Areas of law tree

Geld- und Kreditkarten

Rechtsanwalt Rechtsanwalt Dirk Streifler - Partner, Handels- und Gesellschaftsrecht, Insolvenzrecht, Steuerrecht, Strafrecht, Maklerrecht, Verfassungsrecht, Oranienburger Straße 69
Rechtsanwalt Dirk Streifler - Partner
030-278740 42
Oranienburger Straße 69
10117 Berlin
Mo - Fr durchgehend von 8:00 - 18:00

Bankrecht: BGH: Zum PIN-gestützten EC-Karten-Missbrauch

Rechtsanwalt Rechtsanwalt Dirk Streifler - Partner, Handels- und Gesellschaftsrecht, Insolvenzrecht, Steuerrecht, Strafrecht, Maklerrecht, Verfassungsrecht, Oranienburger Straße 69
Rechtsanwalt Dirk Streifler - Partner
030-278740 42
Oranienburger Straße 69
10117 Berlin
Mo - Fr durchgehend von 8:00 - 18:00
Ausspähen der PIN setzt zeitlichen Zusammenhang mit Eingabe der PIN durch den Karteninhaber am Geldautomaten voraus - BSP Bierbach, Streifler & Partner PartGmbB
Der BGH hat mit dem Urteil vom 05.10.2004 (Az: XI ZR 210/03) folgendes entschieden:

Wird zeitnah nach dem Diebstahl einer ec-Karte unter Verwendung dieser Karte und Eingabe der richtigen persönlichen Geheimzahl (PIN) an Geldausgabeautomaten Bargeld abgehoben, spricht grundsätzlich der Beweis des ersten Anscheins dafür, dass der Karteninhaber die PIN auf der ec-Karte notiert oder gemeinsam mit dieser verwahrt hat, wenn andere Ursachen für den Missbrauch nach der Lebenserfahrung außer Betracht bleiben.

Die Möglichkeit eines Ausspähens der persönlichen Geheimzahl (PIN) durch einen unbekannten Dritten kommt als andere Ursache grundsätzlich nur dann in Betracht, wenn die ec-Karte in einem näheren zeitlichen Zusammenhang mit der Eingabe der PIN durch den Karteninhaber an einem Geldausgabeautomaten oder einem POS-Terminal entwendet worden ist.

Die Revision gegen das Urteil der 5. Zivilkammer des LG Duisburg vom 8. 5. 2003 wird auf Kosten der Kl. zurückgewiesen.


Tatbestand:

Die Kl. begehrt die Auszahlung von Geldbeträgen, die nach Abhebungen an Geldausgabeautomaten von der beklagten Sparkasse ihrem Girokonto belastet worden sind.

Die Kl. unterhielt bei der Bekl. ein Girokonto. Für dieses erteilte die Bekl. der Kl. im November 1999 eine ec-Karte und eine persönliche Geheimnummer (PIN). Die Allgemeinen Geschäftsbedingungen der Bekl. für die Verwendung der ec-Karte enthielten unter anderem folgende Regelungen:

“Für Schäden, die vor der Verlustanzeige entstanden sind, haftet der Kontoinhaber, wenn sie auf einer schuldhaften Verletzung seiner Sorgfalts- und Mitwirkungspflichten beruhen.

...

Die Sparkasse übernimmt auch die vom Kontoinhaber zu tragenden Schäden, die vor der Verlustanzeige entstanden sind, sofern der Karteninhaber seine Sorgfalts- und Mitwirkungspflichten ... nicht grob fahrlässig verletzt hat.

Grobe Fahrlässigkeit des Karteninhabers liegt insbesondere vor, wenn

- die persönliche Geheimzahl auf der ec-Karte vermerkt oder zusammen mit der ec-Karte verwahrt war (z.B. der Originalbrief, in dem die PIN dem Karteninhaber mitgeteilt wurde),

- die persönliche Geheimzahl einer anderen Person mitgeteilt und der Missbrauch dadurch verursacht wurde, ...“

Mit der ec-Karte der Kl. wurden an Geldausgabeautomaten zweier anderer Sparkassen ohne Fehlversuch unter Eingabe der richtigen PIN am 23. 9. 2000 gegen 17.30 Uhr zweimal 500 DM und am Morgen des folgenden Tages 1.000 DM abgehoben. Am 25. 9. 2000 veranlasste die Kl. die Sperrung ihrer ec-Karte. Die Bekl. belastete das Girokonto der Kl. mit den abgehobenen Beträgen.

Die Kl. macht geltend, ihr seien am 23. 9. 2000 zwischen 15.00 Uhr und 17.00 Uhr auf einem Stadtfest ihr Portemonnaie und die darin befindliche ec-Karte entwendet worden. Ihre persönliche Geheimzahl habe sie nirgendwo notiert, sondern ausschließlich als Telefonnummer in ihrem Mobiltelefon gespeichert gehabt. Dieses sei nicht gestohlen worden. Der Dieb müsse die persönliche Geheimzahl entschlüsselt oder Mängel des Sicherheitssystems der Bekl. zur Geheimhaltung des Institutsschlüssels ausgenutzt haben.

Das AG hat der auf Zahlung von 2.000 DM nebst Zinsen gerichteten Klage stattgegeben, das LG hat sie abgewiesen. Mit der vom BerGer. zugelassenen Revision erstrebt die Kl. die Wiederherstellung des amtsgerichtlichen Urteils.


Entscheidungsgründe:

Die Revision ist unbegründet.

Das BerGer. hat seine Entscheidung im wesentlichen wie folgt begründet:

Die Klage sei unbegründet. Die Bekl. habe das Girokonto der Kl. zu Recht mit 2.000 DM belastet. Die Kl. sei ihr wegen positiver Verletzung des Girovertrages in dieser Höhe zum Schadensersatz verpflichtet. Zugunsten der Bekl. spreche der Beweis des ersten Anscheins, dass die Kl. ihre Sorgfaltspflichten zur Aufbewahrung der ec-Karte oder zur Geheimhaltung der persönlichen Geheimzahl grob fahrlässig verletzt habe. Insbesondere komme in Betracht, dass sie die persönliche Geheimzahl auf der ec-Karte vermerkt oder zusammen mit der ec-Karte verwahrt habe. Anders als durch ein grob fahrlässiges Verhalten der Kl. seien die drei Barabhebungen an Geldautomaten durch einen unbefugten Dritten (den Dieb oder einen Komplizen) jeweils ohne jeglichen Fehlversuch bei der Eingabe der PIN nach der Lebenserfahrung nicht zu erklären.

Die PIN der Kl. und der 128-BIT-Schlüssel des PIN-Systems der von der Bekl. im November 1999 an die Kl. ausgegebenen ec-Karte hätten am 23. 9. 2000 nicht entschlüsselt werden können. Nach dem eingeholten Sachverständigengutachten sei es mathematisch ausgeschlossen, die PIN einzelner Karten mit Hilfe von auf ihnen gefundenen Informationen ohne die vorherige Erlangung des Institutsschlüssels zu errechnen; es sei auch mit größtmöglichem finanziellen Einsatz nicht möglich, einen Rechner zu bauen, der eine solche Berechnung des Institutsschlüssels erlaube. Die von dem Sachverständigen erwogenen anderen theoretischen Möglichkeiten, wie ein Täter ohne grob sorgfaltswidriges Verhalten der Kl. an die PIN ihrer ec-Karte gekommen sein könnte, schlössen weder einen Anscheinsbeweis zu Lasten der Kl. aus noch könnten sie hier diesen Anschein erschüttern. Denn sämtliche theoretische Möglichkeiten kämen entweder im allgemeinen oder im konkreten Fall ernsthaft nicht in Betracht. Ersteres gelte für sogenannte “Innentäterattacken“, d.h. für Angriffe von Mitarbeitern des Kreditinstituts gegen den Institutsschlüssel, für Angriffe gegen die im Rechenzentrum des Kreditinstituts im Umfeld der Transaktions-Autorisierung ablaufende Software oder unbeabsichtigte Sicherheitslücken dieser Software, die eine Geldabhebung auch ohne zutreffende PIN erlauben oder einem Innentäter Angriffsmöglichkeiten bieten könnten. Nach den Ausführungen des Sachverständigen gebe es keine Hinweise dafür, dass solche Möglichkeiten jemals konkret für kriminelle Handlungen entdeckt und ausgenutzt worden seien. Schließlich lägen im konkreten Fall auch keine Anhaltspunkte dafür vor, dass der Täter die PIN der Kl. ausgespäht habe.

Diese Ausführungen halten rechtlicher Überprüfung im Ergebnis stand.

Die Kl. hat gegen die Bekl. keinen Anspruch gem. §§ 667, 675 I, § 676 f BGB oder §§ 700 I, 607 BGB a.F. auf Auszahlung der von einem Dritten unberechtigt abgehobenen 2.000 DM. Die Bekl. hat das Konto der Kl. zu Recht mit den am 23. und 24. 9. 2000 an Geldausgabeautomaten erfolgten Barabhebungen in Höhe von insgesamt 2.000 DM belastet.

Die Bekl. hat zwar nach dem - hier gem. Art. 229 § 2 I EGBGB bereits anwendbaren - § 676 h Satz 1 BGB keinen Aufwendungsersatzanspruch gem. §§ 670, 675 I, § 676 f BGB gegen die Kl.. Die Bekl. hat nicht bewiesen, dass die hier in Rede stehenden Geldabhebungen von der Kl. selbst oder mit ihrem Einverständnis durch einen Dritten vorgenommen worden sind. Vielmehr ist das BerGer. zu der Feststellung gelangt, dass die Geldabhebungen durch einen unbefugten Dritten, nämlich den Dieb oder einen Komplizen mit Hilfe der Original-ec-Karte, erfolgt sind. Das wird auch von der Revisionserwiderung nicht in Zweifel gezogen.

Der Bekl. steht aber gegen die Kl. ein Schadensersatzanspruch wegen positiver Vertragsverletzung zu, den sie in das Kontokorrent einstellen und mit dem sie das Girokonto der Kl. belasten durfte. Die Kl. haftet für die durch die missbräuchliche Verwendung ihrer ec-Karte entstandenen Schäden, weil diese auf einer grob fahrlässigen Verletzung der Sorgfalts- und Mitwirkungspflichten der Kl. beruhen. Das BerGer. hat im Ergebnis zutreffend angenommen, zugunsten der hierfür beweispflichtigen Bekl. spreche der Beweis des ersten Anscheins, dass die Kl. ihre Pflicht zur Geheimhaltung der persönlichen Geheimzahl verletzt hat, indem sie diese auf der ec-Karte vermerkt oder zusammen mit der ec-Karte verwahrt hat.

Das Vermerken der persönlichen Geheimzahl auf der ec-Karte oder ihre Verwahrung zusammen mit dieser stellt - wovon auch Nr. A. III. 2.4 der Bedingungen für die Verwendung der ec-Karte ausgeht - eine grobe Fahrlässigkeit des Karteninhabers dar; dabei trägt die Bewertung dieser Handlungsweisen als grob fahrlässig dem Umstand Rechnung, dass dadurch der besondere Schutz, den die für Abhebungen neben der ec-Karte zusätzlich benötigte Geheimnummer bietet, aufgehoben wird, weil ein Unbefugter, dem ec-Karte und Geheimnummer gemeinsam in die Hände fallen, ohne weiteres Abhebungen vornehmen kann.

Zu Recht ist das BerGer. zu dem Ergebnis gelangt, der Beweis des ersten Anscheins spreche dafür, dass die Kl. die persönliche Geheimzahl auf ihrer ec-Karte vermerkt oder sie zusammen mit dieser verwahrt habe. Diesen Beweis des ersten Anscheins hat die Kl. nicht erschüttert.

Die Frage, ob ein Anscheinsbeweis eingreift, unterliegt der Prüfung durch das RevGer.. Nach ständiger Rechtsprechung des BGH sind die Grundsätze über den Beweis des ersten Anscheins nur bei typischen Geschehensabläufen anwendbar, d.h. in Fällen, in denen ein bestimmter Sachverhalt feststeht, der nach der allgemeinen Lebenserfahrung auf eine bestimmte Ursache oder auf einen bestimmten Ablauf als maßgeblich für den Eintritt eines bestimmten Erfolges hinweist. Dabei bedeutet Typizität nicht, dass die Ursächlichkeit einer bestimmten Tatsache für einen bestimmten Erfolg bei allen Sachverhalten dieser Fallgruppe notwendig immer vorhanden ist; sie muss aber so häufig gegeben sein, dass die Wahrscheinlichkeit, einen solchen Fall vor sich zu haben, sehr groß ist.

Spricht ein Anscheinsbeweis für einen bestimmten Ursachenverlauf, kann der Inanspruchgenommene diesen entkräften, indem er Tatsachen darlegt und gegebenenfalls beweist, die die ernsthafte, ebenfalls in Betracht kommende Möglichkeit einer anderen Ursache nahelegen. Der Anscheinsbeweis kann auch erschüttert werden, wenn unstreitig oder vom Inanspruchgenommenen bewiesen ist, dass ein schädigendes Ereignis durch zwei verschiedene Ursachen mit jeweils typischen Geschehensabläufen herbeigeführt worden sein kann und jede für sich allein den Schaden verursacht haben kann; haftet der Inanspruchgenommene in einem solchen Fall nur für eine der möglichen Ursachen, sind die Regeln über den Anscheinsbeweis nicht anwendbar. Dabei kommt es nicht darauf an, ob die eine oder andere Verursachungsmöglichkeit nach den Erfahrungen des täglichen Lebens die wahrscheinlichere ist.

Nach diesen Maßstäben greift im Ergebnis der Beweis des ersten Anscheins zu Lasten der Kl. ein, dass sie ihre persönliche Geheimzahl entweder auf ihrer ec-Karte notiert oder sie gemeinsam mit dieser aufbewahrt hat.

Das Berufungsurteil ist allerdings rechtsfehlerhaft, soweit das BerGer. einen Beweis des ersten Anscheins unter anderem dafür angenommen hat, dass die Kl. ihre Sorgfaltspflichten zur Aufbewahrung der ec-Karte grob fahrlässig verletzt habe. Es besteht kein allgemeiner Erfahrungssatz des Inhalts, dass eine Person, der bei einem Straßenfest das Portemonnaie mit der darin befindlichen ec-Karte entwendet wird, diesen Diebstahl in grob fahrlässiger Weise ermöglicht hat. Feststellungen zur Art und Weise der Aufbewahrung von Portemonnaie nebst ec-Karte seitens der Kl. hat das BerGer. nicht getroffen. Es kann deshalb nicht ausgeschlossen werden, dass die Aufbewahrung des Portemonnaie durch die Kl. nicht sorgfaltswidrig war oder den Diebstahl in nur leicht fahrlässiger Weise ermöglicht hat.

Der Senat hat bisher offengelassen, ob in Fällen, in denen an Geldausgabeautomaten unter Verwendung der zutreffenden Geheimzahl Geld abgehoben wurde, der Beweis des ersten Anscheins dafür spricht, dass entweder der Kartenbesitzer als rechtmäßiger Kontoinhaber die Abhebungen selbst vorgenommen hat oder - was hier nach den nicht angegriffenen Feststellungen des BerGer. allein in Betracht kommt - dass ein Dritter nach der Entwendung der ec-Karte von der Geheimnummer nur wegen ihrer Verwahrung gemeinsam mit der ec-Karte Kenntnis erlangen konnte. In der Rechtsprechung der Instanzgerichte und in der Literatur wird ein entsprechender Beweis des ersten Anscheins zu Lasten des Kontoinhabers überwiegend angenommen, von einem erheblichen Teil aber verneint. Dabei betrifft der überwiegende Teil der veröffentlichten Entscheidungen und Literaturstimmen allerdings das ab Ende 1997 abgelöste alte Verfahren zur Erzeugung und Verifizierung der persönlichen Geheimzahl mit Hilfe eines geheimen Instituts- oder Poolschlüssels in einer Breite von 56 BIT und ist daher für die Beurteilung der Sicherheit der ab diesem Zeitpunkt eingeführten neuen Verschlüsselungsverfahren nur sehr eingeschränkt aussagekräftig.

Mit dem BerGer. ist der Senat der Auffassung, dass in einem Fall der hier vorliegenden Art der Beweis des ersten Anscheins für ein grob fahrlässiges Verhalten des Karteninhabers im Zusammenhang mit der Geheimhaltung seiner persönlichen Geheimzahl spricht.

Die Grundsätze über den Anscheinsbeweis sind entgegen der Auffassung der Revision nicht deshalb unanwendbar, weil es mehrere theoretische und praktische Möglichkeiten der Kenntniserlangung von der persönlichen Geheimzahl durch einen Dritten gibt. Zu Recht ist das BerGer. vielmehr zu dem Ergebnis gelangt, dass die hier in Rede stehenden Bargeldabhebungen mit Hilfe der Original-ec-Karte und richtiger PIN durch einen unbefugten Dritten anders als durch ein grob fahrlässiges Verhalten der Kl. nicht zu erklären seien, weil andere Ursachen zwar theoretisch möglich seien, bei wertender Betrachtung aber außerhalb der Lebenserfahrung lägen.

Gegen die Anwendbarkeit der Grundsätze über den Anscheinsbeweis vermag die Revision auch nicht anzuführen, ein Erfahrungssatz, dass die persönliche Geheimzahl auf der Karte notiert oder gemeinsam mit dieser verwahrt würde, sei nicht empirisch belegt. Empirischer Befunde bedarf es für die Anwendbarkeit des Anscheinsbeweises nicht. Dieser setzt lediglich voraus, dass ein Sachverhalt feststeht, bei dem der behauptete ursächliche Zusammenhang typischerweise gegeben ist, beruht also auf der Auswertung von Wahrscheinlichkeiten, die auf Grund der Lebenserfahrung anzunehmen sind und die dem Richter hiernach die Überzeugung (§ 286 ZPO) vermitteln, dass auch in dem von ihm zu entscheidenden Fall der Ursachenverlauf so gewesen ist wie in den vergleichbaren Fällen.

Das BerGer. ist - sachverständig beraten - zu der Feststellung gelangt, es sei auch mit größtmöglichem finanziellen Aufwand mathematisch ausgeschlossen, die PIN einzelner Karten aus den auf ec-Karten vorhandenen Daten ohne die vorherige Erlangung des zur Verschlüsselung verwendeten Institutsschlüssels in einer Breite von 128 BIT zu errechnen. Dies entspricht der Beurteilung, die das Bundesamt für Sicherheit in der Informationstechnik in einer schriftlichen Auskunft vom 27. 11. 2001 für das vom Deutschen Sparkassen- und Giroverband neu eingeführte PIN-Verfahren abgegeben hat. Die vom BerGer. vorgenommene Beweiswürdigung kann vom Senat lediglich daraufhin überprüft werden, ob sich das BerGer. entsprechend dem Gebot des § 286 ZPO mit dem Streitstoff und den Beweisergebnissen umfassend und widerspruchsfrei auseinandergesetzt hat, die Beweiswürdigung also vollständig und rechtlich möglich ist und nicht gegen Denkgesetze oder Erfahrungssätze verstößt. Einen solchen Fehler weist die Revision nicht nach. Mit ihrer Rüge, die Lebenserfahrung spreche gerade in Zeiten beschleunigt fortschreitender Computerentwicklung und der vielfältigen Möglichkeiten des Internets gegen die Annahme einer fehlenden Entschlüsselungsmöglichkeit, versucht die Revision lediglich, die Beweiswürdigung des BerGer. durch eine andere, der Kl. günstigere zu ersetzen.

Die Regeln über den Anscheinsbeweis sind auch nicht deshalb unanwendbar, weil hier davon auszugehen wäre, dass der Schaden durch zwei verschiedene Ursachen herbeigeführt worden sein kann, die beide typische Geschehensabläufe sind, für die die Kl. aber nur in einem Fall die Haftung zu übernehmen hätte. Das wäre dann der Fall, wenn als weiterer typischer Geschehensablauf in Betracht zu ziehen wäre, dass die Eingabe der zutreffenden PIN durch den Dieb der ec-Karte dadurch ermöglicht wurde, dass dieser zuvor die persönliche Geheimzahl des Karteninhabers ausgespäht hat, als dieser sie bei Abhebungen an Geldausgabeautomaten oder beim Einsatz der ec-Karte an einem POS-Terminal zur Zahlung eines Geldbetrages eingab. Eine Ausspähung der PIN etwa mit Hilfe optischer oder technischer Hilfsmittel oder durch eine Manipulation des Geldausgabeautomaten oder ein aufmerksames Verfolgen der PIN-Eingabe an POS-Terminals oder Geldausgabeautomaten ohne ausreichenden Sichtschutz des Eingabetastenfeldes ist zwar durchaus denkbar. Als ernsthafte Möglichkeit einer Schadensursache, die den Beweis des ersten Anscheins für eine grob fahrlässige gemeinsame Verwahrung von ec-Karte und PIN durch den Karteninhaber bei Eingabe der zutreffenden PIN durch einen unbefugten Dritten entfallen lässt, kommt ein Ausspähen der PIN aber nur dann in Betracht, wenn die ec-Karte in einem näheren zeitlichen Zusammenhang mit der Eingabe der PIN durch den Karteninhaber entwendet worden ist. Durch Ausspähen erlangt der Täter zunächst nur Kenntnis von der PIN, gelangt aber nicht in den Besitz der ec-Karte. Da er den Karteninhaber regelmäßig nicht persönlich kennt, muss er die ec-Karte alsbald nach dem Ausspähen der PIN entwenden.

Dafür ist hier nichts vorgetragen. Die Kl. hat vielmehr im Gegenteil vorgebracht, sie habe am Tag des Diebstahls mit der ec-Karte kein Geld abgehoben; ein Ausspähen der PIN sei “nicht möglich gewesen“. Der Täter habe “ausschließlich die Möglichkeit“ gehabt, die “PIN durch eigene Computertechnik in Erfahrung zu bringen“. Aufgrund dessen hat das BerGer., von der Revision unangegriffen, festgestellt, für ein Ausspähen der PIN gebe es hier keine Anhaltspunkte.

Ohne Rechtsfehler misst das BerGer. ferner sogenannten “Innentäterattacken“, d.h. Angriffen von Bankmitarbeitern, etwa zur Ausspähung des der Verschlüsselung dienenden Institutsschlüssels, Angriffen gegen die im Rechenzentrum des Kreditinstituts im Umfeld der Transaktionsautorisierung ablaufende Software und unbeabsichtigten Sicherheitslücken dieser Software keine einem Anscheinsbeweis zu Lasten des Kontoinhabers entgegenstehende Wahrscheinlichkeit zu. Entgegen der Ansicht der Revision hat das BerGer. in diesem Zusammenhang nicht einen Beweisantrag der Kl. verfahrensfehlerhaft übergangen. Diese hat lediglich unter Sachverständigenbeweis gestellt, dass die Maßnahmen in Bankrechenzentren und Bankverlagen zum Schutz der Software, zur Geheimhaltung der Institutsschlüssel und zur Vermeidung anderer interner Angriffe auf das PIN-System nicht ausreichend seien, um erfolgreiche Angriffe auszuschließen. Dass derartige - von der Kl. damit nicht substantiiert behauptete - Sicherheits- und Softwaremängel als Ursachen für die Möglichkeit eines Missbrauchs einer gestohlenen ec-Karte theoretisch in Betracht kommen, ergab sich aber bereits aus dem vom BerGer. eingeholten Sachverständigengutachten. Das BerGer. hat diese Ursachen als rein theoretischer Natur und als im allgemeinen außerhalb der Lebenserfahrung liegend angesehen, weil es nach den Ausführungen des Sachverständigen keine Hinweise darauf gebe, dass solche Möglichkeiten je konkret für kriminelle Handlungen entdeckt oder ausgenutzt worden seien. Das ist revisionsrechtlich nicht zu beanstanden, zumal die Bekl. unwidersprochen vorgetragen hat, bei ihr sei es nie zu einer “Innentäterattacke“ gekommen. Auch die durch keinerlei Tatsachenvortrag gestützte Vermutung der Kl., der Institutsschlüssel der Bekl. könne in kriminellen Kreisen bekannt geworden sein, ist deshalb nicht geeignet, der Anwendung des Anscheinsbeweises die Grundlage zu entziehen.

Die Revision vermag der Anwendung der Grundsätze über den Anscheinsbeweis nicht entgegenzuhalten, dass sie in der Regel nicht geeignet seien, grobe Fahrlässigkeit von einfacher Fahrlässigkeit abzugrenzen. Der Anscheinsbeweis führt hier lediglich zur Annahme eines bestimmten tatsächlichen Verhaltens des Karteninhabers, nämlich dass er seine persönliche Geheimzahl entweder auf der ec-Karte notiert oder gemeinsam mit dieser aufbewahrt hat. Erst in einem weiteren Schritt wird dieses tatsächliche Verhalten entsprechend den vereinbarten Allgemeinen Geschäftsbedingungen der Bekl. für die Verwendung der ec-Karte rechtlich als grob fahrlässig bewertet. Inhaltlich sind die Allgemeinen Geschäftsbedingungen der Bekl. insoweit nicht zu beanstanden. Sie lassen ein Notieren der PIN, auf das ein Teil der Bankkunden nicht verzichten kann, ohne weiteres zu; lediglich eine getrennte Verwahrung von ec-Karte und notierter PIN muss gewährleistet sein.

Zu Unrecht ist die Revision weiter der Auffassung, die Anwendung der Grundsätze über den Anscheinsbeweis durch die Rechtsprechung führe in Fällen der vorliegenden Art im Ergebnis zu einer Beweislastumkehr und bewirke eine verschuldensunabhängige, garantieähnliche Haftung des Bankkunden, weil der Karteninhaber nicht in der Lage sei, Sicherheitslücken im System aufzuzeigen. Der Anscheinsbeweis führt nach ständiger Rechtsprechung des BGH nicht zu einer Umkehr der Beweislast. Wenn der Karteninhaber dem Anscheinsbeweis durch die konkrete Darlegung und gegebenenfalls den Nachweis der Möglichkeit eines atypischen Verlaufs die Grundlage entzieht, hat das Kreditinstitut den vollen Beweis zu erbringen, dass der Karteninhaber eine Abhebung am Geldausgabeautomaten selbst vorgenommen oder den Missbrauch der ec-Karte durch einen unbefugten Dritten grob fahrlässig ermöglicht hat.

Es ist auch nicht generell so, dass der Karteninhaber nicht in der Lage ist, Sicherheitslücken im System des Kartenausgebers aufzuzeigen. Nach ständiger Rechtsprechung des BGH zur sekundären Darlegungslast kann es Sache einer nicht primär darlegungs- und beweispflichtigen Partei sein, sich im Rahmen der ihr nach § 138 II ZPO obliegenden Erklärungspflicht zu den Behauptungen der beweispflichtigen Partei konkret zu äußern, wenn diese außerhalb des von ihr vorzutragenden Geschehensablaufs steht und keine nähere Kenntnis der maßgebenden Tatsachen besitzt, ihr Prozessgegner aber die wesentlichen Umstände kennt und es ihm zumutbar ist, dazu nähere Angaben zu machen. Das gilt auch für das kartenausgebende Kreditinstitut hinsichtlich der von ihm - im Rahmen des Zumutbaren und gegebenenfalls in verallgemeinernder Weise - darzulegenden Sicherheitsvorkehrungen. Dadurch wird der Karteninhaber in die Lage versetzt, Beweis für von ihm vermutete Sicherheitsmängel antreten zu können. Das Kreditinstitut wird zudem aus dem mit dem Karteninhaber bestehenden Girovertrag regelmäßig als verpflichtet anzusehen sein, sämtliche in seinem Besitz befindlichen technischen Aufzeichnungen, die die streitigen oder vorangegangene Auszahlungsvorgänge betreffen oder hierüber Aufschluss geben können, bis zur Klärung der Angelegenheit aufzuheben und dem Kontoinhaber gegebenenfalls auch zugänglich zu machen. Schließlich kann sich zugunsten des Karteninhabers auswirken, dass derjenige, der die Gegenpartei schuldhaft in der Möglichkeit beschneidet, den Anscheinsbeweis zu erschüttern oder zu widerlegen, sich nicht auf die Grundsätze des Anscheinsbeweises berufen kann.

Die Revision der Kl. war daher als unbegründet zurückzuweisen.