Die Kriminalität mit ec-Karten wird immer wieder um eine Spielart reicher. So haben europaweit tätige Banden neuerdings das Ausspähen der Kartendaten und der persönlichen Geheimnummer (PIN) verfeinert: Objekt ihrer Aktivitäten sind Zahlungsstationen für ec-Karten, die im Rahmen des electronic-cash-Systems in Geschäften zum Einsatz kommen. Sie werden entweder gestohlen oder so manipuliert, dass sämtliche Kontodaten des Kunden unbemerkt gelesen, gespeichert und per SMS weitergegeben werden können. Mit den so erlangten Kontodaten der Opfer stellen die Täter dann Kartenduplikate her, die ausländische Bankautomaten nicht als Fälschungen erkennen können.
Es kommen mehrere Varianten des Datendiebstahls in Frage. Entweder wird ein Chip in den electronic-cash-Terminal eingebaut oder es wird die mit der Zahlungsstation verbundene Telefonleitung mit einem Lesegerät versehen. Nach Berichten des ORF wurde ein Zahlungsterminal jüngst aus einer Salzburger Tankstelle gestohlen und die Kundendaten der Benutzer anschließend zu Abhebungen verwendet. Die Herstellerfirma Europay bestritt die Möglichkeit einer eigenen Zwischenspeicherung relevanter Daten durch das Gerät, so dass es wohl ebenfalls manipuliert worden sein dürfte. Allgemein gehen die Ermittlungsbehörden in diesen Fällen davon aus, dass Ladeninhaber entweder zu Komplizen gemacht werden oder die Täter sich unbemerkt in Kaufhäuser oder Supermärkten einschließen lassen. In allen Fallkonstellationen ermitteln die Täter sowohl die auf dem Magnetstreifen gespeicherten Kartendaten als auch die vom Kunden eingetippte PIN. Verwertet werden die gewonnenen Daten arbeitsteilig: Die Vorrichtung zum Ausspähen sendet sie per SMS auf ein meistens im Ausland zugelassenes Kartenhandy. Dessen Inhaber stellt mit den Informationen des Magnetstreifens eine gefälschte ec-Karte her. Gemeinsam mit der PIN kann das Kartenduplikat zum Abheben von Bargeld eingesetzt werden. Die Auszahlungen erfolgen nie in Deutschland, sondern zumeist in Spanien, Frankreich oder Italien, weil den Lesegeräten südeuropäischer Bankautomaten nicht auffällt, dass den Dubletten bestimmte, nur in Originalkarten vorhandene Sicherheitsmerkmale fehlen. In Deutschland würden die Fälschungen von den Bankautomaten eingezogen. Nach Angaben des ARD-Magazins PLUSMINUS liegt das Zentrum der Bandenaktivitäten in Ungarn. Zahlungsgeräte wurden bisher insbesondere in Norditalien und Österreich manipuliert.
Diese Vorgehensweise der Kartenbetrüger ist nur insofern neu, als die Täter Zahlungsterminals manipulieren. Bereits in der Vergangenheit wurden Bankkunden um ihre Kartendaten gebracht, die an einem Bankautomaten Geld abheben wollten. Bei dieser Variante wird vor dem Kartenschlitz ein unauffälliger Aufsatz angebracht, der imstande ist, die auf den Magnetstreifen befindlichen Daten zu lesen und zu speichern. Zugleich wird die vom Kunden eingegebene PIN mit einer Kamera gefilmt oder durch eine aufgesetzte Tastatur gespeichert. Ob die Manipulationen von Zahlungsgeräten die bisherigen Angriffe auf Bankautomaten ablöst, bleibt abzuwarten. Möglich ist es aber durchaus: Denn die neue Betrugsmethode ist unauffälliger, bequemer und effektiver, weil man einem POS-Gerät die Manipulation nicht ansieht. Außerdem muss die PIN nicht zusätzlich ausgespäht werden, weil der installierte Chip sie in gleicher Weise wie die Daten des Magnetstreifens speichert.
Opfer derartiger Abhebungen sollten den Lastschriften unverzüglich widersprechen. Sie haben Anspruch auf Rückgutschrift der illegal abgehobenen Beträge: Die Ausgabe einer ec-Karte an den Bankkunden beruht auf einem eigenen, neben dem Girovertrag bestehenden Geschäftsbesorgungsvertrag nach § 675 BGB. Setzt der Karteninhaber die ec-Karte bei dem Geldautomaten des ausgebenden Kreditinstituts ein, so handelt es sich um eine Weisung auf Auszahlung im Rahmen des Geschäftsbesorgungsvertrages. Für den Auszahlungsanspruch kommt es wiederum auf die Kontokorrentabrede an, die zwischen dem Kunden und der Bank getroffen wurde: Er ist zumeist begrenzt auf die Kreditlinie und nach den gängigen AGB der Banken auf einen täglichen Höchstbetrag. Zieht der Kunde Geld aus dem Automaten einer fremden Bank, so liegt ebenfalls eine Weisung an seine Hausbank vor; das auszahlende Institut ist nur deren Erfüllungsgehilfe nach § 278 BGB und hat im Rahmen einen eigenen Aufwendungsersatzanspruch auf Rückerstattung nach §§ 675, 670 BGB. Zwischen dem Nutzer der ec-Karte und dem Geldinstitut, das den Automaten betreibt, kommt es lediglich zu einem unechten Vertrag zugunsten Dritter gemäß § 328 II BGB: Das Recht, die Zahlung an den Automatenbenutzer zu verlangen, hat nur die Hausbank, während die den Automaten betreibende Bank mit befreiender Wirkung an den Nutzer leisten kann. Mit anderen Worten: Der Inhaber einer ec-Karte kann seine Auszahlungsrechte gegenüber seiner Bank auch durch ein fremdes Geldinstitut verwirklichen. Ermöglicht wird dies durch vertragliche Abreden der Kreditinstitute untereinander. An dem System deutscher Geldautomaten sind alle deutschen Kreditinstitute beteiligt. Diese Grundsätze gelten auch, wenn der Geldautomat sich im europäischen Ausland befindet, weil die Banken durch europarechtliche Vorgaben zu derartigen Kooperationsverträgen (internationales Maestro-System) verpflichtet wurden. Im Falle eines durch Datendiebstahl ermöglichten Einsatzes einer Dublette liegt keine wirksame Anweisung des Kunden an seine Bank vor, weshalb diese auch keinen Aufwendungsersatz gemäß § 670 BGB ihm gegenüber hat. § 676 h BGB schreibt zudem vor, dass das Kreditinstitut durch Kartenmissbrauch entstandene Aufwendungen vom Kunden nicht verlangen kann. Aufgrund der erwähnten Vertragsbeziehungen der Banken untereinander hat die Automatenbank gegenüber der Hausbank des Kunden eine Zahlungsverpflichtung und trägt damit letztlich das Missbrauchsrisiko. Ausdrückliche Vorgaben zu den Sorgfaltspflichten des Kunden enthalten die ec-Bedingungen nur bezüglich Aufbewahrung der Karte, Geheimhaltung der PIN und Verlustanzeige. Folglich sind auch die Haftungsmaßstäbe lediglich hinsichtlich einer missbräuchlichen Verwendung infolge Abhandenkommens der Karte geregelt, nicht aber in Bezug auf das Ausspähen der Daten und die Herstellung eines Duplikats. Deswegen dürften die nachfolgenden Aussagen entsprechend für den Zeitpunkt gelten, in dem der Kunde die Abhebungen bemerkt. Es gilt folgendes: Für nach der Verlustanzeige entstandene Schäden übernehmen alle Banken und Sparkassen den eingetretenen Schaden. Für Schäden, die vor der Verlustmeldung eintreten, gilt je nach Geldinstitut Unterschiedliches: Hat der Kontoinhaber seine Pflichten nur leicht fahrlässig verletzt, so stellen ihn die ec-Bedingungen der Banken in Höhe von 90% der Gesamtschadenshöhe frei. Sparkassen und Genossenschaftsbanken übernehmen sogar den vollen Schaden, sofern der Karteninhaber seine Sorgfalts- und Mitwirkungspflichten nicht grob fahrlässig verletzt hat. Bei grober Fahrlässigkeit schließen dagegen alle Kreditinstitute jede Haftung für sich aus. Diese liegt nach den ec-Bedingungen insbesondere vor, wenn der Kunde den Kartenverlust nicht sofort gemeldet hat. Konkret bedeutet dass: Der Bankkunde kann grundsätzlich alle durch einen Datendiebstahl verursachten Lastschriften zurückerstattet bekommen, muss die Tat bei Bekanntwerden der Bank sofort anzeigen und außerdem darlegen und beweisen, dass ihn keine grobe Fahrlässigkeit trifft. Letzteres dürfte in den beschriebenen Konstellationen in aller Regel gelingen.
Sind nun Bankautomaten und POS-Terminals als nicht mehr sicher anzusehen? Dies wird man trotz beachtlicher krimineller Energie bestimmter Personenkreise nicht behaupten können. Aber die gebetsmühlenhaft von den Banken beschworene Unbedenklichkeit des bargeldlosen Zahlungsverkehrs entspricht eben auch nicht der Wahrheit. Dies gilt übrigens auch für das POZ-System. Es unterscheidet sich vom electronic-cash-Verfahren dadurch, dass durch Einsatz der Karte kein Zahlungsversprechen der Käuferbank abgegeben, sondern nur ein Lastschriftverfahren ermöglicht wird. Der Händler hat hier keine Zahlungsgarantie, sondern der Kunde leistet durch Aushändigung des unterschriebenen Belegs erfüllungshalber (§ 364 II BGB). Beim POZ-System genügt in vielen Fällen die Fälschung der Unterschrift durch den nicht berechtigten Kartenbesitzer, die PIN muss der Täter dann nicht kennen. Er muss allerdings im Besitz der ec-Karte sein (die Duplikate der Kartenmafia sind weiß und als Fälschungen erkennbar). Folglich ist der Kunde verpflichtet, für alle Lastschriften bis zur Verlustmeldung darzulegen und zu beweisen, dass er das Abhandenkommen der Karte nicht verschuldet hat. Ab diesem Zeitpunkt kann der Kunde allen Lastschriften widersprechen. Ein Hauptproblem des POZ-Systems besteht aber darin, dass die Netzbetreiber der Lastschriftgeräte nicht an die Kartensperrsysteme der Banken angeschlossen sind und die Händler die an sich mögliche Sperrabfrage selten durchführen. Es kann also vorkommen, dass Bankkunden auch lange nach der Verlustmeldung ihrer ec-Karte einer Einzugsermächtigung widersprechen müssen, die nicht sie erteilt haben, sondern ein Dieb.
