Rechtliche Auseinandersetzungen zwischen Kreditinstituten und ihren Kunden sind das tägliche Brot einer im Bankrecht tätigen Kanzlei. Sie entstehen häufig aufgrund unrichtiger Gut- oder Lastschriften im Zusammenhang mit der Nutzung von ec-Karten oder wegen unrichtig ausgeführter Überweisungsaufträge. Ein Dauerthema sind außerdem gestohlene ec-Karten und die anschließende Plünderung des Kontos durch den Dieb. Nach einem Grundsatzurteil des BGH vom 5. Oktober 2004 (XI ZR 210/03) spricht der Beweis des ersten Anscheins dafür, dass der Karteninhaber seine Pflicht zur Geheimhaltung der PIN verletzt hat, indem er sie auf der ec-Karte vermerkt hat oder oder sie gemeinsam mit ihr aufbewahrt hat, wenn zeitnah zu einem Diebstahl der ec-Karte mit dieser unter Verwendung der richtigen PIN Bargeld an einem Geldautomaten abgehoben wurde. Zahlreiche Berichte unserer Mandanten und aus der Presse lassen allerdings auf die Fragwürdigkeit dieser Beweisregel schließen: Die ungebrochene Weiterentwicklung der Computertechnik macht es technisch ausgerüsteten und versierten Tätern offenbar möglich, auch eine nach neuesten Standards verschlüsselte PIN in kurzer Zeit zu entziffern. Leider wird diese Erkenntnis von der Rechtsprechung bislang hartnäckig ignoriert.
Die ec-Kartennutzung im täglichen Verkehr
Für Bankkunden ist die Nutzung einer persönlichen ec-Karte eine Selbstverständlichkeit. Sie dient heute vor allem als Mittel zur bargeldlosen Zahlung und als „elektronischer Schlüssel“ für Abhebungen am Geldautomaten. Die ec-Karte wird im Rahmen eines neben der bankmäßigen Geschäftsverbindung bestehenden Kartenvertrages ausgegeben. Die Einsatzmöglichkeiten der ec-Karte erfahren eine detaillierte rechtliche Regelung in den ec-Bedingungen der Banken und Sparkassen.
Das electronic-cash-system
Die am meisten verbreitete Funktion der ec-Karte ist das bargeldlose Zahlen innerhalb des electronic-cash-systems. Der Kunde gibt beim Bezahlen seine Karte in einen so genannten elctronic-cash-Terminal ein, sodann tippt er seine PIN Nummer in das Gerät ein und bestätigt den Betrag. Nach der Transaktion wird dem Kunden ein Beleg ausgehändigt. Rechtlich erteilt der Kunde seiner Bank eine Weisung gemäß § 665 BGB, den fraglichen Betrag dem Händlerkonto gutzuschreiben. Sämtliche kartenausgebenden Kreditinstitute haben 1990 die „Vereinbarung über das institutsübergreifende System zur bargeldlosen Zahlung an automatisierten Kassen“ getroffen und dabei unter Nr. 10 Absatz 2 vereinbart, bei electronic-cash-Zahlungen stets ein Zahlungsversprechen in Höhe des am Terminal angewiesenen Betrages abzugeben. Das Kreditinstitut des Käufers ist aufgrund dieser Garantiezusage nicht berechtigt, eine Lastschrift wegen fehlender Deckung oder aus anderen Gründen zurückzuweisen.
Rechtliche Auseinandersetzungen entstehen bei Benutzung der ec-Karte durch einen Nichtberechtigten. Standardfall ist Missbrauch der Karte als Folge eines Diebstahls. In diesen Fällen liegt keine wirksame Anweisung des Kunden an sein Kreditinstitut vor, weshalb dieses auch keinen Aufwendungsersatz im Sinne des § 670 BGB ihm gegenüber hat. § 676 h BGB schreibt zudem explizit vor, dass das Kreditinstitut durch Kartenmissbrauch entstandene Aufwendungen vom Kunden nicht verlangen kann. Aufgrund des erwähnten Zahlungsversprechens besteht aber gegenüber der einziehenden Händlerbank eine Zahlungsverpflichtung der Kundenbank, so dass diese letztlich das Missbrauchsrisiko trägt.
Dennoch kann der bestohlene Bankkunde nicht immer einer Erstattungspflicht entgehen, denn grundsätzlich können die Banken die Haftung dem Kontoinhaber aufbürden, soweit er für den Missbrauchsschaden verantwortlich ist, diesen also durch eigene Nachlässigkeit ermöglicht hat. In den ec-Bedingungen der Banken ist deshalb einheitlich geregelt, dass es sich bei schuldhaftem Verhalten des Kontoinhabers nach den Grundsätzen des Mitverschuldens bestimmt, in welchem Umfang das Kreditinstitut bzw. der Kontoinhaber für den Schaden haften. Dabei ist zu beachten, dass nach der Verlustanzeige alle Banken und Sparkassen den eingetretenen Schaden übernehmen.
Für Schäden, die vor der Verlustmeldung eintreten, gilt je nach Geldinstitut Unterschiedliches:
Hat der Kontoinhaber seine Pflichten nur leicht fahrlässig verletzt, so stellen ihn die ec-Bedingungen der Banken in Höhe von 90% der Gesamtschadenshöhe frei. Sparkassen und Genossenschaftsbanken übernehmen sogar den vollen Schaden, sofern der Karteninhaber seine Sorgfalts- und Mitwirkungspflichten nicht grob fahrlässig verletzt hat.
Bei grober Fahrlässigkeit schließen dagegen alle Kreditinstitute jede Haftung für sich aus. Diese liegt nach den ec-Bedingungen insbesondere vor, wenn der Kunde den Kartenverlust nicht sofort gemeldet hat, wenn er die PIN auf der ec-Karte vermerkt, oder wenn er die PIN einem Dritten mitgeteilt hat und der Schaden dadurch verursacht wurde. Zu den beachtenswerten Verhaltensregeln gehört es daher, PIN und ec-Karte getrennt voneinander aufzubewahren. Ist die ec-Karte abhanden gekommen, so ist das die Karte ausgebende Kreditinstitut unverzüglich davon zu unterrichten. Dies ist insbesondere deshalb von Bedeutung, weil die nach der Verlustanzeige entstandenen Schäden grundsätzlich ersetzt werden, es also ab diesem Zeitpunkt nicht mehr darauf ankommt, ob und in welchem Umfang der Kunde zuvor seine Sorgfaltspflichten vernachlässigt hat.
Nutzung am Geldautomaten – Insbesondere „Kontoplünderungen“ durch Diebe
Ebenso große Nutzung finden ec-Karten für die Ziehung von Bargeld am Geldautomaten. Für Automatenverfügungen gelten dieselben gesetzlichen und vertraglichen Regeln wie für automatisierte Zahlungsvorgänge innerhalb des electronic-cash-Verfahrens. Der Missbrauch in Form von Automatenverfügungen durch nicht berechtigte Dritte beschäftigt die Rechtsprechung besonders häufig, weil Kartendiebe die ungestörte Ausplünderung eines Kontos am Bankautomaten einem unberechtigten Einkaufsbummel zumeist vorziehen. Der Haftungsmaßstab richtet sich für den bestohlenen Karteninhaber in diesen Fällen nach obigen Regeln.
In jüngerer Zeit häufen sich die Fälle, in denen die Inhaber der entwendeten ec-Karten die PIN getrennt von ihr aufbewahrt haben, die Diebe aber gleichwohl Automatenabhebungen durchführen konnten. Hier kommt das eingangs zitierte BGH-Urteil (XI ZR 210/03 vom 5. Oktober 2004, NJW 2004, 3623) zum Tragen. Danach spricht der Beweis des ersten Anscheins dafür, dass der Bestohlene die PIN auf der ec-Karte vermerkt oder sie gemeinsam mit ihr aufbewahrt hat. Der Beweis des ersten Anscheins ist nach dem BGH bei typischen Geschehensabläufen anwendbar, also in Fällen, in denen ein bestimmter Sachverhalt feststeht der nach der allgemeinen Lebenserfahrung auf eine bestimmte Ursache oder auf einen bestimmten Ablauf als maßgeblich für den Eintritt eines bestimmten Erfolges hinweist. Spricht ein Anscheinsbeweis für einen bestimmten Ursachenverlauf, so kann er widerlegt werden, wenn Tatsachen vorgetragen werden, die die ernsthafte Möglichkeit einer anderen Ursache nahe legen. Aufgrund der Lebenserfahrung spricht in diesen Fällen aber eine Vermutung dafür, dass entweder der berechtigte Inhaber mit der Karte verfügt hat oder dass aber der unberechtigte Inhaber im Besitz der PIN gekommen ist, so dass ein grober Sorgfaltspflichtverstoß des Kunden zu vermuten ist. Eine Haftung der Bank kommt dann nicht in Frage. Um den Anscheinsbeweis zu erschüttern, muss daher ein atypischer Geschehensverlauf substantiiert dargelegt werden. Es müssen die Umstände des Kartenverlustes plausibel vorgetragen werden und Anhaltspunkte dafür gegeben werden, wie ein Dritter Kenntnis von der PIN erlangt haben könnte.
Nicht ausreichend ist es nach dem BGH, wenn die Bestohlenen lediglich vortragen, die PIN müsse nach dem Diebstahl von den Tätern auf technischem Wege ermittelt worden sein. Im zitierten Fall führte der BGH aus, das Berufungsgericht sei fehlerfrei zu der Feststellung gelangt, es sei auch mit größtmöglichem finanziellen Aufwand mathematisch ausgeschlossen, die PIN ohne vorherige Erlangung des Institutsschlüssels in einer Breite von 118 BIT zu ermitteln. Denn diese Beweiswürdigung entspreche einer Beurteilung, die das Bundesamt für Sicherheit von Informationstechnik in einer schriftlichen Auskunft für das im Jahr 2001 neu eingeführte PIN – Verfahren abgegeben habe. Das Berufungsgericht durfte nach Meinung des BGH den Ausführungen der Bundesbehörde ohne weiteres trauen. – Man muss wissen, dass die PIN – neben der Kontonummer, der BLZ und anderen Daten – in besonders verschlüsselter Form auf den ec-Karten enthalten ist. Mit der Tastatur des Geldautomaten ist ein so genannter Krypto-Prozessor verbunden, der die PIN zur sicheren Übertragung entschlüsselt. Zur vorangegangenen Verschlüsselung nutzen die Banken den Daten-Verschlüsselungs-Standard, auch DES (Data Encryption Standard) genannt. Bei der einfachen Variante des DES werden die zu verschlüsselnden Informationen in Textblöcke à 64 Bit umgewandelt. Dann werden die Zeichen innerhalb eines Blocks mehrfach vertauscht und addiert. Diese Zahlendaten werden außerdem geteilt und zur Sicherheit weitere 16 Male chiffriert. Schon die alte Variante war nur durch Profis zu knacken – aufgrund der rasanten Entwicklung der Computertechnik war es jedoch möglich. Seit 1997 benutzen die Banken nunmehr den Triple-DES, eine Variante mit noch längeren Verschlüsselungsketten, die jedenfalls für die Gerichte als sicher gilt. Insider wissen jedoch, dass auch gegen dieses Verfahren Angriffstechniken entwickelt worden sind.
Als weiteren möglichen Geschehensablauf erkennt der BGH das Ausspähen der Daten durch den Täter an, sieht es jedoch nur dann als mögliche Schadensursache an, wenn der Diebstahl in einem „näheren zeitlichen Zusammenhang“ mit der Eingabe der PIN durch den Karteninhaber entwendet worden ist. Zitat: „Durch Ausspähen erlangt der Täter zunächst nur Kenntnis von der PIN, gelangt aber nicht in den Besitz der ec-Karte. Da er den Karteninhaber regelmäßig nicht persönlich kennt, muss er die ec-Karte alsbald nach dem Ausspähen der PIN entwenden.“ Besteht also kein enger zeitlicher Zusammenhang, muss der Bankkunde plausibel darlegen, dass ihn der Dieb kannte oder über einen längeren Zeitraum hinweg beobachtet haben muss.
Unter dem Begriff der „Innentäterattacken“ werden Angriffe von Bankmitarbeitern oder Dritten diskutiert, die den institutsinternen Verschlüsselungscode infolge von Sicherheitslücken kennen und die deshalb zur Dekodierung der PIN imstande sein können. Hier nimmt der BGH zugunsten des Kunden eine Subsantiierungspflicht der Bank an, da der Karteninhaber nicht in die internen Arbeitsabläufe der Bank eingeweiht und folglich auch nicht in der Lage sei, zu bestimmten Sicherheitslücken detailliert vorzutragen. Allerdings ist es dem Bankkunden verwehrt, solche Sicherheitsmängel pauschal und gleichsam „ins Blaue hinein“ zu behaupten. Kommt also ein derartiger Hergang des Geschehens ernsthaft in Frage, so muss der Bankkunde konkrete Anhaltspunkte darlegen, die für einen bestimmten Sicherheitsmangel im System der Bank sprechen. Dann muss die Bank im Wege ihrer sekundären Darlegungslast ihr Sicherheitssystem offenbaren.
Auf die Möglichkeit, dass der Dieb die PIN errät, ist der BGH nicht näher eingegangen. Allerdings ergeben sich bei einer vierstelligen PIN 9.999 verschiedene Kombinationen. Wenn man berücksichtigt, dass die ec-Karte nach drei falschen Eingaben von dem Automaten eingezogen wird, so liegt die Zufallsermittlung der richtigen Zahlenkombination bei einer Wahrscheinlichkeit von 1:3.333. Dieser Sachvortrag kann als atypisch angesehen werden, eine pauschale Behauptung durch den Kunden dürfte jedoch regelmäßig unzulässig sein. Auch hier muss der Bankkunde seinen Sachvortrag substantiieren, was etwa in Frage kommt, wenn dem erfolgreichen Auszahlungsersuchen ein oder zwei falsche Nummerneingaben vorangegangen sind.
Nutzung der ec-Karte im POZ – System
Bargeldloses Bezahlen mit der ec-Karte ist auch im Rahmen des so genannten POZ – Systems möglich. Es unterscheidet sich vom electronic-cash-Verfahren dadurch, dass durch Einsatz der Karte kein Zahlungsversprechen der Käuferbank abgegeben, sondern nur ein Lastschriftverfahren ermöglicht wird. Der Einzelhandel spart dadurch Provisionen gegenüber der kartenausgebenden Bank. Der Kunde identifiziert sich bei diesem Verfahren nicht durch die PIN, sondern durch seine Unterschrift, die er auf der Rückseite des Kassenbeleges leistet. Der Händler hat hier keine Zahlungsgarantie, denn die unterschriebene Einzugsermächtigung kann von der Bank des Kunden wegen Widerspruchs oder fehlender Deckung zurückgewiesen werden. Der Kunde genehmigt deshalb mit seiner Unterschrift, dass für den Fall der Nichteinlösung der Lastschrift der Händler Name und Adresse des Kunden bei dessen Bank auf Anfrage erfährt. Zu seiner eigenen Sicherheit kann der Händler auf elektronischem Wege eine Sperrabfrage durchführen und so überprüfen, ob die ec-Karte gesperrt ist. Das POZ – System ist missbrauchsanfällig, weil Transaktionen durch einen Nichtberechtigten ohne Kenntnis der PIN durchgeführt werden können. Es genügt die Fälschung der Unterschrift durch den nicht berechtigten Kartenbesitzer. Erfolgt keine Abfrage der Sperrdatei, so bleibt selbst eine zwischenzeitlich erfolgte Sperrung der durch den eigentlich Berechtigten an der ec-Karte vom Händler unbemerkt. Da es in derartigen Fällen allerdings an einer wirksamen Einzugsermächtigung des Kunden fehlt, hat die Bank keinen Ersatzanspruch gegenüber dem Kontoinhaber. Ist sie zwischenzeitlich vom Abhandenkommen der Karte benachrichtigt worden, so kann sie Lastschrift gegenüber dem Händler aber zurückweisen. Damit tragen letztlich die Einzelhändler, die das POZ – System nutzen, das Risiko des missbräuchlichen Einsatzes abhanden gekommener ec-Karten.
Eine weitere Fallgruppe besteht darin, dass Bankkunden zwar nicht den Verlust der ec-Karte geltend machen, dafür aber behaupten, der Geldautomat habe weniger als den abgebuchten Betrag oder überhaupt kein Geld ausgegeben. Hier greift der Anscheinsbeweis unbestritten zugunsten der Bank ein. Die bloße Behauptung einer Automatenfehlfunktion ist nach nahezu einhelliger Meinung der Gerichte nicht geeignet, den Anscheinsbeweis zu erschüttern. Es spricht eine Vermutung zugunsten der ordnungsgemäßen Funktion des Geldautomaten, da erfahrungsgemäß Fehler äußerst selten sind. Zudem dokumentiert das Gerät sämtliche Transaktionen und Geldausgaben lückenlos, so dass es dem Kreditinstitut möglich ist, festzustellen, ob tatsächlich eine Fehlfunktion vorgelegen hat. Sollte die vom Kunden bestrittene Abhebung auch aus dem technischen Bericht des Geldautomaten hervorgehen, so ist eine Klage auf Gutschrift des Fehlbetrages aussichtslos.
Jarfe