Beweislastverteilung bei gestohlener Kreditkarte

Die Klägerin hatte behauptet, ihr sei die Geldbörse nebst Kreditkarte gestohlen worden. Kurz danach seien Abhebungen in Höhe von DM 2000,00 erfolgt. Das Geld habe aber nicht sie abgehoben, sondern der Dieb mit der PIN, die er sich irgendwie erschlichen haben müsse.

Tatsächlich wurde festgestellt, dass die Klägerin zu den Zeiten, an dem das Geld am Automaten abgehoben wurde, dort nicht war.Der BGH nahm jedoch an, dass die PIN ( Personal Identity Number) aufgrund des angewendeten Verschlüsselungsverfahrens so sicher sei, dass niemand sie knacken könne, der nicht einen internen Schlüssel der Bank besäße. Die Lebenserfahrung zeige dann, dass die Klägerin die Nummer der PIN irgendwo auf der Karte oder im Geldbeutel zugänglich notiert haben müsse, sonst hätte der Dieb das Geld nicht abheben können. Da dieses Verhalten jedoch grob fahrlässig sei, könne die Klägerin keinen Ersatz von der Bank erwarten.

Anders könne es nur sein, wenn die Klägerin tatsächliche Umstände darlegen könne, die ernsthafte Zweifel an diesem Erfahrungssatz begründen würden. Dies sei aber nicht erfolgt, weshalb die Klage abzuweisen war.

Kommentar: Diese Entscheidung ist richtig. Ärgerlich zwar für die Kontobesitzerin, aber richtig - wenn die angenommenen Voraussetzungen stimmen. Hierin liegt aber die grosse Ungewissheit des Urteils.Die Bank hatte vorgetragen und mit Gutachten unter Beweis gestellt, dass der 128 -stellige Code, mit der die PIN erzeugt wurde, ohne weitere Hilfe, insbesondere weitere Informationen, mit den derzeitigen bekannten Verfahren nicht zu knacken sei. Folgerichtig musste der BGH ein grobes Verschulden der Kartenbesitzerin - oder gar eine Komplizeneigenschaft- annehmen, da sonst die PIN nicht herausgefunden werden können.

Einwände, dass ja ein bankinternes Sicherheitsloch bestehen könne, oder eine (unbekannte) Sicherheitslücke bestehen könne, wurden zwar gehört. Es lagen aber keine weiteren konkreten Umstände vor, die einem solchen Zweifel genug Boden gegeben hätten um den Beweis des ersten Anscheins, nämlich dass die PIN irgendwo notiert war, zu erschüttern.

Fazit: Wenn das Verschlüsselungsverfahren der Banken tatsächlich so sicher ist wie behauptet, müssen die Geschädigten in Zukunft alle Umstände vortragen und als Beweis sichern, die belegen können, dass die Kartennummer doch nicht irgendwo notiert war- oder nachweisen, dass das Verschlüsselungsverfahren der Banken nicht sicher genug ist. Beides ist kaum - nur im Ausnahmefall- zu leisten. Kartendiebstahl kann daher teuer zu stehen kommen.

nach oben

Quelle: Pressemitteilung des BGH Nr. 110/2004 vom 05.10.04

Bundesgerichtshof zum Anscheinsbeweis für grob fahrlässiges Verhalten des Karteninhabers bei Geldabhebungen mit gestohlener ec-Karte

Der für das Bankrecht zuständige XI. Zivilsenat des Bundesgerichtshofs hatte darüber zu entscheiden, ob in Fällen, in denen mit einer gestohlenen ec-Karte an Geldausgabeautomaten unter Verwendung der zutreffenden Geheimnummer Geld abgehoben wurde, bei Anwendung des seit 1997/1998 eingeführten PIN-Schlüssels der Spar-kassenorganisation in einer Breite von 128 BIT der Beweis des ersten Anscheins dafür spricht, daß der Dieb von der Geheimnummer nur wegen ihrer Verwahrung gemeinsam mit der ec-Karte Kenntnis erlangen konnte.

Die Klägerin unterhielt bei der beklagten Sparkasse ein Girokonto. Für dieses erteilte die Beklagte der Klägerin im November 1999 eine ec-Karte und eine persönliche Geheimnummer (PIN). Mit der ec-Karte der Klägerin wurden an Geldausgabeautomaten zweier Sparkassen unter Eingabe der richtigen PIN am 23. September 2000 gegen 17.30 Uhr zweimal 500 DM und am Morgen des folgenden Tages 1.000 DM abgehoben. Die Beklagte belastete das Girokonto der Klägerin mit den abgehobenen Beträgen. Die Klägerin hat zur Begründung ihrer auf Zahlung von 2.000 DM gerichteten Klage geltend gemacht, ihr seien am 23. September 2000 zwischen 15.00 Uhr und 17.00 Uhr auf einem Stadtfest ihr Portemonnaie und die darin befindliche ec-Karte entwendet worden. Der Dieb müsse die persönliche Geheimzahl, die nirgendwo schriftlich notiert gewesen sei, entschlüsselt oder Mängel des Sicherheitssystems der Beklagten ausgenutzt haben. Das Amtsgericht hat der Klage stattgegeben, das Landgericht hat sie abgewiesen.

nach oben

Der Bundesgerichtshof hat die Entscheidung des Landgerichts bestätigt und die Revision der Klägerin zurückgewiesen.

Die Beklagte hat das Konto der Klägerin zu Recht mit den abgehobenen Beträgen belastet. Das Berufungsgericht hat zwar festgestellt, daß die Geldabhebungen durch einen unbefugten Dritten, nämlich den Dieb oder einen Komplizen, erfolgten. Die Klägerin haftet aber für die durch die mißbräuchliche Verwendung ihrer ec-Karte entstandenen Schäden, weil diese auf einer grob fahrlässigen Verletzung ihrer Sorgfalts- und Mitwirkungspflichten beruhen. Das Berufungsgericht hat zutreffend angenommen, zugunsten der hierfür beweispflichtigen Beklagten spreche der Beweis des ersten Anscheins, daß die Klägerin ihre Pflicht zur Geheimhaltung der persönlichen Geheimzahl verletzt habe, indem sie diese auf der ec-Karte vermerkt oder zusammen mit der ec-Karte verwahrt habe. Ein solches Verhalten stellt nach der Rechtsprechung des Senats eine grobe Fahrlässigkeit des Karteninhabers dar.

Die Grundsätze über den Beweis des ersten Anscheins greifen nur bei typischen Geschehensabläufen ein, d. h. in Fällen, in denen ein bestimmter Sachverhalt feststeht, der nach allgemeiner Lebenserfahrung auf eine bestimmte Ursache oder auf einen bestimmten Ablauf als maßgeblich für den Eintritt eines bestimmten Erfolges hinweist. Spricht ein Anscheinsbeweis für einen bestimmten Ursachenverlauf, kann der Inanspruchgenommene diesen entkräften, indem er Tatsachen darlegt und gegebenenfalls beweist, aus denen sich die ernsthafte, ebenfalls in Betracht kommende Möglichkeit einer anderen Ursache ergibt.

nach oben

Nach diesen Maßstäben streitet in einem Fall der vorliegenden Art der Beweis des ersten Anscheins für ein grob fahrlässiges Verhalten des Karteninhabers im Zusammenhang mit der Geheimhaltung seiner persönlichen Geheimzahl. Das Berufungsgericht hat sachverständig beraten festgestellt, es sei mathematisch ausgeschlossen, die PIN einzelner Karten aus den auf ihnen vorhandenen Daten ohne vorherige Erlangung des zur Verschlüsselung verwendeten Institutsschlüssels zu errechnen. Daß die Eingabe der zutreffenden PIN durch den Dieb der ec-Karte hier dadurch ermöglicht wurde, daß dieser zuvor die persönliche Geheimzahl des Karteninhabers bei Abhebungen an Geldausgabeautomaten ausgespäht hat, war nicht hinreichend dargetan.

nach oben

Ohne Rechtsfehler hat das Berufungsgericht ferner sogenannten "Innentäterattacken", d. h. Angriffen von Bankmitarbeitern, etwa zur Ausspähung des der Verschlüsselung dienenden Institutsschlüssels, Angriffen gegen die im Rechenzentrum des Kreditinstituts im Umfeld der Transaktionsautorisierung ablaufende Software und unbeabsichtigten Sicherheitslücken dieser Software keine einem Anscheinsbeweis entgegenstehende Wahrscheinlichkeit zugemessen.

Zugleich hat der Bundesgerichtshof aber deutlich gemacht, daß kartenausgebende Kreditinstitute verpflichtet sein können, in Zivilprozessen der vorliegenden Art (im Rahmen berechtigter Geheimhaltungsinteressen) nähere Angaben über die von ihnen getroffenen Sicherheitsvorkehrungen zu machen, um gegebenenfalls auch deren Überprüfung durch Sachverständige zu ermöglichen.

Urteil vom 5. Oktober 2004 - XI ZR 210/03

Karlsruhe, den 5. Oktober 2004

Neu geschrieben

Hauptnavigation