4A_178/2019, 4A_192/2019: Zahlungsauftrag per gefälschter E‑Mail, Rückerstattungsanspruch des Bankkunden und Gegenanspruch auf Schadenersatz der Bank (amtl. Publ.)

In einem neuen Urteil bot sich dem Bun­des­gericht ein­mal mehr die Gele­gen­heit, sich zum Ver­hält­nis zwis­chen einem Anspruch des Bankkun­den auf Rück­er­stat­tung sowie dem Gege­nanspruch der Bank auf Schaden­er­satz gegen den Bankkun­den zu äussern.

Hin­ter­grund war zusam­menge­fasst fol­gen­der Sachver­halt: Die A. AG ver­fügt über mehrere Kon­ten bei der Bank B. SA, unter anderem ein EUR-Kon­to auf welchem sich EUR 5’278’670.79 befan­den. Der Bankangestellte F. war seit mehreren Jahren für diese Bankbeziehung zuständig. Die A. AG wurde im Ver­hält­nis zur Bank durch Kollek­tivun­ter­schrift vertreten, wobei ins­beson­dere der CEO und eine Buch­hal­tungsangestellte über eine Unter­schrifts­berech­ti­gung ver­fügten. Die A. AG wick­elte üblicher­weise sämtliche ihrer Zahlun­gen über das e‑banking Sys­tem G. der Bank ab. Dass Zahlungsan­weisun­gen mit­tels E‑Mail erfol­gen kön­nen, lehnte die A. AG ab, weshalb sie das entsprechende For­mu­lar der Bank nicht unterze­ich­net hat­te. Die A. AG wurde Opfer ein­er vor­getäuscht­en CEO-Anweisung (bekan­nt unter der Beze­ich­nung “escro­querie au Prési­dent”): Während der CEO auf Geschäft­sreise in den USA war, kon­tak­tierten Betrüger die Buch­hal­tungsangestellte, indem sie sich in einem Tele­fonge­spräch als Anwalt und in ein­er E‑Mail als CEO des Unternehmens aus­gaben. Unter dem Vor­wand, es gin­ge um eine ver­traugliche und drin­gende grössere Transak­tion mit einem chi­ne­sis­chen Unternehmen, über­mit­telte die Buch­hal­tungsangestellte, überzeugt davon, mit einem richti­gen Anwalt und dem tat­säch­lichen CEO des Unternehmens in Kon­takt zu ste­hen, den Betrügern die Kon­toangaben der A. AG und fol­gte den Anweisun­gen der Betrüger, fünf Zahlungsan­weisun­gen an die Bank zu richt­en. Die Buch­hal­tungsangestellte kon­tak­tierte daraufhin die Bank, um die erste Zahlungsan­weisung auszuführen. Sie wurde mit dem Angestell­ten H. ver­bun­den, der den üblichen zuständi­gen F. erset­zte, schilderte diesem die Angele­gen­heit als dringlich und fragte nach Möglichkeit­en, Zahlungsaufträge ohne Ver­wen­dung des e‑banking Sys­tems G. der Bank aus­führen zu kön­nen. H. schlug vor, den Zahlungsauf­trag als ein­fache E‑Mail zu über­mit­teln und diesen durch eine zweite Per­son der Gesellschaft eben­falls mit­tels ein­fach­er E‑Mail bestäti­gen zu lassen. Gestützt auf diese Vorge­hensweise löste die Bank ins­ge­samt fünf Zahlun­gen im Umfang von ins­ge­samt EUR 4’041’537.61 aus, wobei die bestäti­gende E‑Mail jew­eils von den Betrügern kam, welche sich als den CEO der A. AG ausgaben.

Nach­dem der Vor­sitzende der Buch­hal­tung von den Transak­tio­nen erfuhr, reichte die A. AG Strafanzeige gegen Unbekan­nt ein und klagte gegen die Bank auf Rück­er­stat­tung der zu Unrecht trans­ferierten Beträge. Das erstin­stan­zliche Tri­bunal région­al du Lit­toral et du Val-de-tra­vers hiess die Klage mehrheitlich gut, indem es auf­grund der Ver­säum­nisse der A. AG einzig für die erste Zahlung keinen Anspruch auf Rück­er­stat­tung erkan­nte. Der Cour d’ap­pel civ­il hob auf Beru­fung hin das Urteil auf und verurteilte die Bank zur Zahlung von EUR 2’032’611.97. Es erwog zum Einen, dass die Bank bei der Über­prü­fung der Legit­im­ität des Bankkun­den nicht mit der gebote­nen Sorgfalt vorge­gan­gen sei (Erforder­nis der dop­pel­ten Unter­schrift). Zum Anderen erkan­nte es ein Ver­schulden der A. AG, da deren Buch­hal­tungsangestellte (Art. 101 OR) sich objek­tiv unangemessen ver­hal­ten hätte, selb­st wenn sie sub­jek­tiv die Hier­ar­chie inner­halb der A. AG geachtet und ihr Han­deln durch den lohnen­den Charak­ter des ihr anver­traut­en Geschäfts motiviert war. Gestützt darauf erwog die Vorin­stanz, dass für die ersten drei Zahlun­gen die Ver­ant­wor­tung der Bank bei 60% und des Bankkun­den bei 40%, sowie für die let­zten bei­den Zahlun­gen die Ver­ant­wor­tung der Bank bei 40% und des Bankkun­den bei 60% festzule­gen sei.

Sowohl die Bank als auch die A. AG zogen das Urteil an das Bun­des­gericht weit­er. Dieses hob das vorin­stan­zliche Urteil auf und verurteilte die Bank zur Zahlung des gesamten Betrags von EUR 4’041’537.61 an die A. AG.

Es rief zunächst das in sein­er Recht­sprechung entwick­elte, aus drei Schrit­ten beste­hende Prü­fungsraster in Erin­nerung, wenn ein Kläger behauptet, dass Zahlun­gen oder Über­weisun­gen von der Bank trotz fehlen­der Legit­im­ität des Auf­tragge­bers oder als Folge unent­deck­ter Fälschun­gen aus­ge­führt wur­den (E. 3.1). Anschliessend prüfte es den vor­liegen­den Sachver­halt anhand dieses Schemas.

Das Bun­des­gericht erwog im ersten Schritt, dass die stre­it­ge­gen­ständlichen Zahlungsaufträge unter Ver­let­zung des zwis­chen der A. AG und der Bank vere­in­barten Ver­fahrens (Aufträge müssen durch zwei kollek­tivze­ich­nungs­berechtigte Per­so­n­en abgegeben wer­den) aus­ge­führt wur­den. Ein Ver­schulden der Bank werde dabei nicht geprüft und/oder berück­sichtigt (E. 4).

In einem zweit­en Schritt prüfte das Bun­des­gericht sodann, ob der Schaden, der durch die ohne Auf­trag aus­ge­führten Über­weisungsaufträge ent­standen sei, von der Bank (wie es der geset­zlichen Ord­nung entspreche) oder infolge des Abschlusses ein­er Risiko­trans­fer­k­lausel von der A. AG zu tra­gen sei. Die Erwä­gun­gen der Vorin­stanz bestäti­gend wies das Bun­des­gericht darauf hin, dass die Bank und die A. AG keine solche Risiko­trans­fer­k­lausel vere­in­bart hät­ten, weshalb die Bank den Schaden zu tra­gen habe (E. 5).

Schliesslich prüfte das Bun­des­gericht im drit­ten Schritt, ob der Bank ein Schaden­er­satzanspruch als Ver­rech­nungsanspruch gegen die A. AG zuste­he, da diese zu Unrecht dazu beige­tra­gen habe, den erlit­te­nen Schaden zu verur­sachen oder zu ver­schlim­mern. Das Bun­des­gericht rief dabei zunächst seine Recht­sprechung mit Bezug auf diesen Schaden­er­satzanspruch der Bank in Erin­nerung (E. 6.3). Dabei gehe es ins­beson­dere darum, die Schwere des Fehlver­hal­tens der Bank und ihrer Hil­f­sper­so­n­en (Art. 101 OR) im Ver­hält­nis zum Ver­schulden der A. AG als Bankkundin zu beurteilen (E. 6.3.2). Mit Bezug auf die Über­prü­fung der Authen­tiz­ität von Zahlungs- oder Über­weisungsaufträ­gen müsse die Bank gemäss den zwis­chen den Parteien vere­in­barten oder gegebe­nen­falls geset­zlich fest­gelegten Ver­fahren vorge­hen (E. 6.3.3). Dabei müsse die Bank keine ausseror­dentlichen Mass­nah­men ergreifen, welche mit der raschen Abwick­lung von Transak­tio­nen unvere­in­bar seien. Eben­so wenig müsse sie sys­tem­a­tisch vom Vor­liegen von Fehlern aus­ge­hen (E. 6.3.3.2.). Dies gelte auch bei der Über­mit­tlung von Zahlungs- oder Über­weisungsaufträ­gen mit­tels E‑Mail (E: 6.3.3.3).

Sodann erwog das Bun­des­gericht, dass selb­st wenn vor­liegend davon auszuge­hen wäre, dass die A. AG ihre ver­traglichen Verpflich­tun­gen ver­let­zt hätte, indem ihre Buch­hal­tungsangestellte mit der Begrün­dung, es han­dle sich um eine ver­trauliche und drin­gende Angele­gen­heit, den Bankangestell­ten ver­an­lasst hätte, von der ver­traglichen Vere­in­barung (Erforder­nis der Kollek­tivun­ter­schrift zu zweit) abzuwe­ichen, festzustellen sei, dass das damit ein­herge­hende Fehlver­hal­ten der Bank und ihrer Hil­f­sper­so­n­en den adäquat­en Kausalzusam­men­hang zwis­chen der Ver­tragsver­let­zung der A. AG und dem daraus resul­tieren­den Schaden unter­brochen hätte. Das Fehlver­hal­ten der Bank liege dabei vor­liegend darin, dass der Bankangestellte der jun­gen Buch­hal­tungsangestell­ten vorgeschla­gen habe, die Zahlungsaufträge per E‑Mail, mithin ohne hand­schriftliche Unter­schrift, zu über­mit­teln und zusät­zlich tele­fonisch zu bestäti­gen. Dieser Vorschlag ver­stosse gegen die mit der A. AG getrof­fene Vere­in­barung, wonach für Zahlungsaufträge zwei kollek­tivze­ich­nungs­berechtigte Per­so­n­en unterze­ich­nen und das elek­tro­n­is­che e‑banking Sys­tem G. der Bank benutzt wer­den musste, sowie dass die Erteilung von Aufträ­gen per E‑Mail aus­drück­lich nicht vere­in­bart wor­den war. Sodann wies das Bun­des­gericht darauf hin, dass die ersten drei E‑Mails des mut­masslichen CEO ein­deutig verdächtig gewe­sen seien, weil sie nicht der bei der A. AG beschäftigten Per­so­n­en entsprochen hät­ten. Zudem hät­ten die E‑Mails Rechtschreib- und Gram­matik­fehler enthal­ten, obwohl die A. AG eine Schweiz­er Gesellschaft und ihr CEO ein Schweiz­er seien. Trotz der Tat­sache, dass der Bankangestellte direk­ten Kon­takt mit der Buch­hal­tungsangestell­ten gehabt hätte, sei bere­its der erste Zahlungsauf­trag ungewöhn­lich und unüblich gewe­sen, da die A. AG Zahlun­gen nie per Tele­fon oder E‑Mail getätigt hätte. Sodann sei der Zahlungsauf­trag auch in Bezug auf den Betrag, ver­glichen zu den üblichen Zahlungsaufträ­gen, ungewöhn­lich gewe­sen. Weit­er seien der zweite und dritte Zahlungsauf­trag ungewöhn­lich gewe­sen, und zwar auf­grund deren Häu­figkeit (innert weniger Tage), deren Höhe und der Tat­sache, dass bei­de Aufträge iden­tis­che Beträge betrof­fen hät­ten. Unter diesen Umstän­den, so das Bun­des­gericht, scheinen die Fehler, welche die Vorin­stanz der Buch­hal­tungsangestell­ten und damit der A. AG zugeschrieben hätte (Art. 101 OR), in der Kette der Ursachen, die zum Schaden geführt hät­ten, weit ent­fer­nt zu sein, auch wenn es ohne diese Fehler keinen Betrug gegeben hätte (E. 6.4).