Klauseln des Internetbanking-Schutzpakets der Unicredit unzulässig

Der Verein für Konsumenteninformation (VKI) klagte im Auftrag des Sozialministeriums die Unicredit Bank Austria AG wegen Klauseln in den Allgemeinen Geschäftsbedingungen für das Internetbanking Schutzpaket „JUST-IN-CASE“. Dieses Produkt soll Verbraucher im Internetbanking gegen finanzielle Schäden durch Internetkriminalität absichern. Dabei klärte die Bank aber nicht ausreichend darüber auf, wann die Kunden nach dem Gesetz ohnehin keine Haftung trifft. Das Handelsgericht Wien (HG) hat nun alle eingeklagten Klauseln als unzulässig beurteilt. Das Urteil ist nur teilweise rechtskräftig, da die Beklagte zu einer Klausel Berufung erhoben hat

Die Unicredit Bank Austria AG bewarb auf ihrer Website das Internetbanking Schutzpaket „JUST IN CASE“, das den Verbrauchern für gewisse Schadensfälle im Rahmen des Onlinebanking einen Versicherungsschutz, insbesondere für Phishing-Fälle bieten soll. Unter „Phishing“ werden betrügerische Angriffe Dritter verstanden, mit denen Verbrauchern Zahlungsdaten, wie zB PIN und TAN herausgelockt werden, um damit in weiterer Folge missbräuchliche Zahlungsvorgänge vorzunehmen.

Zwischen der beklagten Partei und der – hinter dem Versicherungsprodukt stehenden- Versicherung besteht ein (Gruppen)Versicherungsvertrag, dem Kunden der beklagten Partei als Versicherungsnehmer beitreten können. Die beklagte Partei ist Gruppenführer. Den Beitritt zum Versicherungsvertrag bietet die beklagte Partei ihren Kunden unter den auf der Homepage verlinkten Bedingungen an. Ein Teil dieser Bedingungen ist Gegenstand dieser Verbandsklage.

Das HG Wien erkannte folgende Klauseln als unzulässig:

Klausel 1

Versicherungsschutz besteht für alle privat im Internetbanking genutzten Konten, Sparkonten, Wertpapierdepots inklusive der zugehörigen Verrechnungskonten („Produkte") des beigetretenen Produkt-Inhabers und beginnt sofort nach Unterfertigung der Beitrittserklärung oder Zeichnung via TAN.

iVm

Versicherungsschutz für die Produkte besteht auch, wenn der Versicherungsfall grob fahrlässig herbeigeführt wurde, sei es durch den beigetretenen Produkt-Inhaber selbst, andere Produkt-Inhaber oder Produkt-Zeichnungsberechtigte im Zuge der Nutzung ihres jeweiligen Internetbankings.

iVm

Grobfahrlässig ist z.B. die vollständige Weitergabe von PIN und TAN am Telefon oder die Eingabe von Verfügernummer und persönlichen Daten auf einer Phishing Website.

iVm

Versicherungsschutz besteht

• bei Phishing, wenn der beigetretene Produkt-Inhaber selbst, andere Produkt- Inhaber oder Produkt- Zeichnungsberechtigte einen Laptop/PC, ein sonstiges mobiles Endgerät oder ein anderes internetfähiges Endgerät (TV, Spielekonsole, Set-Top-Box, etc.) verwendet haben, oder durch Schadsoftware, die auf einem dieser Geräte eingesetzt wurde, die Zugangsdaten und Autorisierungsdaten des beigetretenen Produkt-Inhabers selbst, anderer Produkt-Inhaber

oder Produkt- Zeichnungsberechtigter z.B. die Verfügernummer, die persönliche Identifikationsnummer (PIN), die Transaktionsnummer (TAN), Fingerprint und alle zukünftig in der Bank Austria verwendeten Zugangs- und Autorisierungsmethoden, ausgespäht und danach missbräuchlich verwendet wurden und wenn

• dies zu einem Schaden in den Produkten des beigetretenen Produkt-Inhabers geführt hat. iVmDie maximale Entschädigung pro Versicherungsfall beträgt: €50.000,-.

Das Gericht führte zum Hauptunterlassungsbegehren aus:

Die klagende Partei hat ein Hauptunterlassungsbegehren formuliert, in dem einzelne Klauseln der AGB mit der Wortfolge „in Verbindung mit“ verbunden wurden. Damit bringt die klagende Partei zum Ausdruck, dass sie all diese Klauseln in ihrem Zusammenwirken für rechtswidrig hält. Maßgeblich für die Qualifikation als Klausel ist nicht die Gliederung des Klauselwerks. Es können auch zwei unabhängige Regelungen in einem Punkt oder sogar in einem Satz der Allgemeinen Geschäftsbedingungen enthalten sein. Es kommt nach der Rechtsprechung darauf an, ob ein materiell eigenständiger Regelungsbereich vorliegt. Dies ist dann der Fall, wenn die Bestimmungen isoliert voneinander wahrgenommen werden können (vgl RS0121187). Dementsprechend können aber auch mehrere Regelungen zu einer Klausel zusammen verbunden werden, wenn eine isolierte Betrachtung nicht möglich ist. Dies trifft auf den gegenständlichen Fall zu. Das Begehren ist damit hinreichend bestimmt. Ob es zu Recht besteht, ist davon getrennt zu beurteilen (vgl RS0037518) führte das HG Wien aus.

Das HG Wien teilte weiters mit, dass die hier inkriminierten Klauseln die Umschreibung des Versicherungsschutzes umfassen, ebenso wie die Definition des Schadenseintritts und einen Entschädigungshöchstbetrag, wobei all dies die Hauptleistung betrifft. Daher scheidet ein Verstoß gegen § 879 Abs 3 ABGB aus.

Das HG Wien beurteilte die Klauseln aber als intransparent gem § 6 Abs 3 KSchG. Die Beklagte möchte gegenüber den Kunden in verschiedenen Rollen auftreten. Einerseits als Zahlungsdienstleister, womit aber im Verhältnis zum Kunden das Haftungsregime des § 68 ZaDiG 2018 zwingend zur Anwendung gelangt und andererseits auch als Agent einer Versicherung, als Versicherungsvertreiber und Gruppenspitze auf.  Dafür, dass die Beklagte bloß als Makler der Versicherung auftritt, bestand laut HG Wien kein Hinweis darauf. Ebenso bestand kein Hinweis darauf, dass zwischen der Beklagten als Versicherer und ihren Kunden als Versicherungsnehmer kein Versicherungsverhältnis vorliegen soll.  Die Beklagte tritt daher laut HG Wien als Versicherer auf, andernfalls wären die Bedingungen bereits von vornherein als intransparent zu beurteilen, weil dem Versicherungsnehmer dann sein Vertragspartner nicht klar erkennbar wäre. Laut HG Wien erkennt der Verbraucher nicht, dass die Beklagte nicht Versicherungsgeber sein soll.

Laut HG Wien bestehen auch Aufklärungspflichten gegenüber dem Verbraucher aus anderen Vertragsbeziehungen, insbesondere besteht zwischen dem, auf den klagsgegenständlichen Versicherungsbedingungen basierenden, Dauerschuldverhältnis und der Konto- bzw Depotvertragsbeziehung sowie der Vertragsbeziehung aus dem Zahlungsdienst eine so enge Verbindung, dass eine Aufklärungspflicht gerade zwingend vorgesehen ist (siehe § 48 Abs 1 Z 5d ZaDiG 2018). Denn immerhin bietet die Beklagte diesen Dauerschuldvertrag jenem Kundenkreis an, der ihren Zahlungsdienst in Anspruch nimmt, wie etwa Produkt-Inhaber von bei der Beklagten genutzten Produkten, wie Konten, Sparkonten, Wertpapierdepots inklusive der dazugehörigen Verrechnungskonten. Diese Produkte sollen vom Dauerschuldverhältnis umfasst sein und erfolgt der Beitritt dazu durch Nutzung des TAN-Systems, das erst durch Verwendung des Zahlungsdienstes überhaupt zugänglich wird. Aus diesen bestehenden Schuldverhältnissen heraus bestehen laut HG Wien Aufklärungspflichten, die durch das zusätzliche Angebot des Versicherungsschutzes bloß ergänzt werden. Die fehlende Aufklärung führt zur Intransparenz.

Der durchschnittliche Versicherungsnehmer müsste laut dem Verständnis der Beklagten erkennen, dass mehrere Haftungsregime mit unterschiedlichen Vertragsbestimmungen nebeneinander bestehen, wobei dies vom HG Wien verneint wurde. Eine klare und verlässliche Auskunft über seine Rechtsposition erhält der Versicherungsnehmer ohne diese Informationen aber nicht, sondern es wird dem angesprochenen Kunden vielmehr suggeriert, dass er Schadensrisiken trägt, obwohl diese laut ZaDiG gar nicht bei ihm bestehen, wodurch er aber über die tatsächliche Rechtslage getäuscht werden kann.

Gegen diese Klausel hat die Beklagte Berufung eingelegt.

Klausel 2:

Ausschlüsse und Einschränkungen des VersicherungsschutzesDer Versicherungsschutz bezieht sich nicht auf Versicherungsfälle [...]

 (2) Die nicht den Strafverfolgungsbehörden angezeigt werden;

(3) wenn Online-Bezahlvorgänge durch den beigetretenen Produkt-Inhaber selbst, andere Produkt-Inhaber bzw. Produkt- Zeichnungsberechtigte auf öffentlich zugänglichen Geräten (z.B. Internetcafes, Hotellobbys) durchgeführt werden;

(4) die aufgrund Kriegsereignissen jeder Art, mit oder ohne Kriegserklärung, einschließlich aller Gewalthandlungen von Staaten und aller Gewalthandlungen politischer oder terroristischer Organisationen entstanden sind.

Punkt 2 der gegenständlichen Klausel nimmt nicht von Anfang an einen Gefahrenumstand von den versicherten Gefahren aus, sondern es begründet erst das Verhalten des Versicherten nach dem Versicherungsfall die Leistungsfreiheit, womit aber eine Obliegenheit vorliegt, die nach § 6 Abs 3 VersVG zu beurteilen ist. Ein genereller Ausschluss vom Versicherungsschutz ohne Hinweis auf § 6 Abs 3 VersVG ist aber intransparent, weil der Versicherte nicht darüber aufgeklärt wird, dass ihm der Nachweis des leicht fahrlässigen Handelns bei dieser Obliegenheitsverletzung möglich ist.

Die Klausel ist aber auch gröblich benachteiligend gem § 879 Abs 3 ABGB, weil der Versicherer im Falle einer Leistungsfreiheit nach § 6 Abs 3 VersVG zumindest dartun muss, welche sachdienlichen Aufklärungen durch die Obliegenheitsverletzung verhindert worden sein könnten (7 Ob 19/92).  Welche sachdienlichen Informationen die Beklagte durch die geforderte Anzeige bei der Strafverfolgungsbehörde erlangen könnte, die sie nicht auch durch ihre eigene Anzeige erlangen würde, wird nicht dargestellt (vgl 8 Ob 24/18i).

Punkt 3 sieht eine Leistungsfreiheit für den Schadensfall vor, wenn Online-Bezahlvorgänge an öffentlich zugänglichen Geräten durchgeführt werden, womit dem Versicherten aber im Vorhinein die Pflicht auferlegt wird, keinen Online-Bezahlvorgänge auf öffentlich zugänglichen Geräten durchzuführen. Diese Pflichtverletzung führt im Schadensfall zur Leistungsfreiheit. Die Darstellung der Obliegenheit klärt nicht über die nach § 6 VersVG bestehende Rechtslage auf und ist daher intransparent gem § 6 Abs 3 KSchG.

Die Obliegenheit in dieser Form ist aber auch als gröblich benachteiligend gem § 879 Abs 3 ABGB zu sehen, weil sie keiner zeitlichen oder örtlichen Beschränkung unterliegt und keine Kausalität zwischen der – eventuell schon lange Zeit zurückliegenden- Nutzung eines öffentlich zugänglichen Geräts und dem Phishingangriff bestehen muss.

Punkt 4 wiederum ist als Risikoeinschränkung zu sehen, weil es hier nicht auf ein schuldhaftes, pflichtwidriges Verhalten des Versicherungsnehmers ankommt. Die Klausel ist jedoch völlig unbestimmt und damit intransparent gem § 6 Abs 3 KSchG. Unklar bleibt das Verständnis der „Gewalthandlung“ im Zusammenhang mit dem durch Phishing ausgelösten Schadensfall, ebenso, wie der Kreis derer, die solche Gewalthandlungen vollziehen. Unklar bleibt auch wie die politische Organisation zu verstehen ist.

Gegen diese Klausel hat die Beklagte keine Berufung eingelegt.

Klausel 3. (vormals 4.)

Die Bank Austria behält sich den Ausschluss des Produkt-Inhabers aus der Just-in-Case vor wenn [...]

• bei wiederholtem schadenverursachenden und sorglosen Verhalten des Produkt-Inhabers, anderer Produkt-Inhaber oder Produkt-Zeichnungsberechtigten.

Bei dieser Klausel erkannte das Gericht einen Verstoß gegen § 864a ABGB, weil sie sich am Ende der zweiten Seite der AGB befindet, durch einen Absatz getrennt von der vorangegangenen Information, dass die Beklagte ihrerseits Informationen ausschließlich über das Internetbanking erteilt. Davor wiederum sind eine Indexanpassungsklausel, eine Entgeltklausel und Klauseln über Beginn und Kündigungsmöglichkeiten des Versicherungsvertrags unter der Überschrift „Dauer der Versicherung- Entgeltzahlung“. Denklogisch wäre es laut HG Wien, die inkriminierte Klausel unter dem ersten Absatz, der sich mit Beginn und Beendigung durch Kündigung des Vertrags befasst, anzuführen. So aber findet sich die Klausel im Teil Entgeltzahlung, womit der Vertragspartner nicht zu rechnen braucht. Ob die Klausel objektiv ungewöhnlich ist, ist anhand deren Inhalts zu beurteilen.

Dem ersten Teil des Absatzes ist zu entnehmen, dass gegenständliches Vertragsverhältnis ein Gruppenversicherungsvertrag zwischen der Beklagten und einer Versicherung ist. Der durchschnittliche Versicherungsnehmer erkennt –auch wenn das Wort Ausschluss im Versicherungsvertragsrecht meistens einen Risikoausschluss meint- dass es sich dabei um ein Recht der Beklagten handelt, das Versicherungsvertragsverhältnis zu beenden. Demgegenüber ergeben sich die rechtlichen Folgen dieses Ausschlusses in Bezug auf bereits eingetretene und angezeigte Schadensfälle für den typischen Versicherungsnehmer nicht. Auch wie konkret das sorglose Verhalten des Produktinhabers bzw Dritter zu verstehen ist, ergibt sich für ihn ebenfalls nicht.

Laut Beklagtenvorbringen soll die inkriminierte Klausel § 96 VersVG nicht berühren. Die Klausel stellt  somit eine zusätzliche Vertragsbeendigungsmöglichkeit für die Beklagte dar, die keines Eintritts eines Versicherungsfalles bedarf, sondern nur wiederholtes schadensverursachendes und sorgloses Verhalten voraussetzt. Da ein zusätzliches Vertragsbeendigungsrecht der Beklagten vorgesehen ist und die Voraussetzungen für die Nutzung dieses Rechts und die Folgen jedoch unklar sind, ist diese Klausel intransparent gem § 6 Abs 3 KSchG. Der durchschnittliche Versicherungsnehmer muss aber nicht mit einer intransparenten Klausel rechnen, weswegen sie auch gegen § 864a ABGB verstößt.

Gegen diese Klausel hat die Beklagte keine Berufung eingelegt.

4. (vormals 5.)

Im Betrugsverdacht/ bzw. im Schadensfall wenden Sie sich an: - [...]- Anzeige bei der Polizei.Ein Schadensfall ist umgehend an obige Stellen zu melden. 

Gegenständliche Klausel ist intransparent gem § 6 Abs 3 KSchG (siehe auch 8 Ob 24/18i und 8 Ob 128/17g), weil in Klausel 4 vorgesehen ist, dass der Kunde bei Vertragsverdacht bzw Schadensfall umgehend Anzeige bei der Polizei erstatten muss. Aus der Klausel ergibt sich für den Verbraucher aber nicht klar, ob hier die Meldung an die Internetbanking Hotline, die 24h Service Line oder die Anzeige bei der Polizei oder überhaupt mehrfach vorgenommen werden muss, wobei die Intransparenz vor allem durch das Wort „oder“  zwischen dem Bullet Point 1 und 2 entsteht und auch die Verwendung des Plurals im Schlusssatz zu keiner hinreichenden Aufklärung führt.

Wenn der Kunde einen Betrugsverdacht bzw Schadensfall bei einer der von der Beklagten betriebenen Hotline oder auch beiden meldet, er aber keine Anzeige bei der Polizei erstattet, so soll nach dem Willen der Beklagten aber ein Ausschluss bzw eine Einschränkung des Versicherungsschutzes greifen (Klausel 2 Bullet Point 2). Warum die Beklagte zwei unterschiedliche Begriffe (Strafverfolgungsbehörden und Polizei) verwendet und ob sich daraus unterschiedliche Rechtsfolgen ableiten, ergibt sich aus den AGB nicht.

Gegen diese Klausel hat die Beklagte keine Berufung eingelegt.

 

Das Urteil ist nicht vollständig rechtskräftig (Stand 18.03.21)

HG Wien, 08.02.2021, 58 Cg 48/20x

Klagsvertreter: Dr. Stefan LANGER, Rechtsanwalt in Wien

Zum News.

Anmerkung: Zu nachfolgender Klausel liegt bereits ein Teilanerkenntnisurteil vor, weil die Beklagte den Teilanspruch der klagenden Partei anerkannt hat:

Falls auf Grund mangelnder Deckung des Kontos oder anderer Gründe kein Just-In-Case-Entgelt bezahlt wird, besteht kein Versicherungsschutz.

Diesen Beitrag teilen

unterstützt durch das

Sozialministerium
DATENSCHUTZ IST UNS WICHTIG!

Bitte erteilen Sie uns die Zustimmung, Ihre Daten zur internen Analyse zu verwenden. Wir geben Ihre Daten nicht weiter. Lesen Sie auch unsere Datenschutz-Erklärung.