Datensicherheit : EC-Karteninhaber sind grundsätzlich schadensersatzpflichtig
- -Aktualisiert am
Ein Bummel über den Weihnachtsmarkt, und schon ist es geschehen: Das Portemonnaie samt EC-Karte ist weg. Wer den PIN-Code auf der Karte notiert, macht sich schuldig - und haftet.
Ein Bummel in der Stadt, und schon ist es geschehen: Das Portemonnaie samt EC-Karte ist weg. Zu dem Verlust kommt weiterer Ärger hinzu, wenn in zeitlicher Nähe zu dem Diebstahl an Geldautomaten mit der EC-Karte und der richtigen persönlichen Geheimzahl (PIN) Bargeld abgehoben wird. Denn dann spricht grundsätzlich der Beweis des ersten Anscheins dafür, daß die PIN auf der Karte vermerkt oder in ihrer Nähe verwahrt war. Der bestohlene Karteninhaber haftet dann im Regelfall wegen grob fahrlässiger Verletzung der Geheimhaltungspflicht für den Schaden. Diese Kernaussage des Bundesgerichtshofs (Urteil vom 5. Oktober 2004 - XI ZR 210/03; Entscheidung des BGH: Grobe Fahrlässigkeit bei EC-Kartenverlust) verbessert einstweilen die Situation der Kreditinstitute im Streit mit ihren Kunden. Ob die Entscheidung zu mehr Rechtsfrieden führt, darf allerdings bezweifelt werden.
Wird an einem Bankautomaten Geld an unbefugte Dritte ausgezahlt, können Kreditinstitute Schadensersatz von Kunden verlangen, die grob fahrlässig mit der PIN umgegangen sind. Dies ist der Fall, wenn die Geheimzahl auf oder in unmittelbarer Nähe der Karte notiert wird oder Dritten in sonstiger Weise leichtfertig die Kenntnisnahme ermöglicht wurde. Vor Gericht steht das Kreditinstitut vor der Schwierigkeit, daß es sorglosen Umgang zwar behaupten, aber kaum je beweisen kann. Hier kann ein Anscheinsbeweis helfen. Er gründet auf der Annahme, daß es nach der Erfahrung nicht anders gewesen sein kann, als die jeweilige Partei behauptet.
Der entscheidende Fall
Im entschiedenen Fall mußte der Bundesgerichtshof (BGH) deshalb klären, ob ein Kartendieb nach allgemeiner Lebenserfahrung nicht anders in den Besitz der PIN gelangt sein kann als durch grobe Sorglosigkeit des Karteninhabers. Als andere Ursachen sind denkbar: technische Entschlüsselung, optisches oder technisches Ausspähen der PIN sowie Sicherheitslücken im Bereich des Kreditinstituts. Der BGH hat nun entschieden, daß diese Umstände im Normalfall nicht ernsthaft in Betracht zu ziehen sind. Für künftige Streitigkeiten dürfte damit aber nur der Einwand vom Tisch sein, die Geheimzahl sei durch Einsatz von Entschlüsselungstechniken ermittelt worden. Der Senat schließt sich einem Sachverständigengutachten und der Beurteilung des Bundesamtes für Sicherheit in der Informationstechnik an, wonach es bei dem seit Ende 1997 verwendeten Verschlüsselungsverfahren mathematisch ausgeschlossen ist, die PIN aus den Kartendaten zu errechnen. Die Rechtsprechung wird der höchstrichterlichen Einschätzung voraussichtlich folgen.
Daß die PIN "über die Schulter", mit Kameras oder manipulierten Eingabegeräten ausgespäht wird, hält der BGH nur für wahrscheinlich, wenn der Karteninhaber die Karte kurz vor dem Diebstahl verwendet und dabei die PIN eingegeben hat. In künftigen Streitigkeiten mit einer solchen Sachlage werden Kriterien für Vorsichtsmaßnahmen gegen eine Beobachtung bei der Kartenbenutzung zu entwickeln sein. Der geläufige Hinweis, beim Eintippen sei das Tastenfeld tunlichst abzudecken, kann nicht der Weisheit letzter Schluß sein.
Wo die Sprengkraft steckt
Schließlich mißt der Senat institutsinternen Sicherheitsrisiken keine hinreichende Wahrscheinlichkeit zu. Sprengkraft enthält aber die Auffassung des Gerichts, daß kartenausgebende Kreditinstitute in Zivilprozessen der vorliegenden Art - im Rahmen des Zumutbaren und gegebenenfalls in verallgemeinernder Weise - nähere Angaben über ihre Sicherheitsvorkehrungen machen müssen, damit diese durch Sachverständige überprüft werden können. Es ist zu erwarten, daß in kommenden Prozessen Sicherheitsmängel behauptet und die Kreditinstitute zur Offenlegung aufgefordert werden. Solchen Vorstößen werden die Institute grundlegende Geheimhaltungsbedürfnisse entgegenhalten, und zwar zu Recht. Ein Sicherheitssystem, dessen Einzelheiten bekannt sind, ist geschwächt, weil es gezielt angegriffen werden kann. Problematisch könnte es indes werden, das Diskretionsbedürfnis zu beweisen, ohne Einblick in die getroffenen Vorkehrungen zu gewähren.