OGH 8Ob121/24p

Spruch:

Der Revision wird nicht Folge gegeben.

Die beklagte Partei ist schuldig, der klagenden Partei binnen 14 Tagen die mit 2.769,72 EUR (darin 461,62 EUR Umsatzsteuer) bestimmten Kosten des Revisionsverfahrens zu ersetzen.

Entscheidungsgründe:

[1] Die in Frankreich ansässige, im Metallhandel tätige Klägerin schloss als Verkäuferin mit der in Österreich ansässigen Beklagten als Käuferin einen Vertrag über die Lieferung von Titanspänen nach Schweden zu einer Tochterfirma der Beklagten ab. Die Lieferung wurde durchgeführt. Die Klägerin stellte Rechnungen über insgesamt 84.607,60 EUR aus, erhielt aber keine Zahlung. Die Parteien vereinbarten im Rahmen einer auf das Handelsgericht Wien (Erstgericht) lautenden Gerichtsstandsvereinbarung, „dass das Gericht seiner Entscheidung österreichisches Recht zu Grunde zu legen hat“.

[2] Auf den Rechnungen der Klägerin war deren Konto FR7* bei der Bank C* angegeben. Die zuständige Mitarbeiterin der Beklagten, T* B*, versuchte, den Betrag auf dieses Konto zu überweisen, das System wies allerdings eine Fehlermeldung aus. Auf Nachfrage von T* B* bestätigte die zuständige Mitarbeiterin der Klägerin, G* G*, dass es sich um die richtige Kontonummer handelt, und übermittelte per E-Mail zur entsprechenden Bestätigung einen RIB (Relevé d‘Identité Bancaire), der ebenfalls die auf den Rechnungen angegebene Kontonummer enthielt.

[3] Kurze Zeit später erhielt T* B* eine E‑Mail von einer fremden dritten Person, in der sie aufgefordert wurde, den Betrag auf ein Konto bei der D* einzuzahlen. Die E-Mail erweckte den Anschein, von G* G* zu stammen. Da der in der E-Mail angegebene Empfänger nicht mit dem Namen der Klägerin übereinstimmte, fragte T* B* per E‑Mail nach, welcher Empfänger der Richtige sei. Sie erhielt als Antwort, dass es unerheblich sei, welchen Empfängernamen sie bei der Überweisung eingebe. Aufgrund einer erneuten Fehlermeldung forderte T* B* erneut einen RIB an, woraufhin ihr per E-Mail ein gefälschter RIB übermittelt wurde, der eine andere Kontonummer der D* enthielt.

[4] Die Beklagte nahm die Überweisung vor, das Geld wurde ihr jedoch rücküberwiesen. Es konnte nicht festgestellt werden, was der Grund hierfür war.

[5] T* B* erhielt eine weitere E‑Mail, in welcher erklärt wurde, dass ein Fehler unterlaufen und daher die Rücküberweisung des Betrags veranlasst worden sei. In der gleichen E-Mail wurde eine Kontonummer der Bank I*, IBAN BE0*, angegeben und die Beklagte zur Zahlung auf dieses Konto aufgefordert. Sie führte die Überweisung auf dieses Konto (erfolgreich) durch.

[6] Sämtliche dieser E‑Mails erweckten den Anschein, von G* G* zu stammen, wurden jedoch von einer fremden dritten Person im Zuge eines Cyberangriffs versendet. Es konnte nicht festgestellt werden, ob sich dieser Cyberangriff in der Sphäre der Klägerin oder der Beklagten ereignete.

[7] T* B* versuchte während dieser Zeit mehrmals, die Klägerin telefonisch zu erreichen, es kam aber kein telefonischer Kontakt zustande. Auf den E-Mail‑Account der Mitarbeiterin G* G* hat nur diese Zugriff.

[8] Die Klägerin begehrt den Zuspruch von 84.607,60 EUR samt Zinsen. Ihr Zahlungsanspruch sei unbeglichen. Es sei nicht ihr E-Mail-Konto, sondern das IT‑System der Beklagten gehackt worden. Diese sei Opfer eines Betrugs geworden, sie habe mit einer völlig fremden Person, welche offenbar missbräuchlich den Namen der Mitarbeiterin der Klägerin G* G* verwendet habe, kommuniziert. Gemäß § 907a ABGB treffe die Beklagte die Gefahr für das Unterbleiben der Gutschrift von Zahlungsbeträgen auf dem auf den Rechnungen angeführten Konto. Die Klägerin habe der Beklagten nie ein anderes Konto bekannt gegeben.

[9] Die Beklagte beantragte die Abweisung der Klage. Gemäß § 907a ABGB sei eine Geldschuld auf ein vom Gläubiger bekanntgegebenes Bankkonto zu überweisen; die Beklagte habe dem durch die Überweisung auf das aus ihrer Sicht unzweifelhaft von G* G* bekannt gegebene Konto entsprochen. Es sei das E-Mail-Konto der Klägerin gehackt worden. Die Beklagte habe die Korrespondenz im Glauben, diese finde mit G* G*, der zuständigen Mitarbeiterin der Klägerin, statt, tatsächlich mit einer fremden Person geführt. Das erfolgte sogenannte „E-Mail-Spoofing“ sei möglich gewesen, weil das Simple Mail Transfer Protocol (SMTP), das Hauptprotokoll zum Verschicken von E-Mails, keinen Authentifizierungs-Mechanismus gehabt habe. Die Klägerin habe eine entsprechende – von der Beklagten näher ausgeführte – Vorsichtsmaßnahme nicht getroffen. Dadurch habe sich jeder mit ausreichenden Kenntnissen mit dem Server verbinden und darüber Nachrichten verschicken können und sei es Betrügern möglich gewesen, manipulierte E-Mails zu verschicken. Es seien Senderbefehle in den Header eingesetzt worden, die die Nachrichtinformationen so modifiziert hätten, dass die Beklagte davon ausgegangen sei, dass sie tatsächlich von der Klägerin stammten. Die Beklagte habe schuldbefreiend geleistet, weil sie zu keinem Zeitpunkt an der Richtigkeit der vorgenommen Überweisung bzw der von der (glaublich) Klägerin bekanntgegebenen Kontoinformationen zweifeln habe müssen. Sie sei nicht in Frankreich situiert und habe keine Einsichtmöglichkeiten in die interne Struktur der Klägerin. Sie habe alle ihr zumutbaren Sorgfaltspflichten eingehalten.

[10] Das Erstgericht gab dem Klagebegehren vom eingangs ersichtlichen Sachverhalt ausgehend statt. Rechtlich gelangte es zum Ergebnis, die Beklagte habe nie auf ein Konto der Klägerin eingezahlt. Die Beklagte trage gemäß § 907a Abs 2 letzter Satz ABGB das Risiko des Verlusts des Geldbetrags, soweit die Ursache dafür nicht beim Bankinstitut des Gläubigers liege.

[11] DasBerufungsgericht bestätigte dieses Urteil.

[12] Dass entgegen dem Antrag der Beklagten in erster Instanz kein Sachverständigengutachten aus dem EDV-Wesen zur Frage, in wessen Sphäre die IT-Sicherheitslücke einzuordnen sei, eingeholt worden sei, könnte, weil das Erstgericht nicht festzustellen vermochte, in welcher Sphäre sich der Cyberangriff ereignete, zwar grundsätzlich einen – von der Beklagten in der Berufung auch gerügten – Stoffsammlungsmangel darstellen. Da Feststellungen dazu, in welcher Sphäre die unbekannten Täter Zugang zur E‑Mail- Korrespondenz zwischen den Parteien erlangten, für die Frage, ob die Beklagte bereits schuldbefreiend gezahlt hat, nicht entscheidungswesentlich seien, komme dem Stoffsammlungsmangel jedoch keine Relevanz zu.

[13] Rechtlich vertrat das Berufungsgericht im Wesentlichen die Ansicht, die Klägerin habe ihre Bankverbindung nicht iSd § 907a Abs 1 letzter Satz ABGB geändert, da ihr das betrügerische Verhalten der unbekannten Dritten nicht zuzurechnen sei. Aus dem Wortlaut der Bestimmung könne daher keine Änderung der Gefahrtragung abgeleitet werden. Darüber hinaus hätte sich durch die Bekanntgabe einer anderen europäischen Kontoverbindung auch das Risiko nicht erhöht. Da der Gesetzgeber im Zuge der Schaffung des § 907a Abs 1 letzter Satz ABGB die vormals in § 905 Abs 2 zweiter Satz ABGB aF angesiedelte Regelung über die mit einer nachträglichen Änderung des Gläubigersitzes bewirkte Erhöhung der Gefahr und der Kosten übernommen und lediglich um den Fall einer Änderung der Bankverbindung erweitert habe, sei nicht davon auszugehen, dass er auch für andere „Gefahren“ bzw „Risiken“, wie etwa Phishing oder Spoofing, im Falle eines Sorgfaltsverstoßes eine Änderung der Gefahrtragung herbeiführen habe wollen. Dass die Klägerin in Anbetracht des erfolgten Mail-Spoofing und der damit verbundenen Fehlüberweisung weiterhin die Zahlung des Kaufpreises begehre, verstoße auch nicht gegen die guten Sitten. Es würde zudem die vertragliche Sorgfaltspflicht des Vertragspartners überspannen, müsste er – um allfällige rechtswidrige Eingriffe in sein Computer- bzw E-Mail-System zu verhindern – stets alle „theoretisch möglichen“ Maßnahmen ergreifen. Dass es sich bei der von der Beklagten vorgetragenen technischen Maßnahme um eine allgemein übliche bzw dem technischen Standard entsprechende handelte, habe die Beklagte nicht vorgebracht. In welcher Sphäre sich der „Cyberangriff“ zutrug, sei daher nicht entscheidungswesentlich. Die an unbekannte Dritte getätigte Zahlung sei nicht schuldbefreiend gewesen, sodass die Klägerin zu Recht nochmals die Zahlung fordere.

[14] Das Berufungsgericht ließ die ordentliche Revision nach § 502 Abs 1 ZPO mit der Begründung zu, es fehle höchstgerichtliche Rechtsprechung zur Frage, ob die Änderung der Gefahrtragung nach § 907a Abs 1 letzter Satz ABGB auch bei anderen, in der Bestimmung nicht explizit genannten Gefahrenerhöhungen eintritt, sowie zur Frage, ob die Forderung des Kaufpreises gegen die guten Sitten verstößt, wenn dieser nur deswegen nicht schuldbefreiend gezahlt wurde, weil aufgrund von Sicherheitsmängeln im Bereich der Gläubigerin Mail‑Spoofing ermöglicht wurde.

[15] Gegen das Berufungsurteil richtet sich die nur der Bezeichnung nach auch aus dem Grunde des § 503 Z 2 ZPO, dem Inhalt nach aber nur aus jenem des § 503 Z 4 ZPO erhobene Revision der Beklagten mit einem auf Klageabweisung gerichteten Abänderungsantrag.

[16] Die Klägerin beantragt in ihrer Revisionsbeantwortung die Zurückweisung des Rechtsmittels, hilfsweise diesem den Erfolg zu versagen.

Rechtliche Beurteilung​

[17] Die Revision ist zur Klarstellung der Rechtslage zulässig, aber nicht berechtigt.

[18] I. Die Klägerin rügt als Mangelhaftigkeit des Berufungsverfahrens, dass das Berufungsgericht ihrer mit der Nichteinholung eines Sachverständigengutachtens in der Berufung begründeten Verfahrensrüge mangels Entscheidungsrelevanz den Erfolg versagte.

[19] Hält das Berufungsgericht eine Feststellung aus rechtlichen Gründen für nicht entscheidungswesentlich und hat es deshalb eine gegen diese Feststellung gerichtete Beweis- oder Mängelrüge nicht behandelt, also im Ergebnis die bekämpfte Feststellung mangels Relevanz nicht übernommen, so begründet seine unrichtige Ansicht keinen Verfahrensmangel iSd § 503 Z 2 ZPO, sondern einen mit Rechtsrüge nach § 503 Z 4 ZPO geltend zu machenden Feststellungsmangel, den der Oberste Gerichtshof bei gesetzmäßig ausgeführter Rechtsrüge in der Revision auch von Amts wegen aufgreifen muss (Lovrek in Fasching/Konecny, Zivilprozessgesetze3 IV/1 [2019] § 503 ZPO Rz 71 mwN). Dass hier das Berufungsgericht die sich gegen die negative Feststellung darüber, in wessen Sphäre sich der Cyberangriff ereignete, wendende Verfahrensrüge mangels Entscheidungsrelevanz der negativen Feststellung nicht als berechtigt ansah, ist daher allein im Rahmen der Erledigung der – gesetzmäßig ausgeführten – Rechtsrüge der Beklagten einer Prüfung zu unterziehen.

[20] II. In der Rechtsrüge vertritt die Beklagte im Wesentlichen die Ansicht, § 907a ABGB sei dahin auszulegen respektive qua Analogie zu erweitern, dass der Gläubiger jedenfalls die Gefahr des Verlustes einer Leistung trage, wenn der Verlust in welcher Weise auch immer von ihm beeinflusst worden sei. Dies sei hier – ausgehend von der Richtigkeit der unter Beantragung eines Sachverständigengutachtens aufgestellten Tatsachenbehauptung der Beklagten über die Ermöglichung des Tätigwerdens des betrügerischen Dritten durch einen EDV-Mangel in der Sphäre der Klägerin – der Fall.

[21] Zunächst ist – wegen der vorliegenden Rechtswahl auf Grundlage des österreichischen Zivilrechts – aber auf die Frage einzugehen, ob eine der Klägerin zurechenbare Aufforderung zu der letztlich erfolgten Überweisung des Kaufpreises auf das Betrügern zuzurechnende Konto vorliegt. Diesfalls hätte die Beklagte die Forderung nämlich wirksam durch Überweisung auf dieses erfüllt (§ 1412 ABGB).

[22] II.1. Zunächst ist festzuhalten, dass die Klägerin selbst keine Erklärung abgegeben hat, die Beklagte solle auf jenes Konto einzahlen. Die betreffende Aufforderung stammte ja von den Betrügern.

[23] II.2. Der Klägerin ist die betreffende Aufforderung auch nicht über die Rechtsfigur der Erklärungsfahrlässigkeit zuzurechnen (dazu statt vieler Schickmaier in Fenyves/Kerschner/Vonlich, Klang3 [2022] § 861 Rz 19 mwN; vgl auch P. Bydlinski, Glosse zu 2 Ob 107/08m in ÖBA 2009, 460 [461]). Bei E-Mails besteht nämlich die Möglichkeit deren qualifizierter elektronischer Signatur. Diese dient dem Zweck der (sicheren) Zuordnung des Dokuments zu einem bestimmten Unterzeichner (Haglmüller, Elektronische Signatur, in RDB Keywords² [2024]; eingehend Brenn, Signaturgesetz [1999] 17 und 22). Kann aus Verschulden des Berechtigten ein anderer dessen qualifizierte elektronische Signatur benützen, könnte es als sachgerecht angesehen werden, dem Berechtigten über die Rechtsfigur der Erklärungsfahrlässigkeit die vom Anderen abgegebene Erklärung zuzurechnen (so P. Bydlinski, Allgemeiner Teil des Bürgerlichen Rechts¹⁰ [2024] Rz 6/42). Bei einer E‑Mail ohne qualifizierte elektronische Signatur („einfache E-Mail“) kann man aber nur (allenfalls) „mit einiger Wahrscheinlichkeit“ von der Identität des Anderen ausgehen (ErläutRV 1999 BlgNR 20. GP  24; vgl auch ErläutRV 1145 BlgNR 25. GP  7 ff), somit gerade nicht – zumindest ohne Weiteres – darauf vertrauen, dass die E‑Mail tatsächlich von jenem stammt, unter dessen Namen sie abgesendet wurde (Freudenthaler, Die Giroüberweisung beim Online Banking [2009] 147). Es überspannte die allgemeinen Anforderungen, verlangte man von Verwendern gewöhnlicher E-Mails, dass diese ihre EDV-Systeme durch stets aktuelle Schutzprogramme absichern, nur um sicherzustellen, dass kein Hacker unter missbräuchlicher Verwendung von deren Identität, somit in deren Namen, E-Mails versendet. Wer eine nicht qualifiziert elektronisch signierte E-Mail erhält, kann sich – der Grundkonzeption des Signatur- und Vertrauensdienstegesetzes (SVG) entsprechend – auch gerade nicht sicher sein, dass die E-Mail von jenem stammt, von dem sie zu stammen scheint. Damit scheidet hier eine Zurechnung der Aufforderung des betrügerischen Dritten zur Einzahlung auf ein bestimmtes Konto qua Erklärungsfahrlässigkeit jedenfalls aus. Ob fahrlässiges Verhalten im Sinne einer Erklärungsfahrlässigkeit überhaupt eine vertragliche Bindung bewirken kann, wie es von der Lehre mitunter angenommen wird, kann hier somit dahingestellt bleiben.

[24] II.3. Letztlich kommt auch keine Bindung der Klägerin an die Erklärung des unberechtigt Handelnden nach – weit verstandenen – allgemeinen Rechtsscheingrundsätzen in Betracht (vgl P. Bydlinski, Glosse zu 2 Ob 107/08m in ÖBA 2009, 460 ff). Für eine solche wäre nämlich, wie aus Rechtsprechung und Literatur zur auf Rechtsscheingrundsätzen beruhenden, allgemein anerkannten Rechtsfigur der Anscheinsvollmacht ersichtlich, jedenfalls Voraussetzung, dass die Beklagte gutgläubig war und deshalb von einer Zurechnung der Kontobekanntgabe des Dritten an die Klägerin ausgehen hätte dürfen; nach völlig herrschender Auffassung zur Anscheinsvollmacht wird nämlich durch diese immer nur das gutgläubige Vertrauen auf den Anschein durch den Dritten geschützt (vgl RS0020331; RS0020145 [T6]; RS0019609 [T10]; Welser/Kletečka, Bürgerliches Recht¹⁵ I [2018] Rz 654; P. Bydlinski in KBB7 [2023] § 1029 Rz 6 iVm 9 uva). Geben die Umstände bei gehöriger Aufmerksamkeit Zweifel an der Vertretungsmacht, so muss in Erfüllung der eigenen Diligenzpflicht beim Geschäftsherrn nachgefragt werden (8 Ob 93/12b [Pkt 4.2.]; P. Bydlinski aaO Rz 9). Die Beklagte agierte hier – was ihre Gutgläubigkeit ausschließt – aber (zumindest leicht) fahrlässig: Die fremde dritte Person hat ihr für die Überweisung einen von der Klägerin verschiedenen Empfängernamen genannt. Wenngleich dieser für die Banküberweisung unerheblich ist – wie ihr auch auf Nachfrage von der fremden dritten Person bestätigt –, hätte ihr dies merkwürdig erscheinen müssen. Außerdem wurde von ihr verlangt, den Geldbetrag auf ein Bankkonto eines deutschen und anschließend eines belgischen Kreditinstituts zu überweisen, obwohl das ursprünglich auf den Rechnungen angegebene Konto zu einem französischen Kreditinstitut gehörte. Unternehmer haben zwar mitunter mehrere Bankverbindungen in unterschiedlichen Ländern. Da im gegenständlichen Fall unterschiedliche Konten genannt worden sind, obwohl die Mitarbeiterin der Klägerin zunächst das ursprüngliche Konto bestätigte, fällt es der Beklagten aber zur Last, nicht abermals (mit Erfolg) mit der zuständigen Mitarbeiterin der Klägerin telefonischen Kontakt aufgenommen zu haben.

[25] Eine wirksame Willenserklärung der Klägerin (Aufforderung zur Einzahlung auf das betreffende Konto) im Wege der Zurechnung der fremden dritten Person scheidet aus den genannten Gründen aus.

[26] III. Es gilt daher auf die Frage der Gefahrtragung einzugehen.

[27] Nach ständiger Rechtsprechung ist die Rechtswahl des österreichischen Rechts ohne Kundgabe eines dahingehenden Abwahlwillens nicht als – wegen Art 6 UN‑Kaufrecht grundsätzlich möglicher (Verschraegen in Rummel/Lukas/Geroldinger, ABGB4 [2023] Art 3 Rom I‑VO Rz 31; Eckert/Nicolussi in Laimer, IPR‑Praxiskommentar [2024] Art 3 Rom I‑VO Rz 26 und 29) – (konkludenter) Ausschluss des UN-Kaufrechts zu werten, weil dieses als Bestandteil des vereinbarten österreichischen Rechts auch von dieser Verweisung erfasst wird und im Rahmen seines Anwendungsbereichs dem sonst zur Anwendung kommenden unvereinheitlichten Recht vorgeht (RS0113574 [T1]; 10 Ob 4/12d [Pkt 1.2]). Im vorliegenden Fall ist aber zu beachten, dass die Streitteile nach ihrer Rechtswahl im Rahmen der Gerichtsstandsvereinbarung im Prozess übereinstimmend nur zum ABGB ausführten, woraus sich – jedenfalls im Anwaltsprozess – konkludent ergibt, dass ihre Rechtswahl nur das nationale österreichische Recht im engeren Sinne – somit unter Ausschluss des UN‑Kaufrechts – erfassen soll. Zumal eine Rechtswahl auch nach einer früheren anderslautenden Rechtswahl möglich ist (Art 3 Abs 2 Satz 1 Rom I‑VO), und dies auch noch während eines anhängigen Verfahrens und auch konkludent (RS0040169 [T3]; 3 Ob 43/23d [Rz 11]; Musger in KBB⁷ [2023] Art 3 Rom I‑VO Rz 6; Eckert/Nicolussi in Laimer, IPR‑Praxiskommentar [2024] Art 3 Rom I‑VO Rz 35), ist der Oberste Gerichtshof hieran gebunden.

[28] Die Frage der Gefahrtragung ist daher nicht nach Art 57 UN-Kaufrecht, sondern nach § 907a ABGB zu beantworten. Es gilt zu prüfen, ob diese Vorschrift – allenfalls im Wege der Analogie – die Gefahr für einen Fall wie den gegenständlichen dem Gläubiger oder dem Schuldner aufbürdet.

[29] III.1. Nach § 907a Abs 1 Satz 1 ABGB ist eine Geldschuld am Wohnsitz oder an der Niederlassung des Gläubigers zu erfüllen, indem der Geldbetrag dort übergeben oder auf ein vom Gläubiger bekanntgegebenes Bankkonto überwiesen wird. Haben sich nach der Entstehung der Forderung der Wohnsitz oder die Niederlassung des Gläubigers oder dessen Bankverbindung geändert, so trägt nach Abs 1 Satz 2 der Vorschrift der Gläubiger eine dadurch bewirkte Erhöhung der Gefahr und der Kosten für die Erfüllung.

[30] III.2. Bei Geldschulden muss der Schuldner den geschuldeten Betrag auf ein vom Gläubiger bekannt gegebenes Konto überweisen, es handelt sich nach § 907a Abs 1 Satz 1 ABGB um eine Bringschuld (3 Ob 104/16i [Rz 2.1]; 1 Ob 124/21y [Rz 10]). Daher trägt der Schuldner auch die mit dem Geldtransfer verbundene Gefahr (Stabentheiner in Fenyves/Kerschner/Vonkilch, Klang³ [2017] § 907a ABGB Rz 20). Von diesem Grundkonzept macht das Gesetz auf den ersten Blick zwei Ausnahmen: Gemäß § 907a Abs 1 Satz 2 ABGB trägt der Gläubiger die Verzögerungs- und Verlustgefahr, sofern er nach Entstehung der Forderung die Bankverbindung geändert und sich damit die Gefahr erhöht hat (Zöchling-Jud, Die Neuregelung der Geldschuld im ABGB – Schlusspunkt einer 150‑jährigen gemeinsamen deutsch-österreichischen Rechtsentwicklung, in FS Schilken [2015] 167 [180]; Stabentheiner aaO Rz 21). Nach § 907a Abs 2 Satz 3 ABGB trägt der Gläubiger außerdem auch dann die Gefahr, wenn die Gutschrift auf dem Konto des Gläubigers unterbleibt oder sie sich verzögert, sofern die Ursache beim Bankinstitut des Gläubigers liegt.

[31] III.3. Der Oberste Gerichtshof hat sich mit der Gefahrtragung nach § 907a ABGB in Bezug auf die Banküberweisung – welche erst im Rahmen des Zahlungsverzugsgesetzes (ZVG) in das ABGB eingefügt wurde (Art 1 § 4 BGBl I 2010/58) – bisher lediglich in 3 Ob 104/16i befasst. Nach dieser Entscheidung trifft das in den Materialien genannte plakative Beispiel (Verlegung der Bankverbindung zu einem Bankinstitut auf die Cayman Islands) keine Aussage darüber, ob § 907a Abs 1 Satz 2 ABGB nicht auch Fälle einer Verzögerungsgefahr umfasst, die bei Bekanntgabe einer verkehrsüblichen neuen Bankverbindung auftreten können. Eine in diesem Sinn maßgebliche Gefahrenerhöhung könnte nach dem 3. Senat etwa dann vorliegen, wenn dem Schuldner die Änderung der Kontoverbindung knapp vor dem Fälligkeitstag mitgeteilt wurde und er die für die Durchführung der Überweisung zuständige Abteilung seines Unternehmens seinerseits noch informieren muss. Demgegenüber besteht keine Verzögerungsgefahr, wenn die verkehrsübliche neue Bankverbindung so rechtzeitig bekannt gegeben wurde, dass der Schuldner noch problemlos disponieren konnte.

[32] III.4. Während bei der Änderung des Wohnorts die Gefahrtragung bereits in § 905 Abs 2 ABGB aF (eingefügt durch die III. TN, vgl § 100 RGBl 1916/69) dem Gläubiger aufgebürdet wurde, ist durch das ZVG in § 907a ABGB die Änderung des Bankkontos neu eingefügt worden (Art 1 § 4 BGBl I 2010/58). Die Gesetzesmaterialien führen als Begründung an, dass damit ein zusätzliches Erschwernis einhergehen kann (ErläutRV 2111 BlgNR 24. GP  14; allgemein zum Gesetzwerdungsprozess Stabentheiner, Die Neuregelung der Geldschuld durch das Zahlungsverzugsgesetz, JBl 2013, 205).

[33] III.5. Eine Änderung der Bankverbindung iSd § 907a Abs 1 Satz 2 ABGB kommt nur in Betracht, wenn sie der Gläubiger selbst vornimmt. Bereits der im Wortlaut der Bestimmung zum Ausdruck kommende Konnex zur Änderung des Wohnsitzes oder der Niederlassung spricht dafür, dass ein Tun des Gläubigers auch für die Änderung der Bankverbindung erforderlich ist. Das legen auch die Gesetzesmaterialien nahe, die von einer Erweiterung des § 907a Abs 1 S 2 ABGB im Vergleich zu § 905 Abs 2 ABGB aF um die Änderung der Bankverbindung sprechen und die vom Gläubiger vorgenommene Verlegung seines inländischen Bankkontos auf die Cayman Islands als Beispiel anführen (ErläutRV 2111 BlgNR 24. GP  14). Bei der Gefahrtragung nach § 907a Abs 1 Satz 2 ABGB geht es somit um Fälle, in denen der Gläubiger den Erfüllungsort ändert. Davon bewirkte Gefahren hat er zu tragen. Das vom Gesetzgeber gewählte Bringschuldkonzept – das die Gefahr dem Schuldner aufbürdet (vgl dazu Stabentheiner in Fenyves/Kerschner/Vonkilch, Klang³ [2017] § 907a ABGB Rz 20) – wird also durchbrochen, wenn die Gefahr von einem Tun des Gläubigers ausgeht. Auch in der Literatur werden offenbar unter dem Gesichtspunkt der Änderung der Bankverbindung ausschließlich Fälle angesprochen, in denen der Gläubiger selbst die Änderung vornimmt (vgl Stabentheiner aaO Rz 21 f; Reischauer in Rummel/Lukas, ABGB4 [2014] § 907a Rz 20; Kietaibl/Ladler in Kletečka/Schauer, ABGB-ON1.05 [2023] § 907a Rz 21). Nimmt der Gläubiger die Änderung der Bankverbindung nicht selbst vor, scheidet die Anwendung von § 907a Abs 1 Satz 2 ABGB sohin aus.

[34] III.6. Für eine analoge Anwendung auf Fälle, bei denen eine dem Gläubiger nicht zurechenbare dritte Person interveniert, mangelt es an der planwidrigen Lücke des Gesetzes (vgl zu dieser als Voraussetzung für eine Analogie allgemein RS0008866). Der Gesetzgeber hat bewusst das Bringschuldkonzept vorgesehen und damit dem Schuldner die Gefahrtragung aufgebürdet. Lediglich in bestimmten Fällen wie der nachträglichen Änderung der Bankverbindung durch den Gläubiger wurde davon eine Ausnahme vorgesehen. Diese kann allerdings nicht im Wege der Analogie beliebig erweitert werden, da es sich bei der Zuweisung der Gefahrtragung um eine Wertungsentscheidung des Gesetzgebers handelt. Eine Vergleichbarkeit zum explizit im Gesetz genannten Ausnahmefall besteht in einem Fall wie dem vorliegenden nicht, da kein aktives Tun des Gläubigers im Sinn des Gesetzes vorliegt. Auch geht die Vorschrift des § 907a ABGB, wenn sie in ihrem Abs 1 Satz 2 für den Fall, dass sich nach der Entstehung der Forderung der Wohnsitz oder die Niederlassung des Gläubigers oder dessen Bankverbindung geändert haben, eine dadurch bewirkte Erhöhung der Gefahr und der Kosten für die Erfüllung dem Gläubiger überträgt, davon aus, dass der Gläubiger seinen Wohnsitz, seine Niederlassung oder seine Bankverbindung wissentlich geändert hat. Somit kann der Rechtsgedanke des Abs 1 Satz 2 zumindest so lange keine Anwendung finden, wie der Gläubiger selbst nichts von der Änderung der Kontodaten weiß (vgl zur parallelen deutschen Vorschrift des § 270 Abs 3 BGB Frank-Fahle/Morstadt, Mail-Spoofing im internationalen Zahlungsverkehr – Ansprüche und vertragliche Schutzmaßnahmen, AW‑Prax 2017, 204 ff).

[35] III.7. Das Berufungsgericht geht daher richtigerweise davon aus, dass eine Erweiterung der Gefahrtragung nach § 907a ABGB im Wege der Analogie um Fälle des „E-Mail-Spoofing“ zulasten des Gläubigers selbst im Falle einer Fahrlässigkeit desselben nicht in Betracht käme, weshalb es für die Prüfung der Klageforderung – eine auf Schadenersatz gestützte Gegenforderung hat die Beklagte nicht eingewendet – keiner Klärung dessen bedurfte, in wessen Sphäre sich der Cyberangriff ereignete und ob gegebenenfalls die Klägerin (Gläubigerin) diesen fahrlässig ermöglichte. Dass in der deutschen Literatur zu § 270 BGB zum Teil – insofern kann auf die Darstellung im Berufungsurteil verwiesen werden – eine über den Wortlaut hinausgehende Gefahrtragung durch den Gläubiger vertreten wird, ändert an all dem nichts.

[36] III.8. Selbst unter der Annahme, dass sich der Cyberangriff in der Sphäre der Klägerin ereignet hätte und dass diese ihn mit ihr zumutbaren Maßnahmen verhindern hätte können, erweist sich daher deren Rechtsstandpunkt, von der Beklagten dennoch Zahlung verlangen zu dürfen, als zutreffend.

[37] IV. Wie das Berufungsgericht richtigerweise ausführt, kann die Ausübung eines an sich bestehenden Rechts sittenwidrig sein (RS0016740). Dafür bestehen allerdings hohe Hürden (vgl RS0026271), die ein Fall wie der gegenständliche jedenfalls nicht nimmt. Insbesondere kann bei der Forderung des Entgelts durch die Klägerin aus einem erfüllten Vertrag nicht davon die Rede sein, dass ihr einziges Interesse darin bestehe, der Beklagten Schaden zuzufügen. Die Forderung des Entgelts durch die Klägerin ist daher auch nicht als sittenwidrig einzustufen.

[38] V. Die der Klage stattgebenden Entscheidungen der Vorinstanzen waren daher zu bestätigen.

[39] Die Kostenentscheidung gründet sich auf §§ 41, 50 ZPO. Leistungen eines österreichischen Rechtsanwalts für einen ausländischen Unternehmer unterliegen nicht der österreichischen Umsatzsteuer. Sie gelten als am Ort des Empfängers erbracht (Empfängerlandprinzip) und unterliegen jener Umsatzsteuer, die dort, wo der Empfänger sein Unternehmen betreibt, zu entrichten ist. Dabei unterliegen anwaltliche Leistungen innerhalb der EU dem Normalsteuersatz (RS0114955 [T1 und T2]). Dieser beträgt in Frankreich – was auch aufgrund der regelmäßigen Veröffentlichung der Mehrwertsteuersätze in den EU‑Mitgliedstaaten durch die Europäische Union und die Wirtschaftskammer Österreich im Internet als allgemein notorisch anzusehen ist – aktuell 20 %.