Kreditkartengeschäft - Risikotragung bei Drittmissbrauch
Dieser Inhalt ist frei verfügbar.
Mit einem
Abonnement der jusIT
erhalten Sie die Zeitschrift in Print und vollen digitalen
Zugriff im Web, am Smartphone und Tablet.
Mehr erfahren…
Testen Sie
ALLE 13 Zeitschriftenportale
30 Tage lang kostenlos.
Der Zugriff endet nach 30 Tagen automatisch.
1. Zum Zahlungsverkehr mit Kreditkarten bestehen keine eigenen zivilrechtlichen Regelungen. Die Verpflichtungen der Parteien ergeben sich daher - sofern es sich wie hier im Verhältnis zwischen Kreditkartengesellschaft und Vertragsunternehmen um kein Konsumentengeschäft handelt - im Einzelfall aus den zwischen ihnen abgeschlossenen Vereinbarungen, welche (je nach dem Inhalt der vereinbarten AGB) unterschiedlich ausgestaltet sein können.
2. Bei dem von der Rsp verwendeten Begriff „Sorgfaltspflichten“ im Verhältnis zwischen Kreditkartengesellschaft und Vertragsunternehmen handelt es sich richtigerweise um bloße Obliegenheiten, deren Nichteinhaltung das Entstehen eines abstrakten Zahlungsanspruchs verhindert und zur Kondiktion dennoch irrtümlich geleisteter Zahlungen berechtigt, was im Wege der Aufrechnung problemlos erfolgen kann. Eine Pflicht, deren Verletzung das Vertragsunternehmen schadenersatzpflichtig macht, ist nicht statuiert.
3. Es besteht eine Verpflichtung des Kreditkartenunternehmens gegenüber den Kreditkarteninhabern und Vertragsunternehmen als seinen Vertragspartnern, ein möglichst umgehungssicheres Kontrollsystem beim Kreditkartengeschäft einzurichten; allfällige Versäumnisse in diesem Zusammenhang gehen daher zu Lasten des Kartenherausgebers (hier: Chip-mit-PIN-Transaktion).
Der 4. Senat hat sich mit ergänzenden Überlegungen den Grundsätzen der bisherigen Rsp betr die Rechtsbeziehungen zwischen den Beteiligten des Kreditkartengeschäfts und die Risikotragung im Fall eines Drittmissbrauchs angeschlossen.
Dieser bisherigen Rsp lagen allein Sachverhalte zugrunde, bei denen magnetstreifengestützte Transaktionen durchgeführt worden sind (automatische Genehmigung der Transaktion nach Durchziehen des Magnetstreifens der Kreditkarte am Terminal). Im Anlassfall handelte es sich demgegenüber (zumindest in einigen Geschäftsfällen) um die Benützung von Kreditkarten in Form von Chip-mit-PIN-Transaktionen, bei denen die Eingabe eines PIN-Codes durch den Karteninhaber erforderlich ist.
„Sorgfaltspflichten“
Terminologisch stellt der OGH klar, dass es sich bei dem von der Rsp verwendeten Begriff „Sorgfaltspflichten“ im Verhältnis zwischen Kreditkartengesellschaft und Vertragsunternehmen richtigerweise um bloße Obliegenheiten handelt. Die Sanktion, die aus der Nichteinhaltung der vertraglich vereinbarten „Pflichten“ des Vertragsunternehmens droht, sei das „Nichtentstehen“ eines Zahlungsanspruchs gegen die Kreditkartengesellschaft. Habe die Kreditkartengesellschaft dem Vertragsunternehmen irrtümlich dennoch Zahlung auf eine Nichtschuld geleistet, sei sie berechtigt, diese Leistung zu kondizieren, was im Wege der Aufrechnung problemlos erfolgen könne. Diese Rechtsfolgen sind nach Ansicht des OGH ausreichend, um den Interessen des Vertragspartners, der Kreditkartengesellschaft, gerecht zu werden. Eine Pflicht, deren Verletzung das Vertragsunternehmen schadenersatzpflichtig macht, sei nicht statuiert.
Wenn die AGB der Kl (Kreditkartenunternehmen) demnach keine schadenersatzpflichtig machenden Pflichten für das Vertragsunternehmen begründen, bleibe - so der OGH - für die Anwendung der Beweislastumkehr nach § 1298 ABGBkein Raum, zumal die Kl hier ihr Rückzahlungsbegehren nicht auf Schadenersatz gestützt habe, sondern auf das Nichtbestehen ihrer Zahlungspflicht gegenüber dem Vertragsunternehmen infolge Nichteinhaltens der vereinbarten Vorgangsweise bei Durchführung einer Kreditkarten-Transaktion.
Drittmissbrauch bei Chip-mit-PIN-Transaktionen
Kernpunkt des hier zu entscheidenden Rechtsstreits war die Frage der Verteilung des Risikos des Drittmissbrauchs einer Kreditkarte zwischen Kreditkartengesellschaft und Vertragsunternehmen bei Chip-mit-PIN-Transaktionen und die Verteilung der Beweislast im Streitfall.
Dazu hielt der OGH eingangs fest, dass der zwischen Kreditkartengesellschaft und Vertragsunternehmen bestehende Rahmenvertrag regelmäßig vom Vertragsunternehmen zu erfüllende Obliegenheiten enthält, deren Verletzung das „Nichtentstehen“ eines Zahlungsanspruchs gegen die Kreditkartengesellschaft zur Folge hat. Das Gesetz (§ 879 Abs 3 ABGB) verbietet gröbliche Benachteiligungen eines Vertragspartners in AGB oder Vertragsformblättern. Die dem Vertragsunternehmen auferlegten Obliegenheiten müssen demnach in einem ausgewogenen Verhältnis zur Rechtsposition des Kreditkartenunternehmens stehen.
Interessenverteilung
Mit Taupitz (Zivilrechtliche Haftungsfragen bei Kartenmißbrauch nach österreichischem Recht, ÖBA 1997, 765, 769) ging der OGH davon aus, dass das dem Kreditkartensystem immanente Risiko eines Missbrauchs durch Dritte in erster Linie vom Kartenherausgeber gesteuert werden kann, der die Kreditkarten verteilt und das Abfragesystem zur Verfügung stellt.
Dem gegenüber habe der Vertragsunternehmer faktisch keine Möglichkeit, abgesehen von der Einhaltung ihn treffender Obliegenheiten, zur Sicherheit des Systems beizutragen, und gehe ein erhebliches Risiko ein, wenn er die Karte als Zahlungsmittel akzeptiert. Denn anders als bei einem normalen Bargeschäft sei er im Kreditkartengeschäft zur Vorleistung verpflichtet und bekomme für seine Ware zunächst nur einen Zahlungsanspruch gegen den Kartenherausgeber.
Aus dieser Interessenslage sei dem Vertragsunternehmen in jenen Fällen, in denen es trotz Einhaltung (oder nicht schuldhafter Nichteinhaltung) der ihm vertraglich überbundenen Obliegenheiten zu einem Missbrauch kommt, im Wege der ergänzenden Vertragsauslegung des Rahmenvertrags ein Zahlungsanspruch gegen den Kartenherausgeber zuzubilligen, so der OGH.
Aus der dargestellten Interessenlage leitete der OGH weiters ab, dass eine Verpflichtung des Kreditkartenunternehmens gegenüber den Kreditkarteninhabern und Vertragsunternehmen als seinen Vertragspartnern besteht, ein möglichst umgehungssicheres Kontrollsystem beim Kreditkartengeschäft einzurichten; allfällige Versäumnisse in diesem Zusammenhang gingen daher zu Lasten des Kartenherausgebers.
Sicherheitslücke
Im Anlassfall hat die Kl selbst eine gravierende Sicherheitslücke bei Chip-mit-PIN-Transaktionen aufgezeigt und vorgebracht, es bestehe die Gefahr einer Umgehung des Autorisierungssystems im Fall der Aufforderung zur telefonischen Autorisierung auf dem Bildschirm mit nachfolgender betrügerischer Eingabe eines erfundenen Genehmigungscodes am Terminal, der in dieser Phase offline geschaltet ist.
Im bisherigen Verfahren wurde mit den Parteien nicht erörtert, wann die Kl die im Verfahren aufgezeigte Sicherheitslücke erkannt und warum sie diese nicht schon längst leicht durch einfache technische Vorkehrungen geschlossen hat (zB durch einen akkustischen Warnton bei Anzeigen des Bildschirms, der zur telefonischen Autorisierung auffordert). Von diesen Tatfragen hängt - so der OGH - die Berechtigung des geltend gemachten Anspruchs ab: Hat nämlich die Kl ihr zur Kenntnis gelangende Sicherheitsprobleme ihres Systems nicht in angemessener Frist behoben und für den Zeitraum bis zur Behebung des Problems ihre Vertragspartner darüber nicht informiert und ihnen entsprechende Strategien zur Vermeidung von Betrügereien aufgezeigt und verpflichtend überbunden (sorgfältige Handhabung des Terminals; die AGB enthalten dazu keine Bestimmungen), wäre der von ihr hier verfolgte Anspruch betreffend die strittigen Geschäftsfälle unbegründet, weil systemimmanente Risiken jedenfalls von der Kl selbst zu tragen sind.
Beweislast
In der Frage der Beweislast teilte der Senat die Auffassung des BerufungsG, dass die Kl nach allgemeinen Regeln zu beweisen hat, dass die Bekl gegen eine ihr vertraglich überbundene Handlungsanweisung verstoßen hat (hier: keine Einholung einer Genehmigung der Kl entgegen Punkt 10 Abs 1 der AGB). Ist ihr dieser Beweis gelungen, hat sie die anspruchsbegründenden Umstände erwiesen (vgl RIS-Justiz RS0109832, RS0037797), weil ihr ein Rückbelastungsrecht bezüglich aller Belastungen zusteht, für die keine ordnungsgemäße Genehmigung eingeholt worden ist.
In diesem Fall steht - so der OGH weiters - sodann allerdings dem bekl Vertragsunternehmen der Entlastungsbeweis mangelnden Verschuldens offen. Dieser Beweis ist etwa dann erbracht, wenn feststeht, dass das von der Kl eingerichtete System eine dem Vertragsunternehmen im Zeitpunkt des strittigen Zahlungsvorgangs unbekannte Sicherheitslücke aufgewiesen hat, weshalb es dem Vertragsunternehmen auch bei Einhaltung der objektiv gebotenen Sorgfalt nicht möglich war zu erkennen, damals gegen eine ihm vertraglich überbundene Handlungsanweisung verstoßen zu haben (hier: Einholung einer Genehmigung zur Kreditkartentransaktion). In diesem Zusammenhang ist nach Ansicht des OGH insb aufklärungsbedürftig, aufgrund welcher Umstände die Kreditkartentransaktionen für die Mitarbeiterin der Bekl als „abgeschlossen" aufschienen, wie das ErstG ohne nähere Erläuterung festgestellt hat.
Für eine von der Kl geforderte Beweislastumkehr aus dem Gedanken der Nähe zum Beweis (vgl RIS-Justiz RS0040182) bestand, wie der OGH ausführte, im Anlassfall auch deshalb kein Anlass, weil die Bekl schon nach Punkt 17 Abs 2 der AGB verpflichtet ist, die Kl im Fall von strittigen Belastungsbuchungen über den Sachverhalt so weit aufzuklären, dass diese in die Lage versetzt wird, die streitige Belastung zu klären. Die Kl befinde sich damit - sofern ihre Vertragspartnerin diese ihr auferlegte Obliegenheit erfüllt - in keinem Beweisnotstand über Umstände in der Sphäre ihrer Vertragspartnerin.
Unterlasse aber die Bekl ihre Mitwirkung an der Aufklärung eines strittigen Buchungsvorgangs, habe sie gegen eine ihr vertraglich überbundene Handlungsanweisung verstoßen und müsse sich schon aus diesem Grund die entsprechende Rückbelastung gefallen lassen.
Empfehlung - keine Obliegenheit
Der Senat teilte ausdrücklich die Auffassung der Vorinstanzen, dass die in einem Mail an die Bekl enthaltene Empfehlung der Kl, bei Transaktionen über 1.000 € den Genehmigungsdienst der Kl anzurufen, keine verbindliche Obliegenheit der Bekl bei Abwicklung von Zahlungsvorgängen mit Kreditkarten der Kl begründet hat; schon die Bezeichnung als Empfehlung verbiete es, dieser Verhaltensanweisung verbindlichen Charakter zuzuerkennen.
