4Ob133/14h – OGH Entscheidung
4Ob133/14h – OGH Entscheidung
Verknüpfungen & Referenzen
Kopf
Der Oberste Gerichtshof hat durch die Senatspräsidentin Dr. Schenk als Vorsitzende und durch die Hofräte Dr. Vogel, Dr. Jensik, Dr. Musger und Dr. Schwarzenbacher als weitere Richter in der Rechtssache der klagenden Partei A***** GmbH, *****, vertreten durch Schönherr Rechtsanwälte GmbH in Wien, gegen die beklagte Partei H***** GesmbH, *****, vertreten durch Dr. Hans Houska, Rechtsanwalt in Wien, wegen 7.992,96 EUR sA, infolge Rekurses der beklagten Partei gegen den Beschluss des Handelsgerichts Wien als Berufungsgericht vom 22. April 2014, GZ 1 R 42/14v-18, mit dem das Urteil des Bezirksgerichts für Handelssachen Wien vom 16. Dezember 2014, GZ 19 C 583/13v 14, aufgehoben wurde, folgenden
Beschluss
gefasst:
Spruch
Dem Rekurs wird nicht Folge gegeben.
Die Kosten des Rekursverfahrens sind weitere Verfahrenskosten.
Text
Begründung:
Das klagende Kreditkartenunternehmen begehrte die Rückzahlung von Belastungsbeträgen in Höhe von insgesamt 7.992,96 EUR sA aus mehreren Zahlungsvorgängen in Filialen der Beklagten (Filiale Vösendorf 2.339,62 EUR, Filiale Klagenfurt, Arkaden, 3.761,25 EUR, Filiale Klagenfurt, Alter Platz, 1.892,09 EUR) unter Verwendung von Kreditkarten der Klägerin mit dem Vorwurf, es handle sich um missbräuchliche Kreditkartentransaktionen, die ohne Autorisierung (Genehmigung) durch die Klägerin durchgeführt worden seien.
Das beklagte Vertragsunternehmen habe die vereinbarten Sorgfaltsanforderungen bei Zahlungsvorgängen mittels Kreditkarten nicht erfüllt. Werde bei einer Transaktion die Kreditkarte durch das POS-Terminal gezogen, sende dieses automatisch online eine Autorisierungsanfrage an die Klägerin; sei im System der Klägerin keine Besonderheit (wie etwa eine Sperrung der Karte) vermerkt, werde sodann eine Genehmigungsnummer vergeben. Sei eine automatische Genehmigung nicht möglich, müsse das Vertragsunternehmen bei der Klägerin eine telefonische Genehmigung einholen. Ohne Genehmigung scheine im System der Klägerin das Wort „pended“ auf, nach Genehmigung das Wort „approved“. Nach der Anzeige auf dem Terminal, die Klägerin anzurufen, werde dort die Frage angezeigt, ob man die Genehmigungsnummer eingeben möchte. Wähle man „ja“, gehe das System davon aus, dass die Klägerin angerufen worden sei; man könne sodann eine Genehmigungsnummer eingeben und die Transaktion abschließen. Dieser Vorgang werde allerdings offline, also ohne Verbindung zum System der Klägerin, durchgeführt. Deshalb sei es besonders wichtig, dass der telefonische Autorisierungsvorgang nicht umgangen und insbesondere das Terminal während der Transaktion nicht dem Kunden übergeben werde. Über diese Problematik sei die Beklagte aus Anlass früherer betrügerischer Transaktionen von der Klägerin schon mehrmals aufgeklärt worden. Im konkreten Fall sei keine telefonische Genehmigung der Klägerin eingeholt worden, weshalb die Klägerin nach Gutschrift der vom Karteninhaber reklamierten Beträge ein Rückbelastungsrecht nach Z 10 Abs 10 AGB gegenüber dem Vertragsunternehmen habe. Auch sei die Beklagte in einem Mail vom 4. 10. 2011 aufgefordert worden, künftig bei sämtlichen Transaktionen über 1.000 EUR eine telefonische Genehmigung der Klägerin einzuholen. Die Transaktionen in der Filiale Vösendorf seien von Mitarbeitern der Beklagten insoweit unrichtig durchgeführt worden, als das Terminal nach Eingabe des PIN durch den Kunden nicht sofort „zurück gedreht“ worden sei und daher das Aufleuchten der Anweisung, die Klägerin anzurufen, von den Mitarbeitern der Beklagten nicht wahrgenommen worden sei.
Die Beklagte beantragte die Abweisung des Klagebegehrens. Ihre Mitarbeiter seien in allen Geschäftsfällen nach den mit der Klägerin vereinbarten vertraglichen Bedingungen vorgegangen und hätten keine Kreditkarte ohne Autorisierung durch die Klägerin akzeptiert.
Unstrittig ist folgender Sachverhalt:
Die Beklagte schloss mit der Klägerin jeweils einen Vertrag betreffend ihre Filialen in Vösendorf und Klagenfurt, Einkaufszentrum City Arkaden, in dem sich die Beklagte verpflichtete, in diesen Filialen die von der Klägerin ausgegebenen Kreditkarten als Zahlungsmittel zu akzeptieren, während sich die Klägerin verpflichtete, der Beklagten die bei diesen Transaktionen entstehenden Belastungsbeträge zu erstatten. Vertragsinhalt wurden die „Allgemeinen Bedingungen für Vertragspartner“ der Klägerin mit ua nachfolgenden Bestimmungen:
3. Zahlungszusage von [Klägerin]
(1) Sie werden gegenüber einem Karteninhaber keine unter Verwendung der Karte begründeten Forderungen für die von ihnen erbrachten Leistungen geltend machen, sondern diese Forderungen (im Folgenden auch „Belastungen‘) bei [Klägerin] durch Übersendung des vom Karteninhaber unterzeichneten Belastungsbeleges oder durch elektronische Übermittlung der entsprechenden Informationen zur Abrechnung einreichen. [Klägerin] verpflichtet sich, vorausgesetzt, Sie haben die Bestimmungen dieses Vertrages eingehalten, zur Zahlung des Betrages, in dessen Höhe der Karteninhaber Weisung zur Zahlung zulasten seines Kartenkontos erteilt hat (‚Belastungsbetrag‘). [...]
6. Rückbelastungen
(1) Ist eine der Akzeptanzbedingungen gemäß Ziffer 7 bzw. gemäß Ziffer 8 nicht erfüllt oder liegt gemäß Ziffer 10 für eine Belastung über der in Ziffer 10 Absatz 1 genannten Genehmigungsgrenze die erforderliche Genehmigung nicht vor, dürfen Sie die Karte nicht akzeptieren. [Klägerin] übernimmt für dennoch abgerechnete Belastungen keine Verpflichtung, auch nicht etwa bis zur geltenden Genehmigungsgrenze. Sollte [Klägerin] Ihnen solche Belastungen dennoch bezahlen, erfolgt die Bezahlung - auch wenn darauf im Einzelfall nicht besonders hingewiesen wird - unter Vorbehalt des Rückgriffrechts gegen den Vertragspartner in Höhe des gezahlten Betrages. [...]
7. Annahme der Karte bei persönlicher Anwesenheit des Karteninhabers
Ist der Karteninhaber persönlich an der Akzeptanzstelle anwesend, haben Sie die Karte unter Einhaltung der folgenden Bedingungen zu akzeptieren:
(1) Der Karteninhaber muss die Karte vorlegen.
(2) [...]
(a) Bei einer Chip-mit-PIN-Transaktion bitten Sie den Karteninhaber, seine PIN in das elektronische PIN-Pad (Kundenbedieneinheit) einzugeben. Sie müssen unsere Genehmigung gemäß Ziffer 10 einholen. Sofern eine Chip-mit-PIN-Transaktion wegen eines technischen Problems nicht durchgeführt werden kann (in diesem Fall zeigt das POS-Terminal eine Fehlermeldung an), muss die Transaktionen gemäß den Anweisungen für Magnetstreifen-Transaktionen erfolgen. Wenn die Chip-mit-PIN-Transaktion von uns abgelehnt wird, darf die Transaktion nicht durchgeführt [sic] und muss der Karteninhaber von Ihnen hierüber unverzüglich informiert werden.
(b) Im Falle einer Magnetstreifen-Transaktion oder Chip-mit-Unterschrift-Transaktion lassen Sie den vom POS-Terminal gedruckten Belastungsbeleg vom Karteninhaber unterzeichnen. Sie müssen unsere Genehmigung gemäß Ziffer 10 einholen. Falls eine Transaktion von uns abgelehnt wird, dürfen Sie diese nicht durchführen und müssen den Karteninhaber hierüber unverzüglich informieren. [...]
(4) Sie müssen alle Bestimmungen dieses Vertrages und die übrigen technischen Instruktionen, die wir Ihnen nach billigem Ermessen mitteilen, einhalten. Ziffer 26 findet insoweit Anwendung. [...]
(9) Die Person, welche die Karte vorlegt, muss die Person sein, deren Name auf der Vorderseite der Karte aufgeprägt ist.
10. Genehmigung von Belastungen durch [Klägerin]
(1) Sofern nicht anders vereinbart, sind Sie verpflichtet, vor jeder Belastung eine Genehmigung durch [Klägerin] für jede Kreditkartentransaktion einzuholen. Wenn Sie ein POS-Terminal (oder eine andere elektronische POS-Lösung) besitzen, hat die Einholung der Genehmigung auf elektronischem Weg zu erfolgen. Sofern Sie kein POS-Terminal besitzen, zwischen uns und Ihrem POS-Terminal keine Verbindung hergestellt werden kann oder Ihr POS Terminal den Magnetstreifen der Karte und den Chip nicht lesen kann, haben Sie die Genehmigung telefonisch bei dem Ihnen von uns angegebenen Genehmigungsdienst einzuholen. [...]
(10) Wir haben ein Rückbelastungsrecht bezüglich aller Belastungen, für die keine ordnungsgemäße Genehmigung eingeholt worden ist, für die kein Genehmigungscode erteilt wurde oder für die Sie den Genehmigungscode nicht ordnungsgemäß notiert haben.
17. Streitige Belastungen [...]
(2) Wenn wir Sie von einer streitigen Belastung in Kenntnis setzen, werden sie uns innerhalb von 14 Kalendertagen ab dem Zeitpunkt des Zuganges der Benachrichtigung Ihre Stellungnahme in Schriftform zukommen lassen. [...] Ihre Stellungnahme muss in jedem Fall substantiiert sein und eine Erklärung oder einen Lösungsvorschlag enthalten, der uns in die Lage versetzt, die streitige Belastung zu klären. Sollten wir innerhalb der vorstehenden Fristen keine solche Antwort erhalten, dürfen wir den gesamten Betrag an Sie rückbelasten. Auf die vorstehende Frist und die Rechtsfolgen bei Versäumung der Frist wird [Klägerin] Sie in der Benachrichtigung über die streitige Belastung hinweisen.
Im Herbst 2011 führte die Klägerin bei der Beklagten ein Betrugstraining durch. Dabei wurde der beklagten Partei empfohlen, bei Transaktionen über 1.000 EUR den Genehmigungsdienst der Klägerin anzurufen. Es wurde nicht darüber gesprochen, dass eine Missachtung dieser Empfehlung zu einem Rückbelastungsrecht der Klägerin führt. Aus einer der Beklagten übermittelten Broschüre geht nicht hervor, dass grundsätzlich bei Beträgen über 1.000 EUR der Genehmigungsdienst der Klägerin telefonisch kontaktiert werden soll.
Wird eine Zahlung mit einer Kreditkarte der Klägerin durchgeführt, sendet das POS Terminal automatisch eine Autorisierungsanfrage an die Klägerin. Sind in deren System keine besonderen Eintragungen (zB eine Sperre) betreffend die verwendete Kreditkarte vorhanden, wird die Transaktion automatisch genehmigt. Andernfalls scheint auf dem Terminal die Aufforderung „Telef. Autorisierung erforderlich!“ auf, und der Verkäufer muss den Genehmigungsdienst anrufen (im Fall einer Chip-mit-PIN Transaktion kommt es zu dieser Aufforderung erst nach Eingabe des PIN-Codes, falls die Autorisierung nicht automatisch erfolgt). Sollte die Genehmigung sodann telefonisch erteilt werden, wird eine Genehmigungsnummer bekannt gegeben. Wird diese in das Terminal eingegeben, scheint gleich wie bei einer automatischen Genehmigung die Zahlung als erfolgt auf. Der selbe Ablauf erfolgt jedoch auch dann, wenn nicht der Genehmigungsdienst angerufen wird und lediglich eine erfundene Genehmigungsnummer eingegeben wird, da zu diesem Zeitpunkt das Terminal offline ist.
Das Erstgericht gab dem Klagebegehren mit 1.892,09 EUR sA statt und wies das Mehrbegehren ab. Es traf zu den einzelnen noch streitanhängigen Geschäftsfällen folgende Feststellungen:
In der Filiale Vösendorf zahlte ein Mann im August 2012 mehrere Einkäufe am selben Tag mit einer PIN gestützten Kreditkarte der Klägerin. Eine Mitarbeiterin der Beklagten verlangte beim ersten Kauf einen Lichtbildausweis des Mannes; der Name stimmte mit jenem auf der Kreditkarte überein. Abgesehen davon, dass der Mann die Einkäufe einzeln nacheinander bezahlte, konnte die Mitarbeiterin kein auffälliges Verhalten feststellen. Nachdem die Mitarbeiterin die Kreditkarte in das POS-Terminal eingeführt hatte, erschien die Aufforderung, den PIN-Code einzugeben. Sodann drehte sie das Terminal zum Einkäufer, der den PIN Code eingab. Daraufhin erschien am Terminal der Hinweis „Telef. Autorisierung erforderlich!“. Der Einkäufer drehte das Terminal jedoch nicht zur Mitarbeiterin zurück, sondern bestätige selbst mir der Taste ‚ok“, dass eine Genehmigung eingeholt worden sei, und gab eine von ihm erfundene Genehmigungszahl in das Terminal ein. Daraufhin „schien die Transaktion als abgeschlossen auf“, und die Mitarbeiterin der Beklagten ging davon aus, dass die Zahlung ordnungsgemäß erfolgt sei. Tatsächlich war die Transaktion jedoch ohne Autorisierung durchgeführt worden. Der eben geschilderte Ablauf traf auf beide hier abgewickelten Geschäftsfälle zu, wobei die Mitarbeiterin nur beim ersten den Ausweis des Mannes kontrollierte. Die betreffenden Kreditkartenbelastungen zu diesen Vorgängen reichte die Beklagte bei der Klägerin ein und erhielt abzüglich des Serviceentgeltes insgesamt 3.153,48 EUR überwiesen. Nachdem der Karteninhaber diese Transaktionen reklamiert hatte, wurden ihm die Beträge wieder gutgeschrieben. In der Folge belastete die Klägerin das Vertragspartnerkonto der Filiale Vösendorf unter Gegenrechnung mit zwei weiteren Einreichungen, sodass ein Betrag von 2.339,62 EUR offen blieb.
Im November 2012 wurden in der Filiale der Beklagten Klagenfurt, City Arkaden, Zahlungen in Höhe von 2.176 EUR und 1.760 EUR mit einer Kreditkarte der Klägerin durchgeführt, die durch die Klägerin weder automatisch noch telefonisch genehmigt worden waren. Bei diesen Zahlungen erschien am Terminal ebenfalls der Hinweis, dass eine telefonische Autorisierung erforderlich sei. Der Karteninhaber reklamierte die Transaktion als betrügerisch, woraufhin ihm die Klägerin die Beträge wieder gutschrieb und das Vertragspartnerkonto der Filiale Arkaden mit dem Abrechnungsbetrag von 3.761,25 EUR rückbelastete. Weitere Feststellungen zum konkreten Zahlungsablauf bei diesen Geschäftsfällen wurden nicht getroffen.
Für die Mitarbeiter der Filialen gab es keine besonderen Schulungen zum Themenbereich „Sicherheit bei Kreditkartenzahlungen“. Durch Rundschreiben werden sie jedoch darauf hingewiesen, bei Zahlungen mit Kreditkarten den Ausweis zu verlangen und die Unterschriften zu kontrollieren. Den Mitarbeitern ist auch bewusst, dass sie das Kreditkarteninstitut anrufen müssen, sollte ein Problem bei der Zahlung auftreten. Die Beklagte gab ihren Mitarbeitern nicht die Anweisung, bei sämtlichen Transaktionen über 1.000 EUR den Genehmigungsdienst der Klägerin zu kontaktieren.
In rechtlicher Hinsicht ging das Erstgericht davon aus, eine Zahlungspflicht der Klägerin bestehe nur, wenn das Vertragsunternehmen die in den Geschäftsbedingungen festgelegten Sorgfaltspflichten einhalte. Dabei sei zwischen Chip mit Unterschrift Transaktionen und Chip mit PIN-Transaktionen zu unterscheiden. Bei Letzteren sei dem Karteninhaber das Terminal zur Eingabe des PIN-Codes zu überlassen. Sollte nach Eingabe des Codes eine telefonische Autorisierung nötig sein, könne dies der Kunde einfach umgehen, indem er eine erfundene Genehmigungszahl eingebe. Für einen Kassierer sei es praktisch nicht möglich zu überwachen, ob der Kunde nur den PIN-Code eingebe oder auch eine Genehmigungszahl. Demgemäß liege hinsichtlich der Filiale Vösendorf kein der Beklagten zuzurechnender Verstoß gegen die Sicherheits- und Abwicklungsrichtlinien der Klägerin vor. Hinsichtlich der Geschäftsfälle in der Filiale Arkaden hätten Feststellungen zu den genauen Zahlungsvorgängen nicht getroffen werden können, damit stehe ein der Beklagten zuzurechnender Sorgfaltsverstoß nicht fest. Die Beweislast für die Nichterfüllung oder mangelhafte Erfüllung von vertraglichen Pflichten treffe die Klägerin. Die bloße Empfehlung, bei allen Transaktionen über 1.000 EUR den Genehmigungsdienst zu kontaktieren, führe noch zu keiner rechtsgeschäftlichen Verpflichtung.
Das Berufungsgericht hob dieses nur in seinem klagsabweisenden Teil bekämpfte Urteil im bekämpften Umfang auf und verwies die Sache insoweit an das Erstgericht zur neuerlichen Verhandlung und Entscheidung zurück; es sprach aus, dass der Rekurs an den Obersten Gerichtshof zulässig sei, weil Rechtsprechung zur Frage der Sorgfaltsverletzung und der Beweislast bei Chip mit PIN Transaktionen fehle.
Typischer Inhalt des Vertrags zwischen Kreditkartengesellschaft und Vertragsunternehmen sei die Verpflichtung des Vertragsunternehmens, bestimmte Geschäfte mit Kreditkarteninhabern abzuschließen und für die Inanspruchnahme seiner Leistungen nicht sofortige Bezahlung durch den Kreditkarteninhaber zu fordern, sondern zunächst Bezahlung von der Kreditkartengesellschaft zu verlangen, sofern der Karteninhaber eine gültige Karte vorweise, die Rechnung des Vertragsunternehmens unterfertige und die Unterschriften auf Rechnung und Kreditkarte übereinstimmten. Die Unterfertigung der Rechnung des Vertragsunternehmens durch den Karteninhaber werde als konkrete Anweisung zur Zahlung an das Vertragsunternehmen beurteilt, die aufgrund der durch die Kreditkartengesellschaft vorweggenommenen Annahme zugleich eine abstrakte Zahlungspflicht der Kreditkartengesellschaft gegenüber dem Vertragsunternehmen entstehen lasse. Habe die Kreditkartengesellschaft die Forderung des Vertragsunternehmens (abzüglich des vereinbarten Disagio) beglichen, nehme sie beim Kreditkarteninhaber Rückgriff.
Die Zahlungspflicht der Kreditkartengesellschaft bestehe allerdings nur, wenn das Vertragsunternehmen bestimmte in den Geschäftsbedingungen festgelegte „Sorgfaltspflichten" bei Annahme der Kreditkarte einhalte. Zu diesen Sorgfaltspflichten gehörten die Überprüfung der Unterschriften auf Zahlungsbeleg und Kreditkarte auf ihre Übereinstimmung, die Prüfung der Gültigkeitsdauer der Karte und die Einholung einer Genehmigung der Kreditkartengesellschaft, wenn der Karteninhaber Umsätze über der vereinbarten Höchstgrenze (dem Zahlungslimit) tätigen wolle. Eine besondere Sorgfaltspflicht des Vertragsunternehmens könne sich weiters aus Warnhinweisen der Kreditkartengesellschaft sowie daraus ergeben, dass die Umstände bei Vorlage der Kreditkarte das Vertrauen auf den Anschein einer berechtigten Kreditkartenverwendung zerstörten.
Habe das Vertragsunternehmen seine in den AGB des Händlervertrags angeführten Sorgfaltspflichten erfüllt, trage die Kreditkartengesellschaft das Risiko eines Missbrauchs der Kreditkarte durch Dritte. Sie sei im Verhältnis zum sorgfältigen Vertragsunternehmen verpflichtet, auch den von einem nicht Berechtigten unterfertigten Rechnungsbeleg zu honorieren und dem Vertragsunternehmen Zahlung zu leisten. Sei der Vertragsunternehmer jedoch seinen vertraglichen Sorgfaltspflichten nicht nachgekommen, entstehe keine (abstrakte) Zahlungsverpflichtung der Kreditkartengesellschaft für den Fall, dass ein Dritter die Karte missbräuchlich verwende.
Zutreffend habe das Erstgericht die Empfehlung der Klägerin, bei Transaktionen über 1.000 EUR den Genehmigungsdienst der Klägerin anzurufen, nicht als technische Instruktion gemäß Punkt 7 Abs 4 der AGB beurteilt, deren Nichteinhaltung einen Sorgfaltsverstoß darstelle; eine bloße Empfehlung sei gerade keine bindende Instruktion, und deren Befolgung stehe dem Erklärungsempfänger frei, zumal bei einer Chip mit PIN Transaktion oder der Magnetstreifen-Transaktion nach Punkt 10 der AGB lediglich eine elektronische Genehmigung verpflichtend einzuholen sei.
Die erstgerichtlichen Feststellungen im Zusammenhang mit den Transaktionen in der Filiale Vösendorf reichten aber nicht aus, die Einhaltung der Sorgfaltspflichten bei der Einholung der Genehmigung zu beurteilen. Es fehlten insbesondere Feststellungen, warum der Käufer nach Eingabe des PIN-Codes Gelegenheit hatte, die Einholung der telefonischen Genehmigung zu bestätigen und einen erfundenen Genehmigungscode einzugeben. Das Erstgericht habe zu der im Rahmen der rechtlichen Beurteilung vertretenen Ansicht, für einen Kassierer sei es praktisch nicht möglich zu überwachen, ob der Kunde nur den PIN-Code eingebe oder auch den Genehmigungscode, keine konkreten Feststellungen dazu getroffen, wie lange es dauere, bis aufgrund der Eingabe des PIN-Code eine automatische Autorisierung erfolge, und welcher Zeitraum bei Ablehnung der Autorisierung und Aufforderung zur telefonischen Genehmigung sowie Manipulation durch den Kreditkartenbetrüger vergehe. Ohne entsprechende Feststellungen könne aber nicht beurteilt werden, ob das von der Klägerin ausdrücklich behauptete Erfordernis des sofortigen Zurückdrehens des Terminals nach Eingabe des PIN-Code tatsächlich unmöglich sei.
Was die Unaufklärbarkeit der Transaktionen betreffend die Filiale Klagenfurt, City Arkaden, angehe, sei davon auszugehen, dass die Klägerin lediglich das Unterlassen der Einholung der Genehmigung als Sorgfaltswidrigkeit nachweisen müsse. Nach Punkt 10 Abs 10 der festgestellten AGB habe die Klägerin ein Rückbelastungsrecht bezüglich aller Belastungen, für die keine ordnungsgemäße Genehmigung eingeholt worden sei. Das fehlende Verschulden, nämlich dass die unterlassene Genehmigungseinholung ohne Vorwurf eines Fehlverhaltens der Mitarbeiter der Beklagten erfolgte, habe gemäß § 1298 ABGB die Beklagte zu beweisen.
Darüber hinaus habe das Erstgericht die von der Rechtsprechung bisher nicht behandelte Frage einer allfälligen Sorgfaltsverletzung bei der Zahlung mittels PIN Codes mit den Parteien nicht erörtert, sodass der Beklagten im fortgesetzten Verfahren zur Vermeidung einer Überraschungsentscheidung Gelegenheit zu geben sei, ein entsprechendes konkretisiertes Vorbringen zu den Vorgängen rund um die berufungsgegenständlichen Kreditkartentransaktionen zu erstatten. Dies führe zur Aufhebung der Entscheidung im angefochtenen Umfang .
Rechtliche Beurteilung
Der Rekurs der Beklagten ist zulässig, aber nicht berechtigt.
Die Beklagte macht geltend, das Berufungsgericht habe die Frage der Beweislastverteilung unrichtig gelöst; nicht sie, sondern allein die Klägerin habe die Mittel, die genauen Tatumstände von Zahlungsvorgängen nachzuvollziehen, weshalb die Bestimmung des § 1298 ABGB hier nicht zur Anwendung komme. Ein grundsätzlicher von der Klägerin allein zu verantwortender Systemfehler liege darin, dass die Aufforderung „Telef. Autorisierung erforderlich!“ dadurch leicht umgangen werden könne, dass bei Eingabe eine Phantasiezahl die Transaktion wie eine korrekte aussehe, weil der Terminal offline gesetzt werde.
1.1. Der Oberste Gerichtshof hat sich bereits mehrfach mit den Rechtsbeziehungen zwischen den Beteiligten des Kreditkartengeschäfts sowie der Risikotragung im Fall eines Drittmissbrauchs befasst. Danach besteht der typische Inhalt des Vertrags zwischen der Kreditkartengesellschaft und den Vertragsunternehmen darin, dass sich das Vertragsunternehmen verpflichtet, bestimmte Geschäfte mit Kreditkarteninhabern abzuschließen und für die Inanspruchnahme seiner Leistungen nicht sofortige Bezahlung durch den Kreditkarteninhaber zu fordern, sondern zunächst Bezahlung von der Kreditkartengesellschaft zu verlangen, sofern der Karteninhaber eine gültige Karte vorweist, die Rechnung des Vertragsunternehmens unterfertigt und die Unterschriften auf Rechnung und Kreditkarte übereinstimmen (RIS-Justiz RS0032273).
1.2. Die Unterfertigung der Rechnung des Vertragsunternehmens durch den Karteninhaber wird als konkrete Anweisung zur Zahlung an das Vertragsunternehmen gewertet, die aufgrund der durch die Kreditkartengesellschaft vorweggenommenen Annahme zugleich eine abstrakte Zahlungspflicht der Kreditkartengesellschaft gegenüber dem Vertragsunternehmen entstehen lässt (RIS Justiz RS0121043). Hat die Kreditkartengesellschaft die Forderung des Vertragsunternehmens (abzüglich des vereinbarten Disagios) beglichen, nimmt sie beim Kreditkarteninhaber Rückgriff (6 Ob 2/07y mwN; 10 Ob 23/13z).
2.1. Die Zahlungspflicht der Kreditkartenge-sellschaft ist insofern eingeschränkt, als sie nur besteht, wenn das Vertragsunternehmen bestimmte, in den Geschäftsbedingungen festgelegte „Sorgfaltspflichten" bei Annahme der Kreditkarte einhält (RIS-Justiz RS0121043 [T1]). Zu diesen „Sorgfaltspflichten“ gehören die Überprüfung der Unterschriften auf Zahlungsbeleg und Kreditkarte auf ihre Übereinstimmung, die Prüfung der Gültigkeitsdauer der Karte und auch die Einholung einer Genehmigung der Kreditkartengesellschaft, wenn der Karteninhaber Umsätze tätigen will, die die vereinbarte Höchstgrenze (das Zahlungslimit) überschreiten (10 Ob 23/13z mwN). Eine besondere „Sorgfaltspflicht“ des Vertragsunternehmens kann sich auch aus Warnhinweisen der Kreditkartengesellschaft sowie daraus ergeben, dass die Umstände bei Vorlage der Kreditkarte das Vertrauen auf den Anschein einer berechtigten Kreditkartenverwendung zerstören (6 Ob 2/07y mwN).
2.2. Ist der Vertragsunternehmer seinen vertraglichen „Sorgfaltspflichten“ nicht nachgekommen, hat er es etwa unterlassen, die Übereinstimmung der Unterschriften entsprechend zu prüfen oder eine Rückfrage bei Überschreiten des Umsatzlimits vorzunehmen, oder hat er Umstände nicht beachtet, die ein begründetes Vertrauen auf den Anschein einer berechtigten Kreditkartenverwendung zerstören konnten, entsteht keine (abstrakte) Zahlungsverpflichtung der Kreditkartengesellschaft (RIS Justiz RS0121906).
3. Der Senat schließt sich den Grundsätzen dieser Rechtsprechung mit folgenden ergänzenden Überlegungen an:
3.1. Zum Zahlungsverkehr mit Kreditkarten bestehen keine eigenen zivilrechtlichen Regelungen. Die Verpflichtungen der Parteien ergeben sich daher sofern es sich wie hier im Verhältnis zwischen Kreditkartengesellschaft und Vertragsunternehmen um kein Konsumentengeschäft handelt im Einzelfall aus den zwischen ihnen abgeschlossenen Vereinbarungen, welche (je nach dem Inhalt der vereinbarten AGB) unterschiedlich ausgestaltet sein können.
3.2. Der referierten bisherigen Rechtsprechung lagen allein Sachverhalte zu Grunde, bei denen magnetstreifengestützte Transaktionen (automatische Genehmigung der Transaktion nach Durchziehen des Magnetstreifens der Kreditkarte am Terminal) durchgeführt worden sind. Im Anlassfall handelte es sich demgegenüber (zumindest in den die Filiale Vösendorf betreffenden Geschäftsfällen) um die Benützung von Kreditkarten in Form von Chip-mit-PIN-Transaktionen, bei denen die Eingabe eines PIN-Codes durch den Karteninhaber erforderlich ist.
3.3. Terminologisch ist klarzustellen, dass es sich bei dem von der Rechtsprechung verwendeten Begriff „Sorgfaltspflichten“ im Verhältnis zwischen Kreditkartengesellschaft und Vertragsunternehmen richtigerweise um bloße Obliegenheiten handelt. Die Sanktion, die aus der Nichteinhaltung der vertraglich vereinbarten „Pflichten“ des Vertragsunternehmens droht, ist das „Nichtentstehen“ eines Zahlungsanspruchs gegen die Kreditkartengesellschaft. Hat die Kreditkartengesellschaft dem Vertragsunternehmen irrtümlich dennoch Zahlung auf eine Nichtschuld geleistet, ist sie berechtigt, diese Leistung zu kondizieren, was im Wege der Aufrechnung problemlos erfolgen kann. Diese Rechtsfolgen sind ausreichend, um den Interessen des Vertragspartners, der Kreditkartengesellschaft, gerecht zu werden. Eine Pflicht, deren Verletzung das Vertragsunternehmen schadenersatzpflichtig macht, ist nicht statuiert ( Vogel , Missbrauch von Kreditkarten aus zivilrechtlicher Sicht, 54; ders Risikoverteilung bei Diebstahl oder Verlust der Kreditkarte, ÖBA 2001, 767, 768).
3.4. Begründen die AGB der Klägerin demnach keine schadenersatzpflichtig machenden Pflichten für das Vertragsunternehmen, bleibt entgegen der Auffassung des Berufungsgerichts für die Anwendung der Beweislastumkehr nach § 1298 ABGB kein Raum, zumal die Klägerin ihr Rückzahlungsbegehren nicht auf Schadenersatz, sondern auf das Nichtbestehen ihrer Zahlungspflicht gegenüber dem Vertragsunternehmen infolge Nichteinhaltens der vereinbarten Vorgangsweise bei Durchführung einer Kreditkarten-Transaktion gestützt hat.
4.1. Kernpunkt des hier zu entscheidenden Rechtsstreits ist die Frage der Verteilung des Risikos des Drittmissbrauchs einer Kreditkarte zwischen Kreditkartengesellschaft und Vertragsunternehmen bei Chip mit-PIN-Transaktionen und die Verteilung der Beweislast im Streitfall .
4.2. Der zwischen Kreditkartengesellschaft und Vertragsunternehmen bestehende Rahmenvertrag enthält regelmäßig vom Vertragsunternehmen zu erfüllende Obliegenheiten, deren Verletzung das „Nichtentstehen“ eines Zahlungsanspruchs gegen die Kreditkartengesellschaft zur Folge hat. Das Gesetz (§ 879 Abs 3 ABGB) verbietet gröbliche Benachteiligungen eines Vertragspartners in AGB oder Vertragsformblättern. Die dem Vertragsunternehmen auferlegten Obliegenheiten müssen demnach in einem ausgewogenen Verhältnis zur Rechtsposition des Kreditkartenunternehmens stehen.
4.3. Mit Taupitz (Zivilrechtliche Haftungsfragen bei Kartenmißbrauch nach österreichischem Recht, ÖBA 1997, 765, 769) ist davon auszugehen, dass das dem Kreditkartensystem immanente Risiko eines Missbrauchs durch Dritte in erster Linie vom Kartenherausgeber gesteuert werden kann, der die Kreditkarten verteilt und das Abfragesystem zur Verfügung stellt. Dem gegenüber hat der Vertragsunternehmer faktisch keine Möglichkeit, abgesehen von der Einhaltung ihn treffender Obliegenheiten, zur Sicherheit des Systems beizutragen, und geht ein erhebliches Risiko ein, wenn er die Karte als Zahlungsmittel akzeptiert. Denn anders als bei einem normalen Bargeschäft ist er im Kreditkartengeschäft zur Vorleistung verpflichtet und bekommt für seine Ware zunächst nur einen Zahlungsanspruch gegen den Kartenherausgeber. Aus dieser Interessenslage ist dem Vertragsunternehmen in jenen Fällen, in denen es trotz Einhaltung (oder nicht schuldhafter Nichteinhaltung) der ihm vertraglich überbundenen Obliegenheiten zu einem Mißbrauch kommt, im Wege der ergänzenden Vertragsauslegung des Rahmenvertrags ein Zahlungsanspruch gegen den Kartenherausgeber zuzubilligen.
4.4. Aus der dargestellten Interessenlage ist aber auch weiters abzuleiten, dass eine Verpflichtung des Kreditkartenunternehmens gegenüber den Kreditkarteninhabern und Vertragsunternehmen als seinen Vertragspartnern besteht, ein möglichst umgehungssicheres Kontrollsystem beim Kreditkartengeschäft einzurichten; allfällige Versäumnisse in diesem Zusammenhang gehen daher zu Lasten des Kartenherausgebers.
5.1. Im Anlassfall hat die Klägerin selbst eine gravierende Sicherheitslücke bei Chip-mit-PIN-Transaktionen aufgezeigt und vorgebracht, es bestehe die Gefahr einer Umgehung des Autorisierungssystems im Fall der Aufforderung zur telefonischen Autorisierung auf dem Bildschirm mit nachfolgender betrügerischer Eingabe eines erfundenen Genehmigungscodes am Terminal, der in dieser Phase offline geschaltet ist.
5.2. Im bisherigen Verfahren wurde mit den Parteien nicht erörtert, wann die Klägerin die im Verfahren aufgezeigte Sicherheitslücke erkannt und warum sie diese nicht schon längst leicht durch einfache technische Vorkehrungen (zB einen akkustischen Warnton bei Anzeigen des Bildschirms, der zur telefonischen Autorisierung auffordert) geschlossen hat. Von diesen Tatfragen hängt die Berechtigung des geltend gemachten Anspruchs ab: Hat nämlich die Klägerin ihr zur Kenntnis gelangende Sicherheitsprobleme ihres Systems nicht in angemessener Frist behoben und für den Zeitraum bis zur Behebung des Problems ihre Vertragspartner darüber nicht informiert und ihnen entsprechende Strategien zur Vermeidung von Betrügereien aufgezeigt und verpflichtend überbunden (sorgfältige Handhabung des Terminals; die AGB enthalten dazu keine Bestimmungen), wäre der von ihr hier verfolgte Anspruch betreffend die strittigen Geschäftsfälle der Filiale Vösendorf unbegründet, da systemimmanente Risiken wie zuvor in Punkt 4.4. ausgeführt jedenfalls von der Klägerin selbst zu tragen sind. Schon aus diesem Grund ist der aufhebenden Entscheidung des Berufungsgerichts nicht entgegenzutreten.
5.3. In der Frage der Beweislast teilt der Senat die Auffassung des Berufungsgerichts, dass die Klägerin nach allgemeinen Regeln zu beweisen hat, dass die Beklagte gegen eine ihr vertraglich überbundene Handlungsanweisung verstoßen hat (hier: keine Einholung einer Genehmigung der Klägerin entgegen Punkt 10. Abs 1 der AGB). Ist ihr dieser Beweis gelungen, hat sie die anspruchsbegründenden Umstände erwiesen (vgl RIS-Justiz RS0109832, RS0037797), da ihr ein Rückbelastungsrecht bezüglich aller Belastungen zusteht, für die keine ordnungsgemäße Genehmigung eingeholt worden ist.
5.4. In diesem Fall steht sodann allerdings dem beklagten Vertragsunternehmen der Entlastungsbeweis mangelnden Verschuldens offen. Dieser Beweis ist etwa dann erbracht, wenn feststeht, dass das von der Klägerin eingerichtete System eine dem Vertragsunternehmen im Zeitpunkt des strittigen Zahlungsvorgangs unbekannte Sicherheitslücke aufgewiesen hat, weshalb es dem Vertragsunternehmen auch bei Einhaltung der objektiv gebotenen Sorgfalt nicht möglich war zu erkennen, damals gegen eine ihm vertraglich überbundene Handlungsanweisung (hier: Einholung einer Genehmigung zur Kreditkartentransaktion) verstoßen zu haben. In diesem Zusammenhang ist betreffend die Vorgänge in der Filiale Vösendorf insbesondere aufklärungsbedürftig, auf Grund welcher Umstände die Kreditkartentransaktionen für die Mitarbeiterin der Beklagten als “abgeschlossen” aufschienen, wie das Erstgericht ohne nähere Erläuterung festgestellt hat.
5.5. Für eine von der Klägerin geforderte Beweislastumkehr aus dem Gedanken der Nähe zum Beweis (vgl RIS-Justiz RS0040182) besteht im Anlassfall auch deshalb kein Anlass, weil die Beklagte schon nach Punkt 17. Abs 2 der AGB verpflichtet ist, die Klägerin im Fall von strittigen Belastungsbuchungen über den Sachverhalt so weit aufzuklären, dass diese in die Lage versetzt wird, die streitige Belastung zu klären. Die Klägerin befindet sich damit sofern ihre Vertragspartnerin diese ihr auferlegte Obliegenheit erfüllt in keinem Beweisnotstand über Umstände in der Sphäre ihrer Vertragspartnerin. Unterlässt aber die Beklagte ihre Mitwirkung an der Aufklärung eines strittigen Buchungsvorgangs (welcher Beweis von der Klägerin leicht zu führen sein wird), hat sie gegen eine ihr vertraglich überbundene Handlungsanweisung verstoßen und muss sich schon aus diesem Grund die entsprechende Rückbelastung gefallen lassen.
5.6. Ausdrücklich geteilt wird vom Senat die Auffassung der Vorinstanzen, dass die in einem Mail an die Beklagte enthaltene Empfehlung der Klägerin, bei Transaktionen über 1.000 EUR den Genehmigungsdienst der Klägerin anzurufen, keine verbindliche Obliegenheit der Beklagten bei Abwicklung von Zahlungsvorgängen mit Kreditkarten der Klägerin begründet hat; schon die Bezeichnung als Empfehlung verbietet es, dieser Verhaltensanweisung verbindlichen Charakter zuzuerkennen.
6. Der Kostenvorbehalt beruht auf § 52 Abs 1 zweiter Satz ZPO.