Das Bundesgericht verfeinerte in diesem Urteil seine Rechtsprechung zu den Sorgfaltspflichten von Banken und anderen Finanzgesellschaften im Zusammenhang mit Transaktionen.
Stark zusammengefasst lag dem Urteil folgender Sachverhalt zugrunde: Ein Kunde, türkischer Staatsbürger, hatte bei einer Finanzgesellschaft („société de négoce“) ein Nummernkonto eröffnet und auf dieses Konto einen Betrag von EUR 850‘000 transferiert. Im Zuge der Eröffnung dieses Kontos unterzeichnete der Kunde unter anderem ein Formular, mit welchem er die Finanzgesellschaft ausdrücklich ermächtigte, Instruktionen insbesondere per E‑Mail entgegenzunehmen und diese unverzüglich, ohne vorgängige schriftliche Bestätigung durch den Kunden, auszuführen. Das Formular enthielt sodann eine übliche Risikotransferklausel, wonach Schäden, welche auf die Verwendung insbesondere von E‑Mail zurückzuführen sind, zu Lasten des Kunden gehen, ausser die Finanzgesellschaft treffe ein grobes Verschulden. Innerhalb rund eines Jahres seit der Eröffnung des Kontos gab der Kunde zwei Transkationen per E‑Mail in Auftrag, nämlich eine Zahlung an seine Tochter in die USA und eine Zahlung an ein auf seinen Namen lautendes Konto in Istanbul. Das E‑Mail Konto des Kunden wurde später gehackt und die Hacker gaben innerhalb rund eines Monats acht Transaktionen per E‑Mail an die Finanzgesellschaft in Auftrag. Nachdem die Hacker eine leicht abgeänderte E‑Mail-Adresse verwendeten, stoppte die Finanzgesellschaft die Transaktionen und verlangte eine vorgängige Bestätigung durch den Kunden.
Das erstinstanzliche Gericht wies die Klage ab, weil die Finanzgesellschaft bei der Ausführung der fraglichen, per E‑Mail erhaltenen Transaktionsaufträgen kein grobes Verschulden treffe. Die Berufungsinstanz bejahte ein solches grobes Verschulden indessen für einen Teil der Transaktionen und verpflichtete die Finanzgesellschaft zur Rückzahlung der entsprechenden Beträge. Das Bundesgericht wiederum hob dieses Urteil auf und wies die Klage endgültig ab.
Das Bundesgericht verwies zunächst auf seine bisherige Rechtsprechung zu den in den allgemeinen Geschäftsbedingungen enthaltenen Risikotransferklauseln, deren Zulässigkeit sich durch analoge Anwendung von Art. 100 und Art. 101 Abs. 3 OR beurteile. Diese Prinzipien würden auch bei der Vereinbarung einer Haftungsbefreiung für telefonisch, per Fax oder E‑Mail übermittelte Aufträge des Kunden gelten, welche die Bank ermächtige, auf einem dieser Wege übermittelte Aufträge auszuführen und die daraus resultierenden Risiken dem Kunden auferlege (E. 6.1). Ein grobes Verschulden, und damit eine Ungültigkeit einer solchen Risikotransferklausel, liege dabei vor, wenn elementare Regeln der Vorsicht, die jeder vernünftigen Person unter den gleichen Umständen auferlegt worden wären, verletzt werden (E. 6.2). Sodann wies das Bundesgericht darauf hin, dass eine Bank die Authentizität von Transaktionsaufträgen grundsätzlich lediglich gemäss den zwischen den Parteien vereinbarten Modalitäten überprüfen müsse (E. 6.2.1). Sofern die Parteien vereinbart hätten, dass Transaktionsaufträge per E‑Mail gegeben werden können, müsse die Bank keine ausserordentlichen Massnahmen ergreifen, welche mit der raschen Abwicklung von Transaktionen unvereinbar seien. Ebenso wenig müsse sie systematisch davon ausgehen, dass die ihr von der E‑Mail-Adresse des Kunden übermittelten Aufträge nicht vom Kunden stammen würden. Vielmehr liege es aufgrund der Risikotransferklausel grundsätzlich in der Verantwortung des Kunden, alle notwendigen Vorsichtsmassnahmen gegen den Missbrauch seiner E‑Mail-Adresse zu treffen. Die Haftung des Kunden erstrecke sich sogar auf höhere Gewalt. Ein grobes Verschulden der Bank und damit eine Haftung könne somit nur vorliegen, wenn die Bank ernsthafte Hinweise für einen Missbrauch der E‑Mail-Adresse des Kunden erkennen müsse. Dies wäre der Fall, wenn für jeden vernünftigen Menschen ersichtlich wäre, dass der übermittelte Auftrag aufgrund seiner E‑Mail-Adresse, seines Textes, seines Inhalts oder eines exotischen Bestimmungslandes der Transaktion sowie unter Berücksichtigung der Situation des Kunden nicht vom Kunden stammen könnte (E. 6.2.1.2).
Vorliegend hätten, so dass Bundesgericht, keine solchen ernsthaften Hinweise vorgelegen, weshalb der Bank kein grobes Verschulden vorgeworfen werden könne. Der Kunde sei lediglich seit rund einem Jahr Kunde der Finanzgesellschaft gewesen und habe während dieser Zeit stets via E‑Mail oder Telefon kommuniziert. Die streitgegenständlichen Transaktionen seien allesamt von dieser E‑Mail-Adresse ausgegangen. Als die Hacker eine leicht veränderte E‑Mail-Adresse benutzten, habe die Finanzgesellschaft alle Transaktionen gestoppt und verlangt, dass der Kunde mit ihr telefonisch Kontakt aufnehme. Die verschiedenen E‑Mails seien auch sprachlich derart ähnlich gewesen, dass die Finanzgesellschaft — anders als im Fall BGer 4A_386/2016 — keinen Betrug hätte vermuten müssen. Sodann seien die Transaktionen an eine bekannte Bank in Grossbritannien bestimmt gewesen und nicht in ein weit entferntes oder exotisches Land. Weiter habe sich die Finanzgesellschaft gegenüber dem Kunden nicht verpflichtet, die Identität des Zahlungsempfängers zu verifizieren. Schliesslich hätte auch die Höhe der in Auftrag gegebenen Transaktionsbeträge angesichts des Vermögens des Kunden keine Veranlassung gegeben, die Richtigkeit der Transaktionen bestätigen zu lassen. Da sodann als Grund für einzelne Transaktionen „business deal“ angegeben worden sei, sei es normal, dass solche Transaktionen an Dritte gerichtet seien, und nicht an Familienangehörige oder an den Kunden selber, wie dies bei den zwei Transaktionen im ersten Jahr der Vertragsbeziehung der Fall gewesen sei (E. 6.3.2.1 und 6.3.2.3).