Haftung bei EC-Kartenmissbrauch: Verschlüsselte PIN darf zusammen mit Karte aufbewahrt werden
AG München v. 2.6.2023 - 142 C 19233/19
Der Sachverhalt:
Der Kläger hat bei der beklagten Bank ein Girokonto, für das ihm von dieser eine EC-Girokarte mit Maestro-Funktion zur Verfügung gestellt wurde. Unbekannte Trickdiebe entwendeten ihm im Oktober 2015 in Italien auf einer Autobahnraststätte das Portemonnaie samt EC-Karte und hoben bereits rd. 20 Minuten später an einem etwa 18 Fahrminuten von der Autobahnraststätte entfernten Ort unter im Einzelnen streitigen Umständen insgesamt 1.000 € von seinem Konto ab. Wenige Minuten später bemerkte der Kläger den Verlust der Karte und ließ diese sperren. Die Beklagte belastete das Konto des Klägers daraufhin mit einem Betrag i.H.v. 1.000 € sowie Gebühren i.H.v. insgesamt 11 € für zwei Geldautomatenverfügungen im Ausland.
Der Kläger hatte die EC-Karte in seiner Geldbörse gemeinsam mit einem kleinen, handgeschriebenen Zettel aufbewahrt, auf dem er diverse Telefonnummern sowie die für die Girokarte ausgegebene vierstellige Geheimzahl (PIN) in verschlüsselter Form notiert hatte. Der mathematisch versierte Kläger ging dabei so vor, dass er die PIN (4438) in zwei Schritten in Primzahlen zerlegte und so zu den Ziffern 2, 7 und 317 gelangte, die er zusammenhängend und ohne Bezug als "27317" auf den Zettel übertrug.
Der Kläger machte mit seiner Klage die Erstattung des abgebuchten Betrages i.H.v. 1.011 € geltend. Er behauptete, seine PIN über die verschlüsselte Variante hinaus nicht in seinem Geldbeutel aufbewahrt und diese auch nicht auf der Karte vermerkt zu haben. Es dränge sich der Verdacht von Bandenkriminalität auf, die Täter müssten im Besitz einer Technik gewesen sein, mit der es gelänge, den Abhebevorgang auch ohne Kenntnis der PIN durchzuführen, die Verschlüsselung also auszuhebeln.
Das AG gab der Klage überwiegend statt und verurteilte die Beklagte zur Zahlung von 861 €.
Die Gründe:
Dem Kläger steht aufgrund der ohne seine Autorisierung erfolgten Abhebungen ein verschuldensunabhängiger Anspruch auf Erstattung des abgebuchten Betrages in voller Höhe zu, § 675u S. 2 Alt. 1 BGB a.F. Hiervon ist jedoch vorliegend ein Betrag i.H.v. 150 € in Abzug zu bringen, da der Beklagten auf Grund der Verwendung eines dem Kläger gestohlenen Zahlungsauthentifizierungsinstruments in dieser Höhe ein verschuldensunabhängiger Schadensersatzanspruch zusteht, § 675v Abs. 1 S. 1 BGB a.F. Ein weitergehender Anspruch der Beklagten auf Ersatz des gesamten Schadens war zu verneinen, da der Schaden weder durch eine vorsätzliche noch eine grob fahrlässige Pflichtverletzung des Klägers herbeigeführt worden ist, § 675v Abs. 2 Alt. 2 Nr. 1, 2 BGB a.F.
Entgegen der Ansicht der Beklagten greift der nach BGH-Rechtsprechung mögliche Anscheinsbeweis, dass der Kläger die persönliche Geheimzahl (unverschlüsselt) auf seiner ec-Karte vermerkt oder sie zusammen mit dieser verwahrt hat im vorliegenden Fall nicht ein. Die Annahme des Anscheinsbeweises setzt voraus, dass der Missbrauch unter Verwendung der Originalkarte und der zutreffenden Geheimzahl erfolgt ist. Diese Umstände hat der Kläger bestritten, so dass die Beklagte hierfür den Beweis erbringen muss. Zwar kann nach den oben dargestellten Grundsätzen davon ausgegangen werden, dass die Originalkarte des Klägers zum Einsatz gekommen ist, der Beklagten ist jedoch der Nachweis nicht gelungen, dass die unbekannten Täter auch die korrekte Geheimzahl des Klägers in Erfahrung gebracht und zur Auszahlung verwendet haben.
Die verschlüsselte Aufbewahrung der PIN des Klägers in dessen Portemonnaie gemeinsam mit der Zahlungskarte ist nicht als grob fahrlässige Verletzung der Pflichten des § 675l S. 1 BGB a.F zu werten. Grob fahrlässig handelt nur, wer die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt, einfachste und naheliegende Überlegungen nicht anstellt und in der konkreten Situation das nicht beachtet, was sich jedem aufdrängt. Als grob fahrlässig wird daher in der Regel gewertet, wenn der Zahler die persönliche Geheimzahl gemeinsam mit der Karte und nicht räumlich von dieser getrennt mit sich führt. Erlaubt ist es dem Zahler jedoch nach ganz h.M., die PIN verschlüsselt auch gemeinsam mit der Karte vorzuhalten, soweit die Verschlüsselung ausreichend komplex ist, um eine Kenntniserlangung Dritter nach menschlichem Ermessen auszuschließen.
Nach diesen Maßstäben war die verschlüsselte Vorhaltung der PIN durch den Kläger hinreichend sicher und verstößt noch nicht einmal gegen einfache Sorgfaltspflichten. Der Kläger hat seine Vorgehensweise in seiner persönlichen Anhörung durch das Gericht nachvollziehbar geschildert. Er hat eine komplexe, individuelle Verschlüsselungsmethode entwickelt, die - jedenfalls in Unkenntnis der Methode - auch dem Gericht als ausreichend sicher erscheint. Auch dem Sachverständigen ist es eigenen Angaben zufolge, obwohl er Kenntnis von der Rechenweise des Klägers hatte, zunächst nicht gelungen, die Zahlenfolge 27317 zu dechiffrieren und hieraus die PIN rückzuerrechnen. Der Kläger hatte die Zahlenfolge zudem zusammenhanglos auf einem Zettel mit Telefonnummern notiert ohne zugehörigen Hinweis, dass es sich um eine PIN handelt. Wie den Tätern innerhalb von nur wenigen Minuten eine Decodierung hätte gelingen können ist selbst unter Zugrundelegung des Vortrags des Klägers, es habe sich um organisierte Bandenkriminalität gehandelt, für das Gericht nicht nachzuvollziehen.
Mehr zum Thema:
Rechtsprechung:
Zum Anscheinsbeweis für grob fahrlässige Pflichtverletzung des Kreditkarteninhabers bei Bargeldabhebungen kurz nach Diebstahl der Karte
OLG Stuttgart vom 08.02.2023 - 9 U 200/22
ZIP 2023, 1120
ZIP0055336
Die ZIP ist Bestandteil des Beratermoduls Zeitschriften Wirtschaftsrecht:
Jetzt neu: Führende Zeitschriften zum Wirtschaftsrecht, Aktienrecht, Gesellschaftsrecht und Versicherungsrecht stehen hier zur Online-Recherche bereit. Inklusive Selbststudium nach § 15 FAO bei ausgewählten Zeitschriften (GmbHR, ZIP). Wann immer es zeitlich passt: Für Fachanwälte bietet das Beratermodul Beiträge zum Selbststudium mit Lernerfolgskontrolle und Fortbildungszertifikat. 4 Wochen gratis nutzen!
AG München PM Nr. 18 vom 19.6.2023
Der Kläger hat bei der beklagten Bank ein Girokonto, für das ihm von dieser eine EC-Girokarte mit Maestro-Funktion zur Verfügung gestellt wurde. Unbekannte Trickdiebe entwendeten ihm im Oktober 2015 in Italien auf einer Autobahnraststätte das Portemonnaie samt EC-Karte und hoben bereits rd. 20 Minuten später an einem etwa 18 Fahrminuten von der Autobahnraststätte entfernten Ort unter im Einzelnen streitigen Umständen insgesamt 1.000 € von seinem Konto ab. Wenige Minuten später bemerkte der Kläger den Verlust der Karte und ließ diese sperren. Die Beklagte belastete das Konto des Klägers daraufhin mit einem Betrag i.H.v. 1.000 € sowie Gebühren i.H.v. insgesamt 11 € für zwei Geldautomatenverfügungen im Ausland.
Der Kläger hatte die EC-Karte in seiner Geldbörse gemeinsam mit einem kleinen, handgeschriebenen Zettel aufbewahrt, auf dem er diverse Telefonnummern sowie die für die Girokarte ausgegebene vierstellige Geheimzahl (PIN) in verschlüsselter Form notiert hatte. Der mathematisch versierte Kläger ging dabei so vor, dass er die PIN (4438) in zwei Schritten in Primzahlen zerlegte und so zu den Ziffern 2, 7 und 317 gelangte, die er zusammenhängend und ohne Bezug als "27317" auf den Zettel übertrug.
Der Kläger machte mit seiner Klage die Erstattung des abgebuchten Betrages i.H.v. 1.011 € geltend. Er behauptete, seine PIN über die verschlüsselte Variante hinaus nicht in seinem Geldbeutel aufbewahrt und diese auch nicht auf der Karte vermerkt zu haben. Es dränge sich der Verdacht von Bandenkriminalität auf, die Täter müssten im Besitz einer Technik gewesen sein, mit der es gelänge, den Abhebevorgang auch ohne Kenntnis der PIN durchzuführen, die Verschlüsselung also auszuhebeln.
Das AG gab der Klage überwiegend statt und verurteilte die Beklagte zur Zahlung von 861 €.
Die Gründe:
Dem Kläger steht aufgrund der ohne seine Autorisierung erfolgten Abhebungen ein verschuldensunabhängiger Anspruch auf Erstattung des abgebuchten Betrages in voller Höhe zu, § 675u S. 2 Alt. 1 BGB a.F. Hiervon ist jedoch vorliegend ein Betrag i.H.v. 150 € in Abzug zu bringen, da der Beklagten auf Grund der Verwendung eines dem Kläger gestohlenen Zahlungsauthentifizierungsinstruments in dieser Höhe ein verschuldensunabhängiger Schadensersatzanspruch zusteht, § 675v Abs. 1 S. 1 BGB a.F. Ein weitergehender Anspruch der Beklagten auf Ersatz des gesamten Schadens war zu verneinen, da der Schaden weder durch eine vorsätzliche noch eine grob fahrlässige Pflichtverletzung des Klägers herbeigeführt worden ist, § 675v Abs. 2 Alt. 2 Nr. 1, 2 BGB a.F.
Entgegen der Ansicht der Beklagten greift der nach BGH-Rechtsprechung mögliche Anscheinsbeweis, dass der Kläger die persönliche Geheimzahl (unverschlüsselt) auf seiner ec-Karte vermerkt oder sie zusammen mit dieser verwahrt hat im vorliegenden Fall nicht ein. Die Annahme des Anscheinsbeweises setzt voraus, dass der Missbrauch unter Verwendung der Originalkarte und der zutreffenden Geheimzahl erfolgt ist. Diese Umstände hat der Kläger bestritten, so dass die Beklagte hierfür den Beweis erbringen muss. Zwar kann nach den oben dargestellten Grundsätzen davon ausgegangen werden, dass die Originalkarte des Klägers zum Einsatz gekommen ist, der Beklagten ist jedoch der Nachweis nicht gelungen, dass die unbekannten Täter auch die korrekte Geheimzahl des Klägers in Erfahrung gebracht und zur Auszahlung verwendet haben.
Die verschlüsselte Aufbewahrung der PIN des Klägers in dessen Portemonnaie gemeinsam mit der Zahlungskarte ist nicht als grob fahrlässige Verletzung der Pflichten des § 675l S. 1 BGB a.F zu werten. Grob fahrlässig handelt nur, wer die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt, einfachste und naheliegende Überlegungen nicht anstellt und in der konkreten Situation das nicht beachtet, was sich jedem aufdrängt. Als grob fahrlässig wird daher in der Regel gewertet, wenn der Zahler die persönliche Geheimzahl gemeinsam mit der Karte und nicht räumlich von dieser getrennt mit sich führt. Erlaubt ist es dem Zahler jedoch nach ganz h.M., die PIN verschlüsselt auch gemeinsam mit der Karte vorzuhalten, soweit die Verschlüsselung ausreichend komplex ist, um eine Kenntniserlangung Dritter nach menschlichem Ermessen auszuschließen.
Nach diesen Maßstäben war die verschlüsselte Vorhaltung der PIN durch den Kläger hinreichend sicher und verstößt noch nicht einmal gegen einfache Sorgfaltspflichten. Der Kläger hat seine Vorgehensweise in seiner persönlichen Anhörung durch das Gericht nachvollziehbar geschildert. Er hat eine komplexe, individuelle Verschlüsselungsmethode entwickelt, die - jedenfalls in Unkenntnis der Methode - auch dem Gericht als ausreichend sicher erscheint. Auch dem Sachverständigen ist es eigenen Angaben zufolge, obwohl er Kenntnis von der Rechenweise des Klägers hatte, zunächst nicht gelungen, die Zahlenfolge 27317 zu dechiffrieren und hieraus die PIN rückzuerrechnen. Der Kläger hatte die Zahlenfolge zudem zusammenhanglos auf einem Zettel mit Telefonnummern notiert ohne zugehörigen Hinweis, dass es sich um eine PIN handelt. Wie den Tätern innerhalb von nur wenigen Minuten eine Decodierung hätte gelingen können ist selbst unter Zugrundelegung des Vortrags des Klägers, es habe sich um organisierte Bandenkriminalität gehandelt, für das Gericht nicht nachzuvollziehen.
Rechtsprechung:
Zum Anscheinsbeweis für grob fahrlässige Pflichtverletzung des Kreditkarteninhabers bei Bargeldabhebungen kurz nach Diebstahl der Karte
OLG Stuttgart vom 08.02.2023 - 9 U 200/22
ZIP 2023, 1120
ZIP0055336
Die ZIP ist Bestandteil des Beratermoduls Zeitschriften Wirtschaftsrecht:
Jetzt neu: Führende Zeitschriften zum Wirtschaftsrecht, Aktienrecht, Gesellschaftsrecht und Versicherungsrecht stehen hier zur Online-Recherche bereit. Inklusive Selbststudium nach § 15 FAO bei ausgewählten Zeitschriften (GmbHR, ZIP). Wann immer es zeitlich passt: Für Fachanwälte bietet das Beratermodul Beiträge zum Selbststudium mit Lernerfolgskontrolle und Fortbildungszertifikat. 4 Wochen gratis nutzen!