Internet-Banking in der Praxis: Ungleiche Risikoverteilung

Von David Rosenthal

Immer mehr Internet-Benutzer in der Schweiz wickeln ihre Bankgeschäfte über das Internet. Das ist sicher und vor allem für kleine und mittlere Unternehmen auch wirtschaftlicher als der herkömmliche Bankverkehr. So verkünden es auch die Finanzinstitute in ihrer Werbung.

Wer jedoch das Kleingedruckte der Telebanking- und Kreditkarten-Verträge unter die Lupe nimmt, dem wird ein anderes Bild vermittelt: Was mit dem Internet zu tun hat, ist unsicher und unzuverlässig. Und für etwaige Verluste muss der Kunde ganz alleine haften. Alle Schäden, welche aus Verträgen via Internet, insbesondere aus mangelnder Berechtigung, mangelnden Systemkenntnissen sowie missbräuchlicher Verwendung der Karte entstehen, trägt der Karteninhaber, heisst es da zum Beispiel. Auch übernehme man keinerlei Gewähr für die Richtigkeit und Vollständigkeit der von ihr übermittelten Daten. Will heissen: Zeigt die Online-Abfrage statt dem aufgebrauchten Guthaben ein pralles Konto an, soll das ein Problem der Kundschaft sein und nicht der Bank.

Ein Finanzinstitut schliesst ohnehin meist auch die Haftung für Schäden aus Übermittlungsfehlern, technischen Mängeln, Störungen, rechtswidrigen Eingriffen und manchen anderen "Unzulänglichkeiten" aus. Abgesehen davon, dass manche Institute sich auch die jederzeitige und unagekündigte Sperrung der Dienste vorbehalten. Pech also für den Kunden, der im falschen Moment glaubt, per Internet seine Bank- und Börsengeschäfte rasch erledigen zu können.

Das sei alles nicht so gemeint, lautet die übliche Antwort aus den genannten Unternehmen, wenn sie auf solch kundenunfreundliche Klauseln angesprochen werden. Internet-Banking sei sicher und zuverlässig, wird versichert. Man tue alles, um die Kundschaft zufriedenzustellen. Doch die Unsicherheiten plagen eben auch die Verantwortlichen der Banken. Sie wissen zwar, dass sie das Medium Internet nicht ignorieren können. Im Gegenteil: Es wird zu einer wesentlichen Stütze ihres Geschäfts werden und eröffnet völlig neue Kundenbeziehungen und Märkte. Zudem spart Online-Banking enorme Kosten, da fortan die Kunden den Computer der Bank selbst programmieren. Es ist ihnen aber auch bewusst, dass der intensive Einsatz von Internet-Techniken gewichtige Risiken bieten, die sie weder nicht einschätzen noch wirklich verhindern können -- und zwar sowohl in tatsächlicher wie in rechtlicher Hinsicht.

Neuland sorgt für Unsicherheiten

Es ist mit anderen Worten Neuland. Das zeigt schon die Tatsache, dass sich Banken die Allgemeinen Geschäftsbedingungen (AGB) allzuoft gegenseitig abschreiben, weil sie auch nicht gescheiter sind. Dass dann möglichst jede Haftung wegbedungen wird, liegt auf der Hand und ist verständlich, zumal konsumentenfreundliche AGB heute noch kein Wettbewerbsvorteil sind, noch nicht. Entsprechend wird das Kleingedruckte nicht nur im Wissen darum formuliert, dass viele private Kunden in der Schweiz kaum gegen ihre Bank vor Gericht ziehen würden und auch den Anwälten meist das nötige Wissen dazu fehlen dürfte. Die heutigen AGB sollen den Finanzinstitute angesichts all der Ungewissheiten immer auch einen zusätzlichen Spielraum verschaffen, auch wenn klar ist, dass im Machtbereich der Banken verursachte Schäden schon aus eigenem Interesse kulant gelöst werden -- aber eben "ohne Anerkennung einer Rechtspflicht".

Bei näherer Betrachtung zeigt sich freilich, dass sich die Banken durch ihre AGB, so weitgefasst diese auch sind, in vielen Fällen nicht wirklich schützen werden können. Die Gründe dafür liefert zunächst das Gesetz selbst. Zwar können Vertragsparteien laut Obligationenrecht durchaus vereinbaren, dass eine Haftung beschränkt wird. Für Banken als konzessionierte Betriebe gilt dies jedoch nur in einem reduzierten Umfang. Sie haften darum für die Beachtung der "banküblichen Sorgfalt" in der Regel voll.

Dies alleine muss an sich noch nicht sehr viel bedeuten, da die Sorgfalt mitunter recht gering definiert wird. Gelingt es einem Betrüger zum Beispiel auf einem Zahlungsauftrag aus Papier die Unterschrift eines Kunden auch nur einigermassen gut nachzuahmen, wird für enstandene Schäden typischerweise der Kunde haften müssen. Die Bank hat mit einer simplen visuellen Kontrolle ihre Pflicht meist getan.

Doch im Internet ist das anders. Verlangt werden kann zwar auch hier nur die übliche Sorgfalt. Doch die kritischen Vorgänge sind im Online-Banking anders gelagert: Gut gefälschte Geheimcodes oder digitale Signaturen gibt es nicht. Die Codes sind entweder richtig oder falsch. Der Faktor Mensch spielt dabei nicht erst bei der Gültigkeitsprüfung eines Online-Zahlungsauftrags eine Rolle, sondern schon viel früher bei der Entwicklung der dazu benutzten Software. Hier aber werden an eine Bank traditionell sehr hohe Anforderungen an die Qualität und Sicherung ihrer Systeme gestellt. Zudem steht in der Regel die Bank und nicht der Kunde in der Pflicht, die korrekte Legitimation der Online-Zugriffe nachzuweisen. Somit lässt sich heute guten Gewissens sagen, dass ein sorgfältig durchgeführtes Internet-Banking sicherer als die meisten anderen Formen von Bankgeschäften ist.

Heikel: Aufklärungspflichten

Ein weiterer heikler Punkt sind die Aufklärungs- und Sorgfaltspflichten der Bank. Das gilt vor allem im Verkehr mit Privatpersonen, von denen kein besonderes Wissen über die spezifischen Risiken im Internet-Banking erwartet werden kann. Das heisst, dass die Banken nicht nur eine Verantwortung dafür tragen, dass die von ihnen benutzen Sicherheitskonzepte und Programme dem Stand der Technik entsprechen. Es liegt ebenfalls in ihrer Pflicht, die Kunden über die richtige Verhaltensweise und über gewisse Risiken und Realitäten im Internet-Banking aufzuklären -- zumindest solange, als dieses Wissen nicht als Allgemeingut betrachtet werden kann.

Weil dazu Allgemeine Geschäftsbedingungen alleine oft nicht ausreichen dürften, sind Zielkonflikte vorprogrammiert: Während die Marketingabteilung einer Bank deren Online-Börsensystem zum Beispiel damit bewerben will, dass es Börsenaufträge in Sekundenschnelle ausführen kann, wird der Jurist in den Nutzungsbedingungen festhalten, dass sich der Kunde darauf trotz allem nicht verlassen kann.

Derartige Widersprüche werden von den Gerichten relativ einfach gelöst: Sie entscheiden zugunsten der Kunden. Solche Fälle führen letztlich aber zur grundsätzlichen Frage einer sinnvollen und "gerechten" Risikoverteilung beim Einsatz neuer Informationstechniken zwischen Banken und ihren Kunden. Klar ist, dass jede Partei für die Schäden einstehen muss, die sie verursacht und durch mangelnde Sorgfalt auch selbst verschuldet hat. Passt der Kunde nicht auf seine Geheimcodes oder Signatur auf, wird er die Konsequenzen davon tragen müssen, sofern die Bank ihn ausreichend instruiert hatte. Hat die Bank ihr System mangelhaft programmiert oder konfiguriert, hat wiederum sie dafür einzustehen.

Die grosse Unbekannte sind jedoch die Fälle, in denen keine der beiden Seiten ein Verschulden trifft. Denn ein Restrisiko bleibt auch bei aller Sorgfalt bestehen -- etwa wenn ein Hacker auch die beste Sicherheitssperre überwindet. Eben diese Haftung für den Zufall versuchen die Banken gegenwärtig -- durchaus verständlicherweise -- allzugerne auf den Kunden abzuwälzen. Funktionieren wird dieses Vorhaben vermutlich trotz allem nicht. Auch hier ist die Lösung der Rechtslehre und Praxis simpel: Trifft keinen eine Schuld, hat jeder für jene schadensverursachende Umstände einzutreten, die in seinem Machtbereich aufgetreten sind.

"Sphärentheorie" nennt sich dieses Rechtskonstrukt. Es wurde zwar nicht für das Internet entwickelt, passt im Grunde aber sehr gut. Zwar ist damit keine vollständig ausgewogene Risikoverteilung möglich, denn in Internet-Transaktionen können Schäden auch durch Umstände von ausserhalb der Machtbereiche beider Parteien verursacht werden. Aber es wird zumindest dafür gesorgt, dass die Restrisiken auch von der Anbieterseite mitgetragen werden. Das ist auch richtig so, profitieren die Banken vom Internet-Banking womöglich noch mehr als ihre Kunden.

(Sommer 2000)