Wien – Der Oberste Gerichtshof (OGH) hat sich erstmals zum Verschulden von Bankkunden bei einer Phishing-Attacke geäußert. Laut dem neuen Zahlungsdienstegesetz (ZaDiG) müssen Banken einen von Betrügern abgebuchten Betrag unverzüglich auf das Kundenkonto zurückerstatten. Bei einer leichten Verletzung der Sorgfaltspflicht haften Konsumenten mit maximal 150 Euro. Für Unternehmer gilt diese Grenze nicht zwingend.

"Internetbanking kann für Unternehmer gefährlich werden", schlussfolgert der Wiener Anwalt Benedikt Wallner. Opfer von Cyberkriminellen könne man heutzutage schnell werden. "Das Fehlerrisiko und das Aufklärungsrisiko trägt im Endeffekt der Kunde. Wenn er nicht nachweisen kann, dass er nichts falsch gemacht hat, bleibt er auf dem Schaden sitzen."

Banken müssten daher für den Unternehmensbereich etwas Besseres anbieten, sagt Wallner zur APA. Zwar trage die Bank für ein Fehlverhalten des Kunden die Beweislast. "Wenn aber der Gutachter zum Ergebnis kommt, es gebe keine andere technische Erklärung, ist das Fehlverhalten bewiesen." So ergangen ist es zwei Kleinstunternehmern, die Wallner vor Gericht vertreten hat. Das Ehepaar war Opfer einer Phishing-Attacke geworden und ist nun mit seiner Klage gegen die Bank auch beim Obersten Gerichtshof abgeblitzt. 2011 hatten Unbekannte vom Geschäftsgirokonto der Kläger insgesamt 42.000 Euro auf fremde Konten überwiesen. Betrüger hatten offenbar ihre TAN-Nummern ausgespäht. Der Kläger beteuerte bei den Verhandlungen, nichts falsch gemacht zu haben. Er wollte eine ganz gewöhnliche Überweisung via E-Banking tätigen und habe nicht gemerkt, dass es sich bei der Eingabemaske nicht um die Website seiner Bank handelte, sondern um eine von Betrügern nachgebaute. Als plötzlich eine Meldung aufschien, wonach die TAN-Liste nicht mehr gültig sein soll, habe er sich sofort ausgeloggt.

Im Verfahren wurde ein Gutachter beigezogen. Dieser und später die Gerichte glaubten dem Mann nicht. Laut OGH musste der Kläger dem Betrüger alle noch gültigen und unverbrauchten Codes zur Verfügung gestellt haben. Der Kunde handelte nach Ansicht des Höchstgerichts zumindest leicht sorgfaltswidrig. Da er schon jahrelang mit dem Online-Banking vertraut war, hätte er wissen müssen, "dass für den Zugang niemals ein oder gar mehrere iTANs, sondern allein Kontonummern und PIN abgefragt werden und für jeden einzelnen Überweisungsvorgang nur ein einziger iTAN einzugeben war." Dennoch "verstieß er gegen eindeutige Sicherheitsanweisungen und Warnungen, indem er der – im Rahmen eines Zahlungsvorgangs völlig unüblichen – Aufforderung zur Bekanntgabe seiner iTANs nachkam und eine Mehrzahl von iTANs gleichzeitig eingab, ohne Verdacht zu schöpfen bzw. den Vorgang abzubrechen" und mit einem Bankmitarbeiter Rücksprache zu halten, heißt es in dem Urteil, das der APA vorliegt (10 Ob 102/15w).

Die Kläger bleiben also auf dem 42.000-Euro-Minus am Konto sitzen und müssen der Bank zusätzlich noch die Prozesskosten erstatten. Anwalt Wallner findet das haarsträubend. Denn das ZaDiG – die österreichische Gesetzesversion einer EU-Vorgabe – sei eigentlich dazu gedacht gewesen, Cybercrime beizukommen. Prinzipiell, so schreibt es das ZaDiG fest, muss die Bank im Falle eines "nicht autorisierten Zahlungsvorgangs" den zu Unrecht abgebuchten Betrag unverzüglich erstatten und das belastete Konto wieder auf den ursprünglichen Stand bringen. Damit liegt das Missbrauchsrisiko gänzlich bei der Bank – dies, weil die Bank das Risiko "technisch und wirtschaftlich besser beherrschen kann". Trifft den Kunden jedoch ein Verschulden am Missbrauch, wird er der Bank schadenersatzpflichtig. Eine Sorgfaltsverletzung des Kunden liegt zum Beispiel dann vor, wenn er PIN und dergleichen nicht vor dem unbefugten Zugriff Dritter geschützt hat. Wenn etwas "passiert" ist, also ihm etwa Daten gestohlen wurden, muss er "unverzüglich" die Bank informieren.

Hat der Kunde nur "leicht fahrlässig" gehandelt, ist seine Haftung auf 150 Euro beschränkt. In diesem Punkt weicht das ZaDiG vom allgemeinen Schadenersatzrecht ab. Nur bei grobem Verschulden haftet der Kunde für den gesamten Schaden der Bank. Auch hier ist aber die Haftung durch Limits, die für das Konto vereinbart sind, begrenzt.

Das ganze gilt zwingend für Verbraucher. Für Nichtverbraucher können puncto Schadenersatz abweichende Regeln getroffen werden. Laut ZaDiG sind Nichtverbraucher "alle Personen, die die Zahlungsdienste zum Zweck der Ausübung ihrer beruflichen und gewerblichen Tätigkeit in Anspruch nehmen". Dabei kommt es auf den Zeitpunkt des Abschlusses des Girokontovertrags für Geschäftszwecke an. Die beiden Kläger haben ihr Geschäftskonto in der Folge auch privat genutzt. Dennoch kamen ihnen dann keine Verbraucherrechte zugute, da es für die Bank laut OGH nicht nachvollziehbar ist, wann eine private oder betriebliche Nutzung gegeben ist.

Bei nicht autorisierten Zahlungsvorgängen seien Firmen in der Regel besser in der Lage, das Betrugsrisiko einzuschätzen und Gegenmaßnahmen zu ergreifen, argumentiert der Gesetzgeber. EU-Staaten könnten zwar Kleinstunternehmer wie Verbraucher behandeln, der österreichische Gesetzgeber hat von dieser Möglichkeit aber keinen Gebrauch gemacht. Sämtliche Unternehmer – auch Ein-Personen-Firmen, die ihr Konto privat ebenso nutzen – müssen nun beim E-Banking gut aufpassen.

Quelle: derStandard.at, 15. April 2016, 07:10