OGH-Entscheidung vom 28.8.2024, 7 Ob 95\/24g<\/p>\n
<\/p>\n
Sachverhalt:<\/strong><\/p>\n Ein Bankkunde wurde Opfer eines Phishing-Betrugs, bei dem Betr\u00fcger durch eine gef\u00e4lschte SMS-Nachricht eines angeblichen Paketzustellers an seine Zugangsdaten f\u00fcr das Online-Banking gelangten. Obwohl die Bank ein Zwei-Faktor-Authentifizierungssystem und eine automatisierte Transaktions\u00fcberwachung einsetzte, gelang es den T\u00e4tern, den Kunden telefonisch zu manipulieren. Sie \u00fcberzeugten ihn, mehrere \u00dcberweisungen in Gesamth\u00f6he von 27.650 EUR zu autorisieren, angeblich um widerrechtliche Abbuchungen r\u00fcckg\u00e4ngig zu machen. W\u00e4hrend die Bank eine erste verd\u00e4chtige \u00dcberweisung \u00fcber 20.000 EUR noch stoppte, wurden die nachfolgenden \u00dcberweisungen ausgef\u00fchrt. Der Kunde klagte daraufhin die Bank auf R\u00fcckerstattung des Betrags mit der Begr\u00fcndung, ihr Kontrollsystem h\u00e4tte auch die weiteren \u00dcberweisungen als betr\u00fcgerisch erkennen und stoppen m\u00fcssen.<\/p>\n <\/p>\n Entscheidung:<\/strong><\/p>\n Der OGH wies die Revision des Kl\u00e4gers als unzul\u00e4ssig zur\u00fcck. Er best\u00e4tigte damit die Entscheidungen der Vorinstanzen, die eine Haftung der Bank verneinten. Zentrale Punkte der Entscheidung:<\/p>\n Da der Kunde die \u00dcberweisungen selbst mittels Zwei-Faktor-Authentifizierung autorisiert<\/strong> hatte, lag kein „nicht autorisierter Zahlungsvorgang“<\/strong> vor, der eine Haftung nach \u00a7\u00a7 67, 68 ZaDiG 2018 begr\u00fcnden w\u00fcrde.<\/p>\n Die Bank hatte ihre Schutz- und Sorgfaltspflichten nicht verletzt<\/strong>. Sie verf\u00fcgte \u00fcber angemessene Sicherheitssysteme und hatte den Kunden vor Phishing-Betrug gewarnt. Selbst wenn man eine Sorgfaltspflichtverletzung der Bank annehmen w\u00fcrde, w\u00e4re diese durch das grob fahrl\u00e4ssige Verhalten des Kunden<\/strong> \u00fcberlagert worden.<\/p>\n <\/p>\n <\/p>\n Link zur Entscheidung<\/a><\/p>\n <\/p>\n Weitere Blog-Beitr\u00e4ge:<\/strong><\/p>\n Grob fahrl\u00e4ssiges Verhalten von Bankkunden bei Phishing-Attacke: Keine Schadenersatzpflicht der Bank<\/a><\/p>\n Rechtsschutzdeckung f\u00fcr die Durchsetzung von Anspr\u00fcchen auf immateriellen Schadenersatz infolge Cyberangriff auf Hardware-Wallet Hersteller.<\/a><\/p>\n Systematische Registrierung von Domains f\u00fcr kriminelle Zwecke: Domainvergabestelle haftet mangels Einschreiten<\/a><\/p>\n Zahlungserfahrungsdaten in Bonit\u00e4tsdatenbanken: OGH zu Fristen\/Kriterien f\u00fcr L\u00f6schung.<\/a><\/p>\n