Erschrocken stellen Sie fest, dass von Ihrem Konto, oder Ihrer Kreditkarte, namhafte Beträge abgebucht wurden - Sie haben keine Ahnung, wer oder was diesen Zahlungsvorgang ausgelöst hat, nur eines wissen Sie genau: Sie waren es nicht! Sofortige Rückfrage bei Ihrer Bank ergibt, dass nur noch der letzte kriminelle Angriff auf Ihr Konto, der von gerade eben, in letzter Minute gestoppt werden konnte; der Rest scheint verloren. Die Bank schickt Sie zur polizeilichen Anzeigenerstatung, dort erfahren Sie aber, die ausländische Hackergruppe sei schon bekannt - und es gebe kaum Hoffnung auf Wiedererlangung Ihres Geldes. Was tun?
Die Kriminellen machen damit gute Geschäfte, im letzten Jahr weltweit fast 28 Milliarden US$, Tendenz steigend. Viel Geld, das jetzt jemandem fehlt. Wenn es dagegen keine Instrumente gäbe, würden die wenigsten der 500 Mio EU-Bürger Vertrauen haben in die Praxis des bargeldlosen Zahlungsverkehrs - dachte sich die EU 2007, und schuf eine Zahlungsdiensterichtlinie, aus der in Österreich 2009 das ZaDiG (Zahlungsdienstegesetz) wurde. Sein wesentlicher Inhalt: Die Bank haftet verschuldensunabhängig (!) für nicht autorisierte Zahlungsvorgänge. Wenn Ihnen also der Hacker Geld vom Konto stiehlt, muss die Bank das Konto wieder auffüllen, nachdem Sie der Bank davon unverzüglich Mitteilung gemacht haben.
Aber grau ist alle Theorie, wie wir gleich in unserem ersten Fall, den der OGH zum ZaDiG je entschieden hat, erleben mussten. Deswegen gibt es jetzt, nach nur neun Jahren, bereits ein neues ZaDiG (2018). Das macht manches besser:
Anders als bisher beträgt der Selbstbehalt bei leichter Fahrlässigkeit des Kunden (also wenn ihm zwar ein Fehler unterlaufen ist, der einem aber schon einmal passieren kann) nur mehr maximal 50 EUR; den Rest trägt die Bank. Das gilt im wesentlichen aber nur für Verbraucher: Weiterhin sollen Nichtverbraucher nicht im selben Ausmaß geschützt werden, da diese "in der Regel besser in der Lage seien, das Betrugsrisiko einzuschätzen und Gegenmaßnahmen zu treffen."
Auch die Sorgfaltsanforderungen an die Kunden wurden, sagen wir, konkretisiert: Jetzt müssen nur mehr "zumutbare Vorkehrungen" gegen Missbrauch getroffen werden, also das, was man als vernünftiger Kunde ohnehin tun würde. Unzumutbar wäre etwa das Verbot, den PIN elektronisch abzuspeichern; es kann auch nicht vom Kunden verlangt werden, die Kreditkarte ständig eng am Körper zu tragen; unter Umständen - zB beim Baden am Strand - darf man sie sogar im versperrten Auto zurücklassen. Man muss auch nicht ständig überprüfen, ob die Karte eh noch nicht gestohlen oder vom Konto eh nichts abgebucht wurde (ausgenommen natürlich den Fall, in dem Sie Ihrerseits versuchen, die Bank zu betrügen, und falsche Angaben machen).
Die Bank muss nachweisen, dass es sich um KEINEN unautorisierten Angriff auf Ihr Konto gehandelt hat, nicht umgekehrt! Daher kann die Bank von Ihnen auch keine Nachweise für den Missbrauch durch Kriminelle verlangen.
Wenn allerdings der Kunde grob fahrlässig gehandelt, also mit "auffallender Sorglosigkeit" etwa PIN oder TAC weitergegeben oder unvorsichtig zugelassen hat, dass sie ausspioniert werden, dann entsteht doch der Bank durch die Wiederherstellungspflicht ein Schaden. Und den kann sie ihrerseits vom Kunden fordern, muss in diesen Fällen also keinen Ersatz leisten. Hier ist Vieles einzelfallabhängig, und es lohnt sich, jeden Fall genau anzusehen: Nicht immer hat die Bank recht mit ihrem Vorwurf, Sie hätten Ihre Sorgfaltspflicht "auffallend vernachlässigt".