Der Verein für Konsumenteninformation (VKI) hatte im Auftrag des Sozialministeriums die Unicredit Bank Austria AG wegen Klauseln in deren Allgemeinen Geschäftsbedingungen (AGB) für das Internetbanking-Schutzpaket „JUST-IN-CASE“ geklagt. Dieses Produkt soll Verbraucherinnen und Verbraucher beim Online-Banking gegen finanzielle Schäden durch Internetkriminalität absichern. Die Bank klärte dabei jedoch nicht ausreichend darüber auf, wann die Kunden nach dem Gesetz ohnehin keine Haftung trifft. Die nun vorliegende Entscheidung des Obersten Gerichtshofes (OGH) gibt dem VKI in vollem Umfang Recht und erklärt die entsprechenden Passagen der AGB für gesetzwidrig.
Die Unicredit Bank Austria AG bewarb auf ihrer Website das Internetbanking Schutzpaket „JUST-IN-CASE“. Das Produkt soll Verbrauchern Versicherungsschutz für gewisse Schadensfälle im Rahmen des Onlinebanking bieten, insbesondere für Phishing-Fälle. Unter „Phishing“ werden betrügerische Angriffe verstanden, mit denen Konsumentinnen und Konsumenten Zahlungsdaten – beispielweise PIN und TAN – entlockt werden, um damit in weiterer Folge missbräuchliche Zahlungsvorgänge vorzunehmen.
Eine der für unzulässig befundenen Klauseln beschreibt den von der Bank angebotenen ergänzenden Versicherungsschutz, ohne in diesem Zusammenhang auf die bestehenden Haftungsregelungen des Zahlungsdienstegesetzes (ZaDiG) 2018 hinzuweisen. Dadurch wird Verbrauchern suggeriert, dass diese ein Schadensrisiko für missbräuchliche Zahlungsvorgänge tragen müssten, obwohl sie laut ZaDiG 2018 für gewisse Schäden ohnehin keine Haftung trifft. „Die Haftung von Verbrauchern gegenüber ihrer Bank bei nicht autorisierten Zahlungen ist zwingend und abschließend im Zahlungsdienstegesetz 2018 geregelt und in vielfacher Hinsicht eingeschränkt“, erläutert Mag. Joachim Kogelmann, zuständiger Jurist im VKI. „So gibt es beispielsweise bei nicht autorisierten Zahlungen, die auf eine nur leicht fahrlässige Pflichtverletzung des Verbrauchers zurückgehen, eine Haftungsbegrenzung von 50 Euro. Zudem gelten gewisse Ausnahmen, in denen die Verbraucher – außer bei Betrugsabsicht – überhaupt keine Haftung trifft, wie etwa wenn keine starke Kundenauthentifizierung via 2-Faktor-Authentifizierung ermöglicht wird.“
Obwohl es im Verfahren vor dem OGH vorrangig um eine prozessuale Frage ging, folgte das Gericht auch inhaltlich der Rechtsansicht des VKI und beurteilte die noch verfahrensgegenständlichen Textpassagen insgesamt als intransparent. Durch die Art der Beschreibung des Versicherungsprodukts wird suggeriert, dass die Kundinnen und Kunden das Risiko der missbräuchlichen Verwendung des Zahlungsinstruments tragen, obwohl dies laut ZaDiG 2018 lediglich eingeschränkt der Fall ist.
„Das für Verbraucherinnen und Verbraucher sehr erfreuliche Urteil ist ein deutliches Signal an Banken, die ihnen gesetzlich auferlegten Aufklärungspflichten des Zahlungsdienstegesetzes einzuhalten, wenn sie Versicherungsprodukte anbieten“, kommentiert Joachim Kogelmann das Urteil.
Weitere Klauseln wurden bereits in den Vorinstanzen rechtskräftig für unzulässig befunden. So wurde beispielsweise eine Klausel als gröblich benachteiligend beurteilt, wonach kein Internetschutz besteht, wenn ein Zahlungsvorgang auf einem öffentlich zugänglichen Gerät durchgeführt wurde, wie etwa in einem Internetcafé oder einer Hotellobby. Eine andere Bestimmung, welche die Meldepflichten eines Betrugsverdachts oder Schadenfalls bei von der Bank betriebenen Hotlines und der Polizei vorschrieb, wurde als intransparent beurteilt.
SERVICE: Das Urteil im Volltext gibt es auf www.verbraucherrecht.at.
