OGH-Urteil

Unternehmer bei Phishing-Attacke selbst schuld

(Bild: thinkstockphotos.de)

Der Oberste Gerichtshof hat sich erstmals zum Verschulden von Bankkunden bei einer Phishing-Attacke geäußert. Laut dem neuen Zahlungsdienstegesetz müssen Banken einen von Betrügern abgebuchten Betrag unverzüglich auf das Kundenkonto zurückerstatten. Bei einer leichten Verletzung der Sorgfaltspflicht haften Konsumenten mit maximal 150 Euro. Für Unternehmer gilt diese Grenze jedoch nicht zwingend. "Internetbanking kann für Unternehmer gefährlich werden", schlussfolgert der Wiener Anwalt Benedikt Wallner.

Opfer von Cyberkriminellen könne man heutzutage schnell werden. "Das Fehlerrisiko und das Aufklärungsrisiko trägt im Endeffekt der Kunde. Wenn er nicht nachweisen kann, dass er nichts falsch gemacht hat, bleibt er auf dem Schaden sitzen." Zwar trage die Bank für ein Fehlverhalten des Kunden die Beweislast. "Wenn aber der Gutachter zum Ergebnis kommt, es gebe keine andere technische Erklärung, ist das Fehlverhalten bewiesen."

42.000 Euro von Konto abgebucht
So ergangen ist es zwei Kleinstunternehmern, die Wallner vor Gericht vertreten hat. Das Ehepaar war 2011 Opfer einer Phishing-Attacke geworden. Unbekannte hatten damals offenbar die TAN-Nummern des Ehepaares ausgespäht, um damit 42.000 Euro von seinem Geschäftsgirokonto auf fremde Konten zu überweisen.

Bei den Verhandlungen beteuerte das Paar, nichts falsch gemacht zu haben. Der Mann wollte eine ganz gewöhnliche Überweisung via E-Banking tätigen und habe nicht gemerkt, dass es sich bei der Eingabemaske nicht um die Website seiner Bank handelte, sondern um eine von Betrügern nachgebaute. Als plötzlich eine Meldung aufschien, wonach die TAN-Liste nicht mehr gültig sei, habe er sich sofort ausgeloggt.

(Bild: thinkstockphotos.de, krone.at-Grafik)

Gutachter und Gerichte glaubten Ehepaar nicht
Im Verfahren wurde ein Gutachter beigezogen. Dieser und später die Gerichte glaubten dem Mann jedoch nicht. Laut OGH musste der Kläger dem Betrüger alle noch gültigen und unverbrauchten Codes zur Verfügung gestellt haben. Der Kunde handelte damit nach Ansicht des Höchstgerichts zumindest leicht sorgfaltswidrig. Da er schon jahrelang mit dem Online-Banking vertraut war, hätte er wissen müssen, "dass für den Zugang niemals ein oder gar mehrere iTANs, sondern allein Kontonummern und PIN abgefragt werden und für jeden einzelnen Überweisungsvorgang nur ein einziger iTAN einzugeben war."

Dennoch "verstieß er gegen eindeutige Sicherheitsanweisungen und Warnungen, indem er der - im Rahmen eines Zahlungsvorgangs völlig unüblichen - Aufforderung zur Bekanntgabe seiner iTANs nachkam und eine Mehrzahl von iTANs gleichzeitig eingab, ohne Verdacht zu schöpfen bzw. den Vorgang abzubrechen" und mit einem Bankmitarbeiter Rücksprache zu halten, heißt es in dem Urteil.

(Bild: thinkstockphotos.de)

Kläger bleiben auf Schaden sitzen
Die Kläger bleiben also auf dem 42.000-Euro-Minus am Konto sitzen und müssen der Bank zusätzlich noch die Prozesskosten erstatten. Anwalt Wallner findet das haarsträubend. Denn das Zahlungsdienstegesetz, kurz ZaDig, sei eigentlich dazu gedacht gewesen, Cybercrime beizukommen.

Prinzipiell, so schreibt es das ZaDiG fest, muss die Bank im Falle eines "nicht autorisierten Zahlungsvorgangs" den zu Unrecht abgebuchten Betrag unverzüglich erstatten und das belastete Konto wieder auf den ursprünglichen Stand bringen. Damit liegt das Missbrauchsrisiko gänzlich bei der Bank - dies, weil die Bank das Risiko "technisch und wirtschaftlich besser beherrschen kann".

Schadenersatzpflicht bei eigenem Verschulden
Trifft den Kunden jedoch ein Verschulden am Missbrauch, wird er der Bank schadenersatzpflichtig. Eine Sorgfaltsverletzung des Kunden liegt zum Beispiel dann vor, wenn er PIN und dergleichen nicht vor dem unbefugten Zugriff Dritter geschützt hat. Wenn etwas "passiert" ist, also ihm etwa Daten gestohlen wurden, muss er "unverzüglich" die Bank informieren.

Hat der Kunde nur "leicht fahrlässig" gehandelt, ist seine Haftung auf 150 Euro beschränkt. In diesem Punkt weicht das ZaDiG vom allgemeinen Schadenersatzrecht ab. Nur bei grobem Verschulden haftet der Kunde für den gesamten Schaden der Bank. Auch hier ist aber die Haftung durch Limits, die für das Konto vereinbart sind, begrenzt.

Eine Figur der Justitia (Symbolbild)

(Bild: dpa/Frank Rumpenhorst)

Unternehmer müssen besser aufpassen als Privatpersonen
Das ganze gilt zwingend für Verbraucher. Für Nichtverbraucher können puncto Schadenersatz abweichende Regeln getroffen werden. Laut ZaDiG sind Nichtverbraucher "alle Personen, die die Zahlungsdienste zum Zweck der Ausübung ihrer beruflichen und gewerblichen Tätigkeit in Anspruch nehmen". Dabei kommt es auf den Zeitpunkt des Abschlusses des Girokontovertrags für Geschäftszwecke an.

Unternehmer müssen demnach in Österreich nicht im selben Umfang geschützt werden wie Verbraucher. Bei nicht autorisierten Zahlungsvorgängen seien Firmen in der Regel besser in der Lage, das Betrugsrisiko einzuschätzen und Gegenmaßnahmen zu ergreifen, argumentiert der Gesetzgeber.

Die beiden Kläger haben ihr Geschäftskonto in der Folge auch privat genutzt. Dennoch kamen ihnen dann keine Verbraucherrechte zugute, da es für die Bank laut OGH nicht nachvollziehbar ist, wann eine private oder betriebliche Nutzung gegeben ist. Sämtliche Unternehmer - auch Ein-Personen-Firmen, die ihr Konto privat ebenso nutzen - müssen daher nun beim E-Banking besser aufpassen.