Gegen Phishing & Co. Der VKI gewinnt gegen die Bank Austria vor dem Höchstgericht: Internetbanking-Schutzpakete sind dank gesetzlicher Haftungsbegrenzung nicht in allen Fällen nötig – und darüber müssen die Kunden aufgeklärt werden.
Der Verein für Konsumenteninformation (VKI) hatte im Auftrag des Sozialministeriums die Unicredit Bank Austria wegen Klauseln in deren Allgemeinen Geschäftsbedingungen (AGB) für das Internetbanking-Schutzpaket „Just-In-Case“ geklagt. Dieses Produkt soll Verbraucherinnen und Verbraucher beim Online-Banking gegen finanzielle Schäden durch Internetkriminalität absichern. Technisch handelt es sich um eine Gruppenversicherung beim UniCredit-Versicherungspartner Ergo.
Gesetzlicher Schutz besteht teilweise bereits
Die Bank klärte in den Unterlagen zu Just-In-Case nicht ausreichend darüber auf, wann die Kunden nach dem Gesetz ohnehin keine Haftung trifft, so der VKI. Die nun vorliegende Entscheidung des Obersten Gerichtshofes (OGH) gebe dem VKI in vollem Umfang Recht und erkläre die entsprechenden Passagen der AGB für gesetzwidrig (OGH, 22.10.2021 8 Ob 108/21x). Die Bank hatte dabei Wirtschaftskanzlei Schönherr zur Seite, Klagsvertreter war VKI-Anwalt Stefan Langer.
Das Urteil ist rechtskräftig. Die betreffenden Passagen wurden laut Bank Austria bereits vor Monaten geändert, wobei jetzt der Umfang von Versicherungsschutz und gesetzlichen Haftungen entsprechend dargestellt werde. Just-In-Case-Kunden haben jedenfalls weiterhin vollen Versicherungsschutz, so die Bank Austria.
Was die Verbraucherschützer auf den Plan rief
Die Unicredit Bank Austria bewarb auf ihrer Website das Internetbanking Schutzpaket „JUST-IN-CASE“. Das Produkt soll Verbrauchern Versicherungsschutz für gewisse Schadensfälle im Rahmen des Onlinebanking bieten, insbesondere für Phishing-Fälle. Unter „Phishing“ werden betrügerische Angriffe verstanden, mit denen Konsumentinnen und Konsumenten Zahlungsdaten – beispielweise PIN und TAN – entlockt werden, um damit in weiterer Folge missbräuchliche Zahlungsvorgänge vorzunehmen.
Eine der für unzulässig befundenen Klauseln beschreibt den von der Bank angebotenen ergänzenden Versicherungsschutz, ohne in diesem Zusammenhang auf die bestehenden Haftungsregelungen des Zahlungsdienstegesetzes (ZaDiG) 2018 hinzuweisen. Dadurch wird Verbrauchern suggeriert, dass diese ein Schadensrisiko für missbräuchliche Zahlungsvorgänge tragen müssten, obwohl sie laut ZaDiG 2018 für gewisse Schäden ohnehin keine Haftung trifft.
Wann Verbraucher ohnehin geschützt sind
„Die Haftung von Verbrauchern gegenüber ihrer Bank bei nicht autorisierten Zahlungen ist zwingend und abschließend im Zahlungsdienstegesetz 2018 geregelt und in vielfacher Hinsicht eingeschränkt“, erläutert Joachim Kogelmann, zuständiger Jurist im VKI. „So gibt es beispielsweise bei nicht autorisierten Zahlungen, die auf eine nur leicht fahrlässige Pflichtverletzung des Verbrauchers zurückgehen, eine Haftungsbegrenzung von 50 Euro. Zudem gelten gewisse Ausnahmen, in denen die Verbraucher – außer bei Betrugsabsicht – überhaupt keine Haftung trifft, wie etwa wenn keine starke Kundenauthentifizierung via 2-Faktor-Authentifizierung ermöglicht wird.“
Obwohl es im Verfahren vor dem OGH vorrangig um eine prozessuale Frage ging, folgte das Gericht auch inhaltlich der Rechtsansicht des VKI und beurteilte die noch verfahrensgegenständlichen Textpassagen insgesamt als intransparent, heißt es. Durch die Art der Beschreibung des Versicherungsprodukts werde suggeriert, dass die Kundinnen und Kunden das Risiko der missbräuchlichen Verwendung des Zahlungsinstruments tragen, obwohl dies laut ZaDiG 2018 lediglich eingeschränkt der Fall ist.
Weitere Klauseln wurden bereits in den Vorinstanzen rechtskräftig für unzulässig befunden. So wurde beispielsweise eine Klausel als gröblich benachteiligend beurteilt, wonach kein Internetschutz besteht, wenn ein Zahlungsvorgang auf einem öffentlich zugänglichen Gerät durchgeführt wurde, wie etwa in einem Internetcafé oder einer Hotellobby. Eine andere Bestimmung, welche die Meldepflichten eines Betrugsverdachts oder Schadenfalls bei von der Bank betriebenen Hotlines und der Polizei vorschrieb, wurde als intransparent beurteilt.
