In einigen Fällen verschafften sich Hacker Zugriff auf E-Mail-Accounts von Bankkunden und erteilten Banken in der Folge über diese Accounts per E-Mail betrügerische Zahlungsaufträge. Teilweise gelang es Hackern auch, Computer von Bankkunden mit einer Schadsoftware (etwa einem Trojaner) zu infizieren, die nach Offline-Zahlungssoftware suchte und darüber betrügerische Fehlüberweisungen auslöste.
Hackerangriffe auf Bankkunden: Wer trägt den Schaden? (1/2)
Ob die Bank bei den Schaden zu tragen, steht dann zur Diskussion, wenn der Bank bei der Ausführung einer betrügerischen Fehlüberweisung Fahrlässigkeit vorwerfbar ist, weil der Betrug für sie bei Anwendung der gebotenen Sorgfalt erkennbar gewesen wäre.
In letzter Zeit wurden in diesem Zusammenhang mehrere kundenfreundliche Urteile gefällt. Auf den ersten Blick legt dies den Schluss nahe, das Haftungsrisiko der Banken bei betrügerischen Fehlüberweisungen sei sehr gross.
Allerdings betrafen diese Urteile ausschliesslich Privatkunden, die ihren Banken jeweils mittels persönlicher Kommunikation mit einem Kundenberater Zahlungsaufträge per E-Mail erteilt hatten. Zudem verhielten sich die Hacker in den beurteilten Fällen meist überaus verdächtig, indem sie beispielsweise im Gegensatz zum Kunden nur in gebrochener Sprache mit dem Kundenberater kommunizierten oder – für einen Privatkunden – ungewöhnlich hohe Zahlungen in fremde Länder auslösten. Der vorliegende Beitrag beleuchtet, inwiefern die erwähnten Urteile auf die Situation von Firmenkunden übertragbar sind, die den Zahlungsverkehr mit ihrer Bank per E-Banking abwickeln.
Der Kunde, der gestützt auf einen Kontovertrag Geld bei einer Bank hinterlegt, gilt rechtlich nicht als Eigentümer des hinterlegten Geldes, sondern als Gläubiger der Bank. Diese ist gestützt auf den Kontovertrag verpflichtet, ein positives Guthaben auf Verlangen des Kunden an ihn selbst oder einen von ihm bezeichneten Zahlungsempfänger auszubezahlen.
Wenn die Bank Geld überweist, überweist sie folglich nicht das Geld des Kunden, sondern ihr eigenes Geld. Erfolgt eine Überweisung allerdings im Auftrag des Kunden, erfüllt die Bank durch die Überweisung ihre vertragliche Auszahlungspflicht und das Guthaben des Kunden gegenüber der Bank verringert sich entsprechend. Bezahlt die Bank das Guthaben oder einen Teil davon hingegen irrtümlich einem Betrüger aus, stellt dies keine Vertragserfüllung gegenüber dem Kunden dar, weshalb dieser weiterhin die Auszahlung des gesamten Guthabens verlangen kann.
Nach ständiger Rechtsprechung des Bundesgerichts erleidet bei betrügerischen Fehlüberweisungen deshalb grundsätzlich nicht der Kunde, sondern die Bank einen Schaden. Dies gilt im Grundsatz selbst dann, wenn der Bank keinerlei Verschulden bezüglich der Fehlvergütung vorgeworfen werden kann und sie gutgläubig an einen Betrüger geleistet hat.
>> zu Teil 2 der Artikelreihe «Hackerangriffe auf Bankkunden: Wer trägt den Schaden»