Das Bun­des­ge­richt sich hat­te im Ent­scheid 4A_386/2016 (frz.) mit einem ein­drück­li­chen Fall einer “Man-in-the-Middle”-Attacke im Zusam­men­hang mit einer Bank­kun­den­be­zie­hung zu beschäf­ti­gen.

Dem Ent­scheid lag eine Bank­be­zie­hung zwi­schen einem Anwalts­as­si­sten­ten einer ame­ri­ka­ni­schen Gross­kanz­lei und einer Schwei­zer Bank zugrun­de. Die Kon­to­be­zie­hung war wäh­rend meh­re­rer Jah­re unauf­fäl­lig ver­lau­fen. Die (weni­ge) Kor­re­spon­denz sei­tens des Kun­den erfolg­te jeweils per E-Mail und in gepfleg­tem Eng­lisch. Im Dezem­ber 2011 kün­dig­te der Kun­de die bal­di­ge Über­wei­sung eines Betrags von USD 400’000 auf sein Kon­to an, wobei er ver­merk­te, das Geld lang­fri­stig auf dem Kon­to belas­sen zu wol­len.

In der Fol­ge gelang es einer unbe­kann­ten Täter­schaft (“les pira­tes”), sich die Kon­trol­le über das Hot­mail-Kon­to des Bank­kun­den zu ver­schaf­fen. Dies erlaub­te es den Pira­ten einer­seits, E-Mails mit der Adres­se des Kun­den an die Bank zu ver­sen­den und ande­rer­seits, E-Mails der Bank an den Kun­den abzu­fan­gen.

Was folg­te, war eine mehr­schich­ti­ge Kor­re­spon­denz über meh­re­re Mona­te zwi­schen (ver­meint­lich) dem Kun­den und der Bank, wobei weder die­ser noch jene merk­ten, dass sie in Tat und Wahr­heit jeweils mit den Pira­ten kor­re­spon­dier­ten (im Ent­scheid aus­führ­lich dar­ge­legt in der Sach­ver­halts­dar­stel­lung A.f ff.).

So wie­sen etwa die Pira­ten die Bank unter Ver­wen­dung der E-Mail-Adres­se des Kun­den die Bank an, einen Betrag von USD 120’000 auf ein Kon­to einer Limi­ted-Gesell­schaft in Hong Kong zu über­wei­sen. Die Bank führ­te die­sen Auf­trag aus und bestä­tig­te ihn dem Kun­den, wobei die ent­spre­chen­de E-Mail von den Pira­ten abge­fan­gen wur­de. Eine Bela­stungs­an­zei­ge in Papier­form wur­de dem Kun­den nicht zuge­stellt, da er ban­kla­gern­de Post ver­ein­bart hat­te.

In der Fol­ge stell­ten die Pira­ten der Bank auf ähn­li­che Wei­se wei­te­re Über­wei­sungs­auf­trä­ge zu, wel­che die­se zula­sten des Kun­den­kon­tos aus­führ­te. Mit die­ser Masche gelang es den Pira­ten, das Kon­to zu plün­dern.

Das Bun­des­ge­richt hiess die Kla­ge des Bank­kun­den gegen die Bank mit fol­gen­der Begrün­dung gut:

Zunächst ver­wies das Bun­des­ge­richt auf sei­ne Recht­spre­chung zur Erfül­lungs­kla­ge im Zusam­men­hang mit unau­to­ri­sier­ten Über­wei­sun­gen (E. 2.2.2) sowie zu der übli­cher­wei­se in Bank-AGBs ent­hal­te­nen Risi­ko­über­wäl­zungs­klau­sel (freie Über­set­zung aus dem Fran­zö­si­schen):

2.2.3 Es ist aller­dings üblich, dass die all­ge­mei­nen Geschäfts­be­din­gun­gen der Ban­ken eine Risi­ko­über­wäl­zungs­klau­sel ent­hal­ten, wonach der aus einem Legi­ti­ma­ti­ons­man­gel oder einer nicht ent­deck­ten Fäl­schung resul­tie­ren­de Scha­den, Grob­fahr­läs­sig­keit der Bank vor­be­hal­ten, beim Kun­den anfällt; mit­tels die­ser Klau­sel wird das zunächst [der Bank] oblie­gen­de Risi­ko auf [den Kun­den] über­wälzt [Ver­weis auf Bun­des­ge­richts­ent­schei­de].”

Das Bun­des­ge­richt mach­te sodann Aus­füh­run­gen zu Art. 100 OR, wel­cher auf sol­che Klau­seln ana­log zur Anwen­dung kommt (E. 2.2.4). Spe­zi­fisch zu den Pflich­ten einer Bank bezüg­lich Legi­ti­ma­ti­ons­prü­fung hielt das Bun­des­ge­richt Fol­gen­des fest (Übers. aus dem Franz.):

2.2.6 Grund­sätz­lich hat die Bank die Echt­heit der ihr zuge­stell­ten Auf­trä­ge nur nach den Moda­li­tä­ten zu prü­fen, wel­che zwi­schen den Par­tei­en ver­ein­bart wur­den oder sich gege­be­nen­falls aus dem Gesetz erge­ben [Ver­weis auf frü­he­re Ent­schei­de]. Sie hat kei­ne ausser­or­dent­li­chen Mass­nah­men zu ergrei­fen, die mit einer raschen Abwick­lung der Geschäf­te unver­ein­bar sind. Wenn­gleich sie mit der Exi­stenz von Fäl­schun­gen rech­nen muss, hat sie die­se nicht syste­ma­tisch zu ver­mu­ten [Ver­weis auf frü­he­ren Ent­scheid]. Sie wird indes zusätz­li­che Abklä­run­gen vor­neh­men, wenn ernst­haf­te Indi­zi­en für eine Fäl­schung vor­lie­gen, wenn sich ein Auf­trag nicht auf eine ver­trag­lich vor­ge­se­he­ne oder übli­cher­wei­se ver­lang­te Ope­ra­ti­on bezieht oder wenn beson­de­re Umstän­de Ver­dacht auf­kom­men las­sen [Ver­weis auf frü­he­re Ent­schei­de].”

Das Bun­des­ge­richt ging dann mit der Vor­in­stanz davon aus, dass die unau­to­ri­sier­ten Auf­trä­ge unter fünf Gesichts­punk­ten unge­wöhn­lich waren (E. 2.4.2 ff.) : Spra­che (schlech­tes und feh­ler­haf­tes Eng­lisch der Pira­ten); Über­wei­sung an einen Drit­ten und auf ein Kon­to ausser­halb der Schweiz bzw. der USA; beträcht­li­che Ver­mö­gens­wer­te im Ver­hält­nis zum Kun­den­ver­mö­gen und zu den vom Kun­den kom­mu­ni­zier­ten Absich­ten; unzu­rei­chen­de Anga­ben bezüg­lich Hin­ter­grund der Über­wei­sun­gen; vor­ge­scho­be­ne zeit­li­che Dring­lich­keit, die für die­sen Kun­den unüb­lich war.

Das Bun­des­ge­richt hielt der Bank im Ergeb­nis vor, eine Viel­zahl von Ver­dachts­ele­men­ten, wel­che sie zu zusätz­li­chen Abklä­run­gen hät­ten ver­an­las­sen müs­sen, igno­riert zu haben. Die Bank han­del­te damit grob­fahr­läs­sig (Übers. aus dem Frz.):

2.4.3 […] Die [Vor­in­stanz] hat damit zu Recht fest­ge­hal­ten, dass die [Bank] sorg­falts­wid­rig han­del­te, indem sie es unter­liess, Über­prü­fun­gen vor­zu­neh­men, als sie mit einer Häu­fung von unge­wöhn­li­chen Umstän­den kon­fron­tiert war. Die Schwe­re die­ses Ver­schul­dens muss im Lich­te der Sorg­falt beur­teilt wer­den, die der [Kun­de] berech­tig­ter­wei­se von einem Bank­in­sti­tut erwar­ten konn­te […]. Wie die Vor­in­stanz fest­stell­te, hät­te [die Bank] in der Lage sein müs­sen, den unge­wöhn­li­chen, und damit poten­ti­ell ver­däch­ti­gen, Cha­rak­ter der Instruk­tio­nen zu erken­nen, die anders als die übli­chen Mit­tei­lun­gen des Kun­den ver­fasst waren und unge­wöhn­li­che Merk­ma­le auf­wie­sen, sowohl ange­sichts der Art und Wei­se, wie die Ver­mö­gens­wer­te bis anhin ver­wen­det wor­den waren wie auch hin­sicht­lich der vor­gän­gig vom [Kun­den] geäu­sser­ten Absich­ten. […]”

Wei­ter äusser­te sich das Bun­des­ge­richt auch zu Fra­gen der Geneh­mi­gungs­fik­ti­on (i.c. nicht anwend­bar wegen Grob­fahr­läs­sig­keit der Bank: E. 3.1 ff.) und einem all­fäl­li­gen eige­nen Ver­schul­den des Bank­kun­den wegen Auf­be­wah­rung elek­tro­ni­scher Bank­un­ter­la­gen auf sei­nem Hot­mail-Kon­to (ver­neint: E. 4.1 ff.).

Claudio Kerber

Posted by Claudio Kerber

RA lic.iur. Claudio Kerber arbeitet als Rechtsanwalt und Partner bei der Kanzlei Werder Viganò AG. Er ist Ko-Autor von Lehrwerken zum Wertpapierrecht (2005) und Finanzmarktrecht (2015).