Der Verein für Konsumenteninformation (VKI) hat im Auftrag des Sozialministeriums die Unicredit Bank Austria AG wegen Klauseln in den Allgemeinen Geschäftsbedingungen für das Internetbanking-Schutzpaket „JUST-IN-CASE“ geklagt. Dieses Produkt soll Verbraucher im Internetbanking gegen finanzielle Schäden durch Internetkriminalität absichern. Dabei klärte die Bank aber nicht ausreichend darüber auf, wann die Kunden nach dem Gesetz ohnehin keine Haftung trifft. Das Handelsgericht (HG) Wien stellte fest, dass Konsumentinnen und Konsumenten dadurch über die geltende Rechtslage getäuscht werden könnten und erklärte die betreffenden Klauseln für unzulässig. Darüber hinaus beurteilte das Gericht auch alle weiteren eingeklagten Klauseln als gesetzwidrig. Das Urteil ist teilweise rechtskräftig.
Die Unicredit Bank Austria AG bewarb auf ihrer Website das Internetbanking Schutzpaket „JUST-IN-CASE“, das den Verbrauchern für gewisse Schadensfälle im Rahmen des Onlinebanking einen Versicherungsschutz, insbesondere für Phishing-Fälle, bieten soll. Unter „Phishing“ werden betrügerische Angriffe Dritter verstanden, mit denen Verbrauchern Zahlungsdaten, wie z.B. PIN und TAN herausgelockt werden, um damit in weiterer Folge missbräuchliche Zahlungsvorgänge vorzunehmen.
Einige vom HG Wien als unzulässig beurteilte Klauseln umschreiben den von der Bank vorgesehenen Versicherungsschutz, weisen dabei aber nicht auf die bestehenden Haftungsregelungen des Zahlungsdienstegesetzes 2018 hin. Dadurch wird Verbraucherinnen und Verbrauchern suggeriert, dass diese ein Schadensrisiko für missbräuchliche Zahlungsvorgänge tragen müssten, obwohl sie laut Zahlungsdienstegesetz für diese Schäden ohnehin keine Haftung trifft. Gegen diesen Teil des Urteils legt die Unicredit Rechtsmittel ein.
Dazu Mag. Joachim Kogelmann, zuständiger Jurist im VKI: „Die Haftung des Verbrauchers gegenüber seiner Bank bei nicht autorisierten Zahlungen ist im Zahlungsdienstegesetz 2018 geregelt. So gibt es beispielsweise bei nicht autorisierten Zahlungen, die auf eine nur leicht fahrlässige Pflichtverletzung des Verbrauchers zurückgehen, eine Haftungsbegrenzung von 50 Euro. Weiters gelten gewisse Ausnahmen, in denen die Verbraucher – außer bei Betrugsabsicht – überhaupt keine Haftung trifft, etwa wenn keine starke Kundenauthentifizierung via 2-Faktor-Authentifizierung ermöglicht wird.“
Darüber hinaus wurden auch Klauseln als unzulässig beurteilt, wonach kein Internetschutz besteht, wenn ein Zahlungsvorgang auf einem öffentlich zugänglichen Gerät durchgeführt wurde, wie etwa in einem Internetcafe oder einer Hotellobby. Das HG Wien erachtete diese Klausel als gröblich benachteiligend, weil sie u.a. keine zeitliche oder örtliche Beschränkung aufweist und auch keine Kausalität zwischen der – eventuell auch schon lange Zeit zurückliegenden – Nutzung eines solchen öffentlich zugänglichen Gerätes und einem möglichen Phishingangriff bestehen muss.
Als intransparent wurde eine weitere Klausel beurteilt, die Meldepflichten im Falle eines Betrugsverdachts oder Schadensfalls bei von der Bank betriebenen Hotlines und der Polizei vorschrieb, wobei unklar bleibt, ob die Meldung an nur eine der genannten Stellen ausreicht oder ob in diesem Fall der Versicherungsschutz nicht greift.
„Das für Verbraucherinnen und Verbraucher sehr erfreuliche Urteil ist ein deutliches Signal an Banken, die ihnen gesetzlich auferlegten Aufklärungspflichten des Zahlungsdienstegesetzes einzuhalten, wenn sie Versicherungsprodukte anbieten“, kommentiert Mag. Joachim Kogelmann das Urteil. „Das betrifft insbesondere Klauseln, die Kundinnen und Kunden ein Risiko suggerieren, welches jedoch aufgrund der geltenden Rechtslage gar nicht besteht. Wie das Gericht nämlich nachdrücklich betont, könnten Konsumentinnen und Konsumenten dadurch über die tatsächliche Rechtslage getäuscht werden.“