Der Kläger hat ein Konto beim beklagten Kreditinstitut; er verwendet beim Electronic Banking TAC-SMS-Codes. Der Kläger wurde 2015 von einer Frau angerufen, die sich als Angestellte der Bekl ausgab. Sie forderte ihn auf, ihr aufgrund einer notwendigen Datenaktualisierung den ihm soeben per SMS übermittelten Code bekannt zu geben, was der tat. Das an den Kläger übermittelte TAC-SMS hatte den gleichen Inhalt wie auch die sonst üblichen TAC-SMS der Beklagten. Insbesondere enthielt es die letzten 11 Stellen der IBAN jenes Kontos, auf das die Überweisung letztlich erfolgte, einen Überweisungsbetrag von 12.880 EUR und den vierstelligen TAC-Code. Noch am selben Tag wurde vom Konto der Kl der Betrag von 12.880 EUR auf ein österreichisches Girokonto einer anderen Kreditanstalt der unbekannten Betrüger überwiesen.
Die Betrüger hatten sich zuvor entweder durch Installieren eines Schadprogramms auf eines der IT-Systeme des Klägers oder durch einen Phishing-Angriff Zugriff auf das System des Kl geschaffen und damit dessen Zugangsdaten erhalten. Auf das interne Rechen- und Informationssystem der Beklagten hatten die Betrüger keinen Zugriff erlangt.
§ 44 Abs 1 ZaDiG sieht eine verschuldensunabhängige Haftung des ZDL für Zahlungsvorgänge vor, die vom Zahler nicht autorisiert waren. In diesen Fällen hat der Zahler gegenüber dem ZDL einen Berichtigungs- oder Erstattungsanspruch. Bei schuldhafter Verletzung der den Zahler nach § 36 ZaDiG treffenden Sorgfaltspflichten kann er aber den nach § 44 Abs 1 ZaDiG bestehenden Berichtigungs- und Erstattungsanspruch (allenfalls ganz) verlieren. Im Fall einer bloß leicht fahrlässigen Verletzung dieser Sorgfaltspflichten ist die Haftung des Kunden auf EUR 150,-- beschränkt. Gemäß § 36 Abs 1 ZaDiG hat der ZDN ua unmittelbar nach Erhalt des Zahlungsinstruments alle ihm zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale und das Zahlungsinstrument vor einem unbefugten Zugriff zu schützen.
Ausgehend von einem maßgerechten Durchschnitts-Onlinebanker, der einem unbekannten Dritten die Sicherheitsmerkmale nicht mitteilen werde, weil er sich bewusst sei, dass die Weitergabe von personalisierten Sicherheitsmerkmalen an unbekannte Dritte mit der Gefahr einer missbräuchlichen Verwendung des damit verknüpften Bankkontos durch Betrüger verbunden sei, ist die rechtliche Beurteilung, der Kläger habe durch sein Handeln grob fahrlässig seine Sorgfaltspflichten verletzt, nicht korrekturbedürftig. Dass die telefonische Weitergabe eines TAC-Codes an eine unbekannte Person einen durch Betrug hervorgerufenen Schadenseintritt nicht bloß möglich, sondern geradezu wahrscheinlich macht, muss jeder mit dem Electronic Banking vertrauten Person alleine schon aus der medialen Berichterstattung und den zahlreichen, insbesondere im Bankenbereich üblichen Warnungen bewusst sein. Schon bei einem bloß kurzen Überfliegen des SMS hätte der Kläger leicht erkennen können, dass es sich nicht um eine Datenaktualisierung handelte, sondern um eine Überweisung. Einem maßgerechten Durchschnitts-Onlinebanker muss es höchst verdächtig erscheinen, wenn eine "Bankmitarbeiterin" Informationen von ihm erfahren möchte, die sie ihm laut eigener Aussage gerade selbst übermittelt habe und daher selbst darüber verfügen müsse.
OGH 24.7.2018, 9 Ob 48/18a
