Areas of law tree

Geld- und Kreditkarten

Rechtsanwalt Rechtsanwalt Dirk Streifler - Partner, Handels- und Gesellschaftsrecht, Insolvenzrecht, Steuerrecht, Strafrecht, Maklerrecht, Verfassungsrecht, Oranienburger Straße 69
Rechtsanwalt Dirk Streifler - Partner
030-278740 42
Oranienburger Straße 69
10117 Berlin
Mo - Fr durchgehend von 8:00 - 18:00

Bankrecht: EC-Karten-Inhaber haftet für Schaden durch Missbrauch

Rechtsanwalt Rechtsanwalt Dirk Streifler - Partner, Handels- und Gesellschaftsrecht, Insolvenzrecht, Steuerrecht, Strafrecht, Maklerrecht, Verfassungsrecht, Oranienburger Straße 69
Rechtsanwalt Dirk Streifler - Partner
030-278740 42
Oranienburger Straße 69
10117 Berlin
Mo - Fr durchgehend von 8:00 - 18:00
NUR bei Verwendung von PIN - BSP Bierbach, Streifler & Partner PartGmbB
Das AG Bremen hat mit dem Urteil vom 15.03.2000 (Az: 6 C 37/99) folgendes entschieden:

Die Klage wird abgewiesen.

Der Kl. trägt die Kosten des Rechtsstreits.

Das Urteil ist für die Bekl. wegen der Kosten gegen Sicherheitsleistung in Höhe von DM 3.750,00 vorläufig vollstreckbar.


Tatbestand

Der Kl. unterhält bei der Bekl. ein Girokonto. Die Bekl. hat ihm eine Eurocard und eine persönliche Geheimnummer zur Barabhebung an Geldautomaten zur Verfügung gestellt.

Der Kl. behauptet, ihm sei in der Nacht vom 25. auf den 26.7.1998 sein Portemonnaie mit Scheckkarte gestohlen worden. Unmittelbar nach Bemerken des Verlustes habe er die Sperrung der Karte veranlasst. Dies sei am 26.7.1998 um 3.04 Uhr erfolgt.

In derselben Nacht sind mit dieser Karte unstreitig zwei Barabhebungen in Höhe von jeweils DM 1.000,00 aus einem ec-Automaten vorgenommen worden und zwar um 1.45 und 1.46 Uhr. Für beide Abhebungen sind dem Konto des Kl. jeweils Gebühren in Höhe von DM 10,00 berechnet worden. Um 2.05 Uhr wurde erneut Gebrauch von der Karte über einen Betrag von DM 960,00 durch Vorlage in einem Nachtlokal gemacht.

Der Kl. ist der Auffassung, die Bekl. sei ihm im Hinblick auf Ziff. 2.4 der Bedingungen für ec-Karten zum Ersatz der durch den Missbrauch der Karte entstanden Schadens verpflichtet. Insbesondere könne ihm die Bekl. nicht entgegenhalten, dass er den eingetretenen Schaden fahrlässig selbst herbeigeführt habe. Er habe das Portemonnaie in der Innentasche seiner Jacke stets bei sich getragen und habe seine persönliche Geheimzahl keiner anderen Person mitgeteilt und sie auch nirgendwo schriftlich festgehalten. Die Bekl. lasse auch außer acht, dass es Unbefugten durchaus möglich sei, mit entsprechenden technischen Hilfsmitteln eine Geheimzahl zu decodieren.

Der Kl. beantragt,

die Bekl. zu verurteilen, an ihn DM 2.980,00 nebst 4 % Zinsen seit Rechtshängigkeit zu zahlen.

Die Bekl. beantragt,

die Klage abzuweisen.

Sie ist der Auffassung, gem. Abschnitt II Ziffer 2.4 der maßgeblichen Bedingungen für ec-Karten müsse der Kl. den durch die möglicherweise missbräuchliche Verwendung seiner ec-Karte entstandenen Schaden in vollem Umfang selbst tragen, weil er seine Pflichten grob fahrlässig verletzt habe. Grobe Fahrlässigkeit liege insbesondere dann vor, wenn er die persönliche Geheimzahl auf der Karte vermerkt oder zusammen mit der Karte aufbewahrt oder wenn er die Geheimzahl einer anderen Person mitgeteilt und dadurch den Missbrauch verursacht habe.

Es sei heute auch nicht mehr möglich, dass ein unbefugter Dritter die persönliche Geheimzahl ermitteln könne. Die teilweise anders lautende Rechtsprechung beziehe sich auf einen abweichenden technischen Sachverhalt. Der Kl. habe nämlich Anfang 1998 eine neue ec-Karte mit neuer PIN-Nummer erhalten. Das alte Sicherungssystem habe für die Geheimzahl einen 56-Bit-Schlüssel benutzt sowie einen im jeweiligen Geldautomaten gespeicherten Poolschlüssel. Zudem seien die Ziffern 0 bis 5 wesentlich häufiger vorgekommen als die Ziffern von 6 bis 9. Den neuen PIN-Nummern liege jedoch ein 128-Bit-Schlüssel zugrunde und die Ziffern im Zahlenbereich zwischen 0000 und 9999 gleichmäßig verteilt. Ein Poolschlüssel sei nicht mehr im Geldautomaten gespeichert, nur im Zentralrechner erfolge die Umrechnung. Es sei nicht mehr möglich, durch Manipulation der Karte die vom Rechner feststellbaren Fehlversuche jeweils wieder auf 0 zurückzusetzen; vielmehr werde die Karte nach drei Fehlversuchen endgültig eingezogen.

Im Falle des Kl. gab es bei den Abhebungen keine Fehlversuche. Daher sei es mit an Sicherheit grenzender Wahrscheinlichkeit auszuschließen, dass die PIN-Nummer durch bloßes Raten ermittelt worden sei. Auch mit technischen Hilfsmitteln sei die Nummer heute nicht mehr zu entschlüsseln.

Zur Ergänzung des Sach- und Streitstandes wird auf die zwischen den Parteien gewechselten Schriftsätze nebst Anlagen Bezug genommen.

Das Gericht hat Beweis erhoben durch Vernehmung des Zeugen E. sowie durch Einholung eines schriftlichen Sachverständigengutachtens. Wegen des Ergebnisses der Beweisaufnahme wird auf die Sitzungsniederschrift vom 1.3.2000 und das schriftliche Gutachten des Sachverständigen Dr. H. vom 25.1.2000 verwiesen.


Entscheidungsgründe

Die Klage ist unbegründet.

Der Kl. hat keinen Anspruch gegen die Bekl. auf Berichtigung des Saldos des bei der Bekl. geführten Kontos in Höhe der infolge der missbräuchlichen Benutzung seiner ec-Karte vorgenommenen Belastungsbuchung.

Das Rechtsverhältnis zwischen kartenausgebender Bank und Karteninhaber stellt eine entgeltliche Geschäftsbesorgung i.S. des § 675 BGB dar. Im Falle einer missbräuchlichen Verwendung der ec-Karte an Geldautomaten, wie sie hier vom Kl. vorgetragen wurde, fehlt es an einer wirksamen Anweisung des Karteninhabers, so dass der Bank ihm gegenüber keinen Aufwendungsersatzanspruch geltend machen kann.

Die Bekl. übernimmt deshalb gem. Ziff. 2.4 der besonderen Bedingungen für ec-Karten “auch die bis zum Eingang der Verlustanzeige entstehenden Schäden, wenn der Karteninhaber die ihm nach diesen Bedingungen obliegenden Pflichten erfüllt hat“. Die Bekl. ist danach nur dann zur Belastung des Girokontos entsprechend der missbräuchlichen Anweisung berechtigt, wenn der Kl. seine vertraglichen Verpflichtungen verletzt hat, insbesondere die persönliche Geheimzahl auf der Karte vermerkt oder zusammen mit der ec-Karte verwahrt hat oder die persönliche Geheimzahl einer anderen Person mitgeteilt hat und der Missbrauch dadurch verursacht wurde.

Den ihr obliegenden Beweis einer Verletzung dieser vertraglichen Pflichten durch den Kl. hat die Bekl. zur Überzeugung des Gerichts geführt.

Der Zeuge E., der als Bankkaufmann bei der Bekl. tätig ist, hat den Vortrag der Bekl. bestätigt, wonach an den Kl. eine ec-Karte der neuen Generation mit einer 128-Bit-Verschlüsselung ausgegeben worden war. Der Zeuge hat weiter ausgesagt, dass es nach dem 28.1.1998 nicht mehr möglich gewesen sei, mit den alten Karten an Geldautomaten Barabhebungen vorzunehmen.

Der Sachverständige Dr. H., der Leiter der Forschungsgruppe Kryptologie am Fachbereich Mathematik der Universität Bremen, Mitglied der IACR (International Association for Cryptographic Research), Mitglied des Arbeitskreises “Kryptosysteme“ beim Forschungszentrum der Deutschen Telekom und Mitglied der Arbeitsgruppe “Technischer Datenschutz“ bei der Deutschen Gesellschaft für medizinische Informatik ist, hat die folgenden Behauptungen der Bekl. in seinem Gutachten bestätigt:

1. es sei bei “EC-Cards“, die seit 1998 eingesetzt werden und die für die Geheimzahl einen 128-Bit-Schlüssel verwenden, innerhalb von kurzer Zeit (vorliegend wenigen Stunden zwischen Entwendung und erster missbräuchlicher Verwendung) nicht möglich, ohne vorherige Kenntnis der PIN Abhebungen an Bargeldautomaten der Banken vorzunehmen,

2.  um die PIN anhand der auf der Karte gespeicherten Daten zu ermitteln, müsste einem unbefugten Dritten eine 16-stellige Codezahl bekannt sein. Diese Codezahl werde durch drei Komponenten errechnet, nämlich 1. durch die 128 BIT-Schlüsselangabe auf der ec-Karte, 2. durch einen zentralen bankeigenen Schlüssel, der kurzfristig periodisch geändert wird und 3. durch den DES-Code, der ein “kryptographischer Algorithmus“ ist

3. es sei nicht mehr möglich, durch Kartenmanipulation die vom Rechner feststellbaren Fehlversuche jeweils wieder auf 0 zurückzusetzen; vielmehr werde die Karte jetzt stets bei 3 Fehlversuchen eingezogen.

Der Sachverständige hat damit den Vortrag der Bekl. bestätigt, wonach die kryptographischen Schwächen des alten PIN-Systems - die zentralen Institutsschlüssel waren mit 56 Bit zu kurz und konnten immer leichter mittels speziell zur Lösung dieses Problems konstruierter Computer berechnet werden, zentrale Schlüssel waren auch in Geldautomaten vorhanden - im neuen System vermieden werden.

Die Wahrscheinlichkeit, dass ein ec-Karten-Dieb schon beim ersten Versuch die PIN richtig errät liegt bei 1:10.000. Es erscheint deshalb ausgeschlossen, dass die Person, die missbräuchlich und ohne jeden Fehlversuch die ec-Karte des Kl. benutzt hat, ohne positive Kenntnis der PIN-Nummer war. Diese Wahrscheinlichkeit ist entgegen der Auffassung des Kl. so gering, dass sie nicht als realistische Möglichkeit in Betracht gezogen werden kann.

Dass sich die vom Sachverständigen angeführten intrinsischen Schwächen von PIN-Systemen im vorliegenden Fall verwirklicht hätten, ist ebenfalls nicht anzunehmen. Zwar ist dem Sachverständigen sicherlich zu folgen, dass im Hinblick auf die fehlenden Kenntnisse der “inneren“ Sicherheitssysteme der Banken der Schutz gegen Insider-Attacken nicht hinreichend beurteilt werden kann. Andererseits gibt aber der vorliegende Fall keinerlei Anhaltspunkte dafür, dass beispielsweise heimlich im Verein handelnde Führungskräfte einer Bank sich in den Besitz des zentralen Bankschlüssels gesetzt, dann immerhin noch recht aufwendig die PIN der klägerischen ec-Karte decodiert haben könnten, nur um dann DM 2.000 an Bargeld und einen Besuch in der Salome-Bar in der Birkenstraße zu erwirtschaften.

Die vom Kl. geschilderten Umstände des Abhandenkommens seines Portemonnaies während des Heartbraker-Balls, einer Veranstaltung in einem Bremer Freibad, lassen auch keinen Raum für die Annahme, dass der Kl. beim Benutzen der Karte ausgespäht wurde.

Es spricht vielmehr alles dafür, dass sich bei den dem Kl. entwendeten Unterlagen auch die PIN-Nr. befand und der Dieb so die ec-Karte an den Geldautomaten benutzen konnte.

Unter diesen Umständen ist die Bekl. von der Verpflichtung befreit, dem Kl. den aus der missbräuchlichen Verwendung der ec-Karte entstandenen Schaden zu ersetzen.

Die Klage war nach allem mit der Kostenfolge des § 91 ZPO abzuweisen.

Die Entscheidung über die vorläufige Vollstreckbarkeit beruht auf § 709 ZPO.