Welche Sorgfaltspflichten treffen Onlinebanking-Kunden?

Welche Sorgfaltspflichten treffen Onlinebanking-Kunden?
Sorgfaltspflichten können durch Onlinebankingbetreiber individuell vereinbart werden - Sie müssen jedoch angemessen sein und sich am Kenntnisstand der Kunden orientieren - Sie dürfen nur Bereiche umfassen, die der Kunde beeinflussen kann - Es darf kein unzumutbarer Eingriff in die Datenverarbeitung des Kunden stattfinden - Finanzinstitute haben Verpflichtungen Kunden nach dem Stand der Technik zu unterstützen und zu informieren

Sorgfaltspflichten können individuell vereinbart werden

Im Gegensatz zu den allgemeinen AGB's der Banken, die großteils wortident gehalten sind, werden die Sorgfaltsverpflichtungen beim Telebanking höchst unterschiedlich weitreichend formuliert.

Manche Bankenbedingungen sind schlicht überschiessend und für Konsumenten entweder nicht erfüllbar oder nicht verständlich. Manchmal trifft beides zu.

Sinnvolle Vereinbarung nützt beiden Seiten

Als sinnvolle Sorgfaltsverpflichtung kann folgende Formulierung gelten: 'Der Kunde hat dafür Sorge zu tragen, dass keine andere Person Kenntnis von seinem persönlichen Internetpasswort erlangt. Sobald bekannt ist bzw. der Verdacht besteht, dass ein Dritter Kenntnis von dem persönlichen Internetpasswort hat, muss der Kunde seinen OnlineBanking Zugang unverzüglich sperren lassen.'

Ganz allgemein geht die ständige Rechtssprechung der Gerichte in die Richtung, die Sorgfaltspflicht des Kunden als erfüllt zu sehen, wenn er Zugangs- (PIN) und Transaktionscode (TAN) getrennt (in getrennten Räumen) aufbewahrt.

Diese Rechtssprechung sollte auch Eingang in die Geschäftsbedingungen finden und auf diesen Punkt sollten sich Sorgfaltspflichtvereinbarungen beim Telebanking beschränken.

Beispiele problematischer Sorgfaltsvereinbarungen

Bank Austria Creditanstalt - Geschäftsbedingungen OnlineBanking:
'Um sicherzustellen mit der Bank verbunden zu sein, hat der Kunde die Zertifikatsinformationen der Secure Socket Layer-Verschlüsselung (SSL) auf folgenden Inhalt zu überprüfen: Eigentümer: Herausgeber: online.ba-ca.com www.verisign.com (Anmerkung: auch online1.ba-ca.com, online2.ba-ca.com,...)'
Anm.: Eine Aufforderung, der viele Laien kaum nachkommen können.

Bank fuer Tirol und Vorarlberg BTV - Geschäftsbedingungen Online-Banking:
Verlangt wird die Prüfung des 'SSL-Fingerabdrucks': 'Fingerabdruck Microsoft Internet Explorer Version 4.0 und Netscape 4.6: 91:4D:9A:DB:08:F1:E5:A9:8F:15:5D:E1:36:68:30:21
Fingerabdruck Microsoft Internet Explorer Version 5.0:
C19E D6E5 CCC0 D796 D85E 8AA2 91B2 F771 B982 DBDA
(Der oben angeführte Fingerabdruck ist 1 Jahr gültig. Sollte der angezeigte Fingerabdruck mit dem hier gedruckten nicht mehr ident sein, so finden Sie den aktuellen Fingerabdruck auf unserer Homepage unter BTV ONLINE-Banking oder Sie rufen einfach die BTV ONLINE-Hotline an.'
Anm.: Abgesehen von der Tatsache, dass für alle anderen Brwoser keine Information verfügbar ist, ist es schlicht realitätsfremd vom Kunden bei jeder Telebanking-Einwahl zu verlangen bei der BTV-Hotline anzurufen um einen Sicherheitscode zu erfragen.'

ELBA-Bestimmung, Beispiel Raiffeisen-Landesbank Tirol AG - Geschäftsbedingungen Online-Banking:
'.... Die Verwendung von Bezeichnungen, welche das Erraten oder Ausprobieren der richtigen PINBezeichnung durch unbefugte Dritte erleichtern, ist aus Sicherheitsgründen tunlichst zu vermeiden, insbesondere sollten daher weder Vor- oder Familienname noch Geburtsdaten oder dergleichen für diese Zwecke verwendet
werden. Lediglich aufsteigende (ABCDE), absteigende (54321) oder gleichlautende (wwwww) Buchstaben- oder Ziffernreihen sind nicht zulässig. ... Der Kunde hat im Rahmen der ihm zur Verfügung stehenden zumutbaren Möglichkeiten alle erforderlichen und zweckdienlichen Maßnahmen zu treffen, dass sich keine Computerviren auf seinem Computer befinden. Er wird ausdrücklich darauf hingewiesen, dass Fremdsoftware
einschließlich besonderer Verschlüsselungssoftware nur von allgemein vertrauenswürdigen Anbietern bezogen werden soll. Der Kunde wird vor Herstellung der Internetverbindung zur Kreditunternehmung allfällig vorhandene ActiveX-Controls in
seinem Internet-Browser deaktivieren, um Beeinträchtigungen von ELBA-internet zu vermeiden. Der Kunde wird stets die aktuelle Version (Release) seines Internet-Browsers und seiner Antivirenprogramme verwenden. ....'
Extrem detaillierte technische Anweisungen, die zum Teil von der Bank selbst beeinflußt werden könnten (Paßwortvergabe), zum Teil unrealistisch sind (Active-X-Abschaltung). Die Active-X-Einstellungen benötigt der IE für die Anzeige von pdf-Dokumenten(!). Auch ist der Zusammenhang von Viren und der Internetbanksoftware nicht nachvollziehbar.

Österreichische Postsparkasse (PSK) - Geschäftsbedingungen Online-Banking:
'Der Kontoinhaber haftet für Schäden, die daraus entstehen, dass Sofa-Banking per Internet die persönlichen Identifikationsmerkmale von anderen Verfügungsberechtigten
missbräuchlich verwenden'
Diese sprachlich wie inhaltlich völlig unverständliche Formulierung findet sich gleich zweimal unter 'Haftung' und 'rechtsgültige Verfügung'.

Übertreibende Formulierungen, wie 'größte Sorgfalt' sind generell problematisch, da jedes sorgfältige Vorgehen durch weitere Maßnahmen 'verbessert/übertroffen' werden kann.

Die Liste ist nicht vollständig, es wurden nur einige problematische Formulierungen auszugsweise wiedergegeben. Zum Teil wortidente Formulierungen finden sich bei Instituten derselben Gruppe oder bei Betreibern derselben Banken-Software.

Unzulässiges Übertragen der Verantwortung für Telekom-Einrichtung auf Kunden

Beliebt ist auch die generelle Übertragung der Sorgfalts- und Verantwortunspflicht für die Telekomeinrichtung auf den Kunden, wie in Z15 der allgemeinen AGB's bestimmt: 'Werden vom Kunden mittels Telekommunikation Aufträge erteilt oder sonstige Erklärungen abgegeben, so hat er geeignete Vorkehrungen gegen Übermittlungsfehler und Missbräuche zu treffen.'

Nun ist zwar grundsätzlich richtig, dass die Bank bloß Erfüllungsgehilfe des Kunden bei der Durchführung von Zahlungen ist und daher jeder Kunde selbst dafür verantwortlich ist, dass seine Zahlungsaufträge tatsächlich einlangen, umgekehrt ist der Kunde auf die Techniken und Instrumente angewiesen, die die Banken bereitstellen und auch Kosten dafür verrechnen. Der Kunde hat daher auch Anspruch darauf, gemäß dem Stand der Technik, im Einsatz der Telekom-Medien unterstützt zu werden. Die Last, 'Vorkehrungen gegen Übermittlungsfehler' zu treffen, trifft daher ganz oder teilweise den Telebankbetreiber und kann nicht durch allgemeine AGB's auf den Kunden abgewälzt werden.

Problematische Bestimmungen können nicht wirksam vereinbart werden

Sind Sorgfaltsvereinbarungen zu weitreichend und für den Konsumenten nicht erfüllbar oder undurchschaubar, sind sie nach ständiger Rechtssprechung nicht wirksam vereinbarte Bestimmungen und können auch nicht im Schadensfall von Banken geltend gemacht werden.

Welche Bestimmung im Detail wirksam ist und welche nicht, kann jedoch nur im individuellen Gerichtsverfahren festgestellt werden.

Kundenfreundliche Bestimmung stammt von deutscher Online-Bank

Es ist vermutlich kein Zufall, das die klarste und damit kundefreundlichste Formulierung der Sorgfaltspflichten von der Niederlassung einer ausländischen Online-Bank, der ENTRIUM DIREKTBANK AUSTRIA NIEDERLASSUNG DER ENTRIUM DIRECT BANKERS AG, A-4060 Leonding, stammt (Entrium ist Tochter der 'Allgemeinen Deutschen Direktbank').

Nur Vereinbarungen, die ein Kunde nachvollziehen kann, die praxisnah sind und billigerweise erfüllbar sind, stärken das Vertrauen in funktionierenden e-commerce.

SPARDA Wien / BAWAG kommen Bestimmungen am nächsten

Vergleichbar einfach und damit kundenfreundlich sind die Sorgfaltsbestimmungen der SPARDA Wien bzw. der BAWAG. Wermuthstropfen bei diesen Instituten ist die überzogene Formulierung Z15 in den allgemeinen AGB's.

Instrumente zur Unterstützung des Onlinebanking-Benutzers fehlen

Sinnvoller als komplexe und schwer durchschaubare Sicherheitsanweisungen wären einige einfache technische Unterstützungen, die es dem Kunden erleichtern, das ordnungsgemäße funktionieren festzustellen:
- Protokollfunktion: die letzten 10 Einwahlversuche (erfolgreiche/erfolglose) inkl. IP-Adresse und Zeitpunkt sollten abrufbar sein
- Brwoserkontrolle: Informationen zum verwendeten Browser und zuletzt bekannt Sicherheitsprobleme sollten bereitgestellt werden
- Wegkontrolle: der tatsächliche Zugriffsweg über das Internet (inkl. wer welchen dieser Knoten betreibt) sollte angezeigt werden
- erweiterter Systemcheck: der Kunde sollte die Möglichkeit haben, sein System Online zu prüfen

Alle diese Informationen stehen bei jedem Verbindungsaufbau dem Telebanking-Betreiber zur Verfügung und könnten mit geringen Mitteln auch den Kunden bereit gestellt werden.

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungsservice angeboten. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixabay, Shutterstock, Pixelio, Aboutpixel oder Flickr.

webmaster