OGH 2Ob107/08m

OGH2Ob107/08m19.2.2009

Der Oberste Gerichtshof hat als Revisionsgericht durch den Senatspräsidenten Dr. Baumann als Vorsitzenden und durch die Hofräte Dr. Veith, Dr. E. Sol, Dr. Schwarzenbacher und Dr. Nowotny als weitere Richter in der Rechtssache der klagenden Partei B***** AG, *****, vertreten durch Dr. Michaela Tulipan, Rechtsanwältin in Wien, gegen die beklagte Partei Sabine R*****, vertreten durch Stangl & Ferstl Rechtsanwaltspartnerschaft in Wiener Neustadt, wegen 8.756,63 EUR sA, über die Revision der beklagten Partei gegen das Urteil des Landesgerichts Wiener Neustadt als Berufungsgericht vom 30. Jänner 2008, GZ 17 R 378/07w-19, womit infolge Berufung der beklagten Partei das Urteil des Bezirksgerichts Wiener Neustadt vom 31. August 2007, GZ 7 C 45/07v-14, bestätigt wurde, in nichtöffentlicher Sitzung zu Recht erkannt:

 

Spruch:

Der Revision wird nicht Folge gegeben.

Die beklagte Partei ist schuldig, der klagenden Partei die mit 742,27 EUR (darin 123,71 EUR USt) bestimmten Kosten des Revisionsverfahrens binnen 14 Tagen zu ersetzen.

Text

Entscheidungsgründe:

Die Beklagte eröffnete im Jahr 1999 bei der Rechtsvorgängerin der klagenden Bank ein „Privatkonto". Der Kontoverbindung lagen zuletzt die Allgemeinen Geschäftsbedingungen der klagenden Partei (AGB) 2003 zugrunde. Gemäß Punkt IV („Giroverkehr") Abschnitt B („Gutschriften und Stornorecht") Z 40 Abs 2 der AGB kann das Kreditinstitut Gutschriften, die es aufgrund eines eigenen Irrtums vorgenommen hat, jederzeit stornieren. In anderen Fällen besteht diese Möglichkeit für das Kreditinstitut nur dann, „wenn ihm die Unwirksamkeit des Überweisungsauftrags eindeutig nachgewiesen wurde".

Im August 2006 bewarb sich die Beklagte im Internet über eine Jobbörse um eine Teilzeitbeschäftigung im Ausmaß von zwei bis drei Stunden pro Tag. Dabei gab sie ihren Namen, ihr Alter, den Familienstand sowie ihren erlernten Beruf bekannt. Am 14. 8. 2006 erhielt sie von der Agentur „S*****" per E-mail ein entsprechendes Angebot mit der Einladung, ein kurzes Bewerbungsschreiben zu übersenden. Gleichzeitig wurde ihr ein monatlicher Verdienst von 5.000 bis 10.000 EUR in Aussicht gestellt. Die Beklagte sandte daraufhin ein Bewerbungsschreiben an die erwähnte Agentur, worauf sie am 16. 8. 2006 per E-mail Informationen über ihre zukünftige Tätigkeit als „Distanzmitarbeiterin" eines englischen Unternehmens erhielt. Es wurde ihr erklärt, dass ein in England gegründetes Unternehmen im Ausland kein Konto eröffnen dürfe und deshalb Mitarbeiter in Österreich notwendig wären, um Zahlungen von österreichischen Kunden des Unternehmens annehmen zu können. Nachdem die Beklagte auch dem Ersuchen um Bekanntgabe ihrer Telefonnummer nachgekommen war, erhielt sie noch am selben Tag einen Anruf, bei dem ihr die Anruferin, die sich „Emma K*****" nannte, mitteilte, dass sie das Konto der Beklagten zur Erfüllung von Kundenaufträgen benötigen würde.

Am 17. 8. 2006 wurde die Beklagte von „Emma K*****" sowohl telefonisch als auch per E-mail davon informiert, dass ein Kunde des englischen Unternehmens, Mag. Josef M*****, einen Betrag von 8.400 EUR auf ihr Konto überwiesen habe. Sie wurde angewiesen, diese Summe in zwei Teilbeträgen via „Western-Union" an zwei Endkunden in Lettland weiter zu transferieren. Dafür sollte sie als „Lohn" 420 EUR erhalten. Die Beklagte begab sich noch am selben Tag zu „ihrer" Filiale der klagenden Partei, wo sie auf Anfrage die Bestätigung erhielt, dass ein Betrag von 8.400 EUR auf ihrem Konto gutgebucht worden sei. Daraufhin behob sie die Barbeträge von 8.380 EUR und 1.000 EUR und veranlasste die angeordneten Barüberweisungen „unter Berücksichtigung der dafür aufgelaufenen Spesen". Weiters behielt sie sich die versprochene Provision von 420 EUR ein.

Auch Mag. Josef M***** unterhielt ein Konto bei der klagenden Partei, von dem die Überweisung auf das Konto der Beklagten vorgenommen worden war. Diese Überweisung geschah jedoch ohne Wissen und Mitwirkung des Kontoinhabers, sondern über Veranlassung eines unbekannten Dritten, der sich die Zugangsdaten zu diesem Konto im Wege des sogenannten „Phishing" illegal beschafft hatte. Am 18. 8. 2006 wurde Mag. Josef M***** durch eine Mitarbeiterin der klagenden Partei von dem Überweisungsvorgang telefonisch in Kenntnis gesetzt. Nach ausführlicher Erörterung, wie es zu der von ihm nicht beauftragten Überweisung kommen konnte, erstattete er noch am selben Tag Anzeige gegen unbekannte Täter wegen des Verdachts des schweren Betrugs. Ebenfalls noch am selben Tag stornierte die klagende Partei die Gutschrift von 8.400 EUR auf dem Konto der Beklagten, sodass dieses am 21. 8. 2006 mit 8.384,91 EUR im Debet war. Mit Schreiben ihres Rechtsvertreters vom 24. 8. 2006 erhob die Beklagte gegen diese Vorgangsweise Einwendungen. Am 14. 12. 2006 wies das Konto aufgrund weiterer Zinsenbelastungen einen Debetsaldo von 8.756,63 EUR auf.

Die klagende Partei begehrt mit der vorliegenden Klage Zahlung von 8.756,63 EUR sA. Die Beklagte habe den aushaftenden Saldo trotz mehrfacher Mahnung und Nachfristsetzung nicht bezahlt. Die klagende Partei sei nach Z 40 Abs 2 ihrer AGB zur Stornierung der Gutschrift von 8.400 EUR berechtigt gewesen, weil ihr die Unwirksamkeit des Überweisungsauftrags eindeutig nachgewiesen worden sei.

Die Beklagte wandte ein, für sie sei nicht erkennbar gewesen, Teil eines „Phishing"-Plans gewesen zu sein. Infolge des fahrlässigen Verhaltens des Mag. Josef M***** sei bei ihr der Eindruck entstanden, es handle sich um eine rechtswirksame und gewollte Überweisung. Die klagende Partei sei zur Stornierung der Gutschrift nicht berechtigt gewesen.

Das Erstgericht gab dem Klagebegehren statt. Es beurteilte den eingangs wiedergegebenen Sachverhalt rechtlich dahin, dass die klagende Partei zur Stornierung der Gutschrift berechtigt gewesen sei. Ihr sei eindeutig nachgewiesen worden, dass die Überweisung nur im Wege des „Phishing" zustande gekommen und daher unwirksam sei.

Das Berufungsgericht bestätigte diese Entscheidung und sprach aus, dass die ordentliche Revision zulässig sei.

Es erörterte in rechtlicher Hinsicht, Z 40 Abs 2 der AGB betreffe das Verhältnis der Bank zu ihren Kunden und sei insoweit eindeutig, als die Bank jedenfalls im Falle des Nachweises von ohne Wissen und gegen den Willen des Kontoberechtigten erfolgten Transaktionen zur Stornierung berechtigt sei. Habe aber der Überweisungsempfänger bereits über den gutgeschriebenen Betrag verfügt, nütze der Bank die Stornierung nichts mehr; ihr stehe dann ein Bereicherungsanspruch zu. Auch der redliche Bereicherte sei zur Herausgabe eines ihm ohne Rechtsgrund zugekommenen Geldbetrags verpflichtet. Der gutgläubige Anweisungsempfänger werde in seinem Vertrauen auf die Gültigkeit der Anweisung nur dann geschützt, wenn der (scheinbar) Anweisende ihm gegenüber in zurechenbarer Weise den Anschein erweckt und nicht rechtzeitig zerstört habe, dass eine im Augenblick der Zahlung noch gültige Anweisung erteilt worden sei.

Im konkreten Fall habe aber Mag. Josef M***** gegenüber der Beklagten zu keinem Zeitpunkt den Anschein begründet, er habe eine gültige Anweisung erteilt. Vielmehr hätten Dritte in einer ihm nicht zurechenbaren Weise bei der Beklagten den Eindruck erweckt, ein Kunde des englischen Unternehmens habe Geld auf ihr Konto überwiesen. Dieser Umstand beeinträchtige den Bereicherungsanspruch der klagenden Partei jedoch nicht.

Das Berufungsgericht ließ die ordentliche Revision mit der Begründung zu, dass zu den Rechtsfolgen des „Phishing" in der vorliegenden Konstellation keine aktuelle Rechtsprechung des Obersten Gerichtshofs existiere.

Gegen dieses Berufungsurteil richtet sich die Revision der Beklagten mit dem Antrag, die angefochtene Entscheidung im Sinne der Abweisung des Klagebegehrens abzuändern.

Die klagende Partei beantragt in ihrer Revisionsbeantwortung, dem Rechtsmittel nicht Folge zu geben.

Rechtliche Beurteilung

Die Revision ist aus dem vom Berufungsgericht genannten Grund zulässig; sie ist aber nicht berechtigt.

Die Beklagte steht auf dem Standpunkt, Z 40 Abs 2 der AGB regle nur die Stornoberechtigung gegenüber dem Auftraggeber eines Überweisungsauftrags. Die Stornierung sei im Verhältnis zur Beklagten daher unzulässig und auch bei eindeutigem Nachweis der Unwirksamkeit des Überweisungsauftrags überdies nur dann möglich, wenn auf dem Konto der Beklagten noch ein entsprechendes Guthaben vorhanden gewesen wäre. Dem Angewiesenen komme ferner bei einem Mangel des Deckungsverhältnisses kein Kondiktionsanspruch gegen den Anweisungsempfänger zu. Dies gelte auch für den Fall, dass die Anweisung selbst ungültig gewesen sei. Ein Bereicherungsanspruch würde allenfalls dem Anweisenden zustehen. Diesem sei allerdings die missbräuchliche Verwendung seiner Zugangsdaten durch dritte Personen zuzurechnen. Durch die Herausgabe des TAN-Codes im Zuge der „Phishing"-Attacke habe er sowohl bei der klagenden Partei als auch der Beklagten den Anschein erweckt, die Überweisung selbst veranlasst zu haben. Die Beklagte sei zum Zeitpunkt des Empfangs der Geldleistung hingegen gutgläubig und im Zeitpunkt der Stornierung nicht mehr bereichert gewesen. Aus all diesen Gründen liege kein Rückforderungsanspruch der Bank gegen die Beklagte vor.

Hiezu wurde erwogen:

1. Allgemeines zu Überweisungsauftrag und Gutschrift:

1.1 Der an eine Bank erteilte Überweisungsauftrag gilt als Sonderfall der bürgerlich-rechtlichen Anweisung (6 Ob 204/02x = ÖBA 2004, 550; 2 Ob 196/03t = ÖBA 2004, 474 [Bollenberger] mwN; RIS-Justiz RS0109095, RS0019656 [T2 und T3]). Er ist kein Auftrag im technischen Sinn, sondern eine einseitige, nicht zustimmungsbedürftige Weisung des Kunden an die Bank im Rahmen des - im Regelfall bestehenden - Girovertrags (2 Ob 576/95 = SZ 70/80; 6 Ob 204/02x; 2 Ob 196/03t; 6 Ob 8/07f = ÖBA 2007, 912; 9 Ob 9/07z = ÖBA 2007, 830; RIS-Justiz RS0017140; Koziol/Koch in Apathy/Iro/Koziol, Österreichisches Bankvertragsrecht III² [2008] Rz 1/30; Neumayr in KBB² § 1400 Rz 5). Die im Girovertrag vereinbarte grundsätzliche Verpflichtung der Bank, den bargeldlosen Zahlungsverkehr abzuwickeln, wird durch den Überweisungsauftrag des Kunden konkretisiert (2 Ob 196/03t; RIS-Justiz RS0032931; Koziol/Koch aaO Rz 1/6 und 1/30; Janisch, Online Banking [2001] 66). Der Überweisungsempfänger erwirbt aufgrund eines derartigen Überweisungsauftrags noch keinen unmittelbaren Rechtsanspruch gegen die Bank (6 Ob 218/05k = ÖBA 2006, 516 [Dullinger]; 6 Ob 8/07f; 3 Ob 166/08w; RIS-Justiz RS0017140; Neumayr aaO § 1400 Rz 5; Janisch aaO 66).

1.2 Ein solcher Anspruch entsteht erst mit der Gutschrift auf dem Konto des Überweisungsempfängers, die ein abstraktes Schuldversprechen der Bank begründet (6 Ob 550/95 = SZ 68/59; 2 Ob 95/02p = SZ 2002/62; Koziol/Koch aaO Rz 1/83; Janisch aaO 69) und nach herrschender Auffassung als zugangsbedürftige Annahme der Anweisung zu verstehen ist (Koziol/Koch aaO Rz 1/81; Neumayr aaO § 1400 Rz 5 und § 1402 Rz 1; vgl auch Heidinger in Schwimann, ABGB³ VI § 1400 Rz 20; Ertl in Rummel, ABGB³ II/3 § 1400 Rz 5). Sie ist jedenfalls ab dem Zeitpunkt unwiderruflich, in dem nach dem Willen der Bank die Daten der Gutschrift zur vorbehaltlosen Bekanntgabe an den Überweisungsempfänger zur Verfügung gestellt werden, sodass der jeweilige Kontostand vom Kunden - auf welchem Wege auch immer - in Erfahrung gebracht werden und der Kunde über den gutgeschriebenen Betrag verfügen kann (2 Ob 20/03k = SZ 2004/51).

1.3 Im vorliegenden Fall lag eine eingliedrige (innerbetriebliche) Überweisung im dreipersonalen Verhältnis vor, bei der die angewiesene Bank das kontoführende Institut sowohl des (scheinbar) Überweisenden als auch des Überweisungsempfängers ist. Das durch die Gutschrift abgegebene Schuldversprechen der klagenden Partei war - vorbehaltlich der noch folgenden Ausführungen - spätestens am 17. 8. 2006 wirksam, als die Beklagte über die ihr gutgeschriebenen Beträge bereits verfügen konnte und von dieser Möglichkeit durch Barabhebung auch Gebrauch gemacht hat.

2. Rechtsfolgen der Gutschrift trotz Fehlens eines gültigen Überweisungsauftrags:

2.1 Die Wirksamkeit der Gutschrift setzt einen rechtsgültigen Überweisungsauftrag voraus (Koziol/Koch aaO Rz 1/91 mwN; ebenso Koziol in KBB² Vor §§ 1431 bis 1437 Rz 6). Fehlt es an einem solchen Überweisungsauftrag, geht auch die Annahmeerklärung der Bank, also die Gutschrift, ins Leere und ist daher wirkungslos (Koziol/Koch aaO Rz 1/91). Der Oberste Gerichtshof hat in zahlreichen Entscheidungen bei Fehlen eines Überweisungsauftrags einen Bereicherungsanspruch der Bank gegen den unberechtigten Leistungsempfänger bejaht; dabei wurde dem gänzlichen Fehlen der Anweisung auch deren Fälschung und (sonstige) Ungültigkeit gleichgestellt (vgl SZ 54/2; SZ 54/162; SZ 54/187; SZ 60/272; 6 Ob 204/02x; 2 Ob 196/03t; RIS-Justiz RS0032947, RS0020125). In diesen Fällen kann dem scheinbar Überweisenden die Leistung nicht zugerechnet werden. Die bereicherungsrechtliche Rückabwicklung findet daher zwischen der vermeintlich angewiesenen Bank und dem Überweisungsempfänger statt (SZ 54/2; SZ 54/187; SZ 60/272; 6 Ob 204/02x; vgl Koziol/Koch aaO Rz 1/115; Koziol aaO Vor §§ 1431 bis 1437 Rz 5).

2.2 Auch der gutgläubige Überweisungsempfänger, der auf die Gültigkeit der Überweisung berechtigt vertraute, wird vor der Kondiktion der vermeintlich angewiesenen Bank grundsätzlich nicht geschützt, weil dem die schutzwürdigen Interessen des scheinbar Überweisenden entgegenstehen (vgl SZ 60/272; 6 Ob 204/02x; Koziol/Koch aaO Rz 1/115). Von diesem Grundsatz wurde nur dort eine Ausnahme gemacht, wo der scheinbar Überweisende dem Empfänger gegenüber in zurechenbarer Weise den Anschein einer - im Augenblick der Zahlung noch gültigen - Anweisung erweckt (und nicht rechtzeitig zerstört) hat und der redliche Überweisungsempfänger infolgedessen die Zahlung „kraft Rechtsscheins" dem scheinbar Überweisenden als dessen Leistung zurechnen und sich daher nur an ihn halten kann (SZ 60/272 mwN; 6 Ob 204/02x; Koziol/Koch aaO Rz 1/116; Koziol aaO Vor §§ 1431 bis 1437 Rz 5). Dies wurde insbesondere dann angenommen, wenn der Überweisende den Auftrag erteilte, dann widerrief und die Bank dem Empfänger den Überweisungsträger ausgehändigt hatte (SZ 60/272).

2.3 Im vorliegenden Fall beruhte das Vertrauen der Beklagten auf die Rechtsgültigkeit der Überweisung nicht auf einem Verhalten des scheinbar Überweisenden, sondern ausschließlich auf den Versprechungen, die sie von dritter Seite erhielt. Der angeblich Überweisende war ihr hingegen völlig unbekannt. Es bestand keinerlei Rechtsbeziehung zwischen der Beklagten und ihm (kein „Valutaverhältnis"), aus der sie eine Zahlung erwarten konnte. Selbst wenn ihm eine fahrlässige Ermöglichung der „Phishing"-Attacke vorzuwerfen wäre - wofür sich aus den Feststellungen der Vorinstanzen kein Anhaltspunkt ergibt -, ist das Vertrauen der Beklagten, die sich leichtfertig auf ein für sie erkennbar zweifelhaftes und riskantes Angebot eines unbekannten Geschäftspartners eingelassen hat, unter den konkreten Umständen nicht schützenswert. Inwieweit ein dem scheinbar Überweisenden im Verhältnis zur klagenden Partei allenfalls zurechenbarer Rechtsschein für die Lösung des Falles relevant sein könnte, wird im Folgenden noch näher zu erörtern sein.

Als weiteres Zwischenergebnis ist somit vorerst festzuhalten, dass die Beklagte, mag sie auch gutgläubig gewesen sein, keinen Vertrauensschutz im Sinne der erörterten Rechtsprechung genießt.

3. Zur Stornoberechtigung nach Z 40 Abs 2 AGB:

3.1 Die klagende Partei stützt ihre Berechtigung zur Stornierung der erteilten Gutschrift auf die Regelung in Z 40 Abs 2 ihrer AGB, deren Geltung zwischen den Streitteilen nicht strittig ist, und die in ihrem Wortlaut Z 40 Abs 2 der Allgemeinen Bedingungen für Bankgeschäfte (ABB) entspricht. Diese Bestimmung betrifft entgegen der Rechtsansicht der Beklagten das Verhältnis zwischen der Bank und jenem Kunden, dessen Konto sie aufgrund eines (vermeintlichen) Überweisungsauftrags einen Betrag gutgeschrieben hat (4 Ob 129/06h = ÖBA 2007, 222 [Koziol]), hier also das Verhältnis zwischen der klagenden Partei und der Beklagten. Sie regelt ferner nur die Stornoberechtigung gegenüber dem Kontoinhaber, nicht aber die Frage, wann das Kontoinstitut gegenüber dem Auftraggeber zum Storno einer Gutschrift verpflichtet ist. Eine derartige Verpflichtung besteht auch bei eindeutigem Nachweis der Unwirksamkeit des Überweisungsauftrags nur dann, wenn auf dem Empfängerkonto ein Guthaben vorhanden bzw ein gewährter Kreditrahmen noch nicht voll ausgenützt ist (vgl 4 Ob 129/06h; Koziol/Koch aaO Rz 1/105 FN 361; Koziol in Iro/Koziol, Allgemeine Bedingungen für Bankgeschäfte [2001] Z 40 Rz 5).

3.2 Der Oberste Gerichtshof billigte in der zuletzt zitierten Entscheidung auch die an die Unwirksamkeit der Gutschrift bei Fehlen eines gültigen Überweisungsauftrags anknüpfende Auffassung Koziols (aaO Z 40 Rz 5), dem Storno komme bloß deklaratorische Bedeutung zu. Dem liegt der Gedanke zugrunde, dass im Falle der Unwirksamkeit der in der erteilten Gutschrift zum Ausdruck gebrachten abstrakten Verpflichtung so lange noch keine ungerechtfertigte Vermögensverschiebung eingetreten ist, als der Überweisungsempfänger über den gutgeschriebenen Betrag noch nicht verfügte; mit der Stornierung wird der Überweisungsempfänger von der Unwirksamkeit der Gutschrift bloß in Kenntnis gesetzt (vgl Koziol/Koch aaO Rz 1/97, 1/105 und 1/118). Zu einer nach bereicherungsrechtlichen Grundsätzen auszugleichenden Vermögenszuwendung der Bank an den Empfänger kommt es deshalb nur dann, wenn die Bank wegen der in Wahrheit unwirksamen Gutschrift eine Barauszahlung vornahm oder eine Verfügung des Kontoinhabers durchführte, auf die dieser in Wahrheit keinen Anspruch hatte, weil ein von der Bank allenfalls eingeräumter Überziehungsrahmen durch die Unwirksamkeit der Gutschrift überschritten wird (Koziol/Koch aaO Rz 1/118).

3.3 Im vorliegenden Fall hat die Beklagte nicht behauptet, dass ihr von der klagenden Partei ein Überziehungsrahmen eingeräumt worden wäre. Nach den Feststellungen der Vorinstanzen hat sie schon vor der Stornierung der Gutschrift über den gutgeschriebenen Betrag mittels Barabhebung verfügt. Danach wies das Konto der Beklagten einen Debetsaldo von 8.384,91 EUR auf, der sich in der Folge noch um die angefallenen Zinsen auf den Klagsbetrag erhöhte. War die Überweisung tatsächlich rechtsungültig, steht der klagenden Partei in diesem Umfang nach den bisher dargelegten Grundsätzen ein Bereicherungsanspruch gegen die Beklagte zu.

4. Grundsätzliches zum Online-Banking:

4.1 Die Nutzung der Bankdienstleistung Online-Banking setzt nach allgemeiner Auffassung eine gesonderte Vereinbarung zwischen der Bank und dem Kunden als unselbständige Ergänzung zu einer bestehenden Grundvereinbarung, zB dem Girovertrag, voraus. Die vertragliche Leistung dieser Sondervereinbarung besteht typischerweise in der Berechtigung des Kunden, über Fernkommunikationsmittel mit dem Bankrechenzentrum in Verbindung zu treten und nach entsprechender elektronischer Autorisierung die gewünschten Transaktionen zu veranlassen bzw etwaige Informationen abzurufen. Derartige Teilnahmeverträge beziehen regelmäßig spezielle allgemeine Geschäftsbedingungen ein, die spezifische Pflichten des Kunden und der Bank begründen und die jeweiligen Geschäftsbedingungen betreffend die Grundvereinbarung ergänzen (Wiebe in Apathy/Iro/Koziol aaO Rz 3/15; Janisch aaO 60 f).

4.2 Die Verwendung von PIN (persönliche Identifikationsnummer) und TAN (Transaktionsnummer) ist das am weitesten verbreitete Authentifizierungssystem im System des Online-Banking (vgl Wiebe aaO Rz 3/23). Die vom Kunden veranlassten Aufträge werden mittels des TAN authentifiziert. Der Auftrag samt TAN wird an den Bankserver übermittelt, welcher nun die Validität der TAN und in der Regel auch die Deckung aus dem Kontensaldo oder der Kreditlinie überprüft (Wiebe aaO Rz 3/24; ebenso Recknagel, Vertrag und Haftung beim Internet-Banking 127).

5. Zur Zurechnung des Überweisungsauftrags nach einer „Phishing"-Attacke:

5.1 Unter dem Kunstwort „Phishing" - es setzt sich aus den Wörtern „Password" und „Fishing" zusammen - versteht man betrügerische Angriffe Dritter, bei denen Benutzern Zugangs- bzw Transaktionsdaten, insbesondere PIN- und TAN-Codes herausgelockt werden (Wiebe aaO Rz 3/34; Recknagel aaO 51). Im deutschen und im österreichischen Schrifttum wird in diesem Zusammenhang die Frage diskutiert, ob eine vertragliche Haftung des Kunden, der den Zugriff auf seine persönlichen Kenndaten schuldhaft ermöglicht hat, - ausgehend vom Rechtsinstitut des „Handelns unter fremdem Namen" - gegenüber der Bank (auch) mit den Grundsätzen zur Anscheinsvollmacht begründet werden kann (vgl Janisch aaO 163 ff). Obwohl diese Fragestellung an sich nur das Verhältnis zwischen dem „Phishing"-Opfer und der Bank (also das „Deckungsverhältnis") betrifft, könnte sie auch für den Anspruch der Bank gegen den Überweisungsempfänger von Bedeutung sein: Die Anscheinsvollmacht steht in ihrer Wirkung einer rechtsgeschäftlich erteilten Vollmacht gleich (P. Bydlinski in KBB² § 1029 Rz 6). Lägen die Voraussetzungen einer Anscheinsvollmacht vor, wäre die der Bank erteilte Weisung des „Phishers" dem „Phishing"-Opfer zuzurechnen; es wäre daher von einem rechtswirksamen Überweisungsauftrag des Kontoinhabers auszugehen, der nach den dargelegten Grundsätzen sowohl der Stornoberechtigung als auch einem Bereicherungsanspruch der Bank gegenüber dem Überweisungsempfänger entgegenstünde.

5.2.1 In Deutschland tritt insbesondere Gößmann (in Schimansky/Bunte/Lwowski, Bankrechts-Handbuch³ I [2007] § 55 Rz 26; ders in Langenbucher/Gößmann/Werner, Zahlungsverkehr [2004] § 4 Rz 71) mit dem Hinweis auf den besonderen Sicherheitsstandard des PIN/TAN-Systems grundsätzlich für die Bindung des Kunden an die Erklärung des unberechtigt Handelnden nach Rechtsscheingrundsätzen ein.

Koch/Vogel (in Langenbucher/Gößmann/Werner aaO § 4 Rz 182) stellen hingegen darauf ab, ob der Kunde die missbräuchliche Verfügung bei Anwendung der pflichtgemäßen Sorgfalt hätte erkennen und verhindern können.

Auch Schwintowski (in Schwintowski/Schäffer, Bankrecht² [2003] § 12 Rz 58) schränkt die Anwendbarkeit der Grundsätze der Anscheinsvollmacht auf jene Fälle ein, in denen der Kunde die PIN und eine nicht verbrauchte TAN weitergegeben oder die Absicherung dieser Daten vor dem Zugriff Dritter nicht hinreichend vorgenommen hat. Verschaffe sich aber der unberechtigte Nutzer Zugang zur aktuellen Online-PIN und zu nicht verbrauchten TAN, so fehle es an einem dem Kunden zurechenbaren Rechtsscheintatbestand. In einem solchen Fall liege keine wirksame Weisung des Kunden vor.

Ebenso gelangt Brückner (Online Banking [2002] 83 ff) bei seiner Untersuchung zu dem Ergebnis, die Grundsätze der Anscheinsvollmacht seien auf das Online-Banking nur dann übertragbar, wenn auch das Merkmal des wiederholten Auftretens erfüllt sei. Für eine weitergehende Rechtsscheinhaftung fehle es an der Zurechenbarkeit des Rechtsscheintatbestands.

Auch für Borges (Rechtsfragen des Phishing - Ein Überblick, NJW 2005, 3313 [3314]) ist Grundlage des Rechtsscheins (nur) die Untätigkeit des Kunden, der erfährt, dass er Opfer einer Phishing-Attacke geworden ist und dennoch nichts unternimmt.

Recknagel (aaO 138), Wiesgickl (Rechtliche Aspekte des Online-Banking, WM 2000, 1039 [1047]), Erfurth (Haftung für Missbrauch von Legitimationsdaten durch Dritte beim Online-Banking, WM 2006, 2198 [2200]) und Werner/Kind (Rechte und Pflichten im Umgang mit PIN und TAN, CR 2006, 353) lehnen die Anwendung der Regeln der Anscheinsvollmacht auf Missbrauchsfälle generell ab.

5.2.2 Vor dem Hintergrund dieser Lehrmeinungen hatte das Oberlandesgericht Hamburg im Jahr 2006 einen Sachverhalt zu beurteilen, der mit dem hier vorliegenden vergleichbar war. Auch dort hatte die Bank nach einer „Phishing"-Attacke auf das Konto eines Kunden Beträge auf dem Konto eines „Geldkuriers" gutgeschrieben und nach deren Barbehebung und Weitertransfer die Gutschrift (unter Berufung auf Nr 8 Abs 1 AGB-Banken) storniert. Das Oberlandesgericht Hamburg verneinte den Anspruch des Überweisungsempfängers auf neuerliche Erteilung der Gutschrift und bejahte den bereicherungsrechtlichen Rückersatzanspruch der Bank (ZIP 2006, 1981 [Borges]).

Löhnig/Würdinger hoben in ihrer diesem Ergebnis zustimmenden Entscheidungsbesprechung (Zum Phishing-Risiko: Bereicherungsausgleich und Stornierungsrecht nach Art 8 Abs 1 AGB-Banken, WM 2007, 961) - soweit hier von Interesse - hervor, dass ein (nach deutscher Auffassung erforderlicher) Überweisungsvertrag zwischen Bankkunden und Bank nicht zu Stande gekommen sei. Die Willenserklärung des „Phishers" sei wie die eines Vertreters ohne Vertretungsmacht ohne Wirkung für und gegen den Kontoinhaber. Die überweisende Bank trage - bereicherungsrechtlich gesehen - das „Phishing"-Risiko; davon sei die Frage zu trennen, ob die Bank einen Schadenersatzanspruch gegenüber ihrem Kunden wegen einer Pflichtverletzung nach § 280 Abs 1 BGB hat. „Phishing" sei bereicherungsrechtlich ebenso zu behandeln wie ein gefälschter Überweisungsauftrag (in diesem Sinne auch Lorenz in Staudinger, BGB [2007] § 812 Rn 51; vgl ferner die weiteren einschlägigen Entscheidungen deutscher Gerichte in MMR 2007, 462 [Biallaß], MMR 2008, 259 [Borges], 752 und 765 [Mühlenbrock/Sesing] sowie jusIT 2008, 218 [Mader]).

5.3 In Österreich halten vor allem Graf (Rechtsfragen des Telebanking [1997] 21 ff) und Janisch (aaO 167 ff; ferner: Die Risikoverteilung beim Überweisungsverkehr via Internet, ÖBA 2001, 853 [860]) die Anwendung der Regeln der Anscheinsvollmacht für sachgerecht. Hiefür müssten drei Voraussetzungen gegeben sein: Zunächst bedürfe es eines Sachverhalts, aus dem vom Erklärungsadressaten objektiv ein Wille auf Vollmachtserteilung erschlossen werden könne. Dieser Sachverhalt müsse weiters durch das Verhalten des Geschäftsherrn zurechenbar veranlasst worden sein. Schließlich bedürfe es des Fehlens des Wissens bzw des Fehlens des fahrlässigen Nichtwissens auf Seite des Erklärungsadressaten um die Tatsache, dass der Geschäftsherr den Handelnden gar nicht bevollmächtigt habe.

Diese Kriterien stimmen mit der Rechtsprechung des Obersten Gerichtshofs zur Anscheinsvollmacht überein (RIS-Justiz RS0020331; vgl ferner P. Bydlinski aaO § 1029 Rz 6). Die genannten Autoren gestehen jedoch zu, dass in den erörterten Missbrauchsfällen schon die erste der drei Voraussetzungen „offensichtlich unmittelbar nicht gegeben" sei: Die Bank verbiete nämlich dem Kunden die Weitergabe der Kennzahlen an dritte Personen und gehe bei deren Verwendung davon aus, dass ein Handeln des Kunden selbst vorliege. Deswegen könne in dieser Situation auch kein Sachverhalt verwirklicht sein, aus dem die Bank einen Willen auf Vollmachtserteilung erschließen könne. Da die Bank von einem Handeln des Kunden selbst ausgehe, erscheine sie aber noch schutzwürdiger als in der Konstellation, in der ihr in einer für sie erkennbaren Weise ein Dritter gegenüber trete, da sie nicht einmal den Bedarf nach einer Bevollmächtigung des Handelnden erkenne. Das erste Kriterium sei damit „mittelbar als erfüllt anzusehen". Zur Erfüllung der zweiten Voraussetzung reiche eine fahrlässige Veranlassung aus. Schließlich sei auch die dritte Voraussetzung erfüllt: Das Kreditinstitut wisse im Regelfall nicht und müsse es auch nicht wissen, dass es nicht der Kunde selbst sei, der mit seinen Identifikationsmerkmalen Überweisungsaufträge erteile.

Wiebe (aaO Rz 3/39) lehnt diese Konstruktion als zu weitgehend, weil das Rechtsinstitut der Anscheinsvollmacht überdehnend ab, es liege kein erkennbares Dritthandeln vor.

5.4 Der erkennende Senat pflichtet jenen Lehrmeinungen bei, welche die Zurechnung von Willenserklärungen des unberechtigt Handelnden nach den Grundsätzen der Anscheinsvollmacht ablehnen. Nach der Rechtsprechung des Obersten Gerichtshofs wird der Dritte in seinem Vertrauen auf den Rechtsschein nur dann geschützt, wenn für ihn die Herstellung des Rechtsscheins kausal für den Geschäftsabschluss (hier: Zugang des Überweisungsauftrags) war, wozu auch gehört, dass ihm zu diesem Zeitpunkt das den Rechtsschein auslösende Verhalten des Machtgebers überhaupt bekannt war (RIS-Justiz RS0019490; P. Bydlinski aaO § 1029 Rz 7). Selbst wenn man die (fahrlässige) Ermöglichung des Zugriffs auf seine persönlichen Kenndaten als ein den Rechtsschein begründendes Verhalten des Kontoinhabers anerkennen wollte, wird es der Bank bei Zugang des Überweisungsauftrags regelmäßig an der Kenntnis hievon fehlen.

Auch im vorliegenden Fall war der klagenden Partei bei Zugang des Überweisungsauftrags ein den Rechtsschein begründendes Verhalten des scheinbar überweisenden Kontoinhabers nicht bekannt. Abgesehen davon, dass sich aus den Feststellungen - wie dies bereits in Punkt 2. angeklungen ist - für ein fahrlässiges oder auch nur ursächliches (vgl P. Bydlinski aaO § 1029 Rz 8) Verhalten kein Anhaltspunkt ergibt, kommt somit die Anwendung der Regeln der Anscheinsvollmacht nicht in Betracht. Im Übrigen besteht, wie gerade der Anlassfall zeigt, im Verhältnis zum unberechtigten Überweisungsempfänger kein Bedürfnis nach einer ausdehnenden Interpretation der Regeln zur Anscheinsvollmacht wegen einer angeblich besonderen Schutzwürdigkeit der Bank.

5.5 Regelmäßig wird die Bank in „Phishing"-Fällen aber ohnedies nicht vom Handeln eines Bevollmächtigten, sondern vom Handeln des Kontoinhabers selbst ausgehen. Da im vorliegenden Fall kein Verhalten des Kontoinhabers (wie etwa unzureichende Geheimhaltung von PIN und TAN) festgestellt wurde, das zum Anschein beigetragen haben könnte, er habe selbst gehandelt, kann es auf sich beruhen, ob eine vom Rechtsinstitut der Anscheinsvollmacht unabhängige Rechtsscheinzurechnung (oder Risikozurechnung) zu Lasten des „Phishing"-Opfers in Betracht kommen kann. Auch die Frage allfälliger Schadenersatzansprüche der Bank gegen einen sorglosen Kontoinhaber stellt sich im vorliegenden Fall nicht.

6. Ergebnis:

Diese Erwägungen führen zusammengefasst zu der - auch mit der zitierten deutschen Rechtsprechung im Einklang stehenden - Beurteilung, dass der auf dem Konto der Beklagten erteilten Gutschrift kein gültiger Überweisungsauftrag zugrunde lag. Die klagende Partei war daher gemäß Z 40 Abs 2 ihrer AGB zur Stornierung berechtigt. Soweit das Konto der Beklagten dadurch ins Debet geriet, steht der klagenden Partei ein - von ihrem Klagebegehren umfasster - Bereicherungsanspruch gegen die Beklagte zu. Deren Revision musste daher erfolglos bleiben.

Die Kostenentscheidung gründet sich auf die §§ 41, 50 ZPO.

Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)

Stichworte