OGH zu den Pflichten einer Bank iZm Fraud Detection

1. Banken warnen ihre Kunden regelmäßig vor Phishing-SMS, in denen Betrüger versuchen, die Kunden unter Vorspielen falscher Tatsachen zu Überweisungen zu verleiten. Trotz dieser Warnungen kommt es immer wieder vor, dass Bankkunden die betrügerische Absicht hinter den SMS nicht erkennen und den Anweisungen Folge leisten, wodurch sie nicht selten einen erheblichen Schaden erleiden. Mit der Frage, ob die geschädigten Kunden in solchen Fällen von der kontoführenden Bank Ersatz erhalten, setzte sich der Oberste Gerichtshof jüngst in der Entscheidung 7 Ob 95/24g auseinander.

2. Im Ausgangsfall erhielt der klagende Bankkunde eine SMS von einem angeblichen Paketzusteller, in der er aufgefordert wurde, persönliche Daten sowie die Verfügernummer über sein Online-Banking preiszugeben. Obwohl die beklagte Bank ihre Kunden kurz zuvor noch über bestehende Betrugsrisiken iZm Phishing-SMS warnte, kam der Kläger dieser Aufforderung nach.

3. Wenig später erhielt der Kläger einen Anruf von einem vermeintlichen Mitarbeiter der beklagten Bank, der ihn dazu aufforderte, sein Online-Banking über die von der Bank bereitgestellte App einzusehen. Was der Kläger nicht wusste: Durch die zuvor preisgegebene Verfügernummer und Verwendung einer speziellen Software erhielt der unbekannte Täter mit dem Login des Klägers über die App zeitgleich Zugriff auf die Web-Version des Online Bankings. Unter Vorgaben falscher Tatsachen gelang es dem unbekannten Täter in weiterer Folge, den Kläger zur Freigabe einer Überweisung iHv EUR 20.000,– auf ein von ihm bekannt gegebenes Konto zu verleiten. Diese Überweisung wurde jedoch – obwohl ordnungsgemäß autorisiert – vom “Fraud-Transaction-Monitoring” Programm der Bank gestoppt, da die Überweisung vom üblichen Buchungsverhalten des Klägers abwich.

4. Der unbekannte Täter forderte den Kläger deshalb auf, mehrere Einzelüberweisungen im Gesamtwert von EUR 27.650,– auf das angegebene Konto zu tätigen. Auch dem kam der Kläger nach, wobei diese Überweisungen vom “Fraud-Transaction-Monitoring” nicht mehr gestoppt wurden. Nachdem der Kläger den Betrug erkannte, forderte er den überwiesenen Betrag von der beklagten Bank zurück und argumentierte, dass das Kontrollsystem der Bank auch diese Überweisungen hätte verhindern müssen.

5. Das Erstgericht wies das Klagebegehren mit dem Argument ab, dass die Bank alle ihre Verpflichtungen erfüllt habe. Das Erstgericht stützte sich dabei insb darauf, dass der Kläger die Überweisungen entsprechend den Vorgaben des ZaDiG 2018 mittels 2-Faktor-Authentifizierung selbst freigegeben und das “Fraud-Transaction-Monitoring” die erste Überweisung erfolgreich gestoppt hatte. Dass die Einzelüberweisungen nicht gestoppt wurden, führte das Erstgericht darauf zurück, dass der Kläger zuvor – und gänzlich unabhängig von den betrügerischen Überweisungen – einen Betrag iHv EUR 7.500,– behoben hatte. Deswegen qualifizierte das Transaktionsmonitoring weitere Transaktionen in dieser Größenordnung nicht mehr als betrugsverdächtig. Das Berufungsgericht teilte diese Ansicht und erklärte insbesondere, dass der Kläger jedenfalls grob fahrlässig gehandelt habe, wodurch eine allfällige Sorgfaltswidrigkeit der Bank jedenfalls in den Hintergrund tritt.

6. Der OGH schloss sich den Vorinstanzen an und stellte klar, dass keine Haftung der Bank nach dem ZaDiG besteht, weil der Kläger die Überweisungen selbst autorisiert hatte. Dass es sich dabei letztlich um betrügerische Zahlungsvorgänge handelte, ändert daran nichts. Der OGH verneinte eine Haftung der Bank auch aufgrund eines Verstoßes gegen allgemeine Schutz- und Sorgfaltspflichten, weil sie den Kläger zum einen über bestehende Betrugsrisiken iZm “Phishing” informierte und zum anderen auch über eine wirksame Transaktionsüberwachung verfügt hat. Im Ergebnis verneinte der OGH damit eine Risikoverlagerung iZm ungewollten, letztlich von den Kunden jedoch wirksam autorisierten Zahlungen auf die Bank.

12.2.2025