Eine K-Geld-Leserin aus Bern ärgerte sich über die neuen allgemeinen Geschäftsbedingungen (AGB) der Credit Suisse für das E-Banking. Sie schreibt: «Es werden alle Schäden auf die Nutzer abgeschoben.» Auch Kunden der UBS und von Kantonalbanken wandten sich schon an die K-Geld-Rechtsberatung, weil sie neue E-Banking-Verträge erhielten. Sie müssen diese nicht akzeptieren. Aber meist können sie Konto und Kreditkarte nur weiterbenutzen, wenn sie die neuen AGB annehmen.
K-Geld überprüfte die Haftungsregeln in den E-Banking-Verträgen von zwölf Banken und den Handybanken Neon, Yuh und Revolut sowie sieben Kreditkartenfirmen. Wer haftet, wenn ohne Zutun des Kunden Geld vom Konto verschwindet?
Ergebnis: Grundsätzlich müssen die Kunden bei allen Banken sämtliche Transaktionen anerkennen, die mit ihren Zugangsdaten ausgelöst wurden. Dazu zählen unter anderem Vertragsnummern, Passwörter, PIN- und SMS-Codes sowie Transaktionsnummern. Mit diesen Zugangsdaten können sich die Kunden im E-Banking einloggen und Zahlungen auslösen.
Auch wenn Betrüger ein Konto hacken und plündern, ohne dass der Kunde seine Sorgfaltspflichten verletzte, schieben die meisten Banken das Risiko eines Verlustes auf den Kunden ab. Dazu gehören die Kantonalbanken der Kantone Aargau, Bern, Luzern und St. Gallen sowie Credit Suisse, Migros-Bank, Raiffeisenbanken, UBS und Valiant.
Credit Suisse warnt, weist aber alle Haftung von sich
Die Credit Suisse etwa schreibt in ihren AGB, es bestehe die «latente Gefahr», dass ein Dritter sich während der Nutzung von Onlinebanking-Dienstleistungen unbemerkt Zugang zum Endgerät verschaffe. Auch vor «Viren und dergleichen» wird gewarnt. Trotzdem weist die Grossbank für den Schadenfall jegliche Haftung von sich: «Der Kunde trägt sämtliche Folgen, die sich aus der – auch missbräuchlichen – Verwendung seiner Legitimationsmittel ergeben.»
Einzelne Banken sehen in den Verträgen immerhin dann eine Haftung vor, wenn sie ihre geschäftsübliche Sorgfalt vernachlässigt haben, etwa bei einer Sicherheitslücke in ihren eigenen Computersystemen. Dazu zählen mehrere Kantonalbanken sowie Neon, Valiant und Yuh. Und die Aargauer Kantonalbank sowie die Credit Suisse haften laut den AGB, falls ihre Computer ungenügend geschützt sind und gehackt werden.
Widersprüchlich sind die AGB der Migros-Bank. Einerseits verspricht sie: «Wir übernehmen die Verantwortung für die Sicherheit von E-Banking.» An einer anderen Stelle heisst es aber: «Die Risiken aus der missbräuchlichen Verwendung von E-Banking liegen somit grundsätzlich bei Ihnen.» Wer haftet etwa, wenn einem Kunden trotz aller Sorgfalt mit einer Schadsoftware das Konto geplündert wird? Migros-Bank-Sprecher Urs Aeberli sagt: «Die Frage einer Schadenübernahme bei einem Hacking kann nicht generell beantwortet werden.» Die Bank prüfe jeden Fall einzeln.
Etwas grosszügiger sind die Basler und die Zürcher Kantonalbank sowie Neon. Haben beide Parteien ihre Sorgfaltspflichten wahrgenommen, so haftet jede Partei für den Schaden, der in ihrem Einflussbereich liegt.
Franca Contratto, Professorin an der Universität Luzern, stellt klar: «Das Risiko, dass beispielsweise ein Betrüger die Korrespondenz mit der Bank abfängt und so Kundengelder entwendet, liegt laut Gesetz grundsätzlich bei der Bank.» Dieses Risiko wälzen die Banken aber via das Kleingedruckte auf die Kunden ab. «Banken und Kreditkartenfirmen verschlechterten ihre AGB in den letzten Jahren deutlich zum Nachteil der Kunden.» In den heutigen Verträgen müssten die Kunden vorbehaltlos sämtliche Transaktionen anerkennen, die unter Verwendung der Passwörter und Codes getätigt wurden.
Die Juristin Andrea Bigler schreibt zurzeit am Institut für Bankrecht an der Universität Bern ihre Doktorarbeit zu Haftungsfragen bei unbefugt veranlassten Zahlungsvorgängen. Sie hält die neuen Haftungsregeln in den Onlinebanking-Bedingungen für unzulässig: «Die meisten Verträge ermächtigen die Banken, alle Zahlungen, die mit den Zugangsdaten der Kunden ausgelöst werden, auszuführen.» Vereinzelt fänden sich auch Klauseln, welche die Haftung der Kunden immerhin bei fehlender geschäftsüblicher Sorgfalt der Bank ausschliessen. Bigler ergänzt: «Beide Varianten sind meines Erachtens unlauter und damit unzulässig.» Denn sie liessen die Kunden als schwächere Vertragspartei auch Risiken tragen, die dem Verantwortungsbereich der Bank angehören – etwa wenn Kriminelle die Computer der Bank hacken würden. «Eine derart einseitige Risikoverteilung benachteiligt die Kunden übermässig.»
Zulässig sei hingegen eine Klausel, wonach die Kunden jene Risiken tragen müssen, die ihrem eigenen Verantwortungsbereich angehören, also etwa dem eigenen Computer.
Thomas Probst, Professor an der Universität Freiburg, ergänzt: «Von der Bank wird man stets verlangen dürfen, dass sie über effiziente Algorithmen verfügt, die verdächtige Transaktionen erkennen. Und dass die Bank frühzeitig Vorkehrungen ergreift, um Schaden abzuwenden oder zu verhindern.» Es sei jedoch zulässig, dem Kunden die Verantwortung für Vorfälle zu übertragen, die in dessen Risikosphäre gehören.
Kundenfreundliche Regeln bei der Postfinance
Einige Banken sind kundenfreundlicher. In den AGB der Postfinance zum Beispiel heisst es: «Die Postfinance ersetzt das Guthaben, das dem Kunden aus der rechtswidrigen Entwendung seiner Identifikationsmittel oder Sicherheitselemente durch Dritte entzogen wurde (namentlich bei Phishing- oder Malware-Attacken).» Voraussetzung: Der Kunde muss stets sorgfältig mit seinen Zugangsdaten umgegangen sein. Die Postfinance beschränkt die Haftung laut ihrer Website auf 100 000 Franken pro Schadenfall. Und die englische Revolut-Bank verspricht in ihrer Banken-App, bei einem Diebstahl sämtlichen Schaden zu ersetzen, der dem Kunden ohne ein Verschulden entstanden ist.
Auch Kreditkartenherausgeber sichern ihren Kunden eine Übernahme der Schäden bei Missbräuchen zu. Hat der Kunde seine Sorgfaltspflichten wahrgenommen, ersetzt ihm die Bank den Schaden. Bei den Herausgebern Cembra, Postfinance und Viseca gilt das für alle Transaktionen, die nicht vom Karteninhaber oder ihm nahestehenden Personen autorisiert wurden. Cornèrcard, Swisscard und UBS schliessen eine Haftung aus, wenn irgendjemand mit Hilfe aller Legitimationsmittel Belastungen auslöst. Die Migros-Bank haftet bei nachweislich rechtswidrigen Eingriffen von Dritten.
So schützen Sie sich bei digitalen Zahlungen
- Vorsicht bei E-Mails, SMS oder anderen Nachrichten, die Sie auffordern, Ihre Zugangsdaten zum Konto mitzuteilen. Loggen Sie sich nur auf dem üblichen Weg im E-Banking ein. Hinweise zu aktuellen Betrugsfällen finden Sie unter: Cybercrimepolice.ch
- Senken Sie möglichst die Ausgabenlimiten. Für die Ferien können Sie die Limite der Kreditkarte auch temporär wieder erhöhen.
- Kontrollieren Sie Kontobelastungen regelmässig. Reklamieren Sie bei Fehlern sofort bei der Bank.
