Verantwortung bei Phishing-Attacken

Es stellte sich die Frage, ob die Verantwortung für Phishing-Attacken vollumfänglich auf die Kundschaft überwälzt werden darf. Die meisten Anbieter halten in den AGB für Phishing-Attacken Risikoübertragungsklauseln bzw. sogenannte Haftungsausschlüsse fest. Diese sehen vor, dass der aus einer Phishing-Attacke oder einem sonstigen Cyber-Angriff entstehende Schaden vollumfänglich von der Kundschaft getragen werden muss. Der Anbieter war der Ansicht, dass eine Haftung vollständig ausgeschlossen werden könne, da der Kunde den zusätzlichen Schutz einer Zwei-Faktor-Authentifizierung nicht genutzt habe. Der Anbieter hatte den Kunden vorhergehend aber nie über die Möglichkeit eines besseren Schutzes seines Kundenkontos informiert. Der Ombudsmann kam zum Schluss, dass Anbieter Y sich seiner Verantwortung nicht vollumfänglich mittels – meist global übernommenen – AGB entziehen kann, da er das Risiko im besser hätte beherrschen können. Anbieter Y hätte Vorkehrungen (Bsp. Warnungen vor Cyberangriffen, Information zur Zwei-Faktor- Authentifizierung, Pflicht zur Zwei-Faktor-Authentifizierung) treffen müssen, welche den Kunden als schwächere Partei vor diesem Angriff hätte schützen können. Der Ombudsmann war daher der Ansicht, dass die gesamten Gebühren in Höhe von CHF CHF 2’962.33 zu annullieren waren.

SCHLICHTUNGSVORSCHLAG

Am 2.7.2024 leitete der Ombudsmann ein Schlichtungsverfahren zwischen den Parteien ein. In diesem Zusammenhang prüfte er die Eingabe des Kunden samt allen dazu übermittelten Dokumenten und forderte beim betroffenen Anbieter eine Stellungnahme ein. Nach Prüfung der Ausführungen der Parteien und der eingereichten Unterlagen unterbreitet der Ombudsmann den vorliegenden Schlichtungsvorschlag.

Der Schlichtungsvorschlag berücksichtigt sowohl die rechtlichen Bestimmungen, einzelne Argumente des Kunden als auch einzelne Argumente des Anbieters. Rechtliche Erörterungen werden - soweit notwendig - ebenfalls miteinbezogen. Im Rahmen dieses Schlichtungsverfahrens werden nur die wesentlichen Punkte des Schlichtungsbegehrens und der Stellungnahme des Anbieters berücksichtigt. Der Ombudsmann kann die Argumente der Parteien nicht wie in einem Gerichtsverfahren überprüfen.

A. AUSFÜHRUNGEN IM SCHLICHTUNGSBEGEHREN

Dem Schlichtungsbegehren von Herrn X wird Folgendes entnommen:

„Mir wurde im Feb. 2024 das Online-Konto bei Anbieter Y gehackt und es wurden 2 x Apple iPhone 15 PRO bestellt dazu auch zwei Mobile-Abos (07X XXX XX XX / 07X XXX XX XX ) gelöst. Als ich dies (im April) bemerkte, habe ich sofort mit Anbieter Y telefonisch Kontakt aufgenommen. Nach einige Telefonate und E-Mails, meinte Anbieter Y: das ganze wurde aus meinem Online-Konto bestellt und ich wäre dafür verantwortlich. Ich habe aber keine Passwörter irgend jemandem ausgegeben, noch habe ich irgendwo meine Passwörter aufbewahrt. Am 16.4.24 habe ich bei der Kapo X eine Anzeige gegen unbekannt gemacht. Ich bin daher eigentlich nicht gewillt diese Rechnung zu bezahlen, da ich auch keine schuld auf mich trage und meine Sorgfaltspflicht nicht verletzt habe. Ich habe auch ab sofort mein Online-Konto bei Anbieter Y sperren lassen, da ich kein Risiko mehr eingehen will.“

B. STELLUNGNAHME DES ANBIETERS

Der Stellungnahme von Anbieter Y wird Folgendes entnommen:

„Am 14. Mai 2024 haben wir bezüglich dieses Sachverhalts bereits den Fall bearbeitet.

Wie unsern Abklärung und Analysen ergeben haben, wurde Herr X augenscheinlich Opfer einer Phishing-Attacke. Mit an Sicherheit grenzender Wahrscheinlichkeit hat eine unbekannte Täterschaft anlässlich dieses Phishings Zugang auf die persönlichen Daten genommen. Den Kriminellen ist es in der Folge gelungen, sich am 21. Februar 2024 um 01:24:02 Uhr (07X XXX XX XX) sowie am 21. Februar 2024 um 01:26:01 Uhr (07X XXX XX XX) mit den gestohlenen Zugangsdaten Zugang zu dem Kundenkonto von Herrn X zu verschaffen (Hacking), via Shop zwei Abos FG abzuschliessen und ein Apple iPhone 15 Pro Max 512GB White sowie ein Apple iPhone 15 Pro Max 512GB Black zu bestellen.

Nach unseren Kenntnissen dürften die persönlichen Daten (E-Mailadresse, Passwörter, etc.) wahrscheinlich anlässlich eines Datenlecks bei einem Online-Versandhändler gestohlen und der Datensatz anschliessend im Darknet verkauft. Wann, wo und wie genau es der Täterschaft gelungen ist, an die Daten zu gelangen, um sich so Zugang zu dem Kundenportal zu verschaffen, ist für uns jedoch nicht nachvollziehbar. Die Verantwortung des Schutzes des Kundenkontozugangs liegt beim Kunden und nicht bei Anbieter Y. Es ist daher äusserst wichtig ist, sensible Informationen wie Login-Daten, Passwörter oder per SMS erhaltene PIN-Codes niemals preiszugeben, respektive gut zu schützen. Anbieter Y kann keine Verantwortung für Schäden einschliesslich eventueller Kosten übernehmen, die durch das Weitergeben oder Diebstahl von Login-Daten, Passwörtern, PIN-Codes etc. entstehen können.

Dieser Hinweis ist auch in unseren Allgemeinen Geschäftsbedingungen unter der Punkt 13 zu entnehmen, welche Herr X mit Annahme der ursprünglichen Verträge akzeptiert hat. Es besteht unsererseits keine Möglichkeit zu prüfen, wer online einen Vertrag abschliesst. Deshalb gibt es die Möglichkeit das Kundenkonto mittels 2-Faktoren Authentifizierung zu schützen. Wird diese Möglichkeit des Schutzes nicht genutzt, kann nachfolgend auch kein Regress auf den Anbieter genommen werden. Es verhält sich gleich wie bei einem Bankkonto. Verschafft sich jemand Zugang zu Ihrem Konto (über die App der Bank), schliesst diese eine Entschädigung allfälliger Kosten oder Verluste ebenso aus.

Gerade heutzutage in der digitalen Welt ist es besonders wichtig, seine Daten hinreichend zu schützen, um sich vor den verschiedenen möglichen Cyberangriffen abzusichern. Mehr Informationen für Herr X sind hier ersichtlich: https://www.ncsc.admin.ch/ncsc/de/home/cyberbedrohungen/phishing.html Derzeit sind viele andere Kunden oder Personen mit xx@hotmail E-Mail-Adressen von Phishing, unbefugter Datenbeschaffung, unbefugtem Eindringen in ein Datenverarbeitungssystem und betrügerischem Missbrauch eines Datenverarbeitungssystems betroffen. Damit Herr X den Schaden der privaten Versicherung melden kann, benötigt er einen Polizeirapport. Soweit uns bekannt, hat er die Anzeige bereits platziert. Sollte er dementsprechend keine Anzeigebestätigung erhalten haben, würde ich der Versicherung den Namen des zuständigen Beamten mitteilen.

Dass der Betrug zur Anzeige gebracht wird, ist gerade in solchen Fällen wichtig, damit die Polizeistellen allfällige Erkenntnisse in Bezug auf die Täter oder in Banden operierende Kriminelle erlangen. Die Lieferung erfolgte an eine CH-Adresse. Aus Kulanz sind die beiden Verträge Up Mobile L am 17. April 2024 per sofort gekündigt und die beiden SIM-Karten gesperrt worden.

Damit Herr X alle Angaben für die Versicherung hat, kann ich Ihnen hier noch die IMEI- Nummern angeben, welche bereits am 14. Mai 2024 bekannt gegeben wurden: Abo A Rufnummer 07X XXX XX XX vom 21. Februar 2024 01:24:02 Uhr Mobilabo plus Kauf eines Apple iPhone 15 Pro Max 512GB White / IMEI-Nummer XXX, Abo A Rufnummer 07X XXX XX XX vom 21. Februar 2024 01:26:01 Uhr, Mobilabo plus Kauf eines Apple iPhone 15 Pro Max 512GB Black / IMEI XXX

Aus einmaliger Kulanz haben wir die Grund- sowie Optionsgebühr abzüglich der automatischen Rückvergütung auf der Rechnung vom 6. Mai 2024 für diese beiden Nummern gutgeschrieben. Die Gutschrift von CHF 172.45 haben wir auf dem Kundenkonto erfasst und von den offenen Beträgen abgezogen. Einen aktuellen Kontoauszug finden Sie im Anhang. Den Mahnstopp, der bis zum 30. Juni 2024 gesetzt war, habe ich bis zum 31. Juli 2024 verlängert, damit Herr X genug Zeit hat, sich mit der Versicherung in Kontakt zu setzen.“

C. EINTRETENSVORAUSSETZUNGEN

Gemäss Art. 12c Abs. 1 des Fernmeldegesetzes (FMG / SR 784.10) und Art. 43 Abs. 1 der Verordnung über Fernmeldedienste (FDV / SR 787.101.1) kann die Schlichtungsstelle für Kommunikation bei zivilrechtlichen Streitigkeiten zwischen Kundinnen oder Kunden und Anbietern von Fernmelde- oder Mehrwertdiensten angerufen werden. Die weiteren Voraussetzungen zur Einleitung des Schlichtungsverfahrens sind in Art. 45 Abs. 2 FDV sowie Art. 8 des Verfahrens- und Gebührenreglements der Schlichtungsstelle für Kommunikation geregelt: Das Schlichtungsbegehren muss mit dem dafür vorgesehenen Formular eingereicht werden. Die einreichende Partei muss glaubhaft darlegen, dass sie mit der anderen Partei in der Regel während der letzten 12 Monate eine Lösung gesucht hat. Das Schlichtungsbegehren darf nicht offensichtlich missbräuchlich sein und es darf sich kein Gericht oder Schiedsgericht mit der Sache befassen oder befasst haben.

Die Schlichtungsstelle prüfte die eingereichten Unterlagen und konnte keine offensichtliche Missbräuchlichkeit gemäss Art. 45 Abs. 2 FDV feststellen.

Der Kunde setzte sich vermehrt mit Anbieter Y in Kontakt. Die Parteien konnten keine Einigung finden.

Herr X legte seinen Versuch zur Einigung mit Anbieter Y glaubhaft dar. Da auch die weiteren Voraussetzungen zur Einleitung des Verfahrens erfüllt sind, ist der Ombudsmann zuständig, im Rahmen des Schlichtungsverfahrens zwischen den Parteien zu vermitteln.

D. ÜBERLEGUNGEN DES OMBUDSMANNS

1. Ausgangslage und Problemstellung

Im vorliegenden Schlichtungsverfahren geht es um die Frage, ob Herr X für die aus dem Vertragsschluss vom 21. Februar 2024 entstandenen Gebühren in Höhe von CHF 2’962.33 aufkommen muss, auch wenn der Vertrag nicht von Herrn X, sondern von unbefugten Dritten abgeschlossen wurde.

Der Ombudsmann prüft die Sach- und Rechtslage und stellt den Parteien einen Lösungsvorschlag zu.

2. Zum Phishing

2.1 Allgemeines

Mittels Phishing versuchen Betrüger, an vertrauliche Daten von ahnungslosen Nutzerinnen und Nutzern zu gelangen. Dabei kann es sich beispielsweise um Zugangsdaten von E-Mail-Konten, Online-Auktionsanbietern oder um Kreditkartendaten handeln. Die Betrüger nutzen die Gutgläubigkeit und Hilfsbereitschaft ihrer Opfer aus, indem sie ihnen E-Mails mit gefälschten Absenderadressen zustellen. In den E-Mails wird das Opfer beispielsweise darauf hingewiesen, dass seine Kontoinformationen und Zugangsdaten (z. B. Benutzername und Passwort) nicht mehr sicher oder aktuell seien und es diese unter dem in der E-Mail aufgeführten Link ändern solle. Der Link führt dann allerdings nicht auf die Originalseite des jeweiligen Dienstleistungsanbieters, sondern auf eine vom Betrüger identisch aufgesetzte Webseite.

Vor solchen Phishing-Attacken kann man sich schützen, indem man eine Zwei-Faktor- Authentifizierung installiert. Dadurch entsteht eine zusätzliche Schutzebene, um zu verhindern, dass ein Konto gehackt wird. Weiter wird darauf hingewiesen, dass Banken und Kreditkarteninstitute die Kundinnen und Kunden niemals per E-Mail auffordern, Passwörter oder Kreditkartendaten zu verifizieren. Es lohnt sich allgemein skeptisch zu sein, sobald man E-Mails bekommt, die eine Aktion verlangen. E-Mail-Absender können sehr leicht gefälscht werden. (vgl. https://www.ncsc.admin.ch/ncsc/de/home/cyberbedrohungen/phishing.html)

Das Bundesgericht wendet in Bezug auf Phishing-Attacken im Bankenbereich eine dreistufige Prüfung an. Es überprüft in einem ersten Schritt, ob die Zahlung mit oder ohne Auftrag des Kunden aufgeführt wurde. Mangelt es an der Anweisung des Kunden liegt ein Legitimationsmangel vor und die Bank trägt den Schaden und der Erfüllungsanspruch des Kunden bleibt bestehen. In diesem Fall prüft das Bundesgericht dann in einem zweiten Schritt, ob die Parteien eine gültige Risikoüberwälzungs- oder Schadensabwälzungsklausel vereinbart haben. (Stengel Cornelia/Rüegg Elena/Sommer Jessica Kim/Stäuble Luca/Freund Benedikt, Kooperationsformen zwischen Banken und Drittanbietern aus vertrags- und datenschutzrechtlicher Perspektive, SZW 2022 S. 20). Dabei wird insbesondere überprüft, ob die Bank bei der Ausführung der betrügerischen Überweisungsaufträge einen groben Fehler begangen hat (BGE 146 III 326, E. 6).

2.2 Zu den Risikoübertragungsklauseln und deren Gültigkeit

Bei den Banken ist es üblich, dass gewisse Vertragsrisiken mittels Verwendung von Allgemeinen Geschäftsbedingungen (AGB) auf die Bankkunden abgewälzt werden. Beispielsweise wird die Haftung der Bank bei Zahlungsanweisungen, welche der Kunde über E-Mail, Fax oder Telefon tätigt, im gesetzlichen Rahmen (Art. 100 Abs. 1 OR) wegbedungen. Somit ist die Haftung der Bank auf Vorsatz und grobe Fahrlässigkeit beschränkt und das Missbrauchsrisiko von solchen Kommunikationsträgern wird somit von der Bank auf den Kunden überwälzt. Man spricht daher von sogenannten Risikoübertragungsklauseln (Bubb Lukas, Wenn der Bankkunde zum Risiko wird: Können Phishing-Attacken versichert werden?, HAVE 2016 S. 191).

Solche Risikoübertragungsklauseln können unterschiedlich ausgestaltet sein. Häufig sieht die entsprechende Vereinbarung vor, dass der entstandene Schaden von der Bankkundin zu tragen ist, sofern die Bank die bei der Legitimationsprüfung geschäftsübliche Sorgfalt nicht missachtet hat. Früher gingen die Banken noch weiter und trugen den Schaden nur dann selber, wenn sie ein grobes Verschulden traf. In beiden Fällen musste der Kunde den Schaden tragen, der weder von ihm noch von der Bank verschuldet worden war.

Ein typischerweise mit der Vertragserfüllung verbundenes Geschäftsrisiko wird auf den Kunden überwälzt. Dieser trägt somit das ganze Zufallsrisiko des betreffenden Geschäfts. Zu prüfen ist, ob eine solche Risikoübertragungsklausel im Sinne von Artikel 8 UWG (Bundesgesetz gegen den unlauteren Wettbewerb/SR241) gültig ist. Des Weiteren ist zu prüfen, ob die Klausel ungewöhnlich ist (MÜLLER, Risikoverteilung in AGB von Banken, in: cognitio 2023/1, S. 8 f.).

Art. 8 UWG sieht eine offene Inhaltskontrolle der AGB vor, welche auf alle AGB ab 1. Juli 2012 anwendbar ist. Unlauter handelt gemäss Art. 8 UWG, wer AGB verwendet, die in Treu und Glauben verletzenderweise zum Nachteil der Konsumentinnen und Konsumenten ein erhebliches und ungerechtfertigtes Missverhältnis zwischen den vertraglichen Rechten und den vertraglichen Pflichten vorsehen. Die Angemessenheit einer Klausel ist im Hinblick auf alle vertraglichen Rechte und Pflichten zu prüfen, unabhängig davon, ob diese direkt in den AGB oder in einem anderen Vertragsbestandteil enthalten ist. Es erfolgt die nachfolgende offene Inhaltskontrolle gemäss Art. 8 UWG (Ernst A. Kramer/Thomas Probst/Roman Perrig, in: Schweizerisches Recht der Allgemeinen Geschäftsbedingungen, April 2016, N 510):

Als Erstes muss überprüft werden, ob ein Missverhältnis zwischen den vertraglichen Rechten und Pflichten zulasten der Person, die die AGB übernimmt, vorliegt. Ist dies der Fall, wird überprüft, ob es sich um ein erhebliches Missverhältnis handelt. Wenn ja, ist weiter zu beurteilen, ob das Missverhältnis als treuwidrig zu qualifizieren ist, weil der Anbieter nach Treu und Glauben nicht annehmen durfte, die Kundin oder der Kunde hätte die nachteiligen AGB auch dann akzeptiert, wenn sie nicht einseitig vorgegeben, sondern einzeln ausgehandelt worden wären. Ist die Treuwidrigkeit zu bejahen, so liegt die Vermutung nahe, dass das treuwidrige erhebliche Missverhältnis gleichzeitig auch ungerechtfertigt ist. Dem Anbieter steht jedoch der Gegenbeweis offen, dass die betroffenen Bestimmungen durch konkrete Vorteile aus weiteren Vertragsbestimmungen zugunsten der Kundin oder des Kunden ausgeglichen werden, so dass im Ergebnis das Missverhältnis gerechtfertigt werden kann. (Mit anderen Worten muss das festgestellte erhebliche Missverhältnis durch konkrete Vorteile gemildert werden, sodass es nicht mehr missbräuchlich ist.) In einem zweiten Schritt ist zu prüfen, ob die Klausel ungewöhnlich ist. Ungewöhnliche bzw. geschäftsfremde Klauseln sollten der unkundigen Kundschaft bei Vertragsschluss in besonderer Weise zur Kenntnis gebracht werden, damit diese Regeln Geltung erlangen. Eine Partei, die ausdrücklich auf eine bestimmte, fett gedruckte und gut lesbare Klausel aufmerksam gemacht wurde, kann sich nicht auf die Ungewöhnlichkeitsregel berufen (BGE Pra 87, 1998, Nr. 9, S.55).

Um beurteilen zu können, ob eine Klausel ungewöhnlich ist, muss man sich in die Lage der Partei zum Zeitpunkt der Globalübernahme versetzen (BGE 119 II S. 443 ff.). In BGE 135 III 1 S. 7 hält das Bundesgericht weiter fest, dass die Beurteilung der Ungewöhnlichkeit bezogen auf den Einzelfall erfolgt und desto eher als ungewöhnlich zu qualifizieren ist, je stärker die Klausel die Rechtsstellung der Vertragspartnerin oder des Vertragspartners beeinträchtigt. Ausserdem muss die fragliche Klausel zu einer wesentlichen Änderung des Vertragscharakters führen oder in erheblichem Masse aus dem gesetzlichen Rahmen des Vertragstypus fallen. Sofern keine Schadensabwälzungs- oder Risikoübertragungsklausel vereinbart wurde, prüft das Bundesgericht in einem dritten Schritt. ob die Bank den Erfüllungsanspruch mit einem Schadenersatzanspruch gegenüber der Kundin verrechnen kann.

3. Phishing im vorliegenden Fall

3.1 Zum Vertragsschluss

Gemäss der Praxis des Bundesgerichts muss zuerst überprüft werden, ob die Bestellung am 21. Februar 2024 auf dem Kundenkonto Nr. X mit oder ohne Auftrag des Kontoinhabers erfolgt ist. Über das Kundenkonto von Herrn X wurden am 21. Februar 2024 um 1:24 Uhr und um 1:26 Uhr zwei Apple iPhone 15 Pro Max 512 GB an die Adresse: X bestellt und dazu zwei Abonnements „A“ abgeschlossen. Anbieter Y sowie Herr X machen geltend, dass die Verträge nicht von Herrn X abgeschlossen wurden, sondern vermutlich von einer unbekannten Täterschaft, die sich durch eine sogenannte Phishing-Attacke Zugang zu den Kontodaten von Herrn X verschaffte.

Folglich lag kein Auftrag des Kontoinhabers vor. Anbieter Y erklärte sich am 17. April 2024 aus Kulanz bereit, beide Verträge („Abonnement A“ zur Nummer 07X XXX XX XX sowie den Vertrag „Abonnement A“ zur Nummer 07X XXX XX XX) per sofort zu kündigen und die dazugehörigen SIM-Karten zu sperren. Der Ombudsmann begrüsst dieses Vorgehen von Anbieter Y. Anbieter Y führt aus, eine Gutschrift in Höhe von CHF 172.45 auf dem Kundenkonto von Herrn X erfasst zu haben. Diese setzt sich aus der Grund- sowie Optionsgebühr der beiden Nummern abzüglich der automatischen Rückvergütung auf der Rechnung vom 6. Mai 2024 zusammen.

Der Ombudsmann hat die Rechnungen überprüft und konnte feststellen, dass Herrn X für die Abonnements inkl. Geräteraten in der Rechnung vom 6. März 2024 insgesamt Gebühren in Höhe von CHF 201.92 in Rechnung gestellt wurden. Diese Rechnung wurde von Herrn X gemäss Kundenkontoauszug noch nicht beglichen. In der Rechnung vom 4. April 2024 sind Gebühren von CHF 180.10 für das Abonnement „A“ inkl. Geräteraten sowie zusätzliche Gebühren von CHF 92.50 für Bestellung bei Apple iTunes, die über die Nummer 07X XXX XX XX bestellt wurden, ersichtlich. Gemäss dem Kundenkontoauszug wurden diese Gebühren in Höhe von CHF 272.60 am 29. März 2024 von Herrn X vollständig beglichen. In der Rechnung vom 6. Mai 2024 waren es dann Gebühren in Höhe von CHF 2’448.44, die sich aus den Abonnementsgebühren „X“ sowie den Geräteraten, die nun auf einmal in Rechnung gestellt wurden, zusammensetzen.

Gesamthaft entstanden Herrn X somit durch den Vertragsschluss am 21. Februar 2024 Kosten in Höhe von CHF 2’922.96. Anbieter Y erstellte bis anhin eine Gutschrift von CHF 172.45. Es bleibt daher zu prüfen, wer für die restlichen Gebühren im Umfang von CHF 2’750.51 aufkommen muss, wovon der grösste Teil der Gebühren (CHF 2’638.-) den zwei bestellten Apple iPhone 15 Pro Max 512 GB zugeordnet werden kann.

Anbieter Y ist der Ansicht, dass Herr X für diese Kosten aufkommen muss. Herr X habe die Bestellung zwar nicht selbst getätigt, trage aber die Verantwortung für diese Bestellung. Anbieter Y verweist diesbezüglich auf Ziffer 13 der Allgemeinen Geschäftsbedingungen (AGB). Darin wird festgehalten, dass Anbieter Y für „den Schutz vor schädlicher Software, Viren, Spamming, Trojanern, Phishing-Angriffen, Daten und anderen kriminellen Handlungen seitens Dritten“ keine Gewähr übernimmt. Es wird nachfolgend die Gültigkeit dieser Risikoübertragungsklausel bzw. dieses Haftungsausschlusses überprüft.

3.2. Zur Gültigkeit der Risikoübertragungsklausel

Vorliegend geht es um die Frage, wer für die Gerätegebühren im Umfang von CHF 2’535.35 aufkommen muss. Es stellt sich die Frage, ob die Verantwortung für Phishing-Attacken vollumfänglich auf den überwälzt werden darf. Zu prüfen ist, ob eine solche Risikoübertragungsklausel im Sinne von Artikel 8 UWG (Bundesgesetz gegen den unlauteren Wettbewerb/SR241) gültig ist. Des Weiteren ist zu prüfen, ob die Klauseln ungewöhnlich sind (MÜLLER, Risikoverteilung in AGB von Banken, in: cognitio 2023/1, S. 8 f.).

Die meisten Anbieter halten in ihren AGB für Phishing-Attacken Risikoübertragungsklauseln bzw. sogenannten Haftungsausschlüsse fest. Diese Klauseln sehen vor, dass der Schaden, der aus einer Phishing-Attacke oder einem sonstigen Cyber-Angriff entsteht, vollumfänglich von der Kundin oder dem Kunden getragen werden muss. Anbieter Y lehnt jegliche Haftung im Zusammenhang mit der privaten Installation des Kunden ab bzw. ist der Ansicht, dass der Kunde hierfür die Verantwortung trägt. Anbieter Y verweist diesbezüglich auf Ziffer 13 (Gewährleistung für Dienstleistungen) der AGB: „Anbieter Y verpflichtet sich gegenüber dem Kunden zur sorgfältigen Erbringung der vertraglich geschuldeten Dienstleistungen, die für den üblichen Privat- bzw. Geschäftskundengebrauch bestimmt sind. Anbieter Y übernimmt jedoch keine Gewähr für: „[...] g) den Schutz vor schädlicher Software, Viren, Spamming, Trojanern, Phishing-Angriffen, Daten und anderen kriminellen Handlungen seitens Dritter“

Es stellt sich die Frage, ob hier nicht schon ein erhebliches und treuwidriges Missverhältnis im Sinne von Art. 8 UWG vorliegt. In der Lehre wird im Bereich der Banken mit dem Grundsatz der besseren Risikobeherrschung argumentiert. So verstosse eine solche Klausel klar gegen dieses Prinzip, seien es doch die Banken, die durch erhöhte Sicherheitsstandards das Risiko einer Leistung an einen Nichtberechtigten einigermassen steuern können. Eine Schadensabwälzungsklausel, die den Risikotransfer nur bei (Mit-)Verschulden des Bankkunden vorsieht, wird in der Lehre hingegen als mit Art. 8 UWG grundsätzlich vereinbar eingestuft. Als Begründung kann wiederum das Prinzip der besseren Risikobeherrschung aufgeführt werden. Verschuldet eine Partei die Leistung an eine Nichtberechtigte, so lag der Schadenseintritt auch in ihrem Einflussbereich.

AGB, die den aus Leistung an eine Nichtberechtigte entstandenen Schaden auf die Kundschaft überwälzen, obwohl diese kein Verschulden trifft und obwohl das sich verwirklichte Risiko eigentlich im Einflussbereich der Bank liegt, erfüllen nach einem Teil der Lehre den Tatbestand von Art. 8 UWG und sind daher nichtig. Andernfalls wäre das bei der Anwendung von Art. 8 UWG zu berücksichtigende Prinzip der besseren Risikobeherrschung verletzt. Mit Art. 8 UWG vereinbar sind folglich nur Klauseln, die den entstandenen Schaden höchstens dann auf die Kundin oder den Kunden überwälzen, wenn sich ein Risiko verwirklicht hat, dass die Kundin oder der Kunde besser beherrschen konnte. Nicht zu diesen Risiken gehören namentlich Cyberangriffe auf Banksysteme (MÜLLER, Risikoverteilung in AGB von Banken, in: cognitio 2023/1, S. 12ff.).

Der Ombudsmann ist der Ansicht, dass diese Überlegungen auf die vorliegende Streitigkeit grundsätzlich übernommen werden können. Die in Ziffer 13 der AGB festgehaltene Risikoübertragungsklausel könnte damit teilweise gegen Art. 8 UWG verstossen, da darin eine verschuldensunabhängige Haftung festgehalten wurde. Eine Risikoübertragungsklausel ist nur mit Art. 8 UWG vereinbar, sofern der entstandene Schaden durch ein Risiko verwirklicht wurde, dass der Kunde besser beherrschen konnte. Es wird daher nachfolgend überprüft, ob vorliegend der Kunde das Risiko besser beherrschte bzw. ob vorliegend eine Sorgfaltspflichtsverletzung des Kunden bejaht werden kann.

3.3 Zur Risikobeherrschung und Sorgfaltspflichtverletzung beim Kunden

Sofern betrügerische Transaktionen nur möglich waren, wenn die Kundinnen und Kunden die eigene Sorgfaltspflicht verletzt haben, haften diese grundsätzlich auch für den aus der Verletzung entstandenen Schaden. Anbieter Y ist der Ansicht, dass Herr X die Verantwortung für den Schutz seiner Kontozugangsdaten trage und daher auch die Verantwortung, für die durch unbefugte Dritte am 21. Februar 2024 getätigte Bestellung übernehmen muss.

Herr X machte gegenüber der Schlichtungsstelle für Telekommunikation geltend, dass er sehr vorsichtig im Umgang mit seinen Passwörtern sowie im Umgang mit Spam-Mails sei und auch seine Familie immer wieder darauf hinweise, dass sie aufpassen sollen. Er ist der Ansicht, dass die Bestellung durch einen Fehler bei Anbieter Y ausgelöst wurde. Herr X bestreitet jemals seine Kontodaten unbekannten Dritten zugänglich gemacht zu haben. Herr X hat bereits mit seiner Versicherung Kontakt aufgenommen, er ist aber nicht gegen Cyberangriffe versichert und die Versicherung übernimmt daher keine Kosten.

Anbieter Y weist auf die Möglichkeit einer Zwei-Faktor-Authentifizierung hin, durch welche das Eindringen unbekannter Dritten in das Kundenkonto hätte verhindert werden können. Herr X habe diesen zusätzlichen Schutz nicht genutzt und dadurch seine Sorgfaltspflicht verletzt. Anbieter Y ist der Ansicht, dass eine Haftung ihrerseits ausgeschlossen werden könne, da der Kunde den zusätzlichen Schutz einer Zwei-Faktor-Authentifizierung nicht nutze. Herr X teilte der Schlichtungsstelle für Telekommunikation mit, dass er zu keiner Zeit von Anbieter Y über die Möglichkeit einer Zwei-Faktor-Authentifizierung hingewiesen wurde. Tatsächlich ist die Zwei-Faktor-Authentifizierung bei Anbieter Y nicht verpflichtend, sondern muss von den Kundinnen und Kunden manuell im Kundenkonto aktiviert werden. Die Kundinnen und Kunden werden jedoch im Online-Konto nicht auf diese Option hingewiesen, sondern finden diese versteckt im Menu "Mein Profil" und anschliessend in Untermenu "Login Option".

Die Kundinnen und Kunden können im Untermenu zwischen dem Standard-Login („Konto nicht bestmöglich geschützt “) und der Zwei-Faktor-Authentifizierung („Damit stellen wir sicher, dass tatsächlich Sie sich anmelden wollen.“) auswählen. Der Ombudsmann kann nicht nachvollziehen, weshalb Anbieter Y trotz den zahlreichen Vorfällen mit Phishing, unbefugter Datenbeschaffung, unbefugtem Eindringen in ein Datenverarbeitungssystem und betrügerischem Missbrauch eines Datenverarbeitungssystems den Kundinnen und Kunden den bestmöglichen Schutz vorbehält und keine Pflicht zur Verwendung der Zwei-Faktor-Authentifizierung eingeführt hat. Woher sollten die Kundinnen und Kunden ohne vorgehende Information des Anbieters überhaupt von der Möglichkeit der Zwei- Faktoren-Authentifizierung Bescheid wissen? Hinweise dazu fehlen gänzlich.

3.3 Zur Risikobeherrschung und Sorgfaltspflichtverletzung beim Anbieter

Es stellt sich die Frage, ob diese soeben erwähnten Versäumnisse nicht ein Bestandteil der Sorgfaltspflicht des Anbieters darstellen. So machte Anbieter Y in der Stellungnahme geltend, dass zurzeit viele Kunden oder Personen mit xx@hotmail E-Mail-Adressen Opfer von Phishing, unbefugter Datenbeschaffung, unbefugtem Eindringen in ein Datenverarbeitungssystem und betrügerischem Missbrauch eines Datenverarbeitungssystems wurden. Diese Feststellung ist interessant, zumal auch Herr X eine Hotmail-Mail-Adresse verwendet. Der Ombudsmann ist der Ansicht, dass Anbieter Y zumindest aufgrund dieser Information verpflichtet gewesen wäre, Kundinnen und Kunden mit einer Hotmail-E-Mail-Adresse auf die Gefahr aufmerksam zu machen und sie über die Möglichkeit einer Zwei-Faktor-Authentifizierung frühzeitig zu informieren. Er findet es stossend, dass Anbieter Y zu erkennen gibt, dass insbesondere diese E-Mail-Adressen betroffen sind, aber keine Vorkehrungen getroffen hat, um diese betroffene Gruppe zu schützen.

Herr X teilte der Schlichtungsstelle für Telekommunikation mit, dass seine Frau nach dem Vorfall eine E-Mail von Anbieter Y erhielt, in der ihr von Anbieter Y eine Versicherung für Hacking, Phishing, etc. für monatlich CHF 4.90 angeboten wurde. Eine Information betreffend der Zwei-Faktor-Authentifizierung habe aber auch seine Frau nie erhalten. Diese Marketingmitteilung verstärkt den Eindruck des Ombudsmanns, dass es Anbieter Y kaum darum geht, die für die Kundinnen und Kunden zur Verfügung gestellten Online-Portale besser abzusichern, sondern lediglich mit einer diesbezüglichen Versicherung mehr Einnahmen zu generieren. Der Schutz des Online-Kontos könnte mit einer Pflicht zur zur Verwendung einer Zwei-Faktor- Authentifizierung kostenlos verbessert werden. Stattdessen den Kunden eine Versicherung für CHF monatlich 4.90 anzubieten, erachtet der Ombudsmann als stossend. Insbesondere deshalb, weil Anbieter Y als stärkere Partei auch eine Verantwortung für den Schutz der Kundinnen und Kunden trägt.

Wie bereits erwähnt, konnten die Kundinnen und Kunden ohne vorherige Information von Anbieter Y betreffend Zwei-Faktor-Authentifizierung nicht wissen, dass eine Möglichkeit für eine Zwei-Faktor-Authentifizierung besteht. Der Ombudsmann ist der Ansicht, dass Anbieter Y verpflichtet gewesen wäre, die Kundinnen und Kunden auf diese Möglichkeit aufmerksam zu machen oder diese Art von Schutz zwingend für alle Kundinnen und Kunden vorzuschreiben.

Anbieter Y lehnt jegliche Haftung im Zusammenhang mit der privaten Installation des Kunden ab bzw. ist der Ansicht, dass der Kunde hierfür die Verantwortung trägt. Anbieter Y verweist diesbezüglich auf Ziffer 13 der Allgemeinen Geschäftsbedingungen (AGB). Die Verantwortung mittels – meist global übernommenen – AGB gänzlich der Kundschaft zu überbürden, erachtet der Ombudsmann als stossend. Auch der Anbieter hat eine Verantwortung seiner Kundschaft gegenüber wahrzunehmen. Wie bereits erwähnt, kann sich ein Unternehmen nicht vor der Haftung für von ihm grob fahrlässig verursachten Schäden drücken (vgl. Art. 100 Abs. 1 OR / Obligationenrecht / SR 220). Anbieter Y stellte der Schlichtungsstelle für Telekommunikation einen Screenshot aus dem internen System zu, aus dem hervorgeht, dass die Bestellung als „Inbound E-Shop“ eingegangen ist. Der Screenshot weist aber keine weiteren Informationen auf. So kann man den Screenshot nicht dem Kundenkonto von Herrn X zuordnen. Anbieter Y ist der Ansicht, dass der Screenshot darlegt, dass die Bestellung online und nicht intern von einem Mitarbeiter des Anbieters getätigt wurde. Zudem sei die Bestellung in der Nacht um ca. 1:24 Uhr getätigt worden. Zu diesem Zeitpunkt sei die Hotline geschlossen. Es dürfte unwahrscheinlich (aber nicht ausgeschlossen) sein, dass sich ein Mitarbeiter von Anbieter Y zu diesem Zeitpunkt Zugang zum Kundenkonto von Herrn X verschafft hatte. Weiter besteht die Möglichkeit, dass sich die Täter direkt über über das System des Anbieters einen Zugang zu den Kundenkonten verschafft hatten. Cyberangriffe auf Banksysteme gehören nicht zu einem Risiko, das auf die Kundin oder den Kunden überwälzt werden darf. Dasselbe gilt nach Ansicht des Ombudsmannes für Cyberangriffe auf die Systeme der Anbieter. Anbieter Y hätte vorliegend zu beweisen, dass sie die geschäftsübliche Sorgfalt nicht missachtete. Der Ombudsmann ist der Ansicht, dass Anbieter Y vorliegend den Schaden hätte verhindern können, indem er einen klaren Hinweis oder gar eine Pflicht zur Zwei-Faktor-Authentifizierung eingeführt und zumindest die Kundinnen und Kunden mit einer Hotmail-E-Mail-Adresse auf die Gefahr eines Betruges hingewiesen hätte. Daher trägt ist der Ombudsmann der Meinung, dass Anbieter Y vorliegend Verantwortung für den entstandenen Schaden übernehmen muss.

4. Lösungsvorschlag

Der Ombudsmann kommt zum Schluss, dass Anbieter Y sich vorliegend seiner Verantwortung nicht vollumfänglich mittels – meist global übernommenen – AGB entziehen kann, da er das Risiko im vorliegenden Fall besser hätten beherrschen können. Anbieter Y hätte Vorkehrungen (Bsp. Warnungen vor Cyberangriffen, Information zur Zwei-Faktor- Authentifizierung, Pflicht zur Zwei-Faktor-Authentifizierung) treffen müssen, welche den Kunden als schwächere Partei vor diesem Angriff hätte schützen können. Der Ombudsmann ist daher der Ansicht, dass Anbieter Y im vorliegenden Fall für die gesamten Gebühren in Höhe von CHF CHF 2’962.33, die aus dem Vertragsschluss am 21. Februar 2024 entstanden sind, aufkommen muss.

Anbieter Y erstellte am 14. Mai 2024 bereits eine Gutschrift in Höhe von CHF 172.45. Anbieter Y hat daher die übrigen CHF 2’750.51 (CHF 2’922.96 - CHF 172.45) auf dem Kundenkonto von Herrn X zu stornieren. Herr X beglich am 29. April 2024 bereits CHF 272.60 der strittigen Forderung. Dieser Betrag hat Anbieter Y Herrn X zurückzuerstatten.

Sollte die Umsetzung dieses Schlichtungsvorschlags bereits vor der beidseitigen Unterzeichnung ganz oder teilweise erfolgt sein, so gilt die Vereinbarung in diesem Punkt als erfüllt. Diesbezügliche Rechte und Pflichten fallen dahin.

E. SCHLICHTUNGSVEREINBARUNG

  1. Anbieter Y storniert im Kundenkonto von Herrn X innert 20 Tagen nach Erhalt der Bestätigung über den erfolgreichen Abschluss des Schlichtungsverfahrens Gebühren im Umfang von CHF 2’750.51.
  2. Anbieter Y überweist innert 20 Tagen nach Erhalt der Bestätigung über den erfolgreichen Abschluss des Schlichtungsverfahrens CHF 272.60 auf das Bankkonto von Herrn X.
  3. Herr X teilt der Schlichtungsstelle für Telekommunikation mit Rückmeldung zum Schlichtungsvorschlag seine Bankangaben mit.
  4. Nach Erfüllung von Ziffer E.1 und E.2 des Schlichtungsvorschlags erklären sich die Parteien per saldo aller Ansprüche bezüglich des angeblichen Vertragsschlusses am 21. Februar 2024 als auseinandergesetzt.
  5. Diese Schlichtungsvereinbarung wird von beiden Parteien freiwillig und ohne Schuldeingeständnis angenommen.