4A_9/2020: Sorgfaltspflichten von Banken und anderen Finanzgesellschaften bei Transaktionsaufträgen via E‑Mail (amtl. Publ.)

Das Bun­des­gericht ver­fein­erte in diesem Urteil seine Recht­sprechung zu den Sorgfalt­spflicht­en von Banken und anderen Finanzge­sellschaften im Zusam­men­hang mit Transaktionen.

Stark zusam­menge­fasst lag dem Urteil fol­gen­der Sachver­halt zugrunde: Ein Kunde, türkisch­er Staats­bürg­er, hat­te bei ein­er Finanzge­sellschaft („société de négoce“) ein Num­mernkon­to eröffnet und auf dieses Kon­to einen Betrag von EUR 850‘000 trans­feriert. Im Zuge der Eröff­nung dieses Kon­tos unterze­ich­nete der Kunde unter anderem ein For­mu­lar, mit welchem er die Finanzge­sellschaft aus­drück­lich ermächtigte, Instruk­tio­nen ins­beson­dere per E‑Mail ent­ge­gen­zunehmen und diese unverzüglich, ohne vorgängige schriftliche Bestä­ti­gung durch den Kun­den, auszuführen. Das For­mu­lar enthielt sodann eine übliche Risiko­trans­fer­k­lausel, wonach Schä­den, welche auf die Ver­wen­dung ins­beson­dere von E‑Mail zurück­zuführen sind, zu Las­ten des Kun­den gehen, auss­er die Finanzge­sellschaft tre­ffe ein grobes Ver­schulden. Inner­halb rund eines Jahres seit der Eröff­nung des Kon­tos gab der Kunde zwei Tran­ska­tio­nen per E‑Mail in Auf­trag, näm­lich eine Zahlung an seine Tochter in die USA und eine Zahlung an ein auf seinen Namen lau­t­en­des Kon­to in Istan­bul. Das E‑Mail Kon­to des Kun­den wurde später gehackt und die Hack­er gaben inner­halb rund eines Monats acht Transak­tio­nen per E‑Mail an die Finanzge­sellschaft in Auf­trag. Nach­dem die Hack­er eine leicht abgeän­derte E‑Mail-Adresse ver­wen­de­ten, stoppte die Finanzge­sellschaft die Transak­tio­nen und ver­langte eine vorgängige Bestä­ti­gung durch den Kunden.

Das erstin­stan­zliche Gericht wies die Klage ab, weil die Finanzge­sellschaft bei der Aus­führung der fraglichen, per E‑Mail erhal­te­nen Transak­tion­saufträ­gen kein grobes Ver­schulden tre­ffe. Die Beru­fungsin­stanz bejahte ein solch­es grobes Ver­schulden indessen für einen Teil der Transak­tio­nen und verpflichtete die Finanzge­sellschaft zur Rück­zahlung der entsprechen­den Beträge. Das Bun­des­gericht wiederum hob dieses Urteil auf und wies die Klage endgültig ab.

Das Bun­des­gericht ver­wies zunächst auf seine bish­erige Recht­sprechung zu den in den all­ge­meinen Geschäfts­be­din­gun­gen enthal­te­nen Risiko­trans­fer­k­lauseln, deren Zuläs­sigkeit sich durch analoge Anwen­dung von Art. 100 und Art. 101 Abs. 3 OR beurteile. Diese Prinzip­i­en wür­den auch bei der Vere­in­barung ein­er Haf­tungs­be­freiung für tele­fonisch, per Fax oder E‑Mail über­mit­telte Aufträge des Kun­den gel­ten, welche die Bank ermächtige, auf einem dieser Wege über­mit­telte Aufträge auszuführen und die daraus resul­tieren­den Risiken dem Kun­den aufer­lege (E. 6.1). Ein grobes Ver­schulden, und damit eine Ungültigkeit ein­er solchen Risiko­trans­fer­k­lausel, liege dabei vor, wenn ele­mentare Regeln der Vor­sicht, die jed­er vernün­fti­gen Per­son unter den gle­ichen Umstän­den aufer­legt wor­den wären, ver­let­zt wer­den (E. 6.2). Sodann wies das Bun­des­gericht darauf hin, dass eine Bank die Authen­tiz­ität von Transak­tion­saufträ­gen grund­sät­zlich lediglich gemäss den zwis­chen den Parteien vere­in­barten Modal­itäten über­prüfen müsse (E. 6.2.1). Sofern die Parteien vere­in­bart hät­ten, dass Transak­tion­saufträge per E‑Mail gegeben wer­den kön­nen, müsse die Bank keine ausseror­dentlichen Mass­nah­men ergreifen, welche mit der raschen Abwick­lung von Transak­tio­nen unvere­in­bar seien. Eben­so wenig müsse sie sys­tem­a­tisch davon aus­ge­hen, dass die ihr von der E‑Mail-Adresse des Kun­den über­mit­tel­ten Aufträge nicht vom Kun­den stam­men wür­den. Vielmehr liege es auf­grund der Risiko­trans­fer­k­lausel grund­sät­zlich in der Ver­ant­wor­tung des Kun­den, alle notwendi­gen Vor­sichts­mass­nah­men gegen den Miss­brauch sein­er E‑Mail-Adresse zu tre­f­fen. Die Haf­tung des Kun­den erstrecke sich sog­ar auf höhere Gewalt. Ein grobes Ver­schulden der Bank und damit eine Haf­tung könne somit nur vor­liegen, wenn die Bank ern­sthafte Hin­weise für einen Miss­brauch der E‑Mail-Adresse des Kun­den erken­nen müsse. Dies wäre der Fall, wenn für jeden vernün­fti­gen Men­schen ersichtlich wäre, dass der über­mit­telte Auf­trag auf­grund sein­er E‑Mail-Adresse, seines Textes, seines Inhalts oder eines exo­tis­chen Bes­tim­mungs­lan­des der Transak­tion sowie unter Berück­sich­ti­gung der Sit­u­a­tion des Kun­den nicht vom Kun­den stam­men kön­nte (E. 6.2.1.2).

Vor­liegend hät­ten, so dass Bun­des­gericht, keine solchen ern­sthaften Hin­weise vorgele­gen, weshalb der Bank kein grobes Ver­schulden vorge­wor­fen wer­den könne. Der Kunde sei lediglich seit rund einem Jahr Kunde der Finanzge­sellschaft gewe­sen und habe während dieser Zeit stets via E‑Mail oder Tele­fon kom­mu­niziert. Die stre­it­ge­gen­ständlichen Transak­tio­nen seien alle­samt von dieser E‑Mail-Adresse aus­ge­gan­gen. Als die Hack­er eine leicht verän­derte E‑Mail-Adresse benutzten, habe die Finanzge­sellschaft alle Transak­tio­nen gestoppt und ver­langt, dass der Kunde mit ihr tele­fonisch Kon­takt aufnehme. Die ver­schiede­nen E‑Mails seien auch sprach­lich der­art ähn­lich gewe­sen, dass die Finanzge­sellschaft — anders als im Fall BGer 4A_386/2016 — keinen Betrug hätte ver­muten müssen. Sodann seien die Transak­tio­nen an eine bekan­nte Bank in Gross­bri­tan­nien bes­timmt gewe­sen und nicht in ein weit ent­fer­ntes oder exo­tis­ches Land. Weit­er habe sich die Finanzge­sellschaft gegenüber dem Kun­den nicht verpflichtet, die Iden­tität des Zahlungsempfängers zu ver­i­fizieren. Schliesslich hätte auch die Höhe der in Auf­trag gegebe­nen Transak­tions­be­träge angesichts des Ver­mö­gens des Kun­den keine Ver­an­las­sung gegeben, die Richtigkeit der Transak­tio­nen bestäti­gen zu lassen. Da sodann als Grund für einzelne Transak­tio­nen „busi­ness deal“ angegeben wor­den sei, sei es nor­mal, dass solche Transak­tio­nen an Dritte gerichtet seien, und nicht an Fam­i­lien­ange­hörige oder an den Kun­den sel­ber, wie dies bei den zwei Transak­tio­nen im ersten Jahr der Ver­trags­beziehung der Fall gewe­sen sei (E. 6.3.2.1 und 6.3.2.3).