Kreditkartenmißbrauch

Kreditkartenmißbrauch & Phishing- was hat der Kunde zu beachten?

Ein Bankkunde stellt plötzlich fest, dass sein Konto um einen erheblichen Betrag geschmälert ist und kontaktiert seine Bank. Die Bank stellt sich jedoch „quer“ und kontert, ihr Banksystem sei sicher und verweigert jeden Ausgleich.  Dieser Artikel soll die Sorgfaltspflichten von Bank und Kunde näher untersuchen und wesentliche Grundsätze der Beweislast darstellen.

Grobe oder einfache Fahrlässigkeit? Ein Überblick

Die Rechtsprechung nimmt mittlerweile zu vielerlei Fallgestaltungen Stellung, wann eine grobe oder nur einfache Fahrlässigkeit vorliegt.

Per Definition liegt grobe Fahrlässigkeit immer dann vor, wenn die „erforderliche Sorgfalt in besonders schwerem Maße verletzt“ wurde. Dies ist in der Regel der Fall, wenn schon einfachste, ganz nahe liegende Überlegungen nicht angestellt werden und das nicht beachtet wird, was im gegebenen Fall jedem einleuchten müsste[1].

So hat das bereits das OLG Köln in einer Entscheidung[2] das Zurücklassen einer Jacke mit Brieftasche nebst Ausweis und EC-Karte während der zeitweisen Abwesenheit in einem unverschlossenen Büro als einen typischen Fall grober Fahrlässigkeit gewertet.

Keine Verletzung soll dagegen die Aufbewahrung der Karte unter persönlicher Aufsicht des Kunden/ einer zuverlässigen Person/ die Aufbewahrung der Karte in einem verschlossenen Gebäude/ Raum/ Behältnis sein. Hinterläßt also ein Kunde vorübergehend im verschlossenen Garderobenschrank seines Büros die Karte und gab es dort eine Empfangskontrolle, ist keine Sorgfaltspflichtverletzung anzunehmen[3]. Dasselbe gilt, wenn in dem Büro nachweislich kein Publikumsverkehr geherrscht hat[4].

Sofern bei unberechtigten Abhebungen der Kunde Pin und Karte zusammen aufbewahrt, nutzt sonstige Sorgfalt“ nichts. Auch wenn die Pin verschlüsselt und separat in einem Notizblock hinterlegt und die Tasche im Spind zudem verschlossen aufbewahrt wurde, erschüttert dies den Anscheinsbeweis nicht. Denn es begegnet erheblichen Bedenken, wenn PIN und Karte überhaupt gemeinsam aufbewahrt werden, was in den Allgemeinen Geschäftsbedingungen meist auch besonders hervorgehoben wird. Erforderlich ist hier das direkte Merken der PIN +und eine zeitnahe Vernichtung des entsprechenden Benachrichtigungsschriftstücks oder eine getrennte Aufbewahrung beider.

Erhöhte Sorgfaltspflichten durch Allgemeine Geschäftsbedingungen?

Besondere Sorgfaltspflichten können Bankkunden aber auch immer dann treffen, wenn diese individualvertraglich vereinbart wurden. Hierzu finden sich in verschiedenen Vertragsbedingungen der Banken bereits konkrete Regelungen. So sieht die AGB einer Sparkasse z.B. die Pflicht vor, dass die Kreditkarte nicht unbeaufsichtigt im Kraftfahrzeug aufbewahrt werden darf. Unabhängig davon, dass dies bereits nach ergangenen Urteilen zu einer Sorgfaltspflichtverletzung führt, können konkrete Regelungen zu Verhaltenspflichten zu einer Verschärfung des allgemeinen Fahrlässigkeitsmaßstabes zulasten des Kunden führen.

Zwar begegnet eine individualvertragliche Verschärfung im Hinblick darauf, dass wegen der Regelung in § 676 h BGB und des dadurch auf die Kreditkartenunternehmen verlagerten Missbrauchsrisikos ein sorgfältiger Umgang des Kunden mit der Kreditkarte Grundlage eines jeden Kreditkartensystems ist, keine Bedenken. Allerdings sollte man bei Abschluss eines Vertrages die Allgemeinen Vertragsbedingungen genau lesen und im Schadensfalle von einem Anwalt auf ihre Wirksamkeit hin prüfen lassen. In den seltensten Fällen hat der Kunde nämlich Einfluss auf die Vertragsgestaltung, sondern diese werden durch den Vertragspartner einseitig gestellt.

Sofern bei unberechtigten Abhebungen der Kunde Pin und Karte zusammen aufbewahrt wurden, genügt „sonstige Sorgfalt“ jedoch nichts mehr. Auch wenn die Pin verschlüsselt und separat in einem Notizblock hinterlegt und die Tasche im Spind zudem verschlossen aufbewahrt wurde, erschüttert dies den Anscheinsbeweis nicht. Denn es begegnet erheblichen Bedenken, wenn PIN und Karte überhaupt gemeinsam aufbewahrt werden, was in den Allgemeinen Geschäftsbedingungen meist auch besonders hervorgehoben wird. Erforderlich ist das Merken der PIN und eine zeitnahe Vernichtung des entsprechenden Benachrichtigungsschriftstücks oder eine getrennte Aufbewahrung.

Eine Haftung des Kreditkartenunternehmens für unbefugte Abhebungen vor Verlustmeldung und Kartensperre ist jedoch ausgeschlossen, wenn der Kreditkarteninhaber den Verlust der Kreditkarte nicht unverzüglich nach Bemerken des Verlustes gemeldet und die Kartensperre beantragt hat. Kommt die Kreditkarte z.B. bei einem Diebstahl (dort: einer Kollegmappe an einem Flughafen in Spanien) abhanden, ist eine Verlustmeldung an die Notrufzentrale des Kreditkartenunternehmens ca. 1 ½ Stunden nach dem Diebstahl nicht mehr unverzüglich. Mithin sollte jeder Verlust so schnell wie möglich gemeldet werden.

Online Banking+  Anscheinsbeweis

Bei missbräuchlicher Abhebung an einem Geldautomaten unter Eingabe der richtigen PIN zeitnah nach dem Diebstahl der Geldkarte spricht der Beweis des ersten Anscheins dafür, dass der Karteninhaber pflichtwidrig die PIN auf der Karten notiert hat oder gemeinsam mit dieser verwahrt hat[5]. Gelingt es im Ergebnis der Bank, die Autorisierung zu belegen, muss der Kunde diesen Beweis sodann entkräften. Der Anscheinsbeweis muss jedoch nicht im Sinne des Beweises des Gegenteils widerlegt werden. Es genügt, wenn der Karteninhaber die zumindest ernsthafte Möglichkeit eines atypischen Geschehensablaufs darlegt[6].

Aber wie ist dies beim Online Banking?

Der Bundesgerichtshof hat die Anwendbarkeit des Anscheinsbeweises beim Phishing im Online Banking durch sein Urteil vom 26.01.2016[7] deutlich einschränkender formuliert als bei Kartenmissbrauch bei Barabhebungen. Bezieht sich ein Anscheinsbeweis danach auf ein unterstelltes grob fahrlässiges Verhalten des Bankkunden, so gilt dies für Online Banking nicht. Geht es jedoch um die Frage, ob ein Bankkunde eine Zahlungsanweisung autorisiert hat, kommt der Anscheinsbeweis in Betracht, wenn das Sicherungssystem des konkret eingesetzten Online Banking Systems im Zeitpunkt der Vornahme des Zahlungsvorganges praktisch unüberwindbar, ordnungsgemäß angewendet wurde und  fehlerfrei funktioniert hat. Das sind hohe Hürden für Banken. Banken müssen daher Folgendes darlegen und beweisen:

  • ordnungsgemäß funktionierendes System (Wirksamkeit einer Methode und der Korrektheit der Implementierung),
  • ordnungsgemäß angewendetes System.

Nicht überwindbar bedeutet demnach, dass das konkrete eingesetzte Online Banking System einen derzeit nicht überwindbaren Schutz vor Phishing bietet. Banken können also nicht mehr kategorisch Kundenansprüche mit dem Verweis darauf abwehren, dass ihr Online-Banking sicher sei.

Entschiedene Fälle von grober Fahrlässigkeit beim Online- Banking

Das Eingeben diverser TANs auf Anfrage im Internet stellt eine Verletzung der Pflichten des Kontoinhabers aus dem Girovertrag dar. Denn durch die Medien in den letzten Jahren ist die Methode dieser Fälle unbefugten Datenzugriffs allgemein bekannt und eine Mißachtung grob fahrlässig. Es sei danach allgemein bekannt, dass zur Durchführung eines Zahlungsvorgangs nicht mehr als eine TAN abgefragt wird. Außerdem habe das Kreditinstitut keine Verpflichtung zur stetigen Überwachung des Abhebeverhaltens ihrer Kunden. Im zugehörigen Fall bekam eine Kundin die Mitteilung, ihr Konto sei gesperrt worden und sie müsse verschiedene TAN eingeben, um die Sperre aufzuheben[8].

Das LG Berlin[9] hat in einem Urteil über die grob fahrlässige Verletzung der Kundenpflichten bei Phishing entschieden. Wenn ein Bankkunde ca. 40 TAN in einer Maske eingibt, die nicht von der Bank stammt und somit kein Sicherheitszertifikat aufweist, handelt er grob fahrlässig wenn die Maske seinem Konto schon deshalb nicht zuzuordnen ist, weil noch nicht einmal der Kontostand angegeben ist.

Das OLG Hamm führte unter Bezugnahme auf das Urteil des LG Essen[10] im Rahmen eines Hinweisbeschlusses aus, dass eine Bank vom für das Online-Banking freigeschalteten Zahler Schadensersatz aus § 675v II Nr. 1 BGB verlangen kann, wenn dieser gemäß eines in der E-Mail eines Dritten vorgetragenen Verlangens seine Kontodaten oder PIN auf einer Internetseite nennt, zu der er über einen Link aus der E-Mail gelangte. Dem Erstattungsanspruch des Zahlers aus § 675v S. 2 BGB wegen eines nicht autorisierten Zahlungsvorgangs steht dann der Einwand unzulässiger Rechtsausübung entgegen.

Fazit:

Im Vertragsverhältnis Bank -Kunde sind umfangreiche Sorgfaltspflichten zu beachten. Neben den allgemeinen überall zu findenden Tipps im Umgang mit Bankkarten und Überweisungsvorgängen sollte vor allem auf eine Dokumentation der Einhaltung der Sorgfaltspflichten geachtet werden. So können Sie im Ernstfall die ordnungsgemäße Sicherung Ihres Computers und die ordnungsgemäße Verwahrung Ihrer persönlichen PIN belegen.

[1] Vgl. Palandt – Heinrichs, BGB, 66. Auflage, RN 5 zu § 277 BGB m. w. N.

[2] Vgl. OLG Köln, abgedruckt  NJW – RR 1996, 619, 620

[3] Vgl. LG Bonn, abgedruckt in NJW – RR 2005, 1645ff

[4] Vgl. OLG Hamm WM 1997, 1203

[5] vgl. BGH NJW 2012, 1277

[6] Vgl. OLG Stuttgart 13.03.2002- 9 U 63/01

[7] Vgl. BGH, Urteil vom 26.01.2016– XI ZR 91/14

[8] Vgl. AG Krefeld bereits in einem Urteil vom 6.7.2012 (Az. 7 C 605/11)

[9] Vgl. LG Berlin vom 8.11.2011 -Az. 21 O 80/11

[10] Vgl. LG Essen , Urteil vom 04.12.2014 – Az. 6 O 339/14)