Die Haftung beim EC-Karten Missbrauch – Chancen der Bankkunden auf Regress steigen!

In Deutschland werden jedes Jahr mehr als einhunderttausend EC-Karten gestohlen und häufig gelingt es den Tätern, mit den Karten größere Summen am Geldautomaten abzuheben. Wenn nach dem Diebstahl von EC-Karten das Girokonto von Trickdieben abgeräumt wurde, stellen sich die Banken und Sparkassen im Regelfall auf den Standpunkt, der Kontoinhaber habe die Kreditkarte zusammen mit der persönlichen Geheimzahl (PIN) aufbewahrt und damit den Schaden selbst verschuldet.

Der Bundesgerichtshof hat die bankenfreundliche Rechtsprechung im Jahr 2004 bestätigt und die Beweislast für den ordnungsgemäßen Umgang mit der Geheimzahl einseitig den Bankkunden aufgebürdet. Dem Urteil lag ein umfangreiches Sachverständigengutachten aus dem Jahr 2001 zugrunde, das zu dem Ergebnis kam, dass die PIN nicht „zu knacken" sei. Der Bundesgerichtshof kam daher zu dem Ergebnis, dass der Beweis des ersten Anscheins dafür spreche, dass der Kunde die Geheimnummer zusammen mit der Karte aufbewahrt habe. Geschädigte Bank- und Sparkassenkunden können nach dieser Ansicht des BGH von ihrem Kreditinstitut nur dann die Rückgängigmachung der Bargeldabhebungen verlangen, wenn sie ernsthaft die Möglichkeit aufzeigen, dass der Code auf Grund von Sicherheitsmängeln bei der Bank geknackt worden sei.

Seit einigen Jahren regen sich immer mehr Stimmen unter den Experten, die meinen, dass es technisch keineswegs ausgeschlossen sei, die persönliche Geheimnummer (PIN) zu entschlüsseln (vgl. insbesondere OLG Zweibrücken, WM 1991, 67; Landgericht Osnabrück, NJW-RR 2003, 1283, 1284; Strube WM 1998, 1210, 1214). Die den Anscheinsbeweis ablehnenden Auffassungen in der Rechtsprechung und Literatur basieren allesamt auf den Missbrauchsmöglichkeiten infolge vorhandener technischer Sicherheitslücken. Hiernach gibt es schon allein sieben Defizite in der System- und Sicherheitsarchitektur und somit zahlreiche andere mögliche Ursachen für die unberechtigten Bargeldabhebungen.

Die Experten in Deutschland führen aus, dass sogar der als sicher geltende Triple-DES beim Einsatz von EC-Karten nicht mehr sicher sei. So könne das Entschlüsseln der PIN Kombination beispielsweise durch so genannte eingeschleuste Trojaner erfolgen. Dieses Trojanerprogramm kann so funktionieren, dass - wenn zu einer gestohlenen Karte am Geldautomaten eine vorab verabredete PIN, z.B. 9371, eingegeben werde - der angeforderte Geldbetrag ausbezahlt wird, ohne dass hierzu die richtige PIN bekannt sein oder eingegeben werden müsse. Sachverständige haben in hier vorliegenden Gutachten weitere Wege aufgezeigt, wie eine unbekannte PIN von einem Dritten ermittelt werden kann.

Wer haftet bei Missbrauch?

Ist die Karte unmittelbar nach dem Verlust gesperrt worden ist und erst danach eine unberechtigte Abhebung erfolgt, ist es einfach: Grundsätzlich haften die Kreditinstitute. Deshalb ist es wichtig, so schnell wie möglich die Karte sperren lassen. Wenn eine unberechtigte Abhebung in der Zeit erfolgte, als die Karte noch nicht gesperrt worden ist, gilt zwar der Grundsatz, dass die Bank den Schaden zu tragen hat, wenn ein Unbefugter mit der Karte Geld abhebt. Allerdings gilt das nicht, wenn der Kunde fahrlässig mit Karte und PIN umgegangen ist und den Missbrauch dadurch erst ermöglicht hat. Der Bundesgerichtshof ist mit seiner Entscheidung aus dem Jahr 2004 davon ausgegangen, dass es grundsätzlich nicht möglich sei, die PIN zu knacken und hat einen Anscheinsbeweis zugunsten der Bank aufgestellt, dass der Kunde die PIN wohl fahrlässig neben der Karte aufbewahrt haben müsse, wenn es zu einem Missbrauch gekommen ist. Der Kunde musste also bislang immer den Anscheinsbeweis erschüttern, indem er substantiiert darzulegen hatte, wie die missbräuchliche Abhebung erfolgen konnte, ohne dass er sich fahrlässig verhalten hat. Das ist in den meisten Fällen sehr schwierig, so dass es nur selten gelungen ist, eine Haftung der Bank bei einem EC-Karten-Missbrauch durchzusetzen. Durch die Umsetzung von Art. 61 Abs. 2 der EG-Richtlinie RL/2007/64/EG des Europäischen Parlaments und des Rates vom 13.11.2007, die am 05.12.2007 im Amtsblatt der Europäischen Union (L 319/1) veröffentlicht wurde (sog. SEPA-Richtlinie), in das deutsche Gesetz hat sich aber nunmehr die Lage der Bankkunden im Falle einer missbräuchlichen Verwendung bei EC Karten deutlich verbessert.

Das Amtsgericht Berlin-Mitte hat in einer noch nicht rechtskräftigen Entscheidung bei einem Missbrauchsfall die neu eingeführte Vorschrift des § 676 h BGB konsequent angewandt und ausgeführt, dass § 676 h BGB insofern eine besondere Schutzvorschrift zugunsten des Bankkunden vor der Inanspruchnahme durch sein Kreditinstitut bei missbräuchlicher Kartenverwendung darstelle. Der vom BGH aufgestellte Anscheinsbeweis, der zugunsten der Bank spreche, stehe in klarem Widerspruch zu europarechtlichen Vorgaben. Nach der SEPA-Richtlinie sollen Bankkunden nur noch dann für nicht von ihnen autorisierte Zahlungsvorgänge haften, wenn sie ihre Sorgfaltspflichten in betrügerischer Absicht oder grob fahrlässig verletzt haben. Damit solle das Haftungsrisiko bei Kartenmissbrauch zum überwiegenden Teil vom Bankkunden auf die Bankinstitute verlagert werden. Die Voraussetzungen, unter denen Banken bei missbräuchlichen Abhebungen Regress bei ihren Kunden nehmen können, werden dadurch sehr hoch angesetzt. Diese Haftungsmaßstäbe konterkariert o.g. Anscheinsbeweis und setzt sie fast vollkommen außer Kraft.

Insgesamt ist damit festzustellen, dass es durchaus gute Aussichten für Opfer einer missbräuchlichen Verwendung der EC Karte gibt, einen entsprechenden Regress von der Bank zu erhalten.