4A_386/2016: Man-in-the-middle-Angriff / Haftung der Bank für unautorisierte Aufträge bejaht

Das Bun­des­gericht sich hat­te im Entscheid 4A_386/2016 (frz.) mit einem ein­drück­lichen Fall ein­er “Man-in-the-Middle”-Attacke im Zusam­men­hang mit ein­er Bankkun­den­beziehung zu beschäftigen.

Dem Entscheid lag eine Bankbeziehung zwis­chen einem Anwalt­sas­sis­ten­ten ein­er amerikanis­chen Grosskan­zlei und ein­er Schweiz­er Bank zugrunde. Die Kon­to­beziehung war während mehrerer Jahre unauf­fäl­lig ver­laufen. Die (wenige) Kor­re­spon­denz seit­ens des Kun­den erfol­gte jew­eils per E‑Mail und in gepflegtem Englisch. Im Dezem­ber 2011 kündigte der Kunde die baldige Über­weisung eines Betrags von USD 400’000 auf sein Kon­to an, wobei er ver­merk­te, das Geld langfristig auf dem Kon­to belassen zu wollen.

In der Folge gelang es ein­er unbekan­nten Täter­schaft (“les pirates”), sich die Kon­trolle über das Hot­mail-Kon­to des Bankkun­den zu ver­schaf­fen. Dies erlaubte es den Pirat­en ein­er­seits, E‑Mails mit der Adresse des Kun­den an die Bank zu versenden und ander­er­seits, E‑Mails der Bank an den Kun­den abzufangen.

Was fol­gte, war eine mehrschichtige Kor­re­spon­denz über mehrere Monate zwis­chen (ver­meintlich) dem Kun­den und der Bank, wobei wed­er dieser noch jene merk­ten, dass sie in Tat und Wahrheit jew­eils mit den Pirat­en kor­re­spondierten (im Entscheid aus­führlich dargelegt in der Sachver­halts­darstel­lung A.f ff.).

So wiesen etwa die Pirat­en die Bank unter Ver­wen­dung der E‑Mail-Adresse des Kun­den die Bank an, einen Betrag von USD 120’000 auf ein Kon­to ein­er Lim­it­ed-Gesellschaft in Hong Kong zu über­weisen. Die Bank führte diesen Auf­trag aus und bestätigte ihn dem Kun­den, wobei die entsprechende E‑Mail von den Pirat­en abge­fan­gen wurde. Eine Belas­tungsanzeige in Papier­form wurde dem Kun­den nicht zugestellt, da er ban­klagernde Post vere­in­bart hatte.

In der Folge stell­ten die Pirat­en der Bank auf ähn­liche Weise weit­ere Über­weisungsaufträge zu, welche diese zulas­ten des Kun­denkon­tos aus­führte. Mit dieser Masche gelang es den Pirat­en, das Kon­to zu plündern.

Das Bun­des­gericht hiess die Klage des Bankkun­den gegen die Bank mit fol­gen­der Begrün­dung gut:

Zunächst ver­wies das Bun­des­gericht auf seine Recht­sprechung zur Erfül­lungsklage im Zusam­men­hang mit unau­torisierten Über­weisun­gen (E. 2.2.2) sowie zu der üblicher­weise in Bank-AGBs enthal­te­nen Risikoüber­wälzungsklausel (freie Über­set­zung aus dem Französischen):

2.2.3 Es ist allerd­ings üblich, dass die all­ge­meinen Geschäfts­be­din­gun­gen der Banken eine Risikoüber­wälzungsklausel enthal­ten, wonach der aus einem Legit­i­ma­tion­s­man­gel oder ein­er nicht ent­deck­ten Fälschung resul­tierende Schaden, Grob­fahrläs­sigkeit der Bank vor­be­hal­ten, beim Kun­den anfällt; mit­tels dieser Klausel wird das zunächst [der Bank] obliegende Risiko auf [den Kun­den] über­wälzt [Ver­weis auf Bundesgerichtsentscheide].”

Das Bun­des­gericht machte sodann Aus­führun­gen zu Art. 100 OR, welch­er auf solche Klauseln ana­log zur Anwen­dung kommt (E. 2.2.4). Spez­i­fisch zu den Pflicht­en ein­er Bank bezüglich Legit­i­ma­tion­sprü­fung hielt das Bun­des­gericht Fol­gen­des fest (Übers. aus dem Franz.):

2.2.6 Grund­sät­zlich hat die Bank die Echtheit der ihr zugestell­ten Aufträge nur nach den Modal­itäten zu prüfen, welche zwis­chen den Parteien vere­in­bart wur­den oder sich gegebe­nen­falls aus dem Gesetz ergeben [Ver­weis auf frühere Entschei­de]. Sie hat keine ausseror­dentlichen Mass­nah­men zu ergreifen, die mit ein­er raschen Abwick­lung der Geschäfte unvere­in­bar sind. Wen­ngle­ich sie mit der Exis­tenz von Fälschun­gen rech­nen muss, hat sie diese nicht sys­tem­a­tisch zu ver­muten [Ver­weis auf früheren Entscheid]. Sie wird indes zusät­zliche Abklärun­gen vornehmen, wenn ern­sthafte Indizien für eine Fälschung vor­liegen, wenn sich ein Auf­trag nicht auf eine ver­traglich vorge­se­hene oder üblicher­weise ver­langte Oper­a­tion bezieht oder wenn beson­dere Umstände Ver­dacht aufkom­men lassen [Ver­weis auf frühere Entscheide].”

Das Bun­des­gericht ging dann mit der Vorin­stanz davon aus, dass die unau­torisierten Aufträge unter fünf Gesicht­spunk­ten ungewöhn­lich waren (E. 2.4.2 ff.) : Sprache (schlecht­es und fehler­haftes Englisch der Pirat­en); Über­weisung an einen Drit­ten und auf ein Kon­to ausser­halb der Schweiz bzw. der USA; beträchtliche Ver­mö­genswerte im Ver­hält­nis zum Kun­den­ver­mö­gen und zu den vom Kun­den kom­mu­nizierten Absicht­en; unzure­ichende Angaben bezüglich Hin­ter­grund der Über­weisun­gen; vorgeschobene zeitliche Dringlichkeit, die für diesen Kun­den unüblich war.

Das Bun­des­gericht hielt der Bank im Ergeb­nis vor, eine Vielzahl von Ver­dacht­se­le­menten, welche sie zu zusät­zlichen Abklärun­gen hät­ten ver­an­lassen müssen, ignori­ert zu haben. Die Bank han­delte damit grob­fahrläs­sig (Übers. aus dem Frz.):

2.4.3 […] Die [Vorin­stanz] hat damit zu Recht fest­ge­hal­ten, dass die [Bank] sorgfaltswidrig han­delte, indem sie es unter­liess, Über­prü­fun­gen vorzunehmen, als sie mit ein­er Häu­fung von ungewöhn­lichen Umstän­den kon­fron­tiert war. Die Schwere dieses Ver­schuldens muss im Lichte der Sorgfalt beurteilt wer­den, die der [Kunde] berechtigter­weise von einem Bank­in­sti­tut erwarten kon­nte […]. Wie die Vorin­stanz fest­stellte, hätte [die Bank] in der Lage sein müssen, den ungewöhn­lichen, und damit poten­tiell verdächti­gen, Charak­ter der Instruk­tio­nen zu erken­nen, die anders als die üblichen Mit­teilun­gen des Kun­den ver­fasst waren und ungewöhn­liche Merk­male aufwiesen, sowohl angesichts der Art und Weise, wie die Ver­mö­genswerte bis anhin ver­wen­det wor­den waren wie auch hin­sichtlich der vorgängig vom [Kun­den] geäusserten Absichten. […]”

Weit­er äusserte sich das Bun­des­gericht auch zu Fra­gen der Genehmi­gungs­fik­tion (i.c. nicht anwend­bar wegen Grob­fahrläs­sigkeit der Bank: E. 3.1 ff.) und einem allfäl­li­gen eige­nen Ver­schulden des Bankkun­den wegen Auf­be­wahrung elek­tro­n­is­ch­er Bankun­ter­la­gen auf seinem Hot­mail-Kon­to (verneint: E. 4.1 ff.).