Von Claudio Kerber

Das E-Mail-Konto der Frau eines Bankkunden wird gehackt. Über die gekaperte E-Mail-Adresse wird eine Korrespondenz mit der Bank aufgebaut. Mittels Unterschriftenfälschung wird schliesslich das Konto des Bankkunden leergeräumt. Wie konnte das geschehen und ist die Bank haftbar?

Patrick O’Quinn (Name geändert) hatte lange als Chemiker in der Schweiz gearbeitet. Nach seiner Pensionierung im Jahr 2013 kehrte er zurück in seine Heimatstadt Galway an der Westküste Irlands. Ein Sparkonto in der Höhe von rund CHF 150’000 beliess er bei einer Regionalbank in der Schweiz. Auf dem Konto fanden in all den Jahren kaum Bewegungen statt.

Mitte 2021 informierte die Bank O’Quinn, dass das E-Banking neu aufgesetzt werde. Von Irland aus konnte er den neuen Zugang per SMS jedoch aus technischen Gründen nicht aktivieren, sodass er online keinen Zugriff mehr auf sein Konto hatte. Anfang 2022 erhielt er per Post einen Kontoauszug, der einen Jahresendsaldo von nurmehr wenigen hundert Franken auswies. Bei Durchsicht des Kontoauszugs fielen ihm fünf Auslandüberweisungen von insgesamt CHF 149’000 auf, die ihm nichts sagten. Erstaunt verlangte O’Quinn von seiner Bank eine Erklärung. Aus den Detailbelegen ergab sich, dass die Überweisungen auf Konten unbekannter Gesellschaften in England geflossen waren. Innerhalb von knapp zwei Monaten wurde so fast sein gesamtes Konto leergeräumt. O’Quinn erklärte gegenüber der Bank, weder die Überweisungen in Auftrag gegeben zu haben, noch die Empfänger der Zahlungen zu kennen und reichte Strafanzeige ein. Im Rahmen der Strafuntersuchung lieferte die Bank weitere Unterlagen, aus denen sich Folgendes ergab:

Eine unbekannte Täterschaft hatte sich Zugang zum E-Mail-Konto der Ehefrau von Patrick O’Quinn verschafft, die auf dem Bankkonto Vollmacht hatte. Über das gekaperte E-Mail wurde eine umfangreiche Kommunikation mit der Kontobetreuerin der Bank gestartet, wobei die Täterschaft vorspiegelte, die Frau des Kunden zu sein. Bei diesem Vorgehen handelt es sich um eine sogenannte «Person-in-the-middle»-Attacke. Dabei agiert die Täterschaft als Mittelsperson zwischen den beiden Kommunikationspartnern. Während gewisse Schreibmuster der Ehefrau teilweise täuschend echt imitiert wurden, enthielten die E-Mails gleichzeitig zahlreiche Tippfehler und waren in bisweilen fehlerhaftem Englisch verfasst. Dies passte nicht zum Umstand, dass es sich bei den O’Quinns um Personen englischer Muttersprache handelte. Der Bankmitarbeiterin fiel dies aber nicht auf, mutmasslich, weil sie selbst nur beschränkte Englischkenntnisse hatte.

Nach einer Aufwärmphase, die dazu diente, auf kommunikativer Ebene einen persönlichen Draht zur Bankmitarbeiterin aufzubauen, versuchte die Täterschaft, einen Überweisungsauftrag per E-Mail zu erteilen. Die Bankmitarbeiterin entgegnete korrekterweise, dass die Bank keine Zahlungsaufträge per E-Mail akzeptiere. Daraufhin erhielt die Bank einen ausgedruckten Zahlungsauftrag per DHL mit der vermeintlich echten Unterschrift Patrick O’Quinns. Gestützt darauf führte die Bank eine erste Überweisung zugunsten einer Sitzgesellschaft in England aus. In der Folge erhielt die Bank in Abständen von einigen Tagen weitere vier Überweisungsaufträge per DHL, ebenfalls alle zugunsten von Gesellschaften in England, welche keinen ersichtlichen Bezug zum Kunden hatten. Im Vorfeld der Zahlungsaufträge erfolgte jeweils ein reger E-Mail-Verkehr. Dabei wurde versucht, der Bank eine Geschichte zu den Zahlungsaufträgen zu liefern. So etwa die Behauptung, die O’Quinns seien gerade daran, eine Wohnung in London zu kaufen und müssten dringend eine Anzahlung leisten. Andere E-Mails wiederum zielten darauf ab, weitere Informationen zum Konto beziehungsweise zum Kontostand zu ergattern, was teilweise auch gelang.

Trotz zahlreicher Warnsignale führte die Bank sämtliche Überweisungen aus, ohne mit O’Quinn Rücksprache zu nehmen, beziehungsweise sich zu versichern, dass die Aufträge tatsächlich von ihm autorisiert waren. Dadurch gelang es der Täterschaft, innerhalb von zwei Monaten das gesamte Sparkonto leerzuräumen. Die Unterschriften auf den per DHL zugesandten Zahlungsaufträgen stellten sich als plumpe Fälschungen heraus. Der Bank entgingen die teilweise augenscheinlichen Abweichungen von der Referenzunterschrift.

Eine unerlaubte Handlung seitens der Bank beziehungsweise deren Mitarbeitenden liess sich nicht feststellen. Auch ein Rechtshilfeersuchen an die englischen Behörden förderte keine unmittelbar verwertbaren Informationen zutage. Somit rückte die Frage der zivilrechtlichen Haftung der Bank ins Zentrum. Wie sieht die Rechtsprechung des Bundesgerichts dazu aus?

Zivilrechtliche Haftung der Banken

Das Bundesgericht geht bereits seit Jahrzehnten vom Grundsatz aus, dass sich Bankkunden Kontobelastungen, die auf Fälschungen oder andere Legitimationsmängel basieren, nicht anrechnen lassen müssen. Ihre Ansprüche gegenüber der Bank sind in solchen Fällen nicht Schadenersatz-, sondern Erfüllungsansprüche, was sich wesentlich auf das Haftungsgefüge zwischen Bank und Kunden auswirkt.

Im Entscheid BGE 146 III 121 aus dem Jahr 2019 fasste das Bundesgericht seine Rechtsprechung zu dieser Thematik zusammen und stellte, geradezu lehrbuchartig, ein dreistufiges Prüfprogramm auf:

Erste Stufe: Bezüglich des Hauptanspruchs des Kunden auf Auszahlung seines ungeschmälerten Kontoguthabens ist zunächst zu prüfen, ob die Bank die fragliche Überweisung an einen Dritten auf Weisung, also mit Auftrag/Ermächtigung, oder ohne Weisung, also ohne Auftrag/Ermächtigung, des Kunden vorgenommen hat:

• Hat die Bank auf Weisung des Kunden gehandelt, erlangt sie einen Rückerstattungsanspruch gegen den Kunden. Diesen Rückerstattungsanspruch kann die Bank dem Kunden verrechnungsweise entgegenhalten.
• Überweist die Bank das Geld hingegen ohne Weisung des Kunden, erlangt sie gegen diesen keinen Rückerstattungsanspruch und muss die unautorisierte Belastung grundsätzlich stornieren. Anders als ein Schadenersatzanspruch, hängt der Erfüllungsanspruch des Kunden nicht vom Verschulden der Bank ab. Die Bank kann dem Erfüllungsanspruch des Kunden entsprechend kein Mitverschulden des Kunden entgegenhalten.

Zweite Stufe: Im Fall einer Zahlung ohne Auftrag des Kunden ist zu prüfen, ob der Schaden der Bank zuzurechnen oder aufgrund einer abweichenden Vereinbarung vom Kunden zu tragen ist:

• Gemäss der (dispositiven) gesetzlichen Regelung trifft der Schaden aus einer nicht autorisierten Zahlung die Bank, nicht den Kunden. Die Bank, die einem Nicht-Gläubiger geleistet hat, hat ein zweites Mal dem Kunden zu leisten.
• Die Parteien können indes von der gesetzlichen Regelung abweichen. Mit einer sogenannten Risikotransferklausel kann die Bank den an sich von ihr zu tragenden Schaden vertraglich auf den Kunden abwälzen. Unter diese Kategorie von Klauseln fallen auch sogenannte E-Mail-, Fax- oder Telefon-Waiver. Bei Absicht oder grober Fahrlässigkeit der Bank sind solche Klauseln indes nichtig.

Dritte Stufe: Falls kein Risikotransfer vereinbart wurde, das heisst die gesetzliche Regelung anwendbar und der Schaden von der Bank zu tragen ist, bleibt zu prüfen, ob die Bank dem Erfüllungsanspruch des Kunden einen eigenen Schadenersatzanspruch entgegenhalten kann. Dabei ist zu prüfen, ob der Kunde durch sein Verhalten vertragswidrig dazu beigetragen hat, den Schaden der Bank zu verursachen beziehungsweise zu vergrössern. Die Vertragsverletzung des Kunden kann beispielsweise darin bestehen, die Kontobelege nicht zu prüfen und dadurch die unautorisierten Belastungen nicht oder erst verspätet zu reklamieren. Im Rahmen der Schadenersatzklage der Bank ist sodann wiederum ein allfälliges Mitverschulden der Bank zu prüfen, das zur Unterbrechung des Kausalzusammenhangs oder zur Minderung des vom Kunden zu leistenden Schadenersatzes führen kann.

Allein im Zeitraum von 2019 bis 2023 hatte das Bundesgericht knapp 10 Fälle zu beurteilen, in denen es um unterschiedliche Arten unautorisierter Zahlungen an Dritte ging und in denen das Bundesgericht das dreistufige Prüfschema anwendete. Siehe aus diesem Rechtsprechungsstrang etwa die amtlich publizierten Entscheide BGE 146 III 121, BGE 146 III 326 und BGE 146 III 387.

Der Vollständigkeit halber ist darauf hinzuweisen, dass Kunden bei unautorisierten Kontobelastungen, die nicht auf Legitimationsmängeln oder auf Fälschungen beruhen, kein Erfüllungs-, sondern ein «gewöhnlicher» Schadenersatzanspruch zusteht. Dies ist etwa bei Veruntreuungen von Kundenvermögen durch Bankmitarbeitende der Fall. Siehe dazu illustrativ BGE 149 III 105.

Vielfältige Gefahr und komplexe Sach- und Rechtslage

Im vorliegenden Fall war aufgrund der komplexen Sach- und Rechtslage von einem langwierigen Gerichtsverfahren auszugehen. Dies wollten sowohl die Bank wie auch Patrick O’Quinn tunlichst vermeiden. In der Folge fand sich eine Vergleichslösung, die beiden Seiten entgegenkam.

Ungeachtet der Möglichkeit von Vergleichsverhandlungen bleibt zu hoffen, dass die Banken bei ihrem Umgang mit operationellen Risiken und bei der internen Ausbildung der Kundenverantwortlichen neben den heute im Fokus stehenden Cyber-Bedrohungen auch klassische Bedrohungen, wie hier in Form von Unterschriftenfälschungen, nicht vernachlässigen.

Autor: Claudio Kerber

Claudio Kerber ist seit 2004 als Rechtsanwalt in Zürich tätig. Er unterstützt mitunter Geschädigte in Fällen von Wirtschaftsdelikten und vertritt ihre vermögensrechtlichen Ansprüche in Straf- und Zivilverfahren.