Haftung bei EC-Kartenmissbrauch

Keine grobe Fahrlässigkeit bei gemeinsamer Aufbewahrung der EC-Karte mit hinreichend verschlüsselter Geheimzahl. In einem Streit um Erstattungsansprüche bei EC-Kartenmissbrauch gab das Amtsgericht München der Klage eines Bankkunden auf Zahlung von 1.011 EUR überwiegend statt und verurteilte die beklagte Bank zur Zahlung in Höhe von 861,00 EUR.

Sachverhalt

Der Münchner Kläger hat bei der Beklagten ein Girokonto, für welches ihm von dieser eine EC-Girokarte mit Maestro-Funktion zur Verfügung gestellt wurde. Unbekannte Trickdiebe entwendeten ihm im Oktober 2015 in Italien auf der Autobahnraststätte „Campogalliano Ovest“ den Geldbeutel samt EC-Karte und hoben bereits ca. 20 Minuten später an einem ca. 18 Fahrminuten von der Autobahnraststätte entfernten Ort unter im Einzelnen streitigen Umständen insgesamt 1.000 EUR von seinem Konto ab. Wenige Minuten später bemerkte der Kläger den Verlust der Karte und ließ diese sperren.

Die beklagte Bank belastete das Konto des Klägers daraufhin mit einem Betrag in Höhe von 1.000 EUR sowie Gebühren in Höhe von insgesamt 11,00 EUR für zwei Geldautomatenverfügungen im Ausland.

Der Kläger hatte die EC-Karte in seinem Geldbeutel gemeinsam mit einem kleinen, handgeschriebenen Zettel aufbewahrt, auf dem er diverse Telefonnummern sowie die für die Girokarte ausgegebene vierstellige Geheimzahl (PIN) in verschlüsselter Form notiert hatte. Der mathematisch versierte Kläger ging dabei so vor, dass er die PIN (4438) in zwei Schritten in Primzahlen zerlegte und so zu den Ziffern 2, 7 und 317 gelangte, die er zusammenhängend und ohne Bezug als „27317“ auf den Zettel übertrug.

Der Kläger machte mit seiner Klage die Erstattung des abgebuchten Betrages in Höhe von 1.011 EUR geltend. Er behauptete, seine PIN über die verschlüsselte Variante hinaus nicht in seinem Geldbeutel aufbewahrt und diese auch nicht auf der Karte vermerkt zu haben. Es dränge sich der Verdacht von Bandenkriminalität auf, die Täter müssten im Besitz einer Technik gewesen sein, mit der es gelänge, den Abhebevorgang auch ohne Kenntnis der PIN durchzuführen, die Verschlüsselung also auszuhebeln.

Entscheidung des Gerichts

Das Amtsgericht München erachtete die Klage für überwiegend begründet und verurteilte die Beklagte zur Zahlung in Höhe von 861,00 EUR.

Das Gericht stellte in den Urteilsgründen zunächst fest, dass dem Kläger aufgrund der ohne seine Autorisierung erfolgten Abhebungen ein verschuldensunabhängiger Anspruch auf Erstattung des abgebuchten Betrages in voller Höhe zusteht, § 675u S. 2 Alt. 1 Bürgerliches Gesetzbuch (in der bis 12. Januar 2018 geltenden Fassung, im Folgenden: alte Fassung)

Hiervon ist jedoch nach den Ausführungen des Gerichts ein Betrag in Höhe von 150 EUR in Abzug zu bringen, da der beklagten Bank auf Grund der Verwendung eines dem Kläger gestohlenen Zahlungsauthentifizierungsinstruments in dieser Höhe ein verschuldensunabhängiger Schadensersatzanspruch zusteht, § 675v Abs. 1 S. 1 Bürgerliches Gesetzbuch alte Fas-sung.

Einen weitergehenden Anspruch der Bank auf Ersatz des gesamten Schadens verneinte das Gericht jedoch, da der Schaden weder durch eine vorsätzliche noch eine grob fahrlässige Pflichtverletzung durch den Kläger herbeigeführt worden sei, § 675v Abs. 2 Alt. 2 Nr. 1, 2 Bürgerliches Gesetzbuch alte Fassung. Das Gericht begründete dies wie folgt:

„Entgegen der Ansicht der Beklagten greift der nach der Rechtsprechung des Bundesgerichtshofs mögliche Anscheinsbeweis, dass der Kläger die persönliche Geheimzahl (unverschlüsselt) auf seiner ec-Karte vermerkt oder sie zusammen mit dieser verwahrt hat (…) im vorliegenden Fall nicht ein. Die Annahme des Anscheinsbeweises setzt voraus, dass der Missbrauch unter Verwendung der Originalkarte und der zutreffenden Geheimzahl erfolgt ist (…).

Diese Umstände hat der Kläger bestritten, so dass die Beklagte hierfür den Beweis erbringen muss. Zwar kann nach den oben dargestellten Grundsätzen davon ausgegangen werden, dass die Originalkarte des Klägers zum Einsatz gekommen ist, der Beklagten ist jedoch der Nachweis nicht gelungen, dass die unbekannten Täter auch die korrekte Geheimzahl des Klägers in Erfahrung gebracht und zur Auszahlung verwendet haben. (…)

Die verschlüsselte Aufbewahrung der PIN des Klägers in dessen Portemonnaie gemeinsam mit der Zahlungskarte wertet das Gericht nicht als grob fahrlässige Verletzung der Pflichten des § 675l S. 1 BGB a.F.

Grob fahrlässig handelt nur, wer die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt, einfachste und nahe liegende Überlegungen nicht anstellt und in der konkreten Situation das nicht beachtet, was sich jedem aufdrängt. (…)

Als grob fahrlässig wird daher in der Regel gewertet, wenn der Zahler die persönliche Geheimzahl gemeinsam mit der Karte und nicht räumlich von dieser getrennt mit sich führt. Erlaubt ist es dem Zahler jedoch nach ganz h.M. [Anm.: herrschender Meinung], die PIN verschlüsselt auch gemeinsam mit der Karte vorzuhalten, soweit die Verschlüsselung ausreichend komplex ist, um eine Kenntniserlangung Dritter nach menschlichem Ermessen auszuschließen.

Nach diesen Maßstäben war die verschlüsselte Vorhaltung der PIN durch den Kläger hinreichend sicher und verstößt noch nicht einmal gegen einfache Sorgfaltspflichten. Der Kläger hat seine Vorgehensweise in seiner persönlichen Anhörung durch das Gericht nachvollziehbar geschildert. Er hat eine komplexe, individuelle Verschlüsselungsmethode entwickelt, die – jedenfalls in Unkenntnis der Methode – auch dem Gericht als ausreichend sicher erscheint. Auch dem Sachverständigen ist es eigenen Angaben zufolge (…), obwohl er Kenntnis von der Rechenweise des Klägers hatte, zunächst nicht gelungen, die Zahlenfolge 27317 zu dechiffrieren und hieraus die PIN rückzuerrechnen.

Der Kläger hatte die Zahlenfolge zudem zusammenhanglos auf einem Zettel mit Telefonnummern notiert ohne zugehörigen Hinweis, dass es sich um eine PIN handelt. Wie den Tätern innerhalb von nur wenigen Minuten eine Decodierung hätte gelingen können ist selbst unter Zugrundelegung des Vortrags des Klägers, es habe sich um organisierte Bandenkriminalität gehandelt, für das Gericht nicht nachzuvollziehen.“

Urteil des Amtsgerichts München vom 02.06.2023
Aktenzeichen des AG München: 142 C 19233/19
Aktenzeichen des LG München I: 13 T 817/22
Das Urteil ist nicht rechtskräftig.
Quelle: Pressemitteilung des Gerichts

Fachanwalt für IT-Recht Jens Ferner