JurPC Web-Dok. 26/2000 - DOI 10.7328/jurpcb/200015449

LG Frankfurt/Main
Urteil vom 12.05.1999

2/1 S 336/98

PIN-Sorgfaltspflichten; Darlegungslast

JurPC Web-Dok. 26/2000, Abs. 1 - 55


BGB § 812 Abs. 1 S. 1

Leitsatz (der Redaktion)

Bei Geldabhebungen an Geldausgabeautomaten mittels einer ec-Karte unter Benutzung der richtigen PIN spricht der Beweis des ersten Anscheins dafür, daß entweder der rechtmäßige Karteninhaber oder ein von ihm autorisierter Dritter die Abhebungen getätigt hat oder aber infolge unsachgemäßer Verwahrung der PIN - i.S. von grob fahrlässigem Verhalten - Dritte von dieser Kenntnis erlangen konnten.

Tatbestand

Die Klägerin, eine über siebzig Jahre alte, im Ruhestand lebende Zahnärztin, unterhält bei der Beklagten seit langem ein Girokonto.JurPC Web-Dok.
26/2000, Abs. 1
Im Februar 1997 wurden von diesem Konto unter Verwendung der zu diesem Konto der Klägerin ausgehändigten ec-Karte insgesamt 4.543,- DM abgehoben, wobei 5 der insgesamt 6 Abhebungen an Geldautomaten (GAA) an unterschiedlichen Orten in Deutschland erfolgten, die sechste auf der Begleichung einer Rechnung an einem POS-Terminal beruht.Abs. 2
Die ec-Karte war bis zu diesem Zeitpunkt nie eingesetzt worden. Zwischen den Parteien sind bei Abschluß des Kartenvertrages u.a. folgende "Besondere Bedingungen" vereinbart worden:Abs. 3

Ziffer 2.4:
Die Bank haftet für die Erfüllung ihrer Verpflichtungen aus dem ec-Kartenvertrag.

Abs. 4

Sobald der Bank oder dem Zentralen Sperrannahmedienst der Verlust der ec-Karte angezeigt wurde, übernimmt die Bank alle danach durch Verfügungen an ec-Geldautomaten und automatisierten Kassen entstehenden Schäden. Sie übernimmt auch die bis zum Eingang der Verlustanzeige entstehenden Schäden, wenn der Karteninhaber die ihm nach diesen Bedingungen obliegenden Pflichten erfüllt hat.

Abs. 5

Hat der Karteninhaber durch ein schuldhaftes Verhalten zur Entstehung des Schadens beigetragen, bestimmt sich nach den Grundsätzen des Mitverschuldens, in welchem Umfang Bank und Kontoinhaber den Schaden zu tragen haben.

Abs. 6

Hat der Karteninhaber seine Pflichten lediglich leicht fahrlässig verletzt, so stellt die Bank den Kontoinhaber von seiner Verpflichtung, einen Teil des Schadens zu übernehmen, in jedem Fall in Höhe von 90% des Gesamtschadens frei.

Abs. 7

Ziffer 7.4:
Der Karteninhaber erhält ohne Anforderung eine persönliche Geheimzahl für die Inanspruchnahme der Service-Leistungen, die nur in Verbindung mit der persönlichen Geheimzahl möglich sind. Der Karteninhaber hat dafür Sorge zu tragen, daß keine andere Person Kenntnis von der persönlichen Geheimzahl erlangt. Die Geheimzahl darf insbesondere nicht auf der Karte vermerkt oder in anderer Weise zusammen mit dieser aufbewahrt werden. Denn jede Person, die die persönliche Geheimzahl kennt und in den Besitz der Karte kommt, hat die Möglichkeit, zu Lasten des auf der ec-Karte angegebenen Kontos Verfügungen zu tätigen (zum Beispiel Geld an ec-Geldautomaten abzuheben).

Abs. 8
Die Klägerin begehrt Ersatz der ihrem Konto im Februar auf Grund der unter Einsatz der ec-Karte erfolgten Abhebungen belasteten Beträge.Abs. 9
Sie hat behauptet, sie habe die fraglichen Geldabhebungen mittels Karte nicht vorgenommen. Im Januar 1997, nach Rückkehr von einem REHA-Aufenthalt habe sie die ec-Karte noch in Besitz gehabt. Zu einem nicht genau bestimmbaren Zeitpunkt im Februar 1997 seien ihr zwei ec-Karten und eine s-Karte auf unbekannte Weise entwendet worden. Sie habe den Verlust am 26.2.1997 bemerkt. Die Karten habe sie in einem Mäppchen in ihrem Geldbeutel aufbewahrt. Die PIN habe sie mit anderen Wertgegenständen in einem Aktenkoffer verstaut, den sie an immer wechselnden Orten in ihrer Wohnung aufbewahre. Den Schlüssel für diesen habe sie ständig bei sich geführt. Sie bewohne ihr Haus allein. Bei Anwesenheit weiterer Personen sei auch sie anwesend. Sie lasse prinzipiell keine Personen unbeaufsichtigt in ihrem Haus. Das gelte auch für ihre Zugehfrau, die mittlerweile 30 Jahre bei ihr beschäftigt sei.Abs. 10
Die Klägerin hat beantragt,

die Beklagte zu verurteilen, an die Klägerin 4.543,- DM nebst 4% Zinsen seit dem 26.6.1997 zu zahlen.

Abs. 11
Die Beklagte hat beantragt,

die Klage abzuweisen.

Abs. 12
Die Beklagte hat den Vortrag der Klägerin zum Abhandenkommen der ec-Karten bestritten.Abs. 13
Sie hat behauptet, die Klägerin sei ihren Sorgfaltspflichten hinsichtlich der Aufbewahrung, insbesondere der persönlichen Geheimzahl (PIN) nicht hinreichend nachgekommen. Andernfalls wäre eine Abhebung unter Verwendung der ec-Karte und der Eingabe der richtigen PIN auf erste Anforderung nicht möglich gewesen. Es sei noch heute technisch ausgeschlossen, daß ein Dieb die persönliche Geheimzahl aus der Karte entschlüsseln könne.Abs. 14
Hinsichtlich des weiteren Parteivortrags wird auf die gewechselten Schriftsätze Bezug genommen.Abs. 15
Das Amtsgericht hat gemäß Beweisbeschluß vom 3.2.1998 und 26.5.1998 Beweis erhoben durch Vernehmung der Klägerin als Partei und Anhörung der Sachverständigen Dr. S. und M.-M.. Hinsichtlich des Ergebnisses der Beweisaufnahmen wird auf die Sitzungsniederschriften vom 23.4.1998, Bl. 98 ff d.A. und vom 31.7.1998, Bl. 155 ff d.A. Bezug genommen.Abs. 16
Durch Urteil vom 1.9.1998 hat das Amtsgericht der Klage stattgegeben. Es hat hierzu ausgeführt, daß der Klägerin ein Anspruch auf Rückzahlung wegen ungerechtfertigter Bereicherung, § 812 BGB, zustehe, da auf Grund des unstreitigen Diebstahls eine wirksame Anweisung der Klägerin nicht vorliege und die Beklagte nicht nachgewiesen habe, daß die Klägerin ihre vertraglichen Pflichten, insbesondere im Hinblick auf die Aufbewahrung der PIN, verletzt habe.Abs. 17
Die Beklagte habe keinerlei konkrete Tatsachen vorgetragen, aus denen sich ein schuldhaftes Verhalten der Klägerin ergeben könne. Sie habe sich lediglich auf den von Rechtsprechung und Literatur statuierten Anscheinsbeweis gestützt. Diesem liege die Annahme zugrunde, daß eine Transaktion an einem Geldausgabeautomaten oder POS-Terminal nur mit der geheimen PIN möglich sei, welche nur dem Karteninhaber bekannt sei und die auf Grund des Sicherheitssystems der Banken auch nicht von Dritten ermittelbar sei. Dieser Annahme könne sich das Gericht nicht anschließen. Es sehe vielmehr auf Grund der Beweisaufnahme nicht nur die Anknüpfungspunkte für einen solchen Anscheinsbeweis für widerlegt an, sondern halte es nach der Beweisaufnahme nicht mehr nur für theoretisch denkbar sondern für praktisch bewiesen, daß die PIN selbständig durch Entschlüsseln anhand der auf der Karte gespeicherten Daten ermittelt werden könne. Es halte im Anschluß an die Ausführungen des Sachverständigen M.-M. insbesondere für bewiesen, daß bereits Anfang 1997 eine Spezialmaschine existiert habe, mit der der Institutsschlüssel des jeweiligen Bankinstitutes habe errechnet werden können. Mit diesem Schlüssel sei es ein Leichtes, die PIN zu ermitteln. Im Juli 1998 sei es der Electronic Frontier Foundation in den USA gelungen den DES-Schlüssel innerhalb von 56 Stunden zu "knacken" (DER SPIEGEL vom 27.7.1998 S. 162). Hierzu habe die Foundation einen Spezialcomputer gebaut. Überdies sei angesichts der europaweiten Entwendungen von Geldautomaten entsprechend der von dem Sachverständigen M.-M. geäußerten Ansicht auch davon auszugehen, daß ein oder mehrere Täter im damaligen Zeitpunkt im Besitz eines funktionierenden Geldausgabeautomaten und somit in der Lage waren, einen der drei dort - für die Autorisierung im off-line-Verfahren - im Sicherheitsmodul gespeicherten Poolschlüssel anhand der auf der Karte befindlichen unverschlüsselten Daten sowie eines auf der Karte befindlichen Offsets zu ermitteln. Dieser ermögliche ohne Schwierigkeiten - wie der Institutsschlüssel für die Karten ausgebende Bank - das Errechnen der PIN sogar für alle Karten ausgebenden Institute in Deutschland. Abs. 18
Ein Mitverschulden könne der Klägerin nach ihren glaubhaften Bekundungen anläßlich ihrer Parteivernehmung nicht angelastet werden. Abs. 19
Hinsichtlich der weiteren Ausführungen wird auf die Urteilsgründe Bezug genommen. Abs. 20
Gegen dieses ihr am 4.9.1998 zugestellte Urteil hat die Beklagte mit Schriftsatz vom 29.9.1998, eingegangen am selben Tag, Berufung eingelegt, die sie mit Schriftsatz vom 27.11.1998, eingegangen am 27.11.98, begründet hat. Die Berufungsbegründungsfrist war durch Verfügung vom 23.10.1998 bis zum 30.11.1998 verlängert worden.Abs. 21
Die Beklagte rügt im Hinblick auf die Verwertung ergänzender telefonischer Informationen des Sachverständigen Dr. S. nach Schluß der mündlichen Verhandlung an das Gericht Verfahrensmängel, insbesondere die Verletzung rechtlichen Gehörs und ist überdies der Ansicht, daß auf Grund der durchgeführten Beweisaufnahme der Anscheinsbeweis für ein Verschulden der Klägerin weder für widerlegt anzusehen sei, noch, daß davon ausgegangen werden könne, daß im damaligen Zeitpunkt entweder der Institutsschlüssel mittels einer Spezialmaschine errechnet worden sei oder der Poolschlüssel mit Hilfe eines gestohlenen Geldausgabeautomaten.Abs. 22
Sie trägt vor, es gebe keinerlei konkrete Anhaltspunkte dafür, daß eine solche Spezialmaschine existiere, geschweige denn im Februar 1997 bereits existiert habe.Abs. 23
Auch die Möglichkeit, mittels eines entwendeten Geldausgabeautomaten den Poolschlüsssel zu errechnen, habe nie bestanden. Zum einen werde bei der Entwendung der Stromkreis unterbrochen und damit würden automatisch alle Daten gelöscht. Zum anderen sei der Poolschlüssel in dem Sicherheitsmodul verschlüsselt und es stellten sich bei der Ermittlung die gleichen Probleme wie bei der Ermittlung des Institutsschlüssels. Das Amtsgericht sei auch zu Unrecht davon ausgegangen, daß das Abhandenkommen der Karte durch Diebstahl unstreitig sei und die Klägerin ihrer Aufbewahrungspflicht hinreichend nachgekommen sei. Es könne im Gegenteil nach ihrem eigenen Vortrag nicht ausgeschlossen werden, daß der Täter aus dem Umkreis der Klägerin stamme und auch dort die PIN in Erfahrung gebracht habe.Abs. 24
Die Beklagte beantragt,

die Klage unter Abänderung des erstinstanzlichen Urteils des Amtsgerichts abzuweisen.

Abs. 25
Die Klägerin beantragt,

die Berufung zurückzuweisen.

Abs. 26
Sie verteidigt das angefochtene Urteil.Abs. 27
Sie trägt darüberhinaus vor, der Täter könne nicht aus ihrem Umfeld stammen. Keines ihrer Kinder, die im übrigen alle in wohlgeordneten Verhältnissen lebten, besitze einen Schlüssel zum Haus.Abs. 28
Hinsichtlich des weiteren Parteivortrags im einzelnen wird auf den vorgetragenen Inhalt der gewechselten Schriftsätze nebst Anlagen Bezug genommen.Abs. 29

Entscheidungsgründe

Die form- und fristgerecht eingelegte Berufung ist zulässig und begründet.Abs. 30
Die Klage ist nicht begründet. Der Klägerin steht ein Anspruch aus ungerechtfertigter Bereicherung gemäß § 812 I S. 1 BGB, der im übrigen nicht auf Zahlung sondern auf Kontoberichtigung zu richten wäre, nicht zu. Entgegen der Auffassung des Amtsgerichts ist es ihr nicht gelungen, den Nachweis zu erbringen, daß die Belastungen ihres Kontos seitens der Beklagten rechtsgrundlos erfolgt sind.Abs. 31
Zwar wird man das Vorliegen einer wirksamen Zahlungsanweisung seitens der Klägerin selbst, die bei Benutzung der Karte durch sie bzw. durch einen von ihr autorisierten Dritten vorliegen würde, angesichts der glaubhaften Bekundungen der Klägerin zur Tatsache des Abhandenkommens der Karte als solcher, sei es durch Diebstahl oder Verlust, verneinen müssen. Es kann gleichwohl nicht davon ausgegangen werden, daß die Belastungen des Kontos ohne Rechtsgrund erfolgt sind, da die Klägerin nicht hinreichend substantiiert dargelegt hat, daß das Abhandenkommen der Karte und Kenntnis des Täters von der PIN nicht auf einem grob fahrlässigem Verhalten ihrerseits beruht. Sie hat daher den von der Beklagten behaupteten Rechtsgrund einer positiven Vertragsverletzung (PVV), Verstoß gegen die zwischen den Parteien entsprechend den vorgelegten Bedingungen vereinbarten Sorgfaltspflichten, nicht ausräumen können.Abs. 32
Die Klägerin konnte zum konkreten Abhandenkommen gar keine Angaben machen, da sie zu einem bestimmmten Zeitpunkt lediglich festgestellt hat, daß die hier fragliche und zwei weitere Karten fehlten. Ihr Vortrag zum Abhandenkommen, insbesondere infolge Verlustes, beruht daher lediglich auf Vermutungen, ist jedoch durch keinerlei konkreten Tatsachenvortrag untermauert. Insbesondere schließt ihr Vortrag, seine Richtigkeit unterstellt, nicht die Möglichkeit eines infolge nicht ordnungsgemäßer Aufbewahrung verursachten Diebstahls aus. Ihre bloßen Behauptungen, die sie anläßlich ihrer Parteivernehmung bestätigt hat, daß sie im Januar noch im Besitz der Karten war, daß nur ihre Haushaltshilfe in ihrer Abwesenheit Zugang zur Wohnung hatte, diese aber zuverlässig sei und im übrigen weder Kenntnis vom Aktenkoffer und der darin versteckten PIN, noch die Möglichkeit hatte, diesen zu öffnen, reichen nicht aus, um festzustellen, daß sie die ihr nach den Bedingungen obliegende Sorgfaltspflichten im Umgang mit Karte und PIN in einem Maße gewahrt hat, daß ihr eine grob fahrlässige Verursachung des Schadens nicht angelastet werden könnte. Es fehlen hinreichende Angaben zu der konkreten Aufbewahrungsart von Karten und PIN in dem fraglichen Zeitraum. Abs. 33
Zwar hat die Klägerin vorgetragen, sie habe die Karten in einem gesonderten Mäppchen in einem Geldbeutel aufbewahrt. Ihrem Vortrag ist jedoch nicht zu entnehmen, daß sie diesen immer bei sich geführt hätte bzw. wo sie diesen jeweils aufbewahrt hat, wenn sie ihn nicht bei sich geführt hat. Soweit sie in ihrem Schriftsatz vom 28.10.97 ausführt, sie habe den Geldbeutel in ihrer Tasche verwahrt, bezieht sich dies aber offensichtlich nur auf den Zeitpunkt der Benutzung dieses Geldbeutels. Die Aufbewahrungsart ist aber nicht zuletzt deshalb wichtig, weil sie noch - so ist der Vortrag im Schriftsatz vom 10.3.99 zu verstehen - über andere Geldbörsen für die kleineren Geschäfte des täglichen Lebens verfügt und - so ihre Aussage vor dem Amtsgericht - ihren Geldbeutel, in dem sich die Karten befanden, nur zweimal nach ihrer Entlassung aus der REHA-Klinik benutzt haben will. Abs. 34
Das gleiche gilt auch für den Aufbewahrungsort der PIN. Zwar trägt sie vor, daß der Zettel, auf dem die PIN stand in einem verschlossenem Aktenkoffer an wechselnden Orten in der Wohnung bzw. ihrem Haus aufbewahrt worden sei. Es fehlen jedoch jegliche Angaben, wo genau. Es kann daher nicht geprüft werden, ob es sich hierbei um eine den Bedingungen genügende Aufbewahrung handelte, zumal es sich bei dem Schloß des Aktenkoffers um ein normales kleines Schlüsselschloß handelte, das - ohne Hinterlassen von Spuren - zu öffnen für jemanden mit etwas Geschick kein größeres Problem sein müßte. Die Äußerung der Klägerin anläßlich ihrer Vernehmung vor dem Amtsgericht, sie bewahre seit diesem Vorfall ihre Wertsachen nicht mehr in dem Koffer auf, weil er ihr nicht mehr sicher genug erscheine, kann letztlich nur dahin gedeutet werden, daß auch die Klägerin es für möglich gehalten hat, daß der Koffer geöffnet wurde, ohne daß Aufbruchsspuren - so ihre Bekundung - zu sehen waren. Auf jeden Fall macht diese Äußerung deutlich, daß das Erfordernis eines entsprechenden konkreten Vortrags, wie oben aufgezeigt, zur Beurteilung der Frage eines möglichen Verschuldens bzw. Ausschließens der groben Fahrlässigkeit keine Überziehung der an einen substantiierten Vortrag zu stellenden Anforderungen in diesem Zusammenhang darstellt. Abs. 35
Schließlich fehlen auch jegliche konkrete Angaben zu ihren Familienverhältnissen sowie zu den Besuchern in der Zeit zwischen Januar und dem Feststellen des Verlustes. Folgt man ihrem in ihrer Parteivernehmung bestätigten Vortrag bzw. der Einschätzung ihrer Haushaltshilfe, so kann lediglich ausgeschlossen werden, daß letztere die Karten entwendet bzw. benutzt hat. Das bedeutet aber noch nicht, daß auch kein anderer Dritter die Möglichkeit zur Entwendung von PIN und Karten im häuslichen Bereich der Klägerin hatte. Es besagt vor allem nicht, daß die Familienmitglieder nicht von dem Aktenkoffer, seinem Aufbewahrungsort und Inhalt sowie von den Karten Kenntnis hatten und eine Entwendung durch diese ausgeschlossen erscheint. Der Vortrag, sie lasse keinen Besucher unbeaufsichtigt, ist eine Behauptung, die mangels konkreter Tatsachen, nicht nachprüfbar ist.Abs. 36
Die Darlegungs- und Beweislast für den fehlenden Rechtsgrund trifft die Klägerin und zwar für alle von der Beklagten geltend gemachten Rechtsgründe (vgl. Palandt-Thomas, BGB, § 812 Rn.106; BGH NJW 1990, 392 f; BGH NJW 1995, 727 f; BGH NJW-RR 1996, 1211 f). An dieser Darlegungslast im Rahmen eines Anspruchs nach § 812 BGB ändert auch die Haftungsbestimmmung in den zwischen den Parteien vereinbarten Bedingungen nichts. Nach den Bedingungen ist nicht nur eine Mithaftung im Sinne eines Mitverschuldens der Klägerin bei grob fahrlässiger Verursachung gegeben sondern auch ein eigenständiger Anspruch der Beklagten nach den Grundsätzen der PVV. Für letzteren gilt im Rahmen des § 812 BGB die dargelegte Darlegungs- und Beweislast nach den allgemeinen Grundsätzen.Abs. 37
Auch wenn man, wie die Klägerin zunächst, ihren Anspruch aus PVV herzuleiten versucht, gilt zur Anspruchbegründung hinsichtlich der Darlegungslast nach den von der höchstrichterlichen Rechtsprechung, ausgehend von § 282 BGB, entwickelten Beweislastverteilung nach Gefahren- und Verantwortungsbereichen das gleiche wie oben ausgeführt. Das bedeutet, die Klägerin muß die objektive Pflichtverletzung der Beklagten und ihr Verschulden dartun und beweisen, d.h. sie muß dartun, daß der Schaden nur aus dem Verantwortungsbereich der Beklagten herrühren kann (Palandt-Heinrichs, aaO., § 282 Rn. 6 ff ). Das beinhaltet zunächst das Erfordernis der Darlegung und den Nachweis, daß der Schaden nicht aus dem eigenen Verantwortungsbereich herrührt. Erst dann wäre der Schluß, daß er nur aus dem Verantwortungsbereich der Beklagten stammen kann und diese daher ein Verschulden trifft, zulässig. Dieser Darlegungslast ist die Klägerin, wie ausgeführt, nicht ausreichend nachgekommen.Abs. 38
Eine andere Beurteilung rechtfertigt sich auch nicht dann, wenn man mit dem Amtsgericht den Anscheinsbeweis hinsichtlich der Ermittlungsmöglichkeit der PIN für erschüttert ansehen, bzw. die Anknüpfungstatsachen für widerlegt halten würde. Denn dies rechtfertigte jedenfalls nicht zugleich die Annahme, daß damit nunmehr umgekehrt ein Anscheinsbeweis zugunsten der Klägerin dahin bestehen würde, daß die Schadensursache i.S. der zwischen den vereinbarten Bedingungen nicht ihrem Verantwortungsbereich zuzurechnen wäre.Abs. 39
Im übrigen vermag die Kammer den diesbezüglichen Ausführungen des Amtsgerichts auch nicht zu folgen. Sie sieht keine Veranlassung, auf Grund der vom Amtsgericht durchgeführten Beweisaufnahme für den hier zu beurteilenden Fall ihre bereits in mehreren Entscheidungen vertretene Auffassung aufzugeben, wonach bei Geldabhebungen an Geldausgabeautomaten mittels einer ec-Karte unter Benutzung der richtigen PIN der Beweis des ersten Anscheins dafür spricht, daß entweder der rechtmäßige Karteninhaber oder ein von ihm autorisierter Dritter die Abhebungen getätigt hat oder aber infolge unsachgemäßer Verwahrung der PIN - i.S. von grob fahrlässigem Verhalten - Dritte von dieser Kenntnis erlangen konnten. Abs. 40
Hinsichtlich der ersten Alternative kann, wie oben ausgeführt, infolge des glaubhaften Vortrags der Klägerin, bestätigt anläßlich ihrer Parteivernehmung vor dem Amtsgericht, der Anscheinsbeweis als widerlegt angesehen werden. Hinsichtlich der zweiten Alternative, kann jedoch auf Grund der in erster Instanz durchgeführten Beweisaufnahme weder von einer Erschütterung desselben noch von der Widerlegung der dem Anscheinsbeweis zugrundeliegenden Anknüpfungstatsachen ausgegangen werden.Abs. 41
Für die Frage der Geltung des Anscheinsbeweises bzw. dessen Erschütterung ist auf den konkreten Einzelfall abzustellen, hier mithin auf einen Vorfall im Februar 1997 mit einer ec-Karte, für die noch das sog. alte PIN-Verfahren galt. Alle nach diesem Zeitpunkt erkannten und herausgefundenen Möglichkeiten, von wem auch immer, die PIN zu ermitteln, können allenfalls dann herangezogen werden, wenn hinreichend sichere Umstände gegeben sind, die den Schluß zulassen, daß diese Ermittlungsmöglichkeiten nicht nur theoretisch zum fraglichen Zeitpunkt ebenfalls gegeben waren, sondern es auch hinlängliche Anzeichen dafür gibt, daß auch praktisch eine solche PIN-Ermittlung im konkreten Fall stattgefunden haben könnte. Zum damaligen Zeitpunkt wurde, wie auch teilweise heute noch, die PIN einheitlich aus kartenindividuellen Daten errechnet, die sich auf dem Magnetstreifen der Karte befinden. Diese Daten werden mit dem DES-Algorithmus verschlüsselt, wobei in diese Berechnung ein geheimer Schlüssel, der Institutsschlüssel, der nur dem herausgebenden Bankinstitut bekannt ist, einbezogen wird. Aus diesem Verschlüsselungsergebnis wird die PIN abgeleitet. Anstelle des Institutsschlüssels konnte bzw. kann, soweit noch nicht ausgetauscht, bei dem alten PIN-System auch einer der systemweit geltenden Poolschlüssel zur Berechnung eingesetzt werden, vorausgesetzt man kannte/kennt den dazugehörigen - auf dem Magnetstreifen der Karte befindlichen - noch gültigen Offset. Abs. 42
Es besteht Einigkeit darüber, daß, kennt man den Institutsschlüssel bzw. den Poolschlüssel, die PIN ohne Schwierigkeit zu berechnen ist, in Falle des Institutsschlüssels für das konkrete ausgebende Institut, im Falle des Poolschlüssels sogar für jede deutsche ec-Karte.Abs. 43
Einigkeit besteht weitgehend unter den Sachverständigen auch insoweit, als bereits in dem fraglichen Zeitraum - Februar 1997 - es theoretisch durchaus denkbar war, mittels einer speziell konstruierten Maschine den Instituts- oder Poolschlüssel zu ermitteln, wie sich auch aus den teils in den Akten befindlichen schriftlichen Beiträgen verschiedener, vom Amtsgericht zitierter, Sachverständiger ergibt (z.B. Heuser, Bl 41 ff d.A., im übrigen Schindler NJW-CoR 1997, 283 ff).Abs. 44
Hinreichend zuverlässige Anhaltspunkte dafür, daß zu diesem Zeitpunkt eine solche Spezialmaschine bereits existiert hat und der hier fragliche Institutsschlüssel bzw. einer der Poolschlüssel bereits errechnet waren bzw. ohne Schwierigkeiten und allzu großen Zeitaufwand hätten ermittelt werden können, sind nicht ersichtlich. Insbesondere ist die Feststellung des Amtsgerichts in diesem Zusammenhang, die Berichte über den erfolgreichen Bau eines Spezialcomputers im Juli 1998 durch die Electronic Frontier Foundation (EFF) lasse die Vermutungen der Sachverständigen gegen die Annahme der Existenz einer solchen Spezialmaschine im Februar 1997 als hinfällig erscheinen, nicht nachvollziehbar.Abs. 45
Der Sachverständige S. hat - in Übereinstimmung mit der von ihm wiedergegebenen Meinung des BSI - in der Beweisaufnahme - ebenso wie in seinem Beitrag in NJW-Cor 1998, 223 ff - die Existenz einer solchen Spezialmaschine angesichts der zur Herstellung erforderlichen Kosten für nicht wahrscheinlich gehalten. Dabei muß man hier von den im Jahr 1997 veranschlagten Kosten ausgehen, die der Sachverständige S. immerhin für den fraglichen Zeitraum noch mit 300.000, -DM angibt, was im übrigen weniger wäre als die von der Electronic Frontier Foundation für den Bau eines solchen Spezialcomputers im Jahre 1998 angegebenen 200.000 bzw. 250.000 US-Dollar. Nach einem vom Amtsgericht zitierten FAQ (Frequent Answers & Questions) der Universität Trier soll bereits mit einer Investition von 20.000 US-Dollar einer der drei Poolschlüssel unter Verwendung spezieller programmierbarer Chips ermittelbar gewesen sein. Abs. 46
Zwar ist nicht ausgeschlossen, daß kriminelle Organisationen grundsätzlich solche Anfangskosten nicht scheuen, wenn sie sich denn mit dem erzielbaren Gewinn rechnen. Aber auch insoweit gibt es keine konkreten Anhaltspunkte dafür, die es wahrscheinlich erscheinen lassen könnten, daß tatsächlich eine solche Organisation im Besitz eines derartigen Spezialcomputers oder entsprechender Chips ist bzw. im Februar 1997 war. Eine Schadenssumme von 41.537.548,- DM im Jahre 1997 erscheint in dieser absoluten Zahl zwar immens und für die "Wirtschaftlichkeit" einer solchen Maschine zu sprechen. Abgesehen davon, daß nach dem nicht bestrittenem und durch entsprechende Statistiken belegtem Vortrag in der Berufungsbegründung in dieser Summe auch die durch Scheckbetrügereien entstandenen Schäden enthalten sind, besagt die Zahl allein aber im Grunde konkret für die hier zu entscheidende Frage der Existenz noch nichts. Dies insbesondere auch deshalb nicht, weil nach den Ausführungen von S. in NJW-CoR 1998 aaO S. 225 nach der BKA- Kriminalstatistik der vergangenen Jahre die aufgeklärten Mißbrauchsfälle - 38-39 % aller Fälle - "den Schluß nahelegen, daß auch beim alten System das Notieren der PIN und deren optisches Ausspähen an GAAs oder POS-Terminals und die Weitergabe an vermeintliche Vertrauenspersonen die häufigste Mißbrauchsursache war".Abs. 47
Für den konkreten Fall würde dies überdies bedeuten, daß der Benutzer der Karte entweder zu dieser kriminellen Vereinigung gehört hat oder daß er die entsprechende Nummer von einer solchen gekauft hat. Für beide Varianten fehlen Anhaltspunkte, für die letztere ist dies umso gewichtiger, weil es kaum vorstellbar ist, daß sich solche Angebote auf dem entsprechenden "Markt" so geheim halten ließen, daß nicht auch Dritte, wie z.B. der BSI, hiervon Kenntnis erhielten. Schließlich muß die Information irgendwie zu dem interessierten Täterkreis kommen. Soweit der Sachverständige M.-M. hierzu eine gegenteilige Vermutung geäußert hat, ist diese durch keinerlei konkrete, nachvollziebare Umstände belegt. Es ist insbesondere nicht feststellbar - und damit auch nicht auf ihre Ernsthaftigkeit nachprüfbar - woher der Sachverständige seine im Urteil wiedergegebene Ansicht herleitet und die ihr zugrundeliegenden Informationen bezogen hat. Eigene Erkenntnise tatsächlicher Art hat der Sachverständige offenbar nicht. Soweit er an anderer Stelle im übrigen ausführt, daß es für die Täter kontraindiziert sei, wenn sie durch den massiven Einsatz des Poolschlüssels auf sich aufmerksam machten, so spricht dies im Gegenteil eher gegen die entsprechende Dienstleistung durch Kriminelle.Abs. 48
Ein Argument für eine gewisse Wahrscheinlichkeit der Existenz einer solchen Spezialmaschine kann nach Auffassung der Kammer auch nicht aus einem Anstieg der Mißbrauchsfälle in dem fraglichen Zeitraum hergeleitet werden. Abgesehen davon, daß man die Daten vor der Umstellung der Statistik im Jahre 1994 mit denen danach nicht vergleichen kann, rechtfertigen die statistischen Daten, so wie sie das Amtsgericht zugrundegelegt hat, nicht die Annahme der Existenz einer solchen Maschine, nicht einmal ein gewisse - rechtsrelevante - Wahrscheinlichkeit. Dies bereits deshalb nicht, weil sie nicht exakt zwischen Mißbrauchsfällen nach dem alten und dem neuen PIN-System unterscheiden, den Anstieg der in den regulären Umlauf gekommenen, d.h. von den entsprechenden Instituten ausgegebenen Karten im selben Zeitraum nicht berücksichtigen sowie keinerlei Aussagen darüber enthalten, ob und gegebenenfalls wie ein Anstieg nach der Veröffentlichung entsprechender erfolgversprechender Urteile zu verzeichnen war. Schließlich berücksichtigen sie auch nicht, daß bisher kein Fall bekannt ist, in dem positiv festgestellt worden wäre, daß die PIN auf diese, vom Amtsgericht nicht nur für möglich sondern für bewiesen erachtete Weise ermittelt worden ist. Wie sich den Ausführungen des Amtsgerichts entnehmen läßt - Seite 23 erster Absatz - geht das Amtsgericht selbst nicht davon aus, daß in dem fraglichen Zeitraum ein signifikanter Anstieg der Mißbrauchszahlen zu verzeichnen ist, andernfalls wäre die Wiedergabe der Ansicht des Sachverständigen M., wonach man die Kuh nicht schlachtet, die man melken will, überflüssig. Abs. 49
Auch der Umstand, daß das PIN-System umgestellt worden ist bzw. noch wird, rechtfertigt nicht den Schluß, daß die Banken selbst das System für so unsicher halten, daß ein Sicherheitsanschein nicht mehr begründet werden könne. Hiergegen spricht zum einen, daß nicht alle Banken innerhalb kürzester Zeit und zwar forciert das System umgestellt haben. Vielmehr ist die Umstellung nach Banken unterschiedlich und auch nur sukzessive erfolgt, teilweise ist sie noch gar nicht abgeschlossen. Zum anderen spricht gegen einen solchen Schluß, daß die technische Entwicklung fortschreitet und die Banken fahrlässig handeln würden, wenn sie dem nicht Rechnung trügen. Hieraus herzuleiten, daß im Februar 1997 das alte System mittels einer existierenden Maschine "geknackt" worden wäre oder auch nur die Möglichkeit, daß eine solche bereits existierte und im Einsatz war, entbehrt jeglicher Grundlage.Abs. 50
Es besteht daher keine Veranlassung, der von dem Sachverständigen S. geäußerten Meinung, wonach eine solche Maschine nicht existiere, für Februar 1997 nicht zu folgen. Das gilt auch für die im Rahmen der zitierten FAQ der Uni Trier angeführten programmierbaren Chips. Abs. 51
Die Kammer vermag sich auch der Auffassung des Amtsgerichts nicht anzuschließen, wonach der Anscheinsbeweis bei dem alten PIN-System auch deshalb nicht mehr zur Anwendung kommen könne, weil der Pool-Schlüssel an einem off-line Geldausgabeautomaten - GAA -, vorausgesetzt man ist im Besitz eines solchen, in relativ kurzer Zeit ermittelt werden könne und nach Überzeugung des Amtsgerichts, fußend auf den Äußerungen des Sachverständigen M.-M., auch ermittelt worden sei.Abs. 52
Selbst wenn man davon ausgeht, daß - so M.-M. - mittlerweile europaweit mehrere GAA gestohlen worden sind und eine hinreichende Anzahl auch für den Februar 1997 annimmt, so sind keine ernsthaften Anhaltspunkte ersichtlich, daß die Täter oder zumindest einer von ihnen einen - in Deutschland - entwendeten GAA - nur ein solcher käme überhaupt in Frage - nach dessen Ausräumen zur Ermittlung des Poolschlüssels benutzt hätte. Worauf die diesbezügliche Einschätzung des Sachverständigen beruht, ist nicht nachvollziehbar. Angesichts der Tatsache, daß bei einem gewaltsamen Entfernen oder auch nur Unterbrechen des Stromkreises sämtliche Schlüssel im Geldautomaten gelöscht werden, gehört diese Version in den Bereich der Spekulation. Die von der Klägerin aufgezeigte Möglichkeit bei der Entwendung einen vorgeschalteten Akku zu verwenden, um den Stromkreis nicht zu unterbrechen, mag theoretisch möglich sein, Anhaltspunkte dafür, daß dies in der Vergangenheit zumindest in einem Fall so erfolgt sei, sind nicht ersichtlich. Die Frage, ob der Poolschlüssel relativ einfach kopiert werden kann - so M.-M. - oder sich infolge der Verschlüsselung desselben in dem Sicherheitsmodul die gleichen Probleme stellen, wie oben erörtert - so die Beklagte -, kann daher dahingestellt bleiben.Abs. 53
Die übrigen in Literatur und Rechtsprechung noch erörterten Möglichkeiten - insbesondere intelligentes Raten oder smart attack oder aber auch die Benutzung eines Großrechners - hält auch das Amtsgericht nicht für wahrscheinlich. Dem schließt sich die Kammer an. Ausführungen hierzu und auch zum Zeitmoment sind daher entbehrlich. Die insoweit gegenteiligen Ausführungen in der Berufungserwiderung vermögen nicht zu überzeugen.Abs. 54
Die Kostenentscheidung beruht auf § 91 ZPO.
JurPC Web-Dok.
26/2000, Abs. 55
[online seit: 03.04.2000]
Zitiervorschlag: Gericht, Datum, Aktenzeichen, JurPC Web-Dok., Abs.
Zitiervorschlag: Frankfurt, LG, PIN-Sorgfaltspflichten; Darlegungslast - JurPC-Web-Dok. 0026/2000