Home

Es stellt jedenfalls ein Verschulden des Kunden dar, wenn er der im Design seines Zahlungsdiensteanbieters gestalteten Aufforderung zur Eingabe aller ihm per Post übermittelten iTANs Folge leistet

 
GZ 10 Ob 102/15w, 15.03.2016
 
OGH: Gem § 44 Abs 2 ZaDiG haftet der Kunde dem Zahlungsdiensteanbieter nach allgemeinem Schadenersatzrecht für die Verletzung von Sorgfaltspflichten, die ihn gem § 36 ZaDiG im nebenvertraglichen Schuldverhältnis gegenüber dem Zahlungsdienstleister treffen.
 
Für den anzulegenden Sorgfaltsmaßstab mag es einen graduellen Unterschied machen, ob der Phishing-Betrüger die iTANs auszuspionieren versucht, indem er telefonisch oder per Mail (etwa in fehlerhaftem Deutsch) oder aber - wie im vorliegenden Fall - mittels eines generierten Formulars, das während des Zahlungsvorgangs im Design des jeweiligen Zahlungsdienstleisters am Bildschirm erscheint, um deren Bekanntgabe ersucht.
 
Eine jedenfalls leichte Sorgfaltswidrigkeit ergibt sich aber schon daraus, wenn der Kunde seit mehreren Jahren mit dem Online-Banking vertraut war und daher wissen hätte müssen, dass für den Zugang niemals ein oder gar mehrere iTANs, sondern allein Kontonummern und PIN abgefragt werden und für jeden einzelnen Überweisungsvorgang nur ein einziger iTAN einzugeben ist.
 
Vorliegend verstieß der Kunde gegen eindeutige Sicherheitsanweisungen und Warnungen, indem er der - im Rahmen eines Zahlungsvorgangs völlig unüblichen - Aufforderung zur Bekanntgabe seiner iTANs nachkam und eine Mehrzahl von iTANs gleichzeitig eingab, ohne Verdacht zu schöpfen bzw den Vorgang abzubrechen und mit einem Mitarbeiter/einer Mitarbeiterin des Zahlungsdiensteanbieters Rücksprache zu halten und Erkundigungen einzuholen, wie die Aufforderung zur Eingabe aller ihm per Post übermittelten iTANs einzuordnen ist.