Im Urteil 4A_386/2016 vom 5. Dezember 2016 hatte das Bundesgericht die Haftung einer Bank zu prüfen. Es war folgender Sachverhalt zu beurteilen: C, ein amerikanischer Paralegal-Angestellter einer amerikanischen Anwaltskanzlei, unterhielt seit längerem eine Kundenbeziehung zu einer Schweizer Bank B. Die spärliche Korrespondenz mit B erfolgte jeweils per E-Mail über den Hotmail-Account von C. Am 15. Dezember 2011 teilte C der Bank mit, dass ein Zahlungseingang auf sein Konto bevorsteht und er beabsichtige, dieses Geld langfristig auf dem Konto zu belassen. Hiernach gelang es Hackern ("pirates"), das Hotmail-Konto von C zu "knacken", so dass diese mit der E-Mail-Adresse von C Nachrichten verschicken sowie an C geschickte E-Mails abfangen konnten. Die Hacker traten in der Folge mit B in Kontakt, ohne dass deren Angestellte bemerkten, dass sie in Tat und Wahrheit nicht mit C korrespondierten. In der Folge wiesen die Hacker B auf diese Weise an, diverse Transaktionen, allesamt sechsstellige Beträge an ausländische Empfänger, auszuführen und plünderten so das Konto von C.
Das Bundesgericht bejahte die Haftung der Bank. In Bezug auf die bankseitigen Prüfungspflichten der Legitimation führte es folgendes aus: Eine Bank müsse die Echtheit einer ihr zugegangenen Zahlungsanweisung lediglich vor dem Hintergrund der zwischen der Bank und dem Bankkunden vereinbarten Modalitäten prüfen. Grundsätzlich hat sie nicht systematisch unautorisierte Aufträge zu vermuten. Banken sind hingegen verpflichtet, zusätzliche Abklärungen vorzunehmen, sofern ernsthafte Indizien einer Fälschung vorliegen, wenn ein Auftrag nicht ein vertraglich vereinbartes oder übliches Geschäft betrifft oder wenn besondere Umstände den Verdacht einer Fälschung aufkommen lassen (vgl. BGE 132 III 449).
Vorliegend betrachtete das Bundesgericht die unautorisierten Transaktionen unter fünf Aspekten als ungewöhnlich: (i) Anders als in der vorangegangenen Korrespondenz wurde in den E-Mails der Hacker ein fehlerhaftes Englisch verwendet. (ii) Die Empfänger der Transaktionen waren allesamt ausserhalb der Schweiz und der USA domiziliert. (iii) Im Verhältnis zur Höhe des Kontostandes und mit Blick auf die von C kundgetanen Absichten waren von den Überweisungen auffallend grosse Beträge betroffen. (iv) Die Hacker machten nur lückenhafte Ausführungen zu den Hintergründen der Transaktionen. (v) Entgegen den bisherigen Anweisungen von C haben die Hacker eine zeitliche Dringlichkeit vorgeschoben.
Das Bundesgericht kam deshalb zum Schluss, dass diese Verdachtsmomente die B hätten dazu veranlassen müssen, zusätzliche Abklärungen zu treffen. Indem dies unterlassen wurde, handelte sie grobfahrlässig. In Übereinstimmung mit der Vorinstanz stellte das Bundesgericht fest, dass B in der Lage gewesen wäre, die ungewöhnlichen Umstände zu erkennen. Die Andersartigkeit der Mitteilungen der Hacker sowie die vorliegenden Konstellationen (wie die Höhe des Bankguthabens, die Höhe der Transaktionen, die Adressaten der Überweisungen und die der Bank bekannten Absichten des Bankkunden) begründen bei Unterlassung der Abklärungspflichten ein sorgfaltswidriges Verhalten von B. Angesichts dieser Umstände verneinte das Bundesgericht eine Mitverschulden von C. Daran vermochte auch die Tatsache nichts zu ändern, dass C zur Aufbewahrung seiner elektronischen Bankunterlagen und für die Korrespondenz mit der Bank sein Hotmail-Konto verwendete.
Kommentar: Eine Bank kann für nicht autorisierte Transaktionsanweisungen lediglich dann haftbar gemacht werden, wenn sie bei ihrem Verhalten die nötige Sorgfalt ausser Acht lässt. Dies ist namentlich dann der Fall, wenn die Aufträge unter Berücksichtigung sämtlicher Umstände als ungewöhnlich erscheinen, wobei Abweichungen von den bisherigen Gepflogenheiten sowie die Höhe des Vermögens und der angewiesenen Überweisungen sowie das Verhalten des Auftraggebers (Sprache, Vorwand der Dringlichkeit) im Vordergrund dieser "Ungewöhnlichkeitsprüfung" stehen.