Im Anlassfall klagte eine Konsumentin eine Onlineplattform, auf der unter anderem virtuelle Währungen wie Bitcoins gehandelt, verwahrt oder auf externe Wallets übertragen werden können, anlässlich von der Klägerin nicht autorisierten Transaktionen. Die Klägerin forderte die Rückerstattung der Beträge, ua auf Basis der Haftungsbestimmungen des ZaDiG 2018. Der Rev der Klägerin wurde vom OGH nicht Folge gegeben.
Zum Sachverhalt
Die Klägerin wurde, nachdem die von ihr verwendete Trading-Plattform Y*, auf der diese im Jahr 2019 1.000 EUR in Bitcoins investiert hatte, aufgelöst wurde, von einer Person, die sich als A* vorstellte, kontaktiert. Sie gab an, dass sie für das Unternehmen F* arbeite, welches die Abwicklung der Investitionen bei der Y* übernommen habe und riet ihr, in Zukunft ihre Bitcoins bei einer österreichischen Trading-Plattform, konkret der Beklagten, zu verwalten und zu erwerben. Diese Plattform war der Klägerin aus Medienberichten von Dritten bekannt.
Die Beklagte betreibt eine Website, auf der unter anderem virtuelle Währungen wie Bitcoins gehandelt, verwahrt oder auf externe Wallets übertragen werden. Die Beklagte warb auf ihrer Startseite mit regulierten und sicheren Investitionen, wobei diese Aussagen für die Klägerin für ihre Investitionen bei der Beklagten aber nicht ausschlaggebend waren. Die Klägerin registrierte sich, unter telefonischer Anleitung von A*, auf der Internetplattform der Beklagten, installierte eine Wallet und eröffnete ein Konto, wobei sie dabei jedenfalls ihren Namen angeben und ihren Ausweis einscannen musste. Die Klägerin bekam die Allgemeinen Geschäftsbedingungen (AGB) der B* Financial Services GmbH, einer Tochter der Beklagten, zugesendet, welche sie grob durchlas. Eine Empfehlung zur Verwendung einer Zwei-Faktor-Authentifizierung war in diesen AGB nicht enthalten. Dass die Beklagte in mehrere Gesellschaften unterteilt war und es auch für jede einzelne Gesellschaft eigene AGB gab, war der Klägerin nicht bekannt und ist ihr nicht aufgefallen.
Einem Laien, der von dieser Gesellschaftsstruktur der Beklagten nichts wusste, musste diese aufgrund ihres Internetauftritts auch nicht auffallen. Eine Auflistung der einzelnen Gesellschaften war erst im Impressum auf der Website der Beklagten zu finden. In diesem Impressum war weiters zu erkennen, dass auf Dienstleistungen der B*Payments GmbH, einer anderen Tochter der Beklagten, das Zahlungsdienstegesetz 2018 (ZaDiG 2018) Anwendung findet.
Der Klägerin, die sich weder das Impressum noch AGB der anderen Gesellschaften vor Vertragsabschluss angesehen hat, wurden die AGB der B*Payments GmbH nicht übermittelt. Auch die Beklagte hat die Klägerin nicht ausdrücklich auf die AGB der B*Payments GmbH hingewiesen. Die Klägerin sah sich ausschließlich die erste Seite der Website der Beklagten an, Einsicht in andere Seiten auf der Internetplattform der Beklagten, nahm sie ebenfalls vor Vertragsabschluss nicht.
Nach Ende des Registrierungsprozess wurde auf der Beklagtenplattform ein Account für die Klägerin eingerichtet, welchen sie mit einem selbstgewählten Passwort sicherte und dieses auch keiner anderen Person weitergab. Auf dem Account wurde außerdem eine Wallet für die Klägerin erstellt, worauf Geld überwiesen werden konnte, das dann anschließend in Bitcoins umgewandelt wurde.
Eine Zwei-Faktor-Authentifizierung zur Sicherung der Wallet wurde von der Klägerin nicht eingerichtet, dass eine solche für die Wallet auf der Internetplattform möglich wäre, war ihr nicht bekannt, da sie den Begriff nur aus dem Bankenbereich kannte.
Nach der Registrierung und Kontoeröffnung, fragte A*, ob er die Software „AnyDesk“ bei der Klägerin installieren könne, weil er ihr dann zeigen könne, wie sie die Plattform der Beklagten nutzen könne. Diese Software ermöglicht einen Fernzugriff zwischen Computern. Die Klägerin installierte die Software auf ihrem Computer und gab A* den Zugangscode zu ihrem Computer. So war es dem A* möglich, auf dem Computer der Klägerin zuzugreifen und sich dort wie die Klägerin frei zu bewegen.
Die Klägerin gab ihr Passwort für die B*-Seite der Beklagten ein und loggte sich ein, noch bevor sie über „AnyDesk“ mit A* verbunden war, welcher der Klägerin dann half, bei der Investition in Bitcoins, indem er beim ersten Mal im Online-Banking vom Bankkonto der Klägerin Geld in ihre Wallet auf der Plattform der Beklagten überwies. In der Folge tätigte sie diese Überweisungen, während sie mit A* telefonierte. Diesen Vorgang konnte die Klägerin auf ihrem Computer beobachten. Die Klägerin bestätigte die Überweisung durch einen von der Bank zugesendeten TAN.
Zwei bis drei Tage nach jeder Überweisung sah die Klägerin in ihrer Wallet auf der Plattform der Beklagten, wieviel Geld sie überwiesen und wie viele Bitcoins sie erworben hatte. Einen Hinweis über die Verwendung einer Zwei-Faktor-Authentifizierung auf der Plattform der Beklagten nahm die Klägerin nicht wahr.
Bei jeder Überweisung nahm die Klägerin A* zur Hilfe, wobei sie in weiterer Folge das Geld selbst von ihrem Bankkonto auf die Wallet überwies und sie A* erst nach Einloggen in ihren Account auf der Internetplattform der Beklagten über „AnyDesk“ zuschaltete. Die Klägerin stellte nie explizit sicher, dass die Verbindung zum Computer des A* nach durchgeführter Überweisung wieder getrennt wurde.
Die Klägerin tätigte zwischen 7.8.2021 und 23.8.2021 insgesamt acht Überweisungen in der Höhe zwischen 500 EUR und 10.000 EUR, insgesamt 47.400 EUR, von ihrem Bankkonto auf ihre Wallet. A* leitete die Klägerin sehr überzeugend an, diese Investitionen zu tätigen. Ihr ging es damals psychisch nicht gut weswegen ihr auch nicht auffiel, dass hier jemand Einsicht in ihr Konto nahm.
Am 24.8.2021, einen Tag nach der letzten Überweisung, bemerkte die Klägerin, dass in ihrer Wallet kein Verkaufsbutton mehr aufschien und keine Bitcoins mehr vorhanden waren. Sie kontaktierte daraufhin die Beklagte, welche ihr mitteilte, dass am 23.8.2021 einige Auszahlungen von ihrer Wallet stattgefunden hätten und sie daher kein Guthaben in der Wallet mehr habe. A* war in der Folge für die Beklagte nicht mehr telefonisch erreichbar.
Fest steht, dass eine D* eine andere bisher unbekannte Täter durch Installation der Remotedesktop-Software „AnyDesk“ insgesamt 1,1261592 Bitcoins im Investitionswert von 47.400 EUR von der Wallet der Klägerin auf die fremde externe Wallet-Adresse * überwiesen.
Nach Angabe der Beklagten erhält der Kunde bei beabsichtigtem Transfer von Bitcoins von seiner Wallet eine E-Mail an die von ihm bekanntgegebene E-Mail-Adresse. Der Kunde muss anschließend den Transfer freigebe. Eine solche E-Mail sah die Klägerin nicht.
Es kann nicht festgestellt werden, wie die konkrete technische Abwicklung des Transfers der Bitcoins im Detail erfolgte, ohne dass die Klägerin von diesem Kenntnis erlangte.
Die Klägerin begehrte von der Beklagten 47.400 Euro, da sie Opfer und Geschädigte der Straftat des schweren Betrugs sei. Es lägen von der Klägerin nicht autorisierte Zahlungsvorgänge vor, weswegen die Beklagte gem § 67 iVm § 65 ZaDiG 2018 den Betrag in Höhe der nicht autorisierten Zahlungsvorgänge iHv 47.400 EUR zu erstatten habe. In eventu machte die Klägerin Schadenersatz in dieser Höhe wegen unterlassener starker Kundenauthentifizierung geltend. Die Beklagte erbringe Dienstleistungen durch Subaufttragnehmer, nämlich Wertpapierdienstleistungen durch die B*Financial Services GmbH und Zahlungsdienstleistungen durch die B*Payments GmbH als Subauftragnehmerinnen, die eine Konzession für die Erbringung des Zahlungsgeschäftes gem § 1 Abs 2 Z 3 ZaDiG 2018 hat. Die „Transaktionen von A-Token bzw Bitcoins“, bezüglich welcher immer die Beklagte Vertragspartnerin der Klägerin sei, werde von jener offenbar über die B*Payments GmbH abgewickelt, welcher über eine „Konzessionsgenehmigung gem § 1 ZaDiG 2018“ verfüge. Die Beklagte erkläre, präsentiere und bewerbe "auf der Startseite der Homepage“ unter mehrfachem Hinweis auf die PSD II das Investment ihrer Kunden als "reguliert“ und "sicher“ und bezeichne sich auf ihrer Homepage selbst als "stolzer PSD II-Zahlungsdienstleister“. Sowohl in den AGB der Beklagten (die der Klägerin nie zugekommen seien) als auch in den der Klägerin übermittelten AGB der B* Payments GmbH (in denen von einer Zwei-Faktor-Authentifizierung keine Rede sei) würden Wallets als Unterkonten zum Kundenkonto bezeichnet.
Das Erstgericht wies die Klage ab, da Bitcoins keine Geldbeträge im Sinne des ZaDiG 2018 seien und nicht unter dessen Anwendungsbereich fielen. Das Berufungsgericht bestätigte die Klagsabweisung, da Bitcoins kein E-Geld iSd § 1 E-GeldG 2010, sowie kein Geldbetrag gem § 4 Z 24 ZaDiG 2018 seien und ihr Transfer kein Zahlungsvorgang nach § 4 Z 5 ZaDiG 2018 wären. Die entsprechenden Bestimmungen des ZaDiG 2018, wie § 67 oder § 68 Abs 5 und 87 ZaDiG 2018 sind laut dem Berufungsgericht nicht auf den Transfer von Bitcoins anwendbar.
Der OGH entschied wie folgt
Bitcoins sind unstrittig ein im Rechenwege durch eine Computerleistung erzeugtes verschlüsseltes elektronisches Zahlensystem, das in einem für jeden zugänglichen Netzwerk verwaltet und gespeichert wird und das auf jedermann, der ebenfalls über ein internetfähiges Computersystem verfügt, übertragen werden kann. Der Bitcoin wird weder von einer Zentralbank oder einer öffentlichen Behörde ausgegeben, noch existiert im Netzwerk ein allgemein gültiger Emittent dieses als Ersatzwährung genutztes Zahlungssystems.
Das Vorliegen eines Zahlungsvorgangs, sowie eines Zahlungskontos setzt voraus, dass sie sich auf Geldbeträge, also Banknoten und Münzen, Giralgeld oder E-Geld beziehen.
Dass Bitcoins weder (auf eine gesetzliche Währung lautende) Banknoten und Münzen noch Giralgeld (als fällige Forderung gegen ein Kreditinstitut) sind, ist evident. Eine Kryptowährung, jedenfalls in der festgestellten Ausgestaltung von Bitcoins, entspricht aber auch schon nach dem klaren Wortlaut des § 1 Abs 1 E-GeldG 2010 nicht der dort getroffenen Definition von E-Geld, zumal sie gerade keinen in Form einer Forderung gegenüber einem der vom Gesetz definierten E-Geld-Emittenten gespeicherten monetären Wert repräsentiert.
Soweit die Klägerin die direkte Anwendung des ZaDiG 2018 (insbesondere dessen §§ 67, 87) fordert, ist ihr daher zu entgegnen, dass dies an der fehlenden Eigenschaft von Bitcoins als „Geld“ und dem folgend am Fehlen eines Zahlungsvorgangs und am Fehlen der Eigenschaft der Beklagten als Zahlungsdienstleister scheitert. Auf eine Bezeichnung eines „Wallets“ auch als „Unterkonto“ zum Kundenkonto kommt es damit nicht an.
Der OGH hielt zudem fest, dass aus den Aussagen auf der Website der Beklagten, die Investitionen seien reguliert und sicher, keine konkrete Selbstverpflichtung gerade der Beklagten zur Durchführung bestimmter vom Gesetz für Fallkonstellationen wie hier gerade nicht zwingend vorgesehener Sicherheitsmaßnahmen nicht ableitbar ist.
Nicht hinreichend bestimmte öffentliche Äußerungen sind aber weder geeignet, konkludent Teil einer Vereinbarung zu werden, noch können sie die Basis für einen ausreichenden Vertrauenstatbestand bilden, weil marktschreierische oder unbestimmte Aussagen auch nur ein nicht hinreichend konkretisiertes und daher nicht schutzwürdiges Vertrauen begründen könnten.
Der OGH verneinte auch die Anwendung der Grundsätze der gewährleistungsrechtlichen Bestimmungen des § 922 Abs 2 ABGB, weil öffentliche Äußerungen den Übergeber unter anderem dann nicht binden, wenn sie den Vertragsabschluss nicht beeinflusst haben konnten, was bei Unkenntnis des Übernehmers von der Äußerung anzusehen ist. Die Angaben der Beklagten für die Investitionen waren auch gar nicht ausschlaggebend, sohin für den Schaden auch nicht kausal, denn die Klägerin hat sich von einem ihr völlig unbekannten Fremden per Telefon für die Investition bei der Beklagten überzeugen lassen und diesem mittels Fernzugriffs ermöglicht, auf ihren Computer zuzugreifen und sich, so wie sie selbst, frei auf diesem zu bewegen.
Es kommen hier somit weder eine vertrauensrechtliche Erfüllungshaftung, noch eine schadensersatzrechtliche Haftung auf das Erfüllungsinteresse oder ein zurechenbarer Rechtsschein, welche auf eine rechtsgeschäftliche Willenserklärung der Beklagten im Sinne einer konkreten Selbstverpflichtung zur Durchführung einer starken Kundenauthentifizierung für nicht dem ZaDiG 2018 unterliegenden Transaktionen wie hier gegründet werden könnten, in Betracht.
Der OGH verneinte auch einen zum Vertragsrücktritt berechtigenden Irrtum der Klägerin über das von ihr abgeschlossene Geschäft. Dass die Klägerin den Vertrag nämlich nicht abgeschlossen hätte, wenn sie gewusst hätte, dass ihre Investition „nicht sicher“ sei, vermag dies nicht zu begründen, zumal die von der Klägerin vermissten Sicherheitsmaßnahmen weder durch Gesetz noch Vertrag vorgesehen waren und die Vorstellung über die Eigenschaft „sicher“ nach den Feststellungen auch nicht von der Beklagten veranlasst wurde.
Auch eine als culpa in contrahendo geltend gemachte Verletzung von vorvertraglichen Aufklärungspflichten durch die Beklagte scheidet damit als Haftungsgrundlage aus.
Auch der Hinweis der Klägerin auf § 2 UWG und die neuere Rechtsprechung des erkennenden Senats, wonach ein Verbraucher auch vor der durch das MoRUG II geänderten Rechtslage legitimiert ist, einen ihm verfolgten Anspruch auf Ersatz eines Vermögensschadens, der ihm als Verbraucher infolge einer unlauteren Geschäftspraktik eines Unternehmers (Irreführung) entstanden sein soll, geht ebenfalls ins Leere. Dem kommt nämlich als eigenständige Anspruchsgrundlage nur dann Bedeutung zu, wenn zwischen den Streitteilen – anders als hier – keine schuldrechtliche Sonderbeziehung besteht. Andererseits verneinte der OGH auch eine unlautere Geschäftspraktik, die bei der Klägerin zu einem Schaden geführt hätte.