Wirtschaft: Bankkunden müssen nach EC-Kartendiebstahl meist selbst haften

Berlin/Frankfurt am Main Banken müssen ihren Kunden Geldbeträge, die mit gestohlenen EC-Karten am Automaten abgehoben wurden, im Regelfall nicht zurückzahlen. Zu diesem Ergebnis kommt der Bundesgerichtshof (BGH) in einem am Dienstag verkündeten Urteil. Das EC-Kartensystem mit Geheimzahleingabe ist nach Ansicht der Bundesrichter hinreichend gegen Missbrauch geschützt. Nur wenn konkrete Anhaltspunkte vorliegen, dass der Dieb das Sicherungssystem geknackt hat, könne der bestohlene Kunde die Bank in Anspruch nehmen (Aktenzeichen: XI ZR 210/03).

Der Streit um die Sicherheit des EC- Kartensystems beschäftigt die Justiz schon seit Jahren. Im konkreten Fall hatte eine Frau ihre Sparkasse verklagt, weil ein Dieb mit ihrer im November 2000 gestohlenen EC-Karte am Bankautomaten insgesamt 2000 Mark (rund 1000 Euro) abgehoben hatte. Die Bank hatte die Rückbuchung verweigert, weil der Dieb ohne Fehlversuch die richtige Geheimzahl (Pin) eingetippt habe. Dies sei nur möglich, wenn die Klägerin die Zahl zusammen mit der EC-Karte im Portemonnaie getragen habe oder sonst grob fahrlässig mit ihr umgegangen sei. Die Klägerin bestritt dies und erklärte, der Dieb habe ihre Geheimzahl entschlüsselt oder eine Sicherheitslücke im System ausgenutzt.

Der BGH urteilte jetzt, es sei mathematisch unmöglich, den Code auf der EC- Karte zu knacken. Für andere Sicherheitsmängel wie indiskrete Bankmitarbeiter oder Hackerangriffe, spreche nichts. Die rein theoretische Möglichkeit solcher Mängel sei kein Grund, die Sicherheit des Systems anzuzweifeln. Die Kreditwirtschaft begrüßte die BGH-Entscheidung. Die Bundesrichter betonten aber auch, die Institute dürften die Überprüfung ihrer Sicherheitssysteme nicht verweigern, wenn es Anhaltspunkte für Defizite gebe. Verbraucherschützer bemängeln seit langem, dass sich die Banken hinter der Sicherheit ihrer Systeme verschanzen würden, ohne Sachverständigen Einblick in die konkreten Modelle zu gewähren. Die Experten machen ihre Aussagen zur Sicherheit lediglich mit Hilfe grundlegender Annahmen zur Methode der Verschlüsselung. „Das Urteil ist ein Rückschlag“, sagte Hartmut Strube, Experte für Finanzdienstleistungen der Verbraucherzentrale Nordrhein-Westfalen.

Die Methode zur Erstellung und Überprüfung des Pin-Codes mit Hilfe des 128-Bit-Verschlüsselungsverfahrens sei „hoch sicher“, sagte Michael Dickopf vom Bundesamt für Sicherheit in der Informationstechnik dem Handelsblatt. Theoretisch könne es aber Lücken bei der Einbettung der Code-Technologie in die Bankautomaten geben. „In diese Verfahren haben wir bisher nicht reinschauen dürfen.“

Um über das gesamte Verfahren Klarheit zu gewinnen, führt die Verbraucherzentrale derzeit stellvertretend für mehr als 70 Betroffene Klagen gegen fünf Kreditinstitute. Dabei stellt sie explizit auf die Sicherheitsfrage ab. Verbraucherschützer Strube rechnet in den kommenden Wochen mit ersten Urteilen.

Kunden von Sparkassen haben im Betrugs-Fall Glück im Unglück. Für sie sei die Haftung selbst in Fällen, in denen der Kunde fahrlässig gehandelt habe, üblicherweise auf 500 Euro je Tag begrenzt, sagte eine Sprecherin des Deutschen Sparkassen- und Giroverbandes. cw/ms/HB

-