Das Bundesgericht sich hatte im Entscheid 4A_386/2016 (frz.) mit einem eindrücklichen Fall einer “Man-in-the-Middle”-Attacke im Zusammenhang mit einer Bankkundenbeziehung zu beschäftigen.
Dem Entscheid lag eine Bankbeziehung zwischen einem Anwaltsassistenten einer amerikanischen Grosskanzlei und einer Schweizer Bank zugrunde. Die Kontobeziehung war während mehrerer Jahre unauffällig verlaufen. Die (wenige) Korrespondenz seitens des Kunden erfolgte jeweils per E‑Mail und in gepflegtem Englisch. Im Dezember 2011 kündigte der Kunde die baldige Überweisung eines Betrags von USD 400’000 auf sein Konto an, wobei er vermerkte, das Geld langfristig auf dem Konto belassen zu wollen.
In der Folge gelang es einer unbekannten Täterschaft (“les pirates”), sich die Kontrolle über das Hotmail-Konto des Bankkunden zu verschaffen. Dies erlaubte es den Piraten einerseits, E‑Mails mit der Adresse des Kunden an die Bank zu versenden und andererseits, E‑Mails der Bank an den Kunden abzufangen.
Was folgte, war eine mehrschichtige Korrespondenz über mehrere Monate zwischen (vermeintlich) dem Kunden und der Bank, wobei weder dieser noch jene merkten, dass sie in Tat und Wahrheit jeweils mit den Piraten korrespondierten (im Entscheid ausführlich dargelegt in der Sachverhaltsdarstellung A.f ff.).
So wiesen etwa die Piraten die Bank unter Verwendung der E‑Mail-Adresse des Kunden die Bank an, einen Betrag von USD 120’000 auf ein Konto einer Limited-Gesellschaft in Hong Kong zu überweisen. Die Bank führte diesen Auftrag aus und bestätigte ihn dem Kunden, wobei die entsprechende E‑Mail von den Piraten abgefangen wurde. Eine Belastungsanzeige in Papierform wurde dem Kunden nicht zugestellt, da er banklagernde Post vereinbart hatte.
In der Folge stellten die Piraten der Bank auf ähnliche Weise weitere Überweisungsaufträge zu, welche diese zulasten des Kundenkontos ausführte. Mit dieser Masche gelang es den Piraten, das Konto zu plündern.
Das Bundesgericht hiess die Klage des Bankkunden gegen die Bank mit folgender Begründung gut:
Zunächst verwies das Bundesgericht auf seine Rechtsprechung zur Erfüllungsklage im Zusammenhang mit unautorisierten Überweisungen (E. 2.2.2) sowie zu der üblicherweise in Bank-AGBs enthaltenen Risikoüberwälzungsklausel (freie Übersetzung aus dem Französischen):
“2.2.3 Es ist allerdings üblich, dass die allgemeinen Geschäftsbedingungen der Banken eine Risikoüberwälzungsklausel enthalten, wonach der aus einem Legitimationsmangel oder einer nicht entdeckten Fälschung resultierende Schaden, Grobfahrlässigkeit der Bank vorbehalten, beim Kunden anfällt; mittels dieser Klausel wird das zunächst [der Bank] obliegende Risiko auf [den Kunden] überwälzt [Verweis auf Bundesgerichtsentscheide].”
Das Bundesgericht machte sodann Ausführungen zu Art. 100 OR, welcher auf solche Klauseln analog zur Anwendung kommt (E. 2.2.4). Spezifisch zu den Pflichten einer Bank bezüglich Legitimationsprüfung hielt das Bundesgericht Folgendes fest (Übers. aus dem Franz.):
“2.2.6 Grundsätzlich hat die Bank die Echtheit der ihr zugestellten Aufträge nur nach den Modalitäten zu prüfen, welche zwischen den Parteien vereinbart wurden oder sich gegebenenfalls aus dem Gesetz ergeben [Verweis auf frühere Entscheide]. Sie hat keine ausserordentlichen Massnahmen zu ergreifen, die mit einer raschen Abwicklung der Geschäfte unvereinbar sind. Wenngleich sie mit der Existenz von Fälschungen rechnen muss, hat sie diese nicht systematisch zu vermuten [Verweis auf früheren Entscheid]. Sie wird indes zusätzliche Abklärungen vornehmen, wenn ernsthafte Indizien für eine Fälschung vorliegen, wenn sich ein Auftrag nicht auf eine vertraglich vorgesehene oder üblicherweise verlangte Operation bezieht oder wenn besondere Umstände Verdacht aufkommen lassen [Verweis auf frühere Entscheide].”
Das Bundesgericht ging dann mit der Vorinstanz davon aus, dass die unautorisierten Aufträge unter fünf Gesichtspunkten ungewöhnlich waren (E. 2.4.2 ff.) : Sprache (schlechtes und fehlerhaftes Englisch der Piraten); Überweisung an einen Dritten und auf ein Konto ausserhalb der Schweiz bzw. der USA; beträchtliche Vermögenswerte im Verhältnis zum Kundenvermögen und zu den vom Kunden kommunizierten Absichten; unzureichende Angaben bezüglich Hintergrund der Überweisungen; vorgeschobene zeitliche Dringlichkeit, die für diesen Kunden unüblich war.
Das Bundesgericht hielt der Bank im Ergebnis vor, eine Vielzahl von Verdachtselementen, welche sie zu zusätzlichen Abklärungen hätten veranlassen müssen, ignoriert zu haben. Die Bank handelte damit grobfahrlässig (Übers. aus dem Frz.):
“2.4.3 […] Die [Vorinstanz] hat damit zu Recht festgehalten, dass die [Bank] sorgfaltswidrig handelte, indem sie es unterliess, Überprüfungen vorzunehmen, als sie mit einer Häufung von ungewöhnlichen Umständen konfrontiert war. Die Schwere dieses Verschuldens muss im Lichte der Sorgfalt beurteilt werden, die der [Kunde] berechtigterweise von einem Bankinstitut erwarten konnte […]. Wie die Vorinstanz feststellte, hätte [die Bank] in der Lage sein müssen, den ungewöhnlichen, und damit potentiell verdächtigen, Charakter der Instruktionen zu erkennen, die anders als die üblichen Mitteilungen des Kunden verfasst waren und ungewöhnliche Merkmale aufwiesen, sowohl angesichts der Art und Weise, wie die Vermögenswerte bis anhin verwendet worden waren wie auch hinsichtlich der vorgängig vom [Kunden] geäusserten Absichten. […]”
Weiter äusserte sich das Bundesgericht auch zu Fragen der Genehmigungsfiktion (i.c. nicht anwendbar wegen Grobfahrlässigkeit der Bank: E. 3.1 ff.) und einem allfälligen eigenen Verschulden des Bankkunden wegen Aufbewahrung elektronischer Bankunterlagen auf seinem Hotmail-Konto (verneint: E. 4.1 ff.).