Zur Anfechtbarkeit einer im pushTAN-Verfahren erteilten Autorisierung einer Zahlung bei Willensmängeln des Zahlers aufgrund der Täuschung durch einen vermeintlichen Bankmitarbeiter (Call-ID Spoofing) und zu Gegenansprüchen des Zahlungsdienstleisters gegen den Zahler auf Schadensersatz

1. Gibt ein Zahler im Online-Banking aufgrund einer Täuschung durch einen vermeintlichen Bankmitarbeiter im Wege des pushTAN-Verfahrens einen Zahlungsvorgang frei in der Annahme, damit eine Rückbuchung freizugeben, dann ist dies aus Sicht des Zahlungsdienstleisters als Autorisierung des Zahlungsvorgangs nach § 675j Abs. 1 BGB zu verstehen.

2. Die Erteilung einer Autorisierung nach § 675j BGB kann als Willenserklärung des Zahlers nach allgemeinen Regeln durch den Zahler angefochten werden und die Anfechtung ist auch nicht auf Fälle des § 123 BGB begrenzt.

3. Ein durch die Täuschung durch einen vermeintlichen Bankmitarbeiter veranlasster Irrtum des Zahlers darüber, dass die vom ihm erteilte Autorisierung nicht für eine Rückbuchung an ihn selbst erteilt wird, sondern für eine Überweisung an einen Dritten, kann einen zur Anfechtung berechtigenden Inhaltsirrtum des Zahlers nach § 119 Abs. 1 BGB begründen.

4. Wird die Autorisierung eines Zahlungsauftrags durch den Zahler wirksam angefochten, dann kann dem Zahlungsdienstleister ein Schadensersatzanspruch gegen den Zahler aus § 122 BGB zustehen. Dieser Anspruch unterliegt auch nicht den gesteigerten Verschuldensanforderungen und weiteren Einschränkungen nach § 675v BGB.

5. Die Nichtbeachtung einer nach § 675k Abs. 1 BGB vereinbarten Betragsobergrenze bei der Autorisierung eines Zahlungsvorgangs führt zur Unwirksamkeit der Autorisierung.

6. Mit der Erteilung einer Autorisierung durch einen Zahler durch Freigabe einer pushTAN aufgrund einer Täuschung durch einen vermeintlichen Bankmitarbeiter, bei der der Zahler lediglich den mündlichen Angaben und Anweisungen eines unbekannten Dritten folgt, setzt der Zahler im Sinne des § 675l Abs. 1 Satz 1 BGB sein personalisiertes Sicherheitsmerkmal einem unbefugten Zugriff aus.

7. Die Erteilung einer Autorisierung durch einen Zahler durch Freigabe einer pushTAN auf die telefonische Aufforderung eines unbekannten Dritten hin begründet den Vorwurf grober Fahrlässigkeit. Dem Vorwurf grober Fahrlässigkeit steht es auch nicht entgegen, wenn der vermeintliche Bankmitarbeiter Kenntnisse von kontobezogenen Daten des Zahlers hat und der Anruf unter Anzeige der Rufnummer des Zahlungsdienstleisters erfolgt (Call-ID Spoofing).

Anmerkung: Die Berufung wurde auf diesen Hinweis des Senats hin zurückgenommen.

I. Der Senat beabsichtigt, die Berufung des Klägers gegen das Urteil des Landgerichts Bremen vom 24.05.2024, Az.: 4 O 4198/23, durch einstimmigen Beschluss gemäß § 522 Abs. 2 ZPO zurückzuweisen.

II. Dem Kläger wird Gelegenheit zur Stellungnahme bis zum 18.09.2024 gegeben.

I.

Der Kläger nimmt die Beklagte auf Rückerstattung aufgrund einer Belastung wegen einer vom Girokonto des Klägers ausgeführten Überweisung in Anspruch.

Die beklagte Bank führt aufgrund eines mit dem Kläger bestehenden Kontoführungsvertrags ein Girokonto für den Kläger. Mit Vereinbarung vom 31.05.2013 hatten die Parteien für dieses Konto die Nutzung des Online-Bankings vereinbart; der Kläger nutzte hierfür das für ihn von der Beklagten eingerichtete pushTAN-Verfahren. Hierbei wird ein Zahlungsvorgang im Online-Banking, dessen Zugang durch die Eingabe einer PIN gesichert wird, autorisiert, indem in einer auf dem Mobiltelefon des Nutzers installierten App eine von der Beklagten übersandte pushTAN vom Nutzer freigegeben wird. In den Bedingungen für das Online-Banking der Beklagten ist unter anderem vorgesehen, dass der Nutzer seine Authentifizierungselemente vor unbefugtem Zugriff zu schützen hat, was unter anderem jede mündliche Mitteilung oder Weitergabe einer TAN außerhalb des Online-Banking ausschließt (Ziff. 7.1), und dass er Sicherheitshinweise auf der Online-Banking-Seite der Beklagten zu beachten (Ziff. 7.2) sowie vor der Freigabe eines Zahlungsauftrags die Übereinstimmung der ihm angezeigten Daten mit den für den Auftrag vorgesehenen Daten zu prüfen hat (Ziff. 7.3).

Am 04.01.2023 erhielt der Kläger mehrere Telefonanrufe, deren konkreter Inhalt zwischen den Parteien streitig ist. Im Verlauf dieser Telefonate gab der Kläger unter der Verwendung der Gesichtserkennung seines Mobiltelefons in seiner Mobiltelefon-App eine pushTAN für eine Echtzeitüberweisung über einen Betrag von EUR 10.000,- auf das Konto eines Dritten bei einer anderen Bank frei. Die Echtzeitüberweisung wurde sodann ausgeführt und das Konto des Klägers mit dem Betrag von EUR 10.000,- belastet. Der Kläger teilte der Beklagten noch am selben Tag mit, Opfer eines Betrugs geworden zu sein, und forderte die Beklagte mit Schreiben vom 10.01.2023 fruchtlos zur Erstattung auf.

Der Kläger hat vor dem Landgericht die Auffassung vertreten, dass er einen Anspruch auf Wiedergutschrift des Betrags von EUR 10.000,- aus § 675u S. 2 BGB gegen die Beklagten habe, da es sich um einen unautorisierten Zahlungsvorgang gehandelt habe. Der Kläger hat behauptet, dass bei den Telefonanrufen die Rufnummer der Beklagten angezeigt worden sei. Der Anrufer habe sich als Mitarbeiter des Sicherheitsdienstes der Beklagten ausgegeben und mitgeteilt, dass ein unbefugter Zugriff auf das Konto des Klägers erfolgt und eine Echtzeitüberweisung von EUR 10.000,- an den unbekannten Dritten angewiesen worden sei, die zunächst nur unter Vorbehalt gebucht worden sei. Der Kläger sei aufgefordert worden, eine pushTAN freizugeben zur Rückbuchung dieser unautorisierten Echtzeitüberweisung, damit die unberechtigte Abbuchung nicht vorgenommen werde. Der Anrufer habe diverse Daten des Klägers nennen können und habe mitgeteilt, dass dessen Online-Banking-App vorsorglich gesperrt worden sei, was sich als zutreffend herausgestellt habe. Der Kläger habe mehrfach das Gespräch mit dem Anrufer beendet und durch Einloggen in seine Online-Banking-App bzw. den Versuch desselben festgestellt, dass diese Angaben des Anrufers zutreffend gewesen seien. Der Kläger habe daher die Freigabe der pushTAN erteilt, um die Rückbuchung zu veranlassen. Bei der Freigabe der pushTAN sei weder der Betrag der Überweisung noch das Empfängerkonto angezeigt worden und es sei auch nicht ersichtlich gewesen, dass es sich um eine Echtzeitüberweisung handele. Es bestünden offensichtlich Sicherheitslücken im System der Beklagten, die sich der Anrufer zu Nutze gemacht habe. Zudem habe ein Verfügungslimit von EUR 2.500,- bestanden.

Die Beklagte hat vor dem Landgericht die Auffassung vertreten, es habe sich wegen der Freigabe der pushTAN durch den Kläger um einen autorisierten Zahlungsvorgang gehandelt. Jedenfalls stehe der Beklagten wegen grob fahrlässiger Pflichtverletzungen des Klägers ein Gegenanspruch nach § 675v Abs. 3 Nr. 2 BGB zu. Die Beklagte behauptet, sie habe bereits im März 2021 auf ihrer Online-Banking-Seite einen Sicherheitshinweis veröffentlicht, welcher vor Anrufen vermeintlicher Bankmitarbeiter unter täuschender Angabe der Rufnummer der Beklagten warne (sogenanntes Call-ID-Spoofing), bei denen die Anrufer die Kunden auffordern würden, einen Auftrag in der pushTAN-App freizugeben. Im September 2022 habe sie an ihre Kunden im Online-Banking einen weiteren Sicherheitshinweis an deren elektronisches Postfach versandt, worin die Kunden aufgefordert worden seien, nur von ihnen selbst veranlasste Zahlungsaufträge freizugeben und in der pushTAN-App die Auftragsdaten zu überprüfen. Ein solcher Warnhinweis, keinen nicht selbst beauftragten Zahlungsauftrag freizugeben, werde zusätzlich bei jeder Freigabe einer pushTAN angezeigt. Auch dem Kläger sei am 04.01.2023 bei der Freigabe der pushTAN mitgeteilt worden, dass er eine Echtzeitüberweisung vornehme, und ihm seien der Überweisungsbetrag und die IBAN des Empfängers angezeigt worden. Der Online-Banking-Zugang des Klägers sei erst im Anschluss an die Echtzeitüberweisung gesperrt worden. Im Online-Banking-System der Beklagten seien keine Sicherheitslücken vorhanden; es müsse der Kläger seine personenbezogenen Daten bzw. seine Anmeldedaten für das Online-Banking selbst preisgegeben haben, etwa über eine Phishing-Seite. Für die Nutzung des Online-Bankings habe ein Betragslimit von EUR 10.000,- bestanden.

Das Landgericht hat mit Urteil vom 24.05.2024 die Klage abgewiesen. Zur Begründung hat das Landgericht ausgeführt, dass zwar dem Kläger gegen die Beklagte ein Anspruch auf Erstattung des Betrags von EUR 10.000,- zustehe, da die Überweisung am 04.01.2023 nicht vom Kläger ausgelöst worden sei, was eine wirksame Autorisierung ausschließe. Die Beklagte könne aber nach § 242 BGB dem Kläger einen Schadensersatzanspruch in gleicher Höhe aus § 675v Abs. 3 Nr. 2 BGB entgegenhalten. Durch die Freigabe der pushTAN für die Echtzeitüberweisung habe der Kläger gegen die sich aus Ziffer 7.2 und 7.3 der Bedingungen für das Online-Banking der Beklagten ergebenden Pflichten verstoßen, wobei das Landgericht es als bloße Schutzbehauptung des Klägers bewertet hat, dass bei Freigabe der pushTAN am 04.01.2023 anders als sonst die Daten der Überweisung nicht angezeigt worden seien. Diese Pflichtverletzungen hat das Landgericht im Hinblick darauf als grob fahrlässig erfolgt angesehen, dass der Anruf eines angeblichen Mitarbeiters einer Bank zur Abfrage einer pushTAN für eine Rücküberweisung außergewöhnlich gewesen sei und zu Misstrauen hätte Anlass geben müssen, zumal bei der Freigabe der pushTAN auch angezeigt worden sei, dass die Freigabe nicht einer Rücküberweisung gedient habe, sondern der Autorisierung einer Echtzeitüberweisung auf ein fremdes Konto. Der Kläger sei auch durch die Sicherheitshinweise der Beklagten auf mögliche Betrugsmaschen und die Möglichkeit der Angabe einer falschen Rufnummer des Anrufers hingewiesen worden, was auch seit Jahren breit öffentlich diskutiert worden sei. Der Schadensersatzanspruch der Beklagten sei auch nicht nach § 254 BGB zu kürzen, da der Kläger die Vereinbarung eines Tageslimits von EUR 2.500,- nicht habe beweisen können und es an substantiiertem Sachvortrag zu geltend gemachten Lücken im Sicherheitssystem der Beklagten fehle. Hinsichtlich des Tatbestandes und des weiteren Vorbringens der Parteien in erster Instanz unter Einschluss der dort gestellten Anträge wird Bezug genommen auf die Feststellungen im angefochtenen Urteil des Landgerichts Bremen vom 24.05.2024, Az.: 4 O 4198/23 (§ 540 Abs. 1 Nr. 1 ZPO).

Gegen dieses Urteil wendet sich der Kläger mit seiner Berufung, mit der er sein erstinstanzliches Klagebegehren weiterverfolgt.

Der Kläger meint, dass ihm keine grob fahrlässige Pflichtverletzung im Sinne des § 675v Abs. 3 Nr. 2 BGB zur Last zu legen sei. Ein Zahlungsinstrument im Sinne des § 1 Abs. 20 ZAG habe er nicht erhalten und hinsichtlich einer Verletzung der Pflicht zur Überprüfung der Daten der Überweisung sowie der Nichtbeachtung der Sicherheitshinweise für das Online-Banking wendet der Kläger ein, dass die Beklagte für einen solchen Verstoß beweisbelastet sei. Er meint, dass das Landgericht daher sein Vorbringen, dass bei der Freigabe der pushTAN keine Daten der Überweisung angezeigt worden seien, nicht als Schutzbehauptung hätte behandeln dürfen und vielmehr ein Sachverständigengutachten hätte einholen müssen. Wegen der Anzeige der dem Kläger bekannten Telefonnummer der Beklagten begründe es keinen Vorwurf grober Fahrlässigkeit, wenn der vollkommen überrumpelte Kläger hierauf vertraut habe und es für ihn keine andere Möglichkeit gegeben habe, als den Anweisungen des vermeintlichen Mitarbeiters der Beklagten zu folgen, um durch die Freigabe der pushTAN den bereits abgebuchten Geldbetrag noch zu sichern. Regelungen in allgemeinen Geschäftsbedingungen, durch die die Kunden zur Beachtung von Sicherheitshinweisen in solchen Betrugsfällen angehalten würden, würden den Kunden unangemessen benachteiligen und seien daher unwirksam. Zudem habe es jedenfalls in erster Instanz noch an einer Aufrechnungserklärung der Beklagten mit ihren geltend gemachten Gegenansprüchen gefehlt.

Der Kläger beantragt,

unter Abänderung des angefochtenen Urteils

1. die Beklagte zu verurteilen, das bei ihr geführte Zahlungskonto mit der IBAN ... wieder auf den Stand zu bringen, auf dem sich das Zahlungskonto des Klägers ohne die Belastungen des nicht autorisierten Zahlungsvorgangs in Höhe von EUR 10.000,00 zzgl. Zinsen in Höhe von 5%-Punkten über dem jeweils gültigen Basiszinssatz seit dem 19.01.2023 befunden hätte,

hilfsweise die Beklagte zu verurteilen, an den Kläger EUR 10.000,00 nebst Zinsen in Höhe von 5%-Punkten über dem jeweiligen Basiszinssatz hieraus seit Rechtshängigkeit zu bezahlen,

2. die Beklagte zu verurteilen, an den Kläger außergerichtliche Rechtsverfolgungskosten in Höhe von EUR 973,66 nebst Zinsen in Höhe von 5%- Punkten über dem jeweiligen Basiszinssatz hieraus seit Rechtshängigkeit zu bezahlen.

Die Beklagte beantragt,

die Berufung zurückzuweisen.

Die Beklagte verteidigt das erstinstanzliche Urteil und wiederholt und vertieft ihren Vortrag aus erster Instanz; zudem erklärt sie die Aufrechnung mit eigenen Schadensersatzansprüchen aus § 675v Abs. 3 Nr. 2 BGB gegenüber der Klagforderung. Hinsichtlich des weiteren Vorbringens der Parteien in der Berufungsinstanz wird auf die gewechselten Schriftsätze nebst Anlagen verwiesen.

II.

Die Berufung ist form- und fristgerecht eingelegt worden; in der Sache hat sie aber keine Aussicht auf Erfolg. Der Kläger wendet sich ohne Aussicht auf Erfolg dagegen, dass das Landgericht angenommen hat, dass zwar dem Kläger ein Anspruch aus § 675u S. 2 BGB aufgrund eines unautorisierten Zahlungsvorgang entstanden ist, die Beklagte diesem aber einen eigenen Schadensersatzanspruch in gleicher Höhe entgegenhalten kann.

1. Dem Kläger ist aufgrund der Belastung seines Kontos infolge der Ausführung der Überweisung des Betrags von EUR 10.000,- ein Anspruch aus § 675u S. 2 BGB entstanden, da die Überweisung zwar zunächst vom Kläger wirksam autorisiert wurde, diese Autorisierung aber sodann vom Kläger angefochten wurde.

a. Die Überweisung vom 04.01.2024 ist vom Kläger durch die Freigabe der pushTAN in seiner Mobiltelefon-App wirksam autorisiert worden. Die Autorisierung als Zustimmung des Zahlers zum Zahlungsauftrag erfolgt nach § 675j Abs. 1 BGB in der zwischen dem Zahler und seinem Zahlungsdienstleister vereinbarten Art und Weise, wobei insbesondere die Erteilung einer Zustimmung mittels eines bestimmten Zahlungsinstruments vereinbart werden kann. Die Beweislast für das Vorliegen einer Autorisierung trägt nach dem Rechtsgedanken des § 675w S. 1 BGB der Zahlungsdienstleister (siehe EuGH, Urteil vom 02.09.2021 - C-337/20, juris Rn. 40, WM 2021, 2278 (CRCAM); BGH, Urteil vom 05.03.2024 - XI ZR 107/22, juris Rn. 37, WM 2024, 844). Hinsichtlich der Nutzung des Kontos des Klägers bei der Beklagten haben die Parteien vereinbart, dass die Erteilung einer Zustimmung des Klägers zu Zahlungsaufträgen in dem hier genutzten Online-Banking-Verfahren als einem durch PIN und TAN geschützten Zahlungsinstrument (siehe BGH, Urteil vom 25.07.2017 - XI ZR 260/15, juris Rn. 28, BGHZ 215, 292 m.w.N.) durch die Freigabe einer auf die Mobiltelefon-App des Klägers übersandten pushTAN als zugehöriges personalisiertes Sicherheitsmerkmal (siehe BGH, a.a.O., juris Rn. 29) erfolgt.

Vorliegend ist mit der Freigabe der pushTAN durch den Kläger auf seinem Mobiltelefon eine diesen Voraussetzungen entsprechende Autorisierung der Echtzeitüberweisung vom 04.01.2024 erfolgt. Dass nach dem Vorbringen des Klägers der zugrunde liegende Zahlungsauftrag (zur Unterscheidung zwischen Auftrag und Autorisierung siehe MüKo/Jungmann, 9. Aufl., § 675j BGB Rn. 23) nicht von ihm erteilt wurde und bei der Erteilung einer Autorisierung die Erklärung eines nicht vertretungsberechtigten Dritten dem Zahler nicht zugerechnet werden kann (siehe BGH, Urteil vom 17.11.2020 - XI ZR 294/19, juris Rn. 13, BGHZ 227, 343), steht hier der Wirksamkeit der Autorisierung nicht entgegen, da diese unstreitig durch den Kläger selbst erteilt wurde, so dass es vorliegend auch nicht auf die Frage der Verfügbarkeit eines Anscheinsbeweises für die Autorisierung durch den Zahler in der konkret verwendeten Form des Online-Banking-Systems der Beklagten ankommt (siehe hierzu grundlegend BGH, Urteil vom 26.01.2016 - XI ZR 91/14, juris Rn. 34 ff., BGHZ 208, 331; aus jüngerer Zeit siehe einerseits OLG Dresden, Urteil vom 06.04.2023 - 8 U 578/22, juris Rn. 48 ff., GWR 2023, 355 (Ls.); andererseits OLG Schleswig, Beschluss vom 29.10.2018 - 5 U 290/18, juris Rn. 65 ff., WM 2019, 206).

Dass nach dem Vortrag des Klägers bei der Freigabe der pushTAN nicht die Daten der zu autorisierenden Überweisung angezeigt wurden und er vielmehr davon ausging, eine Rückbuchung der bislang nur unter Vorbehalt gebuchten Rücküberweisung zu veranlassen, ändert ebenfalls (zunächst) nichts an der Wirksamkeit der Erteilung der Autorisierung. Bei einer Autorisierung im Sinne des § 675j BGB handelt es sich nach überwiegender Auffassung in Rechtsprechung und Literatur um eine empfangsbedürftige Willenserklärung (siehe OLG Dresden, Urteil vom 06.04.2023 - 8 U 578/22, juris Rn. 50, GWR 2023, 355 (Ls.); OLG Frankfurt, Beschluss vom 26.04.2021 - 23 U 94/20, juris Rn. 32; OLG Stuttgart, Urteil vom 08.02.2023 - 9 U 200/22, juris Rn. 17, WM 2023, 875; LG Itzehoe, Urteil vom 01.03.2024 - 9 S 25/23, juris Rn. 25, NJW-RR 2024, 980; BeckOGK/Köndgen, Ed. 15.7.2024, § 675j BGB Rn. 13; BeckOK/Schmalenbach, Ed. 71., § 675j BGB Rn. 2; Ellenberger/Findeisen/Nobbe/Böger-Frey/Ahmedi, Zahlungsverkehrsrecht, 3. Aufl., § 675j BGB Rn. 7; Grüneberg/Grüneberg, 83. Aufl., § 675j Rn. 3; MüKo/Jungmann, 9. Aufl., § 675j BGB Rn. 16), deren Auslegung nach § 133 BGB sich grundsätzlich nach dem objektiven Empfängerhorizont richtet. Zum selben Ergebnis kommt auch die Gegenauffassung, die die Autorisierung als eine geschäftsähnliche Handlung ansieht (siehe OLG Köln, Urteil vom 16.05.2019 - I-12 U 258/17, juris Rn. 35; MüKo/Casper, 6. Aufl., § 675j BGB Rn. 9; offengelassen noch in OLG Celle, Urteil vom 24.08.2022 - 3 U 191/21, juris Rn. 37). Danach war aus der Sicht eines objektiven Empfängers im vorliegenden Fall die vom Kläger erfolgte Freigabe der zur Autorisierung der Echtzeitüberweisung übersandten pushTAN als Zustimmung zu diesem Zahlungsvorgang zu verstehen, auch wenn der Kläger nach seinem Vorbringen von der Freigabe einer Rückbuchung ausging, was aber seiner mit der pushTAN-App übermittelten Erklärung nicht zu entnehmen und daher der Beklagten als Erklärungsempfängerin weder bekannt noch sonst erkennbar war. Für die Auslegung nach § 133 BGB sind nur solche Umstände heranzuziehen, die dem Erklärungsempfänger bekannt oder erkennbar waren (siehe BGH, Urteil vom 05.10.2006 - III ZR 166/05, juris Rn. 18, NJW 2006, 3777). Der Kläger handelte auch nach seinem eigenen Vorbringen mit dem Bewusstsein, eine rechtlich bindende Erklärung abzugeben, d.h. mit tatsächlich vorhandenem Erklärungsbewusstsein (auf die Frage der Wirksamkeit einer Erklärung bei fehlendem Erklärungsbewusstsein, wenn aber der Erklärende bei Anwendung der im Verkehr erforderlichen Sorgfalt hätte erkennen und vermeiden können, dass seine Äußerung nach Treu und Glauben und der Verkehrssitte als Willenserklärung aufgefasst werden durfte, und wenn der Empfänger sie tatsächlich so verstanden hat - sog. Erklärungstheorie, hierzu BGH, Urteil vom 14.02.2023 - XI ZR 537/21, juris Rn. 29, BGHZ 236, 132 - kommt es daher hier nicht an). Entgegen einer teilweise vertretenen Auffassung (siehe OLG Dresden, Urteil vom 13.10.2022 - 8 U 760/22, juris Rn. 60 ff., WM 2023, 1638 m.zust.Anm. Werner, jurisPR-BKR 1/2024 Anm. 4; MüKoHGB/Linardatos, 5. Aufl., Bd. 6 K Onlinebanking Rn. 66; Linardatos/Bastuck, WuB 2024, 227 f.; für die Annahme einer wirksamen Autorisierung in vergleichbaren Konstellationen dagegen OLG Schleswig, Beschluss vom 03.01.2024 - 5 W 25/23, n.v.; Köbrich, VuR 2015, 9, 11; offengelassen in OLG Frankfurt, Urteil vom 06.12.2023 - 3 U 3/23, juris Rn. 51, WM 2024, 990) bietet das Gesetz auch keine Grundlage für die Annahme, dass durch die Anwendung des § 675j BGB auch bei täuschungsbedingten Autorisierungen die Haftungsregelung des § 675v BGB zu unterlaufen werden droht: Es bleiben hier vielmehr die allgemeinen Regelungen zur Auslegung und zur Wirksamkeit von Willenserklärungen anwendbar. Die sich hieraus ergebende Abweichung von objektivem Erklärungsinhalt und Vorstellung des Klägers begründet einen Inhaltsirrtum (dazu sogleich), lässt aber die Wirksamkeit der Autorisierung (zunächst) unberührt.

Der Wirksamkeit der Autorisierung steht auch nicht die Behauptung des Klägers entgegen, dass ein Tageslimit für Überweisungen i.H.v. EUR 2.500,- bestanden habe, so dass die freigegebene Überweisung eines Betrags von EUR 10.000,- diese vereinbarte Betragsobergrenze verletzt hätte. Zwar ist nach überwiegender Auffassung anzunehmen, dass die Nichtbeachtung einer nach § 675k Abs. 1 BGB vereinbarten Betragsobergrenze neben der hier möglichen Schadensersatzhaftung des Zahlungsdienstleisters (dazu bereits BGH, Urteil vom 29.11.2011 - XI ZR 370/10, juris Rn. 27 f., WM 2012, 164) auch zur Unwirksamkeit der so erteilten Autorisierung führt (so Baas/Buck-Heeb/Werner-Böger, Anlegerschutzgesetze, § 675k BGB Rn. 8; MüKoHGB/Linardatos, 5. Aufl., Bd. 6 G. Zahlung mittels Kreditkarte Rn. 217; Staudinger/Omlor, 2020, § 675k BGB Rn. 4; lediglich für Schadensersatzansprüche dagegen BeckOGK/Köndgen, Ed. 15.07.2024, § 675k BGB Rn. 16; Grüneberg/Grüneberg, 83. Aufl., § 675k Rn. 2; MüKoBGB/Jungmann, 9. Aufl., § 675k BGB Rn. 9), wie sich aus der Regelung des § 675k Abs. 1 BGB im Kontext der Autorisierung des Zahlungsvorgangs sowie dem mit der Vereinbarung von Betragsobergrenzen typischerweise verfolgten Schutz des Zahlungsdienstnutzers gegen Missbrauchsrisiken ergibt. Vorliegend aber hat das Landgericht zutreffend als nicht erwiesen angesehen, dass die Parteien tatsächlich ein Tageslimit in dieser Höhe vereinbart hätten, was zu Lasten des hier beweisbelasteten Klägers gehen muss.

b. Trotz der zunächst wirksamen Autorisierung ist die Überweisung aber als unautorisiert erfolgt zu behandeln, da die Erteilung der Autorisierung durch den Kläger aufgrund ihrer wirksamen Anfechtung nach § 142 Abs. 1 BGB als von Anfang an nichtig anzusehen ist.

Die Erteilung einer Autorisierung nach § 675j BGB kann nach allgemeinen Regeln durch den Zahler angefochten werden und die Anfechtung ist auch nicht auf Fälle des § 123 BGB begrenzt (wie hier OLG Köln, Beschluss vom 21.03.2016 - 13 U 223/15, juris Rn. 3 f., WM 2016, 1780; LG Bonn, Urteil vom 31.03.2015 - 3 O 387/14, juris Rn. 37, VuR 2015, 264; LG Karlsruhe, Urteil vom 23.05.2014 - 20 O 24/13, juris Rn. 24, BKR 2015, 86; LG Köln, Urteil vom 16.10.2015 - 30 O 330/14, juris Rn. 18, BKR 2016, 350; Baas/Buck-Heeb/Werner-Böger, Anlegerschutzgesetze, § 675p BGB Rn. 9; BeckOGK/Zahrte, Ed. 01.06.2024, § 675p BGB Rn. 111; BeckOK/Schmalenbach, 71. Ed., § 675p BGB Rn. 3; MüKo/Armbrüster, 9. Aufl., § 119 BGB Rn. 22; MüKoHGB/Linardatos, 5. Aufl., Bd. 6 K Onlinebanking Rn. 90; Zahrte, BKR 2016, 315, 317; für eine Anfechtbarkeit nur nach § 123 BGB siehe Ellenberger/Findeisen/Nobbe/Böger-Frey/Ahmedi, Zahlungsverkehrsrecht, 3. Aufl., § 675j BGB Rn. 7; Erman/v. Westphalen, 17. Aufl., § 675j BGB Rn. 2; MüKo/Jungmann, 9. Aufl., § 675p BGB Rn. 11). Soweit die gegenteilige Annahme eines Ausschlusses der Anfechtbarkeit der Erteilung einer Autorisierung (so OLG Brandenburg, Urteil vom 31.01.2018 - 13 U 5/17, juris Rn. 39, NJW-RR 2018, 733; LG Itzehoe, Urteil vom 01.03.2024 - 9 S 25/23, juris Rn. 27, NJW-RR 2024, 980 (jeweils offengelassen für Fälle des § 123 BGB); AG Bonn, Urteil vom 11.02.2015 - 109 C 244/14, juris Rn. 29, MMR 2015, 477; BeckOGK/Köndgen, Ed. 15.07.2024, § 675j BGB Rn. 15; Grüneberg/Grüneberg, 83. Aufl., § 675j BGB Rn. 3; MüKoHGB/Herresthal, 5. Aufl., Bd. 6 B. Überweisungsverkehr Rn. 127) auf das Argument gestützt wird, dass dies der europarechtlichen Vorgabe aus Art. 80 Abs. 1 der Richtlinie (EU) 2015/2366 vom 25.11.2015 über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 2002/65/EG, 2009/110/EG und 2013/36/EU und der Verordnung (EU) Nr. 1093/2010 sowie zur Aufhebung der Richtlinie 2007/64/EG (Zweite Zahlungsdiensterichtlinie, ZDRL II), umgesetzt in § 675p BGB, widersprechen würde, dass der Zahlungsdienstnutzer einen Zahlungsauftrag nach dem Eingang beim Zahlungsdienstleister des Zahlers nicht mehr widerrufen kann, sofern das Zahlungsdiensterecht nichts anderes vorsieht (so u.a. BeckOGK-Köndgen, a,a,O.), folgt der Senat dieser Erwägung nicht. Die Zweite Zahlungsdiensterichtlinie (ZDRL II) und die Umsetzungsbestimmungen des deutschen Rechts in den §§ 675c-676c BGB enthalten insgesamt keine Regelungen zu Willensmängeln, so dass insoweit auch keine abschließende Regelung angenommen werden kann, und es auch ist nicht zu befürchten, dass durch die Zulassung einer Anfechtbarkeit generell die Endgültigkeit von Zahlungsaufträgen in Zweifel gezogen werden würde, da ein Anfechtungsrecht immer nur unter engen tatbestandlichen Voraussetzungen bestehen kann, wobei zugleich die Interessen des Zahlungsdienstleisters als Empfänger der anzufechtenden Willenserklärung durch die Schadensersatzpflicht des Zahlers als Anfechtendem nach § 122 BGB geschützt sind (siehe Baas/Buck-Heeb/Werner-Böger, Anlegerschutzgesetze, a.a.O.; BeckOGK/Zahrte, Ed. 01.06.2024, § 675p BGB Rn. 110 f.; MüKoHGB/Linardatos, 5. Aufl., Bd. 6 K Onlinebanking Rn. 91).

Ein zur Anfechtung berechtigender Irrtum des Klägers besteht vorliegend in dem Irrtum darüber, dass die gegenüber der Beklagten erklärte pushTAN-Freigabe nicht die Autorisierung einer Rückbuchung auf das Konto des Klägers beinhaltete, sondern vielmehr die Autorisierung der Vornahme einer Echtzeitüberweisung zugunsten eines Dritten. Darin liegt ein Inhaltsirrtum nach § 119 Abs. 1 BGB, der nach der Rechtsprechung des Bundesgerichtshofs auch dann anzunehmen ist, wenn der Erklärende über Rechtsfolgen seiner Willenserklärung irrt und das vorgenommene Rechtsgeschäft wesentlich andere als die beabsichtigten Wirkungen erzeugt (siehe BGH, Beschluss vom 05.07.2006 - IV ZB 39/05, juris Rn. 19, BGHZ 168, 210; Beschluss vom 22.03.2023 - IV ZB 12/22, juris Rn. 15, NJW 2023, 1725). Dass ein solcher Irrtum des Klägers vorlag, steht zur Überzeugung des Senats nach dem protokollierten Ergebnis seiner Anhörung durch das Landgericht fest - auch die Beklagte ist in der Berufung der Behauptung des Klägers, durch die Täuschung durch den unbefugten Anrufer zu der Freigabe der pushTAN veranlasst worden zu sein, nicht mehr erheblich entgegengetreten. Die Aufforderung der Beklagten zur Erstattung des abgebuchten Betrags unter Berufung darauf, dass der Kläger bei der Freigabe der pushTAN Opfer einer Täuschung gewesen sei, beinhaltet zugleich eine konkludente Erklärung der Anfechtung dieser Autorisierung nach § 143 BGB.

2. Der Kläger wendet sich mit seinem Berufungsvorbringen ohne Aussicht auf Erfolg gegen die Feststellung des Landgerichts, dass der Beklagten gegen den Kläger ein Schadensersatzanspruch aus § 675v Abs. 3 Nr. 2 BGB in Höhe des abgebuchten Betrags zusteht. Einer Erklärung der Aufrechnung mit diesen Ansprüchen bedurfte es entgegen der Auffassung des Klägers nicht: Dem Anspruch des Zahlers aus § 675u S. 2 BGB auf Erstattung bzw. Wiedergutschrift der Beträge unautorisierter Zahlungen kann ein Zahlungsdienstleister eigene Ansprüche aus § 675v Abs. 3 BGB wegen einer vorsätzlichen oder grob fahrlässigen Verletzung der Pflichten des Zahlers im Wege der Aufrechnung oder auch nach § 242 BGB entgegengehalten (vgl. BGH, Urteil vom 17.11.2020 - XI ZR 294/19, juris Rn. 24 f., BGHZ 227, 343; Urteil vom 05.03.2024 - XI ZR 107/22, juris Rn. 37, WM 2024, 84).

a. Der Kläger hat in grob fahrlässiger Weise seine in § 675v Abs. 3 Nr. 2 BGB genannten Pflichten verletzt.

Dabei kann an dieser Stelle dahinstehen, ob der Vortrag des Klägers zur Nichtanzeige der Daten eines Zahlungsvorgangs bei der Freigabe der pushTAN zutrifft. Soweit dies nicht der Fall gewesen sollte, hätte der Kläger gegen seine Verpflichtung nach Ziff. 7.3 der Bedingungen für das Online-Banking der Beklagten verstoßen, vor der Freigabe eines Zahlungsauftrags die Übereinstimmung der ihm angezeigten Daten mit den für den Auftrag vorgesehenen Daten zu prüfen. Diese Verpflichtung ist auch zwischen den Parteien wirksam, wobei bereits das Landgericht zutreffend ausgeführt hat, dass der Kläger der wirksamen Einbeziehung dieser AGB nur unerheblich entgegengetreten ist. Bei einer Verpflichtung zur vorherigen Prüfung der Übereinstimmung der Daten eines Zahlungsauftrags bei der Autorisierung desselben im Rahmen des Online-Bankings handelt es sich auch um eine Bedingung für die Nutzung dieses Zahlungsinstruments, die im Sinne des § 675l Abs. 2 BGB sachlich, verhältnismäßig und nicht benachteiligend ist, da es sich hier um eine völlig naheliegende Sicherheitsmaßnahme des Zahlungsdienstnutzers handelt. Es ist daher auch eine Unwirksamkeit dieser AGB nach § 307 Abs. 1 BGB entgegen der Auffassung des Klägers nicht ersichtlich. Aber auch wenn der Vortrag des Klägers zutreffend sein sollte, so hätte der Kläger eine pushTAN freigegeben haben, ohne dass dabei die Daten eines Zahlungsvorgangs angezeigt worden wären, und er wäre dabei lediglich den Anweisungen des unbekannten Anrufers gefolgt. Durch ein solches Verhalten setzt aber ein Zahler im Sinne des § 675l Abs. 1 S. 1 BGB sein personalisiertes Sicherheitsmerkmal einem unbefugten Zugriff aus, da der Zahler hierdurch die Kontrolle über die pushTAN als personalisiertes Sicherheitsmerkmal faktisch aus der Hand gibt und in die Hände des unbekannten Anrufers legt (vgl. so auch OLG Frankfurt, Urteil vom 06.12.2023 - 3 U 3/23, juris Rn. 51, WM 2024, 990; kritisch dagegen Linardatos/Bastuck, WuB 2024, 227 f.). Der Fall unterscheidet sich dann in der Sache nicht von einer Konstellation, in der der Zahlungsdienstnutzer ihm übersandte TANs auf Anweisung eines angeblichen Bankmitarbeiters diesem übermittelt und so diesem die Möglichkeit schafft, diese TANs zur Autorisierung eines nicht vom Zahler selbst im Online-Banking-System veranlassten Zahlungsauftrags zu verwenden (vgl. hierzu die Rechtsprechung des Senats in Hanseatisches OLG in Bremen, Beschluss vom 15.04.2024 - 1 U 47/23, juris Rn. 22, WM 2024, 1508 m.w.N.). Diese bereits nach § 675l Abs. 1 S. 1 BGB bestehende Sorgfaltspflicht wird durch die Regelung in Ziff. 7.1 der Bedingungen für das Online-Banking der Beklagten lediglich deklaratorisch wiederholt; auch insoweit bestehen daher auch keine Zweifel an der Wirksamkeit dieser Klausel.

Eine weitere Pflichtverletzung des Klägers besteht, wie bereits das Landgericht zutreffend festgestellt hat, in der Nichtbeachtung der Sicherheitshinweise auf der Online-Banking-Seite der Beklagten. Nach den Feststellungen des Landgerichts sind dem Kläger die Sicherheitshinweise auf der Online-Banking-Seite der Beklagten in seinem dortigen Postfach zugegangen, wie die Beklagte durch Vorlage eines Auszugs des Posteingangs dieses Postfachs belegt hat und vom Kläger auch in seiner Berufung nicht durch erheblichen Vortrag bestritten wurde. Hiernach wurde im März 2021 auf der Online-Banking-Seite der Beklagten eine Warnung veröffentlicht vor Anrufen vermeintlicher Bankmitarbeiter unter täuschender Angabe der Rufnummer der Beklagten, bei denen die Anrufer die Kunden auffordern würden, einen Auftrag in der pushTAN-App freizugeben, sowie im September 2022 über das elektronische Postfach der Kunden auf der Online-Banking-Seite ein weiterer Sicherheitshinweis, worin die Kunden aufgefordert worden seien, nur von ihnen selbst veranlasste Zahlungsaufträge freizugeben und in der pushTAN-App die Auftragsdaten zu prüfen. Beide Sicherheitshinweise wurden vom Kläger nicht beachtet, wie sich aus seinem eigenen Vorbringen ergibt, auf den Anruf des unbekannten Dritten hin auf dessen Aufforderung eine pushTAN-Freigabe zu erteilen. Die Pflicht zur Beachtung dieser Sicherheitshinweise ergibt sich aus Ziff. 7.2 der Bedingungen für das Online-Banking der Beklagten, wobei es sich auch hier um eine Bedingung für die Nutzung dieses Zahlungsinstruments handelt, die den Zahlungsdienstnutzer lediglich zu naheliegenden Sicherheitsmaßnahmen anhält und die daher im Sinne des § 675l Abs. 2 BGB sachlich, verhältnismäßig und nicht benachteiligend ist und wirksam durch AGB vereinbart werden konnte.

bb. Diese Pflichtverletzung erfolgte auch grob fahrlässig. Grobe Fahrlässigkeit erfordert einen in objektiver Hinsicht schweren und in subjektiver Hinsicht schlechthin unentschuldbaren Verstoß gegen die Anforderungen der konkret erforderlichen Sorgfalt (siehe BGH, Urteil vom 26.01.2016 - XI ZR 91/14, juris Rn. 71, BGHZ 208, 331 m.w.N). In objektiver Hinsicht ist die Freigabe einer pushTAN auf die telefonische Aufforderung eines unbekannten Dritten hin als ein solcher schwerer Sorgfaltsverstoß anzusehen (so auch OLG Frankfurt, Urteil vom 06.12.2023 - 3 U 3/23, juris Rn. 89, WM 2024, 990), es gilt insoweit nichts anderes als bei der ebenfalls als schwerer Sorgfaltsverstoß einzuordnenden telefonischen Weitergabe von TANs an einen Dritten (so auch OLG Frankfurt, Beschluss vom 22.09.2023 - 3 U 84/23, juris Rn. 19; OLG Köln, Urteil vom 20.10.2021 - 13 U 18/21, juris Rn. 3; OLG München, Beschluss vom 04.09.2023 - 19 U 1508/23 e, juris Rn. 91; siehe hierzu und zum folgenden auch die Rechtsprechung des Senats in Hanseatisches OLG in Bremen, Beschluss vom 15.04.2024 - 1 U 47/23, juris Rn. 23, WM 2024, 1508). Es ist bereits als allgemein und jedermann einleuchtend anzusehen, dass personalisierte Sicherheitsmerkmale des Bankkunden nicht abweichend von der vereinbarungsgemäß vorgesehenen Verwendung gegenüber Dritten offenbart oder auf Aufforderung eines unbekannten Dritten zur Autorisierung eines nicht vom Kunden selbst gesteuerten Zahlungsvorgangs eingesetzt werden dürfen, wenn nicht die Sicherheit des durch diese Merkmale geschützten Kontozugangs des Kunden gefährdet werden soll. Zudem ist generell aufgrund der in den letzten Jahren vielfach durch verschiedene Medien bekannt gewordenen Fälle die Kenntnis als allgemeines Wissen vorauszusetzen, dass Kunden durch betrügerische Briefe und Anrufe vorgeblicher Bankmitarbeiter zur Preisgabe oder sonstigen Zulassung der missbräuchlichen Nutzung von Zugangsdaten zum Online-Banking veranlasst werden sollen, denn spätestens seit 2006 wurde das kriminelle Phänomen des Phishings und anderer Methoden, unter Vorspiegelung falscher Tatsachen den Angerufenen zu finanziellen Transaktionen veranlassen, öffentlich breit diskutiert (siehe OLG Frankfurt, Beschluss vom 22.09.2023 - 3 U 84/23, juris Rn. 19; Urteil vom 06.12.2023 - 3 U 3/23, juris Rn. 93, WM 2024, 990; OLG München, Beschluss vom 22.09.2022 - 19 U 2204/22, juris Rn. 99). Die Nichtbeachtung hierauf bezogener Sicherheitshinweise auf der Online-Banking-Seite des Zahlungsdienstleisters erfüllt dann ebenfalls den Vorwurf grober Fahrlässigkeit. Dahinstehen kann daher, ob - wie vom Kläger bestritten - bei der Freigabe der pushTAN die Daten der zu autorisierenden Überweisung angezeigt wurden. Träfe dies zu, würde eine Freigabe der pushTAN ohne Prüfung der entgegenstehenden Displayanzeige, aus der zu erkennen gewesen wäre, dass die TAN zur Autorisierung eines nicht vom Kunden gewollten Zahlungsvorgangs bestimmt war, ebenfalls einen Vorwurf grober Fahrlässigkeit begründen (siehe OLG Köln, Urteil vom 20.10.2021 - 13 U 18/21, juris Rn. 3; OLG Oldenburg, Beschluss vom 21.08.2018 - 8 U 163/17, juris Rn. 4, GWR 2019, 50).

cc. Der sich aus den vorstehenden Ausführungen ergebenden Feststellung des Vorliegens eines in objektiver Hinsicht grob fahrlässigen Sorgfaltspflichtverstoßes des Klägers stehen auch nicht die hiergegen vom Kläger vorgebrachten Rügen entgegen:

Dies betrifft zunächst den Einwand des Klägers, dass es einem Bankkunden nicht möglich sei, sämtliche ihm mitgeteilten Sicherheitshinweise zu verinnerlichen, um sich im Fall eines Betrugsversuchs entsprechend diesen Hinweisen zu verhalten. Es handelt sich hierbei jeweils um unmittelbar naheliegende und für die Sicherheit des Online-Bankings zentrale Maßnahmen. Die Sicherheit der Auslösung von Transaktionen über das Online-Banking-System beruht nach der gesetzgeberischen Konzeption auf der Verwendung des Systems der starken Kundenauthentifizierung (Zwei-Faktor-Authentifizierung) nach den Vorgaben der § 1 Abs. 24 ZAG sowie § 55 ZAG und den Regelungen der Delegierten Verordnung (EU) 2018/389 vom 27.11.2017 zur Ergänzung der Richtlinie (EU) 2015/2366 durch technische Regulierungsstandards für eine starke Kundenauthentifizierung und für sichere offene Standards für die Kommunikation (Delegierte VO 2018/389) (ABl. L 69/23 vom 13.03.2018). Die Sicherheit dieses Modells hängt systembedingt davon ab, dass sämtliche personalisierten Sicherheitsmerkmale vom Zahlungsdienstnutzer geheim gehalten werden und er nicht selbst ihre missbräuchliche Verwendung zulässt. Dem Kunden wird mit der Verpflichtung zur Beachtung von der Bank veröffentlichter Sicherheitshinweise zur Warnung vor Betrugsversuchen auch nicht eine Pflicht zur Beachtung komplexer Sicherheitsabläufe auferlegt, sondern lediglich die ohne weiteres einleuchtende Schutzmaßnahme, seine Sicherheitsmerkmale nicht anderen Personen zu offenbaren oder sonst ihrem Zugriff auszusetzen.

Dem Vorwurf grob fahrlässigen Verhaltens ist entgegen der Auffassung des Klägers, der sich hierzu auch auf landgerichtliche Rechtsprechung stützt (siehe LG Köln, Urteil vom 08.01.2024 - 22 O 43/23, juris Rn. 46, MMR 2024, 518; zustimmend aus der Literatur siehe Maume, BKR 2023, 766, 767; Mattil/Fohrer, BKR 2023, 844, 845) auch nicht entgegenzuhalten, dass sich der Kunde durch den Anruf eines vermeintlichen Bankmitarbeiters, der Kenntnisse von kontobezogenen Daten des Kunden hat, unter Anzeige der Rufnummer der Bank (sogenanntes Call-ID Spoofing) in einer Überrumpelungssituation befindet. Die generelle Verpflichtung, Sicherheitsmerkmale nicht anderen Personen zu offenbaren oder sonst ihrem Zugriff auszusetzen, dient gerade dem Schutz des Bankkunden davor, in einer Überrumpelungssituation z.B. durch den Anruf eines vermeintlichen Bankmitarbeiters unwissentlich einen missbräuchlichen Zugriff auf das eigene Konto zu verhindern. Nach den vereinbarten Bedingungen für das Online-Banking der Beklagten ist jede mündliche Mitteilung oder Weitergabe einer TAN außerhalb des Online-Banking ausgeschlossen. Dem Vorwurf grober Fahrlässigkeit ist daher nicht damit zu begegnen, dass der Kläger glaubte, mit einem Bankmitarbeiter zu sprechen. Auch ungeachtet der Kenntnis des Anrufers von kontobezogenen Daten durfte der Kläger nicht davon ausgehen, dass es sich bei dem Anrufer um eine berechtigte Person handele. Diese Daten sind vielmehr für einen beliebigen Dritten bei einem unbefugten Zugriff auf das Online-Banking-System einsehbar und konnten daher kein Vertrauen in die Berechtigung des Anrufers begründen, zumal nach den vorstehenden Ausführungen auch einem tatsächlichen Mitarbeiter der Beklagten die TANs nicht mündlich mitzuteilen gewesen wären. Dasselbe gilt daher auch für den Umstand, dass dem Kläger nach seinem Vorbringen bei dem Anruf die Festnetznummer der Beklagten angezeigt wurde, wobei hier hinzukommt, dass es als allgemein bekannt anzunehmen ist, dass bei Telefonanrufen leicht über die Identität des Anrufenden getäuscht werden kann und dass auch technische Möglichkeiten bestehen, um die gegebenenfalls auf dem Telefondisplay angezeigte Anrufernummer zu fälschen (so auch OLG Frankfurt, Urteil vom 06.12.2023 - 3 U 3/23, juris Rn. 93, WM 2024, 990; OLG München, Beschluss vom 22.09.2022 - 19 U 2204/22, juris Rn. 116 f.; Beschluss vom 04.09.2023 - 19 U 1508/23 e, juris Rn. 93, BKR 2023, 839). Hierüber informierte auch die Beklagten in ihren auf ihrer Online-Banking-Seite veröffentlichten Sicherheitshinweisen aus dem Jahr 2021.

dd. Auch in subjektiver Hinsicht ist der Vorwurf einer grob fahrlässigen Pflichtverletzung begründet; das Verhalten des Klägers stellt sich als in subjektiver Hinsicht schlechthin unentschuldbarer Verstoß gegen die Anforderungen der konkret erforderlichen Sorgfalt dar. Der Kläger ist durch die Regelungen in den Bedingungen für das Online-Banking der Beklagten und die Sicherheitshinweise der Beklagten mehrfach auf die erforderlichen Sicherheitsmaßnahmen im Online-Banking hingewiesen worden; auch nach seinem eigenen Vorbringen hatte er sich veranlasst gesehen, das Gespräch mit dem Anrufer mehrfach zu beenden und durch Einloggen in seine Online-Banking-App bzw. den Versuch desselben die Angaben des Anrufers zu überprüfen, so dass ihm also die ungewöhnliche und zu besonderer Vorsicht Veranlassung gebende Natur dieses Anrufs nicht entgangen war. Es kann hier wiederum dahinstehen, ob - wie von der Beklagten behauptet - bei der Freigabe der Überweisung deren Daten angezeigt wurden, wodurch der Kläger nochmals besonders gewarnt worden wäre; jedenfalls war dem Kläger auch nach seinen Angaben bewusst, dass regelmäßig bei pushTAN-Freigaben die Daten des Zahlungsvorgangs angegeben worden seien, was bei der Freigabe am 04.01.2023 aber nicht der Fall gewesen sei, so dass er auch aus diesen Gründen wegen der ungewöhnlichen Natur dieses Vorgangs zu besonderer Vorsicht hätte angehalten sein müssen.

c. Der Schadensersatzanspruch der Beklagten aus § 675v Abs. 3 Nr. 2 BGB ist auch nicht nach § 675v Abs. 4 S. 1 Nr. 1 BGB ausgeschlossen wegen einer fehlenden Anwendung einer starken Kundenauthentifizierung i.S.d. § 1 Abs. 24 ZAG durch die Beklagte. In der Rechtsprechung ist vertreten worden, dass dieser Haftungsausschluss auch dann zur Anwendung kommen soll, wenn der Zahlungsdienstleister entgegen den Vorgaben der gemäß § 55 Abs. 5 ZAG zur Konkretisierung der Anforderungen an die starke Kundenauthentifizierung dienenden Delegierten VO 2018/389 nicht sicherstellt, dass dem Zahler bei der Authentifizierung der Zahlungsbetrag und Zahlungsempfänger angezeigt werden, siehe Art. 5 Abs. 1 der Delegierten VO 2018/389 (hierzu LG Halle, Urteil vom 23.06.2023 - 4 O 133/22, juris Rn. 42 ff.; Werner, WM 2024, 966, 969). Für das Vorliegen der Voraussetzungen des § 675v Abs. 4 S. 1 Nr. 1 BGB ist nach allgemeinen Grundsätzen der Zahler darlegungs- und beweisbelastet, da es sich hier um einen zu seinen Gunsten eingreifenden Haftungsausschluss handelt. Diesen Beweis kann der Kläger nicht führen: Es begegnet keinen Bedenken, dass das Landgericht diesen Beweis nicht bereits als durch diesbezüglichen Angaben des Klägers in seiner persönlichen Anhörung erbracht angesehen hat, welche das Landgericht als bloße Schutzbehauptungen bewertet wurden. Im Übrigen hat der Kläger in erster Instanz bereits keinerlei sonstigen relevanten Beweis angeboten; auch das in der Berufungsinstanz angebotene Sachverständigengutachten ist nicht einzuholen, da dieses Beweisangebot zum einen bereits dem Novenausschluss nach den §§ 529, 531 ZPO unterfällt und da zum anderen auch der angebotene Sachverständigenbeweis ersichtlich nicht geeignet ist, den Beweis zu führen, dass bei dem in der Vergangenheit liegenden Vorgang der konkreten Freigabe der pushTAN am 04.01.2023 die Daten des Zahlungsvorgangs nicht angezeigt wurden (vgl. OLG Hamm, Beschluss vom 02.05.2023 - I-24 U 45/20, juris Rn. 15).

c. Der Schadensersatzanspruch der Beklagten ist auch nicht nach § 254 BGB wegen eines Mitverschuldens der Beklagten zu kürzen. Zwar kann grundsätzlich auch einem Anspruch des Zahlungsdienstleisters aus § 675v Abs. 3 BGB der Einwand eines Mitverschuldens des Zahlungsdienstleisters nach § 254 BGB entgegengehalten werden, wenn ihm ein eigenes unsorgfältiges Handeln anzulasten ist (vgl. BGH, Urteil vom 17.11.2020 - XI ZR 294/19, juris Rn. 49, BGHZ 227, 343; so auch die Rspr. des Senats, siehe Hanseatisches OLG in Bremen, Beschluss vom 19.05.2021 - 1 W 4/21, juris Rn. 25, WM 2021, 1792; Beschluss vom 15.04.2024 - 1 U 47/23, juris Rn. 33, WM 2024, 150; siehe aus der Literatur BeckOK/Schmalenbach, Ed. 71, § 675v BGB Rn. 19; Ellenberger/Findeisen/Nobbe/Böger-Nobbe, Zahlungsverkehrsrecht, 3. Aufl., § 675v BGB Rn. 107; MüKo/Zetzsche, 9. Aufl., § 675v BGB Rn. 59). Einer solchen Berücksichtigung eines eigenen Sorgfaltsverstoßes des Zahlungsdienstleisters steht es auch nicht entgegen, wenn - wie vorliegend - die Auslösung des Zahlungsvorgangs erst aufgrund einer Pflichtverletzung des Kunden erfolgte und die (hier vom Kläger geltend gemachte) Sorgfaltspflichtverletzung des Zahlungsdienstleisters dem lediglich vorausging. Dies führt nicht zur Annahme einer überholenden Kausalität der Sorgfaltspflichtverletzung des Zahlungsdienstnutzers (so aber OLG Frankfurt, Beschluss vom 22.09.2023 - 3 U 84/23, juris Rn. 22), wenn die geltend gemachte Sorgfaltspflichtverletzung des Zahlungsdienstleisters in dem Sinne als weiterhin kausal für den Schaden anzusehen ist, dass diese die Schadensentstehung durch die spätere Sorgfaltspflichtverletzung des Zahlungsdienstnutzers ermöglicht oder befördert hat. Vorliegend ist aber ein der Beklagten anzulastender Sorgfaltsverstoß nicht festzustellen:

aa. Wie bereits oben ausgeführt wurde, hat das Landgericht zutreffend als nicht erwiesen angesehen, dass die Parteien tatsächlich ein Tageslimit für Überweisungen i.H.v. EUR 2.500,- vereinbart hätten. Der beweisbelastete Kläger konnte daher nicht den Nachweis führen, dass mit der Ausführung einer Überweisung über EUR 10.000,- die Beklagte gegen eine vereinbarte Betragsobergrenze nach § 675k Abs. 1 BGB verstoßen hat, woraus sich ein im Rahmen des § 254 BGB relevantes Mitverschulden der Beklagten ergeben hätte (vgl. BGH, Urteil vom 29.11.2011 - XI ZR 370/10, juris Rn. 27 f., WM 2012, 164; hierzu auch die Rechtsprechung des Senats, siehe Hanseatisches OLG in Bremen, Beschluss vom 15.04.2024 - 1 U 47/23, juris Rn. 36, WM 2024, 150).

bb. Soweit der Kläger weiter das Vorhandensein von Lücken im Sicherheitssystem der Beklagten geltend macht, kann eine solche mangelnde Systemsicherheit grundsätzlich ein anspruchskürzendes Mitverschulden des Zahlungsdienstleisters begründen, wenn das verwendete System nicht dem Stand der Technik entspricht (siehe Ellenberger/Findeisen/Nobbe/Böger-Nobbe, Zahlungsverkehrsrecht, 3. Aufl., § 675v BGB Rn. 107; MüKo/Zetzsche, 9. Aufl., § 675v BGB Rn. 58; hierzu auch die Rechtsprechung des Senats, a.a.O., juris Rn. 35). Für das Vorliegen eines solchen Sicherheitsverstoßes fehlt es aber an substantiiertem Sachvortrag des Klägers; auch das Vorbringen des Klägers, dass ein unbefugter Dritter Kenntnis von kontenbezogenen Daten des Klägers gehabt habe, lässt nicht eine Schlussfolgerung zu, dass diese Kenntnis vom Dritten aufgrund eines Sorgfaltsverstoßes der Beklagten erlangt wurde und nicht etwa durch eine ebenso mögliche vorangegangene Preisgabe von Zugangsdaten durch den Kläger. Soweit der Kläger weiter einen Sicherheitsverstoß der Beklagten dahingehend geltend macht, dass ihr System es zugelassen habe, dass bei der Freigabe der pushTAN die Daten des Zahlungsauftrags nicht angezeigt worden seien, konnte der Kläger den Beweis hierfür - wie bereits ausgeführt - nicht führen.

cc. Schließlich ergibt sich ein zivilrechtlich relevanter Sorgfaltsverstoß der Beklagten auch nicht daraus, dass bei dem streitgegenständlichen Vorfall eine Echtzeitüberweisung über einen Betrag von EUR 10.000,- auf ein bis dahin unbekanntes Konto ausgeführt wurde. Dieser Umstand kann schon in allgemeiner Hinsicht nicht als auffällig und als Indikator für einen möglichen missbräuchlichen Kontozugriff angesehen werden, da es vielmehr im unbaren Zahlungsverkehr typisch ist, dass Zahlungen auch an solche Empfänger erfolgen, an die bislang noch keine Zahlungen erfolgt waren. Nach den maßgeblichen europarechtlichen Vorgaben ist im Bereich der elektronischen Zahlungsdiensteabwicklung der Zahlungsdienstleister zur Vorhaltung eines Systems zur Betrugsprävention ohnehin nur zur aufsichtsrechtlichen Überwachung verpflichtet, nicht dagegen zur Überwachung und Vorabkontrolle einzelner Zahlungsvorgänge: Die nach Art. 2 der Delegierten VO 2018/389 vorzuhaltenden Transaktionsüberwachungsmechanismen sind nicht auf eine Echtzeitanalyse einzelner Zahlungsvorgänge gerichtet, durch die im Interesse der betroffenen Zahlungsdienstnutzer gegebenenfalls auffällige Transaktionen vor deren Ausführung zu stoppen wären (so die Auslegung durch die Europäische Bankenaufsichtsbehörde (EBA) in Single Rulebook Q&A, Question ID 2018_4090; ebenso Casper/Terlau-Terlau, 3. Aufl., § 1 ZAG Rn. 520; Zahrte, BKR 2024, 593, 599; hierzu auch die Rechtsprechung des Senats, a.a.O., juris Rn. 37; anders dagegen Linardatos, BKR 2021, 665, 675). Systematisch ist dies daraus abzuleiten, dass Art. 2 der Delegierten VO 2018/389 hier von Transaktionsüberwachungsmechanismen spricht, während in Art. 18 diesen dort in Abs. 1 genannten Mechanismen die Echtzeitanalyse in Abs. 2 Buchst. c) gegenübergestellt wird. Diese Wertung der europarechtlichen aufsichtsrechtlichen Regelungen, wonach hier keine den Kläger schützende Sorgfaltspflicht der Beklagten vorsehen ist, ist auch für den zivilrechtlichen Sorgfaltsmaßstab heranzuziehen, ein zur Annahme eines Mitverschuldens führender Sorgfaltsverstoß der Beklagten ist daher zu verneinen.

3. Daneben kann die Beklagte gegen den Kläger auch einen Schadensersatzanspruch aufgrund der vom Kläger erklärten Anfechtung der Autorisierung geltend machen. Hat der Zahler seine Autorisierung eines Zahlungsauftrags wirksam angefochten, dann kann neben einen Schadensersatzanspruch des Zahlungsdienstleisters aus § 675v BGB auch ein Schadensersatzanspruch des Zahlungsdienstleisters aus § 122 BGB treten (so auch OLG Köln, Beschluss vom 21.03.2016 - 13 U 223/15, juris Rn. 3 f., WM 2016, 1780; LG Köln, Urteil vom 16.10.2015 - 30 O 330/14, juris Rn. 18, BKR 2016, 350; siehe ferner Baas/Buck-Heeb/Werner-Böger, Anlegerschutzgesetze, § 675p BGB Rn. 9; BeckOGK/Zahrte, Ed. 01.06.2024, § 675p BGB Rn. 111; BeckOK/Schmalenbach, 71. Ed., § 675p BGB Rn. 3; MüKoHGB/Linardatos, 5. Aufl., Bd. 6 K Onlinebanking Rn. 90). Dieser Schadensersatzanspruch wird insbesondere nicht durch die Regelung des § 675v BGB ausgeschlossen, da er mit den Folgen der Anfechtung wegen eines Willensmangels eine vom Zahlungsdiensterecht generell nicht geregelte Materie betrifft. Der Anspruch des Zahlungsdienstleisters gegen den Zahler als Folge der Anfechtung nach § 122 BGB unterliegt daher auch nicht den gesteigerten Verschuldensanforderungen und weiteren Einschränkungen des § 675v BGB (so auch BeckOGK/Zahrte, Ed. 01.06.2024, § 675p BGB Rn. 111; Zahrte, BKR 2016, 315, 317; ebenso MüKoHGB/Herresthal, 5. Aufl., Bd. 6 B. Überweisungsverkehr Rn. 127). Vorliegend haftet der Kläger daher auch nach § 122 BGB auf das negative Interesse, d.h. den Schaden in Höhe des Überweisungsbetrags, den die Beklagte durch ihr Vertrauen auf die Gültigkeit der ihr gegenüber erteilten Autorisierung erlitten hat; auch diesen Schaden kann die Beklagte den Ansprüchen des Klägers aus § 675u S. 2 BGB im Wege der Aufrechnung wie auch nach § 242 BGB entgegenhalten.

4. Der Senat beabsichtigt, gemäß § 522 Abs. 2 ZPO durch Beschluss statt durch Urteil zu entscheiden, da die Rechtssache weder grundsätzliche Bedeutung hat noch die Fortbildung des Rechts oder die Sicherung einer einheitlichen Rechtsprechung eine Entscheidung durch Urteil erfordern. Soweit die Frage der Anfechtbarkeit einer Autorisierung in Rechtsprechung und Literatur umstritten ist, kommt es für die vorliegende Rechtssache hierauf nicht entscheidungserheblich an, da bei Annahme einer nicht anfechtbaren Autorisierung bereits keine Ansprüche des Klägers aus § 675u S. 2 BGB begründet wären und er nach den vorstehenden Ausführungen auch keine sonstigen zu Schadensersatz begründende Sorgfaltspflichtverletzungen der Beklagten geltend machen kann. Hinsichtlich der Bewertung des Sorgfaltsverstoßes des Klägers als grob fahrlässig sieht der Senat seine Rechtsauffassung im Einklang mit der einhelligen veröffentlichten Rechtsprechung der Oberlandesgerichte.

Dem Kläger wird Gelegenheit zur Stellungnahme innerhalb der im Tenor genannten Frist gegeben. Es wird darauf hingewiesen, dass bei Rücknahme der Berufung Gerichtsgebühren gespart werden können (Ermäßigung der Gebühr für das Verfahren im Allgemeinen gemäß Nr. 1220, 1222 KV von 4,0 auf 2,0).