Grob fahrlässiges Verhalten von Bankkunden bei Phishing-Attacke: Keine Schadenersatzpflicht der Bank

OGH-Entscheidung vom 24.7.2018, 9 Ob 48/18a

Sachverhalt:

Die Kläger sind Kunden einer Bank und OnlineBanking-Teilnehmer. Eines Tages wurde der Erstkläger von einer ihm unbekannten Telefonnummer von einer akzentfrei Deutsch sprechenden Frau angerufen. Diese gab sich als Angestellte der beklagten Bank aus und forderte ihn auf, ihr aufgrund einer notwendigen Datenaktualisierung den ihm soeben per SMS übermittelten Code bekannt zu geben. Während des laufenden Anrufs öffnete der Erstkläger das ihm soeben übermittelte TAC-SMS und gab der Anruferin den darin enthaltenen TAC-Code bekannt. Das an den Erstkläger im Zuge dieses Telefonats übermittelte TAC-SMS hatte den gleichen Inhalt, wie auch die sonst üblichen TAC-SMS der Beklagten. Insbesondere enthielt es die letzten 11 Stellen der IBAN jenes Kontos, auf das die Überweisung letztlich erfolgte, einen Überweisungsbetrag von 12.880 EUR und den vierstelligen TAC-Code. Noch am selben Tag wurde vom Konto der Kläger bei der Beklagten der Betrag von 12.880 EUR auf ein österreichisches Girokonto einer anderen Kreditanstalt der unbekannten Betrüger überwiesen.

Die Betrüger hatten sich zuvor entweder durch Installieren eines Schadprogramms oder durch einen Phishing-Angriff Zugriff auf das System der Klägers geschaffen und damit dessen Zugangsdaten erhalten. Die Betrüger konnten sich somit in der Folge im netbanking-Portal des Erstklägers mit dessen Zugangsdaten anmelden und eine Überweisung erstellen. Auf das interne Rechen- und Informationssystem der Beklagten hatten die Betrüger keinen Zugriff erlangt.

Wenig später gab der Erstkläger über einen Anruf von derselben Telefonnummer wiederum einen TAC-Code, der ihm auf sein Handy geschickt worden war, bekannt. Zu einer entsprechenden Überweisung von 4.800 EUR auf ein spanisches Konto kam es aber nicht, weil ein Mitarbeiter der Beklagten Verdacht schöpfte und mit dem Erstkläger telefonisch in Kontakt trat.

Zuvor hatte die Bank immer wieder Warnungen an ihre Kunden über aktuell im Internet im Umlauf befindliche Trojaner und Phishing-Mails gewarnt. Unter anderem enthielten diese Warnungen der Beklagten ausdrücklich folgenden Inhalt: „Prüfen Sie IMMER die Inhalte ihrer TAC-SMS, bevor sie mit der TAC zeichnen – also bei einer Überweisung die Empfänger-IBAN und vor allem den Betrag !!!!“ Auch der Erstkläger hat derartige Warnungen der Beklagten erhalten und auch gelesen.

Entscheidung:

Erst- und Berufungsgericht wiesen das gegen die Bank gerichtete Zahlungsbegehren ab. Der Erstkläger habe grob fahrlässig seine Sorgfaltspflichten verletzt.

Der OGH bestätigte diese Entscheidung. Aus der Begründung:

§ 44 Abs 1 ZaDiG sieht eine grundsätzlich verschuldensunabhängige Haftung des Zahlungsdienstleisters für Zahlungsvorgänge vor, die vom Zahler nicht autorisiert waren. In diesen Fällen hat der Zahler gegenüber dem Zahlungsdienstleister einen Berichtigungs- oder Erstattungsanspruch.

Trifft den Kunden jedoch ein Verschulden am Missbrauch, wird er dem Zahlungsdienstleister nach Maßgabe des § 44 Abs 2 und 3 ZaDiG schadenersatzpflichtig. § 44 Abs 2 und 3 ZaDiG regeln die Haftung des Kunden zwingend und abschließend. Beruhen nicht autorisierte Zahlungsvorgänge auf der missbräuchlichen Verwendung eines Zahlungsinstruments, so ist der Zahler seinem Zahlungsdienstleister dann zum Ersatz des gesamten Schadens (begrenzt durch die Limits, die für das Konto und das Zahlungsinstrument vereinbart sind) verpflichtet, der diesem infolge des nicht autorisierten Zahlungsvorgangs entstanden ist, wenn er ihn in betrügerischer Absicht ermöglicht hat oder durch vorsätzliche oder grob fahrlässige Verletzung einer oder mehrerer Pflichten gemäß § 36 ZaDiG (§ 44 Abs 2 Z 1 ZaDiG) oder einer oder mehrerer vereinbarter Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments (§ 44 Abs 2 Z 2 ZaDiG) herbeigeführt hat. Im Fall einer bloß leicht fahrlässigen Verletzung dieser Sorgfaltspflichten ist die Haftung des Kunden – abweichend vom allgemeinen Schadenersatzrecht – auf einen Betrag von 150 EUR beschränkt (§ 44 Abs 2 ZaDiG).

Der Zahlungsdienstnutzer hat unmittelbar nach Erhalt des Zahlungsinstruments alle ihm zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale und das Zahlungsinstrument vor einem unbefugten Zugriff zu schützen. Außerdem muss der Kunde den Verlust, den Diebstahl oder die nicht autorisierte Nutzung eines Zahlungsinstruments unverzüglich anzeigen, sobald er davon Kenntnis hat. Im Fall des Mitverschuldens des Zahlungsdienstleisters kommt es zu einer Teilung des Schadens. Somit kann der Zahler im Fall der schuldhaften Verletzung der ihn treffenden Sorgfaltspflichten den Berichtigungs- und Erstattungsanspruch (allenfalls ganz) verlieren.

Nach der Rechtsprechung handelt grob fahrlässig, wer im täglichen Leben die erforderliche Sorgfalt gröblich, in hohem Grad, aus Unbekümmertheit oder Leichtfertigkeit außer Acht lässt, wer nicht beachtet, was unter den gegebenen Umständen jedem einleuchten musste. Grobe Fahrlässigkeit ist somit bei schlechthin unentschuldbaren Pflichtverletzungen gegeben, die das gewöhnliche Maß an alltäglich vorkommenden, nie ganz vermeidbaren Fahrlässigkeitshandlungen des täglichen Lebens ganz erheblich übersteigen. Grobe Fahrlässigkeit erfordert das Vorliegen eines objektiv besonders schweren Sorgfaltsverstoßes, der bei Würdigung aller Umstände des konkreten Falles auch subjektiv schwerstens vorzuwerfen ist. Dabei muss der Schaden als wahrscheinlich vorhersehbar gewesen sein. Diese Voraussetzungen sind im Einzelfall mit Bedachtnahme auf die persönlichen Verhältnisse des betreffenden Kunden und die allgemeinen Lebensgewohnheiten der Zahlungsdienstnutzer zu beurteilen.

Ausgehend vom festgestellten Sachverhalt, hielt der OGH die übereinstimmende Beurteilung der Vorinstanzen, die das sorgfaltswidrige Verhalten des Erstklägers als grob fahrlässig qualifiziert haben, für vertretbar.

Ausgehend von einem maßgerechten Durchschnitts-Onlinebanker, der einem unbekannten Dritten die Sicherheitsmerkmale nicht mitteilen werde, weil er sich bewusst sei, dass die Weitergabe von personalisierten Sicherheitsmerkmalen an unbekannte Dritte mit der Gefahr einer missbräuchlichen Verwendung des damit verknüpften Bankkontos durch Betrüger verbunden sei, ist die rechtliche Beurteilung des Berufungsgerichts, der Erstkläger habe durch sein Handeln grob fahrlässig seine Sorgfaltspflichten verletzt, nicht weiter korrekturbedürftig. Dass die telefonische Weitergabe eines TAC-Codes an eine unbekannte Person einen durch Betrug hervorgerufenen Schadenseintritt nicht bloß möglich, sondern geradezu wahrscheinlich macht, muss jeder mit dem Electronic Banking vertrauten Person alleine schon aus der medialen Berichterstattung und den zahlreichen, insbesondere im Bankenbereich üblichen Warnungen bewusst sein. Schon bei einem bloß kurzen Überfliegen des SMS hätte der Erstkläger leicht erkennen können, dass es sich nicht um eine – wie telefonisch angekündigt – Datenaktualisierung handelte, sondern um eine Überweisung (Zahlungsfreigabe) eines Betrags von 12.880 EUR von seinem Konto.