Skip to content

AG München: Bankkunde darf EC-Karte und ausreichend verschlüsselte Geheimzahl zusammen in der Geldbörse aufbewahren - Erstattungsanspruch gegen Bank bei EC-Kartenmissbrauch nach Diebstahl

AG München
Urteil vom 02.06.2023
142 C 19233/19


Das AG München hat entschieden, dass ein Bankkunde seine EC-Karte und die ausreichend verschlüsselte Geheimzahl zusammen in seiner Geldbörse aufbewahren darf. Das Gericht hat einen Erstattungsanspruch gegen die Bank bei EC-Kartenmissbrauch nach einem Diebstahl bejaht.

Die Pressemitteilung des Gerichts:
Haftung bei EC-Kartenmissbrauch

Keine grobe Fahrlässigkeit bei gemeinsamer Aufbewahrung der EC-Karte mit hinreichend verschlüsselter Geheimzahl

In einem Streit um Erstattungsansprüche bei EC-Kartenmissbrauch gab das Amtsgericht München der Klage eines Bankkunden auf Zahlung von 1.011 EUR überwiegend statt und verurteilte die beklagte Bank zur Zahlung in Höhe von 861,00 EUR.

Der Münchner Kläger hat bei der Beklagten ein Girokonto, für welches ihm von dieser eine EC-Girokarte mit Maestro-Funktion zur Verfügung gestellt wurde. Unbekannte Trickdiebe entwendeten ihm im Oktober 2015 in Italien auf der Autobahnraststätte „Campogalliano Ovest“ den Geldbeutel samt EC-Karte und hoben bereits ca. 20 Minuten später an einem ca. 18 Fahrminuten von der Autobahnraststätte entfernten Ort unter im Einzelnen streitigen Umständen insgesamt 1.000 EUR von seinem Konto ab. Wenige Minuten später bemerkte der Kläger den Verlust der Karte und ließ diese sperren.

Die beklagte Bank belastete das Konto des Klägers daraufhin mit einem Betrag in Höhe von 1.000 EUR sowie Gebühren in Höhe von insgesamt 11,00 EUR für zwei Geldautomatenverfügungen im Ausland.

Der Kläger hatte die EC-Karte in seinem Geldbeutel gemeinsam mit einem kleinen, handgeschriebenen Zettel aufbewahrt, auf dem er diverse Telefonnummern sowie die für die Girokarte ausgegebene vierstellige Geheimzahl (PIN) in verschlüsselter Form notiert hatte. Der mathematisch versierte Kläger ging dabei so vor, dass er die PIN (4438) in zwei Schritten in Primzahlen zerlegte und so zu den Ziffern 2, 7 und 317 gelangte, die er zusammenhängend und ohne Bezug als „27317“ auf den Zettel übertrug.

Der Kläger machte mit seiner Klage die Erstattung des abgebuchten Betrages in Höhe von 1.011 EUR geltend. Er behauptete, seine PIN über die verschlüsselte Variante hinaus nicht in seinem Geldbeutel aufbewahrt und diese auch nicht auf der Karte vermerkt zu haben. Es dränge sich der Verdacht von Bandenkriminalität auf, die Täter müssten im Besitz einer Technik gewesen sein, mit der es gelänge, den Abhebevorgang auch ohne Kenntnis der PIN durchzuführen, die Verschlüsselung also auszuhebeln.

Das Amtsgericht München erachtete die Klage für überwiegend begründet und verurteilte die Beklagte zur Zahlung in Höhe von 861,00 EUR.

Das Gericht stellte in den Urteilsgründen zunächst fest, dass dem Kläger aufgrund der ohne seine Autorisierung erfolgten Abhebungen ein verschuldensunabhängiger Anspruch auf Erstattung des abgebuchten Betrages in voller Höhe zusteht, § 675u S. 2 Alt. 1 Bürgerliches Gesetzbuch (in der bis 12. Januar 2018 geltenden Fassung, im Folgenden: alte Fassung).

Hiervon ist jedoch nach den Ausführungen des Gerichts ein Betrag in Höhe von 150 EUR in Abzug zu bringen, da der beklagten Bank auf Grund der Verwendung eines dem Kläger gestohlenen Zahlungsauthentifizierungsinstruments in dieser Höhe ein verschuldensunabhängiger Schadensersatzanspruch zusteht, § 675v Abs. 1 S. 1 Bürgerliches Gesetzbuch alte Fas-sung.

Einen weitergehenden Anspruch der Bank auf Ersatz des gesamten Schadens verneinte das Gericht jedoch, da der Schaden weder durch eine vorsätzliche noch eine grob fahrlässige Pflichtverletzung durch den Kläger herbeigeführt worden sei, § 675v Abs. 2 Alt. 2 Nr. 1, 2 Bürgerliches Gesetzbuch alte Fassung.

Das Gericht begründete dies wie folgt:

„Entgegen der Ansicht der Beklagten greift der nach der Rechtsprechung des Bundesgerichtshofs mögliche Anscheinsbeweis, dass der Kläger die persönliche Geheimzahl (unverschlüsselt) auf seiner ec-Karte vermerkt oder sie zusammen mit dieser verwahrt hat (…) im vorliegenden Fall nicht ein. Die Annahme des Anscheinsbeweises setzt voraus, dass der Missbrauch unter Verwendung der Originalkarte und der zutreffenden Geheimzahl erfolgt ist (…).

Diese Umstände hat der Kläger bestritten, so dass die Beklagte hierfür den Beweis erbringen muss. Zwar kann nach den oben dargestellten Grundsätzen davon ausgegangen werden, dass die Originalkarte des Klägers zum Einsatz gekommen ist, der Beklagten ist jedoch der Nachweis nicht gelungen, dass die unbekannten Täter auch die korrekte Geheimzahl des Klägers in Erfahrung gebracht und zur Auszahlung verwendet haben. (…)

Die verschlüsselte Aufbewahrung der PIN des Klägers in dessen Portemonnaie gemeinsam mit der Zahlungskarte wertet das Gericht nicht als grob fahrlässige Verletzung der Pflichten des § 675l S. 1 BGB a.F.

Grob fahrlässig handelt nur, wer die im Verkehr erforderliche Sorgfalt in besonders schwerem Maße verletzt, einfachste und nahe liegende Überlegungen nicht anstellt und in der konkreten Situation das nicht beachtet, was sich jedem aufdrängt. (…)

Als grob fahrlässig wird daher in der Regel gewertet, wenn der Zahler die persönliche Geheimzahl gemeinsam mit der Karte und nicht räumlich von dieser getrennt mit sich führt. Erlaubt ist es dem Zahler jedoch nach ganz h.M. [Anm.: herrschender Meinung], die PIN verschlüsselt auch gemeinsam mit der Karte vorzuhalten, soweit die Verschlüsselung ausreichend komplex ist, um eine Kenntniserlangung Dritter nach menschlichem Ermessen auszuschließen.

Nach diesen Maßstäben war die verschlüsselte Vorhaltung der PIN durch den Kläger hinreichend sicher und verstößt noch nicht einmal gegen einfache Sorgfaltspflichten. Der Kläger hat seine Vorgehensweise in seiner persönlichen Anhörung durch das Gericht nachvollziehbar geschildert. Er hat eine komplexe, individuelle Verschlüsselungsmethode entwickelt, die - jedenfalls in Unkenntnis der Methode - auch dem Gericht als ausreichend sicher erscheint. Auch dem Sachverständigen ist es eigenen Angaben zufolge (…), obwohl er Kenntnis von der Rechenweise des Klägers hatte, zunächst nicht gelungen, die Zahlenfolge 27317 zu dechiffrieren und hieraus die PIN rückzuerrechnen.

Der Kläger hatte die Zahlenfolge zudem zusammenhanglos auf einem Zettel mit Telefonnummern notiert ohne zugehörigen Hinweis, dass es sich um eine PIN handelt. Wie den Tätern innerhalb von nur wenigen Minuten eine Decodierung hätte gelingen können ist selbst unter Zugrundelegung des Vortrags des Klägers, es habe sich um organisierte Bandenkriminalität gehandelt, für das Gericht nicht nachzuvollziehen.“


Bundestag beschließt Gesetz zur Anpassung des Verfassungsschutzrechts - Staatstrojaner und Quellen-TKÜ kommen

Der Bundestag hat den Entwurf eines Gesetzes zur Anpassung des Verfassungsschutzrechts in der durch Beschlussempfehlung und Bericht des Ausschusses für Inneres und Heimat geänderten Fassung beschlossen und somit für die Einführung von Staatstrojanern und Quellen-TKÜ gestimmt. Es bleibt abzuwarten, ob das umstrittene Gesetz die anstehende Überprüfung durch das Bundesverfassungsgericht übersteht.

Aus dem Entwurf:

A. Problem und Ziel
Die aktuellen Herausforderungen insbesondere im Bereich des internationalen Terrorismus und des Rechtsterrorismus erfordern eine Anpassung der Befugnisse, um die Aufklärung schwerer Bedrohungen für unseren demokratischen Rechtsstaat und die freiheitliche demokratische Grundordnung zu gewährleisten.

B. Lösung
Die Regelungen zur Telekommunikationsüberwachung im Artikel 10-Gesetz (G 10) werden um eine Regelung der Durchführung als Quellen-TKÜ ergänzt. Zudem werden der personenbezogene Aufklärungsansatz geschärft und die Zusammenarbeit der Verfassungsschutzbehörden mit dem Militärischen Abschirmdienst (MAD) verbessert. Darüber hinaus werden Anpassungen im Sicherheitsüberprüfungsgesetz (SÜG) vorgenommen


AG Bochum: Schadensersatz wegen Verstoßes gegen Art. 32 DSGVO durch Versendung unverschlüsselter E-Mail nur wenn tatsächlich Schaden entstanden ist und schlüssig dargelegt wird

AG Bochum
Beschluss vom 11.03.2019
65 C 485/18


Das AG Bochum hat im Rahmen eines Prozesskostenhilfeverfahrens entschieden, dass ein Anspruch auf Schadensersatz wegen eines Verstoßes gegen Art. 32 DSGVO durch Versendung unverschlüsselter E-Mails nur dann im Betracht kommt, wenn ein konkreter Schaden entstanden ist und dieser schlüssig dargelegt wird.

Aus den Entscheidungsgründen:

Prozesskostenhilfe konnte nicht bewilligt werden, da die beabsichtigte Rechtsverfolgung keine hinreichende Aussicht auf Erfolg bietet.

Die Antragsgegnerin ist mit Beschluss des Amtsgerichts Recklinghausen vom 16.05.2018 als Berufsbetreuerin zur Betreuerin des Antragstellers bestellt worden. Die Aufgabenkreise umfassten Vermögensangelegenheiten, Wohnungsangelegenheiten und Vertretung gegenüber Behörden und Sozialversicherungsträgern. Die Betreuerin vertrat den Betreuten im Rahmen ihres Aufgabenkreises gerichtlich und außergerichtlich. Die Bestellungsurkunde diente als Ausweis. Seit Juni 2018 ist die Betreuung aufgehoben.

Nach dem Vortrag des Antragstellers soll die Antragsgegnerin Daten und Informationen bezüglich des Antragstellers an dessen Vermieter und an weitere Stellen herausgegeben haben. Weder welche konkreten Daten und Informationen wann genau herausgegeben worden sein sollen noch an welche weiteren Stellen die Herausgabe erfolgte, ist von dem Antragsteller substantiiert dargelegt. Da die Betreuung auch den Aufgabenkreis der Wohnungsangelegenheiten umfasste, gehört die Offenlegung der Betreuung unter Vorlage der Bestellungsurkunde wie auch die Erörterung der Einkommens- und Vermögensverhältnisse bezogen auf die mietvertraglichen Pflichten zur Erfüllung der rechtlichen Verpflichtungen des Antragsgegnerin aus der Betreuung und ist damit auch ohne Einwilligung des Antragstellers nach Art. 6 DSGVO rechtmäßig. Dies gilt naturgemäß auch für die Mitteilung der Beendigung der Betreuung, wenn die Antragsgegnerin noch seitens des Vermieters in mietrechtlichen Angelegenheiten angesprochen wird. Eine darüber hinausgehende Übermittlung personenbezogener Daten durch die Antragsgegnerin ist nicht dargelegt. Ein Verstoß gegen Datenschutzregeln oder die Schweigepflicht ergibt sich aus dem Vorbringen des Antragstellers nicht.

Die Übersendung der Bestellungsurkunde an den jetzigen Prozessbevollmächtigten des Antragstellers am 30.05.2018 an sich ist aus den dargelegten Gründen ebenfalls rechtmäßig. Die Versendung als unverschlüsselte Email mag gegen Art. 32 DSGVO verstoßen. Dass aufgrund der Wahl eines ungesicherten Übertragungsweges persönliche Daten und Informationen bez. des Antragstellers unbefugten Dritten tatsächlich bekannt geworden sind, ist weder dargelegt noch ersichtlich. Damit ergibt sich aber auch nicht, dass dem Antragsteller wegen eines eventuell gegebenen Verstoßes ein irgendwie gearteter materieller oder immaterieller Schaden entstanden ist.

Ein Anspruch aus Art. 82 DSGVO ist im Ergebnis nicht schlüssig dargelegt und die Rechtsverfolgung bietet keine hinreichende Aussicht auf Erfolg.



Den Volltext der Entscheidung finden Sie hier:


EuG: EU-Staaten dürfen Exklusivermarktung der Fußball-WM und EM über PayTV verbieten

EuG
Urteil vom 18.07.2013
C-201/11 P, C-204/11 P und C-205/11 P


Der Gerichtshof der Europäischen Union (EuG) hat entscheiden, dass die EU-Staaten die Exklusivermarktung der Fußball-WM und EM über PayTV verbieten können. Der EuG wies entsprechende Rechtsmittel der UEFA und der FIFA zurück. Somit sind Regelungen die eine Ausstrahlung im Free-TV vorsehen rechtlich nicht zu beanstanden.

Aus der Pressemitteilung des EuG:

"Die Richtlinie über die Ausübung der Fernsehtätigkeit gestattet jedem Mitgliedstaat, die Exklusivübertragung von Ereignissen, denen er eine erhebliche gesellschaftliche Bedeutung beimisst, zu verbieten, wenn eine solche Übertragung einem bedeutenden Teil der Öffentlichkeit die Möglichkeit nähme, diese Ereignisse in einer frei zugänglichen Fernsehsendung zu verfolgen."

Die Pressemitteilung des EuG mit Links zu den Entscheidungen im Volltext finden Sie hier:

Kleine Anmerkung am Rande: Es handelt sich nicht um Entscheidungen des Europäischen Gerichtshofs (EuGH) sondern um Entscheidungen des Gerichtshofs der Europäischen Union (EuG). Dies wird von vielen Nachrichtenseiten falsch berichtet.