In einem neuen Urteil bot sich dem Bundesgericht einmal mehr die Gelegenheit, sich zum Verhältnis zwischen einem Anspruch des Bankkunden auf Rückerstattung sowie dem Gegenanspruch der Bank auf Schadenersatz gegen den Bankkunden zu äussern.
Hintergrund war zusammengefasst folgender Sachverhalt: Die A. AG verfügt über mehrere Konten bei der Bank B. SA, unter anderem ein EUR-Konto auf welchem sich EUR 5’278’670.79 befanden. Der Bankangestellte F. war seit mehreren Jahren für diese Bankbeziehung zuständig. Die A. AG wurde im Verhältnis zur Bank durch Kollektivunterschrift vertreten, wobei insbesondere der CEO und eine Buchhaltungsangestellte über eine Unterschriftsberechtigung verfügten. Die A. AG wickelte üblicherweise sämtliche ihrer Zahlungen über das e‑banking System G. der Bank ab. Dass Zahlungsanweisungen mittels E‑Mail erfolgen können, lehnte die A. AG ab, weshalb sie das entsprechende Formular der Bank nicht unterzeichnet hatte. Die A. AG wurde Opfer einer vorgetäuschten CEO-Anweisung (bekannt unter der Bezeichnung “escroquerie au Président”): Während der CEO auf Geschäftsreise in den USA war, kontaktierten Betrüger die Buchhaltungsangestellte, indem sie sich in einem Telefongespräch als Anwalt und in einer E‑Mail als CEO des Unternehmens ausgaben. Unter dem Vorwand, es ginge um eine vertraugliche und dringende grössere Transaktion mit einem chinesischen Unternehmen, übermittelte die Buchhaltungsangestellte, überzeugt davon, mit einem richtigen Anwalt und dem tatsächlichen CEO des Unternehmens in Kontakt zu stehen, den Betrügern die Kontoangaben der A. AG und folgte den Anweisungen der Betrüger, fünf Zahlungsanweisungen an die Bank zu richten. Die Buchhaltungsangestellte kontaktierte daraufhin die Bank, um die erste Zahlungsanweisung auszuführen. Sie wurde mit dem Angestellten H. verbunden, der den üblichen zuständigen F. ersetzte, schilderte diesem die Angelegenheit als dringlich und fragte nach Möglichkeiten, Zahlungsaufträge ohne Verwendung des e‑banking Systems G. der Bank ausführen zu können. H. schlug vor, den Zahlungsauftrag als einfache E‑Mail zu übermitteln und diesen durch eine zweite Person der Gesellschaft ebenfalls mittels einfacher E‑Mail bestätigen zu lassen. Gestützt auf diese Vorgehensweise löste die Bank insgesamt fünf Zahlungen im Umfang von insgesamt EUR 4’041’537.61 aus, wobei die bestätigende E‑Mail jeweils von den Betrügern kam, welche sich als den CEO der A. AG ausgaben.
Nachdem der Vorsitzende der Buchhaltung von den Transaktionen erfuhr, reichte die A. AG Strafanzeige gegen Unbekannt ein und klagte gegen die Bank auf Rückerstattung der zu Unrecht transferierten Beträge. Das erstinstanzliche Tribunal régional du Littoral et du Val-de-travers hiess die Klage mehrheitlich gut, indem es aufgrund der Versäumnisse der A. AG einzig für die erste Zahlung keinen Anspruch auf Rückerstattung erkannte. Der Cour d’appel civil hob auf Berufung hin das Urteil auf und verurteilte die Bank zur Zahlung von EUR 2’032’611.97. Es erwog zum Einen, dass die Bank bei der Überprüfung der Legitimität des Bankkunden nicht mit der gebotenen Sorgfalt vorgegangen sei (Erfordernis der doppelten Unterschrift). Zum Anderen erkannte es ein Verschulden der A. AG, da deren Buchhaltungsangestellte (Art. 101 OR) sich objektiv unangemessen verhalten hätte, selbst wenn sie subjektiv die Hierarchie innerhalb der A. AG geachtet und ihr Handeln durch den lohnenden Charakter des ihr anvertrauten Geschäfts motiviert war. Gestützt darauf erwog die Vorinstanz, dass für die ersten drei Zahlungen die Verantwortung der Bank bei 60% und des Bankkunden bei 40%, sowie für die letzten beiden Zahlungen die Verantwortung der Bank bei 40% und des Bankkunden bei 60% festzulegen sei.
Sowohl die Bank als auch die A. AG zogen das Urteil an das Bundesgericht weiter. Dieses hob das vorinstanzliche Urteil auf und verurteilte die Bank zur Zahlung des gesamten Betrags von EUR 4’041’537.61 an die A. AG.
Es rief zunächst das in seiner Rechtsprechung entwickelte, aus drei Schritten bestehende Prüfungsraster in Erinnerung, wenn ein Kläger behauptet, dass Zahlungen oder Überweisungen von der Bank trotz fehlender Legitimität des Auftraggebers oder als Folge unentdeckter Fälschungen ausgeführt wurden (E. 3.1). Anschliessend prüfte es den vorliegenden Sachverhalt anhand dieses Schemas.
Das Bundesgericht erwog im ersten Schritt, dass die streitgegenständlichen Zahlungsaufträge unter Verletzung des zwischen der A. AG und der Bank vereinbarten Verfahrens (Aufträge müssen durch zwei kollektivzeichnungsberechtigte Personen abgegeben werden) ausgeführt wurden. Ein Verschulden der Bank werde dabei nicht geprüft und/oder berücksichtigt (E. 4).
In einem zweiten Schritt prüfte das Bundesgericht sodann, ob der Schaden, der durch die ohne Auftrag ausgeführten Überweisungsaufträge entstanden sei, von der Bank (wie es der gesetzlichen Ordnung entspreche) oder infolge des Abschlusses einer Risikotransferklausel von der A. AG zu tragen sei. Die Erwägungen der Vorinstanz bestätigend wies das Bundesgericht darauf hin, dass die Bank und die A. AG keine solche Risikotransferklausel vereinbart hätten, weshalb die Bank den Schaden zu tragen habe (E. 5).
Schliesslich prüfte das Bundesgericht im dritten Schritt, ob der Bank ein Schadenersatzanspruch als Verrechnungsanspruch gegen die A. AG zustehe, da diese zu Unrecht dazu beigetragen habe, den erlittenen Schaden zu verursachen oder zu verschlimmern. Das Bundesgericht rief dabei zunächst seine Rechtsprechung mit Bezug auf diesen Schadenersatzanspruch der Bank in Erinnerung (E. 6.3). Dabei gehe es insbesondere darum, die Schwere des Fehlverhaltens der Bank und ihrer Hilfspersonen (Art. 101 OR) im Verhältnis zum Verschulden der A. AG als Bankkundin zu beurteilen (E. 6.3.2). Mit Bezug auf die Überprüfung der Authentizität von Zahlungs- oder Überweisungsaufträgen müsse die Bank gemäss den zwischen den Parteien vereinbarten oder gegebenenfalls gesetzlich festgelegten Verfahren vorgehen (E. 6.3.3). Dabei müsse die Bank keine ausserordentlichen Massnahmen ergreifen, welche mit der raschen Abwicklung von Transaktionen unvereinbar seien. Ebenso wenig müsse sie systematisch vom Vorliegen von Fehlern ausgehen (E. 6.3.3.2.). Dies gelte auch bei der Übermittlung von Zahlungs- oder Überweisungsaufträgen mittels E‑Mail (E: 6.3.3.3).
Sodann erwog das Bundesgericht, dass selbst wenn vorliegend davon auszugehen wäre, dass die A. AG ihre vertraglichen Verpflichtungen verletzt hätte, indem ihre Buchhaltungsangestellte mit der Begründung, es handle sich um eine vertrauliche und dringende Angelegenheit, den Bankangestellten veranlasst hätte, von der vertraglichen Vereinbarung (Erfordernis der Kollektivunterschrift zu zweit) abzuweichen, festzustellen sei, dass das damit einhergehende Fehlverhalten der Bank und ihrer Hilfspersonen den adäquaten Kausalzusammenhang zwischen der Vertragsverletzung der A. AG und dem daraus resultierenden Schaden unterbrochen hätte. Das Fehlverhalten der Bank liege dabei vorliegend darin, dass der Bankangestellte der jungen Buchhaltungsangestellten vorgeschlagen habe, die Zahlungsaufträge per E‑Mail, mithin ohne handschriftliche Unterschrift, zu übermitteln und zusätzlich telefonisch zu bestätigen. Dieser Vorschlag verstosse gegen die mit der A. AG getroffene Vereinbarung, wonach für Zahlungsaufträge zwei kollektivzeichnungsberechtigte Personen unterzeichnen und das elektronische e‑banking System G. der Bank benutzt werden musste, sowie dass die Erteilung von Aufträgen per E‑Mail ausdrücklich nicht vereinbart worden war. Sodann wies das Bundesgericht darauf hin, dass die ersten drei E‑Mails des mutmasslichen CEO eindeutig verdächtig gewesen seien, weil sie nicht der bei der A. AG beschäftigten Personen entsprochen hätten. Zudem hätten die E‑Mails Rechtschreib- und Grammatikfehler enthalten, obwohl die A. AG eine Schweizer Gesellschaft und ihr CEO ein Schweizer seien. Trotz der Tatsache, dass der Bankangestellte direkten Kontakt mit der Buchhaltungsangestellten gehabt hätte, sei bereits der erste Zahlungsauftrag ungewöhnlich und unüblich gewesen, da die A. AG Zahlungen nie per Telefon oder E‑Mail getätigt hätte. Sodann sei der Zahlungsauftrag auch in Bezug auf den Betrag, verglichen zu den üblichen Zahlungsaufträgen, ungewöhnlich gewesen. Weiter seien der zweite und dritte Zahlungsauftrag ungewöhnlich gewesen, und zwar aufgrund deren Häufigkeit (innert weniger Tage), deren Höhe und der Tatsache, dass beide Aufträge identische Beträge betroffen hätten. Unter diesen Umständen, so das Bundesgericht, scheinen die Fehler, welche die Vorinstanz der Buchhaltungsangestellten und damit der A. AG zugeschrieben hätte (Art. 101 OR), in der Kette der Ursachen, die zum Schaden geführt hätten, weit entfernt zu sein, auch wenn es ohne diese Fehler keinen Betrug gegeben hätte (E. 6.4).