OGH-Entscheidung zu Online Banking-Betrug

Bankkunden müssen Schaden selbst tragen.

Verursacht durch die eigene Unachtsamkeit verloren die Kläger gegenüber dem beklagten Kreditinstitut € 12.880,00 an Betrüger, die sich Zugang zu ihrem Online Banking-Portal verschafft hatten. Der OGH bestätigte die Einschätzung der Vorinstanzen, die den Erstkläger eine grob fährlässige Verletzung seiner Sorgfaltspflichten attestierten.

Der Fall stellt sich wie folgt dar: Die Kläger sind gemeinsame Inhaber eines Kontos und nutzen die von der Bank zur Verfügung gestellte OnlineBanking-Funktion. Die unbekannten Betrüger erlangten durch die Installation von Schadsoftware auf einem der IT-Systeme des Erstklägers oder durch einen Phishing-Angriff Zugriff auf seine Zugangsdaten. Daraufhin konnten sich die unbekannten Personen in das Online-Banking-Portal einloggen und eine Überweisung erstellen. Um die Überweisung zu autorisieren, ist die Angabe des sogenannten "TAC" notwendig. Dieser wird per SMS an den Bankkunden übermittelt. In der SMS sind die letzten 11 Stellen der IBAN des Kontos, auf das überwiesen wird, der Überweisungsbetrag und eben der TAC enthalten. Das beklagte Kreditinstitut weißt ihre Kunden regelmäßig auf die Gefahr vor Phishing-Angriffen und Trojanern hin, u.a. mittels der Warnung "Prüfen Sie IMMER die Inhalte ihrer TAC-SMS, bevor sie mit der TAC zeichnen – also bei einer Überweisung die Empfänger-IBAN und vor allem den Betrag !!!!".

Die Betrüger nutzten die im Online-Banking hinterlegte Telefonnummer des Erstklägers, um diesen zu kontaktieren. Dieser hatte kurz zuvor auf seinem Handy eine SMS erhalten, die den TAC für die Autorisierung einer Überweisung enthielt. Während des Telefongesprächs gab sich – eine dem Erstkläger unbekannte – Frau als Mitarbeiterin der Bank aus und forderte ihn auf, den per SMS übermittelten TAC sogleich in diesem Gespräch bekannt zu geben. Als Grund dafür nannte sie eine notwendige Datenaktualisierung. Der Erstkläger tat wie geheißen und autorisierte damit die Überweisung von € 12.880,00 von dem Konto der Kläger auf ein österreichisches Girokonto einer anderen Kreditanstalt. Zwei Tage später wiederholte sich der Vorfall, wobei es sich diesmal um einen Betrag von € 4.800,00 handelte, der auf ein spanisches Konto überwiesen werden sollte, wozu es jedoch nie kam: Ein Mitarbeiter des beklagten Kreditinstituts schöpfte Verdacht und nahm mit dem Erstkläger telefonisch Kontakt auf.

Die Kläger beriefen sich auf das Zahlungsdienstegesetz, das eine verschuldensunabhängige Haftung des Dienstleisters für Zahlungsvorgänge, die vom Zahler nicht autorisiert waren, vorsieht, und versuchten sich so bei der Bank schadlos zu halten. Der Zahler haftet jedoch im Fall grober Fahrlässigkeit selbst.

Der OGH bestätigte nun die Einschätzung der Vorinstanzen, laut derer eine grobe fahrlässige Verletzung der Sorgfaltspflichten seitens des Erstklägers vorliegt. Durch die regelmäßige Medienberichterstattung und durch die zahlreichen Warnungen seitens der Banken hinsichtlich Gefahren durch Phishing-Mails und anderen Betrugsversuchen, muss dem durchschnittlichen Online-Banking-Nutzer bewusst sein, dass die telefonische Weitergabe eines TAC-Codes an eine unbekannte Person einen durch Betrug hervorgerufenen Schadenseintritt nicht bloß möglich, sondern geradezu wahrscheinlich macht. Der Erstkläger hätte schon beim Überfliegen der SMS erkennen können, dass es sich um eine Überweisung handelte. Die Bank haftet somit nicht und die Kläger müssen den Schaden selbst tragen.

Nähere Details zum Urteil sind im Ris abrufbar.

Bei Fragen zum Bankrecht stehen Ihnen unsere Bankrecht-Experten gerne zur Verfügung.