Diebstahl und Prozess

Der Diebstahl

Im Januar 2001 war ich auf einer Schulung meines Arbeitgebers in München, Nymphenburg. Als das Training gegen 17.30 Uhr zu Ende war, stellte ich fest, daß der Geldbeutel nicht mehr in meiner Jacke war. Nach dem Mittagessen hatte ich meinen Geldbörse noch, als ich bezahlte. Das war gegen 13.00 Uhr. Zuerst fragte ich in dem Restaurant nach, ob ich ihn dort liegen lassen hatte und ich suchte auch den Weg ab. Aber beides Fehlanzeige. Also fuhr ich nach Hause um die beiden Kreditkarten sperren zu lassen. Bei diesem Telefonat um 18.17 Uhr erfuhr ich, daß

  • um 16.49 Uhr 2000,– DM mittels PIN abgehoben wurden und
  • um 17.10 Uhr weitere 100,– DM.

In der Zeit vom Mittagessen (13.00 Uhr) bis zum Trainingsende (17.30 Uhr) muß die Geldbörse gestohlen und

  • die PIN geknackt worden sein,

denn die PIN hatte ich weder codiert noch uncodiert irgendwo notiert.

Die Bank zahlt nicht !

Bei Kreditkarten fühlt man sich im Gegensatz zu Bargeld sicher, wenn man diese verlieren sollte. Bargeld ist weg und man bekommt es nur zurück, wenn man einen ehrlichen Finder erwischt. Bei Kreditkarten sieht man hier kein Problem, denn es kann ja niemand Geld abheben. Und falls schon etwas wegkommt, dann ist der Schaden durch die Bank gedeckt. FALSCH !

In meinem Fall war es so, daß die Bank zwar zunächst den gestohlenen Betrag wieder gutschrieb, ihn aber im Juli 2001 wieder abzog. Begründet wurde dies wie folgt:

„Die PIN Nummer wurde sofort korrekt eingegen.

Der Kartenvorleger hat somit nicht versucht, die PIN-Nummer durch Probieren herauszufinden. Vielmehr hatte er Kenntnis von der richtigen Geheimnummer der Kreditkarte.

An dieser Stelle weisen wir daraufhin, daß die Geheimnummer auf der Karte nicht – auch nicht verschlüsselt – verzeichnet ist. Sie wird anhand verschiedener Angaben auf der Karte von einem im Geldautomaten vorhandenen Rechner ermittelt und mit der vom Kunden eingegebenen Geheimzahl verglichen. …

Wir müssen daher annehmen, daß sich eine Notiz mit Ihrer Geheimnummer in Ihrem zusammen mit Ihrer VISA Karte entwendeten Geldbeutel befand. …

Deshalb können wir keine Haftung übernehmen. Die Beträge von 2.000,00 DM und 100,00 DM wurden auf Ihrem Kartenkonto wiederbelastet.“

Die PIN hatte ich aber nirgends notiert. Die befindet sich NUR in meinem Kopf. Und nachdem die PIN sofort richtig eingegeben wurde, MUSS die PIN entweder geknackt oder von einer z.B. russischen,  rumänischen oder thailändischen PIN Tauschbörse gekauft worden sein. Ich beschloß vor Gericht zu gehen, damit dort ein Gutachten zur Sicherheit von Kreditkarten / PINs erstellt wird. Denn auf einer Seite der Cambridge Universität von Mike Bond (UK) fand ich interessantes Material, über die (Un)Sicherheit von Kreditkarten.

Prozess

Im Mai 2002 fand die Gerichtsverhandlung statt. Ich wurde von einer Münchner Rechtsanwaltskanzlei vertreten. Die Klage gegen die Bank wurde abgewiesen. Begründung:

„Der Kläger ist nämlich verpflichtet, der Beklagten die aus den zwei mißbräuchlichen Geldabhebungen mit der xxxx-xxxxxxxx–Card entstandenen Aufwendungen zu ersetzen, da er grob fahrlässig, also gegen sein Verpflichtung dafür Sorge zu tragen, dass keine andere Person Kenntnis von seiner PIN erlangt, verstoßen hat. Dass er gegen diese Verpflichtung verstoßen hat folgt aus dem Umstand, dass die beiden für die Belastung des Kreditkartenkontos maßgebenden Geldabhebungen an den Geldautomaten binnen weniger Stunden nach dem Diebstahl erfolgt sind sowie daraus, dass bei den beiden Geldanhebungen jeweils sogleich die richtige PIN des Klägers eingetippt worden ist. Aus diesem Geschehensablauf folgt nach den hier anzuwendenen Grundsätzen des Anscheinsbeweises, dass davon auszugehen ist, dass der Kläger die PIN in irgend einer Art und Weise, d.h. verschlüsselt oder unverschlüsselt, mit sich geführt und damit auch dem Dieb der xxxx-xxxxxxxx-Card die Kenntnisnahme der PIN ermöglicht hat. […] Das erkennende Gericht ist aufgrund der von der Beklagten in diesem Verfahren vorgelegten umfangreichen Dokumentation sowie aufgrund eigener Recherchen vielmehr der Auffassung, dass das für die PIN maßgebende Verschlüsselungsverfahren jedenfalls so sicher ist, dass die PIN aus dem im Magnetstreifen der Kreditkarte enthaltenen Angaben allenfalls – wenn überhaupt – mit exorbitantem Zeit- und Kostenaufwand ermittelt werden kann. […]“

Fakt ist, daß die PIN tatsächlich in keiner Weise jemandem zugänglich war – auch wenn dies für das Gericht nicht den Anschein hatte. Bereits im Vorfeld hatte ich dem Anwalt / Gericht Unterlagen von Mike Bond (Cambridge University) zukommen lassen, die zeigen, daß das PIN-System unsicher ist. Diese wurden jedoch vom Gericht nicht berücksichtigt, da:

„Der Kläger hat keine Tatsachen vorgetragen, die geeignet sind, den für die Beklagte sprechenden Anscheinsbeweis zu entkräften. Mithin bedurfte es auch nicht der Einholung des vom Kläger angebotenen Sachverständigengutachtens.

Das aktuellste Gutachten stammt vom 11.1.1995 vom Landgericht Bonn. Der Diebstahl erfolgte am 12.1.2001, 6 Jahre später. In dieser Zeit hat sich, dem Moore´schen Gesetz folgend, einiges getan in puncto Rechenleistung und damit der Möglichkeit Codes zu knacken. Ich beschloß in Berufung zu gehen.

Berufung

Auch das Landgericht hielt ein neues Gutachten nicht für erforderlich. Die Klage gegen die Bank wurde abgewiesen. Begründung:

„Die Berufung des Klägers ist zulässig, in der Sache jedoch unbegründet.

Es kann dahinstehen, ob der entsprechend dem Vortrag des Klägers nach dem Stand der Technik zum Zeitpunkt des behaupteten Kreditkartenmißbrauchs tatsächlich möglich war, die PIN innerhalb kürzester Zeit zu entschlüsseln. Einer Beweiserhebung hinsichtlich dieser Frage bedarf es schon deshalb nicht, weil der Kläger trotz der ausdrücklichen Erörterungen im amtsgerichtlichen Urteil noch immer nicht hinreichend substantiiert hat, seine Pflicht zur sorgfältigen Aufbewahrung der PIN erfüllt zu haben.

Soweit er meint, es sei allein entscheidend, daß er die PIN nicht im Geldbeutel bei sich führte, verkennt er, daß dies nicht darüber aussagt, wo er die PIN denn tatsächlich aufbewahrte, bzw. ob er hierbei die ihm nach den Vertragsbedingungen obliegenden Geheimhaltungspflichten erfüllt hat. Nach den bisherigen Sachdarstellungen ist völlig offen, wie der Kläger überhaupt mit der PIN umgegangen ist, insbesondere ist nicht belegt, ob und ggfls. welche Vorkehrungen der Kläger getroffen hat, um zu verhindern, daß keine andere Person Kenntnis von seiner PIN erlangt. Die Darlegungen des Klägers lassen es deshalb nicht ausgeschlossen erscheinen, daß aufgrund mangelnder Sicherheitsvorkehrungen ein Dritter bereits in der Zeit vor dem Verlust der Karte Kenntnis von der PIN erlangt hat […].“

Meinem Anwalt hatte ich im August 2001 zur PIN Aufbewahrung folgendes mitgeteilt:

„Die PINs der Kreditkarten und der EC-Karte bewahre ich explizit nicht in meinem Geldbeutel bzw. irgendwo anders bei mir mobil auf, sondern habe mir diese ausschliesslich gemerkt. Noch nie habe ich eine PIN irgendwo notiert bzw. den Originalausdruck bei mir gehabt – Dritte konnten keinen Zugang haben.“[…].“

Das war offensichtlich nicht ausreichend.

6 Kommentare

  1. Am 13.6.2012 um ca. 16.35 Uhr bin ich in Rom meiner Handtasche beraubt worden. In der Handtasche befanden sich meine Wohnungsschlüssel, Dokumente wie Personalausweis (mit Adresse), Führerschein, Handy sowie mein Portemonnaie mit Kreditkarte und zwei Bankautomatkarten. Innerhalb von einer Stunde hatte ich die Türschlösser meiner Wohnung ausgewechselt und die Bank angerufen, um die Karten zu sperren. Im Call Center sagte man mir, es sei kein Problem, es seien keine Transaktionen mit meinen Karten ersichtlich.

    Umso mehr überraschte es mich nach wenigen Tagen festzustellen, dass die Diebe innerhalb von 10 (!!!) Minuten um 16.45 die erste Abhebung getätigt hatten. Insgesamt 5 mal (dreimal mit einer Karte, zweimal mit der anderen) bei Bankautomaten anderer Banken bis der Tages Plafond von insgesamt 1.320 Euro erreicht war. Das konnte ich mir nicht erklären, da ich NIEMALS die PINs irgendwo notiert habe geschweige denn sie im Portemonnaie, auf dem Handy oder in andere Weise bei mir getragen habe.

    Ein befreundetet Bankdirektor, den ich um Rat gebeten habe, hat mir erzählt, dass das Problem des PIN-Hackens bekannt sei und die Fälle im letzten Jahr sehr angestiegen seien. Die Diebe seien meistens mit Laptops und Autos ausgerüstet, um ungeschützt vor Blicken im Auto den PIN entschlüsseln zu können und sich gleichzeitig zum nächsten Bankautomaten zu bewegen (genau mein Fall). Soweit er wisse, existiere eine illegale Software, mit der man innerhalb kurzer Zeit den PIN entschlüsseln kann, da er immer durch die letzte Transaktion, bei der der PIN eingegeben werden musste, auf dem Magnetstreifen gespeichert sei. Es sei regelrecht ein Markt erstanden, Taschen-Diebe verkaufen die Ec-Karte z.B. für 100 Euro, der PIN-Hacker kann dann den Tagesplafond ausschöpfen. Seine Bank habe allen Kunden die unrechtmäßig abgehoben Summen erstatte, Banken seien gegen so etwas auch versichert. So seine Worte.

    Dies habe ich bei meiner Bank geltend gemacht. Die Abhebung sei mit Eingabe des PINs erfolgt, d.h. es handele sich um grobe Fahrlässigkeit meinerseits was die Aufbewahrung des PINs anbelangt. Daraufhin habe ich Widerspruch eingelegt. Die Antwort war dieselbe. Die Erstattung wurde erneut abgelehnt. Ich habe den italienischen Verbraucherschutz eingeschaltet, aber die Antwort ist immer wieder dieselbe. Da die Abhebung mit Eingabe des PINs erfolgt sei, handele sich um grobe Fahrlässigkeit meinerseits was die Aufbewahrung des PIN anbelangt. Es sei unmöglich, den PIN ohne mein Zutun zu entschlüsseln.

    Die Bank habe ich gewechselt und meine neue Bankautomatkarte hat keinen Magnetstreifen mehr …

  2. Ich war im Juni 2013 zu Besuch bei meiner Freundin in China (Peking). Am zweiten Abend wollte sie kurz hoch in ein Lokal zu Ihrem Chef und sie fragte mich ob ich unten kurz 20 Minuten warte. Ich setzte mich in ein anderes Lokal und dachte dort ein Bier zu trinken bis sie kommt. Das Bier schmeckte merkwürdig bitter und ab dann kann ich mich auch schon an fast nichts mehr erinnern. Wahrscheinlich wurde mir mit dem ersten Bier bereits etwas verabreicht was mich in einen Zustand der Bewusstlosigkeit versetzt hat (K.O.-Tropfen?). Am nächsten Tag kam ich in einem fremden Auto zu mir und der Fahrer wollte mich (zu einem horrend hohen Kostenbeitrag) nach Hause fahren. Ich bestand darauf ein Taxi zu nehmen. Zu Hause bei meiner Freundin schlief ich direkt ein und versuchte mir am nächsten Tag in Erinnerung zu bringen was passiert sein kann. Nach ein paar Schlücke von einem Bier kann ich doch nicht betrunken gewesen sein. Ich prüfte mein Bargeld und stellte fest dass mein gesamtes Bargeld weg ist (ca. 300 Euro), darauf rief ich die Bank an und erfuhr, dass von meiner EC-Karte 1000 Euro in 4 Abhebungen vom Konto abgehoben wurden (innerhalb von nur einer Minute) und zudem meine Kreditkarte in 4 Akzeptanzstellen insgesamt 6x eingesetzt wurde mit insgesamt ca. 6000 Euro. Ich widerruf direkt telefonisch und per Kontaktformular mit TAN über das Online-Banking. Zurück in Berlin hatte ich bereits das Reklamationsformular von der Bank erhalten und dies direkt zurückgeschickt. Die Bank lehnte die Haftung/ Rückbuchung ab, da die Original-Karte eingesetzt wurde. Natürlich wurde die Original-Karte eingesetzt (die Bank kennt die Geschichte die dazu geführt hat), einem Opfer eines Verbrechens dem K.O-Tropfen verabreicht und der ausgeraubt wurde Fahrlässigkeit zu unterstellen, ist doch eigentlich abwegig, dennoch sieht es so aus, als wenn ich auf meine Kosten sitzen bleibe. Die Bank verweist mich auf den Privatklageweg, obwohl ich die Akzeptanzstellen nichtmal kenne, wo die Karten eingesetzt wurden. Zudem würden die Händler sicherlich nicht klagen, wenn es einen Storno gibt, da diese am Betrug mit Sicherheit beteiligt sind, denn es dürfte wohl auffallen, wenn ein Chinese mit einer Kreditkarte eines Deutschen bezahlt. Zudem sind auch die Beträge sehr unrealistisch (in einer Bar wurden z. B. innerhalb von einer Stunde fast 3000 Euro ausgegeben, diese Bar haben wir besucht und zwei Buchungen die 30 Minuten auseinanderliegen tragen aufeinanderfolgende Rechnungsnummern, obwohl die Bar sehr groß ist. Zudem soll ich 3 Flaschen vom teuersten Rotwein, eine Flasche teuren Weißwein, 5 Tee´s und diverse andere Getränke innerhalb von nur einer Stunde getrunken haben, die Bar konnte auch keinen Belastungsbeleg vorweisen, diese hätte der Bar-Manager bei sich zu Hause). Meine EC- und Kreditkarte habe ich sofort gekündigt, das System ist mir extrem zu unsicher.

  3. @Daniel: ich habe auch schon aus meinem näheren Umfeld von sehr ungewöhnlichen Erlebnissen in China (Shanghai, Hongkong etc.) gehört, bei denen die Betroffenen so etwas wie einen Blackout hatten (vermutlich von K.O. Tropfen). Die Tropfen oder was auch immer das war, waren auch in einem Getränk / Cocktail. Also insofern halte ich Deine Erfahrung für absolut realistisch.
    Interessant wäre zu wissen, wie die Karten autorisiert wurden: mit PIN oder Unterschrift. Bei Unterschrift hast Du normalerweise sehr gute Chancen, da Du die Zahlungen bei Deiner Bank reklamieren kannst und der Händler die Belege mit der Unterschrift einreichen muss. Wenn er diese nicht hat, hat er Pech gehabt. Wenn die Autorisierung mit PIN erfolgt ist, wäre es interessant zu verstehen, ob diese vorher irgendwie ausgespäht worden sein kann z.B. wenn ihr vorher schon in der Bar wart und Du dort mit der Karte gezahlt hast.

    Die Frage ist nun, was Du machen kannst, um den Schaden ersetzt zu bekommen. Ich empfehle Dir, insbesondere nachdem Du auch noch aus Berlin kommst, die Kanzlei Gansel Rechtsanwälte in Berlin zu kontaktieren – dort bekommst Du eine kostenlose Ersteinschätzung Deines Falles und sie haben auf dieses Thema spezialisierte Rechtsanwälte, die echt Ahnung haben. Einen Link zur Kanzlei findest auch auf meiner Website in der rechten Spalte.

  4. autorisierung erfolgte per unterschrift. per pin wurde versucht, dieser allerdings mehrfach falsch eingegeben. laut bank sind die belege bereits mitte juni angefordert worden, bisher habe lch aber nichts mehr von der bank gehört. im internet gibt es allerdings diverse berichte dass viele opfer unter ko tropfen oder was dies sonst war, selbst die belege unterschrieben haben. im zustand der bewusstlosigkeit kann man leicht zu einer unterschrift genötigt werden. bleibt mir erstmal nur abzuwarten bis die belege vorgelegt werden.

  5. nach aktuellen informationen muss die bank erstatten, da es nicht genügt dass die bank nachweisen kann, dass beim einsatz der karte die original-karte verwendet wurde und kein technischer fehler vorlag wenn kein typischer geschehensablauf vorliegt. kommt nämlich ernsthaft ein anderer geschehensablauf in betracht ausser das der kreditkarteninhaber die karte willentlich selbst eingesetzt hat, fahrlässig mit der karte und/oder pin umgegangen ist oder in betrügerischer absicht handelt, dann muss die bank einen typischen geschehensablauf beweisen. kann sie es nicht, muss erstattet werden, ggf haftet der karteninhaber mit max 150 euro wenn die agb der bank das so vorsehen.

  6. David gegen Goliath: Es ging in die 2. Runde …

    Nach dem Raub am 13.6.2012 (siehe oben) hat mich der italienische Verbraucherschutz dann auf die Institution des Schiedsrichters im Bankwesen hingewiesen. Jede Partei kann einmalig ihre Argumente vortragen. Und er entscheidet dann. Herr Opel hat mich mit einem italienischen Sicherheitsexperten von internationalem Rang in Verbindung gebracht. Dieser hat ein Gutachten erstellt, wonach es seit 2009 bekannt sei, dass man den PIN mit einem speziellen Algorithmus „überspringen„ kann. Wir haben das Protokoll des Servers verlangt. Die Bank ihrerseits hat auf die üblichen Argumente (Fahrlässigkeit) gesetzt und die Auszüge aus den Serverprotokollen entsprachen nicht den Anforderungen des Sicherheitsexperten.

    Und David besiegte Goliath!

    Nach der Vorlage des Gutachtens beim Bankenschiedsrichter und vor dessen Entscheidung bot die Bank an, den Schaden zu teilen. Abgelehnt. Das zweite Angebot belief sich dann auf 1.000 Euro weil das italienische Gesetzt es den Banken erlaubt, pro Bankautomatkarte im Falle von Verlust Euro 150 als Bearbeitungsgebühren einzubehalten. Ich habe abgelehnt. Alles oder nichts. Somit kam dann der Schiedsrichter des Bankwesens zum Einsatz. Er hat entschieden, dass die Bank mir den Schaden ersetzen muss, allerdings unter Einbehaltung der gesetzlich vorgesehenen Bearbeitungsgebühren. Begründung: Auch die Banken wissen, dass es zunehmend Fälle gibt, bei denen der PIN geknackt wird, ohne dass der Karteninhaber fahrlässig gewesen ist! Finanziell war dieses Ergebnis identisch mit dem 2. Angebot der Bank. Für mich allerdings war es eine ungemeine Genugtuung, denn im Gutachten des Schiedsrichters wird darauf hingewiesen, dass es in der Tat schon mehrere Fälle dieser Art gegeben hat und dass die Banken Vorkehrungen treffen müssen. Somit sind sie „offiziell zurecht gewiesen worden“.
    An dieser Stelle kann ich nur allen empfehlen sich zu wehren. Ein herzliches Dankeschön an Herrn Opel! Ohne ihn wäre ich nicht zu meinem Recht gekommen. Ein Dankeschön auch an den italienischen Sicherheitsexperten (er möchte ungenannt bleiben). Er hat mir seine Hilfe unentgeltlich angeboten und wir haben die Rückerstattung geteilt an verschiedene Benefiz-Organisationen gespendet, denn es war für uns beide eine Frage des Prinzips!

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.