Bundesgerichtshof, Entscheidung vom 24.04.2012, Az. XI ZR 96/11

BUNDESGERICHTSHOF

IM NAMEN DES VOLKES

URTEIL
XI [X.]
Verkündet am:

24.
April 2012

Herrwerth,

Justizangestellte

als Urkundsbeamtin

der Geschäftsstelle

in dem Rechtsstreit

Nachschlagewerk:
ja
[X.]Z:
nein
[X.]R:
ja
BGB § 276 Cc
Ein Bankkunde, der im [X.] Opfer eines Pharming-Angriffs wird, handelt fahrlässig, wenn er beim [X.] trotz ausdrücklichen Warnhinweises gleich-zeitig zehn [X.] eingibt.
[X.], Urteil vom 24. April 2012 -
XI [X.] -
LG [X.]

AG [X.]

-
2
-
Der XI.
Zivilsenat des [X.] hat auf die mündliche Verhandlung vom 24.
April 2012 durch [X.] [X.] und die [X.] Dr.
Joeres, Dr.
Ellenberger, Dr.
Matthias und Pamp
für Recht erkannt:
Die Revision des [X.] gegen das Urteil der 23.
Zivilkammer des [X.] vom 19.
Januar 2011 wird auf seine Kosten zurückgewiesen.
Von Rechts wegen

Tatbestand:
Der Kläger nimmt die beklagte Bank wegen einer von ihr im [X.] ausgeführten Überweisung von 5.000

e-trages in Anspruch.
Der Kläger unterhält bei der [X.] ein Girokonto und nimmt seit 2001 am [X.] teil. Für [X.] verwendet die [X.] das sog. i[X.]-Verfahren, bei dem der Nutzer nach Erhalt des Zugangs durch Eingabe einer korrekten persönlichen Identifikationsnummer ([X.]) dazu aufge-fordert wird, eine bestimmte, durch eine Positionsnummer gekennzeichnete (indizierte) Transaktionsnummer ([X.]) aus einer ihm vorher zur Verfügung ge-stellten, durchnummerierten
[X.]-Liste einzugeben. Vertragliche Grundlage des [X.]s sind die
"Sonderbedingungen für die konto-/depotbezogene 1
2
-
3
-
Nutzung des

[X.] mit [X.] und [X.]"
(Stand Dezember 2007; im Folgenden: [X.]), die u.a. folgende Bedingungen enthalten:
"7 Finanzielle [X.]
Der Nutzer darf Verfügungen nur im Rahmen des Kontoguthabens oder eines vorher für das Konto eingeräumten Kredits vornehmen. Auch wenn der Nutzer diese [X.] bei seinen Verfügungen nicht einhält, ist das Kreditinstitut berechtigt, den Ersatz der Aufwendungen zu [X.], die aus der Nutzung des [X.] entstehen. Die Buchung solcher Verfügungen auf dem Konto führt lediglich zu einer geduldeten Überziehung; das Kreditinstitut ist berechtigt, in diesem Fall den höheren Zinssatz für geduldete Kontoüberziehungen zu verlangen.

8 Sorgfalts-
und Mitwirkungspflichten
Der Nutzer hat dafür Sorge zu tragen, dass keine andere Person Kennt-nis
von der [X.] und den [X.] erlangt. Jede Person, die die [X.] und

falls erforderlich
-
eine [X.] kennt, hat die Möglichkeit, das [X.]-Leistungsangebot zu nutzen. Sie kann z.B. Aufträge zulasten des Kontos/Depots erteilen. Insbesondere Folgendes ist
zur Geheimhal-tung der [X.] und [X.] zu beachten:

Die technische Verbindung zum [X.]-Angebot des [X.]s ist nur über die vom Kreditinstitut gesondert mitgeteilten [X.]-Zugangskanäle herzustellen."

In der Mitte der [X.] des [X.]s der [X.] befand sich vom
10.
September 2008 bis
zum
28.
Juli 2009 folgender Hinweis:
"Derzeit sind vermehrt Schadprogramme und sogenannte [X.] in Umlauf, die Sie auffordern, mehrere Transaktionsnummern oder gar Kreditkartendaten in ein Formular einzugeben. Wir fordern Sie niemals auf, mehrere [X.] gleichzeitig preiszugeben! Auch werden wir Sie nie-mals per E-Mail zu einer Anmeldung im

Banking auffordern!"
3
-
4
-
Am 26.
Januar 2009 um 18.10 Uhr wurde vom Girokonto des [X.] nach Eingabe seiner [X.] und einer korrekten [X.] ein Betrag von 5.000

ein Konto bei einer [X.] Bank überwiesen. Am selben Tag kam es vom Konto eines anderen Kunden der [X.] zu einer Überweisung eines Betra-ges von 7.000

asselbe [X.] Konto, was der betreffende Kunde
am 26.
Januar 2009 um 20.15 Uhr bei der Polizei zur Anzeige brachte. Am 29.
Januar 2009 erstattete der Kläger Strafanzeige und gab Folgendes zu Pro-tokoll:
"Im Oktober 2008 -
das genaue Datum weiß ich nicht mehr
-
wollte ich ins Online-banking. Ich habe das Online-banking der

Bank ange-klickt. Die Maske hat sich wie gewohnt aufgemacht. Danach kam der Hinweis, dass ich im Moment keinen Zugriff auf Online-banking der

Bank hätte. Danach kam
eine Anweisung zehn [X.] einzugeben. Die Felder waren nicht von 1 bis 10 durchnummeriert, son-dern kreuz und quer. Ich habe dann auch die geforderten [X.], die ich schon von der Bank hatte, in die Felder chronologisch eingetra-gen. Danach erhielt ich dann Zugriff auf mein Online-banking. Ich habe dann unter Verwendung einer anderen [X.] eine Überweisung getätigt."
Das Ermittlungsverfahren wurde eingestellt, da ein Täter nicht ermittelt werden konnte. Auf dem Kontoauszug vom 29.
Januar 2009 findet sich hinter dem Wort "Limit"
die Eintragung "4.500". Die Überweisung führte zu einem [X.] von 4.315,73

Der Kläger behauptet, er habe die Überweisung von 5.000

n-lasst. Die [X.] ist der Auffassung, der Beweis des ersten Anscheins spre-che dafür, dass der Kläger einen entsprechenden Überweisungsauftrag erteilt habe. Jedenfalls stehe ihr ein Schadensersatzanspruch zu, weil der Kläger durch die [X.] von zehn [X.] seine Sorgfaltspflichten verletzt habe.

4
5
6
-
5
-
Die Klage auf Zahlung von
5.000

Kosten
ist in den Vorinstanzen erfolglos geblieben. Mit der vom Berufungsge-richt zugelassenen Revision verfolgt der Kläger seinen Klageantrag weiter.

Entscheidungsgründe:
Die Revision ist unbegründet.

I.
Das Berufungsgericht hat zur Begründung seiner Entscheidung im [X.] ausgeführt:
Der Kläger habe gegen die [X.] keinen Anspruch aus §§
675 Abs.
1, 676f aF, 667 BGB. Hierbei könne dahinstehen, ob der Kläger die Überweisung selbst getätigt habe
und hierfür wegen Eingabe der korrekten [X.] und [X.] ein Anscheinsbeweis spreche. Wenn er die Überweisung nicht selbst in Auftrag gegeben habe, habe die [X.] mit einem Schadensersatzanspruch in glei-cher Höhe aus §
280 Abs.
1 BGB aufgerechnet.
Der Kläger habe entgegen Nr.
8 der wirksam einbezogenen Sonderbe-dingungen der [X.] einer dritten Person fahrlässig Kenntnis von den [X.] verschafft, indem er im Oktober 2008 auf eine Aufforderung hin zehn chronolo-gische [X.] in vorgegebene Felder eingetragen
habe. Auch wenn auf dem [X.] die übliche Maske für das [X.] der [X.] zu sehen ge-wesen sei und es insoweit keine optischen Auffälligkeiten gegeben habe, habe 7
8
9
10
11
-
6
-
sich dem Kläger aufdrängen müssen, dass er Opfer eines sog. Phishing-Angriffs
werde. Infolge der Aufforderung zur Eingabe mehrerer [X.] sei für ihn erkennbar gewesen, dass ein Dritter und nicht die [X.] tätig werde und er diesem [X.] mit der Eingabe Kenntnis von den [X.] verschaffe. Es sei im [X.] 2008 schon durch Warnungen in den Medien allgemein bekannt gewe-sen, dass die Anfrage mehrerer [X.] auf ein Phishing hindeute. Zudem habe die [X.] den Kläger im Oktober 2008 ausdrücklich, gut verständlich und an hervorgehobener, sofort im Blickfeld befindlicher Stelle auf der [X.] [X.] hingewiesen, dass sie ihre Kunden niemals auffordere, mehrere [X.] gleichzeitig preiszugeben und vermehrt Schadprogramme in Umlauf seien, die genau das verlangten.
Der [X.] sei auch kein Mitverschulden
gemäß §
254 Abs.
1 BGB
anzulasten. Das von der [X.] verwendete i[X.]-Verfahren bedeute ge-genüber dem normalen [X.]-Verfahren eine zusätzliche Absicherung, die [X.] dem Stand der Technik entsprochen habe. Der Kläger sei
über seine Pflicht zur Geheimhaltung der [X.] und [X.] ausreichend informiert worden. Die [X.] sei nicht verpflichtet gewesen, den Kläger vor Ausführung der Überweisung zu warnen. Nur in Ausnahmefällen bestehe für ein [X.] eine Warnpflicht, etwa wenn es aufgrund massiver Anhaltspunkte den [X.] hege, dass ein Kunde bei der Teilnahme am bargeldlosen [X.] durch eine Straftat einen anderen schädigen wolle. Die Bank müsse aber weder generell Kontobewegungen überwachen noch prüfen, ob die Abwicklung eines Zahlungsverkehrsvorgangs Risiken für einen Beteiligten berge. Da eine Auslandsüberweisung in Höhe von 5.000

o-sen Zahlungsverkehrs nicht ungewöhnlich und die Überweisung von 7.000

vom Konto eines anderen Kunden der [X.] auf dasselbe [X.]
Kon-to erst nach Ausführung der streitgegenständlichen Überweisung bekannt [X.]
-
7
-
worden sei, hätten
der
[X.]
keine konkreten Verdachtsmomente vorgele-gen, die eine Pflicht zur Rückfrage hätten begründen können.
Der Vortrag des [X.], die [X.] habe
ihm einige Monate vor der streitgegenständlichen Überweisung einen Kredit in Höhe von 2.000

i-gert, rechtfertige keine andere Beurteilung. Aus dem Kontoauszug
vom 29.
Januar 2009
ergebe sich, dass die [X.] dem Kläger einen Dispositions-kredit von
4.500

5.000

unter diesem Gesichtspunkt
keine Pflicht der [X.] zur Überprüfung der [X.] bestanden habe.

II.
Diese Ausführungen halten rechtlicher Überprüfung stand, so dass die Revision zurückzuweisen ist.
Dem Kläger steht kein Anspruch auf
Zahlung von 5.000

700 Abs.
1 Satz
1, §
488 Abs.
1 Satz
1 BGB (vgl. Senatsurteil vom 11.
Oktober 2005 -
XI
ZR 85/04, [X.]Z 164,
275,
278)
zu, da ein solcher, falls
er mangels eines Überweisungsauftrags des [X.] bestanden
hat,
jedenfalls durch die Aufrechnung der [X.] mit einem ihr in gleicher Höhe zustehenden Scha-densersatzanspruch aus §
280 Abs.
1 BGB gemäß §
389 BGB erloschen ist.
1. Rechtsfehlerfrei
hat das Berufungsgericht einen gemäß §
280 Abs.
1 BGB zum Schadensersatz verpflichtenden
(einfach)
fahrlässigen Sorgfaltsver-stoß des [X.] darin gesehen, dass er im Oktober 2008
beim [X.], also nicht in Bezug auf einen konkreten Überweisungsvorgang,
trotz ausdrücklichen Warnhinweises gleichzeitig zehn [X.]
eingegeben hat.
13
14
15
16
-
8
-
a) Nach der ständigen Rechtsprechung des [X.] trägt im Überweisungsverkehr zwar regelmäßig die Bank und nicht der Kunde das
Risi-ko, dass [X.] gefälscht oder inhaltlich verfälscht werden ([X.] vom 17.
Juli 2001 -
XI
ZR 325/00, [X.], 1712, 1713 mwN). Dem Bankkunden kommt jedoch die girovertragliche Pflicht zu, die Gefahr einer Fäl-schung soweit wie möglich auszuschalten (Senatsurteile vom 11.
Oktober 1994 -
XI
ZR 238/93, WM
1994, 2073, 2074
und vom 17.
Juli 2001 -
XI ZR 325/00, [X.], 1712, 1714). Mangels anderweitiger vertraglicher Ausgestaltung des [X.] genügte nach der vor dem 31.
Oktober 2009 geltenden Rechtslage,
die das Berufungsgericht seiner Entscheidung zutreffend zugrunde gelegt hat (Art.
229 §
22 Abs.
1 Satz
2 [X.]BGB),
gemäß §
276 Abs.
1 Satz
1 BGB für ein
haftungsbegründendes
Verschulden des Bankkunden daher regel-mäßig einfache Fahrlässigkeit (vgl. [X.]/[X.], 5.
Aufl., §
676a Rn.
20; [X.], [X.], 215, 216; Kind/[X.], [X.], 353, 354).

b) Entgegen der Ansicht der Revision ergibt sich weder aus der
Recht-sprechung des Gerichtshofs der [X.] noch aus der
des Bun-desgerichtshofs, dass §
276 Abs.
1 Satz
1 BGB bereits
vor Ablauf der in Art.
94 Abs.
1 der Richtlinie 2007/64/[X.] und des Rates vom 13.
November 2007 über Zahlungsdienste im Binnenmarkt, zur Änderung der [X.], 2002/65/[X.], 2005/60/[X.] und 2006/48/[X.] sowie zur Aufhebung der Richtlinie 97/5/[X.] ([X.]. [X.]
2007 Nr.
L
319/1,
im Folgenden: Zahlungsdiensterichtlinie) auf den 1.
November 2009 gesetzten [X.] richtlinienkonform dahin
auszulegen ist, dass nur Vorsatz oder grobe Fahr-lässigkeit des [X.] eine Haftung begründen.
aa) Zwar sieht §
675v Abs.
2 BGB nF, der Art.
61 der Zahlungsdienste-richtlinie umsetzt (BT-Drucks. 16/11643 S.
113 f.), eine unbegrenzte Haftung des "Zahlers"
bei missbräuchlicher Nutzung eines Zahlungsauthentifizierungs-17
18
19
-
9
-
instruments nur bei Vorsatz oder grober Fahrlässigkeit vor. Diese Vorschrift
gilt aber
nicht für den hier streitgegenständlichen Überweisungsvorgang vom 26.
Januar 2009, da sie erst durch Gesetz vom 29.
Juli 2009 ([X.]) mit Wirkung vom 31.
Oktober 2009 eingefügt wurde (Art.
229 §
22 Abs.
1 Satz
2 [X.]BGB).
[X.]) Vor Ablauf der in einer Richtlinie festgelegten Umsetzungsfrist kommt nach der Rechtsprechung des [X.] weder eine unmittelbare Wirkung der Richtlinie ([X.], [X.]. 1979, I-1629 Rn.
41 ff.; [X.]. 1992, [X.] Rn.
18 ff.; [X.]. 1994, [X.] Rn.
16) in Betracht, noch besteht für die nationalen Gerichte die Pflicht zur richtlinienkonformen Auslegung bereits bestehender [X.] ([X.], [X.]. 2006, I-6057 Rn.
115; vgl. auch [X.]. 1997, [X.] Rn.
9, 11, 43).
Während des Laufs der Umsetzungsfrist haben die Mitgliedsstaaten le-diglich den Erlass von Vorschriften zu unterlassen, die geeignet sind, die Errei-chung des in der Richtlinie vorgeschriebenen Zieles ernstlich zu gefährden ([X.], [X.]. 1997, I-7411 Rn.
45; [X.]. 2006, I-6057 Rn.
121; sog. Frustrations-verbot). Darüber hinaus müssen die nationalen Gerichte es ab dem Zeitpunkt des Inkrafttretens einer Richtlinie soweit wie möglich unterlassen, das inner-staatliche Recht auf eine Weise auszulegen, die die Erreichung des mit der Richtlinie verfolgten Zieles nach Ablauf der Umsetzungsfrist ernsthaft gefährden würde ([X.], [X.]. 2006, I-6057 Rn.
123). Bei §
276 BGB handelt es sich [X.] nicht um eine erst nach Erlass der Zahlungsdiensterichtlinie eingefügte Norm. Ihre Auslegung durch das Berufungsgericht
gefährdet,
wie der am 1.
November 2009 in [X.] getretene §
675v BGB zeigt,
auch nicht die Ziele der Richtlinie nach Ablauf der Umsetzungsfrist. Soweit das [X.] (NJW 2011, 288 Rn. 54) unter Berufung auf das genannte Urteil des [X.] ([X.]. 2006, I-6057) eine Pflicht zur richtlinienkonformen Auslegung ab Inkrafttre-20
21
-
10
-
ten einer Richtlinie angenommen hat, ist nicht ersichtlich, dass es eine über die Rechtsprechung des [X.] hinausgehende Pflicht zur richtlinienkonformen Auslegung bejahen wollte (vgl. auch [X.], Beschluss vom 21.
Dezember 2010 -
1
BvR 2742/08, juris Rn. 26). Da die von der Revision vor Ablauf der Umsetzungsfrist befürwortete Reduktion des [X.] des §
276 Abs.
1 Satz
1 BGB auf Vorsatz und grobe Fahrlässigkeit zu einer vom Gemein-schaftsrecht nicht gebilligten ([X.], [X.]. 2006,
I-6057 Rn. 110) Auslegung con-tra legem des nationalen Rechts führen würde, ist die Einholung einer Vor-abentscheidung des [X.] nach Art.
267 Abs.
3 A[X.] nicht geboten.
[X.]) In Übereinstimmung mit dem [X.] nimmt auch der [X.] in ständiger Rechtsprechung eine Pflicht der nationalen Gerichte zu [X.] Auslegung erst nach Ablauf der Umsetzungsfrist an (Urteile vom 19.
April 2007 -
I ZR 35/04, [X.]Z 172, 119 Rn.
38; vom 23.
Oktober 2008

IX
ZR 111/07, [X.], 126 Rn.
6; vom 13.
Oktober 2009 -
KZR 34/06, juris Rn.
24; vom 5.
Oktober 2010 -
I [X.], [X.]Z 187, 231 Rn.
13; vom 3.
März
2011 -

I [X.], [X.], 1321 Rn.
23 [zur Zahlungsdiensterichtlinie]; vgl. auch [X.], [X.] 2006, 253 Rn.
58 sowie aus der Literatur [X.]/[X.], 6.
Aufl., Vorbemerkung zu §
305 -
§
310 Rn.
27;
Calliess/[X.], [X.]/A[X.], 4.
Aufl., Art.
288 A[X.] Rn.
80; [X.] in Handbuch des Rechtsschutzes in der [X.], 2.
Aufl., §
33 Rn.
52; [X.] in [X.], 14.
Aufl., §
4 Rn.
30; [X.] in [X.], Das Recht der [X.], 40.
Aufl., Art.
249 [X.]V Rn.
153).
Davon geht auch das
von der Revision angeführte
Urteil
des Bundesge-richtshofs
vom 5.
Februar 1998 ausdrücklich aus (I
ZR 211/95, [X.]Z 138, 55, 61). Nach dieser Entscheidung kann nur im Rahmen der Generalklausel des
§
1 UWG der Inhalt einer [X.]-Richtlinie auch dann im Wege
der
richtlinienkon-formen
Auslegung berücksichtigt werden, wenn die Umsetzungsfrist noch nicht 22
23
-
11
-
abgelaufen ist.
Darauf beruft sich die Revision jedoch ohne Erfolg.
Unabhängig davon, dass, wie dargelegt,
vor Ablauf der Umsetzungsfrist des Art.
94 Abs.
1 der Zahlungsdiensterichtlinie keine Verpflichtung des Senats zur richtlinienkon-formen Auslegung nationalen Rechts besteht, handelt es sich bei §
276 Abs.
1 Satz
1 BGB nicht um eine Generalklausel, bei der sich die Unionskonformität mittels Auslegung unbestimmter Rechtsbegriffe herstellen ließe. Eine vor dem Hintergrund des erst zum 1.
November 2009 in [X.] getretenen §
675v BGB gebotene, richtlinienkonforme Auslegung des §
276 BGB scheidet daher vor Fristablauf aus (ebenso [X.], [X.], 493, 495; [X.] in Schimansky/
Bunte/[X.], [X.], 4.
Aufl., §
55 Rn.
38; [X.], [X.] 10/2011 Anm.
4).
c) Das Berufungsgericht hat das Verhalten des [X.] in revisionsrecht-lich nicht zu beanstandender Weise als einfach fahrlässig eingestuft.
Diese Be-urteilung unterliegt der Nachprüfung durch das Revisionsgericht nur dahin, ob der Tatrichter den Begriff der Fahrlässigkeit verkannt, bei der Beurteilung we-sentliche Umstände außer Betracht gelassen oder
gegen Verfahrensvorschrif-ten, Denkgesetze oder Erfahrungssätze verstoßen hat
(st. Rspr., vgl. [X.], Ur-teile vom 11.
Mai 1953 -
IV
ZR 170/52, [X.]Z 10, 14, 18; vom 21.
Mai 1953 -
IV
ZR 192/52, [X.]Z 10, 69, 74; vom 4.
Dezember 1985 -
IVa
ZR 130/84, NJW-RR 1986, 705, 706; vom 17.
Dezember 2008

IV
ZR 9/08, [X.], 1147 Rn.
13 und vom 8.
Juli 2010 -
III
ZR 249/09, [X.]Z 186, 152 Rn.
27 mwN). Derartige Verstöße zeigt die Revision nicht auf.
aa) Nach den [X.] und [X.] Feststellungen des Berufungsgerichts hat der Kläger im Oktober 2008 bei dem Versuch, die Start-seite der [X.] aufzurufen und sich zum [X.] anzumelden, im Rahmen der gewohnten Maske den Hinweis bekommen, dass er derzeit keinen Zugriff habe. Er ist
daraufhin der Anweisung auf dem Bildschirm gefolgt und hat
24
25
-
12
-
insgesamt zehn [X.] chronologisch in dafür vorgesehene Felder eingetragen, die nicht von eins bis zehn durchnummeriert gewesen sind. Nachdem daraufhin der Zugriff auf das [X.] freigegeben worden
ist,
hat er
die von ihm beabsichtigte Überweisung unter Verwendung einer anderen [X.] durchgeführt.
Der Revision ist zuzugeben, dass das Berufungsgericht diese Attacke unzutreffend als sog. Phishing eingeordnet hat. Dieser Begriff
bezeichnet die Täuschung eines Nutzers von [X.]diensten mithilfe technischer Manipulati-onen, um diesen zur Mitteilung vertraulicher Daten (meist [X.] oder [X.]) an einen Nichtberechtigten zu verleiten. Dazu wird der Nutzer durch einen ver-fälschten, meist in einer E-Mail mitgeteilten [X.] auf eine [X.]seite geleitet, die einen vertrauenswürdigen Betreiber vortäuscht, so dass der Nutzer arglos geschützte Daten preisgibt (vgl. [X.] in Schimansky/Bunte/[X.], [X.], 4.
Aufl., §
55 Rn.
30 mwN). Demgegenüber ist der Kläger Opfer des [X.] geworden. Hier ist der Angriff gegen die Auflösung einer [X.]adresse gerichtet. Durch Manipulation der sog. [X.] auf dem Rechner des Nutzers oder
durch
Einsatz eines korrumpierten DNS-Servers wird der korrekte Aufruf der Website der Bank technisch in den Aufruf der betrügerischen Seite geändert (vgl. [X.] in Schimansky/Bunte/[X.], [X.], 4.
Aufl., §
55 Rn.
31 mwN).
[X.]) Entgegen der Ansicht der Revision hat diese Verkennung der An-griffsart durch das Berufungsgericht jedoch keine Auswirkung auf den Sorg-faltsverstoß des [X.]. Für diesen
kommt es
auch
nicht maßgeblich auf [X.] in den Medien an. Entscheidend ist, dass
der Kläger beim [X.], also nicht etwa bei einer konkreten Transaktion, für die Transaktions-nummern bestimmt sind, gleichzeitig zehn [X.] eingegeben hat, obwohl
sich in der Mitte der [X.] des [X.] der [X.] vom
10.
September 2008 bis
zum
28.
Juli 2009 ein graphisch hervorgehobener
(vgl. 26
27
-
13
-
dazu Kind/[X.], [X.], 353, 357; [X.] in Festschrift No[X.]e, 2009, S.
215, 227) Hinweis
auf
Schadprogramme
befand, die zur Eingabe mehrerer [X.] in ein Formular auffordern, und die [X.] in diesem
Hinweis ausdrück-lich klargestellt hatte, dass sie Kunden niemals dazu auffordert, gleichzeitig mehrere [X.] preiszugeben.
[X.]) Dass
das Berufungsgericht aufgrund dieser Umstände
einen fahrläs-sigen Sorgfaltsverstoß des [X.] bejaht, ist naheliegend und revisionsrecht-lich nicht zu beanstanden. Dem Kläger hätte trotz fehlender optischer Auffällig-keiten der [X.]-Maske aufgrund des Warnhinweises und der wäh-rend des [X.]s erfolgten
Anforderung zur gleichzeitigen Eingabe von zehn [X.] bewusst
sein müssen, dass er sich außerhalb der "vom Kreditinstitut gesondert mitgeteilten [X.]-Zugangskanäle"
(Nr.
8 [X.]) bewegt und somit nicht die Bank, sondern ein unbefugter Dritter die [X.] anforderte
(vgl. [X.], Urteil vom 11.
August 2009 -
37 [X.], juris Rn.
20 ff.;
[X.],
BeckRS 2012, 01462; [X.], [X.], 493, 494 f.;
[X.]/Schwenk/
[X.]/[X.], Identitätsdiebstahl und Identitätsmissbrauch im [X.], S.
283; [X.] in Schimansky/Bunte/[X.], [X.], 4.
Aufl., §
55 Rn.
125; No[X.]e in Ellenberger/[X.]/No[X.]e, Kommentar zum [X.], §
675v BGB Rn.
53, 94; [X.], [X.] 2010, 249, 250;
[X.], [X.] 10/2011 Anm.
4). Dies gilt umso mehr, als für den Zugang zum [X.] niemals eine, geschweige denn mehrere [X.], sondern alleine Kontonummer und [X.] abgefragt werden
(so auch [X.], Urteil vom 11.
August 2009 -
37
[X.], juris Rn.
20; [X.] in [X.]
Knops/Bamberger, Handbuch zum [X.] und [X.] Bankrecht, 2.
Aufl., §
9 Rn.
144; [X.] in [X.]/[X.]/[X.], Handbuch des Fachanwalts Bank-
und Kapitalmarktrecht, 2.
Aufl., Kap.
3 Rn.
314;
[X.], [X.] 10/2011 Anm.
4). Der Vorwurf fahrlässigen [X.] gründet demnach nicht auf dem Umstand,
dass der Kläger überhaupt [X.]
-
14
-
fer eines Pharming-Angriffs geworden ist.
Ein solcher Angriff dürfte im Regelfall schwer zu erkennen sein ([X.], NJW 2005, 3313, 3315; [X.]/[X.], 5.
Aufl., §
676a Rn.
20; [X.], [X.], 2198, 2202, 2206; [X.], IT-Recht, 4.
Aufl., D. Rn.
880; [X.]/Klabunde, [X.], 84, 87; [X.]/[X.] in [X.]/[X.], Recht der elektroni-schen Medien, 2.
Aufl., §
164 BGB Rn.
10). Der Fahrlässigkeitsvorwurf
beruht vielmehr darauf, dass der Kläger diesen
Angriff trotz massiver Anhaltspunkte und Warnungen im Einzelfall nicht erkannt und diesbezügliche Verdachtsmo-mente ignoriert hat
(vgl. auch [X.], [X.], 2049, 2057; [X.] in
[X.]Knops/Bamberger, Handbuch zum [X.] und [X.] Bankrecht, 2.
Aufl., §
9 Rn.
143; [X.] in Schimansky/Bunte/[X.], [X.], 4.
Aufl., §
55 Rn.
120;
[X.] in [X.]/[X.]/[X.], Handbuch des Fachanwalts Bank-
und Kapitalmarktrecht, 2.
Aufl., Kap.
3 Rn.
348).
2. Ebenfalls rechtsfehlerfrei hat das Berufungsgericht eine Kürzung des Schadensersatzanspruches der [X.] unter dem Gesichtspunkt des [X.] (§
254 Abs.
1 BGB) verneint.
a) Die vorzunehmende Abwägung der Verantwortlichkeiten von [X.] und Geschädigtem gehört in den Bereich der tatrichterlichen Würdigung; sie ist deshalb mit der Revision nur begrenzt angreifbar. Das Revisionsgericht kann lediglich nachprüfen, ob der Tatrichter alle in Betracht kommenden Umstände vollständig und richtig berücksichtigt und nicht gegen Denkgesetze und Erfah-rungssätze verstoßen hat (st. Rspr., vgl. [X.], Urteile vom 11.
Januar 2007

III
ZR 116/06, NJW 2007, 1063 Rn.
7 ff. und vom 16.
Juli 2009 -
III
ZR 21/09, [X.], 1753 Rn.
15 ff. jeweils mwN). Derartige Verstöße zeigt die Revision nicht auf.
29
30
-
15
-
b) Sie greift die Feststellung des Berufungsgerichts, die [X.] sei mit dem Einsatz
des im Jahr 2008 dem Stand der Technik entsprechenden i[X.]-Verfahrens ihrer Pflicht zur Bereitstellung eines möglichst wenig missbrauchs-anfälligen Systems des [X.]s nachgekommen, nicht an und wendet sich auch
nicht gegen die Beurteilung, Nr.
8 der [X.] sowie der Hinweis auf der [X.] reichten für eine ordnungsgemäße Aufklärung über die Geheimhal-tungspflichten hinsichtlich [X.] und [X.] aus.
c)
Anders als die Revision meint, hat das Berufungsgericht auch die [X.] einer Warnpflicht durch die [X.] rechtsfehlerfrei verneint. Im [X.] bestehen Warn-
und Hinweispflichten der Kreditinstitute zum Schutz ihrer Kunden vor drohenden Schäden nur in Ausnahmefällen (Senatsur-teil vom 6.
Mai 2008 -
XI
ZR 56/07, [X.]Z 176, 281 Rn.
14). So hat im [X.]sverkehr ein Kreditinstitut, das aufgrund massiver Anhaltspunkte den Verdacht hegt, dass ein Kunde bei der Teilnahme am bargeldlosen Zahlungs-verkehr durch eine Straftat einen anderen schädigen will, diesem gegenüber eine Warnpflicht
(Senatsurteil vom 6.
Mai 2008 -
XI
ZR 56/07, [X.]Z 176, 281 Rn.
15). Die Bank muss aber weder generell prüfen, ob die Abwicklung eines Zahlungsverkehrsvorgangs Risiken für einen Beteiligten begründet, noch [X.] allgemein und ohne besondere Anhaltspunkte überwachen. [X.] besteht erst dann, wenn die Bank ohne nähere Prüfung im Rahmen der normalen Bearbeitung eines Zahlungsverkehrsvorgangs aufgrund einer auf massiven Verdachtsmomenten beruhenden objektiven Evidenz den Verdacht einer Veruntreuung schöpft (Senatsurteil vom 6.
Mai 2008

XI
ZR 56/07, [X.]Z 176, 281 Rn.
16).
Gemessen hieran bestand im Streitfall keine Warnpflicht der [X.]. Dass am 26.
Januar 2009 nicht nur vom Konto des [X.], sondern auch zu-lasten eines anderen Kunden der [X.] eine
Überweisung auf das gleiche 31
32
33
-
16
-
[X.] [X.] erfolgte, konnte schon deshalb kein Verdachtsmoment begründen, weil die [X.] hiervon nach den [X.] und unange-griffenen Feststellungen des Berufungsgerichts erst nach der streitgegenständ-lichen Überweisung Kenntnis erlangte.
Die Revision macht auch ohne Erfolg geltend,
eine zu einem Sollstand von über 4.300

eines runden Betrages (5.000

Ausland
sei
für den Kläger absolut untypisch gewesen.
Ohne besondere weite-re Anhaltspunkte geben
Überweisungen mit Auslandsberührung, der Einsatz glatter Beträge und
dadurch eintretende Kontoüberziehungen einer
Bank ohne nähere Prüfung
keinen hinreichenden Anlass,
den Verdacht einer Straftat zu schöpfen. Kreditinstitute
werden
im bargeldlosen Zahlungsverkehr nur zum Zweck der technisch einwandfreien, einfachen und schnellen Abwicklung tätig und haben sich schon wegen dieses begrenzten Geschäftszwecks und der Massenhaftigkeit der Geschäftsvorgänge grundsätzlich nicht um die beteiligten Interessen ihrer Kunden zu kümmern (Senatsurteil vom 6.
Mai 2008

XI
ZR 56/07, [X.]Z 176, 281 Rn.
14).
d) Auch aus der Überschreitung der in Nr.
7 [X.] vereinbarten finanziel-len [X.]
hat das Berufungsgericht zu Recht
kein den [X.] minderndes oder gar ausschließendes Mitverschulden der [X.] abgeleitet.
Entgegen der Ansicht der Revision stellt eine finanzielle [X.] keine Bestimmung zum Schutz des [X.]-Kunden dar (Senatsurteil vom 29.
November 2011 -
XI
ZR 370/10, [X.], 164 Rn.
28, dort als "kon-tobezogener Verfügungsrahmen" bezeichnet; [X.] in Schimansky/Bunte/
[X.], [X.], 4.
Aufl., §
54 Rn.
18, 98).
Kreditinstitute haben grundsätzlich keine Schutzpflicht, eine Kontoüberziehung des Kunden zu ver-34
35
36
-
17
-
meiden ([X.] in Schimansky/Bunte/[X.], [X.], 4.
Aufl., §
54 Rn.
18; [X.], [X.], 1132, 1133; vgl. auch [X.], Urteil vom 5.
Februar 1973 -
II
ZR 116/71, [X.], 722, 723). Deshalb kann dahin-stehen, ob, wie das Berufungsgericht angenommen hat, schon von
dem auf dem Kontoauszug befindlichen Aufdruck "Limit 4.500"
auf einen zwischen den Parteien in dieser Höhe wirksam vereinbarten Dispositionskredit und damit auf ein Einhalten der finanziellen [X.] geschlossen werden kann.
Einen die einzelne Transaktion unabhängig vom Kontostand beschrän-kenden (vgl. [X.] in [X.], Vertragsrecht und [X.]-Klauselwerke, 29.
Ergänzungslieferung, Bankkartenbedingungen Rn.
36; [X.] in [X.]/Boujong/[X.]/Strohn, HGB, 2.
Aufl., Rn.
II 298; MünchKommHGB/Häuser/Haertlein, 2.
Aufl.,
Bd.
5
Rn.
[X.], 62; [X.] in
Schimansky/Bunte/[X.], [X.], 4.
Aufl., §
54 Rn.
20) [X.], der kundenschützende Wirkung hat und dessen Missachtung ein Mitverschulden der Bank begründen kann (vgl. [X.] in [X.]/ Boujong/[X.]/Strohn, HGB, 2.
Aufl., Rn.
[X.]; MünchKommHGB/Häuser/ Haertlein, 2.
Aufl., Bd.
5 Rn.
[X.]; [X.] in Schimansky/Bunte/[X.],

37
-
18
-

[X.], 4.
Aufl., §
54 Rn.
20, 98; No[X.]e in Ellenberger/
[X.]/No[X.]e, Kommentar zum Zahlungsverkehrsrecht, §
675v BGB Rn.
116; [X.], Vertrag und Haftung beim [X.]-Banking, Diss. iur. 2005, S.
192), haben die Parteien nicht vereinbart.

[X.]

Joeres

Ellenberger

Matthias

Pamp

Vorinstanzen:
AG [X.], Entscheidung vom 06.04.2010 -
36 C 13469/09 -

LG [X.], Entscheidung vom 19.01.2011 -
23 [X.]/10 -