OGH vom 15.03.2016, 10 Ob 102/15w (Schadenersatzrecht)

Kein Schadenersatz gegen Bank wegen „Phishing-Attacke“

(vgl. Kurzfassung in Rechtspanorama vom 25.4.2016)

1.) Sachverhalt:

Die Kläger (Betreiber einer Frühstückspension bzw nicht Verbraucher) sind Inhaber eines auf ihre beiden Namen lautenden Girokontos bei dem beklagten Bankunternehmen. Beide Kläger nutzten diesen Zugang in der Folge regelmäßig. Am 6. und 9. Mai 2011 wurden die Kläger Opfer einer sogenannten „Phishing-Attacke“, im Zuge derer unautorisierte Dritte in vier Einzelüberweisungen vom Geschäftsgirokonto der Kläger insgesamt 42.000 EUR auf fremde Konten überwiesen, nachdem sie die Transaktionscodes (TANS) erspähten. Das Girokonto der Kläger weist seitdem einen Abgang von 42.000 EUR auf. Die Kläger begehren, die beklagte Partei schuldig zu erkennen, das Girokonto mit Wertstellung spätestens an dem auf den 10.Mai 2011 folgenden Bankarbeitstag wieder auf den Stand zu bringen, auf dem es sich ohne die vier (im Einzelnen bezeichneten) nicht autorisierten Zahlungsvorgänge befunden hätte. Das Klagebegehren werde auf § 44 ZaDiG, auf den Anspruch auf Zuhaltung des abgeschlossenen Girovertrags und auf Schadenersatz gestützt. Die Klage wurde rechtskräftig abgewiesen.

2.) Entscheidungsbegründung:

Der Zahlungsdienstleister ist nach §44 (1) ZaDiG ganz allgemein zur Berichtigung des Kontostands im Fall der Belastung aufgrund eines nicht autorisierten Zahlungsvorgangs verpflichtet. Die zwingende Zuweisung des Missbrauchsrisikos an den Zahlungsdienstleister rechtfertigt sich dadurch, dass er das Risiko technisch und wirtschaftlich besser beherrschen kann.

Trifft den Kunden jedoch ein Verschulden am Missbrauch, wird er dem Zahlungsdienstleister nach Maßgabe des § 44 Abs 2 und 3 ZaDiG schadenersatzpflichtig. Im Fall einer bloß leicht fahrlässigen Verletzung dieser Sorgfaltspflichten ist die Haftung des Kunden – abweichend vom allgemeinen Schadenersatzrecht – auf einen Betrag von 150 EUR beschränkt. Im Fall des Mitverschuldens des Zahlungsdienstleisters kommt es zu einer Teilung des Schadens, für die insbesondere die in § 44 Abs 2 Satz 3 ZaDiG aufgezählten Zurechnungsgründe maßgeblich sind. Somit kann der Zahler im Fall der schuldhaften Verletzung der ihn nach § 36 ZaDiG treffenden Sorgfaltspflichten im Ergebnis den nach § 44 Abs 1 ZaDiG bestehenden Berichtigungs- und Erstattungsanspruch (allenfalls ganz) verlieren. Der Zahlungsdienstleister kann dann die Belastung des Kontos des Zahlers ganz oder teilweise auf den ihm nach § 44 Abs 2 ZaDiG zustehenden Schadenersatzanspruch stützen, der insofern den bei nicht autorisierten Zahlungsvorgängen fehlenden Aufwandersatzanspruch nach § 1014 ABGB ganz oder teilweise ersetzt.

Während § 44 Abs 1 ZaDiG auch zu Gunsten von Nichtverbrauchern zwingend ist, können gemäß § 26 Abs 6 ZaDiG gegenüber Zahlungsdienstnutzern, die nicht Verbraucher sind, von den Vorgaben des ZaDiG abweichende Vereinbarungen hinsichtlich der Schadenstragungsregeln bei nicht autorisierten Zahlungsvorgängen im Fall eines Verschuldens des Zahlungsdienstnutzers (§ 44 Abs 2 und 3 ZaDiG) getroffen werden.

Eine jedenfalls leichte Sorgfaltswidrigkeit ergibt sich aber auch im vorliegenden Fall schon daraus, dass der Erstkläger seit mehreren Jahren mit dem Online-Banking vertraut war und daher wissen hätte müssen, dass für den Zugang niemals ein oder gar mehrere iTANs, sondern allein Kontonummern und PIN abgefragt werden und für jeden einzelnen Überweisungsvorgang nur ein einziger iTAN einzugeben war. Dennoch verstieß er gegen eindeutige Sicherheitsanweisungen und Warnungen, indem er der – im Rahmen eines Zahlungsvorgangs völlig unüblichen – Aufforderung zur Bekanntgabe seiner iTANs nachkam und eine Mehrzahl von iTANs gleichzeitig eingab, ohne Verdacht zu schöpfen bzw den Vorgang abzubrechen und mit einem Mitarbeiter/einer Mitarbeiterin der Beklagten Rücksprache zu halten und Erkundigungen einzuholen, wie die Aufforderung einzuordnen ist