OLG Frankfurt am Main Urteil vom 17.06.2009 - 23 U 22/06

Entscheidungsstichwort (Thema)

Anscheinsbeweis bei Verwendung zutreffender PIN

Leitsatz (amtlich)

Zum Anscheinsbeweis bei Verwendung zutreffender PIN (Geheimzahl) beziehungsweise Kreditkarten (hier: Eurocard) und den Anforderungen an seiner Erschütterung.

Verfahrensgang

LG Darmstadt (Aktenzeichen 2-25 O 614/03)

Gründe

Auf die tatsächlichen Feststellungen im angefochtenen Urteil, die keiner Änderung oder Ergänzung bedürfen, wird zunächst gem. § 540 Abs. 1 Nr. 1 ZPO Bezug genommen.

Das LG hat die auf Rückzahlung bzw. Schadensersatz aufgrund diverser unrechtmäßiger Eurocard-Transaktionen gerichtete Klage mit der Begründung abgewiesen, dass der Kläger im Hinblick auf die an ihn erfolgten Zessionen nach § 134 BGB i.V.m. Art. 1 § 1 Abs. 1 RBerG mangels des erforderlichen Verbraucherschutzinteresses i.S.d. Art. 1 § 3 Nr. 8 RBerG nicht aktivlegitimiert sei. Außerdem bestünden die geltend gemachten Ansprüche schon dem Grund nach nicht, weil der Beklagten ggü. den Zedenten jeweils ein Schadensersatzanspruch in Höhe der streitgegenständlichen Auszahlungen auf die Kreditkarte wegen pVV aufgrund grob fahrlässiger Verletzung der Sorgfaltspflichten der Zedenten bei der Verwahrung der persönlichen Geheimzahl (PIN) zustehe.

Gegen das ihm am 5.10.2005 zugestellte Urteil des LG hat der Kläger am 20.10.2005 fristgerecht Berufung eingelegt und diese am 4.1.2006 innerhalb der verlängerten Berufungsbegründungsfrist begründet.

In der Berufungsbegründung hat der Kläger angeführt, dass das LG zu Unrecht die Aktivlegitimation verneint habe. Sie sei trotz der erforderlichen Einzelfallbetrachtung im Hinblick auf die gebotene Klärung verbraucherrechtlich relevanter Fragen gegeben. Dies mache bereits der erstinstanzlich unter Beweis gestellte Vortrag, dass es in drei Fällen (A, B und C) trotz verschlossener PIN-Briefe zu missbräuchlichen Abhebungen vom Konto gekommen sei, deutlich. Des Weiteren habe der Sachverständige SV1 in einem Prozess vor dem LG in Hannover dargelegt, dass das PIN-Verfahren mit Hilfe kryptologischer und/oder mathematischer Methoden (sog. smart attacks) gebrochen werden könne. Das LG habe zudem die Voraussetzungen und den Anwendungsbereich der Regeln über den Anscheinsbeweis sowie die Grundsätze des Urteils des BGH vom 5.10.2004 (Az. XI ZR 210/03; BGHZ 160, 308) zu den Kartenschadensfällen verkannt und rechtsfehlerhaft entschieden. So fehle es hinsichtlich der Kreditkarten der Beklagten bereits an einem feststehenden Lebenssachverhalt, weil die Beklagte sich weigere, zu ihrem Sicherheitssystem vorzutragen. Ein Anscheinsbeweis setze die Feststellung voraus, dass die PIN-Entschlüsselung mit größtmöglichem finanziellem Aufwand mathematisch ausgeschlossen sei. Zunächst sei zu klären, welches Sicherheitssystem mit welchem Schlüssel verwendet worden sei, wie die Prüfwerte für Karte und PIN ermittelt würden und ob nur eine alleinige Zuordnung des Prüfwertes zu einer einzigen PIN möglich sei, ferner welches Sicherheitssystem bei der Beklagten bzw. im Bankrechenzentrum existiere. Hierzu müsse die Beklagte aufgrund der sekundären Darlegungslast gemäß BGH vortragen. Eine Übertragung oder Heranziehung anderer Urteile komme nicht in Betracht. Wegen der grundsätzlichen Bedeutung müsse die Revision zugelassen werden. In einem weiteren Schriftsatz vom 19.3.2007 hat der Kläger vorgebracht, dass nun weitere Fälle von missbräuchlichen Abhebungen trotz verschlossener PIN-Briefe (Dr. D betreffend Mastercard, E betreffend Eurocard) bekannt geworden seien. Außerdem habe Prof. SV2 und seine Forschungsgruppe von der Universität in Massachusetts herausgefunden, dass zumindest in der USA verwendete Kreditkarten mit RFID-Transpondern angreifbar seien, weil mit Hilfe von Bastlergeräten Informationen durch den ungeöffneten Briefumschlag gelesen werden könnten. Vertrauliche Unterlagen der Kreditwirtschaft zum ec-Verfahren lägen vor, was für Innentäterattacken spreche. Die Ausarbeitungen israelischer (F und G, Tel Aviv) und britischer (Prof. H, Cambridge) Wissenschaftler hätten ergeben, dass es in verschiedener Hinsicht möglich sei, die Schnittstellen anzugreifen und Daten auszuspähen. Mr. I (Cambridge) habe festgestellt, dass durch einen Angriff die meist unverschlüsselte Verifikationsmitteilung des Rechenzentrums an den jeweiligen Geldautomaten inhaltlich verändert werden könne; daneben habe Mr. I zusammen mit Mr. J festgestellt, dass ein Programmierer, der die PIN-Verifikationsmethode kenne, in der Lage sei, durch Versuche die richtige PIN zu ermitteln.

Man müsse auch die Möglichkeit des Erratens und die von Innentäterattacken, auch von Mitarbeitern von Fremdfirmen, die in die Transaktionen einbezogen seien, ggf. in Zusammenwirken mit Kriminellen, berücksichtigen.

Mit Schriftsatz vom 28.10.2008 hat der Kläger mitgeteilt, dass der Fall Dr. D nicht mehr zum Gegenstand des Rechtsstreits gemacht werde, und er hat Parallelen zwischen den Karten der Beklagten und der VISA-Karte vermutet bzw. gezogen sowie auf einen Hacker-Angriff auf das Geldautomatennetz d...