Retsudvalget 2020-21
REU Alm.del
Offentligt
2354865_0001.png
H ØJESTERE TS D OM
afsagt fredag den 26. februar 2021
Sag BS-10923/2020-HJR
(2. afdeling)
A
(advokat Ole Steen Christensen)
mod
Ekspres Bank A/S
(advokat Anders Ørgaard)
og
Sag BS-10925/2020-HJR
A
(advokat Ole Steen Christensen)
mod
Bank Norwegian AS
(advokat Anders Ørgaard)
I tidligere instanser er afsagt domme af Retten i Horsens den 4. april 2019 (BS-
31040/2018-HRS og BS-31031/2018-HRS) og dom af Vestre Landsrets 14. afde-
ling den 10. december 2019 (BS-16404/2019-VLR og BS-16406/2019-VLR).
I pådømmelsen har deltaget fem dommere: Jon Stokholm, Poul Dahl Jensen,
Henrik Waaben, Lars Hjortnæs og Kristian Korfits Nielsen.
Sagen er behandlet skriftligt, jf. retsplejelovens § 387.
REU, Alm.del - 2020-21 - Endeligt svar på spørgsmål 666: Spm. om retstilstanden, hvis der er optaget lån i en andens navn med forfalskede lønsedler, til justitsministeren
2
Påstande
Appellanten, A, har i begge sager nedlagt påstand om stadfæstelse af byrettens
dom.
Indstævnte, Ekspres Bank A/S, har nedlagt påstand om stadfæstelse af landsret-
tens dom, subsidiært at A skal betale et mindre beløb end tilkendt af landsret-
ten.
Indstævnte, Bank Norwegian AS, har nedlagt påstand om stadfæstelse af lands-
rettens dom, subsidiært at A skal betale et mindre beløb end tilkendt af lands-
retten.
Supplerende oplysninger
NemID er en sikkerhedsløsning, som kan bruges til netbank, offentlige og pri-
vate hjemmesider samt til digital underskrift. NemID administreres af Nets
DanID A/S, som har fastsat ”Regler
for NemID til netbank og offentlig digital
signatur”.
Af disse regler fremgår bl.a.:
”3.2
Opbevaring af bruger-id, adgangskode og nøglekort/nøgleviser/nøgleapp
Du skal være opmærksom på, at du;
skal opbevare dit bruger-id, din adgangskode, dit nøglekort/din
nøgleviser/din pinkode til din nøgleapp sikkert og forsvarligt, så
andre ikke kan få adgang til at bruge dem
ikke må oplyse din adgangskode dine nøgler eller din pinkode til
din nøgleapp eller overlade dit nøglekort/din nøgleviser til andre
ikke må scanne dit nøglekort, indtaste dine nøgler på eksternt me-
dium eller på anden måde digitalisere eller kopiere nøglerne
ikke må skrive din adgangskode/din pinkode til din nøgleapp ned
ikke må opbevare adgangskoden sammen med dit nøglekort/din
nøgleviser eller på den mobile enhed, hvor din nøgleapp er instal-
leret eller skrive adgangskoden på dit nøglekort/din nøgleviser
kun må installere din nøgleapp på din egen mobile enhed.
3.3 Sikkerhed ved brug
Du skal sikre, at
dit bruger-id, din adgangskode og dit nøglekort/din nøglevi-
ser/din nøgleapp kun bruges af dig selv og i overensstemmelse
med reglerne
andre ikke får mulighed for at aflure din adgangskode eller pin-
kode, når du indtaster den
REU, Alm.del - 2020-21 - Endeligt svar på spørgsmål 666: Spm. om retstilstanden, hvis der er optaget lån i en andens navn med forfalskede lønsedler, til justitsministeren
3
du bruger NemID på en enhed, hvor operativsystem, internet-
browser og øvrige programmer løbende bliver opdateret med de
seneste sikkerhedsopdateringer
Du skal løbende kontrollere, at du ikke har mistet dit nøglekort/din
nøgleviser/din mobile enhed, hvor nøgleapp’en er installeret, og at
NemID ikke er blevet misbrugt. Du kan for eksempel vælge at få regi-
streret, hvor du bruger NemID i ”Hændelseslog” i selvbetjeningsløsnin-
gen på www.nemid.nu og her løbende kontrollere, at NemID kun har
været brugt hos tjenesteudbydere, som du selv har besøgt.”
Retsgrundlag
Spørgsmålet om retsvirkningerne ved anvendelse af digital signatur er behand-
let i betænkning nr. 1456/2004 om e-signaturs retsvirkninger. I betænkningen
side 104 ff. er anført bl.a. følgende om, hvornår en signaturindehaver vil hæfte
på aftaleretligt grundlag eller vil være erstatningsansvarlig i anledning af tred-
jemands uberettigede brug af vedkommendes digitale signatur:
”7.4.
Uberettiget brug af andres digitale signatur
7.4.2. Udvalgets vurdering af gældende ret
Det klare udgangspunkt i dansk ret er, at man ikke bliver aftaleretligt
forpligtet af en erklæring, der uberettiget afgives i ens navn (falsk) eller
ændres efter afgivelsen (forfalskning). Falsk og forfalskning kan gøres
gældende som ugyldighedsgrund også over for en løftemodtager i god
tro. Et løfte binder med andre ord kun den, der har afgivet det, eller
som har givet en anden fuldmagt til at afgive det.
Der kan dog rent undtagelsesvist tænkes at opstå situationer, hvor den
pågældende uanset falsk eller forfalskning bliver aftaleretligt forpligtet,
nemlig i tilfælde, hvor den pågældende har foretaget en handling eller
undladelse, som af løftemodtageren kan opfattes som indforståelse med
at være bundet. Den, der ikke i rimeligt omfang søger at modvirke, at
andre afgiver falske eller forfalskede erklæringer i sit navn, kan endvi-
dere efter omstændighederne herved tænkes at pådrage sig erstatnings-
ansvar over for den, der i god tro modtager og stoler på sådanne erklæ-
ringer. I sammenhæng hermed er det omdiskuteret, i hvilket omfang
der i relation til falske/forfalskede erklæringer gælder en reklamations-
pligt.
Disse almindelige aftaleretlige regler gælder også for aftaler, retshand-
ler eller meddelelser, som uberettiget underskrives med en andens digi-
REU, Alm.del - 2020-21 - Endeligt svar på spørgsmål 666: Spm. om retstilstanden, hvis der er optaget lån i en andens navn med forfalskede lønsedler, til justitsministeren
4
tale signatur. Certifikatindehaveren vil således som altovervejende ho-
vedregel ikke være bundet af en erklæring, som er afgivet af en tredje-
mand, der uberettiget har fået adgang til den private nøgle. Det er prin-
cipielt uden betydning for den aftaleretlige bundethed, om certifikatin-
dehaveren reklamerer over for modtageren af erklæringen, altså giver
denne meddelelse om, at der foreligger falsk.
Det er mere uklart, hvornår en certifikatindehavers handlinger, der sæt-
ter tredjemand i stand til at identificere sig som certifikatindehaveren,
vil kunne tages som udtryk for en tilkendegivelse fra certifikatindeha-
veren om, at den pågældende tredjemand udstyres med en bemyndi-
gelse til at disponere på certifikatindehaverens vegne. Om der er tale
om et fuldmagtsforhold, må således i første række bero på en nærmere
fortolkning af aftaleforholdet mellem certifikatindehaveren og den per-
son, som uberettiget benytter den digitale signatur. Den blotte overgi-
velse af den private nøgle med tilhørende adgangskode til en anden an-
tages næppe i sig selv at indebære, at den pågældende herved får fuld-
magt eller i øvrigt kan anses som legitimeret til at indgå aftaler på certi-
fikatindehaverens vegne. Der skal formentlig mere til, f.eks. at den ube-
rettigede bruger i forvejen er fuldmægtig for certifikatindehaveren, eller
at certifikatindehaveren ved sin adfærd har givet tredjemand (modtage-
ren) grund til at tro, at der foreligger et fuldmagtsforhold, f.eks. ved at
hovedmanden accepterer, at en person optræder på en sådan måde, at
tredjemand får indtryk af, at den pågældendes dispositioner binder ho-
vedmanden. Der vil i praksis normalt være tale om tilfælde, hvor der
består et vist interessefællesskab mellem hovedmanden og mellemman-
den, f.eks. i form af ægteskab, forretningsforbindelse eller ansættelses-
forhold.
Under alle omstændigheder kan spørgsmålet om, hvorvidt en certifikat-
indehavers adfærd vil bevirke en retlig forpligtelse over for godtroende
løftemodtagere, ikke afgøres uden en samlet vurdering af det samlede
hændelsesforløb, herunder kendskab til, hvilke oplysninger den enkelte
løftemodtager måtte have været i besiddelse af om forholdet mellem
certifikatindehaveren og den, der (uberettiget) har afgivet løftet ved
brug af den digitale signatur.
Hvis den private nøgle er kompromitteret som følge af certifikatindeha-
verens egen uagtsomhed, og certifikatindehaveren ikke efterfølgende
sørger for at få spærret sin signatur, vil dette efter omstændighederne
kunne indgå i den samlede vurdering af, om certifikatindehaveren bli-
ver aftaleretligt forpligtet. Manglende spærring vil således efter om-
stændighederne kunne medføre, at certifikatindehaveren anses for at
REU, Alm.del - 2020-21 - Endeligt svar på spørgsmål 666: Spm. om retstilstanden, hvis der er optaget lån i en andens navn med forfalskede lønsedler, til justitsministeren
5
have givet besidderen af den private nøgle, der uhindret får mulighed
for fortsat at anvende denne, fuldmagt hertil. Der skal dog formentlig
temmelig meget til, og navnlig må det formentlig kræves, at certifikat-
indehaveren har viden om, at den private nøgle er kompromitteret.
Spørgsmålet om, hvorvidt en certifikatindehaver pådrager sig
erstat-
ningsansvar
ved at foretage handlinger eller undladelser, som bevirker,
at en anden ved at benytte certifikatindehaverens private nøgle påfører
andre tab, må afgøres efter almindelige erstatningsretlige principper.
Der må foretages en afvejning af de konkrete omstændigheder, hvor
der især må ses på, hvor høj grad af uagtsomhed certifikatindehaveren
har udvist, og i hvilket omfang modtageren af den falske meddelelse
indså eller burde have indset, at aftalen, retshandlen eller meddelelsen
var falsk.
En certifikatindehavers overladelse af sin private nøgle med tilhørende
adgangskode til tredjemand vil således efter omstændighederne være
erstatningspådragende, hvis overladelsen har gjort det muligt for tred-
jemanden at misbruge nøglen, og misbruget i øvrigt medfører et (adæ-
kvat) tab for løftemodtageren.
7.4.3. Udvalgets overvejelser om behovet for lovregler
Udvalget finder, at dansk rets almindelige regler og principper, således
som de er beskrevet i nr. 7.4.2, giver tilfredsstillende muligheder for at
løse de problemer, der kan opstå ved andres uberettigede brug af digi-
tale signaturer.
Ligesom ved papirbaserede underskrifter må det klare udgangspunkt
på tilsvarende måde ved digitale signaturer antages at være, at man
ikke bliver bundet af erklæringer, som andre uberettiget afgiver i ens
navn.
Dansk rets almindelige regler giver efter udvalgets opfattelse også til-
fredsstillende muligheder for, at domstolene i konkrete tilfælde kan
modificere dette udgangspunkt, når der den enkelte sags omstændighe-
der giver grundlag herfor. Således må det i overensstemmelse med al-
mindelige aftaleretlige principper antages, at en certifikatindehaver ef-
ter omstændighederne vil kunne blive bundet af tredjemands uberetti-
gede dispositioner under anvendelse af den digitale signatur, hvis certi-
fikatindehaveren ved sin adfærd uagtsomt har muliggjort eller lettet
REU, Alm.del - 2020-21 - Endeligt svar på spørgsmål 666: Spm. om retstilstanden, hvis der er optaget lån i en andens navn med forfalskede lønsedler, til justitsministeren
2354865_0006.png
6
tredjemands misbrug af signaturen, og der som følge af certifikatinde-
haverens adfærd ud fra en konkret vurdering må antages at være etab-
leret et fuldmagtsforhold mellem certifikatindehaveren og den, der ube-
rettiget bruger den digitale signatur, eller hvis certifikatindehaveren ef-
terfølgende godkender dispositionen.
Udvalget finder derfor ikke grundlag for at foreslå indførelse af særlige
lovregler for anvendelsen af digitale signaturer med henblik på gennem
lovbestemmelser at søge at regulere, hvilken adfærd der vil kunne føre
til, at certifikatindehaveren bliver forpligtet i tilfælde af, at tredjemand
misbruger en digital signatur. Efter udvalgets opfattelse afgøres så-
danne spørgsmål både ved digitale signaturer og ved andre kommuni-
kationsformer som udgangspunkt mest hensigtsmæssigt af domstolene
på grundlag af en konkret vurdering af den enkelte sags omstændighe-
der mv.
Udvalget har endvidere overvejet, om der bør indføres særlige lovreg-
ler om certifikatindehaverens pligt til at spærre certifikatet og virknin-
gen af, at den pågældende undlader dette, selv om certifikatindehave-
ren ved eller bør vide, at den private nøgle er kompromitteret.
Som det fremgår af nr. 7.4.2, må det antages, at certifikatindehaveren ef-
ter dansk rets almindelige erstatningsregler efter omstændighederne
kan pådrage sig erstatningsansvar ved at undlade at spærre certifikatet,
selv om certifikatindehaveren ved eller bør vide, at den private nøgle er
kompromitteret. Udvalget finder, at disse spørgsmål mest hensigts-
mæssigt afgøres af domstolene ud fra en konkret vurdering af den en-
kelte sags omstændigheder mv. på grundlag af dansk rets almindelige
formueretlige regler og principper, og at der ikke er behov for at foreslå
lovregler herom.
I den forbindelse finder udvalget, at den almindelige regel i erstatnings-
ansvarslovens § 24 giver tilfredsstillende muligheder for i særlige til-
fælde at lempe
certifikatindehaverens erstatningsansvar.”
Anbringender
A har anført navnlig, at hun ikke har handlet uagtsomt i forbindelse med, at
hendes samlever B misbrugte hendes NemID til at optage lån.
Misbruget er sket via en tablet, som alene hun og B brugte. Hun må på et tids-
punkt have accepteret, at hendes brugernavn og adgangskode blev gemt på
tabletten, og B har herved fået kendskab til disse oplysninger. Han har herefter
uden hendes vidende taget hendes nøglekort fra hendes pung og affotograferet
det med en mobiltelefon.
REU, Alm.del - 2020-21 - Endeligt svar på spørgsmål 666: Spm. om retstilstanden, hvis der er optaget lån i en andens navn med forfalskede lønsedler, til justitsministeren
2354865_0007.png
7
NemID-systemet er kendetegnet ved en tofaktorgodkendelse, hvor der skal be-
nyttes en adgangskode og et nøglekort for at få adgang. Oplysningerne på ta-
bletten var således uden betydning, hvis brugeren ikke også besad nøglekortet.
Opbevaringen af nøglekortet i hendes pung udgjorde en tilstrækkelig sikker op-
bevaring.
B har på alle måder forhindret hende i at få oplysning om misbruget. Han har
sørget for, at hun ikke fik adgang til familiens postkasse. Han har slettet beske-
der fra kreditorerne i hendes e-Boks, ændret mailadviseringerne i e-Boksen og
ændret hendes NemKonto til hans konto og tilbage igen.
Straks hun blev bekendt med misbruget den 22. marts 2017, ændrede hun ko-
den til sit NemID og gennemgik familiens computere og mobiltelefoner for at
undersøge, om adgangskoden var gemt på andet udstyr end den tablet, B
havde anvendt til misbruget. Hun kontaktede straks gennem sin daværende
advokat de långivere, hvor B havde optaget lån, således at misbruget ikke
kunne fortsætte. Hun har således straks gjort, hvad der var muligt for at hindre
fortsat misbrug.
Enhver må have en berettiget forventning om, at ens ægtefælle eller samlever
ikke misbruger de personlige oplysninger, som en ægtefælle eller samlever alt
andet lige nemmere kan skaffe sig end en person uden for husstanden. Kravet
til at statuere uagtsomhed må derfor være større, når der er tale om en nærtstå-
endes misbrug, end hvis der er tale om en person uden for husstanden.
Hun har ikke udleveret sine NemID-oplysninger til B eller opbevaret oplysnin-
gerne på en skødesløs måde.
Ekspres Bank og Bank Norwegian har anført navnlig, at indehaveren af et
NemID kan blive forpligtet over for løftemodtageren ved aftaler, der uberettiget
indgås af tredjemand under anvendelse af vedkommendes NemID, hvis inde-
haveren har opbevaret sine NemID-oplysninger uforsvarligt. Det gælder særligt
i tilfælde, hvor indehaveren uagtsomt har gjort sine oplysninger tilgængelige
for tredjemand, og hvor indehaveren var opmærksom herpå uden at rette op på
forholdet.
A har i over et år gjort sit brugernavn og sin adgangskode til sit NemID tilgæn-
gelig for B. Oplysningerne var gemt på en fælles tablet, der var frit tilgængelig i
parrets fælles hjem, og som B ofte anvendte. Det udgjorde i sig selv en sådan
grad af uagtsomhed, at hun hæfter på aftaleretligt grundlag over for bankerne.
Det forhold, at A tog skridt til at forhindre yderligere misbrug, da hun fik kend-
skab til de uretmæssigt indgåede låneaftaler, ændrer ikke herpå. Det er As
og
REU, Alm.del - 2020-21 - Endeligt svar på spørgsmål 666: Spm. om retstilstanden, hvis der er optaget lån i en andens navn med forfalskede lønsedler, til justitsministeren
8
ikke bankernes
risiko, at B uberettiget indgik låneaftalerne ved anvendelse af
hendes digitale signatur.
A burde og kunne ved almindelig agtpågivenhed have konstateret det omfat-
tende identitetsmisbrug på et langt tidligere tidspunkt end i marts 2017, hvor B
selv gik til bekendelse. Hun kontrollerede ikke løbende, at hendes NemID kun
var blevet anvendt af hende selv, hvilket man er forpligtet til efter reglerne for
NemID. Hun var ikke opmærksom på, at nøglerne til hendes nøglekort udløb
langt tidligere, end hvad der burde have været muligt ved hendes egen anven-
delse af nøglekortene. Hun burde have fattet mistanke til det omfattende identi-
tetsmisbrug, da hun ikke kunne få adgang til parrets fælles postkasse i over et
år.
A er efter en konkret vurdering af det samlede hændelsesforløb aftaleretligt for-
pligtet over for bankerne som følge af betydelig uagtsomhed.
Hvis Højesteret finder, at A ikke hæfter på aftaleretligt grundlag, må hun under
alle omstændigheder ifalde et erstatningsansvar over for bankerne. Hun hand-
lede groft uagtsomt ved at gøre oplysninger om sin digitale signatur tilgænge-
lige. De øvrige erstatningsbetingelser er også opfyldt. Hun er derfor forpligtet
til at dække bankernes tab svarende til de enkelte, udbetalte lånebeløb.
Højesterets begrundelse og resultat
As samlever optog i 2016-2017 en række lån, herunder i august 2016 et lån hos
Bank Norwegian AS og i januar 2017 to lån hos Ekspres Bank A/S. Låneafta-
lerne blev indgået i As navn ved brug af hendes NemID.
Sagen angår, om Ekspres Bank og Bank Norwegian kan rejse krav mod A i an-
ledning af låneoptagelsen. Spørgsmålet er, om hun hæfter for lånene på aftale-
retligt grundlag eller eventuelt er erstatningsansvarlig.
Højesteret har i kendelser af 8. januar 2019 (UfR 2019.1192 og UfR 2019.1197),
der angik tilfælde, hvor NemID-indehaveren havde udleveret sine NemID-op-
lysninger til tredjemand, taget stilling til, hvornår indehaveren hæfter for et lån
på aftaleretligt grundlag, selv om underskriften ikke er tilføjet digitalt af inde-
haveren selv. Højesteret fastslog, at afgørelsen af, om en NemID-indehaver bli-
ver aftaleretligt forpligtet i tilfælde af, at tredjemand misbruger indehaverens
digitale signatur, må træffes på grundlag af en konkret vurdering af det sam-
lede hændelsesforløb. I vurderingen indgår bl.a., under hvilke omstændigheder
tredjemand er kommet i besiddelse af indehaverens nøgle (brugernavn, ad-
gangskode og nøglekort til NemID), om indehaveren har haft kendskab til, at
tredjemand er kommet i besiddelse af de pågældende oplysninger, og om inde-
haveren har gjort, hvad der var muligt for at forhindre misbrug, f.eks. ved at
spærre sit NemID så hurtigt som muligt.
REU, Alm.del - 2020-21 - Endeligt svar på spørgsmål 666: Spm. om retstilstanden, hvis der er optaget lån i en andens navn med forfalskede lønsedler, til justitsministeren
9
Højesteret lægger som ubestridt til grund,
at
As samlever optog lånene hos Ek-
spres Bank og Bank Norwegian uden hendes vidende og accept,
at
samleveren
var kommet i besiddelse af hendes nøglekortoplysninger ved at tage hendes
nøglekort fra hendes pung og fotografere det,
at
han havde fået adgang til hen-
des brugernavn og adgangskode via familiens fælles tablet, hvor disse oplys-
ninger var lagret, og
at
han havde udfoldet betydelige bestræbelser på at skjule
misbruget af hendes NemID, bl.a. ved at ændre indstillinger i hendes e-Boks, så
hun ikke modtog adviseringer fra kreditorerne, ved løbende at slette meddelel-
ser fra långivere i hendes e-Boks og ved i forbindelse med udbetaling af lånebe-
løbene at ændre hendes NemKonto til sin egen konto for derefter at ændre den
tilbage igen.
Efter en samlet vurdering af hændelsesforløbet finder Højesteret ligesom byret-
ten, at A ikke har udvist en sådan grad af uagtsomhed, at hun i forhold til
Ekspres Bank og Bank Norwegian hæfter for låneoptagelserne på aftaleretligt
grundlag. Det forhold, at dele af NemID’et (brugernavn og adgangskode)
var
lagret i tabletten og i mere end et år, indebærer således ikke en sådan grad af
uagtsomhed, at det kan føre til hæftelse for låneoptagelserne på aftaleretligt
grundlag.
Højesteret finder endvidere, at der ikke er oplyst omstændigheder, der kan be-
grunde, at A pålægges erstatningsansvar over for Ekspres Bank og Bank Nor-
wegian for samleverens uberettigede låneoptagelse.
Højesteret stadfæster herefter byrettens domme om frifindelse af A.
Efter sagens udfald skal Ekspres Bank betale sagsomkostninger for landsret og
Højesteret med i alt 23.000 kr. til A. Heraf er 20.000 kr. til dækning af advokat-
udgifter og 3.000 kr. til dækning af retsafgift for Højesteret.
Efter sagens udfald skal Bank Norwegian betale sagsomkostninger for landsret
og Højesteret med i alt 23.000 kr. til A. Heraf er 20.000 kr. til dækning af advo-
katudgifter og 3.000 kr. til dækning af retsafgift for Højesteret.
THI KENDES FOR RET:
Byrettens domme stadfæstes.
I sagsomkostninger for landsret og Højesteret skal Ekspres Bank A/S betale
23.000 kr. til A.
I sagsomkostninger for landsret og Højesteret skal Bank Norwegian AS betale
23.000 kr. til A.
REU, Alm.del - 2020-21 - Endeligt svar på spørgsmål 666: Spm. om retstilstanden, hvis der er optaget lån i en andens navn med forfalskede lønsedler, til justitsministeren
10
Sagsomkostningsbeløbene skal betales inden 14 dage efter denne højesterets-
doms afsigelse og forrentes efter rentelovens § 8 a.