OGH-Entscheidung vom 24.7.2018, 9 Ob 48\/18a<\/p>\n
Sachverhalt:<\/strong><\/p>\n Die Kl\u00e4ger sind Kunden einer Bank und OnlineBanking-Teilnehmer. Eines Tages wurde der Erstkl\u00e4ger von einer ihm unbekannten Telefonnummer von einer akzentfrei Deutsch sprechenden Frau angerufen. Diese gab sich als Angestellte der beklagten Bank\u00a0aus und forderte ihn auf, ihr aufgrund einer notwendigen Datenaktualisierung den ihm soeben per SMS \u00fcbermittelten Code bekannt zu geben. W\u00e4hrend des laufenden Anrufs \u00f6ffnete der Erstkl\u00e4ger das ihm soeben \u00fcbermittelte TAC-SMS und gab der Anruferin den darin enthaltenen TAC-Code bekannt. Das an den Erstkl\u00e4ger im Zuge dieses Telefonats \u00fcbermittelte TAC-SMS hatte den gleichen Inhalt, wie auch die sonst \u00fcblichen TAC-SMS der Beklagten. Insbesondere enthielt es die letzten 11\u00a0Stellen der IBAN jenes Kontos, auf das die \u00dcberweisung letztlich erfolgte, einen \u00dcberweisungsbetrag von 12.880\u00a0EUR und den vierstelligen TAC-Code<\/strong>. Noch am selben Tag wurde vom Konto der Kl\u00e4ger bei der Beklagten der Betrag von 12.880\u00a0EUR auf ein \u00f6sterreichisches Girokonto einer anderen Kreditanstalt der unbekannten Betr\u00fcger \u00fcberwiesen.<\/p>\n Die Betr\u00fcger hatten sich zuvor entweder durch Installieren eines Schadprogramms oder durch einen Phishing-Angriff Zugriff auf das System der Kl\u00e4gers geschaffen und damit dessen Zugangsdaten erhalten. Die Betr\u00fcger konnten sich somit in der Folge im netbanking-Portal des Erstkl\u00e4gers mit dessen Zugangsdaten anmelden und eine \u00dcberweisung erstellen. Auf das interne Rechen- und Informationssystem der Beklagten hatten die Betr\u00fcger keinen Zugriff erlangt.<\/p>\n Wenig sp\u00e4ter gab der Erstkl\u00e4ger \u00fcber einen Anruf von derselben Telefonnummer wiederum einen TAC-Code, der ihm auf sein Handy geschickt worden war, bekannt. Zu einer entsprechenden \u00dcberweisung von 4.800\u00a0EUR auf ein spanisches Konto kam es aber nicht, weil ein Mitarbeiter der Beklagten Verdacht sch\u00f6pfte und mit dem Erstkl\u00e4ger telefonisch in Kontakt trat.<\/p>\n Zuvor hatte die Bank immer wieder Warnungen an ihre Kunden \u00fcber aktuell im Internet im Umlauf befindliche Trojaner und Phishing-Mails gewarnt. Unter anderem enthielten diese Warnungen der Beklagten ausdr\u00fccklich folgenden Inhalt: \u201ePr\u00fcfen Sie IMMER die Inhalte ihrer TAC-SMS, bevor sie mit der TAC zeichnen \u2013 also bei einer \u00dcberweisung die Empf\u00e4nger-IBAN und vor allem den Betrag !!!!<\/span>\u201c Auch der Erstkl\u00e4ger hat derartige Warnungen der Beklagten erhalten und auch gelesen.<\/p>\n Entscheidung:<\/strong><\/p>\n Erst- und Berufungsgericht wiesen das gegen die Bank gerichtete Zahlungsbegehren ab. Der Erstkl\u00e4ger habe grob fahrl\u00e4ssig seine Sorgfaltspflichten verletzt.<\/p>\n Der OGH best\u00e4tigte diese Entscheidung. Aus der Begr\u00fcndung:<\/p>\n \u00a7\u00a044 Abs\u00a01 ZaDiG sieht eine grunds\u00e4tzlich verschuldensunabh\u00e4ngige Haftung des Zahlungsdienstleisters f\u00fcr Zahlungsvorg\u00e4nge vor, die vom Zahler nicht autorisiert<\/strong> waren. In diesen F\u00e4llen hat der Zahler gegen\u00fcber dem Zahlungsdienstleister einen Berichtigungs- oder Erstattungsanspruch.<\/p>\n Trifft den Kunden jedoch ein Verschulden am Missbrauch<\/strong>, wird er dem Zahlungsdienstleister nach Ma\u00dfgabe des \u00a7\u00a044 Abs\u00a02 und 3 ZaDiG schadenersatzpflichtig<\/strong>. \u00a7\u00a044 Abs\u00a02 und 3 ZaDiG regeln die Haftung des Kunden zwingend und abschlie\u00dfend. Beruhen nicht autorisierte Zahlungsvorg\u00e4nge auf der missbr\u00e4uchlichen Verwendung eines Zahlungsinstruments, so ist der Zahler seinem Zahlungsdienstleister dann zum Ersatz des gesamten Schadens (begrenzt durch die Limits, die f\u00fcr das Konto und das Zahlungsinstrument vereinbart sind) verpflichtet, der diesem infolge des nicht autorisierten Zahlungsvorgangs entstanden ist, wenn er ihn in betr\u00fcgerischer Absicht erm\u00f6glicht hat oder durch vors\u00e4tzliche oder grob fahrl\u00e4ssige Verletzung<\/span> einer oder mehrerer Pflichten gem\u00e4\u00df \u00a7\u00a036 ZaDiG (\u00a7\u00a044 Abs\u00a02 Z\u00a01 ZaDiG) oder einer oder mehrerer vereinbarter Bedingungen f\u00fcr die Ausgabe und Nutzung des Zahlungsinstruments (\u00a7\u00a044 Abs\u00a02 Z\u00a02 ZaDiG) herbeigef\u00fchrt hat. Im Fall einer blo\u00df leicht fahrl\u00e4ssigen Verletzung dieser Sorgfaltspflichten ist die Haftung des Kunden \u2013 abweichend vom allgemeinen Schadenersatzrecht \u2013 auf einen Betrag von 150\u00a0EUR beschr\u00e4nkt (\u00a7\u00a044 Abs\u00a02 ZaDiG).<\/p>\n Der Zahlungsdienstnutzer hat unmittelbar nach Erhalt des Zahlungsinstruments alle ihm zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale und das Zahlungsinstrument vor einem unbefugten Zugriff zu sch\u00fctzen<\/strong>. Au\u00dferdem muss der Kunde den Verlust, den Diebstahl oder die nicht autorisierte Nutzung eines Zahlungsinstruments unverz\u00fcglich anzeigen, sobald er davon Kenntnis hat. Im Fall des Mitverschuldens des Zahlungsdienstleisters kommt es zu einer Teilung des Schadens. Somit kann der Zahler im Fall der schuldhaften Verletzung der ihn treffenden Sorgfaltspflichten den Berichtigungs- und Erstattungsanspruch (allenfalls ganz) verlieren.<\/p>\n Nach der Rechtsprechung handelt grob fahrl\u00e4ssig, wer im t\u00e4glichen Leben die erforderliche Sorgfalt gr\u00f6blich, in hohem Grad, aus Unbek\u00fcmmertheit oder Leichtfertigkeit au\u00dfer Acht l\u00e4sst, wer nicht beachtet, was unter den gegebenen Umst\u00e4nden jedem einleuchten musste. Grobe Fahrl\u00e4ssigkeit ist somit bei schlechthin unentschuldbaren Pflichtverletzungen gegeben, die das gew\u00f6hnliche Ma\u00df an allt\u00e4glich vorkommenden, nie ganz vermeidbaren Fahrl\u00e4ssigkeitshandlungen des t\u00e4glichen Lebens ganz erheblich \u00fcbersteigen. Grobe Fahrl\u00e4ssigkeit erfordert das Vorliegen eines objektiv besonders schweren Sorgfaltsversto\u00dfes, der bei W\u00fcrdigung aller Umst\u00e4nde des konkreten Falles auch subjektiv schwerstens vorzuwerfen ist. Dabei muss der Schaden als wahrscheinlich vorhersehbar gewesen sein. Diese Voraussetzungen sind im Einzelfall mit Bedachtnahme auf die pers\u00f6nlichen Verh\u00e4ltnisse des betreffenden Kunden und die allgemeinen Lebensgewohnheiten der Zahlungsdienstnutzer zu beurteilen.<\/p>\n Ausgehend vom festgestellten Sachverhalt, hielt der OGH die \u00fcbereinstimmende Beurteilung der Vorinstanzen, die das sorgfaltswidrige Verhalten des Erstkl\u00e4gers als grob fahrl\u00e4ssig qualifiziert haben, f\u00fcr vertretbar.<\/p>\n Ausgehend von einem ma\u00dfgerechten Durchschnitts-Onlinebanker<\/strong>, der einem unbekannten Dritten die Sicherheitsmerkmale nicht mitteilen werde, weil er sich bewusst sei, dass die Weitergabe von personalisierten Sicherheitsmerkmalen an unbekannte Dritte mit der Gefahr einer missbr\u00e4uchlichen Verwendung<\/strong> des damit verkn\u00fcpften Bankkontos durch Betr\u00fcger verbunden sei, ist die rechtliche Beurteilung des Berufungsgerichts, der Erstkl\u00e4ger habe durch sein Handeln grob fahrl\u00e4ssig seine Sorgfaltspflichten verletzt, nicht weiter korrekturbed\u00fcrftig. Dass die telefonische Weitergabe eines TAC-Codes an eine unbekannte Person<\/strong> einen durch Betrug hervorgerufenen Schadenseintritt nicht blo\u00df m\u00f6glich, sondern geradezu wahrscheinlich macht, muss jeder mit dem Electronic Banking vertrauten Person alleine schon aus der medialen Berichterstattung<\/strong> und den zahlreichen, insbesondere im Bankenbereich \u00fcblichen Warnungen<\/strong> bewusst sein. Schon bei einem blo\u00df kurzen \u00dcberfliegen des SMS h\u00e4tte der Erstkl\u00e4ger leicht erkennen k\u00f6nnen, dass es sich nicht um eine \u2013 wie telefonisch angek\u00fcndigt \u2013 Datenaktualisierung handelte, sondern um eine \u00dcberweisung (Zahlungsfreigabe) eines Betrags von 12.880\u00a0EUR von seinem Konto.<\/p>\n","protected":false},"excerpt":{"rendered":" OGH-Entscheidung vom 24.7.2018, 9 Ob 48\/18a Sachverhalt: Die Kl\u00e4ger sind Kunden einer Bank und OnlineBanking-Teilnehmer. Eines Tages wurde der Erstkl\u00e4ger von einer ihm unbekannten Telefonnummer von einer akzentfrei Deutsch sprechenden Frau angerufen. Diese gab sich als Angestellte der beklagten Bank\u00a0aus und forderte ihn auf, ihr aufgrund einer notwendigen Datenaktualisierung den ihm soeben per SMS \u00fcbermittelten […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"categories":[572,11,1222,6],"tags":[1577,1574,1578,1572,1573,1569,1575,1576,1571,1570],"class_list":["post-2470","post","type-post","status-publish","format-standard","hentry","category-internetrecht","category-it-recht","category-konsumentenschutzrecht","category-zivilrecht","tag-betrug","tag-fahrlaessigkeit","tag-grob-fahrlaessig","tag-online-banking","tag-phishing","tag-sorgfaltspflichten","tag-tac","tag-weitergabe","tag-zahlungsdienstleistungsgesetz","tag--44-zadig"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/media-law.at\/index.php?rest_route=\/wp\/v2\/posts\/2470","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/media-law.at\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/media-law.at\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/media-law.at\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/media-law.at\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2470"}],"version-history":[{"count":3,"href":"https:\/\/media-law.at\/index.php?rest_route=\/wp\/v2\/posts\/2470\/revisions"}],"predecessor-version":[{"id":2473,"href":"https:\/\/media-law.at\/index.php?rest_route=\/wp\/v2\/posts\/2470\/revisions\/2473"}],"wp:attachment":[{"href":"https:\/\/media-law.at\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2470"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/media-law.at\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2470"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/media-law.at\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2470"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}