OGH-Entscheidung vom 28.8.2024, 7 Ob 95/24g
Sachverhalt:
Ein Bankkunde wurde Opfer eines Phishing-Betrugs, bei dem Betrüger durch eine gefälschte SMS-Nachricht eines angeblichen Paketzustellers an seine Zugangsdaten für das Online-Banking gelangten. Obwohl die Bank ein Zwei-Faktor-Authentifizierungssystem und eine automatisierte Transaktionsüberwachung einsetzte, gelang es den Tätern, den Kunden telefonisch zu manipulieren. Sie überzeugten ihn, mehrere Überweisungen in Gesamthöhe von 27.650 EUR zu autorisieren, angeblich um widerrechtliche Abbuchungen rückgängig zu machen. Während die Bank eine erste verdächtige Überweisung über 20.000 EUR noch stoppte, wurden die nachfolgenden Überweisungen ausgeführt. Der Kunde klagte daraufhin die Bank auf Rückerstattung des Betrags mit der Begründung, ihr Kontrollsystem hätte auch die weiteren Überweisungen als betrügerisch erkennen und stoppen müssen.
Entscheidung:
Der OGH wies die Revision des Klägers als unzulässig zurück. Er bestätigte damit die Entscheidungen der Vorinstanzen, die eine Haftung der Bank verneinten. Zentrale Punkte der Entscheidung:
Da der Kunde die Überweisungen selbst mittels Zwei-Faktor-Authentifizierung autorisiert hatte, lag kein „nicht autorisierter Zahlungsvorgang“ vor, der eine Haftung nach §§ 67, 68 ZaDiG 2018 begründen würde.
Die Bank hatte ihre Schutz- und Sorgfaltspflichten nicht verletzt. Sie verfügte über angemessene Sicherheitssysteme und hatte den Kunden vor Phishing-Betrug gewarnt. Selbst wenn man eine Sorgfaltspflichtverletzung der Bank annehmen würde, wäre diese durch das grob fahrlässige Verhalten des Kunden überlagert worden.
Weitere Blog-Beiträge:
Grob fahrlässiges Verhalten von Bankkunden bei Phishing-Attacke: Keine Schadenersatzpflicht der Bank
Zahlungserfahrungsdaten in Bonitätsdatenbanken: OGH zu Fristen/Kriterien für Löschung.
Datenschutz vs. Bonitätsdatenbank: OGH zum Informationsinteresse künftiger Gläubiger