Haftung der Bank bei EC-Karten-Missbrauch

Keine grobe Fahrlässigkeit bei gemeinsamer Aufbewahrung der EC-Karte mit hinreichend verschlüsselter Geheimzahl

Bank konnte nicht beweisen, dass die Täter die Original-PIN eingegeben haben 

Anwältin warnt: Chipkartentechnik bietet keine ausreichende Sicherheit vor Missbrauch bei Kartendiebstahl - Geldabhebung auch ohne Original-PIN möglich

Im Streit um Erstattungsansprüche bei EC-Kartenmissbrauch gab das Amtsgericht München der Klage eines Bankkunden auf Zahlung von 1.011,- € überwiegend statt und verurteilte die beklagte Bank zur Zahlung in Höhe von 861,- €.

In dem von Rechtsanwältin Katja Fohrer aus der Münchner Kanzlei Mattil & Kollegen geführten Verfahren ging es u.a. um die Fragen, ob es eine grobe Fahrlässigkeit des Bankkunden darstellt, wenn er seine PIN hinreichend verschlüsselt notiert und zusammen mit seiner EC-/ oder Kreditkarte im Geldbeutel aufbewahrt, und ob es möglich ist, mit einer gestohlenen Zahlkarte ohne Kenntnis der PIN am Geldautomaten Geld abzuheben bzw. wer für die Eingabe der Original-PIN durch die Täter die Beweislast trägt. 

Der mathematisch versierte Kläger hatte seine PIN (4438) in Primzahlen (2, 7, 317) zerlegt, diese Primzahlen zusammenhanglos (27317) auf einem handschriftlichen Zettel zusammen mir Telefonnummern notiert und die Notiz zusammen mit der EC-Karte im Geldbeutel aufbewahrt. Nur 18 Minuten nach dem Diebstahl des Geldbeutels in Italien an einer Autobahnraststätte südlich des Gardasees haben Diebe mit der EC-Karte 1.000,- € am Geldautomaten abgehoben. Die Hausbank des Klägers verweigerte die Zahlung und berief sich auf grobe Fahrlässigkeit. Sie behauptete, der Kläger habe die PIN zusammen mit der Karte aufbewahrt, anders sei es nicht zu erklären, dass die Diebe mit der Karte unter Eingabe einer PIN Geld abheben konnten. Die Bank berief sich dabei auf eine alte Rechtsprechung des BGH zum sog. Anscheinsbeweis aus dem Jahr 2004, wonach bei einem Kartendiebstahl und kurz darauf erfolgter Abhebung bei Einsatz der Originalkarte der erste Anschein dafür spreche, dass der Bankkunde die PIN zusammen mit der Karte aufbewahrt habe. Sie verweigerte vehement die Rückzahlung, des relativ geringen Betrages (1.011,- €, d.h. 2 x 500,- € zzgl. 2 x Abhebegebühr im Ausland 5,50 €), obwohl sie seit über 40 Jahren die Hausbank des Kunden war.  

Das Amtsgericht München hat mit Urteil vom 2.6.2023 sowohl grobe als auch einfache Fahrlässigkeit verneint und entschieden, dass die Bank dem Bankkunden den nach dem Kartendiebstahl von den Betrügern abgebuchten Betrag erstatten muss, abzgl. eines Betrages von 150,- € (eine Art gesetzlich vorgesehener Selbstbehalt, der seit 2018 vom Gesetzgeber zugunsten der Verbraucher mittlerweile auf 50,- € reduziert wurde, vgl.§ 675 v Abs. 1 BGB a.F.) und (Urteil vom 2.6.2023, 142 C 19233/19, noch nicht rechtskräftig). Die beklagte Bank konnte nach Ansicht des Gerichts nicht nachweisen, dass die unbekannten Täter auch die korrekte Geheimzahl des Klägers in Erfahrung gebracht und zur Auszahlung verwendet haben. Die von der Bank vorgelegten Vorgangsprotokolle und darin genannten Kürzel, die der Bank über einen externen Dienstleister zur Verfügung gestellt und von diesem ausgewertet wurden, sah das Gericht nicht als ausreichenden Nachweis für die Eingabe der korrekten Geheimzahl an, denn aus dem darin genannten Kürzel ergebe sich lediglich, dass eine Geheimzahl eingegeben wurde, aber nicht, welche Geheimzahl es war. Die Bank sei damit die Mindestanforderungen der Beweisführung gem. § 675 w S. 2 BGB a.F. beweisfällig geblieben, da für das Gericht nicht erkennbar sei, ob und mit Hilfe welchen Verfahrens sie die personalisierten Sicherheitsmerkmale des Zahlungsinstruments geprüft hat und zu welchem Ergebnis diese Prüfung geführt habe.

Dieses Urteil hat weit über den Einzelfall hinausgehende Bedeutung.

In zahlreichen Fällen verweigern Banken in solchen EC-Karten-Missbrauchsfällen oder bei online-banking-Betrug (phishing) die Erstattung des abgebuchten Betrages, mit dem Vorwurf, der Bankkunde habe sich grob fahrlässig verhalten. Durch dieses Urteil werden den Banken nun die Grenzen aufgezeigt: ein Bankkunde darf der von den Banken zur Personaleinsparung eingesetzten Technik nicht schutzlos ausgeliefert sein. Sicherheitslücken hat die Bank zu verantworten, nicht der Kunde.

Die seit einigen Jahren von Banken als angeblich sicher eingestufte Chipkartentechnik ist nicht sicher: bei bloßem Besitz der Original-Karte ist es den Tätern möglich, das Konto (bis zum Tageslimit) abzuräumen. Ob dies durch ein technisches Auslesen der PIN oder durch geschicktes Manipulieren des Abhebeterminals, z.B. das Aufspielen einer malware geschieht, ist zwar unklar. Gleichwohl besteht damit quasi freier Zugang zum Konto.

Auch bei Missbrauch im online-banking verweigern Banken die Erstattung und werfen den Kunden meist grobe Fahrlässigkeit vor. Doch auch hier sind die Banken für Datenlecks und ausreichende Sicherheit verantwortlich, und nicht die Kunden.

Man sollte sein Tageslimit möglichst niedrig ansetzen um im Betrugsfall den Schaden gering zu halten. Mir sind Fälle bekannt, in denen durch online-banking Missbrauch sogar Schäden von über 150.000,- € entstanden sind.

Sollte man Opfer von online-banking-Betrug geworden sein und die Bank den abgebuchten Betrag nicht erstatten, empfehlen wir dringend, sich gegenüber der Bank ggfs. unter anwaltlicher Hilfe zur Wehr zu setzen. In zahlreichen Fällen konnten wir bereits erreichen, dass die Bank dann doch bezahlt hat.