Die jüngst ans Licht gekommene Überwachungspraxis deutscher Supermärkte stellt ein im Januar gefälltes Urteil zur Haftung bei gestohlenen EC-Karten in Frage.

Am 30. Januar dieses Jahres wies das Oberlandesgericht in Frankfurt am Main die Berufung einer Verbraucherschutzzentrale zurück, welche für zwölf Bankkunden klagte
(Az: 23 U 38/05).

Deren Geldinstitut hatten den aus Kartendiebstählen entstandenen Schaden auf die Verbraucher abgewälzt, obwohl diese versicherten, dass sie EC-Karten und PIN-Nummer nicht gemeinsam aufbewahrt hatten.

Trotzdem entschied das Oberlandesgericht, dass der Anschein bei “normalem Verlauf” grundsätzlich für einen “sorgfaltwidrigen” Umgang und damit gegen den Verbraucher spreche. Werde, so der 23. Zivilsenat des OLG, “zeitnah” zum Diebstahl mit der PIN-Nummer von Unbefugten Geld abgehoben, so gelte ein Anscheinsbeweis zugunsten der Banken. Deshalb müsse der Karteninhaber in solch einem Fall einen “atypischen Verlauf” nachweisen.

Der Argumentation der Verbraucherzentrale zur mangelnden Sicherweit des von den Baken eingesetzten Systems wollte das OLG nicht folgen.

Dabei stützte es sich ganz überwiegend auf ein Sachverständigengutachten des Bundesamtes für Sicherheit in der Informationstechnik (BSI), das für den Zeitraum, in dem die Fälle geschahen (1999 – 2003) ein “Knacken” der verwendeten Verschlüsselung (128 Bit Triple-DES) “praktisch” ausschloss. Dazu, ob und inwieweit “Leihbeamte” in Diensten der Banken, wie sie zu Hunderten in Ministerien beschäftig sind, an diesem Gutachten mitgewirkt hatten, wollte sich das Wirtschaftsministerium nicht äußern.

Weitere von der Verbraucherschutzzentrale beantragte Beweiserhebungen ließ das OLG nicht zu.

Diese hätten sich mit vom BSI-Gutachten nicht oder möglicherweise nicht ausreichend berücksichtigten Manipulationsmöglichkeiten befassen sollen – unter anderem mit der Verwendung der Daten zur PIN-Verfikation, die auf den Karten gespeichert waren. Schon während des Verfahrens hatten die Verbraucherschützer deshalb angemerkt, dass das OLG höchstens 5 Prozent der in Frage kommenden Missbrauchsmöglichkeiten zur gerichtlichen Prüfung zugelassen habe.

In dem bemerkenswert lustlos begründeten Urteil rechtfertigte das Gericht seine Untätigkeit in dieser Hinsicht unter anderem damit, dass die Beweisaufnahme “nach einem so langen Zeitablauf zu einem Teil der Themen gar nicht mehr möglich sein” werde und dass die Pressemeldungen über neue Manipulationsverfahren jünger als die verhandelten Fälle seien, von denen der letzte im Februar 2003 geschah.

Bei der Verbraucherzentrale NRW hatten sich etwas mehr als zwei Jahre später schon insgesamt 1.500 Geschädigte gemeldet, die versicherten, Karte und PIN zum Zeitpunkt des Diebstahls nicht gemeinsam aufbewahrt zu haben.

Unter den Geldinstituten, die trotzdem eine Haftung ablehnten, befanden sich die die Postbank, die Citibank, die Deutsche Bank und die im Skandal um Franjo Poth schweren Vorwürfen ausgesetzte Stadtsparkasse Düsseldorf. Ein Jahr darauf meldete das niedersächsische Landeskriminalamt, dass allein in seinem Zuständigkeitsbereich über 2.300 Fälle registriert wurden, bei denen mit gestohlenen EC-Karten und passender PIN Konten leergeräumt wurden.

Für die weiter stark steigende Zahl solcher Fälle gibt es mehrere mögliche Erklärungen:

Entweder werden die Deutschen sorgloser beim gemeinsamen Aufbewahren von EC-Karte und PIN (wofür aufgrund der Pressepräsenz der Missbrauchsfälle nicht unbedingt viel spricht) – oder sie versuchen plötzlich massenhaft, ihre Banken übers Ohr zu hauen (eine Option, die durch die bisherigen Urteile ebenfalls nicht unbedingt wahrscheinlich wirkt).

Für neue Opfer von Kartendiebstählen könnten sich also neue Klagen möglicherweise trotz des Urteils des OLG Frankfurt lohnen – vor allem nach dem Bekanntwerden der Überwachungspraxis in deutschen Supermärkten.

Weist beispielsweise jemand, dessen EC-Karte gestohlen und dessen Konto vor der Sperrung leergeräumt wurde, nun nach, dass er regelmäßig bei Lidl oder einem anderen Überwachungssupermarkt eingekauft und dort mit EC-Karte und PIN-Eingabe bezahlt hat, dann kann es sich das nächste Gericht möglicherweise nicht ganz so einfach machen wie das Frankfurter OLG.

Nachdem letzte Woche bekannt geworden war, dass Supermärkte nicht nur Regale und Pausenräume, sondern auch die Kassen überwachen ließen, musst Lidl zugeben, dass eine Aufzeichnung der PIN-Eingaben nicht ausgeschlossen werden könne. Laut Markus Saller, Justiziar der Verbraucherzentrale Bayern, “ein Eingeständnis dafür, dass die Kameras offensichtlich über genügend Auflösung verfügen, um den Pin-Code zu erkennen”.

Nachdem dies offenbar wurde, warnten Verbraucherschutz vor dem Bezahlen mit EC-Karte und PIN-Code.

Hartmut Strube, Jurist bei der Verbraucherzentrale Nordrhein-Westfalen, sagte der Süddeutschen Zeitung: “Wir raten den Kunden dringend ab, bei Lidl mit EC-Karte und Pin-Geheimnummer zu zahlen”. Vorsichtiger äußerten sich das Unabhängige Zentrum für Datenschutz aus Schleswig-Holstein – allerdings forderte man auch hier eine Klärung, ob die Eingabe der PIN tatsächlich erkennbar ist. Diese Klärung verweigert Lidl bisher und kündigte stattdessen eine “vorübergehende” Einstellung dieser Praxis an. Dieser bemerkenswert schnelle Rückzieher legt zumindest den Verdacht nahe, dass sich diese Möglichkeit bei näherer Überprüfung bestätigen könnte.

Waren die PIN-Nummern erkennbar, dann spricht einiges dafür, dass sie möglicherweise auch an Dritte weitergegeben wurden. Die Überwachung wurde nicht von Lidl selbst, sondern von dazu beauftragten Unternehmen durchgeführt – und in Detektivbüros arbeiten aber nicht nur Personen, die die Kriterien einer Aufnahme in den Polizeidienst erfüllen.

Da auf EC-Karten auch Namen und Kontonummern in gut lesbarer Form enthalten sind, dürfte sich mit etwas Fleißarbeit (oder eventuell auch automatisiert) aus solchen Überwachungsbändern eine Datenbank extrahieren lassen, für die in Kreisen des mehr oder weniger organisierten Verbrechens durchaus Geld bezahlt wird.

Quelle: P.Mühlbauer