe es sie erstaunen müssen, „dass sie unmittelbar darauf und erstmals nach mehreren Jahren Teilnahme am Internet-Banking von einer vermeintlichen Mitarbeiterin der Beklagten zur Identifizierung für ein neues Sicherheitsprogramm aufgerufen wurde“ (OLG Naumburg, Urt. v. 22.05.2024 - 5 U 11/24 Rn. 54). Zwar möge sie nicht gewusst haben, dass Caller-ID-Spoofing technisch möglich ist, zumindest die Unüblichkeit von Anrufen eines Bankmitarbeiters am Wochenende sei ihr aber bewusst gewesen, und sie habe auch merken müssen, wie ungewöhnlich das Verlangen nach einer sofortigen Installation des „neuen Sicherheitsprogramms“ war (OLG Naumburg, Urt. v. 22.05.2024 - 5 U 11/24 Rn. 54). Spätestens aber habe die Klägerin alarmiert sein müssen, als sie zur Nutzung ihres TAN-Generators und zur Durchgabe einer TAN aufgefordert wurde; es habe sich ihr „aufdrängen müssen, dass sie den TAN-Generator wie bisher auch dieses Mal zur Erzeugung von TAN benutzt, welche man zur Bestätigung von Zahlungsvorgängen im Onlinebanking benötigt“, zumal sie auf dem TAN-Generator auch habe sehen können, „dass sie jeweils eine Empfänger-IBAN und einen Überweisungsbetrag eingibt“ (OLG Naumburg, Urt. v. 22.05.2024 - 5 U 11/24 Rn. 56). Schlichtweg unverständlich sei aber, „dass die Klägerin […] das Geschehen nicht einmal im Nachhinein reflektierte und sich am Folgetag auf ein erneutes Telefonat einließ und weitere zwei TAN generierte und weitergab“ (OLG Naumburg, Urt. v. 22.05.2024 - 5 U 11/24 Rn. 58). Der hiernach bestehende Schadensersatzanspruch der Beklagten aus § 675v Abs. 3 Nr. 2 BGB sei auch nicht nach § 675v Abs. 4 Satz 1 Nr. 1 BGB ausgeschlossen. Zum einen sei die Norm akzessorisch zum Aufsichtsrecht dahin gehend auszulegen, dass eine starke Kundenauthentifizierung i.S.v. § 1 Abs. 24 ZAG nur in dem Rahmen verlangt werden müsse, in dem nach § 55 ZAG eine Pflicht hierzu bestehe; es liege aber nahe, dass hier keine entsprechende Pflicht bestanden habe (OLG Naumburg, Urt. v. 22.05.2024 - 5 U 11/24 Rn. 62 bis 70). Jedenfalls aber ergebe sich aus dem Gesamtzusammenhang des § 675v BGB, dass eine starke Kundenauthentifizierung nur bei dem konkreten Zahlungsvorgang, nicht aber schon für den Login ins Onlinebanking erforderlich sei (OLG Naumburg, Urt. v. 22.05.2024 - 5 U 11/24 Rn. 71). Schließlich müsse sich die Beklagte, soweit sie für den Login ins Onlinebanking keine starke Kundenauthentifizierung verlangt habe, auch kein anspruchsminderndes Mitverschulden nach § 254 BGB anrechnen lassen. Mangelnde Systemsicherheit könne zwar prinzipiell ein Mitverschulden begründen, im Streitfall trete der – unterstellte – Verursachungsbeitrag aber hinter dem maßgeblichen und schwerwiegenden Verursachungsbeitrag der Klägerin zurück (OLG Naumburg, Urt. v. 22.05.2024 - 5 U 11/24 Rn. 80). IV. Die vom erkennenden Senat mutmaßlich wegen grundsätzlicher Bedeutung bzw. zur Fortbildung des Rechts (§ 543 Abs. 2 Nr. 1, Nr. 2 Fall 1 ZPO) zugelassene Revision der Klägerin blieb im Ergebnis ohne Erfolg (zur Entscheidungserheblichkeit der Grundsatzfrage in der vorliegenden Konstellation einer erfolglosen Revision vgl. Krüger in: MünchKomm ZPO, 7. Aufl. 2025, § 543 Rn. 27). Soweit das Berufungsgericht der Klägerin als Ergebnis seiner tatrichterlichen Würdigung grobe Fahrlässigkeit i.S.v. § 675v Abs. 3 Nr. 2 BGB attestiert habe, sei dies gemessen an dem auf eine Verkennung des Begriffs der groben Fahrlässigkeit und die Ausschöpfung aller für die Beurteilung des Grades der Fahrlässigkeit wesentlichen Sachverhaltsumstände beschränkten revisionsrechtlichen Prüfungsmaßstab (st. Rspr., Rn. 27 des Besprechungsurteils; BGH, Beschl. v. 29.09.2022 - IX ZB 48/21 Rn. 17 - WM 2022, 2445; BGH, Beschl. v. 15.12.2020 - XI ZB 24/16 Rn. 103 - BGHZ 228, 133; BGH, Urt. v. 26.07.2016 - VI ZR 322/15 Rn. 18 f. - NJW-RR 2017, 146, alle m.w.N.) nicht zu beanstanden (Rn. 26 des Besprechungsurteils). Insbesondere habe das Berufungsgericht nicht übersehen, dass es sich bei dem Vorgang um ein Augenblicksversagen gehandelt habe. Ein Augenblicksversagen komme nur in Betracht, wenn der Handelnde für kurze Zeit die im Verkehr erforderliche Sorgfalt außer Acht lässt. Im Streitfall sei die entscheidende Sorgfaltspflichtverletzung jedoch in der Weitergabe der TANs im Rahmen des zweiten Telefonats zu sehen, das erst nach entsprechender Terminvereinbarung am Vortag stattgefunden habe. Die Klägerin habe daher fast einen ganzen Tag Zeit gehabt, über die ungewöhnlichen Umstände des ersten Telefonats zu reflektieren (Rn. 28 bis 30 des Besprechungsurteils). Darüber hinaus seien weder die Unerfahrenheit der Klägerin mit dem manuellen chipTAN-Verfahren noch ihre Unkenntnis dessen, dass Caller-ID-Spoofing technisch möglich ist, unvereinbar mit dem Vorwurf grober Fahrlässigkeit. Das Berufungsgericht habe beide Aspekte in seiner Gesamtwürdigung berücksichtigt, demgegenüber aber rechtsfehlerfrei dem Umstand entscheidendes Gewicht beigemessen, dass sowohl in den Medien als auch von der Beklagten selbst auf ihrer Webseite und im Onlinebanking vor betrügerischen Telefonanrufen gewarnt werde (Rn. 31 f. des Besprechungsurteils). Der Schadensersatzanspruch der Beklagten sei auch nicht deshalb gemäß § 675v Abs. 4 Satz 1 Nr. 1 BGB ausgeschlossen, weil sie eine starke Kundenauthentifizierung i.S.v. § 1 Abs. 24 ZAG nur für den konkreten Überweisungsvorgang, nicht aber für den Login im Onlinebanking verlangt habe (Rn. 33 f. des Besprechungsurteils). Aus dem Regelungszusammenhang von § 675v Abs. 4 Satz 1 BGB mit § 675v Abs. 1 und 3 BGB folge, dass die Regelung nur die Haftung des Zahlers im Fall eines nicht autorisierten Zahlungsvorgangs betreffe. Daher sei allein maßgeblich, „ob für das Auslösen des in Rede stehenden Zahlungsvorgangs eine starke Kundenauthentifizierung verlangt worden ist“ (Rn. 35 des Besprechungsurteils). Dass demgegenüber die Haftung des Zahlers nach § 675v Abs. 3 BGB auch an eine Pflichtverletzung anknüpfen könne, die nicht unmittelbar mit dem Zahlungsvorgang in Zusammenhang steht, ändere hieran nichts. Mangelnde Systemsicherheit im Vorfeld des eigentlichen Zahlungsvorgangs, auch in Form des Fehlens einer starken Kundenauthentifizierung für den Login im Onlinebanking, könne – wie das Berufungsgericht richtig erkannt habe – über § 254 Abs. 1 BGB erfasst werden (Rn. 36 des Besprechungsurteils). Das Berufungsgericht sei jedoch im Streitfall – bei von ihm zugunsten der Klägerin unterstellter Kausalität eines entsprechenden Sicherheitsmangels – zu einem völligen Überwiegen des Pflichtverstoßes der Klägerin und zu einem Ausschluss eines relevanten Mitverschuldens der Beklagten nach § 254 Abs. 1 BGB gekommen. Dies sei als Ergebnis der tatrichterlichen Würdigung gemessen an dem auch hier eingeschränkten revisionsgerichtlichen Prüfungsmaßstab, der nur eine Überprüfung auf Lücken in der Sachverhaltswürdigung sowie auf einen Verstoß gegen Denkgesetze und Erfahrungssätze zulässt (Rn. 38 des Besprechungsurteils; BGH, Urt. v. 17.11.2020 - XI ZR 294/19 Rn. 49 - BGHZ 227, 343; BGH, Urt. v. 15.03.2016 - XI ZR 122/14 Rn. 19 - WM 2016, 780; BGH, Urt. v. 15.07.2014 - XI ZR 418/13 Rn. 28 - WM 2014, 1670; BGH, Urt. v. 08.10.1991 - XI ZR 207/90 Rn. 25 - WM 1991, 1912), nicht zu beanstanden (Rn. 37, 39 des Besprechungsurteils).
- C.
Kontext der Entscheidung I. Mit der Entscheidung konkretisiert der Senat zwar einerseits den Sorgfaltsmaßstab für die grobe Fahrlässigkeit i.S.v. § 675v Abs. 3 Nr. 2 BGB, er zeigt aber andererseits zugleich die immanenten Grenzen der revisionsgerichtlichen Nachprüfbarkeit auf. Dass man die Frage der groben Fahrlässigkeit tatrichterlich im Ergebnis durchaus auch anders hätte bewerten können, zeigt die landgerichtliche Entscheidung (ähnlich wie das Berufungsurteil aber z.B. OLG Bremen, Beschl. v. 30.08.2024 - 1 U 32/24 Rn. 26 ff. - WM 2024, 2235; OLG Bremen, Beschl. v. 15.04.2024 - 1 U 47/23 Rn. 20 ff. - WM 2024, 1508; OLG München, Beschl. v. 04.09.2023 - 19 U 1508/23 e Rn. 67 ff. - BKR 2023, 839). Zwar wird man im Regelfall in der Tat schon die telefonische Weitergabe der TAN als solches als so schwerwiegenden Sorgfaltsverstoß ansehen müssen, dass sie den Vorwurf grober Fahrlässigkeit rechtfertigt (zutr. Linardatos, BKR 2025, 848, 849). Die Prämisse, dass es schlicht keine Situation gibt, in der ein Bankkunde eine TAN vernünftigerweise an Dritte weitergibt, gerät aber doch ins Schwanken, wenn dem Bankkunden aus seiner – freilich: täuschungsbedingten – Sicht von der Bank selbst und damit von vertrauenswürdiger Stelle suggeriert wird, dies sei eben doch nicht der Fall. Entsprechendes gilt für die Nutzung des TAN-Generators im manuellen chipTAN-Verfahren: Es mag zwar objektiv so sein, dass der TAN-Generator nur zur Erzeugung von TANs und zur Freischaltung von Zahlungsvorgängen genutzt wird, genau das Gegenteil wurde der Klägerin im Streitfall jedoch durch die „Mitarbeiterin“ suggeriert. In den Vordergrund rückt damit das Caller-ID-Spoofing, das hier – zusammen mit den weiteren „Legitimationskennzeichen“ – maßgeblich zur Vertrauensbildung bei der Klägerin beigetragen zu haben scheint. Dass der Senat die Gesamtwürdigung des Berufungsgerichts auch insoweit nicht beanstandet (Rn. 32 des Besprechungsurteils), überzeugt aus revisionsrechtlicher Perspektive, insbesondere vor dem Hintergrund der weiteren verdächtigen Indizien im Anlassfall (Pop-Up-Fenster, unmittelbar nachfolgender Anruf, Zeitpunkt des Anrufs), die in ihrer Gesamtheit durchaus gewichtige Verdachtsmomente abgaben und die das Berufungsgericht auch allesamt gewürdigt hat. Die Senatsentscheidung sollte aber nicht dahin verallgemeinert werden, dass Bankkunden sich unter keinen Umständen vom Vorwurf grober Fahrlässigkeit mit dem Hinweis entlasten könnten, ihnen sei nicht bekannt gewesen, dass Caller-ID-Spoofing technisch möglich ist und dass sie einer auf ihrem Telefon-Display angezeigten Rufnummer daher nicht „vertrauen“ können. Gerade mit Blick z.B. auf ältere Menschen, die Festnetz-Telefonnummern zu Identifizierungszwecken häufig noch ein hohes Vertrauen entgegenbringen und die mit dem heute technisch „Machbaren“ vielfach nicht mehr vertraut sind, würde dies den Bereich der – wohlgemerkt: groben – Fahrlässigkeit überspannen (a.A. OLG Frankfurt, Urt. v. 06.12.2023 - 3 U 3/23 Rn. 90 - WM 2024, 690, Schmalenbach in: BeckOK BGB, 75. Edition, Stand 01.08.2025, § 675v Rn. 13j, die annehmen, die Möglichkeit des Caller-ID-Spoofing müsse angesichts zahlreicher Presseberichte allgemein bekannt sein). Letztlich bleibt dies aber eine Frage der tatrichterlichen Würdigung des Einzelfalls. Bemerkenswert sind auch die Ausführungen des Senats zum Augenblicksversagen (Rn. 28 bis 30 des Besprechungsurteils). Insoweit verweist der Senat zu Recht auf die fast eintägige Zeitspanne zwischen den beiden Telefonaten, die ausreichend Zeit zur Reflektion des Geschehenen ließ. Dass die Klägerin diese Zeitspanne im Urlaubsstress (vgl. Rn. 7 des Besprechungsurteils) aus menschlich nachvollziehbaren Gründen nicht zur Reflektion genutzt haben mag, kann sie gegenüber der Beklagten nicht entlasten. Hinzu kommt, dass die Kategorie des „Augenblicksversagens“ typischerweise Handlungsabläufe betrifft, die routinemäßig vorgenommen werden (vgl. BGH, Urt. v. 10.05.2011 - VI ZR 196/10 Rn. 12 - NJW-RR 2011, 1055; BGH, Urt. v. 08.02.1989 - IVa ZR 57/88 Rn. 18 - NJW 1989, 1354). Davon kann im Streitfall gerade keine Rede sein, war der Vorgang doch auch aus Sicht der Klägerin außergewöhnlich. Daher wäre der Fall insoweit grundsätzlich auch dann nicht anders zu bewerten gewesen, wenn der Taterfolg schon in dem ersten Telefonat eingetreten wäre. Indem der Senat auf mögliche Überrumpelungseffekte als Ursache für ein Augenblicksversagen hinweist (Rn. 30 des Besprechungsurteils), lässt er aber zumindest einen gewissen Spielraum für eine abweichende Bewertung künftiger Fälle, sollte eine solche Überrumpelung tatrichterlich festgestellt sein (darauf hinweisend auch Kropf, WuB 2025, 381, 386). II. § 675v Abs. 4 Satz 1 Nr. 1 BGB legt der Senat im Einklang mit dem Berufungsgericht (OLG Naumburg, Urt. v. 22.05.2024 - 5 U 11/24 Rn. 60 ff.; vgl. auch OLG Naumburg, Urt. v. 30.10.2024 - 5 U 35/24 Rn. 59 ff. - NJW-RR 2025, 561) und der h.M. (OLG Bremen, Beschl. v. 15.04.2024 - 1 U 47/23 Rn. 32; OLG Frankfurt, Beschl. v. 22.09.2023 - 3 U 84/23 Rn. 20; LG Nürnberg-Fürth, Urt. v. 29.06.2023 - 6 O 5996/22 Rn. 37 ff. - ZIP 2024, 744; Linardatos in: MünchKomm HGB, 5. Aufl. 2024, Band 6, Bankvertragsrecht, Rn. G 161 und Rn. K 224; Maihold in: Ellenberger/Bunte, Bankrechts-Handbuch, 6. Aufl. 2022, § 33 Rn. 386; a.A. OLG Brandenburg, Urt. v. 15.01.2025 - 4 U 32/24 Rn. 55; LG Berlin II, Urt. v. 28.08.2024 - 37 O 120/22 Rn. 23 bis 25 - WM 2025, 1292; zum Meinungsspektrum auch Schulte am Hülse/Steinsdörfer, VuR 2025, 172) zu Recht dahin gehend aus, dass sich das Erfordernis einer starken Kundenauthentifizierung i.S.v. § 1 Abs. 24 ZAG nur auf den konkreten Zahlungsvorgang bezieht (Rn. 35 f. des Besprechungsurteils; zust. auch Linardatos, BKR 2025, 848, 849 f.; Kropf, WuB 2025, 381, 386). Neben dem vom Senat angeführten systematischen Zusammenhang mit § 675v Abs. 1 und 3 BGB spricht dafür auch, dass auch § 675v Abs. 4 Satz 1 Nr. 2, Satz 3 BGB ersichtlich (nur) auf einen konkreten Zahlungsvorgang bezogen ist. Das deckt sich mit der Regelungsstruktur von § 55 Abs. 1 ZAG, der die Pflicht zum Verlangen einer starken Kundenauthentifizierung ebenfalls auf konkrete Einzelvorgänge und nicht auf das gesamte Geschehen innerhalb einer Onlinebankingsitzung bezieht (i.d.S. auch Linardatos, BKR 2025, 848, 849 f.). „Vorfeldverstößen“ der Bank, die andere Einzelvorgänge betreffen, die sich auf den schädigenden Vorgang mittelbar begünstigend ausgewirkt haben, kann dagegen über § 254 Abs. 1 BGB Rechnung getragen werden (Rn. 36 des Besprechungsurteils; vgl. auch OLG Bremen, Beschl. v. 15.04.2024 - 1 U 47/23 Rn. 35). Das dürfte häufig auch zu sachgerechteren Ergebnissen führen, weil sich etwa in Fällen wie dem hiesigen, in dem eine Vielzahl von Faktoren mit in die Täuschung hineingespielt haben, später nicht wird abschließend klären lassen, ob bestimmte Faktoren letztlich (allein) ausschlaggebend waren oder ob vielmehr der täuschende Gesamteindruck entscheidend war. Das mit einem gänzlichen Haftungsausschluss verbundene „Alles-oder-nichts“-Prinzip könnte sich daher im Einzelfall als zu starr erweisen (so schon Linardatos, BKR 2025, 848, 849 f.). Auch, dass der Senat die tatrichterliche Würdigung zu § 254 Abs. 1 BGB nicht beanstandet hat, überzeugt aus revisionsgerichtlicher Perspektive. Die Würdigung ist aber, wie der Senat selbst klarstellt (Rn. 36 des Besprechungsurteils), nicht dahin zu verallgemeinern, dass mangelnde Systemsicherheit im Vorfeld eines Zahlungsvorgangs schlechthin nicht mitverschuldensbegründend wirken könnte. Da in den hier in Rede stehenden Fällen aber stets zugleich Vorsatz oder grobe Fahrlässigkeit auf Kundenseite vorliegt (vgl. § 675v Abs. 3 BGB), dürfe das mitwirkende Verschulden des Zahlungsdienstleisters vielfach gänzlich hinter dem erheblichen Verschulden des Zahlers zurücktreten (vgl. BGH, Urt. v. 27.07.2021 - II ZR 164/20 Rn. 47 - NJW 2021, 3330; BGH, Urt. v. 20.06.2013 - III ZR 326/12 Rn. 27 - MDR 2013, 970).
- D.
Auswirkungen für die Praxis Mit der Entscheidung klärt der Senat in erster Linie die in der obergerichtlichen Rechtsprechung umstrittene Frage nach dem Bezugspunkt des Erfordernisses einer starken Kundenauthentifizierung i.S.v. § 1 Abs. 24 ZAG nach § 675v Abs. 4 Satz 1 Nr. 1 BGB. Die Ausführungen des Senats zu § 675v Abs. 3 Nr. 2 BGB und zu § 254 Abs. 1 BGB sind dagegen angesichts des beschränkten revisionsgerichtlichen Prüfungsmaßstabs naturgemäß nur eingeschränkt verallgemeinerungsfähig; hier kommt es auf den Einzelfall an, ob ein angegriffenes Berufungsurteil insbesondere dem Gebot lückenloser und widerspruchsfreier Sachverhaltsausschöpfung (vgl. Rn. 27, 38 des Besprechungsurteils) gerecht wird. Unabhängig davon kann man die Entscheidung aber als grundsätzliche Bestätigung des vom Berufungsgericht angelegten Sorgfaltsmaßstabs lesen (vgl. Rn. 27 des Besprechungsurteils: keine Verkennung des Rechtsbegriffs der groben Fahrlässigkeit). Darüber hinaus sind die Ausführungen zum Augenblicksversagen (Rn. 28 bis 30 des Besprechungsurteils) und zur Berücksichtigung von „Vorfeldverstößen“ der Bank im Rahmen von § 254 Abs. 1 BGB (Rn. 36, 39 des Besprechungsurteils) durchaus verallgemeinerungsfähig.
|
