1. Sachverhalt
Ein Bankkunde (Kläger) fiel Social Engineering zum Opfer. Er erhielt eine Phishing-SMS, die als Nachricht eines Paketzustellers getarnt war und gab persönliche Daten sowie seine Internetbanking-Verfügernummer an. Unabhängig davon hob er danach EUR 7.500,- bar ab. Er wurde daraufhin von einer ihm unbekannten Nummer angerufen. Ihm wurde mitgeteilt, dass auf sein Konto zugegriffen worden sei. Am selben Tag wurde er erneut angerufen. Der Anrufer gab sich als Bankmitarbeiter aus und wies den Kläger an, sein Internetbanking einzusehen, um den vorher angesprochenen Zugriff auf sein Konto rückgängig zu machen. Zeitgleich loggte sich der Täter mit der durch die Phishing SMS erhaltenen Verfügernummer des Bankkunden auch in dessen Internetbanking ein. Der Bankkunde bestätigte mittels 2-Faktor-Authentifizierug seine eigene Anmeldung in der Kontroll-App und auch die Anmeldung des Täters.
Die erste Transaktion iHv EUR 20.000,- wurde von der automatischen Transaktionsüberwachung gestoppt, die folgenden nicht mehr. Der Täter leitete vier weitere Auslandsüberweisungen in die Wege (2x EUR 9.000,-, EUR 3.950,-, und 5.700,-.), insgesamt iHv EUR 27.650,-.
Der Bankkunde gab alle Überweisungen in der Kontroll-App frei. Der Bankkunde forderte in weiterer Folge den Betrag iHv 27.650,- bei der Bank ein und brachte, gestützt auf die §§ 67 und 68 ZaDiG 2018, Klage ein.
2. Rechtliche Beurteilung
Der OGH hatte in diesem Fall zu entscheiden, ob die beklagte Bank alle nötigen Sorgfaltspflichten eingehalten hatte. Bei seiner Entscheidung bestätigte er die Entscheidungen der Vorinstanzen (Landesgericht Salzburg und Oberlandesgericht Linz).
Die Bank warnte den Kunden bereits im Vorfeldvor Phishing-Attacken und hatte ein umfassendes Sicherheitssystem zur Überwachung von Transaktionen eingerichtet. Dieses System blockierte auch eine der betrügerischen Überweisungen iHv EUR 20.000,-, da die Überweisung aufgrund des hohen Betrags und des unbekannten Empfängers vom üblichen Verhalten des Klägers abwich.
Zu den weiteren Überweisungen, die nicht gestoppt wurden, war das Gericht der Ansicht, dass die Bank keine Verpflichtung habe, jede autorisierte Transaktion zu blockieren. Die Überwachungssysteme der Bank funktionieren nach bestimmten Kriterien, die darauf ausgelegt sind, auffällige oder untypische Transaktionen zu erkennen. Das System erkannte daher die erste Überweisung als verdächtig und stoppte sie. Es funktionierte auch bei den nachfolgenden, nicht blockierten Überweisungen. Dass diese nicht gestoppt wurden, ließ sich darauf zurückführen, dass der Kunde zuvor EUR 7.500,- in bar abgehoben hatte. Die Behebung eines so hohen Betrages ließ die nachfolgenden, ebenso hohen Überweisungen, die im Rahmen dessen waren, plausibel erscheinen.
Der OGH bestätigte die Rechtsansicht der Vorinstanzen. Diese hatten das Verhalten des Bankkunden als grob fahrlässig beurteilt, da er seine persönlichen Zugangsdaten durch die Phishing-SMS preisgab und anschließend alle Transaktionen eigenständig freigab. Deswegen trug er die alleinige Verantwortung für den entstandenen Schaden.
3. Fazit
Es lag keine Sorgfaltspflichtverletzung der Bank vor. Selbst wenn der Bank eine mögliche Sorgfaltspflichtverletzung unterstellt werden könnte, wiegt das Verhalten des Kunden so schwer, dass jede mögliche Pflichtverletzung der Bank in den Hintergrund tritt. Der Kunde trug durch sein eigenes Verhalten wesentlich dazu bei, dass der Betrug überhaupt möglich wurde. Dies ist einmal mehr ein Grund dafür, beim Internetbanking sehr vorsichtig zu sein und niemals auf Links von unbekannten Absendern zu klicken, geschweige denn sicherheitsrelevante Daten (PIN, Verfügernummer etc.) bekanntzugeben.