Weiterlesen »]]> Der erste Schritt ist getan ! Endlich gibt es seitens des BGH ein Urteil zu Kreditkarten und dieses unterstützt unmissverständlich die Kreditkartenkunden, wenn

1. mit einer kopierten Karte & PIN Geld am Automaten abgehoben wurde
2. es ein Tageslimit gibt und
3. der Haftungsbetrag in den AGB begrenzt wird (gilt auch bei schuldhafter Verletzung der Sorgfaltspflichten)

Hier ist der Link zu der Pressemitteilung des BGH (Az. XI ZR 370/10) sowie der komplette Text der Pressemitteilung (Quelle: BGH, siehe vorstehende Link):

Der für das Bank- und Börsenrecht zuständige XI. Zivilsenat des Bundesgerichtshofs hat die Grundsätze für eine Haftung des Karteninhabers bei missbräuchlichen Abhebungen von Bargeld an Geldautomaten mit Karte und Geheimzahl fortentwickelt sowie über die Auslegung von Klauseln in Allgemeinen Geschäftsbedingungen entschieden, die diese Haftung regeln.

In dem der Entscheidung zugrunde liegenden Fall wurde dem Beklagten von der klagenden Bank eine Kreditkarte zur Verfügung gestellt, die zur Abhebung von Bargeld an Geldautomaten zugelassen war. In den zugrunde liegenden Allgemeinen Geschäftsbedingungen hat die Bank den Höchstbetrag für Bargeldauszahlungen auf 1.000 € pro Tag begrenzt. Weiter war danach der Karteninhaber verpflichtet, Verlust oder festgestellten Missbrauch der Karte der Bank unverzüglich anzuzeigen. Bis zum Eingang dieser Verlustmeldung sollte er grundsätzlich nur bis zu einem Höchstbetrag von 50 € haften.

In der Nacht vom 12. auf den 13. August 2009 kam es an Geldautomaten von Kreditinstituten in Hamburg zu insgesamt sechs Abhebungen zu je 500 €, wobei die persönliche Identifikationsnummer (PIN) des Beklagten verwendet wurde. Die Klägerin belastete das Girokonto des Beklagten mit den abgehobenen Beträgen im Lastschriftverfahren. Der Beklagte widersprach den Abbuchungen und kündigte den Kreditkartenvertrag.

Die klagende Bank begehrt von dem Beklagten im Wege des Schadensersatzes Ausgleich der Belastungsbuchungen und der Gebühren für Rücklastschriften sowie für die Erstellung eines Kontoauszugs in Höhe von insgesamt noch 2.996 €. Sie ist der Ansicht, der Beklagte habe die Geheimhaltungspflicht hinsichtlich der verwendeten PIN verletzt. Das Amtsgericht hat der Klage stattgegeben. Die Berufung des Beklagten ist erfolglos geblieben.

Der Bundesgerichtshof hat auf die Revision des Beklagten das Urteil des Berufungsgerichts aufgehoben und den Rechtsstreit an das Landgericht zur erneuten Entscheidung zurückverwiesen.

Zwar kann nach der Rechtsprechung des Bundesgerichtshofs (Senatsurteil vom 5. Oktober 2004 – XI ZR 210/03, BGHZ 160, 308, 314 f.; Senatsbeschluss vom 6. Juli 2010 – XI ZR 224/09, WM 2011, 924 Rn. 10) in Fällen, in denen an Geldausgabeautomaten unter Verwendung der zutreffenden Geheimzahl Geld abgehoben wurde, der Beweis des ersten Anscheins dafür sprechen, dass entweder der Karteninhaber die Abhebungen selbst vorgenommen hat oder – was hier nach der Feststellung des Berufungsgerichts allein in Betracht kam – dass ein Dritter nach der Entwendung der Karte von der Geheimnummer nur wegen ihrer Verwahrung gemeinsam mit der Karte Kenntnis erlangen konnte. Das setzt aber voraus, dass bei der missbräuchlichen Abhebung die Originalkarte eingesetzt worden ist, da bei Abhebung mithilfe einer ohne Kenntnis des Inhabers gefertigten Kartenkopie (z.B. durch Skimming) kein typischer Geschehensablauf dafür spricht, Originalkarte und Geheimzahl seien gemeinsam aufbewahrt worden. Den Einsatz der Originalkarte hat dabei die Schadensersatz begehrende Bank zu beweisen.

Weiter erfasst eine von der kontoführenden Bank im konkreten Fall in ihren Allgemeinen Geschäftsbedingungen verwendete Klausel, nach der bis zum Eingang einer Verlustmeldung der Karteninhaber nur bis zu einem Höchstbetrag von 50 EUR haften soll, entgegen der Auffassung des Berufungsgerichts auch die Haftung des Karteninhaber bei schuldhafter Verletzung seiner Sorgfaltspflichten. Der beklagte Karteninhaber kann sich damit auf die Haftungsgrenze von 50 Euro unabhängig davon berufen, ob er schuldhaft gehandelt hat.

Schließlich schützt ein in den Allgemeinen Geschäftsbedingungen der Bank festgelegter Höchstbetrag für Bargeldauszahlungen pro Tag mit einer konkreten Karte auch den Karteninhaber, sodass dessen Haftung im Falle eines Kartenmissbrauchs auf diesen Betrag begrenzt sein kann, wenn die die Karte ausstellende Bank ihrer Pflicht, die Einhaltung dieses Höchstbetrags zu sichern, nicht genügt hat.

Urteil vom 29. November 2011 – XI ZR 370/10

Amtsgericht Göppingen – Urteil vom 23. April 2010 – 7 C 115/10

LG Ulm – Urteil vom 20. Oktober 2010 – 1 S 81/10

Karlsruhe, den 29. November 2011

Die von der klagenden Bank in ihren Allgemeinen Geschäftsbedingungen verwendeten, im Urteil angesprochenen Klauseln lauteten auszugsweise wie folgt:

Ziffer 9.1:

“Der Höchstbetrag für Bargeldauszahlungen beträgt bei der SPECIAL Visa Card/MasterCard 500 EUR pro Tag oder der entsprechende Betrag in der jeweiligen Landeswährung. Für Inhaber einer SPECIAL Visa Goldcard/ MasterCard Gold oder eines SPECIAL Goldcard Sets erhöht sich der Betrag auf 1000 EUR.”

Ziffer 10.1:

“Stellen Sie den Verlust der Karte/n oder eine missbräuchliche Verfügung fest, werden Sie dies der Bank unverzüglich telefonisch unter nachfolgender schriftlicher Bestätigung anzeigen. Bis zum Eingang der Verlustmeldung haften Sie bis zum Höchstbetrag von 50 EUR. Für Umsätze ab Eingang der Verlustmeldung entfällt Ihre Haftung für eine eventuelle missbräuchliche Verwendung der Karte/n. Sofern der Verdacht einer Einwendung oder missbräuchlichen Verwendung besteht, werden Sie unverzüglich Anzeige bei der Polizei erstatten. “

Das komplette BGH Urteil zum Missbrauch mit kopierten Kreditkarten als PDF: http://bit.ly/wjZdpR

Weiterlesen »]]> 2/3 aller Kreditkarten haben 2 gültige PINs und sehr wenige Kreditkarten haben sogar 10 gültige PINs. Damit liegt die Wahrscheinlichkeit bei 3 Rateversuchen mit einer falschen PIN Bargeld abheben zu können zwischen 1/333 (10.000 / 10 / 3 = 333) und 1/1666 (10.000 / 2 /3 = 1.666). Die Wahrscheinlichkeit beim Lotto einen 3er zu haben beträgt 1/61 und für einen 4er liegt sie bei 1/1083 (vgl. http://www.lotto.de/gewinnwahrscheinlichkeiten/lotto-6aus49/). Nochmal in der Übersicht:

• Lotto 3er ………………………………… 1/61
• Kreditkarte mit 10 gültigen PINs ……. 1/333
• Lotto 4er ……………………………… 1/1083
• Kreditkarte mit 2 gültigen PINs ……. 1/1666

Spielen Sie doch mal Lotto mit Ihrer Kreditkarte und versuchen Sie, ob Sie noch eine weitere gültige PIN für Ihre Kreditkarte finden. Und wenn´s klappt würde ich mich über Kommentare auf diesem Blog freuen.

… eben habe ich mal so an die 15 ! verschiedene PINs mit einer Karte ausprobiert und habe leider noch keine 2te valide PIN gefunden. Angefangen habe ich mit unterschiedlichen PINs, die mir in den Sinn gekommen sind und irgendwann habe ich dann systematisch weiter gemacht mit 9999, 9998, … bis 9992. Warum die PIN / Karte nicht gesperrt bzw. eingezogen wurde verstehe ich nicht.

… und für diejenigen, die gerne wissen möchten, warum es für 2/3 aller Kreditkarten mehr als eine gültige PIN gibt, der mathematische Hintergrund:

1. Es wird nicht die PIN selbst überprüft, sondern ein sogenannter PIN Verification Value (PVV), d.h. die PIN wird im Geldautomaten in den PVV umgerechnet und dieser dann mit dem PVV auf einem Bankenrechner verglichen
2. Bei einer 4-stelligen PIN gibt es 10.000 mögliche PINs, d.h. 9.999, die nicht die eigene PIN sind
3. Nachdem aber nicht die PIN, sondern der PVV überprüft wird, kommt es darauf an, daß der PVV eindeutig ist, d.h. daß es KEINE andere PIN gibt, die denselben PVV hat und damit eben auch funktioniert. Die Wahrscheinlichkeit, daß KEINE andere PIN denselben PVV hat, beträgt (9.999/10.000)^9.999 = 0,36. Und damit ist die Wahrscheinlichkeit, daß eine andere PIN denselben PVV hat 1-0,36 = 0,64, also ca. 2/3.

Weiterlesen »]]> Die Banken werben ja immer damit, daß Kreditkarten und EC-Karten sicherer wären als Bargeld. Wenn man die Karte gleich sperrt sei ja der Schaden auf 50 EUR oder so begrenzt. Wirklich ?

Wenn ich mir zum Beispiel Schadensfälle von Kartendiebstählen aus Autos ansehe habe ich da so meine Zweifel. Bei einem Fall hatte eine Kundin ihre 2 EC-Karten  im verschlossenen Handschuhfach ihres Autos gelassen und das Auto und Handschuhfach wurden aufgebrochen. Mit den Karten wurden dann 2.800 EUR an Geldautomaten (!) abgehoben (http://www.versicherungsjournal.de/markt-und-politik/teure-strafe-fuer-kleine-suende-106603.php). Nun zur Sicherheit der Karten im Vergleich zu Bargeld:

1. Es ist schon mal sehr fraglich, ob man mal so 2.800 EUR bei sich hätte und noch fraglicher ist, ob man diese im Handschuhfach des Autos lassen würde
2. Wenn denn die Karten so sicher sind, wie können dann Diebe Bargeld an Geldautomaten mit PIN abheben (wenn im Laden mit gefälschter Unterschrift eingekauft wird finde ich das noch nachvollziehbar) ? Ich glaube einfach nicht, daß die Bankkunden so dumm sind und die PINs notieren und dann auch noch zusammen mit den Karten aufbewahren. Zumindest kann ich das von mir selbst sicher sagen und trotzdem wurde mit PIN innerhalb von 4 Stunden Bargeld abgehoben. Und wie soll das funktionieren, wenn die PIN NICHT zusammen mit den Karten aufbewahrt wurde ? Oder wenn sogar der PIN Brief noch verschlossen ist ?
3. Wieso werfen die Banken ihren Kunden immer grobe Fahrlässigkeit vor (Anscheinsbeweis, PIN zusammen mit Karte aufbewahrt) und decken den Schaden nicht, wenn wirklich mal was passiert ? Da passen Werbebotschaft und das tatsächliche Handeln der Banken nicht zusammen.

Das Einzige, was wirklich hilft ist meines Erachtens eine Kreditkartenversicherung wie von COSMOS direkt oder anderen Versicherungsunternehmen. Denn ohne Karten kommt man heute nunmal kaum mehr aus …

Weiterlesen »]]> Eine häufige Betrugsvariante ist das Auslesen der Kreditkartendaten vom Magnetstreifen und eine Kopie der Karte zu erstellen und diese dann im Ausland, zum Beispiel in Osteuropa oder Spanien, einzusetzen (in Deutschland können keine kopierten Karten eingesetzt werden, da die Terminals immer den Chip auslesen, aber im Ausland gibt es viele ältere Automaten, die nur den Magnetstreifen lesen).

Das Bundeskriminalamt (BKA) empfiehlt deshalb den Magnetstreifen komplett abzuschaffen. Damit gäbe es nur noch den Chip und dieser kann nicht bzw. vermutlich nur mit sehr hohem Aufwand kopiert werden, im Gegensatz zum Magnetstreifen, der mit billigen, handelsüblichen Schreib- Lesegeräten ausgelesen und auf einen Karten-Rohling geschrieben werden kann.

Diesen Vorschlag finde ich ganz ausgezeichnet und es wäre ein Riesenschritt zur Verbesserung der Kartensicherheit.

Auf SPIEGEL ONLINE gibt es hierzu einen guten Artikel.

Weiterlesen »]]> Immer wieder bekomme ich E-Mails von Bestohlenen, bei denen die Diebe Bargeld vom Geldautomaten abheben, obwohl der Original PIN-Brief noch verschlossen zuhause liegt. Hier wird die Schwäche des Systems am deutlichsten, denn die übliche Bankenargumentation das System sei sicher und die Kunden hätten grob fahrlässig gehandelt funktioniert nicht mehr. Das System hat offensichtlich ein riesiges Problem, denn die PIN konnte ja nicht durch Skimming oder sonst irgendwie ausgespäht worden sein, wenn der Kunde diese nie benutzt hat und der PIN Brief noch verschlossen ist. Also: wie können Diebe dann bitte mit Kreditkarte und PIN Bargeld abheben ? Es MUSS also noch andere Möglichkeiten geben an die PIN zu kommen. Und genau da liegt die Schwäche der Kreditkartensysteme.

Was tun die Banken ? Die reagieren sehr smart, auf ihr Wohl bedacht und erstatten in solchen Fällen den Kunden den Schaden, ohne an die Wurzel des Übels ranzugehen. So wird ein für die Banken unvorteilhafter Prozess vor Gericht und ein Gutachten zu dieser Schwachstelle vermieden. Und durch die Erstattung des Schadens wird das grundsätzliche Problem, daß Diebe Wege haben an die PIN zu kommen – wie auch immer – nicht gelöst. Das sollten auch die Gerichte bei Ihren Entscheidungen berücksichtigen, obwohl eben genau diese Fälle nie bei ihnen landen, da diese die Banken im Vorfeld abbiegen.

Weiterlesen »]]> In Großbritannien wurden “Chip-and-PIN” Skimmer verurteilt, die Terminals in Tankstellen so manipuliert hatten, daß die PINs und Kartendaten direkt ausgelesen, gespeichert und später per Bluetooth an die Betrüger übertragen werden. In einem anderen Fall wurden die Geräte schon ab Werk manipuliert ausgeliefert ! Auch diese Fälle zeigen wieder einmal, daß den Kreditkartenbetrügern immer wieder neue, smarte Missbrauchsmethoden einfallen, die selbst von den Herstellern der Terminals nicht bemerkt werden. Für mich ist das ein weiteres Puzzleteilchen, das gegen den Anscheinsbeweis spricht.

Mehr Informationen hierzu gibt es auf heise.de unter folgendem Link: http://www.heise.de/newsticker/meldung/Britisches-Gericht-verurteilt-Chip-and-PIN-Skimmer-1028496.html

Weiterlesen »]]> Seit Januar 2010 gibt es jetzt von COSMOS Direkt eine Versicherung gegen Kartenschäden, die unter anderem genau den Fall der groben Fahrlässigkeit / Anscheinsbeweis abdeckt. Ich finde es gut, daß es eine solche Versicherung gibt, die übrigens nur 24 EUR im Jahr kostet. Allerdings ist es schon skurril, daß sich die Kunden für die Schwächen der Kartensysteme absichern müssen. Eigentlich sollten alle kartenausgebenden Banken automatisch eine solche Versicherung mit der Jahresgebühr abdecken. Dann wäre das Thema gelöst und die Kunden müssen nicht mehr für die Banken haften.

Weiterlesen »]]> Die Lufthansa hat mit der kartenausgebenden Bank DKB ein eigentlich einfaches und zugleich doch wirkungsvolles Sicherheitssystem eingeführt. Bei Transaktionen werden die Inhaber über SMS und / oder E-Mail benachrichtigt. So fällt ein Missbrauch nicht erst nach Tagen oder Wochen, sondern sofort auf und die Karte kann kurzfristig gesperrt werden. Ich habe das gleich aktiviert und bin gespannt wie das Ganze funktioniert und wieviel Zeit zwischen Transaktion und SMS liegt.

Hier die Info von Lufthansa:

Mit unserem Partner DKB haben wir ein neues kostenloses Sicherheitssystem für Ihre Lufthansa Miles & More Credit Card entwickelt. Ab 2. März 2010 können Sie sich kostenlos per SMS oder E-Mail über den Einsatz Ihrer Kreditkarte informieren lassen. Sollten Sie einen Umsatz bemerken, der nicht durch Sie veranlasst wurde, können Sie diesen umgehend reklamieren.

Weiterlesen »]]> Forscher der Cambridge University haben vorgeführt, wie an einem Terminal, wie sie z.B. in Geschäften installiert sind, mit einer beliebigen PIN bezahlt werden kann. Dazu wird zwischen die Karte und das Terminal zum Beispiel ein Netbook geschaltet, das die meisten Informationen einfach durchreicht und bei der PIN Prüfung in die Kommunikation eingreift. Wie das Ganze funktioniert sieht man in diesem Video der BBC.

Die Banken / der zentrale Kreditausschuß sagen, daß dieser Angriff in Deutschland nicht funktionieren würde. Mag sein. Aber es hat sich wiedereinmal gezeigt, daß es Schwachstellen im System gibt, auch wenn diese im konkreten Fall vielleicht nur in England und Irland funktionieren.