Haftung bei Phishing Attacken
Ferdinand Bachinger
Admin | 15. März 2016
OGH vom 15.03.2016, 10 Ob 102/15w (auszugsweise):
[...] Der dem Zahlungsdienstnutzer bei einem nicht autorisierten Zahlungsvorgang zustehende Berichtigungsanspruch wird sowohl in § 36 Abs 3 als auch in § 44 Abs 1 ZaDiG genannt. § 36 Abs 3 ZaDiG gibt dem Zahlungsdienstnutzer einen Anspruch auf Berichtigung, sofern er den Zahlungsdienstleister unverzüglich nach Feststellung eines nicht autorisierten Zahlungsvorgangs davon unterrichtet. Nach § 44 Abs 1 ZaDiG hat der Zahlungsdienstleister des Zahlers unbeschadet des § 36 Abs 3 diesem im Fall eines nicht autorisierten Zahlungsvorgangs den Betrag des nicht autorisierten Zahlungsvorgangs unverzüglich zu erstatten und das belastete Konto wieder auf den Stand zu bringen, auf dem es sich ohne den nicht autorisierten Zahlungsvorgang befunden hätte. Der Zahlungsdienstleister ist demnach ganz allgemein zur Berichtigung des Kontostands im Fall der Belastung aufgrund eines nicht autorisierten Zahlungsvorgangs verpflichtet. Die zwingende Zuweisung des Missbrauchsrisikos an den Zahlungsdienstleister rechtfertigt sich dadurch, dass er das Risiko technisch und wirtschaftlich besser beherrschen kann. Der Zahlungsdienstleister kann das Zahlungssystem möglichst sicher ausgestalten und die wenigen Missbrauchsfälle bei der Preiskalkulation absorbieren (Haghofer, Kundenschutz im neuen Zahlungsdienstegesetz, ecolex 2010, 21 und 128 [129]).
Trifft den Kunden jedoch ein Verschulden am Missbrauch, wird er dem Zahlungsdienstleister nach Maßgabe des § 44 Abs 2 und 3 ZaDiG schadenersatzpflichtig. § 44 Abs 2 und 3 ZaDiG regelt die Haftung des Kunden zwingend und abschließend (vgl RIS-Justiz RS0128542). Eine Ersatzpflicht besteht nur, wenn der Kunde eine ihn nach § 36 Abs 1 ZaDiG treffende Sorgfaltspflicht verletzt hat, er also nach Erhalt des Zahlungsinstruments nicht die ihm zumutbaren und in den Nutzungsbedingungen vorgesehenen Vorkehrungen getroffen hat, um die personalisierten Sicherheitsmerkmale und das Zahlungsinstrument vor einem unbefugten Zugriff zu schützen. Außerdem muss der Kunde den Verlust, den Diebstahl oder die nicht autorisierte Nutzung eines Zahlungsinstruments unverzüglich anzeigen, sobald er davon Kenntnis hat.
Im Fall einer bloß leicht fahrlässigen Verletzung dieser Sorgfaltspflichten ist die Haftung des Kunden - abweichend vom allgemeinen Schadenersatzrecht - auf einen Betrag von 150 EUR beschränkt. Nur im Fall eines groben Verschuldens besteht grundsätzlich eine Haftung für den gesamten Schaden des Zahlungsdienstleisters, die jedoch durch die Limits begrenzt wird, die für das Konto und das Zahlungsinstrument vereinbart sind.
Im Fall des Mitverschuldens des Zahlungsdienstleisters kommt es zu einer Teilung des Schadens, für die insbesondere die in § 44 Abs 2 Satz 3 ZaDiG aufgezählten Zurechnungsgründe maßgeblich sind. [...]
Unsere Meinung dazu
Auch diese Entscheidung des Obersten Gerichtshofs befasst sich mit wesentlich mehr als den dargestellten Punkten. Interessant ist dennoch die Klarheit, mit der der OGH das Zahlungsdienstleistungsgestz liest und anwendet. Für kleine Unternehmer leider nicht allzu hilfreich, da die Banken viele Bestimmungen in ihren AGB abbedingen können.