Neues BGH-Urteil zu Gattungsbegriffen: weltonline.de
Der Persocheck ist tot

Betrügerische Geldabhebungen mit Karte und PIN-Nummer

 

BGH mit Urteil vom 5. Oktober 2004 

von Rechtsanwältin Ute Rossenhövel


Immer wieder warnen Verbraucherschützer und Banken davor, die ec-Karte oder Kreditkarte zusammen mit der PIN-Nummer aufzubewahren. Trotzdem bewahren noch immer viele ihre Nummer scheinbar "unauffindbar" im Portemonnaie oder Brieftasche auf.

Wird das Portemonnaie gestohlen, der Verlust zu spät gemerkt oder die Kartensperre erfolgt verzögert, kann es zu Abhebungen mit Karte und PIN-Nummer kommen. Allerdings: Inzwischen sind erhebliche Zweifel an der Sicherheit der PIN-Nummern an sich aufgekommen. Eine nicht unerhebliche Zahl von Experten meint, die Nummern seien grundsätzlich mit Hilfe moderner Computer errechenbar. Es sei lediglich eine Frage der Zeit, bis die Geheimnummer errechnet ist.

Auf genau diese Argumentation hat sich eine Klägerin berufen, die "nur" rund 1.000 € Verlust zu beklagen hatte. Sie forderte von der Bank die Rückzahlung des Betrags. Dieser war in insgesamt drei Abhebungen innerhalb von 24 Stunden entstanden. Das Buchungssystem hielt unzweifelhaft die Eingabe der richtigen PIN-Nummer fest. Die Klägerin behauptete, ihr sei die Karte nebst Portemonnaie unmittelbar vor der ersten Abhebung abhanden gekommen. Der Dieb müsse die persönliche Geheimzahl, die nirgendwo schriftlich notiert gewesen sei, entschlüsselt oder Mängel des Sicherheitssystems der Beklagten ausgenutzt haben.

Das zunächst mit der Rückzahlungsklage beschäftigte Amtsgericht gab der Klage statt, die Berufungsinstanz wies sie jedoch ab. Mit der Revision zum BGH verfolgte die Klägerin ihren Anspruch weiter.

Der Bundesgerichtshof hat nun heute, am 5. Oktober 2004, das Urteil verkündet. Die Entscheidung hat Auswirkungen auf sämtliche ähnliche Fälle. Hintergrund ist die Frage, ob der seit 1997/1998 eingeführte PIN-Schlüssels der Sparkassenorganisation in einer Breite von 128 BIT so "sicher" ist, dass allein die Tatsache der eingegebenen korrekten PIN-Nummer schon zu einer Entlastung der Bank führt. Diese müsste nämlich grundsätzlich den Beweis führen, dass sie den Betrag ordnungsgemäß ausgezahlt hat. Bei beleghaften Auszahlungen dient dazu die jeweilige Originalunterschrift, die mit der hinterlegten Unterschrift im Wesentlichen übereinstimmen muss. Ob die PIN-Nummer letztlich so einmalig ist wie eine Unterschrift, das entschied heute der Bundesgerichtshof.

Und zwar positiv im Sinne der Banken. Die Richter meinten zwar, dass die Geldabhebungen durch einen unbefugten Dritten, nämlich den Dieb oder einen Komplizen, erfolgten. Die Klägerin haftet aber für die durch die missbräuchliche Verwendung ihrer ec-Karte entstandenen Schäden, weil diese auf einer grob fahrlässigen Verletzung ihrer Sorgfalts- und Mitwirkungspflichten beruhen. Die Klägerin konnte nicht widerlegen, dass sie die persönliche Geheimzahl weder auf der ec-Karte vermerkt noch zusammen mit der ec-Karte verwahrt habe. Ebensowenig hatte sie andere Umstände vorgetragen, aus denen sich die Wahrscheinlichkeit eines Ausspähens der Daten ergeben konnten.

Dazu war sie nach Ansicht der Bundesrichter verpflichtet. Der BGH meinte, die Sicherheit des Schlüssels sei hinreichend dargelegt. Nach allgemeiner Lebenserfahrung sei es 1999 unmöglich gewesen, innerhalb weniger Minuten (hier: ca 2 Stunden) die PIN-Nummer zu errechnen und mit der so errechneten Nummer Geld abzuheben. Die Anhörung von Sachverständigen hatte ergeben, es sei mathematisch ausgeschlossen, die PIN einzelner Karten aus den auf ihnen vorhandenen Daten ohne vorherige Erlangung des zur Verschlüsselung verwendeten Institutsschlüssels zu errechnen. Letztlich beurteilten die Richter damit das Sicherheitssystem der Bank. Sie gehen auch davon aus, dass bei normalem Ablauf der Dinge Wahrscheinlichkeit des Ausspähens der  Geheimnummern durch Bankangestellte, noch durch Angestellte des mit der Verschlüsselung beauftragten Instituts, noch durch Angriffe auf die Rechenzentrum des Verschlüsselungsinstituts oder der Bank äußerst gering ist. Jedenfalls sei die Wahrscheinlichkeit gering genug, um die Beweislast dem jeweiligen Kontoinhaber aufzuerlegen.

Immerhin wiesen die Richter auf die Verpflichtung der Banken hin, ihr Sicherheitssystem im Streitfall Sachverständigen zu Prüfzwecken offen zu legen.

Es bleibt also bei der Vorsichtsmaßnahme, keine Karte mit ihrer Geheimnummer zusammen aufzubewahren und den Kartenverlust unverzüglich zu melden und die Karte sperren zu lassen. Außerdem sollten die Umstände des Verlustes sofort genau aufgezeichnet werden. Der Kontoinhaber kann die Gutschrift dann wieder erlangen, wenn er außergewöhnliche und ernsthaft in Betracht kommende Möglichkeiten darlegt, wie der Dieb an die Geheimnummer kam. Möglich ist z.B. ein Ausspähen bei vorherigen Kartenzahlungen oder Abhebungen. Ebenso möglich ist leider aber auch ein Ausspähen mit Hilfe von Video-Anlagen in Tankstellen, wie es vor einigen Jahren systematisch in Bonn geschehen ist. Die Geheimnummer an "öffentlichen" Orten ungeschützt einzutippen, ist daher ebensowenig eine gute Idee, wie sie auf einem Notizzettel in der Brieftasche mit sich herumzutragen.

Übrigens: Ob die mathematische Unmöglichkeit auch für andere als den zu beurteilenden Schlüssel der Sparkassen gilt, hat der BGH - soweit bekannt - bislang noch nicht entschieden. Vielleicht ergeben sich dazu noch Anhaltspunkte in den noch nicht veröffentlichten Urteilsgründen.