Betrugsrisiken im Zahlungsverkehr – Bundesgericht klärt wichtige Fragen

Solche Legitimationsmittel sind beispielsweise die Unterschrift des Kunden, Passwörter und Zugangscodes zum E-Banking, E-Mails sowie – für Vertreter des Kunden – Bankvollmachten. Fälschung oder Missbrauch von Legitimationsmitteln sind in der Bankpraxis keine Seltenheit. Wird dadurch ein Schaden verursacht, stellt sich die Frage, ob die Bank oder der Kunde diesen tragen muss. Das Bundesgericht hat dazu seit Langem eine differenzierte Praxis entwickelt und kürzlich in mehreren publizierten Leitentscheiden weitere wichtige Fragen geklärt. Dabei zeigt sich immer deutlicher, dass die Schadenstragung im Streitfall entscheidend von der konkreten vertraglichen Regelung zwischen Bank und Kunde abhängt. Für Kunden lohnt es sich deshalb in diesem Bereich besonders, «das Kleingedruckte» genau zu prüfen und die Kommunikationskanäle und Legitimationsmittel mit der Bank unter Berücksichtigung der Risiken zu regeln.

Die Bank darf sich bei Verfügungen über das Konto grundsätzlich auf die mit dem Kunden vereinbarten Legitimationsmittel stützen. Insbesondere muss sie nicht systematisch Fälschungen vermuten. Entsprechend ist der Kunde, welcher der Bank eine Vollmacht zugunsten eines Dritten schriftlich mitteilt, an die vom Bevollmächtigten vorgenommenen Rechtshandlungen gebunden. Dies gilt jedenfalls solange diese Rechtshandlungen von der Vollmacht gedeckt sind. Weiter muss sich der Kunde auch per Telefon, E-Mail oder Fax erteilte Transaktionsaufträge anrechnen lassen, sofern er diesen Kommunikationswegen und Legitimationsmitteln zugestimmt hat. Grundsätzlich trägt somit der Kunde das Risiko von gefälschten oder missbräuchlichen Transaktionen, sofern diese von einer Vollmacht oder einer Vereinbarung betreffend die zulässigen Legitimationsmittel mit der Bank gedeckt werden. Dies ist nach einem neuen Entscheid etwa bei gefälschten E-Mails von Bedeutung: Vereinbaren Bank und Kunde, dass E-Mails als Legitimationsmittel gelten, trägt nach diesem Entscheid der Kunde das Fälschungsrisiko, etwa bei einem Hackerangriff auf seinen E-Mail-Account. Umgekehrt trägt die Bank das Risiko, wenn E-Mails gar nie als Legitimationsmittel vereinbart wurden und sie einen entsprechenden Auftrag dennoch ausführt.

Die Bank kann sich dann nicht auf ein vereinbartes Legitimationsmittel berufen, wenn sie dessen Fälschung (z.B. gefälschte Unterschrift; E-Mail eines Unbefugten) oder Missbrauch (z.B. Bevollmächtigter bereichert sich unerlaubt) erkennt oder im Rahmen ihrer Sorgfaltspflicht hätte erkennen müssen. In einem neuen Leitentscheid hat das Bundesgericht klargestellt, dass im Bedürfnis nach einer raschen Abwicklung des Zahlungsverkehrs kein Grund zur Einschränkung der Sorgfaltspflicht im Bankverkehr liegt. Zudem kann die Bank die Anforderungen an ihre Sorgfaltspflicht auch nicht durch eine entsprechende Formulierung der Vollmachtsformulare reduzieren. Erhöhte Anforderungen an die Sorgfalt gelten, wenn durch die Transaktion das Konto des Bankkunden zu einem grossen Teil entleert wird oder die Bank sich in einem Interessenkonflikt befindet. Einen solchen Interessenkonflikt hat das Bundesgericht kürzlich in einem Fall bejaht, in dem der Bevollmächtigte die ihm erteilte Vollmacht über das Konto einer Bekannten missbrauchte, um einen Kredit zurückzubezahlen, den er selbst von derselben Bank erhalten hatte.

Generell gilt: Bei ungewöhnlichen Aufträgen hat die Bank vor deren Ausführung Rücksprache mit dem Kunden zu nehmen.

Bezahlt die Bank das Guthaben oder einen Teil davon irrtümlich einem Betrüger aus, stellt dies keine Vertragserfüllung gegenüber dem Kunden dar, weshalb dieser weiterhin die Auszahlung des gesamten Guthabens verlangen kann. Dies gilt einerseits dann, wenn die Bank eine Transaktion tätigt, ohne dass sie sich auf ein vertraglich vereinbartes Legitimationsmittel stützen kann. So sind beispielsweise E-Mails oder Scans und Faxschreiben mit kopierten Unterschriften nur dann Legitimationsmittel, wenn dies zwischen Bank und Kunde vertraglich vereinbart ist.

Andererseits ist der Vertrag auch dann nicht erfüllt, wenn die Bank die Fälschung oder den Missbrauch eines vereinbarten Legitimationsmittels durch einen Dritten wegen Verletzung ihrer Sorgfaltspflicht nicht erkannt hat. Nach ständiger Rechtsprechung des Bundesgerichts erleidet in diesen Fällen deshalb nicht der Kunde, sondern die Bank einen Schaden.

Dieses Doppelzahlungsrisiko der Banken wird in den Allgemeinen Geschäftsbedingungen regelmässig durch sogenannte Risikotransferklauseln auf den Kunden überwälzt. Darin wird vereinbart, dass im Falle einer Fehlüberweisung nicht die Bank, sondern der Kunde den Schaden zu tragen hat, sofern die Bank ihrerseits nicht grobfahrlässig gehandelt hat. Von Grobfahrlässigkeit ist auszugehen, wenn gegen die elementarste Sorgfalt verstossen wird, die Bank also sehr ernsthafte, geradezu offensichtliche Hinweise auf eine Fälschung oder einen Missbrauch ausser Acht lässt. Solche Risikotransferklauseln sind gemäss Bundesgericht grundsätzlich zulässig.

Trägt bei Fehlüberweisungen die Bank den Schaden, weil keine Risikotransferklausel vereinbart wurde oder eine solche aufgrund grober Fahrlässigkeit der Bank nicht zum Tragen kommt, kann sie dem Erfüllungsanspruch des Kunden unter Umständen ihrerseits einen Schadenersatzanspruch entgegenhalten. Ein solcher Schadenersatzanspruch setzt voraus, dass der Kunde pflichtwidrig zum Entstehen des Schadens oder zu dessen Vergrösserung beigetragen hat. In mehreren neuen Entscheiden hat das Bundesgericht darauf hingewiesen, dass eine solche Pflichtwidrigkeit darin liegen kann, dass der Kunde seine Bankkorrespondenz nicht zeitnah prüft. Die Allgemeinen Geschäftsbedingungen der Banken statuieren nämlich oft eine Pflicht des Kunden zur Prüfung seiner Kontoauszüge und zur Beanstandung ungewöhnlicher oder unbegründeter Transaktionen innert einer kurzen Frist. Aus dieser branchenüblichen Reklamationsklausel hat das Bundesgericht in seiner jüngeren Rechtsprechung eine Sorgfaltspflicht des Kunden hergeleitet, Mitteilungen der Bank zeitnah zu kontrollieren, um die Entstehung, und insbesondere die Vergrösserung, von Schäden aus Fehlbuchungen und unautorisierten Transaktionen zu verhindern. Dies gilt selbst in denjenigen Fällen, in denen banklagernde Korrespondenz vereinbart wurde.

In einem aktuellen Entscheid hat das Bundesgericht präzisiert, dass die Bank zur Geltendmachung ihres Schadenersatzanspruchs aus Verletzung der Sorgfaltspflicht des Kunden insbesondere Folgendes nachweisen muss:

• Erstens müssen die Bankdokumente, aus denen die unzulässigen Belastungen hervorgehen, dem Kunden tatsächlich zugestellt oder in der banklagernden Post abgelegt worden sein.
• Zweitens müssen die Dokumente so gestaltet sein, dass der Kunde die unzulässigen Belastungen bei Einsichtnahme in die Dokumente hätte feststellen können. Je nach Kontext müssen die unzulässigen Belastungen geradezu ins Auge springen.

Bei missbräuchlichen Transaktionen ist in einem ersten Schritt zu prüfen, ob für die Transaktionen ein gültiger Auftrag vorliegt. Dies setzt voraus, dass der Auftrag mit einem vertraglich vereinbarten Legitimationsmittel erteilt wurde, das die Bank sorgfältig geprüft hat. Ist die Transaktion ohne gültigen Auftrag des Kunden erfolgt, ist zweitens danach zu fragen, ob der Schaden, der durch die missbräuchlichen Transaktionen entstanden ist, von der Bank oder infolge des Abschlusses einer Risikotransferklausel vom Bankkunden zu tragen ist. Schliesslich kann an dritter Stelle geprüft werden, ob der Bank ein Schadenersatzanspruch gegenüber dem Bankkunden zusteht, sofern dieser pflichtwidrig dazu beigetragen hat, den erlittenen Schaden zu verursachen oder zu verschlimmern.

Das Risiko von missbräuchlichen Transaktionen wird somit zwischen Bank und Kunde verteilt. Die Anforderungen an die Sorgfaltspflicht der Bank sind hoch. Umgekehrt ist aber auch der Kunde dazu verpflichtet, seine Bankdokumente regelmässig zeitnah zu überprüfen. Andernfalls kann er gegenüber der Bank schadenersatzpflichtig werden.