Erfolgreiche Erschütterung des Anscheinsbeweises bei PIN-gestütztem ec-Karten-Zugriff
Gericht
OLG Stuttgart
Art der Entscheidung
Berufungsurteil
Datum
13. 03. 2002
Aktenzeichen
9 U 63/01
In Übereinstimmung mit der herrschenden Meinung ist der Senat der Ansicht, dass ein PIN-gestützter ec-Karten-Zugriff durch Unberechtigte grundsätzlich nur bei sorgfaltswidrigem Umgang des Berechtigten mit der PIN möglich ist. Der berechtigte Kontoinhaber braucht für diesen Geschehensablauf den streitigen Anscheinsbeweis nicht im Sinne eines Beweises Gegenteils zu widerlegen. Es genügt hier schon die Darlegung, aus der sich zumindest die ernsthafte Möglichkeit eines vom Gewöhnlichen abweichenden Verlaufs bzw. einer anderen Ursachenkette ergibt.
Der Bekl. unterhielt bei der Kl. ein Girokonto, für das seine Ehefrau Vollmacht hatte. Für dieses Konto wurden dem Bekl. und seiner Frau Anfang 1999 ec-Karten ausgehändigt, die mittels PIN Geldabhebungen an Bankautomaten ermöglichten. Im Zeitraum zwischen dem 19. 5. 2000, 15.36 Uhr und dem 3. 6. 2000, 0.12 Uhr wurden bei verschiedenen Geldausgabeautomaten anderer Banken in H. und Umgebung unter Verwendung der Karte der Ehefrau des Bekl. insgesamt vierzehn Abhebungen zu je 1000 DM getätigt, die die Kl. dem Konto des Bekl. jeweils belastete. Zum 4. 9. 2000 ergab sich ein Sollstand von 15000 DM, dessen Ausgleich die Kl. nach Beendigung der Geschäftsbeziehung der Parteien begehrt.
Das LG hat den Bekl. antragsgemäß verurteilt. Die Berufung des Bekl. hatte Erfolg.
II. 2. Es steht außer Streit, dass bei den Barabhebungen die der Ehefrau des Bekl. überlassene ec-Karte Verwendung fand; polizeiliche Ermittlungen haben keinerlei Manipulationen erkennen lassen. Die Geldabhebungen gelangen jeweils deshalb, weil die zutreffende PIN eingegeben wurde.
Dies ist unstreitig und ergibt sich auch aus den vorgelegten Geldautomaten-Journalstreifen. Fehlversuche wurden von den benutzten Geldausgabeautomaten nicht registriert. Die zur ec-Karte der Ehefrau des Bekl. gehörende PIN wurde Letzterer am 20. 1. 1999 in einem verschlossenen Umschlag zugeleitet. Da Auszahlungen durch Geldautomaten voraussetzen, dass ec-Karte und korrekte PIN zusammen geführt werden, spricht der erste Anschein dafür, dass die Karteninhaberin selbst die streitgegenständlichen Abhebungen tätigte.
Der Senat sieht aber im vorliegenden Fall den für die Kl. streitenden Beweis des ersten Anscheins deshalb als erschüttert an, weil der Bekl. Umstände darzutun und zu beweisen vermag, die einen vom typischen Ablauf abweichenden Hergang als ernsthaft möglich und sogar als plausibel erscheinen lassen. Auf Grund der durchgeführten Beweiserhebung und bei Berücksichtigung weiterer Umstände hat sich der Senat davon überzeugt, dass weder die kontobevollmächtigte Ehefrau des Bekl. noch dieser selbst die jeweiligen Auszahlungen bewirkt und die ausgezahlten Beträge vereinnahmt haben.
Vorliegend hatte die Ehefrau des Bekl. nach Feststellung der Abhebungen unverzüglich gegenüber der Polizei und auch gegenüber der Kl. dargelegt, dass und unter welchen Umständen die ec-Karte in H. abhanden gekommen war. Dieser Darstellung, die der Bekl. mit Schreiben vom 3. 7. 2000 bestätigte, hatte die Kl. selbst gegenüber dem Deutschen Sparkassen- und Giroverband mit Schreiben vom 16. 6. 2000 Seriosität bescheinigt. Dem Vorbringen des Bekl., dass seine Ehefrau und er jedenfalls ab 20. 5. 2000 sich wieder in K. und D. aufhielten und dort ihren Geschäften nachgingen, ist die Kl. nie substanziiert entgegengetreten. Der Senat hat deshalb davon abgesehen, den als Zeugen benannten Reisebegleiter M zu vernehmen, nachdem bereits die Ehefrau des Bekl. durch ihre Aussage bestätigt hat, dass der Bekl. und seine Ehefrau am Vormittag des 19. 5. 2000 ihr Hotel in H. verließen, danach ein Golfturnier besuchten, um schließlich am selben Abend noch die Rückfahrt mittels Pkw nach Süddeutschland anzutreten. Diese Darstellung wird ergänzt durch die vorliegende Hotelrechnung und durch die vorgelegten Tankbelege vom 19. 5. 2000.
War die ec-Karte für die auf den 19. 5. 2000 folgenden dreizehn Abhebungen jedenfalls nicht vom Bekl. und nicht von seiner Ehefrau benutzt worden, so spricht alles für die Richtigkeit der weiteren Darstellung der Zeugin G, die ec-Karte sei für eine Barabhebung auch am 19. 5. 2000 nicht benutzt worden.
Nicht nachhaltig entwertet werden die nachvollziehbaren und in sich stimmigen Angaben der Ehefrau des Bekl. durch den Umstand, dass der vorgelegte Journalstreifen des Geldausgabeautomaten der Postbank in K. vom 19. 5. 2000 dokumentiert, dass unmittelbar vor der ersten erfolgreichen Geldentnahme ein abgebrochener Versuch erfolgt war, zu Lasten eines weiteren Kontos des Bekl. bei der Volksbank G. eine Abhebung mit einer anderen ec-Karte zu tätigen. Dieser Vorgang ist nachträglich keiner Klärung mehr zugänglich. So kann keine Feststellung darüber getroffen werden, ob die ec-Karte des Bekl. oder eine auch für dieses Konto der Ehefrau zugeteilte Karte des Bekl. verwendet wurde. Der Abbruch spricht hier eher dafür, dass insoweit die PIN nicht bekannt war und der Verwender nicht der Bekl. selbst oder dessen Ehefrau war. Die ernstliche Möglichkeit, dass ein unbefugter Dritter insgesamt tätig war, ist deshalb auf Grund der Beweiserhebung unverändert als gegeben anzusehen.
3. Die Kl. war zur Belastung des Kontos auch nicht deshalb berechtigt, weil der Bekl. oder dessen Ehefrau als Karteninhaberin vertraglich übernommene Sorgfalts- oder Mitwirkungspflichten grob fahrlässig verletzt und dadurch die missbräuchlichen Abhebungen ermöglicht hätten. Zwischen den Bet. gelten die Bedingungen für die Verwendung der ec-Karte, die in Abschnitt A II 6, dort insbesondere unter 6.4 und 6.5, Sorgfaltspflichten des Karteninhabers festlegen. Der Karteninhaber hat dafür Sorge zu tragen, dass keine andere Person Kenntnis von der persönlichen Geheimzahl (PIN) erlangt. Die PIN darf insbesondere nicht auf der Karte vermerkt oder in anderer Weise zusammen mit dieser aufbewahrt werden. Der Verlust einer ec-Karte oder missbräuchliche Verfügungen sind unverzüglich anzuzeigen, um eine Sperrung der Karte und damit weitergehende missbräuchliche Benutzungen zu unterbinden. Zusätzlich besteht die Verpflichtung, Strafanzeige bei der Polizei zu erstatten. Die Haftung für Fälle missbräuchlicher Verwendung der ec-Karte an einem Geldautomaten ist in Abschnitt A III 2.4 der vereinbarten Bedingungen dahingehend geregelt, dass die Sparkasse grundsätzlich Schäden trägt, die nach Anzeige des Verlusts der Karte eintreten, aber auch solche Schäden, die vor der Verlustanzeige durch missbräuchliche Kartenverwendung entstehen, sofern der Karteninhaber seine Sorgfalts- und Mitwirkungspflichten nicht grob fahrlässig verletzt hat. Der Kontoinhaber darf sonach nur belastet werden, wenn die Sparkasse eine grob fahrlässige Verletzung von Sorgfaltspflichten durch den Karteninhaber darlegen und beweisen kann.
Weil sich einem Kartenmissbrauch zu Grunde liegende Geschehensabläufe regelmäßig dem Einblick der Sparkasse entziehen, ist zusätzlich festgelegt, dass der Schaden nur dann übernommen wird, wenn der Kontoinhaber die Voraussetzungen der Haftungsentlastung glaubhaft darlegt und Anzeige bei der Polizei erstattet. Diese letztgenannten Voraussetzungen sind vorliegend erfüllt. Die polizeiliche Anzeige erfolgte sofort nach Entdeckung der missbräuchlichen Kartenverwendung nach Zugang der Kontoauszüge am 5. 6. 2000. Die vorgenannte Klausel enthält keine Beweislastumkehr zu Lasten des Kontoinhabers, sondern nur eine vertragliche Festlegung einer Substanziierungslast in Form einer glaubhaften Sachverhaltsdarstellung und damit zugleich eine Verpflichtung zur Mitwirkung bei der Aufklärung, wobei es ggf. Aufgabe der Sparkasse bleibt, die Darstellung des Karteninhabers zu widerlegen.
Ihre Mitwirkungspflichten haben der Bekl. und seine Ehefrau vorliegend erfüllt. Durch die unverzügliche Anzeige konnten weitere missbräuchliche Abhebungen durch Sperrung der Karte ab 5. 6. 2000 unterbunden werden. Der Bekl. und seine Ehefrau haben auch hinreichend substanziiert dargetan, dass und weshalb aus ihrer Sicht ec-Karte und PIN weder zusammen verwahrt worden waren noch insbesondere gemeinsam einem Dieb oder Finder in H. in die Hände fallen konnten. Das LG hat im Hinblick darauf, dass im vorliegenden Fall bei sämtlichen Abhebungen die der Ehefrau des Bekl. zugeordnete PIN bei allen Auszahlungen ohne Fehlversuche korrekt eingesetzt wurde, zu Gunsten der Kl. den Beweis des ersten Anscheins als erbracht angesehen, dass die Ehefrau des Bekl. mit ihrer PIN in grober Weise sorgfaltswidrig umgegangen sei, in dem sie diese entweder einer dritten Person mitteilte oder zusammen mit der ec-Karte aufbewahrte, so dass beides in H. verloren gehen konnte. Die Auffassung des LG entspricht der h.M. in Rechtsprechung und Literatur und wird grundsätzlich auch vom Senat geteilt. Sie beruht auf dem Gedanken, dass das von den Banken installierte Sicherheitssystem für ec-Karten und Geldautomaten mit zumindest sehr großer Wahrscheinlichkeit Manipulationen von Unberechtigten ausschließt oder solche zumindest nachträglich erkennen lässt. Da ec-Karten und PIN generell und auch im vorliegenden Fall in der Weise ausgehändigt wurden, dass sie nur in der Hand des jeweiligen berechtigten Karteninhabers vereinigt werden konnten, kann in der Tat als typischer und regelmäßiger Geschehensablauf unterstellt werden, dass eine erfolgreiche Verwendung von ec-Karte und korrekter PIN durch einen Verstoß des Karteninhabers gegen die genannten Sorgfaltspflichten ermöglicht wurde. Dies gilt umso mehr, als die PIN unstreitig nicht ihrerseits auf der ec-Karte abgespeichert ist. Die PIN muss vielmehr zur Ermöglichung einer Abhebung aus Teilen gespeicherter Informationen, nämlich der Kontonummer, der Kartenfolgenummer und der jeweiligen Bankleitzahl mittels eines mathematischen Schlüssels erst aufwendig berechnet werden.
Dieser als DES (DATA-Encryption-Standard) bezeichnete Schlüssel stellt eine Folge von 56 Bits dar, so dass zwei hoch 56 verschiedene mögliche Schlüssel zur Erzeugung der PIN bestehen (ca. 72 Billiarden). Bei einem solchen Verschlüsselungssystem leuchtet unmittelbar ein, dass Versuche, die richtige PIN durch rechnerisches Ausprobieren zu ermitteln, einen erheblichen Zeitaufwand erwarten lassen, wenn unterstellt wird, dass taugliche elektronische Rechner überhaupt zur Anwendung gebracht werden können. Die PIN ist eine vierstellige Zahl, wobei lediglich die Zahlen zwischen 1000 und 9999 in Betracht kommen.
Dennoch kann auch die Möglichkeit eines einfachen Erratens der richtigen PIN als gänzlich unwahrscheinlich angesehen werden, da Geldausgabeautomaten nur maximal drei Fehlversuche zulassen und überdies auf Grund einer Online-Verbindung zum Zentralrechner der kartenausgebenden Bank jeder Fehlversuch registriert wird (vgl. hierzu u.a. Werner, WM 1997, 1516; BuB III, 6/1509, 1378; Gößmann, WM 1998, 1264; ders., in: Schimansky/Bunte/Lwowski, BankR-Hdb. I, § 54 Rdnr. 13; Canaris, BankvertragsR, Rdnr. 527e; Kümpel, Bank- u. KapitalmarktR, 2. Aufl., Rdnr. 4.862; Aepfelbach/Cimiotti, WM 1998, 1218; LG Bonn, NJW-RR 1995, 812; AG Darmstadt, WM 1990, 543; AG Wuppertal, WM 1997, 1209; AG Hannover, WM 1997, 1207; AG Essen, WM 1998, 1127; AG Charlottenburg, WM 1997, 2082; WM 1998, 1124; AG Dinslaken, WM 1998, 1126; AG Osnabrück, WM 1998, 1127 = NJW 1998, 688; AG Frankfurt a.M., NJW 1998, 687; LG Hannover, WM 1998, 1123; LG Berlin, WM 1995, 976; LG Köln, WM 2001, 852; LG Frankfurt a.M., WM 1999, 1930; AG Nürnberg, WM 1999, 1937; LG Rottweil, WM 1999, 1934; LG Stuttgart, WM 1999, 1934; AG Frankfurt a.M., WM 1999, 1935; AG Nürtingen, NJW-RR 1998, 494; LG Darmstadt, WM 2000, 911; AG Bremen, WM 2000, 1639).
Soweit in der Rechtsprechung teilweise Bedenken gegen die Sicherheit der Verschlüsselung der PIN bei ec-Karten auf Grund von Fachpublikationen und auf Grund von Äußerungen verschiedener Sachverständiger zum Ausdruck gebracht wurden, teilt der Senat diese Bedenken nicht (vgl. OLG Hamm, NJW 1997, 1711; AG Wildeshausen, WM 1998, 1128; AG Buchen, VuR 1998, 42; LG Dortmund, CR 1999, 556; LG Berlin, WM 1998, 1920; AG Hamburg, VuR 1999, 38; AG Berlin-Mitte, VuR 1999, 201; AG Frankfurt a.M., WM 1999, 1922; Strube, WM 1998, 1210). Das LG hat zutreffend darauf hingewiesen, dass bisher kein konkreter Beleg für eine Entschlüsselung oder sonstige rechnerische Ermittlung einer PIN in der für die Praxis allein sinnvollen kurzen Zeit von allenfalls wenigen Stunden bei einem wirtschaftlich vertretbaren und sinnvollen Aufwand besteht. Kein Sachverständiger hat bisher in einem gerichtlichen Verfahren die theoretisch für möglich gehaltene Entschlüsselung einer PIN zu demonstrieren vermocht (vgl. Damveld, Sparkasse 1999, 319; Strube, WM 1998, 1210; Aepfelbach/ Cimiotti, WM 1998, 1218). Auch die von verschiedenen Gerichten herangezogene und zitierte Kriminalstatistik lässt keine hinreichend deutlichen Rückschlüsse darauf zu, dass die bei ec-Karten verwendete PIN und das hierbei verwendete Schlüsselsystem mit einem noch tragbaren finanziellen Aufwand so schnell entschlüsselt werden könnte, dass vor Entdeckung des Kartenverlusts und der nachfolgenden Sperrung der jeweiligen Karte Abhebungen bei Geldautomaten in lohnendem Umfang getätigt werden könnten.
Der Senat sieht sich in seiner Auffassung, generell den genannten Beweis des ersten Anscheins zu Gunsten der Banken zuzulassen, bestätigt durch die Darlegungen des Sachverständigen Dr. L vom Bundesamt für Sicherheit in der Informationstechnik. Danach trat im Juni 1998 die EFF (Electronic Frontier Foundation) mit einer DES-Exhaustionsmaschine an die Öffentlichkeit, die als durchschnittliche Suchzeit für einen Schlüssel ungefähr fünf Tage benötigt. Der Sachverständige hält es für möglich, ab Anfang 1998 für etwa 150000 DM eine Maschine zu bauen, die innerhalb von drei Monaten einen Pool-Schlüssel für alle ec-Karten geliefert hätte, und generell im Jahre 2000 eine Spezialmaschine zum Brechen des DES, er hält eine solche Entwicklung aber für wenig wahrscheinlich. Grundsätzlich kommt eine Entschlüsselung nach der Darstellung des Sachverständigen zwar auch durch verteiltes Rechnen über eine Vielzahl von PC über das Internet in Betracht. Der Sachverständige weist aber darauf hin, dass eine derartige Rekonstruktion des DES-Schlüssels wegen der benötigten Teilnehmerzahl nicht geheim gehalten werden könnte.
Gleichwohl genügen diese grundsätzlichen Feststellungen im vorliegenden Falle nicht, ein grob sorgfaltspflichtwidriges Verhalten der Ehefrau des Bekl. festzustellen. Es liegt hier zwar ein Lebenssachverhalt vor, der nach der Lebenserfahrung und den weiteren vom Sachverständigen bestätigten technischen Gegebenheiten es generell rechtfertigt, auf Grund des eingetretenen Erfolgs auf eine bestimmte Ursache zu schließen, hier somit auf ein pflichtwidriges Unterlassen der gebotenen Trennung von ec-Karte und PIN. Weil aber eine derartige Schlussfolgerung lediglich auf Erfahrungssätzen beruht, kann für eine Widerlegung dieser erleichterten Beweisführung nicht der strenge Beweis des Gegenteils verlangt werden. Vielmehr muss es genügen, wenn der Bekl. konkrete Tatsachen zu behaupten und zu beweisen vermag, aus denen sich zumindest die ernsthafte Möglichkeit eines vom Gewöhnlichen abweichenden Verlaufs bzw. einer anderen Ursachenkette ergibt. Für den vorliegenden Fall ist dem Bekl. der Beweis gelungen, dass ein prima facie anzunehmender Ursachenverlauf nicht zwingend gegeben war, sondern eine erfolgreiche Abhebung auch ohne grob fahrlässiges Zusammenfügen von ec-Karte und PIN durch die Ehefrau des Bekl. gelingen konnte.
Die Ehefrau des Bekl. hat als Zeugin detailliert bekundet, dass sie neben der verloren gegangenen ec-Karte in H. nicht auch zugleich die PIN mit sich geführt hatte und aus welchen Gründen dies so war. Die Zeugin hat in sich schlüssig und detailliert geschildert, dass die ihr überlassene ec-Karte samt PIN nur einmal in D. benutzt worden war, dass zu diesem Zweck die ihr in einem verschlossenen Umschlag überlassene PIN einmalig benutzt worden war und dass nach dieser einzigen Abhebung von einem Geldausgabeautomaten der Brief, in welchem die PIN fixiert war, in ihrem Beisein vom Bekl. vernichtet wurde. Die Zeugin hat darüber hinaus dargelegt, dass die PIN nicht anderweitig notiert wurde und dass diese insbesondere ihr auch nicht im Gedächtnis verblieben war, somit auch nicht zu einem späteren Zeitpunkt notiert werden konnte, weil die PIN in der Folgezeit nie wieder zum Einsatz kam und kommen sollte, weil sich die Frau des Bekl. darauf beschränkte, die ec-Karte bei Ausstellung von Euroschecks zu verwenden. Diese in allen Teilen plausible, in sich wiederspruchsfreie und detailreiche Aussage stimmt überein mit der ursprünglichen Aussage der Zeugin gegenüber der Polizei vom 5. 6. 2000 und vom 6. 6. 2000. Nachvollziehbar und glaubhaft erscheint insbesondere auch die Schilderung der Vernichtung der PIN, weil dies von der Zeugin mit einem konkreten Vorgang in Verbindung gesetzt werden konnte.
Der Aussage der Zeugin entgegenstehende konkrete Erkenntnisse liegen nicht vor. Auch die Kl. vermochte der Zeugin keine weitere Benutzung der PIN zu einem anderen Zeitpunkt vorzuhalten. Im Übrigen wäre auch nicht nachzuvollziehen, dass die Zeugin, der die Kl. mit Schreiben vom 16. 6. 2000 gegenüber dem Deutschen Sparkassen- und Giroverband Seriosität bescheinigt hatte, wegen eines für sie relativ geringfügigen Betrags eine mit strafrechtlichen Folgen versehene Falschaussage auf sich nehmen sollte.
Bei Würdigung der Bekundungen der Zeugin war insbesondere auch zu berücksichtigen, dass auf Grund des schriftlichen Gutachtens des Sachverständigen Dr. L und seiner ergänzenden Ausführungen in der mündlichen Verhandlung vom 13. 2. 2001 vor dem Senat der generell sehr hoch zu bewertende Sicherheitsstandard des PIN-Systems für die im konkreten Fall von der Kl. der Ehefrau des Bekl. überlassene ec-Karte mit erheblichen Einschränkungen versehen werden muss. Nach den Feststellungen des Sachverständigen wurde für die streitgegenständliche ec-Karte noch das alte PIN-Verfahren verwendet, bei welchem systembedingt nicht alle PIN gleich wahrscheinlich waren. Der Sachverständige hat insoweit dargelegt, dass bei dieser Verschlüsselung deutlich wahrscheinlicher als alle anderen PIN diejenigen waren, die aus der Eingangszahl 1 und drei weiteren Zahlen aus dem Bereich zwischen 0 und 5 gebildet wurden, so dass insgesamt 216 PIN vom Sachverständigen als hoch wahrscheinlich gekennzeichnet wurden. Da nach den Feststellungen des Sachverständigen die im konkreten Fall verwendete ec-Karte mit einem Chip versehen war und deshalb auch als Geldkarte verwendet werden konnte, bestand für einen mit Systemkenntnissen ausgestatteten Täter die Möglichkeit, die ohnehin bereits deutlich erhöhte Ratewahrscheinlichkeit durch drei zusätzliche Versuche an einem Ladeterminal nochmals zu erhöhen. Dort mögliche drei Fehlversuche wären nicht außerhalb des Chips auf der Karte online registriert worden und wären auch von den Geldausgabeautomaten auf den jeweiligen Journalstreifen nicht vermerkt worden. Rechnerisch ergab sich für vorliegenden Fall sonach eine mögliche Ratewahrscheinlichkeit von 1 zu 54, so dass ein Erraten nicht mehr als außerhalb jeder in Betracht zu ziehenden Wahrscheinlichkeit angesehen werden könnte, weshalb auch der Sachverständige vorliegend den Rateangriff als realistischste Möglichkeit eines Kartenmissbrauchs bezeichnet hat.
Damit steht selbstverständlich nicht fest, dass ein unbefugter Dritter tatsächlich nicht neben der ec-Karte auch die PIN zur Verfügung hatte. Darauf kommt es auch nicht an. Zur Erschütterung des der Kl. zugebilligten Anscheinsbeweises genügt die im vorliegenden Fall sachverständig ermittelte hohe Ratewahrscheinlichkeit in Verbindung mit den Bekundungen der Zeugin. Der Umstand, dass vorliegend die hohe Sicherheit des Verschlüsselungssystems durch eine ungewöhnlich hohe Ratewahrscheinlichkeit relativiert sein kann, verleiht der Aussage der Zeugin G zusätzliche Plausibilität und erhöht insgesamt deren Gewicht.
Der Senat kann sich in Anbetracht der genannten Umstände nicht davon überzeugen, dass die Zeugin vorsätzlich falsch ausgesagt hätte. Der Bekl. muss nicht Vollbeweis für seine Darstellung erbringen, sondern nur Umstände aufzeigen und beweisen, die eine ernst zu nehmende Möglichkeit eines untypischen Geschehensablaufs eröffnen. Dies ist vorliegend gelungen.
Kanzlei Prof. Schweizer Rechtsanwaltsgesellschaft mbH © 2020
Impressum | Datenschutz | Cookie-Einstellungen