OGH vom 15.03.2016, 10Ob102/15w
Kopf
Der Oberste Gerichtshof hat als Revisionsgericht durch den Senatspräsidenten Dr. Fellinger als Vorsitzenden, die Hofräte Univ. Prof. Dr. Neumayr und Dr. Schramm, die Hofrätin Dr. Fichtenau sowie den Hofrat Mag. Ziegelbauer als weitere Richter in der Rechtssache der klagenden Parteien 1. L*****, und 2. L*****, beide *****, beide vertreten durch die Benedikt Wallner Rechtsanwalt GmbH in Wien, gegen die beklagte Partei V*****bank B***** e.Gen, *****, vertreten durch Univ. Prof. Dr. Bruno Binder, Dr. Josef Broinger, Mag. Markus Miedl, Rechtsanwälte in Linz, wegen Gutbuchung und Vertragszuhaltung (Streitwert 42.000 EUR), infolge Revision der klagenden Parteien gegen das Urteil des Oberlandesgerichts Linz als Berufungsgericht vom , GZ 2 R 124/15s 37, womit das Urteil des Landesgerichts Wels vom , GZ 2 Cg 79/14s 33, bestätigt wurde, in nichtöffentlicher Sitzung zu Recht erkannt:
Spruch
Der Revision wird nicht Folge gegeben.
Die klagenden Parteien sind zur ungeteilten Hand schuldig, der beklagten Partei die mit 2.174,42 EUR (darin enthalten 362,40 EUR USt) bestimmten Kosten des Revisionsverfahrens binnen 14 Tagen zu ersetzen.
Text
Entscheidungsgründe:
Die Kläger führen eine Frühstückspension. Seit 2003 sind sie Inhaber eines auf ihre beiden Namen lautenden Girokontos bei dem beklagten Bankunternehmen. Über dieses Konto wickelten sie sowohl ihren privaten als auch ihren betrieblichen Zahlungsverkehr (aus der Frühstückspension) ab. Mit einem „Girokontovertrag Unternehmer“ richteten die Kläger im September 2009 unter derselben Kontonummer ein „Geschäftsgirokonto“ ein. Zugleich räumte die Beklagte den Klägern hinsichtlich dieses Kontos den Zugang zum „V*****“ ein. Beide Kläger insbesondere aber der Erstkläger nutzten diesen Zugang in der Folge regelmäßig. Am 6. und wurden die Kläger Opfer einer sogenannten „Phishing Attacke“, im Zuge derer unautorisierte Dritte in vier Einzelüberweisungen vom Geschäftsgirokonto der Kläger insgesamt 42.000 EUR auf fremde Konten überwiesen. Das Girokonto der Kläger weist seitdem einen Abgang von 42.000 EUR auf.
Die Kläger begehren, die beklagte Partei schuldig zu erkennen, das Girokonto mit Wertstellung spätestens an dem auf den folgenden Bankarbeitstag wieder auf den Stand zu bringen, auf dem es sich ohne die vier (im Einzelnen bezeichneten) nicht autorisierten Zahlungsvorgänge befunden hätte. Nachdem die Kläger am die Abbuchungen bemerkt hatten, hätten sie unverzüglich die Beklagte als Zahlungsdienstleister davon unterrichtet. Dennoch weigere sich die Beklagte trotz ausdrücklicher Aufforderung das belangte Konto wieder auf den Stand zu bringen, auf dem es sich ohne die nicht autorisierten Zahlungsvorgänge befunden hätte. Das Klagebegehren werde auf § 44 ZaDiG, auf den Anspruch auf Zuhaltung des abgeschlossenen Girovertrags und auf Schadenersatz gestützt. In der vorsätzlichen Weigerung zu der in § 44 Abs 1 ZaDiG gesetzlich zwingend angeordneten Gutbuchung sei eine schuldhafte und rechtswidrige Zufügung eines Vermögensschadens gelegen. Die Kläger seien in Ansehung der Geschäftsbeziehung zur Beklagten nicht als Unternehmer zu qualifizieren, weil sie über das Konto auch weiterhin in überwiegendem Ausmaß private Umsätze getätigt haben. Überdies sei die Zweitklägerin Angestellte des Erstklägers und übe keine unternehmerische Tätigkeit iSd § 1 KSchG aus. Die in den Bedingungen für „V*****“ enthaltenen Klauseln über Sorgfaltspflichten und Haftung widersprächen dem ZaDiG, seien überraschend, gröblich benachteiligend und intransparent. Die von der Beklagten vorgenommene Aufrechnung mit deren auf Geldzahlung gerichteten Schadenersatzanspruch nach § 44 Abs 2 ZaDiG gegen den nach § 44 Abs 1 ZaDiG klageweise erhobenen Gutbuchungsanspruch sei aus mehrfachen Gründen unzulässig. Dem Erstkläger sei beim Zahlungsvorgang keine Sorgfaltswidrigkeit unterlaufen. Wie er bereits bei seiner polizeilichen Einvernahme angegeben habe, sei bis zur Transaktion alles „wie gewöhnlich“ abgelaufen. Nachdem am Bildschirm eine Meldung im V***** Design aufgeschienen sei, nach deren Inhalt die ihm zur Verfügung stehende iTAN Liste nicht mehr gültig sein sollte, habe er sich sofort ausgeloggt. § 44 Abs 1 ZaDiG regle eindeutig die Verteilung der Klägerrolle, dies auch für jenen Fall, in dem die Bank beabsichtige, ihren Kunden wegen eines sorglosen Verhaltens in Anspruch zu nehmen. Auch in diesem Fall habe das Kreditinstitut zunächst die Gutbuchung vorzunehmen. Eine Aufrechnung mit dem Schadenersatzanspruch würde die zwingende Anordnung des § 44 Abs 1 ZaDiG konterkarieren. Die Aufrechnung scheitere zudem an der mangelnden Gleichartigkeit der Forderungen. Es stünden einander ein Handlungsanspruch, nämlich die Rückbuchung bzw Gutbuchung, sowie ein auf Geld gerichteter Schadenersatzanspruch gegenüber. Für eine Aufrechnung müssten die Forderungen gültig entstanden sein und im Zeitpunkt der Aufrechnungserklärung bestehen. Auch diese Erfordernisse seien nicht erfüllt, weil die Gutbuchung von der Beklagten nicht getätigt worden sei, sodass dieser (noch) kein Schadenersatzanspruch zukomme.
Die Beklagte beantragte die Abweisung des Klagebegehrens. Die Kläger seien beide als Unternehmer zu qualifizieren. Ein Überweisungslimit sei wegen der betrieblich notwendigen Verfügung über größere Geldbeträge, so etwa im Zusammenhang mit Baumaßnahmen in der Frühstückspension, für die Kläger kein Anliegen gewesen. Namentlich der Erstkläger habe die Verfügungsmöglichkeit via „V*****“ regelmäßig genutzt. Wie sich im Nachhinein erheben habe lassen, habe es im verfahrensgegenständlichen Zeitraum Vorgehensweisen von Phishing-Betrügern gegeben, die dergestalt ausgeführt wurden, dass diese mit einem elektronisch zugesandten Formular im „V*****-Design“ die bestehenden (gültigen) iTAN-Nummern abfragten. Die Phishing-Attacke sei ausschließlich aus eigener Unachtsamkeit und aus grobem Verschulden des Erstklägers bei Verwendung des Systems ermöglicht worden, indem dieser entgegen seiner eigenen Darstellung mehrere iTANs in ein ihm elektronisch zugesandtes (generiertes) Formular eingegeben habe. Darauf, dass mit dem elektronischen System ein Missbrauchsrisiko verbunden sei und ein äußerst achtsamer Umgang nötig sei, werde aber laufend - insbesondere bei jedem Einstieg in das System hingewiesen. Darüber hinaus seien an alle Kunden auch anlassbezogene Warnungen gesandt worden. Nach § 44 Abs 1 ZaDiG gehe der Wille des Gesetzgebers dahin, dass dem Kunden der durch eine missbräuchliche Verwendung der Zugangsdaten abgebuchte Betrag zu erstatten sei. Dem stehe aber der Anspruch des Kreditinstituts nach § 44 Abs 2 ZaDiG gegenüber, nach dem der Kunde jedweden Nachteil zu ersetzen habe, sofern ihn ein Verschulden an der Ermöglichung des Missbrauchs treffe. Ausgehend von dem Eigenverschulden des Erstklägers an der Herausgabe bzw Eingabe mehrerer iTANs in eine generierte Eingabemaske habe dieser der Beklagten aus schadenersatzrechtlichen Gesichtspunkten jedweden Nachteil aus dem Vorfall zu ersetzen. Dieser Nachteil bestehe in der Erstattung des durch die missbräuchlichen Buchungen entzogenen Geldbetrags nach § 44 Abs 1 ZaDiG. Ein Verschuldensvorwurf sei den Klägern auch deshalb zu machen, weil der Erstkläger nach den irregulären Vorgängen bei seinen Internet Dispositionen und beim Abbruch derselben nicht unverzüglich eine Kontosperre veranlasst habe. Dies hätte die unwiderrufliche Durchführung aller betrügerischen Überweisungen rechtzeitig verhindern können. Es stünden somit zwei aufrechenbare Ansprüche einander gegenüber. Buchhalterisch müsste der nach § 44 Abs 1 ZaDiG im Gesetz beschriebene „Erstattungsanspruch“ durch eine Gutschrift auf dem Kundenkonto und eine korrespondierende Belastung auf einem Hauptbuchkonto des Kreditunternehmens abgewickelt werden. Inhaltlich handle es sich somit um einen Anspruch auf eine (Buchgeld )Geldforderung gegenüber dem Kreditunternehmen. Mache das Kreditunternehmen als Zahlungsdienstleister einen Ersatzanspruch nach § 44 Abs 2 ZaDiG gegenüber dem Kunden geltend, stünden demnach einander zwei für eine Aufrechnung taugliche gleichartige Forderungen iSd § 1438 ABGB gegenüber. Grundlage für die Durchführung der Verrechnung sei Z 59 der Allgemeinen Geschäftsbedingungen der Kreditunternehmen. Die Aufrechnungserklärung sei rechtzeitig und wirksam durch die Schreiben vom und erfolgt.
Das Erstgericht wies das Klagebegehren ab.
Es traf über die eingangs wiedergegebenen Feststellungen hinaus noch folgende weitere Feststellungen:
„Mit dem Abschluss des Geschäftsgirokonto-vertrags nahmen die Kläger zur Kenntnis, dass die im Schalterraum aufgelegten Allgemeinen Geschäftsbedingungen für Bankgeschäfte (AGB) und die Scheckbedingungen Geltung haben und einen integrierenden Bestandteil des Vertrags bilden. Ein Überweisungslimit war nicht vereinbart, weil infolge von Umbauarbeiten in der Frühstückspension auch höhere Umsätze anfielen. In den Schreiben, mit denen den Kunden der Beklagten die aktuellen persönlichen Transaktionsnummern (iTANs) übermittelt wurden, ist folgender Hinweis enthalten: „... Mit diesem Schreiben erhalten Sie Ihre aktuellen persönlichen Transaktionsnummern (iTANs), die Sie für die Freigabe Ihrer Electronic Banking Aufträge benötigen. Beim Autorisieren von Zahlungsaufträgen wird Ihnen vom System ein drei-stelliger Index vorgegeben, den Sie mit der dazu passenden TAN ergänzen müssen ... Sollte diese Liste in Verlust geraten oder besteht die Annahme, dass die Liste oder ihr Inhalt in unbefugte Hände gelangt ist, können Sie jederzeit in Ihrer Electronic Banking Anwendung alle aktiven iTAN Briefe sperren und eine neue Liste anfordern ... Unsere Mitarbeiter werden Sie zu keiner Zeit per E-Mail oder telefonisch dazu auffordern, ihre Zugangsdaten bzw PIN und/oder iTANs preiszugeben. Für Fragen steht Ihnen Ihr V*****-Berater oder unser Electronic-Banking Betreuer gerne zur Verfügung.“
An die Kunden der Beklagten wurden auch Warnhinweise ausgeschickt. „...Sehr geehrter V***** Kunde! In letzter Zeit sind wieder Phishing-Versuche im Umlauf, die an die V***** Kunden gerichtet sind. Diese dienen dazu, persönliche Benutzerdaten (zB Zugangsdaten, iTANs) für das Internet Banking auszuspionieren. Im aktuellen Fall wird der Kunde aufgefordert, seine iTANs via Fragebogen bekannt zu geben. Das Sicherheitsmerkmal TAN (Transaktionsnummer) dient ausschließlich zur Unterzeichnung Ihrer Aufträge und wird niemals für die Anmeldung benötigt und darf deshalb nicht bekannt gegeben werden. ...“
Die Bedingungen für „V***** Electronic Banking V 02/2011“ lauten ua wie folgt:
„A. Allgemeine Bestimmungen ... Sorgfaltspflichten: Den Kunden trifft die Obliegenheit, alle Buchungen laufend und sorgfältig auf ihre Richtigkeit zu überprüfen. Die Zugangsdaten und TANs dürfen nicht an Dritte, insbesondere auch nicht an andere Zahlungsdienstleister, weitergegeben werden. Jeder Verfüger und Ansichtsberechtigte ist verpflichtet, eine besondere Sorgfalt bei der Aufbewahrung walten zu lassen, um missbräuchliche Zugriffe zu vermeiden. Der Verfügername und die PIN sind regelmäßig zu ändern und dürfen in schriftlicher Form nur an einem sicheren Ort aufbewahrt werden. Die iTANs sind sicher zu verwahren. Bei Verlust von Identifikationsmerkmalen und TANs bzw wenn sonstige Umstände vorliegen, die einem unbefugten Dritten Missbrauch ermöglichen könnten, hat der Verfüger seine PIN selbständig zu ändern oder durch viermalige Falscheingabe des PIN eine Sperre vorzunehmen und bei Verlust, Diebstahl oder Missbrauchsgefahr die iTAN-Liste zu sperren. Ist dem Kunden eine selbständige Sperre nicht möglich, hat der Verfüger oder Ansichtsberechtigte die Bank unverzüglich zu benachrichtigen, …
Haftung: Sofern der Kunde seine persönlichen Sicherheits und Identifikationsmerkmale einem Dritten überlässt oder sofern ein unberechtigter Dritter infolge einer Sorgfaltswidrigkeit des Kunden Kenntnis von den persönlichen Sicherheits- und Identifikationsmerkmalen erlangt, trägt der Kunde bis zur Wirksamkeit der Sperre alle Folgen und Nachteile infolge der missbräuchlichen Verwendung. Ab der Wirksamkeit der Sperre haftet der Kunde nicht mehr. ...
In den Allgemeinen Geschäftsbedingungen für Bankgeschäfte, Fassung August 2013, (Allgemeiner Teil) der V***** heißt es unter anderem.... „VII. Aufrechnung und Verrechnung: A. Aufrechnung
1. Durch das Kreditinstitut
Z 59. (1) Das Kreditinstitut ist berechtigt, zwischen sämtlichen Ansprüchen des Kunden, soweit sie pfändbar sind, und sämtlichen Verbindlichkeiten des Kunden ihm gegenüber aufzurechnen ...“
Das von der Beklagten verwendete Online-Banking System ist aus technischer Sicht am Stand der Technik. In jedem bekannten Electronic Banking System besteht noch die Möglichkeit iTANs zu verwenden. Es gibt kein sichereres System als einen Einmal-Code. Die Unsicherheit entsteht erst dadurch, dass derjenige, der den Code besitzt, ihn an jemandem weitergibt, der ihn nicht besitzen sollte.
Der Erstkläger hatte die von der Beklagten übersandte iTAN Liste im Safe aufbewahrt und sie „extern“ niemals weitergegeben. Wie im Nachhinein festgestellt wurde, war sein Computer aber zum Zeitpunkt der verfahrensgegenständlichen Transaktionen mit dem Trojaner „Spyeyes“ kontaminiert, der Daten vom Webbrowser lesen kann. Damit ergibt sich ein technisch plausibler Kanal zur Offenlegung der iTANs. Es ist auszuschließen, dass der Kläger bei den vorliegenden Überweisungen „alles so machte wie sonst“ und darüber hinaus keine Eingaben tätigte, insbesondere nicht die Liste der iTANs gescannt und seine iTANs nicht eingegeben hat. Dem Phishing-Betrüger standen zum Zeitpunkt der Zugriffe zumindest der überwiegende Teil der noch gültigen und unverbrauchten iTANs des Erstklägers (Index und TAN) zur Verfügung. Daher musste der Erstkläger dem Phishing-Betrüger alle noch gültigen und unverbrauchten iTANs offengelegt haben. Es besteht die Möglichkeit, dass ein Web-Formular angezeigt wird und der Benützer dieses ausfüllt. Es könnte dem Benutzer beispielsweise vorgespiegelt werden, dass die iTANs ungültig werden und erneuert werden müssten und dann der Benutzer nicht nur den für die aktuelle Transaktion erforderlichen iTAN eingibt, sondern die gesamte Liste offenlegt. Technisch bietet sich kaum eine andere Möglichkeit als die, dass vom Benutzer (Erstkläger) die iTANs weitergegeben wurden.
Mit Urteil des Landesgerichts Klagenfurt als Schöffengericht vom wurde R***** A***** ua wegen der klagsgegenständlichen Überweisungen des Vergehens des betrügerischen Datenverarbeitungsmissbrauchs nach dem § 148a Abs 1 und 2 (1. und 2. Fall StGB) schuldig erkannt und insgesamt zu einer Freiheitsstrafe von 18 Monaten verurteilt. Ein Teil der verhängten Freiheitsstrafe wurde unter Bestimmung einer Probezeit bedingt nachgesehen.
Rechtlich war das Erstgericht der Auffassung, den Klägern stehe ein Richtigstellungs- bzw Erstattungsanspruch gegen die Beklagte nach § 44 Abs 1 ZaDiG zu. Da die Kläger die iTANs dem Phishing-Betrüger durch Ausfüllen eines generierten Formulars ungeachtet entsprechender Warnungen offengelegt haben, hätten sie der Beklagten aus dem Titel des Schadenersatzes jedweden Nachteil aus dem Vorfall zu ersetzen. Dieser Nachteil bestehe gerade in der Erstattung des durch die missbräuchlichen Buchungen bezogenen Geldbetrags. Die Beklagte habe somit einen Schadenersatzanspruch gemäß § 44 Abs 2 ZaDiG, mit dem sie gegen den Erstattungsanspruch der Kläger zulässigerweise aufgerechnet habe.
Das Berufungsgericht gab der Berufung der Kläger nicht Folge. Rechtlich ging es davon aus, dass eine Aufrechnung der Ansprüche nach § 44 Abs 1 und Abs 2 ZaDiG möglich sei, weil sich sowohl der Erstattungsanspruch als auch der Schadenersatzanspruch unabhängig vom Schuldgrund auf Geld (im engeren oder weiteren Sinn) richteten und deshalb gleichartig seien. Die vorherige Einlösung oder Zahlung der Forderung sei nicht Voraussetzung der Aufrechnung, sondern nur die Fälligkeit. Die Fälligkeit beider Forderungen ergebe sich aus der wechselseitigen Einmahnung durch die Streitteile. Die Berufung auf die Bedingungen für das V*****“ sei keineswegs dem Gesetz widersprechend, überraschend oder gröblich benachteiligend. Die Kläger hätten einen Massenvertrag geschlossen und sich den allgemein zur Ansicht offenen Vertragsbedingungen insoweit unterworfen, als sich diese Bedingungen im Rahmen des Üblichen halten und nichts bestimmen, was in ihnen nicht vermutet werden könne. Zudem hätten sich die Kläger diesen Bedingungen durch mehrjährige Verwendung des „V*****“ auch schlüssig unterworfen. Die Kläger seien Unternehmer, sodass nach § 26 Abs 6 zweiter Satz ZaDiG in zulässiger Weise zu ihren Lasten eine von § 44 Abs 2 ZaDiG (und der darin enthaltenen vertragsmäßigen Beschränkung der Haftung bei leichter Fahrlässigkeit auf 150 EUR) abweichende Vereinbarung für den Fall getroffen werden konnte, dass ein Dritter auch nur infolge einer leichten Sorgfaltswidrigkeit Kenntnis von den persönlichen Sicherheits- und Identifikationsmerkmalen erlangt. Unternehmer seien häufig besser in der Lage, das Betrugsrisiko einzuschätzen und Gegenmaßnahmen zu treffen, weshalb eine derartige Vereinbarung grundsätzlich sachlich gerechtfertigt und damit nicht gröblich benachteiligend sei. Auch das allgemeine Schadenersatzrecht des ABGB kenne keine Haftungsbeschränkung bei leichter Fahrlässigkeit. Schon die Qualifizierung des Verhaltens des Erstklägers als leicht sorgfaltswidrig führe daher zur Schadenersatzhaftung nach § 44 Abs 2 ZaDiG. Ob auch Kleinstunternehmer wie die Kläger (deren Frühstückspension nur fünf Zimmer umfasse) in der Lage seien, das Betrugsrisiko besser abzuschätzen und bessere Gegenmaßnahmen treffen zu können, sei zweifelhaft. Diese Frage könne aber im Hinblick auf die Rechtsprechung des Obersten Gerichtshofs zum Verhaltensmaßstab des einfachen Verbrauchers und Konsumenten im Zusammenhang mit Klauseln von Kreditkartenunternehmen dahingestellt bleiben. Bei einer Kreditkarte begründe die Weitergabe des PIN-Codes, dessen gemeinsame Verwahrung mit der Karte, ein Niederschreiben des PIN-Codes oder gleichartige, auf eigenem Willensentschluss des Karteninhabers beruhende Handlungen, die die Erlangung des PIN-Codes durch Dritte ermöglichen, im Missbrauchsfall die „volle Haftung“ des Karteninhabers. Demgemäß treffe auch die unternehmerisch tätigen Kläger, die trotz Warnungen die iTANs herausgegeben haben, die volle Schadenersatzhaftung. Die Zweitklägerin müsse sich das Verhalten des Erstklägers zurechnen lassen. Wie sich aus der kontovertraglichen Vereinbarung eines Oder-Kontos (Z 35 Abs 2 AGB) ergebe, haften die Kontomitinhaber für Verbindlichkeiten aus dem Konto als Solidarschuldner. Der durch das Verhalten des Erstklägers ausgelöste Schadenersatzanspruch der Beklagten sei eine Verpflichtung aus dem Konto, für die alle Inhaber zur ungeteilten Hand haften. Soweit sich die Kläger darauf stützten, dass auch die Bank ein Verschulden treffe, weil sie die iTAN-Liste nicht eingeschrieben, sondern mit herkömmlicher Post übersandt habe, sei die Berufung mangels entsprechenden erstinstanzlichen Vorbringens nicht gesetzmäßig ausgeführt.
Das Berufungsgericht ließ die ordentliche Revision mit der Begründung zu, es bestehe keine Rechtsprechung des Obersten Gerichtshofs zum Verhältnis der Ansprüche nach § 44 Abs 1 und 2 ZaDiG sowie zur Einschränkung des Verschuldensgrades nach § 44 Abs 2 ZaDiG.
Gegen diese Entscheidung erhoben beide Kläger Revision wegen unrichtiger rechtlicher Beurteilung mit dem Antrag, das angefochtene Urteil im Sinne einer Stattgebung des Klagebegehrens abzuändern. Hilfsweise wurde ein Aufhebungsantrag gestellt.
Die Beklagte beantragte in ihrer Revisionsbeantwortung, dem Rechtsmittel der Kläger keine Folge zu geben.
Rechtliche Beurteilung
Die Revision ist aus den vom Berufungsgericht genannten Gründen zulässig; sie ist aber nicht berechtigt.
Die Revisionswerber halten zusammengefasst weiter daran fest, der Berichtigungs- bzw Erstattungsanspruch nach § 44 Abs 1 ZaDiG und der Schadenersatzanspruch nach § 44 Abs 2 ZaDiG seien nicht aufrechenbar. Die von § 44 Abs 2 ZaDiG abweichend vereinbarte Haftungserweiterung sei für Kleinstunternehmer wie die Kläger sachlich nicht gerechtfertigt und nach § 879 Abs 3 ABGB unwirksam. Jedenfalls wäre der den Erstkläger treffende Verschuldensgrad nur als gering zu bewerten. Eine Mithaftung der zweitklagenden Ehefrau sei zu verneinen, weil es sich um einen Schadenersatzanspruch nach § 44 Abs 2 ZaDiG handle.
Dazu ist Folgendes auszuführen:
1.1 D er dem Zahlungsdienstnutzer bei einem nicht autorisierten Zahlungsvorgang zustehende Berichtigungsanspruch wird sowohl in § 36 Abs 3 als auch in § 44 Abs 1 ZaDiG genannt. § 36 Abs 3 ZaDiG gibt dem Zahlungsdienstnutzer einen Anspruch auf Berichtigung, sofern er den Zahlungsdienstleister unverzüglich nach Feststellung eines nicht autorisierten Zahlungsvorgangs davon unterrichtet. Nach § 44 Abs 1 ZaDiG hat der Zahlungsdienstleister des Zahlers unbeschadet des § 36 Abs 3 diesem im Fall eines nicht autorisierten Zahlungsvorgangs den Betrag des nicht autorisierten Zahlungsvorgangs unverzüglich zu erstatten und das belastete Konto wieder auf den Stand zu bringen, auf dem es sich ohne den nicht autorisierten Zahlungsvorgang befunden hätte. Der Zahlungsdienstleister ist demnach ganz allgemein zur Berichtigung des Kontostands im Fall der Belastung aufgrund eines nicht autorisierten Zahlungsvorgangs verpflichtet. Die zwingende Zuweisung des Missbrauchsrisikos an den Zahlungsdienstleister rechtfertigt sich dadurch, dass er das Risiko technisch und wirtschaftlich besser beherrschen kann. Der Zahlungsdienstleister kann das Zahlungssystem möglichst sicher ausgestalten und die wenigen Missbrauchsfälle bei der Preiskalkulation absorbieren ( Haghofer , Kundenschutz im neuen Zahlungsdienstegesetz, ecolex 2010, 21 und 128 [129]).
1.2 Trifft den Kunden jedoch ein Verschulden am Missbrauch, wird er dem Zahlungsdienstleister nach Maßgabe des § 44 Abs 2 und 3 ZaDiG schadenersatzpflichtig. § 44 Abs 2 und 3 ZaDiG regelt die Haftung des Kunden zwingend und abschließend (vgl RIS Justiz RS0128542). Eine Ersatzpflicht besteht nur, wenn der Kunde eine ihn nach § 36 Abs 1 ZaDiG treffende Sorgfaltspflicht verletzt hat, er also nach Erhalt des Zahlungsinstruments nicht die ihm zumutbaren und in den Nutzungsbedingungen vorgesehenen Vorkehrungen getroffen hat, um die personalisierten Sicherheitsmerkmale und das Zahlungsinstrument vor einem unbefugten Zugriff zu schützen. Außerdem muss der Kunde den Verlust, den Diebstahl oder die nicht autorisierte Nutzung eines Zahlungsinstruments unverzüglich anzeigen, sobald er davon Kenntnis hat.
1.3 Im Fall einer bloß leicht fahrlässigen Verletzung dieser Sorgfaltspflichten ist die Haftung des Kunden abweichend vom allgemeinen Schadenersatzrecht auf einen Betrag von 150 EUR beschränkt. Nur im Fall eines groben Verschuldens besteht grundsätzlich eine Haftung für den gesamten Schaden des Zahlungsdienstleisters, die jedoch durch die Limits begrenzt wird, die für das Konto und das Zahlungsinstrument vereinbart sind.
1.4 Im Fall des Mitverschuldens des Zahlungsdienstleisters kommt es zu einer Teilung des Schadens, für die insbesondere die in § 44 Abs 2 Satz 3 ZaDiG aufgezählten Zurechnungsgründe maßgeblich sind.
1.5 Somit kann der Zahler im Fall der schuldhaften Verletzung der ihn nach § 36 ZaDiG treffenden Sorgfaltspflichten im Ergebnis den nach § 44 Abs 1 ZaDiG bestehenden Berichtigungs- und Erstattungsanspruch (allenfalls ganz) verlieren. Der Zahlungsdienstleister kann dann die Belastung des Kontos des Zahlers ganz oder teilweise auf den ihm nach § 44 Abs 2 ZaDiG zustehenden Schadenersatzanspruch stützen, der insofern den bei nicht autorisierten Zahlungsvorgängen fehlenden Aufwandersatzanspruch nach § 1014 ABGB ganz oder teilweise ersetzt ( Haghofer in Weilinger , ZaDiG § 44 Rz 16).
2.1 Während § 44 Abs 1 ZaDiG auch zu Gunsten von Nichtverbrauchern zwingend ist, können gemäß § 26 Abs 6 ZaDiG gegenüber Zahlungsdienstnutzern, die nicht Verbraucher sind, von den Vorgaben des ZaDiG abweichende Vereinbarungen hinsichtlich der Schadenstragungsregeln bei nicht autorisierten Zahlungsvorgängen im Fall eines Verschuldens des Zahlungsdienstnutzers (§ 44 Abs 2 und 3 ZaDiG) getroffen werden.
2.2 Welcher Zahlungsdienstnutzer als Verbraucher oder Nichtverbraucher anzusehen ist, wird in § 3 Z 11 ZaDiG definiert. Nichtverbraucher sind alle Personen, die die Zahlungsdienste zum Zweck der Ausübung ihrer beruflichen und gewerblichen Tätigkeit in Anspruch nehmen (siehe auch Art 4 Nummer 11 der RL 2007/64/EG).
2.3 Hinsichtlich der Determinierung der Verbrauchereigenschaft kommt es auf den Zeitpunkt des Abschlusses des Rahmenvertrags an, somit im vorliegenden Fall auf den Zeitpunkt des Abschlusses des Girokontovertrags für Geschäftszwecke. Nutzten die Kläger dieses Geschäftskonto in der Folge auch privat, sollen ihnen keine Verbraucherrechte in dem Zusammenhang zugute kommen, weil es für die Beklagte als Zahlungsdienstleister im Einzelfall nicht unbedingt nachvollziehbar ist, wann eine private oder betriebliche Nutzung gegeben ist ( Leixner , ZaDiG § 3 Rz 21; Weilinger/Knauder in Weilinger , ZaDiG § 26 Rz 63).
3.1 Die Revisionswerber führen weiters ins Treffen, die von § 44 Abs 2 ZaDiG abweichende Vereinbarung sei auch deshalb nichtig, weil sie als „Kleinstunternehmer“ Verbrauchern gleichzuhalten wären und bei Nichtgleichhaltung eine gröbliche Benachteiligung gegeben wäre.
3.2 Der Begriff „Kleinstunternehmer“ wird im Zusammenhang mit der Verbrauchereigenschaft in Erwägungsgrund 20 der RL 2007/64/EG des Europäischen Parlaments und des Rates vom über Zahlungsdienste im Binnenmarkt erwähnt. Dort wird ausgeführt, dass im Hinblick auf die Verschiedenartigkeit der Situation von Verbrauchern und Unternehmern Letztere auch nicht im selben Umfang geschützt werden müssten. Zwar müssen die Verbraucherrechte durch Vorschriften geschützt werden, von denen vertraglich nicht abgewichen werden darf , doch sollte es Unternehmen und Organisationen freistehen, abweichende Vereinbarungen zu schließen. Gleichwohl sollten die Mitgliedstaaten vorschreiben können, dass Kleinstunternehmen im Sinn der Empfehlung 2003/361/EG der Kommission vom betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen genauso behandelt werden, wie Verbraucher.
3.3 Der österreichische Gesetzgeber, der die Zahlungsdienste Richtlinie RL 2007/64/EG durch das am in Kraft getretene Zahlungsdienstegesetz (ZaDiG), BGBl I 2009/66 idgF, in innerstaatliches Recht umgesetzt hat, machte von diesem in Art 30 Abs 2 RL 2007/64/EG festgelegten Wahlrecht, Kleinstunternehmen nach der Definition in der Empfehlung 2003/361/EG wie Verbraucher zu behandeln, im ZaDiG keinen Gebrauch. Er verwies in den Gesetzesmaterialien (vgl ErläutRV 207 BlgNR 24. GP 33) vielmehr darauf, dass der Richtliniengesetzgeber im Fall der Haftung für nicht autorisierte Zahlungsvorgänge (§ 44 Abs 2 bis 4) davon ausgehe, dass Zahlungsdienstnutzer, die nicht Verbraucher sind, in der Regel besser in der Lage seien, das Betrugsrisiko einzuschätzen und Gegenmaßnahmen zu ergreifen. Das Haftungsregime im Falle des Verschuldens des Zahlungsdienstleisters oder fehlenden Verschuldens des Zahlungsdienstnutzers (§ 44 Abs 1) bleibe allerdings zwingend anwendbar.
3.4 Vertragsklauseln in Rahmenverträgen, die zum Nachteil eines (Kleinst )Unternehmens von den Vorgaben des § 44 Abs 2 und 3 ZaDiG abweichen, sind daher grundsätzlich sachlich gerechtfertigt und damit wirksam auch nach dem Maßstab des § 879 Abs 3 ABGB. Es ist daher auch nicht gröblich benachteiligend iSd § 879 Abs 3 ABGB, wenn die in § 44 Abs 2 Satz 2 ZaDiG für den Bereich der leichten Fahrlässigkeit vorgesehene betragsmäßige Beschränkung der Haftung der Zahler auf höchstens 150 EUR abbedungen wird, zumal auch das allgemeine Schadenersatzrecht des ABGB keine Haftungsbeschränkung bei leichter Fahrlässigkeit kennt ( Haghofer in Weilinger , ZaDiG § 44 Rz 38 f). Soweit die Revisionswerber aus dem Hinweis von Haghofer aaO § 44 Rz 38, Kleinstunternehmer würden in der Regel das Risiko nicht besser als Verbraucher beherrschen, doch eine Gleichstellung mit Verbrauchern ableiten wollen, ist dem nicht zu folgen, weil in Österreich entgegen der Option der RL 2007/64/EG Kleinstunternehmer nicht dem Verbraucherregime unterstellt wurden.
4. Zur Sorgfaltswidrigkeit des Erstklägers
4.1 Zur Klärung der Frage, ob ein Verschulden des Zahlers iSd § 44 Abs 2 ZaDiG vorliegt, ist das allgemeine Schadenersatzrecht heranzuziehen, soweit in § 44 Abs 2 ZaDiG nichts Abweichendes vorgesehen ist ( Leixner , ZaDiG 2 § 44 Rz 7). Es handelt sich dabei um eine Haftung wegen Verletzung von Sorgfaltspflichten, die den Zahler gemäß § 36 ZaDiG im nebenvertraglichen Schuldverhältnis gegenüber dem Zahlungsdienstleister treffen ( Haghofer in Weilinger , ZaDiG § 44 Rz 16).
4.2 Eine Rechtsprechung des Obersten Gerichtshofs zum Verschulden bzw zum Grad des Verschuldens des Kontoinhabers in einem vergleichbaren Fall einer Phishing-Attacke liegt soweit ersichtlich nicht vor. Die vom Berufungsgericht zitierte Entscheidung 10 Ob 70/07b erging zu Klauseln in AGB eines Kreditkartenunternehmens und nicht zu einer Phishing Attacke beim Online-Banking. Zudem bestand zum Zeitpunkt des Ergehens dieser Entscheidung noch keine Veranlassung, die dort verwendeten Klauseln an Kriterien zu messen, wie sie mit der Zahlungsdienste-Richtlinie und den §§ 36 und 44 ZaDiG festgelegt wurden (9 Ob 7/15t). In der von den Revisionswerbern zitierten Entscheidung 2 Ob 107/08m war dem Kontoinhaber keine unzureichende Geheimhaltung seiner PIN und TAN Codes vorwerfbar, weswegen kein Anhaltspunkt für ein fahrlässiges oder auch nur ursächliches Verhalten angenommen wurde. In der Entscheidung 9 Ob 3/08v wurde lediglich festgehalten, im Falle des betrügerischen Herauslockens von „iTANs“ könne eine erhebliche Sorglosigkeit eines Opfers einer Phishing Attacke ohne näheres Sachvorbringen selbst dann nicht unterstellt werden, wenn der getäuschte Kontoinhaber aufgrund der gelungenen betrügerischen Aktion die TAN-Codes selbst preisgegeben habe.
4.3 Wie bereits das Berufungsgericht zutreffend ausgeführt hat, ist im vorliegenden Fall im Hinblick auf die (zulässig erfolgte) Abbedingung der in § 44 Abs 2 ZaDiG enthaltenen Haftungshöchstgrenze eine Beurteilung des Verhaltens des Erstklägers als grobe oder leichte Sorgfaltswidrigkeit nicht erforderlich. Für den anzulegenden Sorgfaltsmaßstab mag es einen graduellen Unterschied machen, ob der Phishing Betrüger die iTANs auszuspionieren versucht, indem er telefonisch oder per Mail (etwa in fehlerhaftem Deutsch) oder aber w ie im vorliegenden Fall mittels eines generierten Formulars, das während des Zahlungsvorgangs im Design des jeweiligen Zahlungsdienstleisters am Bildschirm erscheint, um deren Bekanntgabe ersucht Eine jedenfalls leichte Sorgfaltswidrigkeit ergibt sich aber auch im vorliegenden Fall schon daraus, dass der Erstkläger seit mehreren Jahren mit dem Online Banking vertraut war und daher wissen hätte müssen, dass für den Zugang niemals ein oder gar mehrere iTANs, sondern allein Kontonummern und PIN abgefragt werden und für jeden einzelnen Überweisungsvorgang nur ein einziger iTAN einzugeben war. Dennoch verstieß er gegen eindeutige Sicherheitsanweisungen und Warnungen, indem er der im Rahmen eines Zahlungsvorgangs völlig unüblichen Aufforderung zur Bekanntgabe seiner iTANs nachkam und eine Mehrzahl von iTANs gleichzeitig eingab, ohne Verdacht zu schöpfen bzw den Vorgang abzubrechen und mit einem Mitarbeiter/einer Mitarbeiterin der Beklagten Rücksprache zu halten und Erkundigungen einzuholen, wie die Aufforderung einzuordnen ist (siehe auch die deutsche Rechtsprechung BGH XI ZR 96/11; OLG München 17 U 3527/11 ua; Apathy/Iro/Koziol, Österreichisches Bankvertragsrecht III Rz 3/44). Dass ihm leichte Sorgfaltswidrigkeit zur Last zu legen ist, gesteht der Erstkläger in der Revision letztlich auch selbst zu.
4.4 Dem neuerlichen Vorbringen der Revisionswerber, die iTAN Liste sei von der Beklagten nur mit einfacher, nicht rekommendierter Post versandt worden, sodass auch ein Ausspionieren der iTANs möglich gewesen wäre, hat bereits das Berufungsgericht mit Recht entgegengehalten, dass ein diesbezügliches Prozessvorbringen in erster Instanz nicht erstattet wurde. Die von den Revisionswerbern auch geäußert Ansicht, der Beklagten wäre der Beweis für ein Fehlverhalten der Kläger iSd § 44 Abs 2 ZaDiG nicht gelungen, steht im Widerspruch zum festgestellten Sachverhalt.
4.5 Das Berufungsgericht hat das Vorliegen eines erstinstanzlichen Verfahrensmangels, wonach das vom Erstgericht aus dem Fachgebiet der Informatik eingeholte Sachverständigengutachten einen unzulässigen Erkundungsbeweis darstelle, verneint. Ein bereits vom Berufungsgericht verneinter angeblicher Verfahrensmangel erster Instanz kann aber nach ständiger Rechtsprechung im Revisionsverfahren nicht mehr mit Erfolg geltend gemacht werden (RIS Justiz RS0042963 ua).
5. Zur Aufrechnung:
5.1 Dem Revisionsvorbringen, die Klageforderung sei auf keine Geld- oder Buchgeldforderung, sondern auf eine Handlung (die Berichtigung des Kontostands) gerichtet, ist einzuräumen, dass der Kunde aus dem Titel des Schadenersatzes von weitergehenden Schäden abgesehen nur Naturalrestitution in Form der Stornierung der Belastungsbuchung, nicht aber einen Ausgleich durch Barauszahlung der abgebuchten Beträge fordern kann. Ein schadenersatzrechtlicher Anspruch auf Zahlung des zu Unrecht abgebuchten Betrags steht ihm nach ständiger Rechtsprechung nicht zu (RIS Justiz RS0045851 [T3]).
5.2 Die Kläger stützen ihr Klagebegehren aber nicht nur auf Schadenersatz, sondern auch auf § 44 Abs 1 ZaDiG. Wie bereits das Berufungsgericht zutreffend ausgeführt hat, richtet sich die Frage, ob Forderungen gleichartig iSd § 1438 ABGB sind, nicht nach dem Rechtsgrund, sondern nach dem Gegenstand der Ansprüche bzw ihrem Inhalt (RIS-Justiz RS0033754; Griss in KBB 4 § 1440 Rz 1 mwN). Inhaltlich folgt aus § 44 Abs 1 ZaDiG im Fall einer kontobezogenen Zahlung der Berichtigungsanspruch, im Fall einer nicht kontobezogenen Zahlung der Anspruch auf Erstattung des Betrags der nicht autorisierten Zahlung ( Haghofer in Weilinger , ZaDiG § 44 Rz 1). Der Berichtigungsanspruch nach § 44 Abs 1 ZaDiG wird durch eine Gutschrift auf dem Kundenkonto und eine korrespondierende Belastung auf dem Hauptbuchkonto des Kreditunternehmens abgewickelt und richtet sich somit auf Giralgeld. Nach der in § 3 Z 14 ZaDiG für den Bereich des Zahlungsdienstegesetzes enthaltenen Definition des Begriffs „Geldbetrag“ umfasst dieser Begriff neben Banknoten und Münzen auch Giralgeld und elektronisches Geld iSd § 1 Abs 1 E GeldG 2010. Daraus ist abzuleiten, dass der Klageanspruch soweit er auf § 44 Abs 1 ZaDiG infolge einer nicht autorisierten kontobezogenen Zahlung gestützt ist, auf einen Geldbetrag iSd § 3 Z 14 ZaDiG gerichtet ist. Die Aufrechnung mit einer ebenfalls auf einen Geldbetrag iSd § 3 Z 14 ZaDiG gerichteten Schadenersatzforderung nach § 44 Abs 2 ZaDiG scheitert somit nicht am Erfordernis der Gleichartigkeit.
5.3.1 Eine Regelung zur Verteilung der Beweislast im Fall von nicht autorisierten Zahlungsvorgängen findet sich in § 34 Abs 3 ZaDiG. Bestreitet der Kunde die Autorisierung eines Zahlungsvorgangs, muss der Zahlungsdienstleister gemäß § 34 Abs 3 ZaDiG zunächst nachweisen, dass der äußere Anschein für die Autorisierung spricht. Diesen Anscheinsbeweis kann der Kunde erschüttern, indem er die ernsthafte Möglichkeit eines atypischen Geschehensablaufs beweist, wodurch die Beweislast wieder auf den Zahlungsdienstleister übergeht, der sodann den strikten Beweis zu erbringen hat. Bestreitet der Kunde, die getätigte Transaktion in Auftrag gegeben bzw autorisiert zu haben, muss der Zahlungsdienstleister den entsprechenden Betrag zurückerstatten bzw den Kontostand richtigstellen (§ 44 Abs 1 ZaDiG). Hat dies der Zahlungsdienstleister getan, dann ist er im Prozess auf die Rolle des Klägers verwiesen und hat (allenfalls) den Beweis zu erbringen, dass die Voraussetzungen für einen Schadenersatzanspruch gegen den Kunden vorliegen ( Harrich , ZaDiG, Zivilrechtliche Aspekte des Zahlungsdienstegesetzes [2011] 327 ff; Leixner , ZaDiG 2 § 34 Rz 8 mwN, 328).
5.3.2 Im vorliegenden Fall nimmt der Zahlungsdienstleister nach außergerichtlicher Erklärung der Aufrechnung mit dem Schadenersatzanspruch nach § 44 Abs 2 ZaDiG nicht die Klägerrolle, sondern jene der beklagten Partei ein. Diese Verteilung der Parteienrollen führt aber nicht zu einer Änderung der Beweislast. Auch in der Rolle als Beklagter trifft den Zahlungsdienstleister entsprechend § 34 Abs 3 ZaDiG die Beweislast für die Voraussetzungen des Schadenersatzanspruchs nach § 44 Abs 2 ZaDiG (welchen Beweis die Beklagte erbringen konnte). Dass § 44 Abs 1 ZaDiG dem Zahlungsdienstleister zwingend immer die Klägerrolle zuweise, weshalb eine Aufrechnung nicht in Betracht komme, ist aus dem ZaDiG nicht ableitbar.
5.4.1 Da die Aufrechnung wechselseitige Schuldtilgung ohne tatsächlichen Leistungsaustausch ist, ist die vorherige Berichtigung (Erstattung) der Forderung nicht Voraussetzung für eine Aufrechnung ( Griss in KBB 4 § 1438 Rz 1).
5.4.2 Nach § 44 Abs 1 ZaDiG muss der Zahlungsdienstleister im Fall der Ausführung einer vom Zahler nicht autorisierten Zahlung zwar „unverzüglich“ das belastete Konto wieder auf den Stand bringen, auf dem es sich ohne Zahlung befände. Daraus lässt sich aber nicht ableiten, dass vor Gutbuchung iSd § 44 Abs 1 ZaDiG die Gegenforderung iSd § 44 Abs 2 ZaDiG (generell) noch nicht fällig sein sollte.
5.4.3 Dass auch in der zweiten Aufrechnungserklärung im Schreiben des Beklagtenvertreters vom (Beilage 11) der Schadensbetrag von 42.000 EUR nicht genannt war (sodass es an einer ziffernmäßig bestimmten Aufrechnungserklärung mangelt), wird in der Revision nicht mehr vorgebracht.
5.5 Abschließend ist mit den Ausführungen des Berufungsgerichts noch darauf hinzuweisen, dass auch in der deutschen Rechtsprechung die Möglichkeit einer Aufrechnung mit einem Schadenersatzanspruch des Zahlungsdienstleisters nach § 675v Abs 2 BGB (entspricht § 44 Abs 2 ZaDiG) gegen einen Erstattungsanspruch des Zahlers aufgrund eines nicht autorisierten Zahlungsvorgangs nach § 675u BGB (entspricht § 44 Abs 1 ZaDiG) bejaht wird (vgl BGH , AZ 17 U 3527/11 ua).
6. Zur Haftung der Zweitklägerin:
6.1 Es steht fest, dass beide Kläger Inhaber des auf sie beide lautenden Girokontos (Geschäftskontos) sind und ihnen die Beklagte im Jahr 2009 den Zugang zum „V*****“ eingeräumt hat. Das Berufungsgericht ging von einem Gemeinschafts- bzw Oder-Konto aus und erachtete unter Hinweis auf Z 35 Abs 2 der Allgemeinen Bankbedingungen (AGB) die aufrechnungsweise geltend gemachte Schadenersatzforderung nach § 44 Abs 2 ZaDiG als Verbindlichkeit aus dem Konto, für die die Zweitklägerin als Solidarschuldnerin hafte. Dem setzen die Revisionswerber den Einwand der mangelnden Gegenseitigkeit entgegen, indem sie geltend machen, es handle sich um eine allein gegen den Erstkläger gerichtete Schadenersatzforderung. Diesem Einwand kommt aber keine Berechtigung zu:
6.2 Wesen des Gemeinschaftskontos („Oder Kontos“) ist, dass jeder der mehreren Inhaber im eigenen Namen über das gesamte Guthaben allein verfügen kann, also ein Fall der vertraglichen Gesamtgläubigerschaft vorliegt (3 Ob 610/90, SZ 63/226). Die Bank ist grundsätzlich berechtigt, jedem der Gläubiger nach freier Wahl zu leisten. Sie muss nur einmal leisten und wird dadurch gegenüber den anderen Kontoinhabern von ihrer Schuld befreit (§ 893 ABGB). Sobald ein Gläubiger die Zahlung fordert, kann sie aber nur mehr an diesen gültig leisten. Die Bank kann zwischen ihrer Forderung gegen nur einen der Kontoinhaber und dessen Anspruch auf Auszahlung des Kontoguthabens auch aufrechnen, weil infolge der Gesamtforderung gemäß § 892 ABGB die Gegenseitigkeit gegeben ist, solange nicht ein anderer Kontoinhaber sie um Auszahlung des Guthabens „angeht“ ( Apathy/Iro/Koziol , Österreichisches Bankvertragsrecht I 2 Rz 1/335, Österreichisches Bankvertragsrecht II 2 Rz 1/140; Dullinger , Handbuch der Aufrechnung 51 f).
6.3 Entsprechend diesen Grundsätzen konnte die Beklagte die ihr gegen den Erstkläger zustehende fällige Gegenforderung nach § 44 Abs 2 ZaDiG diesem gegenüber aufrechnen, da er forderungsberechtigt ist und somit Gegenseitigkeit gemäß § 1441 ABGB gegeben ist.
Der Revision der Kläger kommt daher insgesamt keine Berechtigung zu.
Die Entscheidung über die Kosten des Revisionsverfahrens beruht auf den §§ 41, 50 ZPO.
European Case Law Identifier
ECLI:AT:OGH0002:2016:0100OB00102.15W.0315.000