Wer haftet für Schaden durch Weitergabe eines Online-Banking-Codes?

September 2018

Einer kürzlich vom Obersten Gerichtshof (OGH) entschiedenen Rechtssache lag nachfolgender Sachverhalt zu Grunde:

Die Kläger sind Verbraucher und gemeinsame Inhaber des beim beklagten Kreditinstitut eingerichteten Kontos. Seit 2005 nehmen sie am Electronic Banking der Beklagten teil. Im Falle einer Online-Überweisung wird der hierfür notwendige TAC-Code per SMS an die Kläger übermittelt. Eine solche SMS enthält neben dem TAC-Code die letzten 11 Stellen der IBAN und den Überweisungsbetrag.

Die Beklagte übermittelt immer wieder Warnungen an ihre Kunden über aktuell im Internet im Umlauf befindliche Trojaner und Phishing-Mails. Auch der Erstkläger hat derartige Warnungen der Beklagten erhalten und auch gelesen.

Im Oktober 2015 wurde der Erstkläger auf seinem Handy, dessen Telefonnummer im Online-Banking-System der Beklagten hinterlegt ist, von einer ihm unbekannten Telefonnummer von einer Frau angerufen. Diese gab sich als Angestellte der Beklagten aus und forderte ihn auf, ihr aufgrund einer notwendigen Datenaktualisierung den ihm soeben per SMS übermittelten Code bekannt zu geben. Dies tat der Erstkläger. Das an den Erstkläger im Zuge dieses Telefonats übermittelte SMS hatte den gleichen Inhalt, wie auch die sonst üblichen SMS der Beklagten. Insbesondere enthielt es die letzten 11 Stellen der IBAN jenes Kontos, auf das die Überweisung letztlich erfolgte, einen Überweisungsbetrag von € 12.880,00 und den vierstelligen TAC-Code. Noch am selben Tag wurde vom Konto der Kläger bei der Beklagten der Betrag von € 12.880,00 auf ein österreichisches Girokonto einer anderen Kreditanstalt der unbekannten Betrüger überwiesen.

Die Kläger begehrten daraufhin von der Beklagten den Ersatz des ihnen entstandenen Schadens in Höhe von € 12.880,00. Sowohl das Erst- als auch das Berufungsgericht wiesen das Klagebegehren ab. Der OGH bestätigte diese Entscheidungen und führte in seiner rechtlichen Beurteilung aus, dass der Erstkläger durch sein Handeln grob fahrlässig seine Sorgfaltspflichten verletzt habe. Dass die telefonische Weitergabe eines TAC-Codes an eine unbekannte Person einen durch Betrug hervorgerufenen Schadenseintritt nicht bloß möglich, sondern geradezu wahrscheinlich macht, müsse jeder mit dem Electronic Banking vertrauten Person alleine schon aus der medialen Berichterstattung und den zahlreichen, insbesondere im Bankenbereich üblichen Warnungen bewusst sein. Schon bei einem bloß kurzen Überfliegen des SMS hätte der Erstkläger leicht erkennen können, dass es sich nicht um eine – wie telefonisch angekündigt – Datenaktualisierung handelte, sondern um eine Überweisung (Zahlungsfreigabe) eines Betrags von € 12.880,00 von seinem Konto. Die Kläger sind daher für den ihnen entstandenen Schaden selbst verantwortlich.