Auf die Berufung der Beklagten wird das am 7. Juni 2013 verkündete Urteil des Einzelrichters der 3. Zivilkammer des Landgerichts Lübeck abgeändert und die Klage abgewiesen.

Die Klägerin trägt die Kosten des Rechtsstreits inklusive der Kosten des Revisionsverfahrens mit Ausnahme der Kosten der Nebenintervention, welche der Streithelfer trägt.

Das Urteil ist vorläufig vollstreckbar.

Die Klägerin darf die Vollstreckung durch Sicherheitsleistung oder Hinterlegung in Höhe von 110 % des aufgrund des Urteils vollstreckbaren Betrages abwenden, sofern nicht die Beklagte vor der Vollstreckung Sicherheit in Höhe von 110 % des jeweils zu vollstreckenden Betrages leistet.

Der Streitwert für die Berufung wird auf € 236.422,14festgesetzt.

I.

Die Klägerin verlangt von der Beklagten Aufwendungsersatz für eine vermeintlich ordnungsgemäß ausgeführte Überweisung.

Hinsichtlich der Einzelheiten des Sachverhalts und der erstinstanzlich gestellten Anträge wird zunächst auf die tatsächlichen Feststellungen des landgerichtlichen Urteils Bezug genommen.

Die Klägerin begehrt Ausgleich des Schlusssaldos eines Geschäftsgirokontos der Beklagten, die entgegenhält, der behauptete Fehlbetrag resultiere aus einer im Wege des Online-Bankings ausgelösten Überweisung auf ein Konto des Streithelfers, die von ihr nicht autorisiert worden sei.

Die Beklagte unterhielt bei der Klägerin unter anderem ein Geschäftsgirokonto, mit dem sie seit März 2011 am Online-Banking teilnahm. Der Geschäftsführer der Beklagten, Michael B., erhielt dazu eine persönliche Identifikationsnummer (PIN), mit der er online auf das genannte Geschäftsgirokonto zugreifen und durch zusätzliche Eingabe einer Transaktionsnummer (TAN) Zahlungsaufträge erteilen konnte. Weiter vereinbarten die Parteien zur Freigabe einzelner Transaktionen das smsTAN-Verfahren (Übermittlung der TAN durch SMS) über eine Mobilfunknummer, die einer SIM-Karte zugewiesen war, die nach Angaben der Beklagten in einem grundsätzlich im Gewahrsam ihres Geschäftsführers befindlichen Mobiltelefon betrieben wurde.

Im Zuge einer Umstellung der EDV der Klägerin kam es im Juli 2011 zu länger andauernden Störungen in deren Online-Banking-System, über die auch in der Tagespresse berichtet wurde. Einige Kunden - darunter auch die Beklagte - konnten eine Zeit lang auf ihr Konto nicht online zugreifen, einzelne Lastschriften wurden nicht ausgeführt und andere Buchungen doppelt. In diesem Zusammenhang wurden aus nicht geklärten Umständen am Freitag, dem 15. Juli 2011, dem Geschäftskonto der Beklagten fehlerhaft Beträge von € 47.498,95 und € 191.576,25 gutgeschrieben. Die Klägerin veranlasste am 15. und 17. Juli 2011 entsprechende Stornierungen, die aufgrund des Wochenendes erst am Montag, dem 18. Juli 2011, ausgeführt wurden. Wegen der Fehlbuchungen wies das Geschäftskonto der Beklagten bis zu diesem Montagmorgen buchungstechnisch ein Guthaben von nahezu € 238.000,00 auf.

Am Freitag, dem 15. Juli 2011, um 23:25 Uhr wurden unter Verwendung der PIN des Geschäftsführers der Beklagten im Online-Banking die Kontostände aller Konten der Beklagten sowie die Umsätze auf deren Geschäftskonto abgefragt. Um 23:29 Uhr wurde eine Überweisung von € 235.000,00 mit dem Verwendungszweck „Michael B.", dem Namen des Geschäftsführers der Beklagten, zugunsten des Streithelfers der Klägerin in das Online-Banking-System der Klägerin eingegeben. Die erforderliche smsTAN wurde von der Klägerin zur vereinbarten Mobiltelefonnummer der Beklagten übermittelt und sodann für die Freigabe dieser Überweisung verwendet. Im Anschluss daran kam es zwischen 23:31 Uhr und 23:36 Uhr zu drei weiteren Umsatzabfragen und einer Statusabfrage. Die Überweisung wurde am Montagmorgen, dem 18. Juli 2011, mit dem ersten Buchungslauf ausgeführt. Da zeitgleich die fehlerhaften Gutschriften berichtigt wurden, ergab sich ein Sollbetrag auf dem Geschäftskonto der Beklagten.

Nachdem die Klägerin die Beklagte erfolglos zum Ausgleich des Kontos aufgefordert hatte, kündigte sie die Geschäftsbeziehung fristlos und fordert mit der vorliegenden Klage Ausgleich des negativen Schlusssaldos von € 236.422,14 nebst Zinsen.

Die Klägerin hat behauptet, bei dem streitigen Zahlungsvorgang hätten keine Unregelmäßigkeiten vorgelegen. Der technische Ablauf sei ordnungsgemäß aufgezeichnet worden. Anhand der Darlegungen der Beklagten könne nicht nachvollzogen werden, wie es zu einem Missbrauch hätte kommen können.

Die Beklagte hat vorgetragen, sie beziehungsweise ihr Geschäftsführer hätte die Überweisung nicht veranlasst und auch nicht veranlassen können, weil ihr Geschäftsführer zum maßgeblichen Zeitpunkt im Urlaub gewesen sei und sich das Geschäftshandy bei ihrem Mitarbeiter dem Zeugen M... befunden habe, der die Überweisung ebenfalls nicht autorisiert, sondern die SMS, mit der eine TAN übermittelt worden sei, für Spam gehalten und „weggedrückt" habe.

Der Streithelfer der Klägerin hat behauptet, ihm habe eine schriftliche Weisung des Geschäftsführers der Beklagten vorgelegen, aufgrund derer er den erhaltenen Betrag auf ein ihm mitgeteiltes Konto weitergeleitet habe. Im Übrigen hat er sich auf seine Schweigepflicht als Rechtsanwalt berufen.

Das Landgericht hat der Klage vollumfänglich stattgegeben. Der Senat hat die Berufung mit Beschluss vom 22. Januar 2014 gemäß § 522 Abs. 2 ZPO zurückgewiesen. Diesen Beschluss hat der Bundesgerichtshof auf die Revision der Beklagten mit Urteil vom 26. Januar 2016 (XI ZR 91/14) aufgehoben und den Rechtsstreit zur neuen Verhandlung und Entscheidung an den Senat zurückverwiesen. Zur Begründung hat der Bundesgerichtshof im Wesentlichen ausgeführt, der Senat habe bei Prüfung der hierfür nach § 675j Abs. 1 BGB erforderlichen Autorisierung der streitgegenständlichen Überweisung durch die Beklagte die Voraussetzungen eines Anscheinsbeweises im Falle der Verwendung eines Zahlungsauthentifizierungsinstruments nach § 675j Abs. 1 Satz 4 BGB im Online-Banking verkannt sowie die Anforderungen an eine Erschütterung des Anscheinsbeweises überspannt (BGH, Urteil vom 26. Januar 2016 – XI ZR 91/14, Rn. 13).

Zur Ergänzung des Sach- und Streitstandes wird auf die tatsächlichen Feststellungen in dem angefochtenen Urteil Bezug genommen.

Die Beklagte trägt weiter vor, die PIN sei vom allein über das streitgegenständliche Konto verfügungsbefugten und allein die PIN kennenden Geschäftsführer der Beklagten nirgends notiert und nicht an Dritte weitergegeben worden.

Die Überweisungen vom Geschäftskonto der Beklagten seien üblicherweise vom mit dem Betriebssystem Windows XP betriebenen PC im Büro des Studios der Beklagten ausgeführt worden. Die von Microsoft zur Verfügung gestellten Sicherheitsupdates seien regelmäßig vom Zeugen M... installiert worden. Gleiches gelte bezüglich des benutzten Browsers „Internet Explorer“. Der PC sei mit der Virensoftware „AVIRA“ gesichert gewesen, welche ebenfalls von dem Zeugen in regelmäßigen Abständen aktualisiert worden sei. Intern habe es die Anweisung gegeben, E-Mails von nicht bekannten Absendern und offensichtliche Spam-Mails nicht zu öffnen. Diese seien üblicherweise sofort gelöscht oder in einen Spam-Ordner verschoben worden. Es sei jedoch nicht auszuschließen, dass aus Versehen eine E-Mail geöffnet worden sei, welche schädliche Software (Trojaner) installiert habe.

Der PC sei auch von anderen Mitarbeitern der Beklagten nutzbar gewesen. Es seien zwar nach dessen Einrichtung lediglich zwei Internetseiten nutzbar gewesen, davon sei aber eine „Google“ gewesen, so dass indirekt über Verwendung dieser Suchmaschine jede beliebige Seite habe aufgerufen werden können. Es sei daher nicht auszuschließen, dass einer der Mitarbeiter versehentlich eine Seite aufgerufen habe, die schädliche Software (Trojaner) installiert habe.

Beim Online-Banking sei die Nummer des Geschäftsmobiltelefons hinterlegt gewesen, welches ausschließlich der Geschäftsführer der Beklagten genutzt habe. Die SIM-Karte, welche der bei der Klägerin hinterlegten Rufnummer zugeordnet gewesen sei, sei in einem Telefon „NOKIA 3510i“, einem Tastentelefon ohne Internetverbindung im heute üblichen Umfang, genutzt worden. Allerdings sei auch der Empfang von MMS möglich gewesen, bei dem ein Ausspähen der eingehenden SMS-Nachrichten technisch nicht ausgeschlossen sei.

Zum Zeitpunkt der streitgegenständlichen Überweisung (15. Juli 2011, 23:29 Uhr) habe sich der Geschäftsführer der Beklagten bei seiner Mutter in Nordrhein-Westfalen aufgehalten (vom 14. Juli bis 21. Juli 2011). Das Geschäftshandy habe sich zu diesem Zeitpunkt bei dem Zeugen M... befunden, damit der Geschäftsführer der Beklagten in den Tagen bei seiner Mutter entspannen habe können und nicht mit geschäftlichen Belangen konfrontiert werde. Der Geschäftsführer der Beklagten habe auch in dieser Zeit keinen Zugriff auf einen PC gehabt, von dem er die Überweisung hätte veranlassen können.

Die für die Überweisung erforderliche TAN sei auf das Geschäftshandy geschickt worden. Der Zeuge M... habe die SMS und dabei auch zur Kenntnis genommen, dass die TAN für die Überweisung eines Betrages in Höhe von € 235.000,00 zur Verfügung gestellt worden sei. Er habe die SMS angesichts der hohen Summe und weil der für Bankgeschäfte verantwortliche Geschäftsführer der Beklagten nicht vor Ort gewesen sei, für eine Spam-Nachricht gehalten und ignoriert. Da die PIN nur dem Geschäftsführer der Beklagten bekannt gewesen, die TAN dagegen auf dem Geschäftshandy beim Zeugen M... eingegangen sei, könne die Überweisung nicht vom Geschäftsführer der Beklagten ausgeführt worden sein. Aufgrund der erheblichen Software-Probleme bei der Klägerin liege im Übrigen die Vermutung nahe, dass bestehende Sicherheitslücken für kriminelle Aktivitäten sachkundiger Dritter genutzt worden seien.

Die Beklagte habe der Klägerin zudem die Möglichkeit eingeräumt, sowohl Handy als auch den genutzten PC zu untersuchen, um die IP-Adresse abzugleichen sowie die Geräte auf mögliche Trojaner bzw. andere Späh-Software zu überprüfen, was diese nicht wahrgenommen habe.

Die Beklagte beantragt,

das Urteil des Landgerichts Lübeck vom 7. Juni 2013 abzuändern und die Klage abzuweisen,

hilfsweise

das Urteil des Landgerichts Lübeck vom 7. Juni 2013 aufzuheben und die Sache zur erneuten Verhandlung und Entscheidung an das Landgericht Kassel zurückzuverweisen.

Die Klägerin beantragt,

die Berufung zurückzuweisen.

Der Streithelfer der Klägerin beantragt,

die Berufung zurückzuweisen.

Die Klägerin trägt weiter vor, der Streithelfer habe ihr auf Nachfrage (wie hier im Verfahren) mitgeteilt, den auf sein Konto überwiesenen Betrag auf Grundlage einer ihm vorliegenden schriftlichen Zahlungsanweisung des Geschäftsführers der Beklagten weitergeleitet zu haben (Anlage K 10, Bl. 19 d. A.) und so sei es auch gewesen. Es gebe keine Hinweise auf einen Missbrauchsfall, da die korrekte PIN und die korrekte TAN ohne Fehlversuche oder sonstige Besonderheiten verwendet worden seien. Ein Missbrauch durch Abfangen der Daten oder Umleiten der TAN scheide aus, da der Zeuge M... auch nach dem Vortrag der Beklagten die entsprechende SMS auf dem richtigen Handy erhalten und wahrgenommen habe. Auch sei der Betrag an einen deutschen Rechtsanwalt überwiesen worden und nicht etwa, wie typischerweise in Betrugsfällen, ins Ausland oder an eine mittellose Person, die das Geld sofort abhebt und in bar weitergibt. Die Überweisung sei daher stets nachvollziehbar. Der Zeuge M... sei als Erfüllungsgehilfe der Beklagten anzusehen.

Weiter trägt die Klägerin zur Funktionsweise und Sicherheit des Online-Bankings im smTAN-Verfahren vor (für die Einzelheiten vgl. Blatt 285 ff. d. A.). Insbesondere erfolge die Hinterlegung der beim ersten Einloggen des Kunden zu ändernden PIN in verschlüsselter Form, so dass sie auch der Klägerin nicht bekannt sei. Die Verschlüsselung sei nach heutigem Kenntnisstand praktisch unüberwindbar. Die PIN sei auch nicht zu errechnen oder durch Ausprobieren aller denkbaren Möglichkeiten zu ermitteln. Dies sei hier auch deshalb ausgeschlossen, weil die PIN bereits beim ersten Mal richtig eingegeben worden sei. Die aufgrund der Erforderlichkeit des Lesens durch den Empfänger notwendigerweise unverschlüsselte TAN sei an die korrekte Mobilfunknummer übermittelt worden.

Der beschriebene Sicherheitsstandard sei bei Ausführung der streitgegenständlichen Überweisung am 15. Juli 2011 ungeachtet der übrigen seinerzeitigen Schwierigkeiten im EDV-System der Klägerin intakt gewesen. Das Online-Banking sei von der Software-Umstellung seinerzeit nicht betroffen und vom übrigen EDV-System getrennt gewesen. Zwar gebe es Schnittstellen für die Weiterleitung der Zahlungsaufträge, die angepasst worden seien. Die hier relevanten Teile bei der Bearbeitung des Zahlungsverkehrs und der Verschlüsselung der PIN sowie der Generierung und Übermittlung der SMS-TAN seien aber nicht verändert worden. Es seien auch keine weiteren Missbrauchsfälle im Zusammenhang mit der Systemumstellung im Jahr 2011 bei der Klägerin gemeldet worden. Die Fehler bei der Softwareumstellung hätten nicht die Verschlüsselungstechnik betroffen, sondern es seien etwa Lastschriften nicht oder - wie hier - falsch ausgeführt worden. Es habe aber jeweils eine Anweisung durch den tatsächlich Berechtigten vorgelegen.

Auf dem nicht internetfähigen Geschäftshandy der Beklagten der Marke „NOKIA 3510i“ hätten Trojaner, die entweder beim Besuch von Internetseiten oder aber beim Empfang von E-Mails übertragen werden könnten, nicht installiert werden können. Auch MMS hätten nicht empfangen werden können und seien nicht geeignet, um die Einstellung der Handysoftware zu modifizieren mit der Folge, dass ein Ausspähen eingehender SMS-Nachrichten nicht ausgeschlossen werden könne.

Im Sommer 2015 habe sich ein Informant, der Zeuge F..., der nach eigenen Angaben als Geschäftspartner des Geschäftsführers der Beklagten die Umstände kenne, bei der Klägerin gemeldet. Bei einem Gespräch am 15. Juli 2015 mit dem Mitarbeiter der Klägerin H…, an dem auch der Prozessbevollmächtigte der Klägerin X teilgenommen habe, habe dieser Zeuge mitgeteilt, dass die Klägerin im vorliegenden Fall betrogen worden sei. Die Überweisung über € 235.000,00 sei vom Geschäftsführer der Beklagten veranlasst worden. Auch der Zeuge M... sei beteiligt gewesen und habe dafür gesorgt, dass der benutzte PC beiseite geschafft worden wäre. Dies wisse er, weil er dabei gewesen sei, als die Beute verteilt worden sei. Dabei habe der Geschäftsführer der Beklagten € 120.000,00, der Zeuge M... € 70.000,00 und eine dritte Person, genannt „Sonny“, einen weiteren Betrag erhalten.

Auch stehe der Klägerin aufgrund des Verhaltens des Zeugen M... ein Schadensersatzanspruch gegen die Beklagte zu. Diesem sei als Erfüllungsgehilfe das streitgegenständliche Handy überlassen worden. Der Vortrag der Beklagten dazu, dass der Zeuge die danach erhaltene SMS mit der TAN ignoriert habe, rechtfertige die Annahme einer grob fahrlässigen Pflichtverletzung. Der Beklagten habe sich aufgrund der Erfahrungen mit dem Online-Banking aufdrängen müssen, dass die Übersendung einer SMS-TAN unter Bezug auf eine Überweisung über € 235.000,00 bedeute, dass ein entsprechender Auftrag bei der Klägerin eingegangen sei. Auch habe es auf der Hand gelegen, dass für den Fall des Zutreffens des Vortrags der Beklagten diese die Zahlungsanweisung nicht veranlasst habe. Denn für den Zeugen M... sei es offensichtlich gewesen, weil der Geschäftsführer nicht anwesend gewesen sei und das Handy für Bankgeschäfte nicht mitgenommen habe. Auch die Höhe des Betrages habe Anlass zu ernsthaften Bedenken gegeben, weil klar gewesen sei, dass dieser nicht zum üblichen Geschäft gehört haben könne. Bei entsprechendem Bemerken und Melden gegenüber der Klägerin hätte die Überweisung auch noch verhindert werden können.

Zur Ergänzung des Sach- und Streitstands wird auf die im Berufungsrechtszug gewechselten Schriftsätze nebst allen Anlagen Bezug genommen.

Der Senat hat beweis erhoben durch Vernehmung des Streithelfers, des Herrn M..., des Herrn F... und der Frau P... als Zeugen. Zum Ergebnis der Beweisaufnahme wird auf die Protokolle der Verhandlungen vom 28. November 2016 und vom 23. Februar 2017 Bezug genommen.

II.

Die Berufung ist begründet.

1.

Der Klägerin steht kein Anspruch auf Zahlung von Aufwendungsersatz gegen die Beklagte gemäß § 675c Abs. 1, § 675 BGB in Verbindung mit § 670 BGB zu.

a)

Ein Aufwendungsersatzanspruch der Klägerin gegen die Beklagte nach § 675c Abs. 1, § 675 BGB in Verbindung mit § 670 BGB auf Zahlung des nach Kündigung des Geschäftsgirovertrages vorhandenen Sollsaldos setzt den von der Klägerin zu erbringenden Nachweis einer Zustimmung des Zahlers (Autorisierung) zu der streitigen Überweisung nach § 675j Abs. 1 Satz 1 BGB voraus. Diese ist nicht festzustellen.

(1)

Gemäß § 675j Abs. 1 Satz 3 BGB ist die Art und Weise der Zustimmung zwischen dem Zahler und dem Zahlungsdienstleister zu vereinbaren. Dabei kann nach § 675j Abs. 1 Satz 4 BGB festgelegt werden, dass die Zustimmung mittels eines Zahlungsauthentifizierungsinstruments im Sinne des § 1 Abs. 5 ZAG erteilt werden kann. Danach haben vorliegend die Parteien für die Autorisierung im Online-Banking die Nutzung des von der Beklagten angebotenen smsTAN-Verfahrens vereinbart, bei dem ein Zahlungsvorgang durch die Eingabe von PIN und TAN autorisiert wird, wobei die TAN mittels einer SMS-Nachricht an eine vereinbarte Mobilfunknummer des Bankkunden gesendet wird.

Soweit die Beklagte bestreitet, dass sie beantragt habe, das streitgegenständliche Konto zum Online-Banking freizugeben und am smsTAN-Verfahren teilzunehmen, so ist sie mit diesem Vorbringen in der Berufungsinstanz ausgeschlossen. Im angefochtenen Urteil ist Gegenteiliges als unstreitig festgestellt. Diese tatbestandliche Feststellung liefert Beweis für das mündliche Parteivorbringen (§ 314 ZPO); eine Unrichtigkeit dieser Feststellung kann grundsätzlich nur im Berichtigungsverfahren (§ 320 ZPO) geltend gemacht und gegebenenfalls behoben werden (BGH, Urteil vom 16. Dezember 2010 – I ZR 161/08, Rn. 12 mwN). Eine Berichtigung des Tatbestandes hat die Beklagte nicht beantragt. Überdies entspricht die tatbestandliche Feststellung dem Vorbringen der Klägerin in der Klage, dem die Beklagte in erster Instanz nicht entgegengetreten ist. Soweit die Beklagte den Vortrag nunmehr bestreiten will, ist sie mit diesem neuen Vortrag in der Berufungsinstanz ausgeschlossen (§ 531 Abs. 2 ZPO).

(2)

Die Klägerin hat die Authentifizierung sowie die ordnungsgemäße Aufzeichnung, Verbuchung und störungsfreie, keine Auffälligkeiten aufweisende technische Abwicklung des Zahlungsvorgangs gemäß § 675w Satz 1 BGB nachgewiesen.

(a)

Ist - wie hier - die Autorisierung eines Zahlungsvorgangs streitig, hat der Zahlungsdienstleister nach § 675w Satz 1 BGB zunächst die Authentifizierung sowie die ordnungsgemäße Aufzeichnung, Verbuchung und störungsfreie, keine Auffälligkeiten aufweisende technische Abwicklung des Zahlungsvorgangs nachzuweisen (BGH, Urteil vom 26. Januar 2016 – XI ZR 91/14, Rn. 16). Eine Authentifizierung ist nach § 675w Satz 2 BGB erfolgt, wenn der Zahlungsdienstleister die Nutzung des vereinbarten Zahlungsauthentifizierungsinstruments, einschließlich seiner personalisierten Sicherheitsmerkmale, mithilfe eines Verfahrens überprüft hat. Sind diese Voraussetzungen nicht erfüllt, ist der Nachweis einer Autorisierung mithilfe des betroffenen Zahlungsauthentifizierungsinstruments gescheitert (BGH, Urteil vom 26. Januar 2016 – XI ZR 91/14, Rn. 16; Sprau in: Palandt, BGB, 76. Aufl. 2017, § 675w Rn. 2; Casper in: MüKoBGB, 6. Aufl. 2016, § 675w Rn. 4; Maihold in: Schimansky/Bunte/Lwowski, Bankrechts-Handbuch, 4. Aufl. 2011, § 55 Rn. 72 f.).

(aa)

Vorliegend hat das Landgericht die erfolgreiche Überprüfung der streitigen Überweisung durch die Beklagte anhand des vorgelegten Transaktionsprotokolls (Anlage K 7, Blatt 16 d. A.) und damit den Nachweis der Authentifizierung dieses Zahlungsvorgangs sowie den Nachweis der Verbuchung, Aufzeichnung und Störungsfreiheit festgestellt.

(bb)

Dies wird mit der Berufung nicht angegriffen (§ 520 Abs. 3 Nr. 3 ZPO). Es sind auch keine konkreten Anhaltspunkte für Zweifel an der Richtigkeit oder Vollständigkeit dieser Feststellung ersichtlich (§ 529 Abs. 1 Nr. 1 ZPO).

(b)

Nach § 675w Satz 3 Nr. 1 BGB reicht die Authentifizierung und die Aufzeichnung der Nutzung des Zahlungsauthentifizierungsinstruments einschließlich der personalisierten Sicherheitsmerkmale indes nicht aus, den dem Zahlungsdienstleister - hier der Klägerin - obliegenden Nachweis einer Autorisierung des Zahlungsvorgangs zu führen (BGH, Urteil vom 26. Januar 2016 – XI ZR 91/14, Rn. 18).

Diesen Beweis zu führen, ist der Klägerin nicht gelungen. Sie hat weder den Vollbeweis noch den Anscheinsbeweis geführt.

(aa)

Ein Zahlungsdienstleister kann den Vollbeweis der Autorisierung des Zahlungsvorgangs durch den Zahler führen (BGH, Urteil vom 26. Januar 2016 – XI ZR 91/14, Rn. 81).

Diesen Beweis hat die Klägerin nicht erbracht. Die Umstände der streitgegenständlichen Überweisung streiten zwar eher gegen eine Veranlassung durch Dritte. Dies reicht aber nicht zum Nachweis einer Autorisierung durch die Beklagte aus (aaa). Der Senat ist nach Vernehmung der von der Klägerin benannten Zeugen Rechtsanwalt A, F... und P... nicht von der Autorisierung des Zahlungsvorgangs durch den Geschäftsführer der Beklagten (bbb) oder durch den Zeugen M... in dessen Auftrag (ccc) überzeugt.

(aaa)

Die Umstände der streitgegenständlichen Überweisung streiten zwar eher gegen eine Veranlassung durch Dritte. Dies reicht aber nicht zum Nachweis einer Autorisierung durch die Beklagte aus.

Im Ausgangspunkt ist nicht ersichtlich, wie Dritte einerseits an die Zugangsdaten des Geschäftsführers des Beklagten und andererseits an die smsTAN gelangt sein sollen. Nach Angaben der Beklagten kannte nur ihr Geschäftsführer die Zugangsdaten. Die SMS ging auf dem Geschäftshandy ein. Der Geschäftsführer soll aber gerade zum Zeitpunkt der streitgegenständlichen Überweisung nicht im Besitz des Geschäftshandys gewesen sein. Wenn aber der Geschäftsführer diese Daten nicht ins Internet eingab, ist nicht nachzuvollziehen, wie die Daten von Hackern hätten abgegriffen werden können.

Des Weiteren ist es ungewöhnlich, dass unbekannte Dritte eine Überweisung auf ein Anderkonto des Streithelfers veranlassen. Das ist mit erheblicher Unsicherheit verbunden. Sie sind darauf angewiesen, dass der Streithelfer mit ihnen kooperiert - sei es wissentlich oder unwissentlich. Arbeiten die Dritten nicht mit dem Streithelfer zusammen, wofür es keine belastbaren Anhaltspunkte gibt, hängt ihr Erfolg davon ab, ob es ihnen gelingt, den Streithelfer zu täuschen.

Und schließlich wäre es ein ganz außergewöhnlicher Zufall, dass ein etwaiger Hacker-Angriff exakt in den Zeitraum des bei der Klägerin aufgetretenen Fehlers gefallen sein sollte. Denn es ist nicht ersichtlich, wie Hacker hätten erkennen können, dass gerade an dem streitgegenständlichen Wochenende Fehlüberweisungen im Hause der Klägerin verbucht wurden, die sie sich zunutze machen könnten.

Diese äußeren Umstände allein reichen aber nicht aus, um den Senat von der Richtigkeit der klägerischen Behauptung, der Geschäftsführer der Beklagten habe die Überweisung autorisiert, zu überzeugen. So kann es sein, dass die Dritten mit dem Streithelfer zusammenarbeiten oder aber tatsächlich auf ihr Glück, ihn täuschen zu können, vertrauen. Auch kann der Hacker-Angriff bereits viel früher als an dem in Rede stehenden Wochenende stattgefunden haben und eben erst zu diesem Zeitpunkt ausgenutzt worden sein.

(bbb)

Der Senat ist nach durchgeführter Beweisaufnahme nicht von einer Autorisierung der streitgegenständlichen Überweisung durch den Geschäftsführer der Beklagten B. überzeugt.

Die von der Klägerin benannten Zeugen haben den Senat nicht überzeugen können.

Der Zeuge und Streithelfer Rechtsanwalt A hat dies schon nicht bekundet. Er hat hierzu lediglich angegeben, dass er von einem aufgrund seines Zeugnisverweigerungsrechts (§ 383 Abs. 1 Nr. 6 ZPO i. V. m. § 43a Abs. 2 BRAO) nicht benannten Mandanten, der nicht der Geschäftsführer der Beklagten gewesen sei, wenige Tage vor der Überweisung von einem erwarteten Geldeingang von der Beklagten oder deren Geschäftsführer für eine Immobilienfinanzierung informiert worden sei. Sein Mandant habe ihn beauftragt, das Geld entgegenzunehmen und weisungsgemäß darüber zu verfügen. Hierfür habe er eines seiner Konten zur Verfügung gestellt. Dazu, wer die Zahlung veranlasst habe, hat der Zeuge nach eigenen Angaben nichts sagen können. Seinem Mandanten habe er anschließend das von seinem Konto abgehobene Geld am 26. Juli 2011 in bar übergeben, nachdem dieser ihm eine vermeintlich vom Geschäftsführer der Beklagten stammende schriftliche Zahlungsanweisung (Anlage zum Protokoll der mündlichen Verhandlung vom 28. November 2016, Blatt 330 d. A.) übergeben hätte. Durch seinen Mandanten sei ihm mitgeteilt worden, dass dieser dem Geschäftsführer der Beklagten nach Scheitern eines Immobiliengeschäfts das Geld zurückgeben wolle.

Der Senat ist allerdings davon überzeugt, dass diese Aussage falsch ist. Gegen den von dem Streithelfer geschilderten Ablauf spricht entscheidend, dass der von ihm behauptete Mandant im Vorfeld des Tages der Überweisung nicht von dem Fehler bei der Klägerin und dem damit vorhandenen Kontoguthaben bei der Beklagten wissen konnte. Es ist unerfindlich, wie er einen Zahlungseingang von der Beklagten - noch dazu in etwa in Höhe der Fehlüberweisungen - ankündigen konnte. Allerdings ergibt sich hieraus nicht umgekehrt die Überzeugung des Senats von einer Autorisierung der Überweisung durch den Geschäftsführer der Beklagten. Der Streithelfer kann aus diversen Gründen gelogen haben: Er kann mit dem Geschäftsführer der Beklagten oder aber auch unbekannten Dritten zusammenwirken, um die Klägerin zu schädigen. Er kann aber die Unwahrheit sagen, um sich selbst von einem Fehlverhalten in Zusammenhang mit der Überweisung auf sein Anderkonto zu entlasten.

Der Zeuge F... hat zwar bekundet, der Geschäftsführer der Beklagten habe gemeinsam mit dem Zeugen M... das aufgrund einer Fehlbuchung auf dem Konto der Beklagten eingegangene Geld „verschwinden lassen“. Dazu hätten sie sich zweier Personen aus Ungarn oder Rumänien bedient, die wohl IT-Experten seien und am PC des Fitnessstudios der Beklagten die streitige Überweisung getätigt hätten. Der Rechtsanwalt A sei nur eingeschaltet worden, da er zur Verschwiegenheit verpflichtet sei. Das Geschäftshandy habe der Geschäftsführer der Beklagten beim Zeugen M... belassen und er sei zu seiner Mutter gefahren, um eventuellen Nachfragen seitens der Klägerin aus dem Weg zu gehen. Die Beute sei dann anschließend zwischen den genannten Personen geteilt worden, wobei der Geschäftsführer der Beklagten den größten Anteil (wohl die Hälfte) erhalten habe.

Hiervon ist der Senat nicht überzeugt, denn zum einen bestehen bereits erhebliche Zweifel an der Glaubwürdigkeit des Zeugen. Er offenbarte eine deutliche Belastungstendenz gegenüber dem Geschäftsführer der Beklagten, welche er selbst mit einer gescheiterten Zusammenarbeit im Rahmen einer gegründeten GmbH begründete, bei der er „hängengelassen“ worden sei. Der Zeuge räumte unumwunden ein, dass er mit seinen Angaben zunächst gegenüber der Klägerin den Geschäftsführer der Beklagten habe belasten, ihm „einsauswischen“ wollen.

Zum anderen ist seine Aussage nicht glaubhaft. Von der Anweisung durch den Geschäftsführer der Beklagten will er nur von diesem, das heißt vom Hörensagen, Kenntnis haben. Auch die weiteren Personen, die bei der Überweisung geholfen haben sollen, will der Zeuge nie gesehen haben. Von der Beuteteilung will der Zeuge wiederum nur vom Geschäftsführer der Beklagten erfahren haben. Wenig glaubhaft ist auch, dass der Zeuge den Geschäftsführer der Beklagten an die Rechtsanwältin B vermittelt haben, dann aber bei dem ersten Gespräch dort nicht aufgemerkt haben will, als der Geschäftsführer der Beklagten der Anwältin die vermeintlich unwahre Geschichte um die streitgegenständliche Überweisung erzählte. Seine Erklärung, dass ihm das seinerzeit egal gewesen sei und er sich erst später nach Streit mit dem Geschäftsführer der Beklagten an die Klägerin gewandt habe, hat den Senat nicht überzeugt.

Auch ist die Aussage des Zeugen, ausländische, aber in Deutschland wohnende IT-Experten seien für eine schlichte Überweisung vom eigenen Konto der Beklagten herangezogen worden, per se unglaubhaft. Die Überweisung hätte der Geschäftsführer der Beklagten oder ein von ihm instruierter Dritter ganz unschwer selbst ausführen können. Das Geld ist ja für jedermann nachvollziehbar auf das Anderkonto des Streithelfers überwiesen worden. Die Aussage des Zeugen F… kann allein mit der beschriebenen deutlichen Belastungstendenz erklärt werden.

Die Zeugin P... hat bekundet, nichts von dem ganzen Vorgang um die Überweisung zu wissen. Damit hat auch sie nicht ergiebig im Sinne der Klägerin ausgesagt.

(ccc)

Auch von einer Autorisierung durch den Zeugen M... im Auftrag des Geschäftsführers der Beklagten ist der Senat nicht überzeugt.

Beweis hat die Klägerin diesbezüglich schon nicht angeboten, erst recht nicht erbracht. Überdies haben sowohl der Geschäftsführer der Beklagten als auch der Zeuge M..., der unstreitig keine Kontovollmacht hatte, bekundet, dass der Zeuge M... weder zu einer Überweisung befugt gewesen sei noch - mangels Kenntnis der Zugangsdaten zum Online-Banking (Benutzername und PIN) - die Möglichkeit gehabt habe, eine solche anzuweisen.

(bb)

Auch ein Anscheinsbeweis streitet nicht für eine ordnungsgemäße Autorisierung der streitgegenständlichen Überweisung.

Statt des Vollbeweises kann der Zahlungsdienstleister sich gegenüber dem Zahler unter bestimmten Voraussetzungen zum Nachweis der strittigen Autorisierung auf einen Beweis des ersten Anscheins berufen, der allerdings bei Nutzung eines Zahlungsauthentifizierungsinstruments den besonderen Anforderungen des § 675w Satz 3 BGB genügen muss. Danach ist Voraussetzung eines Anscheinsbeweises bei Nutzung eines Zahlungsauthentifizierungsinstruments ein Sicherheitssystem, das allgemein praktisch nicht zu überwinden war, im konkreten Einzelfall ordnungsgemäß angewendet worden ist und fehlerfrei funktioniert hat (BGH, Urteil vom 26. Januar 2016 - XI ZR 91/14, Rn. 19). Insoweit ist ein allgemein praktisch nicht zu überwindendes und im konkreten Einzelfall ordnungsgemäß angewendetes und fehlerfrei funktionierendes Sicherheitssystem Voraussetzung für die Anwendung der Grundsätze des Anscheinsbeweises (BGH, Urteil vom 26. Januar 2016 - XI ZR 91/14, Rn. 28, 78).

Diese Voraussetzungen der Geltung des Anscheinsbeweises für die Autorisierung durch die Beklagte als Zahlungsdienstenutzer hat die Klägerin nicht bewiesen. Sie ist vielmehr beweisfällig geblieben. Die Klägerin hat nunmehr zwar zu ihrer Behauptung eines allgemein praktisch nicht zu überwindenden und im konkreten Einzelfall ordnungsgemäß angewendeten und fehlerfrei funktionierenden Sicherheitssystems als Voraussetzung für die Anwendung der Grundsätze des Anscheinsbeweises vorgetragen. Sie hat für die Richtigkeit dieser Behauptung aber keinen Beweis - mehr - angeboten. Zwar hat sie sich zunächst auf Beweis durch Einholung eines entsprechenden Sachverständigengutachtens berufen. Nachdem der Senat am 15. Dezember 2016 einen entsprechenden Beweisbeschluss erlassen hat, hat die Klägerin mit Schriftsatz vom 16. Januar 2017 (Blatt 350 f. d. A.) mitgeteilt, dass sie den hierzu angeforderten Auslagenvorschuss nicht einzahlen werde, da nach Software-Updates für das EDV-System der Klägerin der fragliche Zustand, Stand Juli 2011, nicht mehr bestehe und auch nicht mehr hergestellt werden könne. Auf Nachfrage des Senats hat sie im Termin zur mündlichen Verhandlung am 23. Februar 2017 erklärt, auf das Beweismittel zu verzichten. Damit ist die Klägerin beweisfällig geblieben (§§ 379, 402 ZPO).

b)

Das Konto der Beklagten wies zum Zeitpunkt der Überweisung die hierfür erforderliche Deckung auf. Hierauf kommt es aber nicht mehr an.

Soweit die Beklagte bestreitet, dass das streitgegenständliche Konto noch am Morgen des 18. Juli 2011 ein Guthaben von € 235.000,00 auswies und vorträgt, es sei nur noch ein Guthaben in Höhe von € 191.155,13 ausgewiesen gewesen, ist sie mit diesem neuen Sachvortrag in der Berufungsinstanz ausgeschlossen.

Im angefochtenen Urteil ist als unstreitig festgestellt, dass das Konto zu diesem Zeitpunkt ein Guthaben von € 235.000,00 aufwies. Diese tatbestandliche Feststellung liefert Beweis für das mündliche Parteivorbringen (§ 314 ZPO); eine Unrichtigkeit dieser Feststellung kann grundsätzlich nur im Berichtigungsverfahren (§ 320 ZPO) geltend gemacht und gegebenenfalls behoben werden (BGH, Urteil vom 16. Dezember 2010 - I ZR 161/08, Rn. 12 mwN). Eine Berichtigung des Tatbestandes hat die Beklagte nicht beantragt. Überdies hat die Beklagte den entsprechenden Vortrag der Klägerin in erster Instanz nicht bestritten. Darüber hinaus erbringt der von ihr vorgelegte Kontoauszug keinen Beweis für die Reihenfolge der ausgeführten Buchungen. Der neue Vortrag ist in der Berufungsinstanz nicht zu berücksichtigen (§ 531 Abs. 2 ZPO).

2.

Die Überweisung des streitigen Betrags vom Konto der Beklagten auf ein Konto des Streithelfers wirkt nicht nach den Grundsätzen der Anscheinsvollmacht oder eines Handelns unter fremdem Namen zulasten der Beklagten. Das steht aufgrund des Urteils des Bundesgerichtshofs vom 26. Januar 2016 (XI ZR 91/14, Rn. 55) fest (§ 563 Abs. 2 ZPO).

3.

Die Klage ist auch nicht nach § 675v Abs. 2 BGB als Schadensersatzanspruch begründet. Das steht aufgrund des Urteils des Bundesgerichtshofs vom 26. Januar 2016 (XI ZR 91/14, Rn. 66) fest (§ 563 Abs. 2 ZPO).

Die Nebenentscheidungen beruhen auf den § 91 Abs. 1, § 101 Abs. 1, 2. Halbsatz, § 708 Nr. 10, § 711 ZPO.

Die Revision ist nicht zuzulassen. Die Revision ist nach § 543 Abs. 2 ZPO zuzulassen, wenn die Rechtssache grundsätzliche Bedeutung hat oder die Fortbildung des Rechts oder die Sicherung einer einheitlichen Rechtsprechung eine Entscheidung des Revisionsgerichts erfordert. Die anzuwendenden Grundsätze hat der Bundesgerichtshof im vielfach zitierten Urteil vom 26. Januar 2016 (XI ZR 91/14) festgelegt. Danach waren nur noch tatsächliche Fragen zu klären.

Der Streitwert beträgt entsprechend der erstinstanzlichen Verurteilung € 236.422,14.