Spruch:
Der Revision wird Folge gegeben.
Die Entscheidung des Berufungsgerichts wird dahin abgeändert, dass ‑ unter Berücksichtigung der mangels Anfechtung bereits in Rechtskraft erwachsenen teilweisen Klageabweisung ‑ das Ersturteil einschließlich der Kostenentscheidung wiederhergestellt wird.
Die klagende Partei ist schuldig, der beklagten Partei die mit 2.041,56 EUR bestimmten Kosten des Berufungsverfahrens (darin enthalten 340,26 EUR USt) und die mit 2.345,04 EUR bestimmten Kosten des Revisionsverfahrens (darin enthalten 174,84 EUR USt und 1.296 EUR Barauslagen) binnen 14 Tagen zu Handen des Beklagtenvertreters zu ersetzen.
Text
Entscheidungsgründe:
Die klagende Partei betreibt ein Gastlokal, das beklagte Bankunternehmen ist im Kreditkartengeschäft tätig. Im Juni 2010 gelang es einem Gast der klagenden Partei, in betrügerischer Absicht mehrfach Konsumationen mittels Kreditkarte zu begleichen, ohne dass eine Kontodeckung bestand. Die daraufhin erfolgten Rückbuchungen der ursprünglichen Gutschriften auf dem Verrechnungskonto der klagenden Partei in Höhe von (eingeschränkt) 25.660,13 EUR sind Gegenstand des vorliegenden Verfahrens. Die beklagte Partei begründete die Rückbuchungen damit, dass die klagende Partei einen Verstoß gegen die ihr obliegenden Sorgfaltspflichten im Sinne des Punktes 6 (IX) der auf das Vertragsverhältnis zur Anwendung gelangenden Allgemeinen Geschäftsbedingungen zu verantworten habe und daher keine Zahlungsgarantie gegeben sei.
Die klagende Partei brachte im Wesentlichen vor, es sei dem Karteninhaber gelungen, einen gravierenden Fehler im Sicherheitssystem der beklagten Bank auszunutzen. Bei Zahlungen, welche über das online-Terminal erfolgen, könne der Bediener aufgefordert werden, telefonisch vom Kreditkartenunternehmen einen sogenannten „Freigabecode“ anzufordern, welcher die Zahlung autorisiere und den Ausdruck des Zahlungsbelegs möglich mache. Diese Sicherungsmaßnahme könne aber durch Eingabe jedes beliebigen Zahlungscodes (somit eines „Phantasiecodes“) umgangen werden. Dieser Umstand sei den Mitarbeitern der klagenden Partei nicht bekannt gewesen. Obwohl die klagende Partei mit einer derart eklatanten Sicherheitslücke nicht habe rechnen müssen, sei sie von der beklagten Partei darüber nicht informiert worden. Der Karteninhaber habe diese eklatante Sicherheitslücke zur Durchführung seines Betrugs ausgenützt, indem er die Mitarbeiter der klagenden Partei während des Zahlungsvorgangs abgelenkt habe. So habe er den beliebigen Code eingegeben und danach auf den ausgedruckten Zahlungsbelegen unterschrieben, wobei auf den Zahlungsbelegen jeweils der Vermerk „Zahlung erfolgt“ aufgeschienen sei. Weil die Bestätigung „Zahlung erfolgt“ aus sämtlichen Belegen zu entnehmen gewesen sei, habe für die Mitarbeiter der klagenden Partei keinerlei Verdacht bestanden. Außerdem habe sich ein Mitarbeiter zuvor noch bei der beklagten Partei telefonisch erkundigt, ob bei höheren Beträgen etwas Besonderes zu beachten sei. Dies sei verneint worden. Die Mitarbeiter seien nicht verpflichtet gewesen, das online-Terminal während der Transaktion die ganze Zeit über im Auge zu behalten, sei doch nicht damit zu rechnen gewesen, dass die Eingabe auch eines „Phantasiecodes“ eine bestehende Transaktionssperre aufheben könne. Ein Verstoß gegen die Abwicklungsrichtlinien sei deshalb nicht gegeben. Entgegen der Darstellung der beklagten Partei sei in den AGB über die Akzeptanz von Zahlungskarten keine entsprechende Bestimmung enthalten. Im Gegenteil sei zu Pkt 3.2. der AGB ausgeführt, der Vertragspartner habe sicherzustellen, dass dem Karteninhaber eine vertrauliche Eingabe des PIN-Codes möglich sei. Ein Online-Genehmigungssystem, das die Genehmigung offenbar nicht online prüfe, bzw dessen Umgehung derart simpel möglich sei, sei nach jedem Mindestqualitätsstandard als technisch nicht einsatzfähig zu beurteilen. Die Zurverfügungstellung dieses Genehmigungssystems begründe jedenfalls grobe Fahrlässigkeit. Für Schäden, die sie oder ihre Erfüllungsgehilfen grob fahrlässig verursacht haben, bestehe gemäß Pkt 14 der AGB die Haftung der beklagten Partei. Neben der vertraglichen Verpflichtung hafte die beklagte Partei auch aus dem Titel des Schadenersatzes.
Die beklagte Partei bestritt ihre Haftung für die strittigen Transaktionen. Es lägen betrügerische Manipulationen vor, welche der beklagten Partei nicht vorgeworfen werden könnten. Die von der klagenden Partei behauptete Sicherheitslücke bestehe nicht. Zu berücksichtigen sei, dass Kartenverträge betragliche Limits beinhalten. Werde eine Transaktion mit einem das Limit übersteigenden Betrag begonnen, so könne die Transaktion nach Rücksprache mit der kartenausgebenden Bank genehmigt werden. Eine solche Genehmigung werde von der kartenausgebenden Bank nur bei gegebener Bonität des Karteninhabers erteilt. Gemäß dem auf das Vertragsverhältnis anzuwendenden Akzeptanzvertrag dürfe das online-Terminal dem Kunden gar nicht ausgehändigt werden. Der Mitarbeiter der klagenden Partei hätte die ihm vom Kunden übergebene Karte in das Terminal einzustecken gehabt und hätte dann die auf dem display erscheinenden weiteren Anweisungen abwarten müssen. Wäre die Anweisung „bitte anrufen“ aufgeschienen, hätte der Mitarbeiter telefonisch Rücksprache mit der kartenausgebenden Bank halten müssen, ob die Transaktion genehmigt werde. Der Umstand der Genehmigung werde durch Vergabe einer Genehmigungsnummer dokumentiert. Nach dem eigenen Vorbringen der klagenden Partei sei dem fraudulosen Kartenvorleger das online-Terminal aber entgegen den Bestimmungen des Akzeptanzvertrags zur Bedienung überlassen worden. Damit sei diesem erst die Möglichkeit gegeben worden, die Aufforderung zur telefonischen Rücksprache vor dem Mitarbeiter der klagenden Partei zu verbergen und in betrügerischer Absicht einen erfundenen Genehmigungscode frei einzugeben. Die klagende Partei habe daher selbst der missbräuchlichen Verwendung des Terminals Vorschub geleistet. Sie sei an den rechtskräftig verurteilten Kartenvorleger oder an ihre eigenen Dienstnehmer zu verweisen. Dass auch die Eingabe eines frei erfundenen „Genehmigungscodes“ geeignet sei, den Ausdruck des Zahlungsbelegs zu bewirken, sei durch ‑ im Einzelnen näher ausgeführte - technische Gegebenheiten bedingt.
Das Erstgericht wies das Klagebegehren ab.
Es stellte ‑ soweit für das Revisionsverfahren wesentlich ‑ fest:
„Die Sicherheitsmerkmale und Abwicklungsrichtlinien der Beklagten, deren Kenntnis und Erhalt die Klägerin anlässlich des Abschlusses des Vertrags bestätigte, lauten auszugsweise wie folgt:
'Befolgen Sie bitte die Anweisungen zu den nachstehend angeführten Rückmeldungen:
Der Ablauf gestaltet sich wie folgt:
- Der/Die Karteninhaber/in überreicht Ihnen seine/ihre Karte. Überprüfen Sie die vorgesehenen Sicherheitsmerkmale der Karte....
- Stecken Sie die Karte in den Kartenleser des Terminals und geben sie die gewünschten Daten gemäß der Anzeige am Terminal ein.
'Bitte anrufen' ...
Holen sie beim 24h-Genehmigungsservice unter der Telefonnummer … eine Autorisierung ein. Wird die Autorisierung erteilt, führen Sie bitte den Geschäftsfall „Kauf nach Autorisierung“ mit dem erhaltenen Genehmigungscode durch. Wird die Autorisierung nicht erteilt, darf die Transaktion nicht getätigt werden und ist die Karte dem/der Karteninhaber/in wieder auszuhändigen ...“
Lediglich in dem ‑ nicht klagsgegenständlichen ‑ Fall, dass vom Karteninhaber ein PIN-Code einzugeben ist (was von der kartenausgebenden Bank abhängt), ist das Terminal zum Karteninhaber zu wenden, um diesem die Eingabe des PIN-Codes zu ermöglichen. In diesen Fällen ist laut den Sicherheitsmerkmalen und Abwicklungsrichtlinien jedoch keine Unterschrift des Karteninhabers erforderlich.
Die Allgemeinen Geschäftsbedingungen der beklagten Partei über die Akzeptanz von Zahlungskarten lauten auszugsweise wie folgt;
„... 1. Begriffsbestimmungen
... 1.7. Abwicklungsrichtlinien sind vom Vertragsunternehmen zu beachtende sicherheitsrelevante Regeln einer Transaktionsabwicklung und beschreiben die für bargeldlose Zahlungen mit Karten erforderlichen Sorgfaltsmaßstab ...
3. Verwendung eines Terminals
... 3.2. Das Vertragsunternehmen hat insbesondere darauf zu achten, dass das Terminal derart aufgestellt ist, dass dem Karteninhaber eine vertrauliche Eingabe der PIN möglich ist, die auf dem Beleg ausgedruckten Kartendaten mit jenen allenfalls auf der Karte verfügbaren übereinstimmen, die Karte erst nach Abschluss der Transaktion an den Karteninhaber zurückgegeben wird und die Bestätigung der Transaktion entsprechend den Anweisungen des Terminals (Unterschrift oder PIN) erfolgt.
6. Zahlungsgarantie
... [die Beklagte] verpflichtet sich, vorbehaltlich der unter Punkt 9 genannten Rückbelastungsrechte, zur Zahlung des vom Karteninhaber geschuldeten Entgelts, unter der Voraussetzung, dass …
(IX) nicht sonstige Verstöße gegen die Bestimmungen des Akzeptanzvertrags und/oder Abwicklungsrichtlinien vorliegen. ...
9. Reklamationen
... 9.3. c***** [die beklagte Partei] ist uneingeschränkt berechtigt, für geleistete Zahlungen eine Rückbelastung vorzunehmen, wenn die Zahlungsgarantie gem. Punkt 6, […] nicht besteht oder wegfällt [...]
14. Haftung
14.1. c***** [die beklagte Partei] haftet dem Vertragsunternehmen für Schäden, die sie oder ihre Erfüllungsgehilfen vorsätzlich oder grob fahrlässig verursacht haben. Ein Ersatz für Schäden des Vertragsunternehmens wegen leichter Fahrlässigkeit, mit Ausnahme von Personenschäden, ist ausgeschlossen, Das gilt auch für einen entgangenen Gewinn. Das Vertragsunternehmen ist gemäß § 1304 ABGB zur Schadensminderung verpflichtet.“
Die Allgemeinen Geschäftsbedingungen der beklagten Partei über den Leihvertrag lauten auszugsweise wie folgt:
... Weiters hat das Vertragsunternehmen für die Sicherheit des Terminals und PIN-Pads und des Terminalbetriebs, insbesondere vor Missbrauch einer vom Akzeptanzvertrag nicht umfassten Verwendung und vor unberechtigten Eingriffen Dritter zu sorgen ...
Die klagende Partei erstellte für ihre Mitarbeiter intern eine Bedienungsanleitung für die online-Terminals. Die Mitarbeiter wurden nicht darauf hingewiesen, dass sie sich an die im Unternehmen aufliegenden Sicherheitsmerkmale und Abwicklungsrichtlinien der beklagten Partei halten hätten sollen. Das online-Terminal wurde bei jeder Transaktion an den Kunden übergeben, selbst wenn kein PIN-Code einzugeben war. Auch bei den klagsgegenständlichen Zahlungsvorgängen händigte ein Mitarbeiter der klagenden Partei dem Karteninhaber jeweils das Terminal zum Zwecke der Durchführung der Kreditkartentransaktion aus. Nach dem Einstecken der Karte erschien am Terminal der Hinweis „Bitte Anrufen“ bzw „refer to issuer“. Nunmehr wäre telefonisch bei der beklagten Partei ein mehrstelliger Genehmigungscode einzuholen gewesen („Autorisierung“), der nur bei entsprechender Bonität des Karteninhabers vergeben worden wäre. Ein derartiger Telefonanruf unterblieb. Vielmehr gab der Karteninhaber selbst einen von ihm erfundenen Genehmigungscode in das Terminal ein, wodurch auf dem daraufhin ausgedruckten Beleg der Vermerk „Zahlung erfolgt“ aufschien. Der Vermerk „Zahlung erfolgt“ scheint auf dem Beleg (systemimmanent) unabhängig davon auf, ob der (allenfalls) von der Beklagten bekanntgegebene Genehmigungscode oder ein frei erfundener Genehmigungscode eingetippt wird.
Im Hinblick darauf, dass der Karteninhaber bereits am 2. 6. 2010 höhere Konsumationen mittels VISA‑Kreditkarte bezahlt und eine Reservierung für eine wenige Tage später stattfindende große Feier vorgenommen hatte, erkundigte sich einer der Mitarbeiter der Klägerin bei der beklagten Partei, ob bei einer Abbuchung von mehreren tausend Euro „irgend etwas Besonderes zu berücksichtigen sei“. Er erhielt die Auskunft, es sei diesbezüglich nichts zu berücksichtigen. Sobald der Beleg gedruckt und die Abbuchung durchgeführt worden sei, sei die klagende Partei „auf der sicheren Seite“.
Der Karteninhaber wurde mittlerweile vom Landesgericht für Strafsachen Wien rechtskräftig verurteilt; ihm wurde die Zahlung des Klagsbetrags an die klagende Partei als Privatbeteiligte auferlegt. Infolge Mittellosigkeit des Karteninhabers erhielt die klagende Partei von diesem bisher keinerlei Ersatz.“
Rechtlich ging das Erstgericht davon aus, den Mitarbeitern der klagenden Partei sei infolge Ausfolgung des Terminals an den Karteninhaber eine grobe Vertragsverletzung zur Last zu legen, die die Zahlungsgarantie ausschließe. Das zwischen den Streitteilen bestehende Vertragswerk sehe eine genau festgelegte Vorgangsweise vor, um Missbräuchen entgegenzuwirken. Die Praxis bei der klagenden Partei, das online-Terminal dem Karteninhaber auch bei Transaktionen zu übergeben, bei denen - wie im vorliegenden Fall - kein PIN‑Code einzugeben war, widerspreche in grober Art und Weise den zum Vertragsinhalt gewordenen Sicherheitsmerkmalen und Abwicklungsrichtlinien. Gemäß Punkt 6 der Allgemeinen Geschäftsbedingungen bestehe daher keine Zahlungsgarantie, die Rückbelastung sei gemäß Pkt 9.3. der AGB zu Recht vorgenommen worden. Vertragskonform hätte der Mitarbeiter der klagenden Partei über Aufforderung auf dem Display des online-Terminals den Genehmigungscode einholen müssen. Wäre die Autorisierung erteilt worden, hätte der Geschäftsfall „Kauf nach Autorisierung“ mit dem erteilten Genehmigungscode durchgeführt werden können. Wäre die Autorisierung nicht erteilt worden, so hätte die Transaktion nicht getätigt werden dürfen und wäre die Karte dem Gast wieder auszuhändigen gewesen. Bei der telefonisch erteilten Auskunft, das Vertragsunternehmen sei „auf der sicheren Seite“ sobald der Beleg gedruckt und die Abbuchung durchgeführt worden sei, habe der Mitarbeiter der beklagten Partei von der Annahme ausgehen können, dass sich das Vertragsunternehmen an die Sicherheits- und Abwicklungsrichtlinien der Beklagten halte. Wenngleich es sonderbar sei, dass das online-Terminal die Eingabe jedes beliebigen Codes akzeptiere, gestalte die beklagte Partei den Genehmigungsvorgang bewusst auf die geschilderte Weise aus, um Missbräuchen entgegenzuwirken. Ursächlich für den Schaden sei nicht die Ausgestaltung der Transaktion durch die beklagte Partei, sondern die mangelnde Einhaltung der vertraglichen Bestimmungen durch die Mitarbeiter der klagenden Partei.
Das Berufungsgericht gab der Berufung der klagenden Partei teilweise Folge. Es änderte das Ersturteil dahin ab, dass es der Klägerin 17.106,75 EUR sA zusprach und das Mehrbegehren von weiteren 8.553,38 EUR sA abwies. Rechtlich ging es davon aus, die von der Klägerin gehandhabte Praxis, bei Transaktionen das online-Terminal sogleich an den Gast auszuhändigen, habe den Abwicklungsrichtlinien widersprochen. Die Zahlungsgarantie gemäß Pkt 6 der AGB komme deshalb nicht zum Tragen. Wie die Berufungswerberin aber in ihrer Berufung vorbringe, habe es die beklagte Partei unterlassen, die technische Besonderheit ihres Systems bzw dessen gravierende Abweichung von den verkehrsüblichen Sicherheitserwartungen mündlich zu erläutern. Die Beklagte bürde ihren Vertragspartnern eine Vielzahl von Verhaltensrichtlinien auf, deren sicherheitsrelevante Sinnhaftigkeit teils evident sei, teils jedoch nicht ohne weiteres erkennbar sei. Naheliegenderweise sei nämlich zu erwarten, dass ausschließlich die Eingabe des von der Beklagten autorisierten Codes den Zahlungsvorgang ermögliche. Ohne Aufklärung darüber, dass das System auch einen „Phantasiecode“ akzeptiere, habe die beklagte Partei ins Kalkül ziehen müssen, dass ihren Vertragspartnern die Sinnhaftigkeit der (indirekten) Anweisung (... „Der Ablauf gestaltet sich wie folgt: Der/Die Karteninhaber/in überreicht Ihnen seine/ihre Karte ....“) unklar bleiben könnte. Da sinnlos erscheinende Regelungen vielfach Gefahr liefen, unbeachtet zu bleiben, sei deren strikte Befolgung ohne weitere Aufklärung nicht gewährleistet gewesen. Der beklagten Partei habe ferner klar sein müssen, dass das Verschweigen dieses atypischen Sicherheitsrisikos zu Schadensfällen in beträchtlicher Höhe führen könne, sobald kriminelle Kartenvorleger, die ‑ im Gegensatz zum Vertragspartner ‑ in Kenntnis der „Sicherheitslücke“ seien, diese bewusst ausnützen. Die beklagte Partei habe ein Missbrauchsrisiko infolge technischer Akzeptanz auch von „Phantasiecodes“ somit bewusst in Kauf genommen. Bei Abwägung des wechselseitigen Fehlverhaltens sei deshalb eine Verschuldensteilung von 2 : 1 zu Lasten der beklagten Partei vorzunehmen.
Das Berufungsgericht sprach aus, dass die Revision zulässig sei, weil keine oberstgerichtliche Rechtsprechung dazu bestehe, wie die Klausel Pkt 6 (IX) der Abwicklungsrichtlinien auszulegen sei, nämlich ob daraus ein die Zahlungsgarantie aufhebender Regelverstoß auch dann abzuleiten sei, wenn die Regel (Übergabe des Terminals an den Kunden zwingend erst nach Ablesen der Anzeige) als sicherheitstechnisch irrelevant erscheinen durfte.
Gegen diese Entscheidung erhob die beklagte Partei Revision.
Rechtliche Beurteilung
Die Revision der beklagten Partei ist zulässig und berechtigt.
Die Revisionswerberin bringt zusammengefasst vor, es liege eindeutig ein Verstoß gegen die vom Vertragsunternehmen (der klagenden Partei) zu beachtenden Abwicklungsrichtlinien vor, der die Zahlungsgarantie aufhebe. Schon aufgrund der einzuhaltenden Sorgfaltspflichten ergebe sich, dass die Verpflichtung zur Einholung des Genehmigungscodes keinen anderen Sinn haben könne, als bedenkliche Abläufe zu vermeiden. Werde das Terminal entgegen den Abwicklungsrichtlinien dem Karteninhaber überlassen, verliere das Vertragsunternehmen jede Kontrolle über den Abwicklungsvorgang. Dieser Umstand müsse nicht noch extra erläutert werden. Eine Verletzung der Aufklärungsverpflichtung bestehe nicht.
Dazu ist auszuführen:
1. Der typische Inhalt des Vertrags zwischen Kreditkartengesellschaft und Vertragsunternehmen besteht darin, dass sich das Vertragsunternehmen verpflichtet, bestimmte Geschäfte mit Kreditkarteninhabern abzuschließen und für die Inanspruchnahme seiner Leistungen nicht sofortige Bezahlung durch den Kreditkarteninhaber zu fordern, sondern zunächst Bezahlung von der Kreditkartengesellschaft zu verlangen, sofern der Karteninhaber eine gültige Karte vorweist, die Rechnung des Vertragsunternehmens unterfertigt und die Unterschriften auf Rechnung und Kreditkarte übereinstimmen. Die Unterfertigung der Rechnung des Vertragsunternehmens durch den Karteninhaber wird als konkrete Anweisung zur Zahlung an das Vertragsunternehmen gewertet (Ertl in Rummel ABGB³ § 1400 Rz 5), die aufgrund der durch die Kreditkartengesellschaft vorweggenommenen Annahme zugleich eine abstrakte Zahlungspflicht der Kreditkartengesellschaft gegenüber dem Vertragsunternehmen entstehen lässt (RIS-Justiz RS0121043; 10 Ob 54/04w = SZ 2005/87). Hat die Kreditkartengesellschaft die Forderung des Vertragsunternehmens (abzüglich des vereinbarten Disagios) beglichen, nimmt sie beim Kreditkarteninhaber Rückgriff.
2.1. Die Zahlungspflicht der Kreditkartenge-sellschaft ist insofern eingeschränkt, als sie nur besteht, wenn das Vertragsunternehmen bestimmte, in den Geschäftsbedingungen festgelegte „Sorgfaltspflichten“ bei Annahme der Kreditkarte einhält (RIS-Justiz RS0121043 [T1]). Zu diesen Sorgfaltspflichten gehören die Überprüfung der Unterschriften auf Zahlungsbeleg und Kreditkarte auf ihre Übereinstimmung, die Prüfung der Gültigkeitsdauer der Karte wie auch die Einholung einer Genehmigung der Kreditkartengesellschaft, wenn der Karteninhaber Umsätze tätigen will, die die vereinbarte Höchstgrenze (das Zahlungslimit) überschreiten (Vogel, Missbrauch von Kreditkarten aus zivilrechtlicher Sicht 88 ff [91]). Hat das Vertragsunternehmen seine in den AGB des Händlervertrags angeführten Sorgfaltspflichten erfüllt, trägt die Kreditkartengesellschaft das Risiko eines Missbrauchs der Kreditkarte durch Dritte (RIS-Justiz RS0121906; 10 Ob 54/04w = SZ 2005/87). Verhält sich das Vertragsunternehmen sorgfältig, ist die Kreditkartengesellschaft verpflichtet, auch den von einem nicht Berechtigten unterfertigten Rechnungsbelege zu honorieren und dem Vertragsunternehmen Zahlung zu leisten. Insofern ist die Pflicht der Kreditkartengesellschaft aus der Anweisungsannahme um eine Garantie für den Fall des Missbrauchs von gestohlenen oder abhanden gekommenen Kreditkarten ergänzt.
2.2. Ist der Vertragsunternehmer seinen vertraglichen Sorgfaltspflichten nicht nachgekommen, hat er es etwa unterlassen, die Übereinstimmung der Unterschriften entsprechend zu prüfen oder eine Rückfrage bei Überschreiten des Umsatzlimits vorzunehmen, oder hat er Umstände nicht beachtet, die ein begründetes Vertrauen auf den Anschein einer berechtigten Kreditkartenverwendung zerstören konnten, entsteht keine (abstrakte) Zahlungsverpflichtung der Kreditkartengesellschaft (RIS-Justiz RS0121906).
3. Im vorliegenden Fall wurde die Kreditkarte von einem an sich Berechtigten verwendet (wenngleich dessen Konto keine ausreichende Deckung aufwies), sodass die Kreditkartengesellschaft dem Karteninhaber aus einer wirksamen Anweisung verpflichtet sein könnte. Dennoch bedeutet dies nicht, dass zugleich mit der Anweisung des Karteninhabers immer auch eine (abstrakte) Zahlungsverpflichtung der Kreditkartengesellschaft gegenüber dem Vertragsunternehmen entsteht. Eine derartige Zahlungsverpflichtung hat die beklagte Partei in Pkt 6 der Allgemeinen Geschäftsbedingungen (AGB) vorweg nur für den Fall übernommen, dass das Vertragsunternehmen die in den AGB und den Abwicklungsrichtlinien festgehaltenen Sorgfaltspflichten erfüllt. Hält das Vertragsunternehmen die geschuldeten Sorgfaltspflichten nicht ein, so fehlen die vereinbarten Voraussetzungen für eine Annahme der Anweisung durch die beklagte Partei. Es entsteht auch keine (abstrakte) Zahlungsverpflichtung der beklagten Partei gegenüber der klagenden Partei (6 Ob 2/07y).
4.1. Im vorliegenden Fall ist demnach zu beurteilen, ob die Vorgangsweise der Mitarbeiter der klagenden Partei einen die Zahlungsgarantie aufhebenden Verstoß gegen die Bestimmungen des Akzeptanzvertrags bzw eine Verletzung der vertraglichen Sorgfaltspflichten darstellt:
Nach den Feststellungen sind PIN‑Code ‑ unterstützte Transaktionen von jenen Transaktionen zu unterscheiden, die den zusätzlichen Aufwand einer telefonischen Einholung eines Autorisierungscodes verlangen. Bei der PIN-gestützten Transaktion hat der Mitarbeiter des Vertragsunternehmens, nachdem ihm der Karteninhaber die Karte übergeben hat, diese in den Kartenleser des online-Terminal einzuführen. Es ist danach das Terminal dem Karteninhaber zu überlassen, dies aber lediglich, um ihm die PIN-Code‑Eingabe zu ermöglichen. Im gegenständlichen Fall sollte es aber gar keine PIN-Code unterstützte Transaktion geben, sondern eine solche mit Unterschriftsleistung. Für eine Transaktion wäre vorerst mangels ausreichender Kontodeckung (siehe die Aufforderung „Bitte anrufen“) vorerst eine Genehmigung (Autorisierung) einzuholen gewesen. Jedenfalls enthalten die Abwicklungsrichtlinien die Anweisung, dass die Karte vom Karteninhaber an einen Mitarbeiter des Vertragsunternehmens zu übergeben ist, der sie in das online-Terminal einzustecken und dann die Anweisungen ‑ gegebenenfalls auch die auf Einholung eines Genehmigungscodes lautende Anweisung ‑ zu befolgen hat. Eine Überlassung des online-Terminals an den Karteninhaber ist in diesem Fall eindeutig nicht vorgesehen.
4.2. Das Erstgericht hat festgestellt, dass im Betrieb der klagenden Partei dennoch die Praxis bestand, das online-Terminal dem Karteninhaber auch bei Transaktionen zu übergeben bzw auszuhändigen, bei denen überhaupt kein PIN‑Code einzugeben war. Diese Vorgangsweise widerspricht den in den Geschäftsbedingungen festgelegten Sorgfaltspflichten bei Annahme der Kreditkarte. Entsprechend den Abwicklungsrichtlinien wären die Mitarbeiter der klagenden Partei verpflichtet gewesen, auf die im Display des online-Terminals aufscheinende Anordnung des Rückrufs zu reagieren. Wäre aufgrund des Anrufs kein Genehmigungscode bekanntgegeben worden, wäre für sie klar gewesen, dass keine Zahlungsgarantie besteht, sodass die Transaktion abzubrechen und dem Kunden nur die Karte wieder auszufolgen gewesen wäre. Somit ist der klagenden Partei eine Vertragsverletzung zur Last zu legen, die die Zahlungsgarantie (Punkt 6 der Allgemeinen Geschäftsbedingungen) ausschließt.
5. Ein vereinbarungswidrig sorgloses Verhalten des Vertragsunternehmens im Verhältnis zur Kreditkartengesellschaft hätte nur dann keine konkreten Auswirkungen, wenn der Karteninhaber tatsächlich Zahlungen an die Kreditkartengesellschaft leistet; in diesem Fall könnte das Vertragsunternehmen die ausstehende Zahlung von der Kreditkartengesellschaft fordern (RIS-Justiz RS0121906 [T1]). Da hier davon auszugehen ist, dass der Karteninhaber keine Zahlungen an die Kreditkartengesellschaft geleistet hat, ist die Rückbelastung gemäß Punkt 9.3. der AGB zu Recht vorgenommen worden.
6.1. Wenngleich Ursache für den Entfall der Zahlungsgarantie bzw die Rückbelastung die Verletzung der Sorgfaltspflicht war, die im vertragswidrigen Ignorieren der Rückrufaufforderung besteht, liegt eine Sicherheitslücke darin, dass die Kartenzahlung technisch auch dann von statten geht, wenn ein anderer als der vom Kreditkartenunternehmen bekanntgegebene Genehmigungscode eingegeben wird. Soweit die klagende Partei vermeint, durch den Umstand, dass auch bei Eingabe eines „Phantasiecodes“ auf dem Zahlungsbeleg „Zahlung erfolgt“ aufscheine, sei bei ihr die Überzeugung hervorgerufen worden, das Kreditkartenunternehmen sei zur Zahlung des vom Karteninhaber geschuldeten Entgelts verpflichtet, ohne dass eine Rückbelastung erfolgen werde, ist auf Punkt 9 der AGB („Reklamationen“) zu verweisen. Nach dieser Bestimmung ist das Kreditkartenunternehmen uneingeschränkt berechtigt, für geleistete Zahlungen eine Rückbelastung vorzunehmen, wenn die Zahlungsgarantie gemäß Punkt 6 der AGB nicht besteht.
6.2. Auch eine die Haftung der beklagten Partei begründende Verletzung einer Aufklärungsverpflichtung ist zu verneinen.
Nach ständiger Rechtsprechung ist entscheidend, ob nach der Lage des Falls eine Aufklärungsnotwendigkeit besteht. Eine solche ist in der Regel nur dann anzunehmen, wenn der andere Teil nach den Grundsätzen des redlichen Verkehrs eine Aufklärung erwarten durfte (RIS-Justiz RS0111165). Von einem Kreditinstitut ist etwa zu fordern, dass es keine Vertragsgestaltung wählt, die das Ausmaß der Verpflichtungen [des Kunden] unklar lässt und damit zu Irrtümern Anlass gibt (RIS-Justiz RS0016182 [T1]).
Im vorliegenden Fall erachtete die klagende Partei das Ausmaß der sie treffenden Verpflichtungen als „unklar“, weil sie nicht auf die Gefahr hingewiesen worden sei, die dann entsteht, wenn ihre Mitarbeiter dem Karteninhaber das online-Terminal (entgegen den Abwicklungsrichtlinien) aushändigen und der Karteninhaber dadurch in die Lage versetzt wird, in betrügerischer Absicht eine allenfalls erforderliche Autorisierung durch Eingabe eines „Phantasiecodes“ zu umgehen. Diesem Standpunkt ist entgegenzuhalten, dass die Abwicklungsrichtlinien die eindeutige Anordnung enthalten, die Anweisungen zu den Rückmeldungen seien zu beachten, sich darin weiters der Hinweis findet, der Mitarbeiter des Vertragsunternehmens habe die Karte in den Kartenleser des Terminals einzustecken und im Fall der im Display aufscheinenden Anweisung „Bitte anrufen“ beim 24-Stunden-Genehmigungsservice telefonisch eine Autorisierung einzuholen. In Punkt 1.7. der AGB ist darüber hinaus klargestellt, dass die Abwicklungsrichtlinien vom Vertragsunternehmen zu beachtende „sicherheitsrelevante Regeln einer Transaktionsabwicklung“ darstellen und den „für die bargeldlosen Zahlungen mit Karten erforderlichen Sorgfaltsmaßstab“ beschreiben.
Nach den Grundsätzen des redlichen Verkehrs durfte die klagende Partei nicht erwarten, zusätzlich zu diesem Inhalt der Abwicklungsrichtlinien und der AGB noch ausdrücklich schriftlich oder mündlich darüber aufgeklärt zu werden, welche Gefahren sich für den (für die beklagte Partei nicht voraussehbaren) Fall ergeben könnten, dass sie selbst bzw ihre Mitarbeiter bei der Transaktionsabwicklung diese Regeln und Anweisungen systematisch missachtet und dadurch einem betrügerischen Karteninhaber die Umgehung der Autorisierung ermöglicht. Abgesehen davon, dass die beklagte Partei mit einem solchen Ablauf nicht rechnen musste, steht auch nicht fest, dass die Leute der klagenden Partei, die die Anrufaufforderung schlicht ignorierten, im Fall der Kenntnis der Anwendbarkeit eines Phantasiecodes ihr grob vertragswidriges Verhalten (grundsätzliches Aushändigen des online‑Terminals an den Karteninhaber) geändert hätten.
Der Revision war daher Folge zu geben und das Ersturteil samt der erstinstanzlichen Kostenentscheidung (§ 41 ZPO) wiederherzustellen.
Die Kostenentscheidung hinsichtlich des Berufungs- und des Revisionsverfahrens beruht auf den §§ 41, 50 ZPO. Eine Revision ist kein verfahrenseinleitender Schriftsatz, sodass der Erhöhungsbetrag nach § 23a RATG nur in Höhe von 1,80 EUR gebührt (2 Ob 49/09h; Obermaier, Kostenersatzrecht2, Rz 646).
Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)