1R45/25f – OLG Linz Entscheidung

Das Oberlandesgericht Linz als Berufungsgericht hat durch die Richter Dr. Wolfgang Seyer als Vorsitzenden sowie Dr. Stefan Estl und Dr. Christoph Freudenthaler in der Rechtssache der klagenden Partei A* , geboren am **, **, vertreten durch Fürlinger Langoth Obermüller Rachbauer Rechtsanwälte GmbH Co KG in Linz, gegen die beklagte Partei B* C* Aktiengesellschaft , FN **, **, vertreten durch Dr. Günther Klepp, Dr. Peter Nöbauer, Mag. Franz Hintringer ua, Rechtsanwälte in Linz, wegen EUR 17.000,00, über die Berufung der klagenden Partei (Berufungsstreitwert: EUR 17.000,00) gegen das Urteil des Landesgerichtes Linz vom 20. Februar 2025, Cg*-90, in nichtöffentlicher Sitzung zu Recht erkannt:

Der Berufung wird teilweise Folge gegeben.

Das angefochtene Urteil wird dahin abgeändert, dass es lautet:

„1. Die beklagte Partei ist schuldig, der klagenden Partei EUR 8.500,00 samt 4 % Zinsen seit 3. Februar 2023 binnen 14 Tagen zu zahlen.

2. Das Mehrbegehren, die beklagte Partei sei schuldig, der klagenden Partei weitere EUR 8.500,00 samt 4 % Zinsen seit 3. Februar 2023 zu zahlen, wird abgewiesen.

3. Die beklagte Partei ist schuldig, dem Kläger EUR 8.396,00 an Barauslagen binnen 14 Tagen zu ersetzen.“

Die beklagte Partei ist schuldig, der klagenden Partei die mit EUR 609,50 (Barauslagen) bestimmten Kosten des Berufungsverfahrens zu ersetzen.

Die ordentliche Revision ist zulässig.

Entscheidungsgründe:

Der ** geborene Kläger war Kunde der beklagten Bank. Am 4. Jänner 2023 hatte er bei der Beklagten ein Girokonto zu ** sowie ein Sparkonto zu **. Darüber hinaus konnte er über seine Verfügernummer auch auf ein Konto des Vereins „D*“ zugreifen, dessen Obmann er ist.

Kunden der Beklagten werden zur Nutzung von Internetbanking zwei Programme zur Verfügung gestellt. Einerseits die „E*“ Anwendung, anderseits die „F*“ Anwendung, die nur in Kombination miteinander verwendet werden können. Diese Programme können in Form von „Apps“ auf den Smartphones der Nutzer installiert werden. Die „F* App“ dient primär der Autorisierung des jeweiligen Kontoinhabers. Jedem Gerät (zB Smartphone), über das die „F*-App“ bei der Durchführung einer Überweisung aufgerufen wird, wird eine sogenannte „F*“ Gerätebindungsnummer zugewiesen. Eine Gerätebindungsnummer wird nur einmal vergeben, um den Kunden zweifelsfrei identifizieren zu können.

Um als Kunde der Beklagten mit einem Smartphone Zugriff auf ein bei der Beklagten geführtes Girokonto zu erhalten, muss zunächst die „E*-App“ geöffnet werden. Nach dem Öffnen erscheint nach dem Bestätigen eines „Weiter“-Buttons der sogenannte „E*-Login“ samt der Mitteilung: „Möchten Sie sich in E* einloggen?“. Zudem wird eine individuelle vierstellige Prüfziffer, bestehend aus Buchstaben und Zahlen angezeigt. Darunter befindet sich ein Button mit der Aufschrift „F* öffnen“. Durch das Anklicken dieses Buttons wird der Nutzer – sofern diese installiert ist – direkt zum „F*-Login“ in die „F*-App“ weitergeleitet. Dort wird die Eingabe einer PIN, eines Fingerprints oder einer Face-ID verlangt, die jedem Nutzer von Internetbanking individuell von der Beklagten (einmalig und persönlich) zugeteilt wird. Anschließend ist auf ein „Anmelden“ Feld zu klicken. Daraufhin poppt die Mitteilung, „Möchten Sie sich in die E*-App einloggen?“, auf. Darunter wird eine vierstellige Prüfziffer angeführt. Diese vierstellige Prüfziffer ist ident mit jener Prüfziffer, die dem Benutzer zuvor in der „E*-App“ angezeigt wurde. Wiederum darunter befinden sich zwei Felder, einerseits „Login freigeben“ andererseits „Login ablehnen“. Wird das Feld „Login freigeben“ gedrückt, wird der Zugang zum Internetbanking in der „E* App“ freigegeben und das entsprechende Girokonto und alle Produkte (wie etwa Sparkonten) angezeigt, die dem Nutzer zur Verfügung stehen.

Neben der Vorgehensweise mit einem Smartphone besteht auch die Möglichkeit mit einem Computer oder einer anderweitigen Desktop Anwendung über einen sogenannten „Web-Zugang“ in das Internetbanking eines Kontoinhabers einzusteigen. Auch dabei ist der Zugriff beim Einloggen zwingend über das Programm „F*“ erforderlich. Nur mit der Verfügernummer eines Kontoinhabers in dessen Internetbanking einzusteigen, ist nicht möglich.

Wenn ein Kunde der Beklagten mittels Internetbanking eine Überweisung von seinem Girokonto tätigen möchte, muss dieser nach dem Einstieg in das Internetbanking im „E*“ Programm zunächst die Daten der Überweisung (IBAN, Empfänger, Betrag, Verwendungszweck, etc) eingeben. Ob eine Echtzeit-Überweisung durchgeführt werden soll, kann ausgewählt werden. Anschließend wird dem Kunden in einer Art Maske eine Übersicht der Überweisung beinhaltend Inlands-/Auslandsüberweisung, Empfänger IBAN und Betrag angezeigt. Anschließend ist auf das Feld „Freigeben“ zu drücken. Bei der Anwendung der „E*-App“ öffnet sich nach dem Anklicken dieses Feldes automatisch die „F*-App“ des Nutzers. Dort muss zunächst abermals die vierstellige individuelle PIN des Kunden eingegeben oder alternativ ein Fingerprint oder die Face-ID verwendet werden, um die Anwendung zu öffnen. Ist dies erfolgt, erscheint bei Echtzeit-Überweisungen ein Feld mit der Frage: „Möchten Sie diese Echtzeit-Überweisung freigeben?“ Es wird erneut der Empfängername, der Empfänger IBAN, Verwendungszweck und der Betrag angeführt. Darunter finden sich die Felder „Details anzeigen“, „Abbrechen“ und „Freigeben“. Weiters scheint folgende Mitteilung auf: „Geben Sie nur Überweisungen frei, die Sie selbst angelegt haben und tatsächlich auch durchführen wollen. Bitte beachten Sie, dass eine Echtzeit-Überweisung nicht mehr widerrufen werden kann.“

In dem Moment, in dem das „Freigeben“ Feld gedrückt wird, wird der Überweisungsauftrag bei der Beklagten als Auftrag erfasst. Bei der Nutzung der „F*-App“ erscheint anschließend ein Feld lautend: „Vielen Dank, Sie haben die Überweisung erfolgreich freigegeben.“ Zusätzlich erhält der Nutzer bei jeder Überweisung eine „Push Benachrichtigung“, die die Überweisung abermals zusammengefasst beinhaltet.

Bei einem Einstieg in das Internetbanking über eine Web-Anwendung sind Überweisungen ebenso über das „F*“ Programm freizugeben. Es ist möglich, diese Freigabe über die „F*-App“ durchzuführen, wobei exakt die eben dargestellten Schritte zu setzen sind. Ausgenommen ist lediglich die automatisierte Weiterleitung von „E*“ in die „F*-App“. In diesem Fall hat der Nutzer die „F*-App“ selbständig auf seinem Smartphone zu öffnen.

Der Überweisungsauftrag wird von der Beklagten grundsätzlich erst nach der Freigabe mittels des „F*“ Programms erfasst und bearbeitet. Die Erfassung eines Überweisungsauftrages im „E*“ Programm ohne „F*“ Freigabe löst noch keine Bearbeitung des Auftrages durch die Beklagte aus.

Der Kläger hat alle drei eingangs erwähnten Konten jeweils über die „E*-App“ und die „F*-App“ bedient. Er war ein mündiger Bankkunde, der sich gut auskannte und mit seiner Bankbetreuerin öfter telefonierte und per E-Mail kommunizierte. Nachdem er auch für den Verein haftet, ist er in der Vergangenheit öfter an seine Bankbetreuerin proaktiv herangetreten, um sich bei ihr kundig zu machen. Er hatte auch ihre Firmenhandynummer.

Bei Auftreten von vermehrten Betrugsversuchen und/oder Betrugsvorfällen infolge „Phishings“ werden von der Beklagten entsprechende Betrugswarnungen für ihre Kunden konzipiert.

Derartige Warnungen erhalten alle Kunden der Beklagten in ganz Österreich, die Online-Banking nutzen. Diese Warnungen werden als sogenannte „Muss-Nachrichten“ verfasst. Folglich muss jeder Kunde, sobald er die „E*-App“ öffnet, zwingend eine sich ihm öffnende Warnmeldung als gelesen bestätigen, ansonsten bleibt ihm der Zugang zu seinem Online-Banking verwehrt.

Der Geschäftsbeziehung zwischen den Streitteilen lagen die jeweils gültigen Allgemeinen Geschäftsbedingungen der Beklagten sowie die jeweils gültigen Allgemeine Informationen zu Zahlungsdienstleistungen für Verbraucher zugrunde.

In den Allgemeinen Geschäftsbedingungen der Beklagten wird unter Punkt E. Mitwirkungspflichten und Haftung des Kunden, 5. Sorgfalt bei Verwendung von Zahlungsinstrumenten, Z 15 (1) festgehalten:

„Der Kunde hat bei der Nutzung eines Zahlungsinstrumentes, das vereinbarungsgemäß zur Erteilung eines Auftrags an das Kreditinstitut verwendet werden kann, alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugten Zugriffen zu schützen. ...“

In der Allgemeine Informationen zu Zahlungsdienstleistungen für Verbraucher im Punkt IV. Dienstleistungen des Kreditinstitutes im Zahlungsverkehr (richtig: in V) im Punkt 1.b. Internetbanking ist festgehalten, dass der Kunde bei der Nutzung des Internetbankings als Zahlungsinstrument alle zumutbaren Vorkehrungen zu treffen hat, die personalisierten Sicherheitsmerkmale (insbesondere Passwort, Code, TAC, TAN, F*) vor unbefugtem Zugriff zu schützen.

Im Punkt VI. Autorisierung und Durchführung von Zahlungsaufträgen ist im Punkt 1. Autorisierung, Widerruf und Ablehnung von Zahlungsaufträgen ist festgehalten:

„Ein Zahlungsauftrag gilt für das Kreditinstitut nur dann als autorisiert, wenn der Kunde dem jeweiligen Zahlungsvorgang in der mit ihm für diesen Zweck vereinbarten Form und unter Verwendung eines dafür mit ihm vereinbarten Zahlungsinstrumentes zugestimmt hat. ...

Die Zustimmung kann vom Kunden widerrufen werden, bis

- der Zahlungsauftrag des Kunden bei dem Kreditinstitut eingegangen ist oder

- im Falle einer Vereinbarung eines Ausführungsdatums in der Zukunft vor dem Ende des Geschäftstages, der vor dem vereinbarten Tag liegt.

...

Das Kreditinstitut kann die Ausführung eines autorisierten Zahlungsauftrages nur ablehnen, wenn

- dieser nicht alle im Girokontovertrag und den Bedingungen festgelegten Voraussetzungen erfüllt (insbesondere, wenn die erforderlichen Angaben fehlen oder es an der notwendigen Deckung durch Kontoguthaben oder offene Kreditlinie fehlt); oder

- die Ausführung gegen gemeinschaftsrechtliche oder innerstaatliche Regelungen oder gegen eine richterliche oder behördliche Anordnung verstoßen würde; oder

- ein begründeter Verdacht besteht, dass die Ausführung eine strafbare Handlung darstellen würde.

...

3.a. Echtzeit-Überweisung (SEPA)

3.a.1. Wesentliche Merkmale

...

Der Zahlungsdienstleister des Zahlungsempfängers ist bei Durchführung einer Echtzeit-Überweisung gegenüber dem Zahlungsempfänger verpflichtet, ihm den Zahlungsbetrag innerhalb von maximal 25 Sekunden zur Verfügung zu stellen.

3.a.2. Betragsgrenze

Für Echtzeit-Überweisungen besteht eine Betragsgrenze von EUR 100.000,00 je Zahlungsauftrag.

3.a.3. Zugang und Widerruf des Zahlungsauftrags

Das Kreditinstitut unterhält abweichend von Kapitel VI. Punkt 2. den für die Ausführung von Echtzeit-Überweisungen erforderlichen Geschäftsbetrieb für die vereinbarten elektronischen Zugangswege (zB Internetbanking) ganztägig an allen Kalendertagen eines Jahres. Mit dem Zugang des Zahlungsauftrages beim Kreditinstitut kann der Kunde diesen nicht mehr widerrufen.

3.a.4. Autorisierung, Widerruf und Ablehnung

Im Verhältnis zwischen Kreditinstitut und Kunde kommt Punkt VI. 1 zur Anwendung.

3.a.5. Ausführungsfrist

Das Kreditinstitut ist verpflichtet sicherzustellen, dass der Geldbetrag einer Echtzeit-Überweisung nach erfolgreicher Prüfung der Ausführungsvoraussetzungen innerhalb von maximal 25 Sekunden bei dem Zahlungsdienstleister des Zahlungsempfängers eingeht.

...“

Im Punkt VII. Haftung und Erstattungspflicht im Zusammenhang mit Zahlungsaufträgen ist ausgeführt:

„ 1. Vom Kunden nicht autorisierte Zahlungsvorgänge

1.a. Berichtigung der Kontobelastung

Wurde ein Zahlungsauftrag zulasten eines Kundenkontos ohne Autorisierung durch den Kunden durchgeführt, so wird das Kreditinstitut unverzüglich das belastete Konto des Kunden wieder auf den Stand bringen, auf dem es sich ohne den nicht autorisierten Zahlungsvorgang befunden hätte, dh insbesondere die Belastung des Kontos mit dem Betrag des Zahlungsvorgangs mit Wertstellung der Belastung rückgängig machen. Der Kunde hat zur Erwirkung dieser Berichtigung das Kreditinstitut unverzüglich zu unterrichten, sobald er einen von ihm nicht autorisierten Zahlungsvorgang festgestellt hat. Das Recht des Kunden auf Berichtigung endet spätestens dreizehn Monate nach dem Tag der Belastung. Unabhängig von diesem Berichtigungsanspruch des Kunden sind im Einzelfall auch aufgrund anderer Rechtsgrundlage basierende Ansprüche gegenüber dem Kreditinstitut möglich.

1.b. Haftung des Kunden

Beruhen vom Kunden nicht autorisierte Zahlungsvorgänge auf der Nutzung eines verlorenen oder gestohlenen Zahlungsinstruments oder auf der missbräuchlichen Verwendung eines Zahlungsinstruments, so ist der Kunde dem Kreditinstitut zum Ersatz des gesamten daraus entstandenen Schadens verpflichtet, wenn der Kunde den Schadenersatz

i. in betrügerischer Absicht oder

ii. durch vorsätzliche oder grob fahrlässige Verletzung der ihn im Zusammenhang mit dem Zahlungsinstrument und den personalisierten Sicherheitsmerkmalen treffenden Pflichten herbeigeführt hat.

Hat der Kunde diese Pflichten nur leicht fahrlässig verletzt, so ist die Haftung des Kunden für den Schaden auf den Betrag von EUR 50,00 beschränkt.

Der Kunde haftet nicht:

+ wenn der Verlust, der Diebstahl oder die missbräuchliche Verwendung des Zahlungsinstruments für ihn vor einer Zahlung nicht bemerkbar war oder der Verlust des Zahlungsinstruments durch dem Kreditinstitut zuzurechnende Handlungen oder Unterlassungen verursacht wurde.

+ für Zahlungsvorgänge, die nach seinem Auftrag an das Kreditinstitut, ein bestimmtes Zahlungsinstrument zu sperren, mittels des betreffenden Zahlungsinstruments veranlasst werden; es sei denn, der Kunde hat in betrügerischer Absicht gehandelt.

+ für Zahlungsvorgänge, bei welchen die Anzeige des Verlusts, Diebstahls oder der missbräuchlichen Verwendung des Zahlungsinstruments aus von dem Kreditinstitut zu vertretenden Gründen für den Kunden nicht möglich gewesen ist; es sei denn, der Kunde hat in betrügerischer Absicht gehandelt.

+ für nicht autorisierte Zahlungsvorgänge, bei welchen das Kreditinstitut keine starke Kundenauthentifizierung verlangt hat; es sei denn, der Kunde hat in betrügerischer Absicht gehandelt.

Wenn der Kunde den Schaden weder in betrügerischer Absicht noch durch vorsätzliche Verletzung einer Pflicht herbeigeführt hat, sind bei einer allfälligen Schadensteilung zwischen dem Kunden und dem Kreditinstitut insbesondere die Art der personalisierten Sicherheitsmerkmale sowie die besonderen Umstände, unter denen der Verlust, der Diebstahl oder die missbräuchliche Verwendung des Zahlungsinstrument stattgefunden hat, zu berücksichtigen.“

2. Erstattung eines autorisierten, durch den Zahlungsempfänger ausgelösten Zahlungsvorgangs

Der Kunde kann vom Kreditinstitut die Erstattung des seinem Konto aufgrund eines von ihm erteilten SEPA-Lastschriftmandates angelasteten Betrags binnen acht Wochen ab dem Zeitpunkt der Belastung seines Kontos verlangen. Das Kreditinstitut hat diesem Verlangen des Kunden innerhalb von zehn Geschäftstagen nachzukommen und die Belastung seines Kontos mit dem eingezogenen Betrag mit Wertstellung zum Datum der Belastung des Kontos rückgängig zu machen.

Bei SEPA-Firmenlastschriften besteht dieses Recht nicht.“

Der Kläger begehrte EUR 17.000,00 mit der Begründung, er sei am 4. Jänner 2023 Opfer eines massiven Betrugsdeliktes – sowohl in Bezug auf sein privates Girokonto, als auch in Bezug auf ein von ihm verwaltetes Vereinskonto – geworden. Vom Vereinskonto seien rund EUR 185.000,00, von seinem privaten Girokonto EUR 18.000,00 betrügerisch abgebucht worden, wobei EUR 1.000,00 zurückgeholt werden hätten können, womit sich der Klagsbetrag von EUR 17.000,00 ergebe.

Der Kläger habe am Morgen des 4. Jänner 2023 ein gefälschtes E-Mail von „seiner Bank“ erhalten, indem er auf ein erforderliches Update für die sogenannte „F*-App“ hingewiesen worden sei. Nach Klick auf einen in dieser E-Mail befindlichen Link sei er zu einer Maske gelangt, wo er einen Terminvorschlag für einen Rückruf eingegeben habe. Am Abend desselben Tages sei er dann von einem vermeintlichen Mitarbeiter der Beklagten angerufen worden, der ihm mitgeteilt habe, dass betrügerische Überweisungen auf seinem Privatkonto und auch auf dem Vereinskonto stattgefunden hätten. Der Anrufer habe ihn angewiesen, in das Online-Banking bzw die „F*-App“, einzusteigen und dort angebliche Stornierungen, die vom Anrufer getätigt werden sollten, zu bestätigen. Dies habe der Kläger wiederholt durchgeführt. Die immer wieder vorgenommenen Stornos seien – wie sich im Nachhinein herausgestellt habe – in Wahrheit aber die schadensursächlichen Überweisungen gewesen. Für den Kläger sei dies während des Telefonats nicht ersichtlich gewesen, da das entsprechende Feld in der „F*-App“ grau hinterlegt gewesen sei.

Nachdem der Kläger die betrügerischen Abbuchungen bemerkt habe, habe er versucht, die Betrugshotline der Beklagten zu erreichen, was ihm aber nicht gelungen sei.

Der Kläger habe zahlreiche Einzelüberweisungen auf völlig unbekannte Konten in Drittstaaten und über hohe Beträge durchgeführt. Noch nie seien auf diese Konten (oder überhaupt in Drittstaaten) von ihm Überweisungen getätigt worden. Rechtlich handle es sich um nicht autorisierte Zahlungsvorgänge iSd ZaDiG 2018, insbesondere da die Zahlungen nicht vom Willen des Klägers gedeckt gewesen seien. Es greife daher das Haftungsregime der §§ 67, 68 ZaDiG.

Den Kläger treffe keine grobe Pflichtverletzung. Sowohl die Webseite, als auch die E-Mail seien der Webseite und dem typischen Design der Beklagten täuschend ähnlich gewesen. Der Inhalt der Mail sei nachvollziehbar und in klarer Sprache erklärt, warum ein Wechsel der „App“ vorzunehmen sei. Der Kläger habe nicht davon ausgehen müssen, dass seine Hausbank ihm keine E-Mails mehr übermittle; dabei handle es sich um eine übliche und legitime Kommunikationsform. Er habe während des Telefonats die aufscheinende Telefonnummer des Anrufers per Internetsuche überprüft und habe diese exakt der Rufnummer der B* G* entsprochen. Mit einem derartig professionellen Angriff, bei dem mit hohem technischen Aufwand sogar die Telefonnummer gefälscht werde, habe der durchschnittliche Bankkunde nicht rechnen müssen. Wer als Bankkunde einen Anruf von „seiner“ Bank unter der im Internet aufscheinenden Nummer erhalte und diese sogar noch während des Telefonats prüfe, werde darauf vertrauen dürfen, dass der Anrufer authentisch sei. Hinzu komme, dass der Anrufer gegenüber dem Kläger bereits vor dem ersten Login die Prüfziffer nennen habe können, obwohl zu diesem Zeitpunkt die „F*-App“ vom Kläger noch gar nicht gestartet worden sei. Auch das sei ein Indiz für den Kläger gewesen, dass der Anruf echt sein müsse. Dieser Umstand zeige auch, dass der Anrufer zu diesem Zeitpunkt bereits Zugang zu den E-Banking-Systemen der Beklagten gehabt haben müsse, andernfalls wäre er zur Nennung dieser Ziffern nicht in der Lage gewesen.

Selbst wenn von grober Fahrlässigkeit des Klägers auszugehen wäre, würde gemäß § 68 Abs 4 ZaDiG 2018 eine ganz überwiegende Mäßigung bzw Schadensteilung zugunsten des Klägers vorzunehmen sein, da das Fehlverhalten der Beklagten ein allfälliges Fehlverhalten des Klägers massiv überlagere. Die Zahlungsdienstleister hätten gemäß § 85 ZaDiG einen Rahmen angemessener Risikominderungsmaßnahmen und Kontrollmechanismen zur Beherrschung der sicherheitsrelevanten Risiken im Zusammenhang mit den erbrachten Zahlungsdiensten zu schaffen. Ein Bankinstitut sei somit verpflichtet, die Sicherheit des Zahlungsinstruments zu gewährleisten und Transaktionsüberwachungsmechanismen, die die Erkennung nicht autorisierter oder betrügerischer Zahlungsvorgänge ermöglichen, zu implementieren. Sei für den Missbrauch nicht nur ein grob fahrlässiges Verhalten des Kunden verantwortlich, sondern auch Sicherheitslücken adäquat kausal, komme es unabhängig davon zu einer Schadensteilung.

Gegen diese Pflichten habe die Beklagte in mehrfacher Art und Weise verstoßen, da sie entgegen der gesetzlichen Verpflichtung keinerlei Kontrollmechanismen in die Überweisungsabwicklung implementiert habe, um Kunden vor derartigen außergewöhnlichen, betrügerisch herbeigeführten Transaktionen zu schützen. Bereits mit einfachsten, automatisierten Kontrollalgorithmen hätten die zeitlich unmittelbar aufeinanderfolgenden gehäuften Auslandsüberweisungen mit derartig hohen Beträgen erkannt werden können. Branchenüblich sei es auch, Express-Überweisungen systematisch betraglich zu begrenzen bzw auch bei Auslandsüberweisungen entsprechende Schranken einzuziehen. Die Beklagte habe keinerlei Kontrollmechanismen in ihrem Online-Banking-System oder in ihrer Überweisungsabwicklung implementiert, die bei derart hoch auffälligen Sachverhalten zumindest eine Überprüfung oder ein (persönliches) Freigabeerfordernis auslöse; dies obwohl derartige Betrugsschemata in der Bankenbranche bestens bekannt seien.

Die Beklagte beantragte die Klagsabweisung und wendete zusammengefasst ein, sie habe den Kläger wiederholt vor betrügerischen Aktivitäten im Zusammenhang mit Online-Banking-Vorgängen gewarnt. Konkret sei er am 29. Dezember 2022 ausdrücklich davor gewarnt worden, dass es aktuell zu massiven Betrugsversuchen kommen könne, bei welchen Betrüger den jeweiligen Bankkunden telefonisch dazu auffordern, Konto- oder Kartendaten bekanntzugeben, um angebliche betrügerische Zahlungen stornieren bzw zurückholen zu können. Trotz dieser klaren und unmissverständlichen sowie zeitlich unmittelbar vorangegangenen Warnung, die der Kläger auch zur Kenntnis genommen habe, habe er sich am 4. Jänner 2023 dazu verleiten lassen, einem Dritten Zugang zu seinem Konto zu verschaffen, wobei er im Rahmen eines rund eineinhalbstündigen Telefonats mit diesem Dritten nicht nur sein eigenes Girokonto abdisponiert habe, sondern auch ein zweites Konto, über welches der Kläger als Obmann eines Vereins verfügungsberechtigt gewesen sei.

Durch die Eingabe seiner Verfügerdaten habe der Kläger dem Dritten ermöglicht, Einsicht in das Konto zu nehmen. Letzterer habe Zugriff zum Online-Banking durch eine Freigabe von Seiten des Klägers erhalten. Im Anschluss daran habe der Gesprächspartner des Klägers einige Transaktionen gestartet, welche alle ausnahmslos vom Kläger mit seinem eigenen Gerät (PC) freigegeben worden seien. Bei all diesen Transaktionen sei dem Kläger über „F*“ angezeigt worden, welche konkrete Freigabe er in diesem Moment erteile. Der Kläger sei in Kenntnis gewesen, dass er Abbuchungen vollziehe. Er habe in der Zeit zwischen 17.04 Uhr und 17:58 Uhr 35 Abbuchungen das Vereinskonto betreffend freigegeben und insgesamt rund EUR 185.000,00 abdisponiert. Erst als das Guthaben auf dem Vereinskonto aufgebraucht gewesen sei, habe der Kläger Überweisungen von seinem Sparkonto auf sein Girokonto veranlasst und anschließend auch das Girokonto abdisponiert. Insgesamt habe er mit sechs Freigaben EUR 18.000,00 von seinem Konto abgebucht.

Der Kläger habe bei allen 41 Transaktionen zweifelsfrei Kenntnis darüber gehabt, dass es sich bei den freigegebenen Dispositionen ausschließlich um Abbuchungen gehandelt habe. Vor jeder einzelnen „F*“ Freigabe sei er darauf ausdrücklich hingewiesen worden. Bei nur geringster Aufmerksamkeit hätte der Kläger erkennen müssen, dass die von ihm getätigten Transaktionen keinesfalls einen redlichen Hintergrund bzw seriösen Charakter besitzen. Es sei geradezu unerklärlich, warum er dennoch die einzelnen Zahlungen freigegeben habe. Das schadensursächliche Verhalten des Klägers sei im höchsten Maße als sorglos bzw fahrlässig zu bezeichnen. Selbst wenn man dem Kläger bei der ersten, allenfalls noch bei der zweiten Kontodisposition den Zustand einer gewissen Überrumpelung zubilligen wolle, hätte er spätestens vor der dritten Transaktion das offenbar betrügerische Ansinnen des Anrufers erkennen und eine weitere Freigabe unterlassen müssen.

Eine Haftung der Beklagten für die vom Kläger grob fahrlässig veranlassten Kontodispositionen sei von vornherein ausgeschlossen. Die einzelnen Zahlungsvorgänge seien ausnahmslos alle vom Kläger autorisiert worden. Die Beklagte habe nachgewiesen, dass die Zahlungsvorgänge authentifiziert, ordnungsgemäß aufgezeichnet und verbucht worden seien und nicht durch einen technischen Fehler oder durch eine andere Störung des von der Beklagten als Zahlungsdienstleister erbrachten Dienstes beeinträchtigt worden seien. Eine allfällige Haftung der Beklagten scheitere somit von vornherein.

Die Beklagte verfüge über ein ausreichendes Sicherungssystem, welches banküblich sei und dem derzeitigen Sicherheitsstandard entspreche. Die Zahlungsvorgänge seien vom Kontrollsystem weder in Bezug auf das Empfängerkonto, noch hinsichtlich der Betragshöhe als verdächtig eingestuft und deshalb auftragsgemäß durchgeführt worden. Der Kläger habe Echtzeit-Überweisungen in Auftrag gegeben. Dabei sei die Beklagte verpflichtet, den Zahlungsvorgang in Sekundenschnelle abzuwickeln. Eine Rückholung dieser ordnungsgemäß authentifizierten Zahlungsvorgänge wäre daher auch dann nicht möglich gewesen, wenn der Kläger in der Nacht vom 4. Jänner 2023 die – entgegen seinen Behauptungen sehr wohl besetzte – Betrugshotline noch erreicht hätte.

Mit dem angefochtenen Urteil wies das Erstgericht das Klagebegehren zur Gänze ab. Über die eingangs wiedergegebenen Feststellungen hinaus legte es seiner Entscheidung den auf den Seiten 9 bis 24 des Urteils wiedergegebenen Sachverhalt zugrunde, worauf gemäß § 500a ZPO verwiesen wird. Hervorzuheben sind folgende, für das Berufungsverfahren wesentlichen, gerafft wiedergegebenen Feststellungen (die bekämpften Feststellungen sind in Kursivschrift gesetzt):

Als Reaktion darauf, dass im Namen der B* betrügerische „Phishing“ Nachrichten versendet und auch betrügerische Anrufe getätigt wurden, erstellte die Beklagte Ende Dezember 2022 folgende Warnung, die sämtlichen Nutzern von Online-Banking – so auch dem Kläger – übermittelt wurde und jeweils als gelesen bestätigt werden musste, bevor das Internetbanking weiter genutzt werden konnte :

„Lesebestätigung der Warnmeldung:

Wichtig

Betrügerische Anrufe im Namen von H* und B*

English Version

Liebe Kund:in,

aktuell kommt es zu Betrugsversuchen, bei denen Kund:innen von vermeintlichen Mitarbeiter:Innen von H* oder B* angerufen werden.

Die Betrüger:innen versuchen, Sie unter dem Vorwand eines vorangegangenen Betrugs und der nun nötigen Rückholung von betrügerischen Zahlungen, zur Freigabe eines E*-Logins und anschließend zu weiteren zu zeichnenden Aktionen zu bewegen.

Unsere Mitarbeiter:innen würden Sie niemals im Zuge eines Telefonats zu Betrugsfällen oder ähnlichem dazu auffordern eine F* Freigabe durchzuführen oder Ihre Konto- oder Kartendaten bekanntzugeben. Diese Anrufe stammen nicht von H* oder B*!

Seien Sie also vorsichtig, geben Sie nichts frei und bitte beenden Sie solche Telefongespräche sofort.

Mehr erfahren

Freundliche Grüße,

Ihr Internetbanking-Team“.

Dem Kläger wurde diese Warnung beim Öffnen der „E*-App“ am 30. Dezember 2022 angezeigt. Er bestätigte am PC, die Warnung gelesen zu haben.

Neben der eingangs dargelegten notwendigen Autorisierung der Kontoinhaber beim Einstieg in das Internetbanking sowie bei der Erfassung und Freigabe von Überweisungsaufträgen hat die Beklagte ein sogenanntes „Fraud-Transaction-Monitoring“ System (in der Folge: FTM) eingerichtet. Alle Zahlungen, die der Kunde autorisiert, werden mit dem bisherigen Kundenverhalten auf dem jeweiligen Konto automatisiert abgeglichen. Beim Prüfvorgang der einzelnen Zahlungen/Überweisungsaufträge fließen bei einem Abgleich des bisherigen Kundenverhaltens unter anderem der Betrag und das Empfängerkonto als Parameter bei der Prüfung mit ein.

Dass das FTM der Beklagten eine bestimmte Anzahl der Überweisungen auf einem Konto prüft, kann nicht festgestellt werden. Das FTM prüft nicht die Anzahl der Überweisungen auf verschiedenen Konten eines Verfügers.

Die Beklagte erstellt auch ein Protokoll über die Nutzung des Zugangsgeräts und der Zugangssoftware.

Dass das FTM anderer Banken in einer gesamtheitlichen Betrachtung die Anzahl der Überweisungen auf mehreren Konten eines Verfügers prüft oder die Anzahl der Überweisungen auf einem konkreten Konto prüft, kann nicht festgestellt werden. Die Mustererkennung an sich ist Stand der Technik, wobei ein Stand der Technik, nämlich was konkret und in welcher Tiefe standardmäßig bei Banken überprüft wird, nicht festgestellt werden kann.

Wenn eine Überweisung autorisiert wird, die von dem gewöhnlichen Zahlungsverhalten des Kunden die Höhe der Überweisungen betreffend deutlich abweicht oder das Empfängerkonto als betrugsverdächtig in der Datenbank der Beklagten hinterlegt ist, wird diese vom FTM der Beklagten gestoppt. Ist nur die Höhe der Überweisung auffällig, kann bloß keine Echtzeit-Überweisung durchgeführt werden, wobei dann der Hinweis kommt, dass eine Echtzeit-Überweisung nicht möglich ist und der Kunde müsste eine normale SEPA-Überweisung machen, die wiederum vom FTM kontrolliert würde. Wäre hier die Höhe wieder in Abweichung vom normalen Kundenverhalten auffällig, dann würde die Zahlung dem Betreuer zur Abklärung mit dem Kunden vorgelegt.

Wenn eine Zahlung nicht durch das von der Beklagten eingerichtete FTM gestoppt wird, wird der Überweisungsauftrag vollautomatisiert abgewickelt. Mit dem Moment, in dem eine Zahlung autorisiert ist und nicht vom FTM gestoppt wird, ist sie bereits gebucht und im Fall von Echtzeit-Überweisungen von der Beklagten und/oder dem Kunden nicht mehr einseitig „zurückzuholen“.

Dass es am Konto die Möglichkeit gibt, Überweisungslimits einzustellen, war dem Kläger nicht bekannt. Er stellte sich auch kein Limit ein. Der Kläger macht 95% aller Überweisungen am Handy.

Am 4. Jänner 2023 erhielt der Kläger folgende E-Mail:

Das an dieser Stelle dargestellte Lichtbild wurde entfernt.

Weder ist dem Kläger an der E-Mail-Adresse „I*“ etwas ungewöhnlich vorgekommen, noch ist ihm aufgefallen, dass hier „H* ... B* ...“ angeführt ist. Auch dass in der Anrede „Sehr geehrte Damen und Herren“ steht, war für ihn nicht außergewöhnlich. Ihm ist auch nicht aufgefallen, dass er in der Anrede mit „Sie“ angesprochen wurde, dann aber in der ersten Zeile mit „euch“ und in der vierten Zeile mit „Sie“ weitergeschrieben wurde. Auch dass beim Link das „ihr“ kleingeschrieben wurde und bei den Kosten von EUR 19,99 das Wort „an“ gefehlt hat, fiel dem Kläger nicht auf.

Der Kläger klickte auf den Link in der E-Mail und fügte seine Daten nicht nur in einen Raster, in welchem stand, dass er zwischen 15:00 und 18:00 Uhr für einen Rückruf der Bank erreichbar wäre, ein, sondern gab dabei auch seine Verfügerdaten bekannt.

Weder das System der Beklagten noch das Handy des Klägers sind gehackt worden. Die Verfügernummer des Klägers wurde nicht von Betrügern auch nicht im Darknet erworben.

Die Geschehnisse am 4. Jänner 2023 stellten sich dann in weiterer Folge wie folgt dar:

Der Betrüger startete die Web-Anwendung des Programms „E*“ und gab die Verfügernummer des Klägers ein, welche ihm durch das vom Kläger zuvor angeklickte E-Mail und durch die Eingabe seiner Verfügernummer bekannt war. Der unbekannte, hochdeutsch sprechende Betrüger rief den Kläger an und stellte sich als „J*“ vom technischen Support K*, der Bank „B* G* in der L*“ vor.

Dass der Kläger die Telefonnummer des Anrufers überprüft hat, kann nicht festgestellt werden.

Der Betrüger teilte dem Kläger mit, dass einige Überweisungen in der „Pipeline“ seien und fragte, ob der Kläger diese Überweisungen gemacht habe, weil er in diese Länder noch nie einen Cent überwiesen hätte. Er meinte weiters, dass er einen Sicherheitsscan des Vereinskontos machen müsse und der Kläger in die „F*-App“ einsteigen und Stornierungen bestätigen solle. Der Kläger dachte sich dabei nichts. Er loggte sich im „E*“ ein und folgte den Anweisungen des Betrügers.

Dieser nannte dem Kläger eine Prüfziffer für den Login, die letzterer in der „F*-App“ mit „Login freigeben“ auch freigab, nachdem er diese Prüfziffer ebenfalls am Handy angezeigt bekam. So wurde vom Kläger selbst mit seiner „F*“ der Login für den Betrüger freigegeben. Dadurch gelang es diesem, in das Internetbanking des Klägers einzusteigen.

Der Kläger, dem der Betrüger sagte, dass er Abbuchungen stornieren müsse, erkundigte sich bei diesem auch noch, wie er die Stornierung tätigen könne, wobei ihm der Betrüger mitteilte, dass er auf den Freigabebutton gehen müsse, also das Feld, auf dem man auch Zahlungen für Rechnungen, die man zahlen will, freigibt. Im Anschluss legte der Betrüger 35 Transaktionen das Vereinskonto betreffend an, welche alle vom Kläger mit seinem eigenen Gerät freigegeben wurden. Er erhielt dabei über „F*“ jeweils folgenden Text:

„Geben Sie nur Überweisungen frei, die Sie selbst angelegt haben und tatsächlich auch durchführen wollen. Bitte beachten Sie, dass eine Echtzeit-Überweisung nicht mehr widerrufen werden kann.

Möchten Sie diese Echtzeit-Überweisung freigeben?

Empfängername ..., IBAN ..., Verwendungszweck ..., Betrag ...“.

Dieser Text war im Anschluss für jede der 35 Zahlungen vom Vereinskonto, die im Zeitraum von rund einer Stunde jeweils vom Betrüger erstellt und vom Kläger freigegeben wurden, der gleiche und wurde vor jeder Freigabe an den Kläger übermittelt. Dem Kläger wurde für jede Überweisung über „F*“ jeweils angezeigt, welche Freigaben er in diesem Moment erteilte. Er aktualisierte in dieser Zeit auch den Browser und war in der Life-Ansicht von „E*“, womit er die offene Transaktion sowie jeweils die durchgeführten, von ihm freigegebenen Überweisungen in der Kontohistorie sah. Er sah also die Höhe der Beträge, die abgebucht wurden, und sprach den Betrüger sogar darauf an, welcher ihm mitteilte, dass ihm alles von der B* rückerstattet werde.

In Summe wurden auf diesem Weg über EUR 185.000,00 vom Vereinskonto abgebucht, bis am Konto nur mehr EUR 24,00 übrig waren. Der Betrüger erklärte dem Kläger, als ihn dieser auf den Endsaldo explizit ansprach, dass er sich glücklich schätzen könne; andere würden das ganze Geld verlieren. Er tat so, als ob bei den Überweisungen etwas schiefgegangen wäre.

Der Betrüger teilte danach dem Kläger mit, dass auch am Privatkonto Überweisungen in der „Pipeline“ seien. Er sprach konkret davon, dass eine Überweisung in die Türkei und eine in ein anderes Land eingestellt worden sei. Zu diesem Zeitpunkt befand sich ein nicht mehr genau feststellbarer Betrag zwischen EUR 500,00 und EUR 2.700,00 auf dem Girokonto und EUR 18.000,00 auf dem Sparkonto des Klägers.

Dass Überweisungen vom Sparkonto auf das Girokonto erfolgten, bemerkte der Kläger und sprach den Betrüger sogar darauf an, welcher meinte, dass er das wieder stornieren würde und er solle das mit seinem PIN bestätigen. Vom Sparkonto konnten nur Eigenüberträge auf das Girokonto und keine Überweisungen auf andere Konten gemacht werden, was der Kläger auch wusste. Trotzdem erteilte er jeweils die Freigabe vom Sparkonto, zuerst EUR 15.000,00 und dann noch weitere EUR 3.000,00, somit insgesamt EUR 18.000,00 auf sein Girokonto zu überweisen.

Der Betrüger erstellte insgesamt am Girokonto folgende Transaktionen, die alle vom Kläger von seinem Gerät freigegeben wurden und ihm über „F*“ jeweils angezeigt wurden:

Erstellt durch den Betrüger am 04.01.2023, um 18:02:44 Uhr, freigegeben durch den Kläger um 18:02:50 Uhr, erfolgte folgende Zahlung: EUR 8.500,00 an M*, IBAN: N*.

Erstellt durch den Betrüger am 04.01.2023, um 18:03:27 Uhr, freigegeben durch den Kläger um 18:03:35 Uhr, erfolgte folgende Zahlung: EUR 1.500,00 an M*, IBAN: N*.

Erstellt durch den Betrüger am 04.01.2023, um 18:05:24 Uhr, freigegeben durch den Kläger um 18:05:29 Uhr, erfolgte folgende Zahlung: EUR 3.500,00 an O* mit dem Verwendungszweck „geschenk“, IBAN: **.

Erstellt durch den Betrüger am 04.01.2023, um 18:07:22 Uhr, freigegeben durch den Kläger um 18:07:27 Uhr, erfolgte folgende Zahlung: EUR 3.500,00 an P*, IBAN: **.

Erstellt durch den Betrüger am 04.01.2023, um 18:12:16 Uhr, freigegeben durch den Kläger um 18:12:44 Uhr, erfolgte folgende Zahlung: EUR 500,00 an Q*, IBAN: R*.

Erstellt durch den Betrüger am 04.01.2023, um 18:13:17 Uhr, freigegeben durch den Kläger um 18:13:22 Uhr, erfolgte folgende Zahlung: EUR 500,00 an Q*, IBAN: R*.

Über „F*“ wurde neuerlich für jede Transaktion, die vom Betrüger am Privatkonto des Klägers erstellt wurde und vom Kläger freigegeben wurde, diesem folgender Text übermittelt:

„Geben Sie nur Überweisungen frei, die Sie selbst angelegt haben und tatsächlich auch durchführen wollen. Bitte beachten Sie, dass eine Echtzeit-Überweisung nicht mehr widerrufen werden kann.

Möchten Sie diese Echtzeit-Überweisung freigeben?

Empfängername ..., IBAN ..., Verwendungszweck ..., Betrag ...“

Der Kläger konnte die Kontohistorie auch am Privatkonto beobachten. Er wusste daher nicht nur, dass Geld vom Sparkonto auf das Girokonto gebucht wurde, sondern auch, dass dann Überweisungen vom Girokonto auf ihm unbekannte Konten erfolgten.

Das Telefonat mit dem Betrüger dauerte rund 1 ½ Stunden. Den Kontakt zu seiner Kundenbetreuerin, deren Firmenhandynummer der Kläger hatte und die auch außerhalb der Dienstzeit abgehoben hätte, suchte der Kläger in dieser Zeit nicht.

Der Betrüger teilte dem Kläger dann noch mit, dass er noch den letzten Sicherheitsscan laufen lassen müsse. Danach sei nichts mehr im System und er würde die neuen Zugangsdaten für die B*-Konten per Post bekommen.

Die letzten beiden Überweisungen am Girokonto, also jeweils EUR 500,00, wurden an den Kläger refundiert, weil das Empfängerkonto im Sicherungssystem der Beklagten als betrugsverdächtig eingespeichert war.

Der Kläger tätigte auch vor dem 4. Jänner 2023 von seinem Privatkonto Echtzeit-Überweisungen ins Ausland im vierstelligen Bereich, und zwar gab es vier Echtzeit-Überweisungen nach Luxemburg. Auch andere EUR 3.000,00 übersteigende Überweisungen machte der Kläger vom Privatkonto, und zwar am 28. November 2023 über EUR 3.000,09, am 28. Juli 2022 über EUR 5.000,00, am 21. März 2022 über EUR 6.500,00, am 5. Mai 2021 über EUR 5.000,00 und am 6. April 2021 über EUR 7.979,00.

Am Vereinskonto wurde vor dem 4. Jänner 2023 einmal eine Inlandsüberweisung im fünfstelligen Bereich von EUR 30.000,00 für den Ankauf eines Transporters getätigt.

Auch die Einstellung eines Limits am Girokonto hätte den Betrug nicht verhindert, wäre der Kläger doch auch hier den Aufforderungen des Betrügers, allenfalls durch Aufhebung oder Erhöhung des Limits, gefolgt oder es hätten sich die Betrüger an so einem Limit von zB EUR 5.000,00 orientiert und die einzige den Betrag von EUR 5.000,00 übersteigende Überweisung von EUR 8.500,00 auf zwei Überweisungen aufgeteilt.

Bei den Empfängerkonten betreffend die gegenständlichen Überweisungen vom Privatkonto handelt es sich um Konten, die in Mitgliedstaaten der Europäischen Union geführt werden und dem SEPA-Raum angehören. Dass es sich bei Litauen, Portugal und Irland per se um „verdächtige“ Länder handelt, konnte nicht festgestellt werden.

Die Anzahl der Überweisungen vom Privatkonto, nämlich sechs Überweisungen, war auch nicht auffällig und musste dem FTM der Beklagten nicht auffallen. Gesamt betrachtet, nämlich 35 Überweisungen vom Vereinskonto und sechs Überweisungen vom Privatkonto, stellten die gesamt 41 Überweisungen eine für den Kläger ungewöhnliche Anzahl von Überweisungen dar.

Wegen Überlastung auf Grund der damaligen Phishing-Welle erreichte der Kläger am 4. Jänner 2023 – genauso wenig wie seine Bankbetreuerin – den Helpdesk. Da es sich bei allen sechs Transaktionen vom Girokonto um Echtzeit-Überweisungen handelte, hätten die Zahlungen, aber selbst wenn der Helpdesk erreicht worden wäre, nicht mehr zurückgeholt werden können.

In rechtlicher Hinsicht argumentierte das Erstgericht, eine Haftung der Beklagten aufgrund der §§ 67, 68 ZaDiG 2018 für nicht autorisierte Zahlungsvorgänge scheide aus, weil der Beklagten der Beweis gelungen sei, dass der Kläger alle seine Zahlungsaufträge im ordnungsgemäß ausgestalteten Zwei-Faktoren-Authentifizierungs-System der Beklagten, also unter Zuhilfenahme einer starken Kundenauthentifizierung iSd § 4 Z 28 ZaDiG 2018 autorisiert habe.

Die Beklagte habe auch für einen sich aus der DelVO (EU) 2018/389 ergebenden Transaktionsüberwachungsmechanismus gesorgt, der bei jeder Kundenauthentifizierung zum Einsatz komme und nicht autorisierte oder betrügerische Zahlungsvorgänge erkennen solle. Unter anderem solle dabei durch eine automatisierte Überwachung eine Abweichung vom bisherigen Zahlungsverhalten des Zahlungsdienstnutzers ermittelt werden. Diese Voraussetzungen habe das Transaktionsüberwachungssystem der Beklagten erfüllt. Weder die Höhe der Überweisungen, noch der Umstand, dass es sich um Konten im Ausland gehandelt habe, hätten dem FTM auffallen müssen, da es sich um keine betrugsverdächtigen Länder gehandelt habe. Nachdem der Kläger auch schon zuvor Echzeitüberweisungen im vierstelligen Bereich ins Ausland getätigt habe, habe auch dieser Umstand nicht auffallen müssen. Nachdem nicht feststehe, dass das FTM anderer Banken mehrere Konten eines Verfügers gesamtheitlich betrachten würden, dies also Stand der Technik sei, seien im vorliegenden Fall nur die sechs Überweisungen vom Konto des Klägers zu berücksichtigen. Sechs Überweisungen in kurzer Zeit seien aber unauffällig. Auch insofern habe das Transaktionsüberwachungssystem nicht anschlagen müssen.

Selbst wenn man das aber bejahen würde, wäre für den Kläger nichts gewonnen. Die Schaffung eines automatisierten Kontrollsystems nehme einem Nutzer von Internetbanking nämlich nicht jegliche Eigenverantwortung. Wenn man nun berücksichtige, dass der Kläger dem Täter den Einstieg in das Programm „E*“ selbst ermöglicht habe, obwohl er kurz davor von der Beklagten vor Betrugsfällen wie jenem gewarnt worden sei, und er zudem jede einzelne Abbuchung ins Ausland sehen und erkennen habe können und sogar noch den Transfer von EUR 18.000,00 vom Sparkonto auf sein Girokonto ermöglicht habe, könne ihm nur besonders grobe Fahrlässigkeit vorgeworfen werden.

Selbst wenn man also die konkrete Ausgestaltung des FTM der Beklagten als unzureichend ansehen würde, würde dieser Sorgfaltsverstoß gegenüber dem Verschulden des Klägers deutlich in den Hintergrund treten, sodass nicht einmal eine Schadensteilung in Betracht käme.

Gegen dieses Urteil richtet sich die Berufung des Klägers wegen unrichtiger Tatsachenfeststellungen aufgrund unrichtiger Beweiswürdigung sowie wegen unrichtiger rechtlicher Beurteilung mit dem Antrag, der Klage zur Gänze statt zu geben.

Die Beklagte beantragte in ihrer Berufungsbeantwortung, der Berufung nicht Folge zu geben.

Die Berufung ist teilweise berechtigt.

I. Zur Tatsachenrüge:

I.1.1. Der Kläger bekämpft zunächst die Negativfeststellung, wonach nicht festgestellt werden kann, dass der Kläger die Telefonnummer des Anrufers überprüft hat. Ersatzweise begehrt er die Feststellung, der Kläger habe die Telefonnummer des Anrufers mit der im Internet auf auffindbaren Telefonnummer der B* G* überprüft.

Der Kläger argumentiert, die beweiswürdigende Begründung der bekämpften Negativfeststellung durch das Erstgericht sei nicht tragfähig. Alleine die Tatsache, dass er die Überprüfung der Telefonnummer bei seiner polizeilichen Einvernahme nicht erwähnt habe, rechtfertige die getroffenen Negativfeststellung nicht. Es sei völlig nachvollziehbar, dass er, nachdem er realisiert habe, wahrscheinlich einem Betrüger aufgesessen zu sein, keine lückenlose Darstellung der Ereignisse vor der Polizei schildern habe können. Im Übrigen sei seine Aussage, dass er sich beim Anruf des Betrügers nichts gedacht habe, gerade deshalb schlüssig, weil er eben die Telefonnummer überprüft und diese mit der Nummer der Beklagten übereingestimmt habe.

Die begehrte Ersatzfeststellung sei hinsichtlich der Verschuldensabwägung wesentlich.

I.1.2. Mit diesen Ausführungen schafft es der Kläger nicht, Bedenken an der bekämpften Negativfeststellung zu erwecken. Das Erstgericht hat anschaulich begründet, warum es sich nicht in der Lage sah, diesbezüglich eine positive Feststellung zu treffen (US 26). Es hat sich dabei mit den in dem Zusammenhang einzigen Beweismitteln auseinandergesetzt, nämlich der Einvernahme des Klägers vor der Polizei sowie seiner Aussage im gegenständlichen Verfahren. Vor der Polizei sagte der Kläger am 4. Jänner 2023 wenige Stunden nach den getätigten Überweisungen relativ detailliert aus. Er gab dabei an, kurz vor 17:00 Uhr von einem Mitarbeiter der B* G* in der L* angerufen worden zu sein. Er habe sich während des rund eineinhalb Stunden dauernden Telefonats nichts gedacht und alle Stornierungen bestätigt. Im Zuge des Gesprächs habe er den Betrüger darauf angesprochen, warum jede Überweisung erst durch einen Scan sichtbar werde. Auch weitere Details des Gesprächs zwischen ihm und dem Betrüger schilderte der Kläger im Zuge dieser Einvernahme. Mit keinem Wort erwähnte er allerdings, dass er die Nummer, mit der er vom Betrüger angerufen wurde, mittels Google oder in einer sonstigen Form überprüfte (StA Linz **-2.2.3). Demgegenüber gab der Kläger bei seiner Einvernahme im gegenständlichen Prozess an, sofort nach Einlangen des Anrufs des Betrügers dessen Telefonnummer mithilfe von Google überprüft zu haben.

Vor diesem Hintergrund zeigt der Kläger nur einen denkbaren anderen Geschehensablauf auf, bietet jedoch keine stichhaltigen Argumente, warum entgegen der Ansicht des Erstgerichts seine im Zuge der gerichtlichen Einvernahme präsentierte Variante plausibler sein soll als der vor der Polizei geschilderte Hergang, bei welchem eine solche Überprüfung der Anrufernummer nicht erwähnt wurde und demnach der für eine positive Feststellung erforderlichen Grad der Unwahrscheinlichkeit des Vorliegens der behaupteten Tatsache erreicht wird. Auch der Verweis darauf, dass der Kläger sich beim Anruf des Betrügers nichts gedacht habe, gerade weil er die Telefonnummer überprüft habe, hilft insoweit nicht weiter, weil es durchaus denkbar ist, dass die plausibel klingenden Antworten des Betrügers auf die zahlreichen Fragen des Klägers diesen von dessen Rechtschaffenheit überzeugten.

Zusammengefasst erweist sich die bekämpfte Negativfeststellung daher als unbedenklich.

I.2.1. Der Kläger ficht weiters folgende Feststellungen an: [a] Alle Zahlungen, die der Kunde autorisiert, werden mit dem bisherigen Kundenverhalten auf dem jeweiligen Konto automatisiert abgeglichen. Beim Prüfvorgang der einzelnen Zahlungen/Überweisungsaufträge fließen bei einem Abgleich des bisherigen Kundenverhaltens unter anderem der Betrag und das Empfängerkonto als Parameter bei der Prüfung mit ein. … [b] Dass das FTM anderer Banken in einer gesamtheitlichen Betrachtung die Anzahl der Überweisungen auf mehreren Konten eines Verfügers prüft oder die Anzahl der Überweisungen auf einem konkreten Konto prüft, kann nicht festgestellt werden. Die Mustererkennung an sich ist Stand der Technik, wobei ein Stand der Technik, nämlich was konkret und in welcher Tiefe standardmäßig bei Banken überprüft wird, nicht festgestellt werden kann. … [c] Wenn eine Überweisung autorisiert wird, die von dem gewöhnlichen Zahlungsverhalten des Kunden die Höhe der Überweisungen betreffend deutlich abweicht oder das Empfängerkonto als betrugsverdächtig in der Datenbank der Beklagten hinterlegt ist, wird diese vom FTM der Beklagten gestoppt.

Er begehrt deren Ersatz durch folgende Feststellungen: [d] Die Beklagte habe ein Fraud-Transaction-Monitoring-System, das darauf abziele, Überweisungen zu erkennen, die nicht vom Kunden autorisiert worden seien oder auf ein Empfängerkonto eingehen würden, das als betrugsverdächtig in der Datenbank der Beklagten hinterlegt sei. Eine Musterüberprüfung hinsichtlich des gewöhnlichen Zahlungsverhalten des Kunden finde nicht statt.

[e] Es handle sich beim gegenständlichen Betrugsfall um einen Extremfall.

[f] Ein ordnungsgemäß funktionierendes Fraud-Transaction-Monitoring-System auf dem Stand der Technik hätte den gegenständlichen Betrugsfall erkannt. Mit einem bloßen Abstellen auf die Autorisierung könne Phishing nicht verhindert werden.

Der Kläger meint, die Beweiswürdigung des Erstgerichts sei unzutreffend, weil sich aus dem abgeführten Beweisverfahren ergebe, dass eine Transaktionsüberwachung, die über die bloße Autorisierung bzw die Überprüfung, ob Überweisungen auf ein bereits auffällig gewordenes Konto durchgeführt werden sollen, hinausgehe, gegenständlich nicht vorliege. Die begehrten Ersatzfeststellungen würden sich sogar aus den von der Beklagten selbst namhaft gemachten Zeugen S* und T* ergeben.

I.2.2. Der Behandlung dieser Tatsachenrüge ist zunächst voranzustellen:

Die gesetzmäßige Ausführung einer Tatsachenrüge erfordert die bestimmte Angabe, a) welche konkreten Feststellungen der Rechtsmittelwerber angreift bzw durch welche Tatsachen sich der Berufungswerber für beschwert erachtet, b) weshalb diese Feststellungen Ergebnis einer unrichtigen Wertung der Beweisergebnisse sind, c) welche Tatsachenfeststellungen der Berufungswerber stattdessen anstrebt und d) aufgrund welcher Beweise diese anderen Feststellungen zu treffen gewesen wären (RS0041835). Die Ausführungen zur Beweisrüge müssen somit eindeutig erkennen lassen, aufgrund welcher Umwürdigung bestimmter Beweismittel welche vom angefochtenen Urteil abweichenden Feststellungen angestrebt werden (RS0041835 [T2]). Daher muss zwischen der bekämpften Feststellung und der Ersatzfeststellung auch ein inhaltlicher Gegensatz (Widerspruch) bestehen, das heißt die eine Feststellung muss die andere ausschließen. Die bekämpfte und die dazu alternativ gewünschte Feststellung müssen in einem Austauschverhältnis stehen. Ein solches liegt nur dann vor, wenn sich die bekämpfte und die gewünschte Feststellung in einem solchen Alternativverhältnis darstellen, dass sie ohne inneren Widerspruch nicht nebeneinander bestehen können.

Um eine unrichtige oder bedenkliche Beweiswürdigung aufzuzeigen, reicht es auch nicht aus, dass nach den Beweisergebnissen allenfalls auch andere Feststellungen möglich gewesen wären, oder dass es einzelne Beweisergebnisse gibt, die für den Prozessstandpunkt des Berufungswerbers sprechen (RS0041830). Maßgeblich ist alleine, ob für die richterliche Einschätzung im Rahmen der freien Beweiswürdigung ausreichende Gründe bestanden ( Klauser/Kodek 18 § 467 ZPO E 39/1). Die Beweiswürdigung kann daher nur dadurch erfolgreich angefochten werden, wenn stichhaltige Gründe gegen deren Richtigkeit ins Treffen geführt werden ( Rechberger in Fasching/Konecny 3 § 272 ZPO Rz 4 ff).

I.2.3. Zunächst ist dem Kläger zwar beizupflichten, dass der in der Abteilung Fraud-Management der Beklagten als Junior (die Bezeichnung bezieht sich auf die Dauer der Tätigkeit in der Abteilung [Zeuge U*, ON 22.1, S 13]) tätige Zeuge S* das FTM so beschrieben hat, als dieses vom Kunden nicht autorisierte Zahlungen erkennen solle. Richtig ist auch, dass seiner Aussage nach das System dabei die Höhe der jeweiligen Überweisungen und deren Anzahl nicht überprüfe. Konkret schilderte er ein Eingreifen des Systems nur dann, wenn der Kunde kein Geld am Konto habe. Die Höhe bzw die Anzahl der Überweisungen spiele keine Rolle (ON 16.1, S 7 ff). Diese Angaben bestätigte der als Leiter des Vorstandsbüros tätige Zeuge T* zwar und meinte, dass eine rein formale, aber keine materielle Prüfung erfolge (ON 16.1, S 15). Bei genauerer Betrachtung seiner Aussage ergibt sich aber doch, dass jede einzelne Überweisung auf ihre Höhe hin überprüft werde, nicht allerdings auf die Gesamtsumme aufeinander folgender Abbuchungen (ON 16.1, S 13, 15). Auch die Bankbetreuerin des Klägers, die Zeugin V* bestätigte, dass ein Erkennungsmechanismus in der Software der Beklagten implementiert sei, der Überweisungen ab einer gewissen Höhe stoppe (ON 22.1, S 5). Genauer schilderte das der Zeuge W*, Mitarbeiter im Produktmanagement der Beklagten. Seiner Aussage nach erfolge bei jeder Überweisung beim Online Banking der Beklagten ein Precheck. Dabei werde überprüft, ob es Sperren auf dem Konto gebe, ob es maximale Beträge gebe, die der Kunde eingestellt habe, ob genug Deckung am Konto vorhanden sei oder ob der Empfänger auf einer Embargoliste oder Geldwäscheliste stehe. Wenn ein Kunde dann plötzlich eine von seinem bisherigen Überweisungsverhalten abweichende, besonders hohe Transaktion durchführen wolle, würde das auffallen und gestoppt werden (ON 22.1, S 7).

Maßgeblich im Zusammenhang mit den bekämpften Feststellungen ist die Aussage des Zeugen U*, der als „Senior“ in der Abteilung Fraud Management der Beklagten tätig ist und dem damit die meiste Erfahrung aller vernommenen Zeugen mit dem FTM der Beklagten zu attestieren ist. Dieser gab an, dass das FTM immer im Einsatz sei und jede über „E*“ beauftragte Transaktion scanne. Es kontrolliere, ob die Transaktion wirklich vom Kunden oder von einem Dritten autorisiert worden sei. Dabei prüfe es, ob die beauftragte Überweisung außerhalb des normalen Verhaltens des Kunden erfolge, ob etwas ins Ausland überwiesen werde, obwohl das zuvor noch nie passiert sei. Die Höhe des Überweisungsbetrags spiele ebenso eine Rolle. Auch andere Parameter wie zum Beispiel die IP-Adresse, die Empfänger-IBAN oder das Empfängerland würden berücksichtigt. Durch das Zusammenspiel dieser Features ermittle das System, ob die Transaktion vom Kunden oder einem Dritten autorisiert worden sei (ON 22.1, S 13 f, 21).

Die oben mit [a] und [c] bezeichneten bekämpften Feststellungen sind somit vom Beweisverfahren gedeckt und insbesondere im Hinblick auf die Aussage des Zeugen U* aber auch der Zeugen V* und W* sowie selbst des Zeugen T* unbedenklich. Dass die Summe mehrerer unmittelbar hintereinander getätigt der Überweisungen vom FTM nicht berücksichtigt werde, wurde von der Beklagten ohnehin nie behauptet (vgl dazu das entgegen der Darstellung in der Berufung sehr wohl vorhandene Vorbringen der Beklagten zu Sicherungsmechanismen in ON 3, S 6). Daraus folgt aber nicht gleichzeitig, dass keine Musterprüfung des gewöhnlichen Kundenverhaltens stattfindet, wie dies der Kläger mit seiner damit korrespondierenden begehrten Ersatzfeststellung [d] festgestellt haben möchte, weshalb diese nicht zu treffen war. Ihr stünde im Übrigen auch die unbekämpft gebliebene Feststellung entgegen, wonach bei einer Auffälligkeit der Höhe der Überweisung keine Echtzeit-Überweisung durchgeführt werden kann und der Hinweis auf die Möglichkeit einer normalen SEPA-Überweisung kommt, welche aber wiederum hinsichtlich der Höhe auf eine Auffälligkeit zum normalen Kundenverhalten geprüft wird (US 13).

I.2.4. Im Übrigen ist die Tatsachenrüge bezüglich der weiteren, unter [b] angeführten, bekämpften bzw den zu [e] und [f] angestrebten Ersatzfeststellungen nicht gesetzmäßig ausgeführt. Aus einer Gegenüberstellung dieser bekämpften Feststellung zu den begehrten Ersatzfeststellungen ergibt sich nämlich, dass diese nicht miteinander korrespondieren. Die bekämpfte Feststellung behandelt die Frage, in welchem Umfang das FTM anderer Banken Überweisungen prüft und was konkret Stand der Technik der FTM Prüfung bei Banken ist (also den Stand von FTM Systemen allgemein), wobei das Erstgericht jeweils eine Negativfeststellung traf [b]. Die begehrten Ersatzfeststellungen nehmen darauf hingegen nicht Bezug. Die unter [e] angeführte Ersatzfeststellung befasst sich vielmehr mit dem konkreten Betrugsfall, die Ersatzfeststellung [f] damit, dass ein ordnungsgemäß funktionierendes FTM auf dem Stand der Technik den gegenständlichen Betrugsfall erkannt hätte. In beiden Fällen stellen die begehrten Ersatzfeststellungen also auf den konkreten Vorfall ab, beziehen sich hingegen überhaupt nicht darauf, was in Bezug auf das FTM bei anderen Banken Standard bzw Stand der Technik ist. Die Tatsachenrüge liefe damit – würde man ihr folgen – auf eine ersatzlose Streichung der vom Erstgericht getroffenen Feststellung hinaus, was allerdings unzulässig ist (RS0041835 [T3]).

Dem Kläger gelingt es somit auch in diesem Punkt nicht, die Beweiswürdigung des Erstgerichts zu erschüttern, sodass es bei den bekämpften Feststellungen zu bleiben hat.

I.2.5. Festzuhalten ist schließlich noch, dass in Bezug auf die beiden begehrten Ersatzfeststellungen [e] und [f] auch kein (der Rechtsrüge zuzuordnender) sekundärer Feststellungsmangel vorliegt, wobei zur näheren Begründung auf die Ausführungen zur Rechtsrüge zu verweisen ist.

I.3.1. Der Kläger wendet sich letztlich noch gegen die Feststellung, wonach er auf den Link in der E-Mail klickte und seine Daten nicht nur in einen Raster, in welchem stand, dass er zwischen 15:00 und 18:00 Uhr für einen Rückruf der Bank erreichbar wäre, einfügte, sondern dabei auch seine Verfügerdaten bekannt gab. Stattdessen strebt er die Ersatzfeststellungen an, wonach der Kläger auf den Link in der E-Mail geklickt und seine Daten in einen Raster eingefügt habe, in welchem gestanden sei, dass er zwischen 15:00 und 18:00 Uhr für einen Rückruf der Bank erreichbar wäre; seine Verfügerdaten habe er nicht bekannt gegeben.

Der Kläger argumentiert, das Erstgericht habe die bekämpfte Feststellung im Wesentlichen nur auf die Aussage des Zeugen S* gestützt, der angegeben habe, die betreffende E-Mail getestet zu haben, wobei eben nach einem Klick auf den Link die Verfügernummer abgefragt worden sei. Auch der Sachverständige räumte ein, die tatsächliche Eingabeseite nicht gesehen zu haben. Tatsächlich lägen somit keine objektiven Beweismittel dafür vor, dass der Kläger seine Verfügernummer irgendwo eingetragen habe.

I.3.2. Mit diesen Ausführungen schafft es der Kläger neuerlich nicht, Bedenken an der bekämpften Feststellung zu erwecken. Fakt ist, dass dem Betrüger die Verfügernummer des Beklagten bekannt war. Im Wesentlichen kommen dafür nur zwei mögliche Ursachen in Betracht: nämlich dass der Kläger dem Betrüger diese durch Eintrag in eine Maske infolge des Phishing Mails bekannt gegeben hat (für eine sonstige Bekanntgabe durch den Kläger gibt es keine Anhaltspunkte) oder durch einen Hack des Computers oder des Handys des Kläger bzw des Systems der Beklagten. Eine sonstige Möglichkeit, etwa dass dem Betrüger die Verfügernummer von einem Dritten, dem sie der Kläger zuvor selbst bekannt gab, mitgeteilt wurde, wurde nie behauptet. Auch eine Beschaffung der Verfügernummer durch den Betrüger aus dem Darknet schloss der Sachverständige aus, weil es reiner Zufall wäre, hier eine Verknüpfung zwischen einer E-Mail-Adresse und der Verfügernummer herzustellen. Das Betrugsmuster wäre jedenfalls ein ganz anderes, auch wenn es technisch natürlich möglich wäre (ON 85.3, S 10).

Was die Möglichkeit eines Hacks betrifft, führte der Sachverständige aus, dass es für einen Hack der Daten des Bankservers keinerlei Anzeichen gibt (ON 46, S 61; ON 73, S 23). Auch dass das Handy oder der Computer des Klägers gehackt worden wäre, hielt der Sachverständige letztlich für unwahrscheinlich, weil dann der Betrugsversuch aus Sicht des Hackers anders, nämlich einfacher abgelaufen wäre (ON 46, S 61, 71 f; ON 73, S 25, 27, 32).

Damit verbleibt als einzige realistische Variante nur, dass der Kläger nach Erhalt des Phishing Mails und Klick auf den darin enthaltenen Link auch seine Verfügernummer eingegeben hat, was sich auch mit den Erfahrungen des Sachverständigen in vergleichbaren Fällen deckt (ON 73, S 27).

Somit ist auch diese vom Erstgericht getroffene und vom Kläger bekämpfte Feststellung unbedenklich.

II.4. Zusammenfassend gelingt es der Berufung des Klägers somit nicht, Bedenken gegen die erstrichterliche Beweiswürdigung zu wecken, weshalb der weiteren Entscheidung der vom Erstgericht festgestellte Sachverhalt zugrunde zu legen ist (§ 498 Abs 1 ZPO).

II. Zur Rechtsrüge:

II.1. Die Berufung moniert in ihrer Rechtsrüge, dass die gegenständlichen Zahlungsvorgänge in rechtlicher Hinsicht nicht autorisiert gewesen seien. Auch wenn der Kläger den Überweisungen objektiv zugestimmt habe, seien diese nicht von seinem Willen getragen gewesen. Er habe keine Überweisungen, sondern nur Stornierungen tätigen wollen. Würde man betrügerisch veranlasste Überweisungen als „autorisiert“ ansehen, würde dies den Schutzzweck des ZaDiG zur Gänze unterlaufen. Es gelte hier also das Haftungsregime der §§ 67, 68 ZaDiG 2018.

Auf keinen Fall könne das Verhalten des Klägers als grob fahrlässig gewertet werden. Sowohl die Website als auch die E-Mail, die ihm übermittelt worden seien, hätten dem typischen Design der Beklagten täuschend ähnlich gesehen. Auch die Absenderadresse sowie der Inhalt der E-Mail sei für ihn nicht auffällig gewesen. Wenn überhaupt, sei ihm lediglich leichte Fahrlässigkeit anzulasten. Demgegenüber habe die Beklagte ein massives Fehlverhalten zu verantworten. Obwohl zum Vorfallszeitpunkt bereits eine massive Betrugswelle stattgefunden habe, habe die Beklagte für kein sicheres System zur Erkennung derart massiver Betrugsfälle, wie dem gegenständlichen, gesorgt. Keinesfalls würde die Forderung nach einem System, das 41 missbräuchliche Überweisungen – abzustellen sei auf sämtliche Überweisungen des Beklagten und nicht nur auf die sechs klagsgegenständlichen – innerhalb einer Stunde über rund EUR 200.000,00, noch dazu in drei unterschiedliche Länder, erkannt hätte, eine Überspannung der Sorgfaltspflichten der Bank darstellen. Hätte sich das FTM an den normalen, vom Kläger durchgeführten Zahlungsvorgängen orientiert, hätte es diese Abweichungen erkennen müssen. Insgesamt zeige sich daher, dass beklagtenseitig keine angemessenen Maßnahmen implementiert worden seien, womit der Beklagten massive Verfehlungen vorzuwerfen seien, die rechtlich ihr überwiegendes Verschulden ergeben hätten müssen. Letztlich sei der Beklagten auch vorzuwerfen, dass die Betrugshotline nicht erreichbar gewesen sei

II.2.1. Im Fall eines nicht autorisierten Zahlungsvorgangs hat der Zahlungsdienstleister des Zahlers diesem den Betrag des nicht autorisierten Zahlungsvorgangs unverzüglich, auf jeden Fall spätestens bis zum Ende des folgenden Geschäftstags zu erstatten, nachdem er von dem Zahlungsvorgang Kenntnis erhalten hat oder dieser ihm angezeigt wurde. Der Zahlungsdienstleister des Zahlers hat das belastete Zahlungskonto wieder auf den Stand zu bringen, auf dem es sich ohne den nicht autorisierten Zahlungsvorgang befunden hätte, wobei der Betrag auf dem Zahlungskonto des Zahlers spätestens zum Datum der Belastung des Kontos wertzustellen ist (§ 67 Abs 1 ZaDiG 2018).

Beruhen nicht autorisierte Zahlungsvorgänge auf der Nutzung eines verlorenen oder gestohlenen Zahlungsinstruments oder auf der missbräuchlichen Verwendung eines Zahlungsinstruments, so kann der Zahlungsdienstleister des Zahlers von diesem den Ersatz des hiedurch entstandenen Schadens bis zu einem Betrag von EUR 50,00 verlangen, wenn der Zahler den Schaden durch leicht fahrlässige Verletzung einer Pflicht gemäß § 63 ZaDiG herbeigeführt hat (§ 68 Abs 1 ZaDiG). Abweichend davon ist der Zahler seinem Zahlungsdienstleister zum Ersatz des gesamten Schadens verpflichtet, der infolge eines nicht autorisierten Zahlungsvorgangs entstanden ist, wenn der Zahler den Schaden in betrügerischer Absicht oder durch vorsätzliche oder grob fahrlässige Verletzung einer Pflicht gemäß § 63 ZaDiG herbeigeführt hat (§ 68 Abs 3 ZaDiG).

II.2.2. Der Zahlungsdienstleiter ist somit nur dann berechtigt dem Zahler den Betrag eines von ihm ausgeführten Zahlungsvorgangs in Rechnung zu stellen, wenn entweder der Zahlungsvorgang vom Zahler gemäß § 58 ZaDiG autorisiert wurde und dem Zahlungsdienstleister daher ein Aufwandersatzanspruch gemäß § 1014 ABGB zusteht oder dem Zahlungsdienstleister Schadenersatzansprüche gemäß § 68 Abs 3 ZaDiG zustehen, weil der Zahler die missbräuchliche Nutzung eines Zahlungsinstruments in betrügerischer Absicht oder durch eine vorsätzliche oder grob fahrlässige Verletzung einer Pflicht gemäß § 63 ZaDiG ermöglicht hat ( Haghofer in Weilinger/Knauder/Miernicki , ZaDiG 2018 § 66 Rz 1).

II.3. § 66 Abs 1 ZaDiG regelt, dass wenn ein Zahlungsdienstnutzer, im konkreten Fall also der Kläger, bestreitet, einen ausgeführten Zahlungsvorgang autorisiert zu haben, der Zahlungsdienstleister, somit im vorliegenden Fall die Beklagte, im Sinn eines Anscheinsbeweises nachzuweisen hat, dass der Zahlungsvorgang authentifiziert, ordnungsgemäß aufgezeichnet und verbucht war und auch nicht durch einen technischen Zusammenbruch oder eine andere Störung beeinträchtigt wurde. Der Zahlungsdienstnutzer (der Kläger) hat die Möglichkeit, den Anscheinsbeweis zu erschüttern, indem er die ernsthafte Möglichkeit eines atypischen Geschehensablaufs beweist ( Haghofer in Weilinger/Knauder/Miernicki , ZaDiG 2018 § 66 Rz 4 ff; Georg E. Kodek , Haftung für nicht autorisierte Zahlungsvorgänge [§§ 67, 68 ZaDiG 2018], ÖBA 2021, 19).

II.4. Zunächst ist daher zu prüfen, ob der Beklagten der Nachweis der Authentifizierung des Zahlungsvorganges iSd § 66 Abs 1 ZaDiG 2018 gelungen ist.

Ein Zahlungsvorgang gilt nur dann als autorisiert, wenn der Zahler der Ausführung des Zahlungsvorgangs zugestimmt hat. Die Zustimmung hat vor der Ausführung zu erfolgen. Die Zustimmung zur Ausführung eines Zahlungsvorgangs oder mehrerer Zahlungsvorgänge ist in der zwischen dem Zahler und seinem Zahlungsdienstleister vereinbarten Form und im vereinbarten Verfahren zu erteilen (§ 58 Abs 1 und 2 ZaDiG).

Unter Authentifizierung ist nach § 4 Z 27 ZaDiG ein Verfahren zu verstehen, mit dessen Hilfe der Zahlungsdienstleister die Identität eines Zahlungsdienstnutzers oder die berechtigte Verwendung eines bestimmten Zahlungsinstruments einschließlich der Verwendung der personalisierten Sicherheitsmerkmale des Nutzers überprüfen kann. § 66 ZaDiG ist nur für Zahlungsvorgänge maßgeblich, die unter Verwendung personalisierter Sicherheitsmerkmale autorisiert wurden ( Haghofer in Weilinger/Knauder/Miernicki , ZaDiG 2018 § 66 Rz 3).

Um in den Genuss des Anscheinsbeweises zu gelangen, muss der Zahlungsdienstleister nachweisen, dass beim reklamierten Zahlungsvorgang eine starke Kundenauthentifizierung verlangt und durchgeführt wurde, die den Vorgaben von § 4 Z 28 ZaDiG entspricht (vgl Haghofer in Weilinger/Knauder/Miernicki , ZaDiG 2018 § 66 Rz 12). Unter starker Kundenauthentifizierung ist eine Authentifizierung unter Heranziehung von mindestens zwei Elementen der Kategorien Wissen (etwas, das nur der Nutzer weiß), Besitz (etwas, das nur der Nutzer besitzt) oder Inhärenz (etwas, das nur der Nutzer ist) zu verstehen, die insofern voneinander unabhängig sind, als die Nichterfüllung eines Kriteriums die Zuverlässigkeit der anderen nicht in Frage stellt und die so konzipiert ist, dass die Vertraulichkeit der Authentifizierungsdaten geschützt ist (§ 4 Z 28 ZaDiG).

II.5.1. Dass diese Voraussetzungen einer wirksamen Zwei-Faktor-Authentifizierung nicht vorlägen, behauptet der Kläger in der Berufung gar nicht. Es steht auch außer Zweifel, dass er selbst die gegenständlichen Überweisungen freigegeben, also formal autorisiert hat. Er argumentiert in der Berufung nur damit, dass es für die Qualifizierung als autorisierte Zahlung nicht nur auf die Zustimmung des Zahlers, sondern auch auf den wahren Willen des Erklärenden ankomme. Nachdem er aber nie die Absicht gehabt habe, irgendwelche Überweisungen auf fremde Konten vorzunehmen, sondern Stornierungen vermeintlich angelegter Überweisungen tätigen habe wollen, könne im vorliegenden Fall von keiner Zustimmung und damit keiner autorisierten Zahlung seinerseits ausgegangen werden.

II.5.2. Richtig ist, dass in der Literatur die Ansicht vertreten wird, dass eine Zustimmung vom (wenngleich allenfalls fehlerhaften) Willen des Kunden gedeckt sein muss (vgl Ferner/Muri in Weilinger/Knauder/Miernicki , ZaDiG 2018 § 58 Rz 6; Leixner , Zahlungsdienstegesetz 2018 3 Rz 2; Georg E. Kodek , Haftung für nicht autorisierte Zahlungsvorgänge [§§ 67, 68 ZaDiG 2018], ÖBA 2021, 19).

Dies war hier der Fall: Zwar sagte der Betrüger dem Kläger nach den erstinstanzlichen Feststellungen, er müsse den Freigabebutton drücken, um die Stornierung der angelegten Überweisungen bewirken zu können. Auf die erkannten Abbuchungen angesprochen, gab der Betrüger dem Kläger gegenüber weiters an, dass die Beklagte die getätigten Überweisungen rückerstatten werde (US 22). Es mag daher die Absicht des Klägers eine andere als die letztlich eingetretenen Folgen gewesen sein. Letztendlich wusste er nach den insofern unbekämpft gebliebenen Feststellungen aber, dass durch seine Freigaben Geld von seinem Girokonto auf ihm unbekannte Konten überwiesen wird (US 22). Er wollte also durch sein Handeln die konkreten Überweisungen freigeben. Seine Zustimmung – dass die dafür zwischen den Streitteilen vereinbarte Form (vgl § 58 Abs 2 ZaDiG 2018; Punkt VI.1. der Allgemeinen Geschäftsbedingungen der B* C* AG [US 15]) nicht eingehalten worden wäre, wurde vom Kläger nicht behauptet – für die angefochtenen Transaktionen lag damit vor, wenngleich er durch sein Handeln nur die behaupteten anstehenden unzulässigen Überweisungen unterbinden wollte und damit einem Irrtum über den Zweck der getätigten Überweisungen unterlegen sein mag.

Damit scheidet die Anwendung der §§ 67, 68 ZaDiG 2018 von vornherein aus, weil diese nur für nicht autorisierte Zahlungen gelten. Allein der Umstand, dass Zahlungen betrügerisch bewirkt wurden, bedeutet nicht per se, dass diese nicht autorisiert sind (vgl zu einer ganz ähnlichen Konstellation 7 Ob 95/24g).

II.5.3. Eine andere rechtliche Beurteilung ergäbe sich auch aus den im Zusammenhang mit der Geltendmachung sekundärer Feststellungsmängel getätigten Ausführungen des Klägers nicht, wenn er dort meint, es ließe sich nicht beurteilen, ob das Authentifizierungsverfahren und das Transaktionsüberwachungssystem den Anforderungen der DelVO 2018/389 entspreche. Dem ist entgegenzuhalten, dass er sich dabei inhaltlich nur gegen das Transaktionsüberwachungssystem (also das FTM der Beklagten) wendet und meint, dieses sei unzureichend, weil ein dem Stand der Technik entsprechendes System den gegenständlichen Betrugsfall erkennen hätte müssen.

Richtig ist zwar, dass das Transaktionsüberwachungssystem (FTM) Teil des Authentifizierungsverfahrens ist (vgl ErwGr 1 der DelVO 2018/389) und ein besonders stark ausgeprägtes Transaktionsüberwachungssystem möglicherweise die gegenständlichen Zahlungen (zumindest als Echtzeit-Überweisung) gestoppt hätte. Das ändert allerdings nichts daran, dass die gegenständlichen Überweisungen vom Kläger freigegeben wurden, er sie also – wie oben bereits dargelegt – autorisiert hat. Sinn eines wirksamen Transaktionsüberwachungssystems ist „nur“ Überweisungsfreigaben aufgrund eines Abweichens vom bisherigen Kundenverhalten als nicht vom berechtigen Zahler stammend zu erkennen. Dass die Freigabe aber vom berechtigten Zahler erfolgten, steht außer Zweifel.

Selbst unter dem Gesichtspunkt, dass man das Transaktionsüberwachungssystem der Beklagten als nicht ausreichend erachten würde, käme – da eben dennoch von autorisierten Freigaben auszugehen ist – eine Haftung der Beklagten nach den §§ 67, 68 ZaDiG 2018 nicht in Betracht kommt.

II.7.1. Der Kläger hat sich allerdings nicht nur auf eine Haftung nach dem ZaDiG gestützt, sondern sich auch darauf berufen, dass die Beklagte nach der Übung des redlichen Verkehrs angemessene Schutz- und Sorgfaltspflichten treffen würden, sie aber keinerlei Kontrollmechanismen in ihrem Online-Banking-System implementiert gehabt habe, welches die gegenständlichen, hochauffälligen Überweisungen verhindert hätte (ON 1, S 5). Er hat sich damit auch auf eine Haftung wegen Verletzung vertraglicher Verpflichtungen der Beklagten gestützt.

II.7.2. Die Verletzung solcher Schutz- und Sorgfaltspflichten der Beklagten ist im vorliegenden Fall zu bejahen:

Gemäß Art 2 Abs 1 DelVO (EU) 2018/389 muss ein Zahlungsdienstleister über Transaktionsüberwachungsmechanismen verfügen, die bei jeder Kundenauthentifizierung zum Einsatz kommen und ihm die Erkennung nicht autorisierter oder betrügerischer Zahlungsvorgänge ermöglichen. Diese Überwachung basiert auf algorithmischen Transaktionsanalysen. Sie hat sich am Leitbild eines normalen Zahlungsvorgangs zu orientieren und Abweichungen zu erkennen. Auffällige Zahlungsaufträge müssen vor ihrer Ausführung gestoppt werden. Gemäß Art 2 Abs 2 lit a bis c DelVO (EU) 2018/389 gehört es zu den Minimalanforderungen, eine Liste der missbräuchlich verwendeten oder gestohlen gemeldeten Zahlungsinstrumente abzufragen, die Höhe des Zahlungsbetrags mit der bisherigen Umsatzstruktur des Zahlers abzugleichen sowie bekannte Betrugsszenarien zu berücksichtigen, etwa wenn der Empfänger der Zahlung bereits einschlägig auffällig wurde. Gemäß lit d müssen Anzeichen für eine Malware-Infektion während des Authentifizierungsverfahrens gescreent werden. Falls das Zugangsgerät oder die Zugangssoftware vom Zahlungsdienstleister bereitgestellt wird, muss nach lit e ein Protokoll über die Nutzung des Zugangsgeräts oder der Zugangssoftware sowie über die ungewöhnliche Nutzung dieses Geräts oder der Software erstellt werden ( Haghofer in Weilinger/Knauder/Miernicki , ZaDiG 2018 § 87 Rz 82 f).

Die zweite Anforderung (lit b) zielt also auf die Ermittlung von Abweichungen im üblichen Zahlungsverhalten des Zahlungsdienstnutzers ab ( Tuder in Weilinger/Knauder/Miernicki , ZaDiG 2018 § 4 Rz 284). Nun fordert diese Bestimmung ausdrücklich zwar nur, „die Höhe des Zahlungsbetrags“ mit der bisherigen Umsatzstruktur des Zahlers abzugleichen sowie bekannte Betrugsszenarien zu berücksichtigen. Allerdings handelt es sich bei den in Art 2 Abs 2 lit a bis e DelVO (EU) 2018/389 angeführten Kriterien um Mindesterfordernisse („zumindest“).

Nach Ansicht des Berufungssenats ist beim automatisierten Abgleich der Höhe des Zahlungsbetrags mit der bisherigen Umsatzstruktur des Zahlers aber nicht nur auf jede einzelne Überweisung abzustellen, sondern ist bei unmittelbar aufeinander folgenden Transaktionen die Gesamtheit der Zahlungen maßgeblich. Es ist daher nicht nur zu prüfen, ob der kumulierte Betrag sämtlicher Überweisungen vom bisherigen Zahlungsverhalten des Zahlers abweicht, sondern auch, ob es Auffälligkeiten in Bezug auf die Anzahl der Überweisungen gibt. Würde man die Anzahl der Überweisungen außer Acht lassen und nur auf die Höhe jeder einzelnen Zahlung abstellen, könnte damit jedes Überwachungssystem ausgehebelt werden, indem Millionenbeträge gestückelt in eine Vielzahl von Kleinstbeträgen von nicht autorisierten Personen verschoben werden, ohne dass dies für automatisierte Systeme auffällig wäre. Gerade das soll durch die einschlägigen Normen aber verhindert werden. Nach Ansicht des Senats darf es auch keinen Unterschied machen, ob Zahlungen eines Verfügers von einem oder von unterschiedlichen Konten erfolgen, da Art 2 Abs 2 lit a bis c DelVO (EU) 2018/389 auf das bisherige Zahlungsverhalten einer physischen Person abstellt und nicht auf den Umsatzverlauf einzelnen Konten. Beim Abgleich von Überweisungen mit dem bisherigen Zahlungsverhalten eines Kunden sind somit sämtliche Zahlungen eines Verfügers von verschiedenen Konten sowohl was die Anzahl der Überweisungen als auch was die Gesamthöhe aller Transaktionen betrifft zu berücksichtigen. Nur angemerkt sei, dass diese – wiewohl rechtliche – Einschätzung auch vom Sachverständigen geteilt wird. Auch er vertritt die Ansicht, dass die einzelnen Transaktionen nicht isoliert zu betrachten, sondern sämtliche Überweisungen eines Verfügers zu berücksichtigen sind (ON 46, S 65; ON 85.3, S 11).

II.7.3. Von diesen Überlegungen ausgehend, ist dem Kläger beizupflichten, dass das FTM der Beklagten nicht ausreichend ausgestaltet war. Im Hinblick auf die Anzahl von 41 Überweisungen mit einem Gesamtbetrag von rund EUR 200.000,00 in einem Zeitraum von nur 1,5 Stunden hätte das System jedenfalls anschlagen und die Zahlungen stoppen müssen, da dies vom bisherigen Zahlungsverhalten des Klägers massiv abwich. Indem das FTM nicht reagiert hat, die Beklagte also für kein ausreichendes Kontrollsystem gesorgt hat, ist sie ihren Schutz- und Sorgfaltspflichten nicht nachgekommen.

Der Umstand, dass die Betrugshotline der Beklagten für den Kläger nicht erreichbar war, spielt hingegen keine Rolle. Da die gegenständlichen Transaktionen alle in Echtzeit stattfanden, hätte auch bei einer Erreichbarkeit der Betrugshotline diese die vom Kläger freigegebenen Überweisungen nicht rückgängig machen können. Damit war die mangelnde (oder nur schwere) Erreichbarkeit der Betrugshotline nicht kausal für den eingetretenen Schaden.

Zusammenfassend ist der Beklagten aber vorzuwerfen, kein ausreichend wirksames Kontrollsystem zur Verfügung gestellt zu haben, das betrügerische Überweisungen wie die gegenständlichen erkannt hätte, woraus sich eine Haftung der Beklagten ergibt.

II.8.1. Allerdings ist dem Erstgericht beizupflichten, dass auch der Kläger selbst grob fahrlässig gehandelt hat.

Ob und in welchem Ausmaß ein Zahler fahrlässig gehandelt hat, ist nach den allgemeinen Regeln des Schadenersatzrechts zu beurteilen. Es sind daher auch für die Prüfung, ob das sorgfaltswidrige Handeln des Zahlers als leicht oder grob fahrlässig anzusehen ist, die von der Rechtsprechung für diese Abgrenzung entwickelten Kriterien des allgemeinen Schadenersatzrechts heranzuziehen (vgl 9 Ob 48/18a mwN).

Nach der Rechtsprechung handelt grob fahrlässig, wer im täglichen Leben die erforderliche Sorgfalt gröblich, in hohem Grad, aus Unbekümmertheit oder Leichtfertigkeit außer Acht lässt, wer nicht beachtet, was unter den gegebenen Umständen jedem einleuchten musste. Grobe Fahrlässigkeit ist somit bei schlechthin unentschuldbaren Pflichtverletzungen gegeben, die das gewöhnliche Maß an alltäglich vorkommenden, nie ganz vermeidbaren Fahrlässigkeitshandlungen des täglichen Lebens ganz erheblich übersteigen. Grobe Fahrlässigkeit erfordert das Vorliegen eines objektiv besonders schweren Sorgfaltsverstoßes, der bei Würdigung aller Umstände des konkreten Falls auch subjektiv schwerstens vorzuwerfen ist. Dabei muss der Schaden als wahrscheinlich vorhersehbar gewesen sein. Diese Voraussetzungen sind im Einzelfall mit Bedachtnahme auf die persönlichen Verhältnisse des betreffenden Kunden und die allgemeinen Lebensgewohnheiten der Zahlungsdienstnutzer zu beurteilen (9 Ob 48/18a mwN).

II.8.2. Bei Berücksichtigung dieser Grundsätze ist das festgestellte Verhalten des Kläger als grob fahrlässig zu qualifizieren. Trotz ausdrücklicher schriftlicher Warnung vor betrügerischen Anrufen, bei denen auf den Vorwand nötiger Rückholungen betrügerischer Zahlungen hingewiesen wurde, durch die Beklagten (US 12), hat der Kläger wenige Tage danach auf den Link in einer erhaltenen, vermeintlich von der Beklagten stammenden E-Mail geklickt und dort seine Verfügernummer bekannt gegeben. Dass diese E-Mail die Absender-Adresse „I*“ aufwies, ist dem Kläger ebenso wenig aufgefallen, wie der Umstand, dass die Ansprache darin wechselnd mit „euch“ und „Sie“ erfolgte. Auch darin enthaltene Rechtschreib- und Grammatikfehler waren für ihn nicht auffällig (US 18 f). In weiterer Folge hat der Kläger einem völlig unbekannten Anrufer vertraut und zunächst 35 von jenem angelegte Abbuchungen von dem von ihm verwalteten Vereinskonto und in der Folge weitere sechs von jenem angelegte Überweisungen von seinem privaten Girokonto, jeweils unter dem Vorwand, anstehende Überweisungen zu stornieren, jeweils als Echtzeit-Überweisung freigegeben, obwohl er bei jeder einzelnen Überweisung den Empfängernamen und den Betrag sehen konnte, vom System darauf hingewiesen wurde, nur selbst angelegte Überweisungen freizugeben und außerdem den laufend geringer werdenden Kontostand bemerkte (US 19 ff). Besonders unvorsichtig zu werten ist, dass er außerdem einen Übertrag von seinem Sparkonto auf sein Girokonto von insgesamt EUR 18.000,00 bestätigte, wodurch die klagsgegenständlichen Abbuchungen überhaupt erst ermöglicht wurden, und zudem Überweisungen von insgesamt rund EUR 200.000,00 über einen Zeitraum von nur 1,5 Stunden freigegeben hat (US 20 ff). Ausgehend von einem maßgerechten Durchschnitts-Onlinebanker, der seine Verfügernummer nicht nach Klick auf einen Link einer auffälligen E-Mail bekannt gegeben hätte und der von einem unbekannten Dritten angelegte Echtzeit-Überweisungen nicht freigegeben hätte, weil er sich bewusst ist, dass mit der Weitergabe der Verfügernummer an Dritte die Gefahr einer missbräuchlichen Verwendung des damit verknüpften Bankkontos durch Betrüger und durch die Freigabe fremd angelegter Überweisungen die Gefahr einer missbräuchlichen Verwendung des Kontoguthabens verbunden ist, ist die rechtliche Beurteilung des Erstgerichts, der Kläger habe durch sein Handeln grob fahrlässig seine Sorgfaltspflichten verletzt, nicht zu beanstanden.

II.9. Soweit der Kläger noch sekundäre Feststellungsmängel geltend macht, ist ihm entgegenzuhalten, dass solche immer nur dann in Betracht kommen, wenn entscheidungserhebliche Tatsachen nicht festgestellt wurden (vgl RS0053317 [T5]).

II.9.1. Nun mag es zwar sein, dass es sich bei dem gegenständlichen Betrugsfall um einen Extremfall gehandelt hat (in der Tatsachenrüge begehrte Ersatzfeststellung [e], mangels korrespondierender bekämpfter Feststellung als sekundärer Feststellungsmangel behandelt). Dies besagt allerdings noch nichts darüber, ob die von der Beklagten zu verantwortenden Sicherungsmaßnahmen versagt haben, sodass es auf eine solche Feststellung von vornherein nicht ankommt.

II.9.2. Ob darüber hinaus ein ordnungsgemäß funktionierendes, aktuelles FTM auf dem Stand der Technik den gegenständlichen Betrugsfall erkannt hätte, im vorliegenden Fall also angeschlagen hätte (vgl auch die in der Tatsachenrüge begehrte Ersatzfeststellung [f]), ist für die Frage einer verschuldensunabhängigen Haftung der Beklagten nach § 67 ZaDiG 2018 irrelevant, weil eine solche nach dieser Bestimmung – wie bereits dargelegt – schon daran scheitert, dass die gegenständlichen Überweisungen unstrittig vom Kläger autorisiert waren.

Im Rahmen der Beurteilung einer Haftung wegen Verletzung vertraglicher Verpflichtungen der Beklagten, durch deren Erfüllung sie die vom Kläger in Auftrag gegebenen Zahlungen stoppen hätte müssen, wurde vom Berufungssenat rechtlich ohnehin berücksichtigt, dass das FTM der Beklagten die gegenständlichen Zahlungen aufgrund der Vielzahl der Überweisungen und der insgesamt hohen Überweisungssumme als auffällig erkennen und daher stoppen hätte müssen. Insofern bedarf es keiner weiteren Feststellungen.

II.9.3. Soweit der Kläger außerdem noch festgestellt haben möchte, dass es branchenüblich sei, Express-Überweisungen systematisch betraglich zu begrenzen bzw auch bei Auslandsüberweisungen entsprechende Schranken einzuziehen, ist ihm entgegenzuhalten, dass Feststellungen dazu, welche Vorgehensweisen im Bankwesen „üblich“ wären, unerheblich sind und an der dargelegten rechtlichen Beurteilung nichts ändern würden (7 Ob 95/24g). Zudem ließe sich aus der begehrten Feststellung auch schon deshalb nichts ableiten, weil sich daraus weder ergäbe, mit welcher Höhe Express-Überweisungen üblicherweise begrenzt würden, noch wie die Schranken bei Auslandsüberweisungen ausgestaltet wären. Damit bliebe – selbst wenn diese Feststellungen getroffen worden wären – offen, ob bei einer betraglichen Begrenzung bzw bei Schranken bei Auslandsüberweisungen die gegenständlichen Überweisungen vom FTM gestoppt worden wären. Damit fehlt es an einer Relevanz der begehrten zusätzlichen Feststellung. Letztlich stünde auch die erfolglos bekämpfte Negativfeststellung, wonach nicht feststehe, was konkret und in welcher Tiefe bei Banken geprüft werde, der begehrten Ersatzfeststellung entgegen.

Sekundäre Feststellungsmängel liegen somit nicht vor.

II.10. Zusammenfassend ist also davon auszugehen, dass sowohl dem Kläger aufgrund seines besonders sorglosen Umgangs im Zusammenhang mit der Bekanntgabe seiner Verfügernummer und insbesondere der Freigabe von von unbekannten Dritten angelegten Überweisungen, als auch der Beklagten durch die Implementierung eines unzureichenden Transaktionsüberwachungssystems, womit 41 Überweisungen in der Höhe von insgesamt rund EUR 200.000,00 in einem Zeitraum von nur etwa 1,5 Stunden nicht auffällig wurden, ein annähernd gleich sorgfaltswidriges Verhalten vorzuwerfen ist, womit nach Ansicht des Berufungssenats eine Verschuldensteilung von 1 : 1 im vorliegenden Fall gerechtfertigt erscheint.

III. Der Berufung war somit teilweise Folge zu geben und die erstinstanzliche Entscheidung in einen teilweisen Zuspruch von EUR 8.500,00 abzuändern. Mangels substanziierter Bestreitung waren Zinsen ab 3. Februar 2023 zuzusprechen.

IV.1. Infolge Abänderung des Ersturteils war die erstinstanzliche Kostenentscheidung neu zu fassen. Diese gründet auf § 43 Abs 1 ZPO. Der Kläger ist mit 50 % seiner Klagsforderung durchgedrungen, sodass mit Kostenaufhebung vorzugehen ist. Er hat lediglich Anspruch auf die Hälfte der Pauschalgebühr sowie der von ihm erlegten Kostenvorschüsse für die Sachverständigengebühren, das sind EUR 8.396,00. Gleichzeitig hat auch die Beklagte Anspruch auf die Hälfte der von ihr getragenen Barauslagen (elektronische Akteneinsicht, Kostenvorschüsse für Sachverständigengebühren, Zeugengebühren), das sind EUR 1.900,60. Saldiert ergibt sich somit ein Barauslagenersatzanspruch des Klägers von EUR 6.495,40.

IV.2. Die Kostenentscheidung für das Berufungsverfahren gründet auf §§ 43 Abs 1, 50 ZPO. Auch im Berufungsverfahren ist der Kläger mit der Hälfte seiner Forderung durchgedrungen, weshalb auch hier die Verfahrenskosten gegenseitig aufzuheben sind. Lediglich die halbe Pauschalgebühr für die Berufung von EUR 609,50 ist ihm von der Beklagten zu ersetzen.

V. Die ordentliche Revision nach § 502 Abs 1 ZPO war zuzulassen, weil – soweit überblickbar – eine höchstgerichtliche Rechtsprechung zur der Frage fehlt, ob im Hinblick auf die Höhe jede einzelne Überweisung isoliert mit dem bisherigen Zahlungsverhalten eines Kunden abzugleichen ist, oder ob bei mehreren Zahlungen in kurzer Zeit die Gesamtsumme dieser Überweisungen maßgeblich ist. Weiters erscheint auch die Frage klärungsbedürftig, ob ein wirksam automatisiertes Transaktionsüberwachungssystem bei mehreren Konten eines Verfügers jedes Konto nur isoliert zu überwachen hat, oder ob sämtliche Konten, über die ein Kunde verfügungsberechtigt ist, in den Abgleich des bisherigen Zahlungsverhaltens des Kunden miteinzubeziehen sind.