Frage der Haftung nach einer erfolgreichen Phishing-Attacke auf einen Kleinstunternehmer
Auch mit einem Kleinstunternehmer kann im Rahmen des Online-Bankings rechtswirksam vereinbart werden, dass dieser, sofern er seine persönlichen Sicherheits- und Identifikationsmerkmale einem Dritten überlässt oder ein unberechtigter Dritter infolge einer Sorgfaltswidrigkeit des Unternehmers Kenntnis von dessen persönlichen Sicherheits- und Identifikationsmerkmalen erlangt, bis zur Wirksamkeit der Sperre alle Folgen und Nachteile infolge dieser missbräuchlichen Verwendung zu tragen hat.
Die beiden Kläger führen eine kleine Frühstückspension. Sie nutzen regelmäßig die vom beklagten Bankinstitut angebotene Möglichkeit des Online-Bankings. Ein Überweisungslimit war nicht vereinbart. Die Kläger wurden mehrfach darauf hingewiesen, dass sie in keinem Fall Dritten ihre persönlichen Transaktionsnummern (iTANs) bekanntgeben dürfen. Nach den vereinbarten Bedingungen für Online-Banking trägt der Kunde, sofern er seine persönlichen Sicherheits- und Identifikationsmerkmale einem Dritten überlässt oder sofern ein unberechtigter Dritter infolge einer Sorgfaltswidrigkeit des Kunden Kenntnis von den persönlichen Sicherheits- und Identifikationsmerkmalen erlangt, bis zur Wirksamkeit der Sperre alle Folgen und Nachteile infolge der missbräuchlichen Verwendung.
Im Mai 2011 wurden die beiden Kläger Opfer einer sogenannten „Phishing-Attacke“, im Zuge derer unautorisierte Dritte in 4 Einzelüberweisungen insgesamt 42.000 EUR vom Geschäftsgirokonto der Kläger auf fremde Konten überwiesen. Nach den maßgebenden Feststellungen ist davon auszugehen, dass der Erstkläger seine iTANs dem Phishing-Betrüger durch Ausfüllen eines generierten Formulars offengelegt hat.
Die beiden Kläger begehren von der beklagten Partei, ihr Girokonto wieder auf den Stand zu bringen, auf dem es sich ohne die vier nicht autorisierten Zahlungsvorgänge befunden hätte.
Die Klage blieb in allen drei Instanzen erfolglos.
Der Oberste Gerichtshof ging in seiner Entscheidung im Wesentlichen davon aus, dass die Kläger als „Kleinstunternehmer“ anzusehen seien. Da der österreichische Gesetzgeber bei der Schaffung der Regelungen zur Frage der Haftung und der Erstattungspflichten im Fall von nicht autorisierten Zahlungsvorgängen von der Möglichkeit einer Gleichstellung von Kleinstunternehmern mit Verbrauchern keinen Gebrauch gemacht habe, komme im vorliegenden Fall die für Verbraucher in diesem Zusammenhang vorgesehene Einschränkung der Haftung bei leichtem Verschulden auf 150 EUR nicht zur Anwendung.
Der Erstkläger habe dadurch, dass er der im Rahmen eines Zahlungsvorgangs völlig unüblichen Aufforderung zur Bekanntgabe seiner iTANs nachgekommen sei und eine Mehrzahl von (unverbrauchten) iTANs gleichzeitig eingegeben habe, ohne Verdacht zu schöpfen bzw den Vorgang abzubrechen und bei der beklagten Bank Rücksprache zu halten, gegen eindeutige Sicherheitsanweisungen und Warnungen verstoßen. Er hafte daher der beklagten Partei aufgrund der für das Online-Banking rechtswirksam vereinbarten Haftungsregelung für alle Folgen und Nachteile infolge der missbräuchlichen Verwendung seiner iTANs. Die beklagte Partei könne mit ihrer Forderung gegen den den Klägern aufgrund der von ihnen nicht autorisierten Zahlungsvorgänge in gleicher Höhe zustehenden Erstattungsanspruch aufrechnen.
Dies treffe auch auf die für Verbindlichkeiten aus dem gemeinsamen Geschäftskonto als Solidarschuldnerin haftende Zweitklägerin zu.
