Einer deutschen Konsumentin wurde im November 1999 nach einer eigenen Behebung die Geldbörse samt EC-Karte gestohlen. In der Folge wurden innerhalb einiger Stunden gesamt etwa € 1.000,-- missbräuchlich behoben. Die Konsumentin klagte die Bank und argumentierte, dass sie den Code nirgends schriftlich notiert hatte. Der Dieb müsse daher den Code entschlüsselt oder Mängel des Sicherheitssystems der Bank ausgenutzt haben.
Nach Ansicht des BGH haftet die Konsumentin als Kontoinhaberin für die durch die missbräuchlichen Behebungen entstandenen Schäden, weil die Schäden auf einer grob fahrlässigen Verletzung ihrer Sorgfalts- und Mitwirkungspflichten beruhen würden. Der Beweis des ersten Anscheins spräche nämlich für die Bank. Der Beweis des ersten Anscheins greift bei typischen Geschehensabläufen, d.h. in Fällen, in denen ein bestimmter Sachverhalt feststeht, der nach allgemeiner Lebenserfahrung auf eine bestimmte Ursache oder auf einen bestimmten Ablauf als maßgeblich für den Eintritt eines bestimmten Erfolges hinweist. Spricht ein Anscheinsbeweis für einen bestimmten Ursachenverlauf, kann der Inanspruchgenommene diesen entkräften, indem er Tatsachen darlegt und gegebenenfalls beweist, aus denen sich die ernsthafte, ebenfalls in Betracht kommende Möglichkeit einer anderen Ursache ergibt.
Das Berufungsgericht hatte auf Grund eines Sachverständigengutachtens gemeint, dass es mathematisch ausgeschlossen wäre, beim modernen 128-Bit-Schlüssel-Verfahren den PIN-Code einzelner Karten aus den auf Ihnen vorhandenen Daten ohne vorherige Erlangung des zur Verschlüsselung verwendeten Institutsschlüssels zu errechnen. Im vorliegenden Fall war nicht feststellbar, ob der Dieb den richtigen Code durch Ausspähung in Erfahrung gebracht hätte. Auch so genannten "Innentäterattacken" (Angriffe von Bankmitarbeitern, Angriffe gegen die im Rechenzentrum ablaufende Software und unbeabsichtigte Sicherheitslücken) könnte nach Ansicht des Berufungsgerichtes keine einem Anscheinsbeweis entgegenstehende Wahrscheinlichkeit zugemessen werden. Da eine Errechnung ausscheiden würde, spräche der Beweis des ersten Anscheins für ein grob fahrlässiges Verhalten des Karteninhabers im Zusammenhang mit der Geheimhaltung des PIN-Codes ( Anm.: Als fahrlässiges Verhalten wird etwa das Notieren des Codes angesehen werden müssen.).
Der BGH hält diese Einschätzung des Berufungsgerichtes für zulässig, macht aber deutlich, dass Banken in derartigen Zivilprozessen künftig nähere Angaben über die von ihnen getroffenen Sicherheitsvorkehrungen machen müssen, um deren Überprüfung durch Sachverständige zu ermöglichen. Deutsche Verbraucherschützer sehen durch dieses Urteil das Verbrauchervertrauen in die Sicherheit geschwächt. Der PIN schützt demnach sozusagen Banken und nicht Verbraucher. Die deutsche Verbraucherzentrale Nordrhein-Westfalen strebt über eine Reihe von Klagen dennoch eine Sicherheitsüberprüfung des EC-Systems an. Bisher wurden bei der Verbraucherzentrale rund 1.000 Fälle dokumentiert, in denen geschädigte Konsumenten eidesstattlich erklären, EC-Karte und PIN getrennt aufbewahrt zu haben. Mittlerweile wurden 74 Musterklagen eingebracht und dabei gesamt € 85.000,--eingeklagt (vgl.: www.vzbv.de, www.vz-nrw.de oder www.finanztest.de).
In Österreich gibt es keine höchstgerichtliche Rechtsprechung zu dieser Problematik. Banken argumentieren aber zumeist mit dem auch vom BGH angewandten Anscheinsbeweis. Im Einzelfall wird es für den geschädigten Konsumenten in Österreich schwierig sein, den für die Bank sprechenden Anschein zu widerlegen. Selbst wenn er alle Sorgfaltsregeln beachtet, besteht die Gefahr, dass er dies im Fall des Missbrauches nicht beweisen kann. Gerade bei einer Ausspähung des Codes wegen fehlendem Sichtschutz bei einer Bankomatkassa oder einem Automaten ist es im Übrigen nicht sachgerecht, automatisch eine Fahrlässigkeit der Konsumenten anzunehmen. Um das Risiko im Fall eines Kartenmissbrauches zu minimieren, sollten die von den Banken vorgegebenen Behebungslimits (bis zu € 3.000,--) vom jeweiligen Konsumenten jedenfalls herabgesetzt werden.
BGH 5.10.2004, XI ZR 210/03 www.bundesgerichtshof.de
