OGH vom 24.02.2009, 9Ob3/08v
Kopf
Der Oberste Gerichtshof hat als Revisionsgericht durch den Vizepräsidenten des Obersten Gerichtshofs Dr. Rohrer als Vorsitzenden und die Hofräte des Obersten Gerichtshofs Dr. Spenling, Dr. Hradil, Dr. Hopf und Dr. Kuras als weitere Richter in der Rechtssache der klagenden Partei B***** ***** Bank *****, *****, vertreten durch Dr. Walter Waizer, Rechtsanwalt in Innsbruck, gegen die beklagte Partei Hilmar H*****, *****, vertreten durch Univ.-Doz. Dr. Herbert Fink, Rechtsanwalt in Innsbruck, wegen 15.887,68 EUR sA, über die Revision der beklagten Partei gegen das Urteil des Oberlandesgerichts Innsbruck als Berufungsgericht vom , GZ 4 R 118/07w-26, in der Fassung des Berichtigungsbeschlusses vom , GZ 4 R 118/07w-27, womit das Urteil des Landesgerichts Innsbruck vom , GZ 57 Cg 74/06b-19, abgeändert wurde, in nichtöffentlicher Sitzung zu Recht erkannt:
Spruch
Der Revision wird nicht Folge gegeben.
Die beklagte Partei ist schuldig, der klagenden Partei die mit 875,34 EUR (darin 145,89 EUR USt) bestimmten Kosten des Revisionsverfahrens binnen vierzehn Tagen bei Exekution zu ersetzen.
Text
Entscheidungsgründe:
Der Beklagte war mit der Klägerin einen Kooperationsvertrag als Kreditvermittler eingegangen. So sollte der Beklagte für vermittelte Kreditbeträge 50 % der Bearbeitungsgebühren und außerdem 25 EUR für jedes vermittelte Konto erhalten. In diesem Zusammenhang wurde über sein Ersuchen bei der Klägerin ein Privatgirokonto zur Nr. ***** eröffnet. Dieses sollte laut Kontoeröffnungsantrag ausschließlich für Zahlungsbewegungen auf eigene Rechnung dienen. Der Beklagte erklärte sich mit der Geltung der „Allgemeinen Geschäftsbedingungen der Bank *****" (ident mit den ABB) einverstanden. Ein Überziehungsrahmen wurde zwischen den Streitteilen nicht vereinbart, es wäre dem Beklagten auch nicht gestattet worden, sein Konto zu überziehen. Auf diesem Girokonto gingen in der Folge Provisionen ein, welche von der Klägerin stammten. Neben seiner geschäftlichen Beziehung zur Klägerin ging der Beklagte auch eine Geschäftsbeziehung zu einem Unternehmen „E-Joes Investments" ein. Per E-Mail wurde dem Beklagten von diesem Unternehmen (idF „Gesellschaft" genannt) mitgeteilt, dass es für Kunden im europäischen Raum Geldtransfers durchführe und hiefür Finanzdienstleister brauche. Die Kunden gäben der Gesellschaft den Auftrag, die Gesellschaft mache den Geldtransfer via Bank auf das Konto des Beklagten und dieser habe das Geld dann per Geldtransfer weiterzuleiten. Dieser Vorgang wurde damit erklärt, dass manchmal in Länder überwiesen werden müsste, in welchen der Kunde zwar kein Konto habe, aber über eine Codenummer an das transferierte Geld herankomme. Der Beklagte sagte zu, die Tätigkeit in der Form zu übernehmen, dass er sein Konto für Zahlungseingänge zur Verfügung stellt und dann nach Aufforderung durch die „Gesellschaft" den eingegangenen Betrag abzüglich der ihm zustehenden Provision bar abhebt und mittels Transfer auf ein von der Gesellschaft bekannt gegebenes Konto einzahlt.
In der Folge wurden dem Beklagten Geldeingänge binnen drei Tagen avisiert, mittels E-Mail wurde er davon informiert, wohin er das Geld übermitteln solle. Tatsächlich handelte es sich bei den angeblich einzahlenden „Kunden", von deren Konten Beträge auf das Konto des Beklagten gelangten, um Opfer einer „Phishing"-Aktion, an der die „Gesellschaft" beteiligt war. Kunden, die bei der Klägerin Kontos unterhielten, wurden in offensichtlich betrügerischer Weise die für Telebanking erforderlichen „TANs" (= Transaktionsnummern) herausgelockt, die dann für angebliche Überweisungsaufträge der Kontoinhaber gegenüber der Klägerin auf das Konto des Beklagten benutzt wurden. So wurden vom Konto des Jürgen C***** Beträge von 5.541,37 EUR und 6.107,83 EUR sowie vom Konto der Nereida J***** 4.500,71 EUR abgehoben und auf das Konto des Beklagten transferiert, welcher die Beträge abzüglich seiner Provision weiterleitete. Es konnte nicht festgestellt werden, dass der Beklagte von einer „Phishing-Aktion" Bescheid wusste oder gar wissentlich an dieser beteiligt war.
Sowohl Jürgen C***** als auch Nereida J***** überzeugten die Klägerin, dass sie keine Überweisungsaufträge bezüglich der genannten Beträge erteilt haben. Aufgrund dessen schrieb die Klägerin die von deren Konten erfolgten Abbuchungen wieder gut und stornierte die diesbezüglichen Gutschriften auf dem Konto des Beklagten. In den dem Vertragsverhältnis zwischen den Streitteilen zu Grunde liegenden AGB (= ABB) heißt es in Z 40 Abs 2: „Das Kreditinstitut kann Gutschriften, die es aufgrund des eigenen Irrtums vorgenommen hat, jederzeit stornieren. In anderen Fällen wird das Kreditinstitut die Gutschriften nur dann stornieren, wenn ihm die Unwirksamkeit des Überweisungsauftrages eindeutig nachgewiesen wurde. Durch einen zwischenzeitlichen Rechnungsabschluss wird das Recht zum Storno nicht beseitigt. Besteht das Recht zum Storno, kann das Kreditinstitut die Verfügung über die gutgeschriebenen Beträge verweigern."
Die Klägerin begehrt den Betrag von 15.887,69 EUR sA mit der Begründung, dass den Überweisungen auf das Konto des Beklagten keine wirksamen Aufträge der Inhaber der Kontos, von denen die Abbuchungen erfolgt sind, zu Grunde gelegen seien, sodass auch die Gutschriften eines Rechtsgrundes entbehrten. Wenn der Beklagte, welcher wissen hätte müssen, dass ihm diese Beträge nicht zustehen, dennoch darüber disponiert habe, müsse er sich die Rückforderung durch die Klägerin gefallen lassen. Die Klägerin stützte sich ausdrücklich auf die Bestimmung der Z 40 Abs 2 der ABB.
Der Beklagte beantragte die Abweisung des Klagebegehrens. Er sei berechtigt gewesen, die auf sein Konto eingegangenen Zahlungen weiterzuleiten, das Konto sei ausgeglichen gewesen. Ohne sein Einverständnis habe die Klägerin das Konto nachträglich mit dem Klagebetrag belastet und mitgeteilt, dass die Eingänge auf strafbare Handlungen zurückzuführen gewesen seien, weshalb sie zur Rückzahlung verpflichtet gewesen sei. Demgegenüber habe der Beklagte aber weder arglistig noch sonst schuldhaft gehandelt, sondern im guten Glauben die ihm übertragenen Aufgaben durchgeführt. Die Klägerin sei nicht berechtigt, ihr Risiko einer Fehlüberweisung auf den Beklagten zu überwälzen.
Das Erstgericht wies das Klagebegehren ab. Es vertrat die Auffassung, dass die Gutschriften auf dem Konto des Beklagten zu Recht und wirksam erfolgt seien. Wenngleich die Überweisungen selbst durch Erschleichung von Codenummern durchgeführt worden seien, könne dies nicht zu Lasten des gutgläubigen Beklagten gehen.
Das Berufungsgericht änderte das Ersturteil über Berufung der Klägerin dahin ab, dass es dem Klagebegehren zur Gänze stattgab. Es vertrat die Rechtsauffassung, dass den von der Klägerin durchgeführten Überweisungen auf das Konto des Beklagten keine von den Berechtigten stammenden Überweisungsaufträge zu Grunde lagen, diese seien daher auch nicht wirksam gewesen. Liege aber kein gültiger Überweisungsauftrag vor, gehe die Gutschrift auf dem Konto des Überweisungsempfängers ins Leere und sei daher wirkungslos. Das nach Z 40 Abs 2 der AGB vereinbarte Stornorecht stelle ein auf vertraglicher Grundlage bestehendes Gestaltungsrecht dar, welches dem Umstand Rechnung trage, dass kein wirksamer Überweisungsauftrag bestehe. Auch wenn der Beklagte zur Weiterleitung des Geldes an einen Dritten verpflichtet gewesen sei, stehe dies nicht dem Stornorecht der Bank entgegen. Im Übrigen sei der Beklagte nicht schutzwürdig:
Insbesondere hätte er argwöhnisch sein müssen, wenn er durch die bloße Zurverfügungstellung eines Kontos und die Weiterleitung überwiesener Gelder eine Provision von 10 % der überwiesenen Beträge vereinnahmen sollte. Schutzwürdig seien vielmehr die Opfer der „Phishing-Aktion", denen die für eine Überweisung notwendigen Codes herausgelockt worden seien.
Das Berufungsgericht sprach aus, dass die Revision zulässig sei, weil zur Frage des „Phishings" Rechtsprechung fehle.
Gegen diese Entscheidung richtet sich die Revision des Beklagten aus dem Grund der unrichtigen rechtlichen Beurteilung mit dem Antrag, das angefochtene Urteil dahin abzuändern, dass das Urteil des Erstgerichts wiederhergestellt werde; hilfsweise wird ein Aufhebungsantrag gestellt.
Rechtliche Beurteilung
Die Revision ist zulässig; sie ist aber nicht berechtigt. Das Schwergewicht der Revision liegt darauf, dass Z 40 Abs 2 der AGB hier nicht anwendbar sei. Wenn unvorsichtigen Kontoinhabern die „TANs" herausgelockt worden und damit Telebanking-Anweisungen erfolgt seien, gehe dies ausschließlich zu Lasten dieser Personen. Die analoge Anwendung der Regeln über die Anscheinsvollmacht habe die angewiesene Bank zur Vornahme der Überweisung, nämlich der Buchung von Gutschriften auf dem Konto des Beklagten legitimiert. Damit fehle es an einem Rechtsgrund der Kontoinhaber zur Rückforderung (Rückbuchung) der überwiesenen Beträge. Mangels einer solchen Verpflichtung könne daher die klagende Bank die von ihr dennoch durchgeführten Rückbuchungen nicht auf den gutgläubig agierenden Beklagten überwälzen.
Der zweite Senat hatte jüngst zu 2 Ob 107/08m einen im Wesentlichen gleich gelagerten Sachverhalt zu beurteilen, bei dem die scheinbar mit Telebanking - unter nicht erkennbarer missbräuchlicher Verwendung eines herausgelockten „TANs" - angewiesene Bank auf dem Konto einer Kundin eine Gutschrift ausgeführt hatte, worauf diese Kundin als „Kurier" offensichtlich betrügerisch agierender Täter die Gutschrift ausnützend eine Weiterüberweisung veranlasste und dann von der Bank auf Zahlung in Anspruch genommen wurde. Der Klage der Bank wurde stattgegeben. Der 2. Senat legte seiner Entscheidung vom insbesondere folgende Erwägungen zu Grunde:
„1. Allgemeines zu Überweisungsauftrag und Gutschrift:
1.1 Der an eine Bank erteilte Überweisungsauftrag gilt als Sonderfall
der bürgerlich-rechtlichen Anweisung (6 Ob 204/02x = ÖBA 2004, 550; 2
Ob 196/03t = ÖBA 2004, 474 [Bollenberger] mwN; RIS-Justiz RS0109095,
RS0019656 [T2 und T 3]). Er ist kein Auftrag im technischen Sinn,
sondern eine einseitige, nicht zustimmungsbedürftige Weisung des
Kunden an die Bank im Rahmen des - im Regelfall bestehenden -
Girovertrags (2 Ob 576/95 = SZ 70/80; 6 Ob 204/02x; 2 Ob 196/03t; 6
Ob 8/07f = ÖBA 2007, 912; 9 Ob 9/07z = ÖBA 2007, 830; RIS-Justiz
RS0017140; Koziol/Koch in Apathy/Iro/Koziol, Österreichisches Bankvertragsrecht III² [2008] Rz 1/30; Neumayr in KBB² § 1400 Rz 5). Die im Girovertrag vereinbarte grundsätzliche Verpflichtung der Bank, den bargeldlosen Zahlungsverkehr abzuwickeln, wird durch den Überweisungsauftrag des Kunden konkretisiert (2 Ob 196/03t; RIS-Justiz RS0032931; Koziol/Koch aaO Rz 1/6 und 1/30; Janisch, Online Banking [2001] 66). Der Überweisungsempfänger erwirbt aufgrund eines derartigen Überweisungsauftrags noch keinen unmittelbaren Rechtsanspruch gegen die Bank (6 Ob 218/05k = ÖBA 2006, 516 [Dullinger]; 6 Ob 8/07f; 3 Ob 166/08w; RIS-Justiz RS0017140; Neumayr aaO § 1400 Rz 5; Janisch aaO 66).
1.2 Ein solcher Anspruch entsteht erst mit der Gutschrift auf dem Konto des Überweisungsempfängers, die ein abstraktes
Schuldversprechen der Bank begründet (6 Ob 550/95 = SZ 68/59; 2 Ob
95/02p = SZ 2002/62; Koziol/Koch aaO Rz 1/83; Janisch aaO 69) und
nach herrschender Auffassung als zugangsbedürftige Annahme der Anweisung zu verstehen ist (Koziol/Koch aaO Rz 1/81; Neumayr aaO § 1400 Rz 5 und § 1402 Rz 1; vgl auch Heidinger in Schwimann, ABGB³ VI § 1400 Rz 20; Ertl in Rummel, ABGB³ II/3 § 1400 Rz 5). Sie ist jedenfalls ab dem Zeitpunkt unwiderruflich, in dem nach dem Willen der Bank die Daten der Gutschrift zur vorbehaltlosen Bekanntgabe an den Überweisungsempfänger zur Verfügung gestellt werden, sodass der jeweilige Kontostand vom Kunden - auf welchem Wege auch immer - in Erfahrung gebracht werden und der Kunde über den gutgeschriebenen Betrag verfügen kann (2 Ob 20/03k = SZ 2004/51).
1.3 Im vorliegenden Fall lag eine eingliedrige (innerbetriebliche) Überweisung im dreipersonalen Verhältnis vor, bei der die angewiesene Bank das kontoführende Institut sowohl des (scheinbar) Überweisenden als auch des Überweisungsempfängers ist. Das durch die Gutschrift abgegebene Schuldversprechen der klagenden Partei war - vorbehaltlich der noch folgenden Ausführungen - spätestens am wirksam, als die Beklagte über die ihr gutgeschriebenen Beträge bereits verfügen konnte und von dieser Möglichkeit durch Barabhebung auch Gebrauch gemacht hat.
2. Rechtsfolgen der Gutschrift trotz Fehlens eines gültigen Überweisungsauftrags:
2.1 Die Wirksamkeit der Gutschrift setzt einen rechtsgültigen Überweisungsauftrag voraus (Koziol/Koch aaO Rz 1/91 mwN; ebenso Koziol in KBB² Vor §§ 1431 bis 1437 Rz 6). Fehlt es an einem solchen Überweisungsauftrag, geht auch die Annahmeerklärung der Bank, also die Gutschrift, ins Leere und ist daher wirkungslos (Koziol/Koch aaO Rz 1/91). Der Oberste Gerichtshof hat in zahlreichen Entscheidungen bei Fehlen eines Überweisungsauftrags einen Bereicherungsanspruch der Bank gegen den unberechtigten Leistungsempfänger bejaht; dabei wurde dem gänzlichen Fehlen der Anweisung auch deren Fälschung und (sonstige) Ungültigkeit gleichgestellt (vgl SZ 54/2; SZ 54/162; SZ 54/187; SZ 60/272; 6 Ob 204/02x; 2 Ob 196/03t; RIS-Justiz RS0032947, RS0020125). In diesen Fällen kann dem scheinbar Überweisenden die Leistung nicht zugerechnet werden. Die bereicherungsrechtliche Rückabwicklung findet daher zwischen der vermeintlich angewiesenen Bank und dem Überweisungsempfänger statt (SZ 54/2; SZ 54/187; SZ 60/272; 6 Ob 204/02x; vgl Koziol/Koch aaO Rz 1/115; Koziol aaO Vor §§ 1431 bis 1437 Rz 5).
2.2 Auch der gutgläubige Überweisungsempfänger, der auf die Gültigkeit der Überweisung berechtigt vertraute, wird vor der Kondiktion der vermeintlich angewiesenen Bank grundsätzlich nicht geschützt, weil dem die schutzwürdigen Interessen des scheinbar Überweisenden entgegenstehen (vgl SZ 60/272; 6 Ob 204/02x; Koziol/Koch aaO Rz 1/115). Von diesem Grundsatz wurde nur dort eine Ausnahme gemacht, wo der scheinbar Überweisende dem Empfänger gegenüber in zurechenbarer Weise den Anschein einer - im Augenblick der Zahlung noch gültigen - Anweisung erweckt (und nicht rechtzeitig zerstört) hat und der redliche Überweisungsempfänger infolgedessen die Zahlung 'kraft Rechtsscheins' dem scheinbar Überweisenden als dessen Leistung zurechnen und sich daher nur an ihn halten kann (SZ 60/272 mwN; 6 Ob 204/02x; Koziol/Koch aaO Rz 1/116; Koziol aaO Vor §§ 1431 bis 1437 Rz 5). Dies wurde insbesondere dann angenommen, wenn der Überweisende den Auftrag erteilte, dann widerrief und die Bank dem Empfänger den Überweisungsträger ausgehändigt hatte (SZ 60/272).
2.3 Im vorliegenden Fall beruhte das Vertrauen der Beklagten auf die Rechtsgültigkeit der Überweisung nicht auf einem Verhalten des scheinbar Überweisenden, sondern ausschließlich auf den Versprechungen, die sie von dritter Seite erhielt. Der angeblich Überweisende war ihr hingegen völlig unbekannt. Es bestand keinerlei Rechtsbeziehung zwischen der Beklagten und ihm (kein 'Valutaverhältnis'), aus der sie eine Zahlung erwarten konnte. Selbst wenn ihm eine fahrlässige Ermöglichung der 'Phishing'-Attacke vorzuwerfen wäre - wofür sich aus den Feststellungen der Vorinstanzen kein Anhaltspunkt ergibt -, ist das Vertrauen der Beklagten, die sich leichtfertig auf ein für sie erkennbar zweifelhaftes und riskantes Angebot eines unbekannten Geschäftspartners eingelassen hat, unter den konkreten Umständen nicht schützenswert. Inwieweit ein dem scheinbar Überweisenden im Verhältnis zur klagenden Partei allenfalls zurechenbarer Rechtsschein für die Lösung des Falles relevant sein könnte, wird im Folgenden noch näher zu erörtern sein. Als weiteres Zwischenergebnis ist somit vorerst festzuhalten, dass die Beklagte, mag sie auch gutgläubig gewesen sein, keinen Vertrauensschutz im Sinne der erörterten Rechtsprechung genießt.
3. Zur Stornoberechtigung nach Z 40 Abs 2 AGB:
3.1 Die klagende Partei stützt ihre Berechtigung zur Stornierung der erteilten Gutschrift auf die Regelung in Z 40 Abs 2 ihrer AGB, deren Geltung zwischen den Streitteilen nicht strittig ist, und die in ihrem Wortlaut Z 40 Abs 2 der Allgemeinen Bedingungen für Bankgeschäfte (ABB) entspricht. Diese Bestimmung betrifft entgegen der Rechtsansicht der Beklagten das Verhältnis zwischen der Bank und jenem Kunden, dessen Konto sie aufgrund eines (vermeintlichen) Überweisungsauftrags einen Betrag gutgeschrieben hat (4 Ob 129/06h = ÖBA 2007, 222 [Koziol]), hier also das Verhältnis zwischen der klagenden Partei und der Beklagten. Sie regelt ferner nur die Stornoberechtigung gegenüber dem Kontoinhaber, nicht aber die Frage, wann das Kontoinstitut gegenüber dem Auftraggeber zum Storno einer Gutschrift verpflichtet ist. Eine derartige Verpflichtung besteht auch bei eindeutigem Nachweis der Unwirksamkeit des Überweisungsauftrags nur dann, wenn auf dem Empfängerkonto ein Guthaben vorhanden bzw ein gewährter Kreditrahmen noch nicht voll ausgenützt ist (vgl 4 Ob 129/06h; Koziol/Koch aaO Rz 1/105 FN 361; Koziol in Iro/Koziol, Allgemeine Bedingungen für Bankgeschäfte [2001] Z 40 Rz 5).
3.2 Der Oberste Gerichtshof billigte in der zuletzt zitierten Entscheidung auch die an die Unwirksamkeit der Gutschrift bei Fehlen eines gültigen Überweisungsauftrags anknüpfende Auffassung Koziols (aaO Z 40 Rz 5), dem Storno komme bloß deklaratorische Bedeutung zu. Dem liegt der Gedanke zugrunde, dass im Falle der Unwirksamkeit der in der erteilten Gutschrift zum Ausdruck gebrachten abstrakten Verpflichtung so lange noch keine ungerechtfertigte Vermögensverschiebung eingetreten ist, als der Überweisungsempfänger über den gutgeschriebenen Betrag noch nicht verfügte; mit der Stornierung wird der Überweisungsempfänger von der Unwirksamkeit der Gutschrift bloß in Kenntnis gesetzt (vgl Koziol/Koch aaO Rz 1/97, 1/105 und 1/118). Zu einer nach bereicherungsrechtlichen Grundsätzen auszugleichenden Vermögenszuwendung der Bank an den Empfänger kommt es deshalb nur dann, wenn die Bank wegen der in Wahrheit unwirksamen Gutschrift eine Barauszahlung vornahm oder eine Verfügung des Kontoinhabers durchführte, auf die dieser in Wahrheit keinen Anspruch hatte, weil ein von der Bank allenfalls eingeräumter Überziehungsrahmen durch die Unwirksamkeit der Gutschrift überschritten wird (Koziol/Koch aaO Rz 1/118).
3.3. ... Nach den Feststellungen der Vorinstanzen hat die Beklagte schon vor der Stornierung der Gutschrift über den gutgeschriebenen Betrag mittels Barabhebung verfügt. Danach wies das Konto der Beklagten einen Debetsaldo von 8.384,91 EUR auf, der sich in der Folge noch um die angefallenen Zinsen auf den Klagsbetrag erhöhte. War die Überweisung tatsächlich rechtsungültig, steht der klagenden Partei in diesem Umfang nach den bisher dargelegten Grundsätzen ein Bereicherungsanspruch gegen die Beklagte zu.
4. Grundsätzliches zum Online-Banking:
4.1 Die Nutzung der Bankdienstleistung Online-Banking setzt nach allgemeiner Auffassung eine gesonderte Vereinbarung zwischen der Bank und dem Kunden als unselbständige Ergänzung zu einer bestehenden Grundvereinbarung, zB dem Girovertrag, voraus. Die vertragliche Leistung dieser Sondervereinbarung besteht typischerweise in der Berechtigung des Kunden, über Fernkommunikationsmittel mit dem Bankrechenzentrum in Verbindung zu treten und nach entsprechender elektronischer Autorisierung die gewünschten Transaktionen zu veranlassen bzw etwaige Informationen abzurufen. Derartige Teilnahmeverträge beziehen regelmäßig spezielle allgemeine Geschäftsbedingungen ein, die spezifische Pflichten des Kunden und der Bank begründen und die jeweiligen Geschäftsbedingungen betreffend die Grundvereinbarung ergänzen (Wiebe in Apathy/Iro/Koziol aaO Rz 3/15; Janisch aaO 60 f).
4.2 Die Verwendung von 'PIN' (persönliche Identifikationsnummer) und 'TAN' (Transaktionsnummer) ist das am weitesten verbreitete Authentifizierungssystem im System des Online-Banking (vgl Wiebe aaO Rz 3/23). Die vom Kunden veranlassten Aufträge werden mittels des 'TAN' authentifiziert. Der Auftrag samt 'TAN' wird an den Bankserver übermittelt, welcher nun die Validität der 'TAN' und in der Regel auch die Deckung aus dem Kontensaldo oder der Kreditlinie überprüft (Wiebe aaO Rz 3/24; ebenso Recknagel, Vertrag und Haftung beim Internet-Banking 127).
5. Zur Zurechnung des Überweisungsauftrags nach einer 'Phishing'-Attacke:
5.1 Unter dem Kunstwort 'Phishing' - es setzt sich aus den Wörtern 'Password' und 'Fishing' zusammen - versteht man betrügerische Angriffe Dritter, bei denen Benutzern Zugangs- bzw Transaktionsdaten, insbesondere PIN- und TAN-Codes herausgelockt werden (Wiebe aaO Rz 3/34; Recknagel aaO 51). Im deutschen und im österreichischen Schrifttum wird in diesem Zusammenhang die Frage diskutiert, ob eine vertragliche Haftung des Kunden, der den Zugriff auf seine persönlichen Kenndaten schuldhaft ermöglicht hat, - ausgehend vom Rechtsinstitut des 'Handelns unter fremdem Namen' - gegenüber der Bank (auch) mit den Grundsätzen zur Anscheinsvollmacht begründet werden kann (vgl Janisch aaO 163 ff). Obwohl diese Fragestellung an sich nur das Verhältnis zwischen dem 'Phishing'-Opfer und der Bank (also das 'Deckungsverhältnis') betrifft, könnte sie auch für den Anspruch der Bank gegen den Überweisungsempfänger von Bedeutung sein:
Die Anscheinsvollmacht steht in ihrer Wirkung einer rechtsgeschäftlich erteilten Vollmacht gleich (P. Bydlinski in KBB² § 1029 Rz 6). Lägen die Voraussetzungen einer Anscheinsvollmacht vor, wäre die der Bank erteilte Weisung des 'Phishers' dem 'Phishing'-Opfer zuzurechnen; es wäre daher von einem rechtswirksamen Überweisungsauftrag des Kontoinhabers auszugehen, der nach den dargelegten Grundsätzen sowohl der Stornoberechtigung als auch einem Bereicherungsanspruch der Bank gegenüber dem Überweisungsempfänger entgegenstünde.
5.2.1 In Deutschland tritt insbesondere Gößmann (in Schimansky/Bunte/Lwowski, Bankrechts-Handbuch³ I [2007] § 55 Rz 26; ders in Langenbucher/Gößmann/Werner, Zahlungsverkehr [2004] § 4 Rz
71) mit dem Hinweis auf den besonderen Sicherheitsstandard des PIN/TAN-Systems grundsätzlich für die Bindung des Kunden an die Erklärung des unberechtigt Handelnden nach Rechtsscheingrundsätzen ein.
Koch/Vogel (in Langenbucher/Gößmann/Werner aaO § 4 Rz 182) stellen hingegen darauf ab, ob der Kunde die missbräuchliche Verfügung bei Anwendung der pflichtgemäßen Sorgfalt hätte erkennen und verhindern können.
Auch Schwintowski (in Schwintowski/Schäffer, Bankrecht² [2003] § 12 Rz 58) schränkt die Anwendbarkeit der Grundsätze der Anscheinsvollmacht auf jene Fälle ein, in denen der Kunde die 'PIN' und eine nicht verbrauchte 'TAN' weitergegeben oder die Absicherung dieser Daten vor dem Zugriff Dritter nicht hinreichend vorgenommen hat. Verschaffe sich aber der unberechtigte Nutzer Zugang zur aktuellen Online-PIN und zu nicht verbrauchten 'TAN', so fehle es an einen dem Kunden zurechenbaren Rechtsscheintatbestand. In einem solchen Fall liege keine wirksame Weisung des Kunden vor. Ebenso gelangt Brückner (Online Banking [2002] 83 ff) bei seiner Untersuchung zu dem Ergebnis, die Grundsätze der Anscheinsvollmacht seien auf das Online-Banking nur dann übertragbar, wenn auch das Merkmal des wiederholten Auftretens erfüllt sei. Für eine weitergehende Rechtsscheinhaftung fehle es an der Zurechenbarkeit des Rechtsscheintatbestands.
Auch für Borges (Rechtsfragen des Phishing - Ein Überblick, NJW 2005, 3313 [3314]) ist Grundlage des Rechtsscheins (nur) die Untätigkeit des Kunden, der erfährt, dass er Opfer einer Phishing-Attacke geworden ist und dennoch nichts unternimmt.
Recknagel (aaO 138), Wiesgickl (Rechtliche Aspekte des Online-Banking, WM 2000, 1039 [1047]), Erfurth (Haftung für Missbrauch von Legitimationsdaten durch Dritte beim Online-Banking, WM 2006, 2198 [2200]) und Werner/Kind (Rechte und Pflichten im Umgang mit PIN und TAN, CR 2006, 353) lehnen die Anwendung der Regeln der Anscheinsvollmacht auf Missbrauchsfälle generell ab.
5.2.2 Vor dem Hintergrund dieser Lehrmeinungen hatte das Oberlandesgericht Hamburg im Jahr 2006 einen Sachverhalt zu beurteilen, der mit dem hier vorliegenden vergleichbar war. Auch dort hatte die Bank nach einer 'Phishing'-Attacke auf das Konto eines Kunden Beträge auf dem Konto eines 'Geldkuriers' gutgeschrieben und nach deren Barbehebung und Weitertransfer die Gutschrift (unter Berufung auf Nr 8 Abs 1 AGB-Banken) storniert. Das Oberlandesgericht Hamburg verneinte den Anspruch des Überweisungsempfängers auf neuerliche Erteilung der Gutschrift und bejahte den bereicherungsrechtlichen Rückersatzanspruch der Bank (ZIP 2006, 1981 [Borges]).
Löhnig/Würdinger hoben in ihrer diesem Ergebnis zustimmenden Entscheidungsbesprechung (Zum Phishing-Risiko: Bereicherungsausgleich und Stornierungsrecht nach Art 8 Abs 1 AGB-Banken, WM 2007, 961) - soweit hier von Interesse - hervor, dass ein (nach deutscher Auffassung erforderlicher) Überweisungsvertrag zwischen Bankkunden und Bank nicht zu Stande gekommen sei. Die Willenserklärung des 'Phishers' sei wie die eines Vertreters ohne Vertretungsmacht ohne Wirkung für und gegen den Kontoinhaber. Die überweisende Bank trage - bereicherungsrechtlich gesehen - das 'Phishing'-Risiko; davon sei die Frage zu trennen, ob die Bank einen Schadenersatzanspruch gegenüber ihrem Kunden wegen einer Pflichtverletzung nach § 280 Abs 1 BGB hat. 'Phishing' sei bereicherungsrechtlich ebenso zu behandeln wie ein gefälschter Überweisungsauftrag (in diesem Sinne auch Lorenz in Staudinger, BGB [2007] § 812 Rn 51; vgl ferner die weiteren einschlägigen Entscheidungen deutscher Gerichte in MMR 2007, 462 [Biallaß], MMR 2008, 259 [Borges], 752 und 765 [Mühlenbrock/Sesing] sowie jusIT 2008, 218 [Mader]).
5.3 In Österreich halten vor allem Graf (Rechtsfragen des Telebanking [1997] 21 ff) und Janisch (aaO 167 ff; ferner: Die Risikoverteilung beim Überweisungsverkehr via Internet, ÖBA 2001, 853 [860]) die Anwendung der Regeln der Anscheinsvollmacht für sachgerecht. Hiefür müssten drei Voraussetzungen gegeben sein: Zunächst bedürfe es eines Sachverhalts, aus dem vom Erklärungsadressaten objektiv ein Wille auf Vollmachtserteilung erschlossen werden könne. Dieser Sachverhalt müsse weiters durch das Verhalten des Geschäftsherrn zurechenbar veranlasst worden sein. Schließlich bedürfe es des Fehlens des Wissens bzw des Fehlens des fahrlässigen Nichtwissens auf Seite des Erklärungsadressaten um die Tatsache, dass der Geschäftsherr den Handelnden gar nicht bevollmächtigt habe.
Diese Kriterien stimmen mit der Rechtsprechung des Obersten Gerichtshofs zur Anscheinsvollmacht überein (RIS-Justiz RS0020331; vgl ferner P. Bydlinski aaO § 1029 Rz 6). Die genannten Autoren gestehen jedoch zu, dass in den erörterten Missbrauchsfällen schon die erste der drei Voraussetzungen 'offensichtlich unmittelbar nicht gegeben' sei: Die Bank verbiete nämlich dem Kunden die Weitergabe der Kennzahlen an dritte Personen und gehe bei deren Verwendung davon aus, dass ein Handeln des Kunden selbst vorliege. Deswegen könne in dieser Situation auch kein Sachverhalt verwirklicht sein, aus dem die Bank einen Willen auf Vollmachtserteilung erschließen könne. Da die Bank von einem Handeln des Kunden selbst ausgehe, erscheine sie aber noch schutzwürdiger als in der Konstellation, in der ihr in einer für sie erkennbaren Weise ein Dritter gegenüber trete, da sie nicht einmal den Bedarf nach einer Bevollmächtigung des Handelnden erkenne. Das erste Kriterium sei damit 'mittelbar als erfüllt anzusehen'. Zur Erfüllung der zweiten Voraussetzung reiche eine fahrlässige Veranlassung aus. Schließlich sei auch die dritte Voraussetzung erfüllt: Das Kreditinstitut wisse im Regelfall nicht und müsse es auch nicht wissen, dass es nicht der Kunde selbst sei, der mit seinen Identifikationsmerkmalen Überweisungsaufträge erteile. Wiebe (aaO Rz 3/39) lehnt diese Konstruktion als zu weitgehend, weil das Rechtsinstitut der Anscheinsvollmacht überdehnend, ab; es liege kein erkennbares Dritthandeln vor.
5.4 Der erkennende Senat pflichtet jenen Lehrmeinungen bei, welche die Zurechnung von Willenserklärungen des unberechtigt Handelnden nach den Grundsätzen der Anscheinsvollmacht ablehnen. Nach der Rechtsprechung des Obersten Gerichtshofs wird der Dritte in seinem Vertrauen auf den Rechtsschein nur dann geschützt, wenn für ihn die Herstellung des Rechtsscheins kausal für den Geschäftsabschluss (hier: Zugang des Überweisungsauftrags) war, wozu auch gehört, dass ihm zu diesem Zeitpunkt das den Rechtsschein auslösende Verhalten des Machtgebers überhaupt bekannt war (RIS-Justiz RS0019490; P. Bydlinski aaO § 1029 Rz 7). Selbst wenn man die (fahrlässige) Ermöglichung des Zugriffs auf seine persönlichen Kenndaten als ein den Rechtsschein begründendes Verhalten des Kontoinhabers anerkennen wollte, wird es der Bank bei Zugang des Überweisungsauftrags regelmäßig an der Kenntnis hievon fehlen.
Auch im vorliegenden Fall war der klagenden Partei bei Zugang des Überweisungsauftrags ein den Rechtsschein begründendes Verhalten des scheinbar überweisenden Kontoinhabers nicht bekannt. Abgesehen davon, dass sich aus den Feststellungen - wie dies bereits in Punkt 2. angeklungen ist - für ein fahrlässiges oder auch nur ursächliches (vgl P. Bydlinski aaO § 1029 Rz 8) Verhalten kein Anhaltspunkt ergibt, kommt somit die Anwendung der Regeln der Anscheinsvollmacht nicht in Betracht. Im Übrigen besteht, wie gerade der Anlassfall zeigt, im Verhältnis zum unberechtigten Überweisungsempfänger kein Bedürfnis nach einer ausdehnenden Interpretation der Regeln zur Anscheinsvollmacht wegen einer angeblich besonderen Schutzwürdigkeit der Bank.
5.5 Regelmäßig wird die Bank in 'Phishing'-Fällen aber ohnedies nicht vom Handeln eines Bevollmächtigten, sondern vom Handeln des Kontoinhabers selbst ausgehen. Da im vorliegenden Fall kein Verhalten des Kontoinhabers (wie etwa unzureichende Geheimhaltung von 'PIN' und 'TAN') festgestellt wurde, das zum Anschein beigetragen haben könnte, er habe selbst gehandelt, kann es auf sich beruhen, ob eine vom Rechtsinstitut der Anscheinsvollmacht unabhängige Rechtsscheinzurechnung (oder Risikozurechnung) zu Lasten des 'Phishing'-Opfers in Betracht kommen kann. Auch die Frage allfälliger Schadenersatzansprüche der Bank gegen einen sorglosen Kontoinhaber stellt sich im vorliegenden Fall nicht.
6. Ergebnis:
Diese Erwägungen führen zusammengefasst zu der - auch mit der zitierten deutschen Rechtsprechung in Einklang stehenden - Beurteilung, dass der auf dem Konto der Beklagten erteilten Gutschrift kein gültiger Überweisungsauftrag zugrunde lag. Die klagende Partei war daher gemäß Z 40 Abs 2 ihrer AGB zur Stornierung berechtigt. Soweit das Konto der Beklagten dadurch ins Debet geriet, steht der klagenden Partei ein - von ihrem Klagebegehren umfasster - Bereicherungsanspruch gegen die Beklagte zu."
Die Erwägungen über das Fehlen einer Anscheinsvollmacht treffen auch auf den hier zu beurteilenden Fall zu. Eine (analoge) Anwendung der Regeln über die Anscheinsvollmacht ist daher auch hier nicht vorzunehmen.
Auf die in der Vorentscheidung aufgeworfene Frage einer von einer Anscheinsvollmacht unabhängigen Rechtsschein-(Risiko-)zurechnung muss auch bei der hier gegebenen Fallkonstellation nicht weiter eingegangen werden. Wie in dem vom 2. Senat entschiedenen Verfahren wurden die Inhaber der mit den Überweisungen an den Beklagten belasteten Konten Opfer einer sogenannten „Phishing"-Aktion, das heißt, es wurden ihnen die für die Überweisung erforderlichen „TANs" betrügerisch herausgelockt. Eine von einer Anscheinsvollmacht unabhängige Risikozurechnung käme aber - wenn überhaupt - nur im Falle einer ganz erheblichen Sorglosigkeit des Inhabers des belasteten Kontos in Betracht. Eine solche erhebliche Sorglosigkeit kann aber ohne näheres Sachvorbringen dem Opfer einer „Phishing"-Aktion selbst dann nicht ohne weiteres unterstellt werden, wenn der getäuschte Kontoinhaber aufgrund der (gelungenen) betrügerischen Aktion den „Tan-Code" - wie hier festgestellt (S 11 des Ersturteils) - „herausgegeben" hat.
Lag aber, wie sich aus den vorzitierten Erwägungen ergibt, kein gültiger Überweisungsauftrag vor, war die klagende Bank gemäß Z 40 Abs 2 der AGB zum Storno der Gutschrift auf dem Konto des Beklagten berechtigt. Da das Konto des Beklagten durch seine Ausnützung ins Debet geriet, steht der Klägerin ein Bereicherungsanspruch gegen den Beklagten zu.
Die Kostenentscheidung gründet sich auf §§ 41, 50 ZPO. Beim Kostenzuspruch war zu berücksichtigen, dass der dreifache Einheitssatz nach § 23 Abs 9 RATG nur für das Berufungsverfahren, nicht jedoch für das Revisionsverfahren, gebührt. Ausgehend von einem Ansatz in Höhe von 486,30 EUR beträgt der Einheitssatz 243,15 EUR, dazu kommen 145,89 EUR USt, zusammen ergibt dies den Zuspruch von 875,34 EUR.