Electronic banking und Sicherheit: Wer ist eigentlich das Opfer?
Cybercrime ist inzwischen weit einträglicher als herkömmlicher Bankraub und verursacht weltweit einen Schaden von etwa 300 Milliarden Euro.[1] Aktuelle Schlagzeilen lauten dann meist „Immer mehr Opfer von Cyberbetrugsfällen“ oder „Beliebte Falle Onlinebanking“. Oft wird über „Phishing“-Methoden beim Internetbanking berichtet sowie darüber, wie viel Geld schon wieder einmal Kunden durch Internetkriminalität verloren haben. Kaum einem Medium oder Journalisten ist dabei bewusst, dass es nicht der Kunde sondern die Bank ist, die dabei Geld verliert. Die meisten Banken ersetzen den Betrag, der durch „unautorisierte Zahlungsvorgänge“ scheinbar[2] auf ihrem Konto fehlt, ihren Kunden unverzüglich. Denn dazu sind sie laut Gesetz verpflichtet.
Im Einklang mit der Europäischen Zahlungsdienste-Richtlinie schafft in Österreich[3] das Zahlungsdienstegesetz eine verschuldensunabhängige Haftung des Zahlungsdienstleisters (der Bank). Dadurch sollte gerade das Vertrauen der Kunden in die Sicherheit und Zuverlässigkeit des elektronischen Zahlungsverkehrs gefördert werden; denn die Bank kann das Risiko technisch und wirtschaftlich besser beherrschen und das Zahlungssystem möglichst sicher ausgestalten. Es sei sachgerechter, das Risiko auf die Gesamtheit aller Kunden aufzuteilen, als es vom einzelnen Kunden tragen zu lassen, bei dem es sich trotz Einhaltung der gebotenen Sorgfalt zufällig verwirklicht hat.
Sofern also der Kunde „die gebotene Sorgfalt einhält“, das heißt (1) alle zumutbaren Vorkehrungen getroffen hat, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen, und (2) sich unverzüglich an seine Bank wendet, sobald er selbst von dem nicht autorisierten Zahlungsvorgang Kenntnis hat (längstens binnen 13 Monaten nach dem Tag der Belastung), haftet die Bank, selbst wenn sie keine Schuld trifft!
Übrigens ist das keine Vorschrift, die etwa nur auf Verbraucherverträge anwendbar wäre. Auch Nicht-Konsumenten können die Rückbuchung verlangen. Allerdings kann Unternehmer eine kürzere Frist als 13 Monate treffen, weil man davon ausgeht, dass sie ihr Konto regelmäßiger kontrollieren.
Welche Vorkehrungen dem Kunden „zumutbar“ sind, definiert das Gesetz nicht. Das unterliegt ebenso einem steten Wandel wie die kriminellen Angriffe selbst. Abgestellt werden muss stets auf die Zumutbarkeit für den durchschnittlichen Internetnutzer und seinen Kenntnisstand. Fahrlässig handelt, wer von seiner Bank auf derartige Sicherheitsgefahren hingewiesen worden ist und dennoch seine Daten preisgibt. Ein anderes Beispiel wäre, wenn die entsprechende phishing-Mail oder Webseite bereits auf den ersten Blick als Fälschung erkennbar ist, etwa weil sie in sehr schlechtem Deutsch verfasst ist – deswegen erhalten Bankkunden von ihrer Bank laufend aktualisierte Meldungen über die neuesten Phishing-Methoden. Doch deren Deutsch wird immer besser!
Bei nur leichter Fahrlässigkeit des Kunden ist dessen Haftung mit € 150 beschränkt. Das hat seinen Grund darin, Streitigkeiten abzukürzen sowie wiederum in der Förderung des Vertrauens in die Sicherheit elektronischer Zahlungsinstrumente und die Ausgabe solcher sicheren Zahlungsinstrumente. Erhebliche Sorglosigkeit – grobe Fahrlässigkeit – könne aber laut OGH[4] dem Opfer einer phishing-Aktion selbst dann nicht ohne weiteres unterstellt werden, wenn der getäuschte Kontoinhaber aufgrund der (gelungenen) betrügerischen Aktion den TAN-Code herausgegeben hat.
Gab es umgekehrt keinerlei Anlass für den Kunden anzunehmen, er unterliege gerade einer phishing-Attacke, oder es werde sein sicherer Zugang zum Internetportal der Bank, der bislang immer problemlos funktioniert hat, gerade kopiert, ausspioniert oder ähnliches, dann bleibt es bei der Pflicht der Bank zur Gutbuchung!
Schließlich regelt das Gesetz eindeutig die Verteilung der Klägerrolle[5] für den Fall, dass die Bank ein Verschulden bei ihrem Kunden erblickt. Der Gesetzeswortlaut macht hier keine Ausnahme: Auch in diesem Fall muss die Bank die Gutbuchung am Kundenkonto unverzüglich vornehmen; sie müsste dann aktiv ihren Kunden auf Schadenersatz klagen. Es soll gerade nicht der Fall eintreten, dass die Bank irgendein nicht näher spezifiziertes „Verschulden“ des Kunden einfach behauptet, so die Gutbuchung verweigert und darauf hofft, dass der Kunde, nunmehr finanziell geschwächt, den Prozessaufwand scheuen muss und die Bank nicht klagen wird.
Benedikt Wallner, 11.08.2014
[1] Zahlen für 2013 laut AKNÖ, http://www.ots.at/presseaussendung/OTS_20131213_OTS0212/aknoe-fachtagung-cyber-crime-der-kampf-gegen-die-300-milliarden-kriminalitaet.
[2] die ungerechtfertigte Belastungsbuchung wirkt nur deklarativ. Die Kunden haben aber Anspruch darauf, dass das von der Bank geführte Konto die Höhe ihrer Kontoforderung richtig wieder gibt.