Urteil des OLG Frankfurt vom 17.06.2009

Gericht

Oberlandesgericht Frankfurt am Main

Aktenzeichen

23 U 22/06

Entschieden

17.06.2009

Schlagworte

Eurocard , Bit , Erschütterung , Kreditkarte , Aktivlegitimation , Missbrauch , Sorgfaltspflicht , Verwahrung , Anwendungsbereich , Entwendung

OLG Frankfurt: eurocard, bit, erschütterung, kreditkarte, aktivlegitimation, missbrauch, sorgfaltspflicht, verwahrung, anwendungsbereich, entwendung

Gericht:

OLG Frankfurt 23.

Zivilsenat

Entscheidungsdatum:

Aktenzeichen:

23 U 22/06

Dokumenttyp:

Urteil

Quelle:

Normen:

§ 280 BGB, § 675 BGB

(Missbrauch von Kreditkarten bei Bargeldabhebung an

Geldautomaten: Anscheinsbeweis für

Sorgfaltspflichtverletzung des Kunden; Erschütterung des

Anscheinsbeweises)

Leitsatz

Zum Anscheinsbeweis bei Verwendung zutreffender PIN (Geheimzahl) beziehungsweise

Kreditkarten (hier: Eurocard) und den Anforderungen an seiner Erschütterung.

Tenor

Die Berufung des Klägers gegen das am 26.9.2005 verkündete Urteil

der 25. Zivilkammer des Landgerichts Frankfurt am Main wird zurückgewiesen.

Der Kläger hat die Kosten des Rechtsstreits zu tragen.

Das Urteil ist vorläufig vollstreckbar.

Der Kläger darf die Vollstreckung durch Sicherheitsleistung in Höhe von

120 % des zu vollstreckenden Betrags abwenden, wenn nicht die Beklagte vor der

Vollstreckung Sicherheit in gleicher Höhe leistet.

Die Revision wird nicht zugelassen.

Gründe

Auf die tatsächlichen Feststellungen im angefochtenen Urteil, die keiner Änderung

oder Ergänzung bedürfen, wird zunächst gemäß § 540 Abs. 1 Nr. 1 ZPO Bezug

genommen.

Das Landgericht hat die auf Rückzahlung bzw. Schadensersatz aufgrund diverser

unrechtmäßiger Eurocard-Transaktionen gerichtete Klage mit der Begründung

abgewiesen, dass der Kläger im Hinblick auf die an ihn erfolgten Zessionen nach §

134 BGB iVm Art. 1 § 1 Abs. 1 RBerG mangels des erforderlichen

Verbraucherschutzinteresses im Sinne des Art. 1 § 3 Nr. 8 RBerG nicht

aktivlegitimiert sei. Außerdem bestünden die geltend gemachten Ansprüche schon

dem Grund nach nicht, weil der Beklagten gegenüber den Zedenten jeweils ein

Schadensersatzanspruch in Höhe der streitgegenständlichen Auszahlungen auf

die Kreditkarte wegen pVV aufgrund grob fahrlässiger Verletzung der

Sorgfaltspflichten der Zedenten bei der Verwahrung der persönlichen Geheimzahl

(PIN) zustehe.

Gegen das ihm am 5.10.2005 zugestellte Urteil des Landgerichts hat der Kläger

am 20.10.2005 fristgerecht Berufung eingelegt und diese am 4.1.2006 innerhalb

der verlängerten Berufungsbegründungsfrist begründet.

In der Berufungsbegründung hat der Kläger angeführt, dass das Landgericht zu

Unrecht die Aktivlegitimation verneint habe. Sie sei trotz der erforderlichen

Einzelfallbetrachtung im Hinblick auf die gebotene Klärung verbraucherrechtlich

relevanter Fragen gegeben. Dies mache bereits der erstinstanzlich unter Beweis

gestellte Vortrag, dass es in drei Fällen (A, B und C) trotz verschlossener PIN-

Briefe zu missbräuchlichen Abhebungen vom Konto gekommen sei, deutlich. Des

weiteren habe der Sachverständige SV1 in einem Prozess vor dem Landgericht in

Hannover dargelegt, dass das PIN-Verfahren mit Hilfe kryptologischer und/oder

mathematischer Methoden (sog. smart attacks) gebrochen werden könne. Das

Landgericht habe zudem die Voraussetzungen und den Anwendungsbereich der

Regeln über den Anscheinsbeweis sowie die Grundsätze des Urteils des BGH vom

5.10.2004 (Az. XI ZR 210/03; BGHZ 160, 308) zu den Kartenschadensfällen

verkannt und rechtsfehlerhaft entschieden. So fehle es hinsichtlich der

Kreditkarten der Beklagten bereits an einem feststehenden Lebenssachverhalt,

weil die Beklagte sich weigere, zu ihrem Sicherheitssystem vorzutragen. Ein

Anscheinsbeweis setze die Feststellung voraus, dass die PIN-Entschlüsselung mit

größtmöglichem finanziellem Aufwand mathematisch ausgeschlossen sei.

Zunächst sei zu klären, welches Sicherheitssystem mit welchem Schlüssel

verwendet worden sei, wie die Prüfwerte für Karte und PIN ermittelt würden und ob

nur eine alleinige Zuordnung des Prüfwertes zu einer einzigen PIN möglich sei,

ferner welches Sicherheitssystem bei der Beklagten bzw. im Bankrechenzentrum

existiere. Hierzu müsse die Beklagte aufgrund der sekundären Darlegungslast

gemäß BGH vortragen. Eine Übertragung oder Heranziehung anderer Urteile

komme nicht in Betracht. Wegen der grundsätzlichen Bedeutung müsse die

Revision zugelassen werden.

In einem weiteren Schriftsatz vom 19.3.2007 hat der Kläger vorgebracht, dass nun

weitere Fälle von missbräuchlichen Abhebungen trotz verschlossener PIN-Briefe

(Dr. D betreffend Mastercard, E betreffend Eurocard) bekannt geworden seien.

Außerdem habe Prof. SV2 und seine Forschungsgruppe von der Universität in

Massachusetts herausgefunden, dass zumindest in der USA verwendete

Kreditkarten mit RFID-Transpondern angreifbar seien, weil mit Hilfe von

Bastlergeräten Informationen durch den ungeöffneten Briefumschlag gelesen

werden könnten. Vertrauliche Unterlagen der Kreditwirtschaft zum ec-Verfahren

lägen vor, was für Innentäterattacken spreche. Die Ausarbeitungen israelischer (F

und G, Tel Aviv) und britischer (Prof. H, Cambridge) Wissenschaftler hätten

ergeben, dass es in verschiedener Hinsicht möglich sei, die Schnittstellen

anzugreifen und Daten auszuspähen. Mr. I (Cambridge) habe festgestellt, dass

durch einen Angriff die meist unverschlüsselte Verifikationsmitteilung des

Rechenzentrums an den jeweiligen Geldautomaten inhaltlich verändert werden

könne; daneben habe Mr. I zusammen mit Mr. J festgestellt, dass ein

Programmierer, der die PIN-Verifikationsmethode kenne, in der Lage sei, durch

Versuche die richtige PIN zu ermitteln.

Man müsse auch die Möglichkeit des Erratens und die von Innentäterattacken,

auch von Mitarbeitern von Fremdfirmen, die in die Transaktionen einbezogen

seien, ggf. in Zusammenwirken mit Kriminellen, berücksichtigen.

Mit Schriftsatz vom 28.10.2008 hat der Kläger mitgeteilt, dass der Fall Dr. D nicht

mehr zum Gegenstand des Rechtsstreits gemacht werde, und er hat Parallelen

zwischen den Karten der Beklagten und der VISA-Karte vermutet bzw. gezogen

sowie auf einen Hacker-Angriff auf das Geldautomatennetz der K-Bank verwiesen.

Des weiteren hat der Kläger mit Schriftsatz vom 6.1.2009 der mit

Hinweisschreiben des Senats vom 31.10.2008 angekündigten Absicht der

Zurückweisung der Berufung nach § 522 Abs. 2 ZPO unter Verneinung dessen

Voraussetzungen widersprochen und seine Auffassung zur sekundären, nicht

erfüllten Darlegungslast der Beklagten unterstrichen.

Mit Schriftsätzen vom 11.3.2009 und 8.5.2009 hat der Kläger zur Untermauerung

des Vorliegens von Sicherheitsmängeln auf Angriffe gegen externe Dienstleister

und Schwachstellen bei der PIN-Bearbeitung und -Übermittlung hingewiesen.

Der Kläger beantragt,

das Urteil des Landgerichts Frankfurt am Main vom 26.9.2005 abzuändern

und die Beklagte zu verurteilen, an den Kläger 24.207,75 Euro nebst Zinsen in

Höhe von 5 Prozentpunkten über dem Basiszinssatz aus 11.296,92 Euro seit dem

3.7.2003 sowie aus 12.910,83 Euro seit Rechtshängigkeit zu zahlen;

hilfsweise, die Revision zuzulassen.

Die Beklagte beantragt,

die Berufung zurückzuweisen.

Die Beklagte verteidigt die Entscheidung des Landgerichts unter Wiederholung und

Vertiefung ihres erstinstanzlichen Vorbringens. Sie hält die Aktivlegitimation des

Klägers für nicht gegeben und sieht einen Widerspruch zwischen dieser und der

Notwendigkeit einer Einzelfallprüfung der den Zessionen zugrundeliegenden

Sachverhalte. Die unrichtigen Behauptungen des Klägers zu den Fällen A, B-B und

C seien bereits erstinstanzlich widerlegt worden; ein Schluss auf Sicherheitslücken

sei nicht möglich. Der Kläger habe nichts vorgebracht, was die Sicherheit des

Systems der Beklagten in Frage stellen könne, weswegen vorliegend auch die

Ausführungen des BGH zur sekundären Beweislast nicht griffen, da diese ein

Aufzeigen von Sicherheitslücken voraussetzten. Das Landgericht habe auch die

Regeln über den Anscheinsbeweis und die Grundsätze des Urteils des BGH vom

5.10.2004 rechtsfehlerfrei angewendet. Dies entspreche auch der Rechtsprechung

des OLG Frankfurt am Main zu Kreditkarten (Az. 8 U 268/01, Urteil vom 7.5.2002;

19 U 71/03, Urteil vom 15.7.2003; zuletzt 16 U 70/05, Urteil vom 30.3.2006), der

zufolge nach den Grundsätzen des Anscheinsbeweises davon auszugehen sei,

dass mittels gestohlener oder sonst abhanden gekommener Kreditkarten am

Geldautomaten nur deshalb Auszahlungen vorgenommen werden konnten, weil

der Karteninhaber mit seiner Geheimzahl nicht sorgfältig umgegangen sei bzw.

diese pflichtwidrig bei sich getragen habe. Der typische Lebenssachverhalt

bestehe darin, dass mit Zahlungskarten, die u.a. mit PINs gesichert sind, nur dann

erfolgreich Geld am Geldautomaten abgehoben werden könne, wenn dies vom

Karteninhaber selbst erfolge, er Dritte bevollmächtigt habe oder diese durch

unsorgfältigen Umgang mit Kreditkarte und PIN an letztere gelangt seien. Fragen

des Sicherheitssystems hätten damit nichts zu tun. Anhaltspunkte für einen

atypischen Verlauf habe der Kläger nicht dargetan. Im übrigen habe die Beklagte -

soweit zumutbar – ohnehin schon umfassend zu ihrem System vorgetragen und

die technischen Aufzeichnungen zu den streitigen Auszahlungsvorgängen

vorgelegt. Im Jahr 2001 sei ihr System von einer Schlüsselbreite von 56 Bit auf das

sog. Triple-DES-Verfahren mit mindestens 128 Bit erhöht worden. Ihr

Sicherheitssystem sei mehrfach der sachverständigen Beurteilung unterzogen

worden mit dem Ergebnis der Feststellung der Sicherheit des Systems; so habe

dem Urteil des 8. Zivilsenats des OLG Frankfurt am Main vom 7.5.2002 das auch

in diesem Verfahren von ihr bereits vorgelegte Gutachten des anerkannten

Sachverständigen Dr. SV3 vom BSI zugrunde gelegen, das hier gemäß § 411a

ZPO verwertet werden könne. Weder PIN noch Referenzwert würden auf den

Kreditkarten der Beklagten gespeichert, wie durch Sachverständigengutachten

und Urteil des 8. Zivilsenats des OLG Frankfurt am Main bestätigt. Nach dem Urteil

des 16. Zivilsenats des OLG Frankfurt am Main vom 30.3.2006 (ebenfalls zu

Eurocard) böten die angeblichen Systemunsicherheiten keine Grundlage für eine

Beweisaufnahme und liefen auf eine Ausforschung hinaus. Auch vor diesem

Hintergrund habe der Kläger den Anscheinsbeweis nicht erschüttern können. Es

gebe keinen Grund für eine Revisionszulassung.

Die Ausführungen des Klägers im Schriftsatz vom 28.10.2008 beträfen durchweg

andere Sicherheitssysteme und hätten mit dem System der Beklagten nichts zu

tun.

Auch im Hinblick auf den Schriftsatz des Klägers vom 6.1.2009 werde die

nochmalige Forderung nach weiteren Systemauskünften zurückgewiesen und

bleibe es beim Fehlen der für eine Beweisaufnahme erforderlichen

Anknüpfungstatsachen. Ohnehin stünden einer Beweisaufnahme aufgrund

Zeitablaufs ebenso wie im Parallelverfahren 23 U 38/05 praktische und

prozessuale Gründe entgegen. Ein Beweissicherungsverfahren zur

Sicherheitsstruktur im maßgeblichen Zeitraum der Abhebungen vom 15.9.1999

bis 24.4.2003 habe der Kläger nicht durchgeführt. Vortrag zu anderen Kartentypen

anderer Emittenten biete keine Anhaltspunkte für sicherheitsrelevante Mängel

beim Sicherheitssystem der Beklagten, das unabhängig von der Schüsselbreite

wiederholt begutachtet worden sei mit dem Ergebnis der Bestätigung der

Sicherheit.

Wegen der weiteren Einzelheiten des zweitinstanzlichen Vorbringens der Parteien

wird auf deren im Berufungsverfahren gewechselten Schriftsätze verwiesen.

II.

Die Berufung des Klägers ist form- und fristgerecht eingelegt sowie begründet, hat

aber in der Sache keinen Erfolg.

Es liegt kein Berufungsgrund im Sinne des § 513 ZPO vor, denn weder beruht die

Entscheidung des Landgerichts im Ergebnis auf einer Rechtsverletzung nach § 546

ZPO noch rechtfertigen nach § 529 ZPO zugrunde zu legende Tatsachen eine

andere Entscheidung.

Das Landgericht hat zu Recht einen Zahlungsanspruch des Klägers gegen die

Beklagte aufgrund diverser angeblich unrechtmäßiger Eurocard-Transaktionen

verneint, denn die jeweiligen Belastungen erfolgten nicht ohne Rechtsgrund nach

Bereicherungsrecht.

Aus dem Geschäftsbesorgungsverhältnis zwischen den Zedenten und der

Beklagten kann kein Zahlungsanspruch abgeleitet werden, weil es sich bei den

Geldautomatenauszahlungen trotz des Diebstahls bzw. Abhandenkommens der

Karten um legitimierte Auszahlungen handelt, mit denen die Beklagte die Konten

der Zedenten belasten durfte. Sie kann sich darauf berufen, dass die aus dem

Kartenvertrag berechtigten Zedenten gegen ihre nebenvertragliche Pflicht

verstoßen haben, die Karten mit besonderer Sorgfalt aufzubewahren und dafür

Sorge zu tragen, dass kein unbefugter Dritter Kenntnis von der PIN

(Personenidentitätsnummer) erhält. Es ist davon auszugehen, dass die Zedenten

gegen diese Sorgfaltspflicht in einer allerdings im Einzelnen nicht bekannten Art

und Weise verstoßen haben, z.B. in der Form, dass sie die Karte zusammen mit

einem Schriftstück aufbewahrt haben, aus dem sich die PIN ergibt.

Nicht zu folgen ist dem Landgericht indessen, soweit es die Klageabweisung auf

eine fehlende Aktivlegitimation des Klägers gestützt hat.

Nach der seit dem 1.1.2002 geltenden Fassung von Art. 1 § 3 Ziff. 8 des

Rechtsberatungsgesetzes ist ein Verbraucherschutzverband wie der Kläger zur

gerichtlichen Einziehung fremder und zu Einziehungszwecken abgetretener

Forderungen von Verbrauchern berechtigt, "wenn es im Interesse des

Verbraucherschutzes erforderlich ist". Dies stellt ein zwar einschränkendes, jedoch

gemäß der Entscheidung des BGH vom 14.11.2006 (BGHZ 170, 18; ebenso LG

Bonn WM 2005, 1772) weit auszulegendes Zulässigkeitskriterium dar. Hiernach ist

die gerichtliche Einziehung von Forderungen durch Verbraucherzentralen gemäß

Art. 1 § 3 Nr. 8 RBerG im Interesse des Verbraucherschutzes erforderlich, wenn sie

nicht nur Individualinteressen, sondern auch einem kollektiven

Verbraucherinteresse dient und eine effektivere Durchsetzung dieses Interesses

ermöglicht (BGH aaO). Das Landgericht hat unter Hinweis auf eine (mittlerweile

aufgehobene) Entscheidung des OLG Düsseldorf (NJW 2004, 1532) das Vorliegen

eines Verbraucherschutzinteresses im vorliegenden Fall zu Unrecht verneint. Der

Begriff des Verbraucherschutzinteresses ist dabei entgegen der Auffassung des

Klägers (der meint, dass eine nicht überprüfbare Ermessensentscheidung des

Verbraucherverbandes vorliege) gerichtlich nachprüfbar. In einem Fall wie dem

vorliegenden sprechen mehrere Gründe für eine Bejahung des

Verbraucherschutzinteresses. Der Gesetzgeber wollte nicht, dass die

Verbraucherschutzverbände zu Lasten von Inkassobüros und Rechtsanwälten in

großem Stil Forderungen einziehen und hat deshalb die genannte Einschränkung

"wenn dies im Interesse des Verbraucherschutzes erforderlich ist" hinzugefügt.

Dabei ist die Geltendmachung und Durchsetzung von Ansprüchen durch

Verbraucherschutzverbände geboten, wenn von einem Verstoß nicht nur das

Einzelinteresse eines Verbrauchers betroffen ist (Micklitz/Beuchler, NJW 2002, 1502

f). Dies kann im vorliegenden Fall ohne Weiteres gesagt werden. Eine

Geltendmachung von mehreren abgetretenen Ansprüchen durch eine

Verbraucherzentrale ist im Vergleich zu einer Einzelklage effektiver, da der

Verbraucherzentrale regelmäßig wesentlich mehr aussagekräftige und

repräsentative Informationen zu der jeweiligen verbraucherrelevanten Frage zur

Verfügung stehen, die einen gebündelten und vertieften Sachvortrag ermöglichen.

Da indirekt auch das Interesse einer Vielzahl anderer Verbraucher, die mit dem

selben Problem konfrontiert sind, gefördert wird, ist es offenbar sinnvoll,

förderungswürdig und dem Sinn der Änderung des Artikel 1 § 3 Ziffer 8 des

Rechtsberatungsgesetzes entsprechend, wenn in einem Fall wie dem vorliegenden

das Vorliegen der Voraussetzungen dieser Bestimmung bejaht wird. Der Kläger

weist zu Recht darauf hin, dass er mehrere Sammelklagen erhoben hat, um

bestimmte typische Sachverhalte zur Klärung zu unterbreiten, die massenhaft

auftreten. Die Bündelung von Ansprüchen hat auch wegen der damit verbundenen

Streitwerterhöhung die erstinstanzliche Zuständigkeit des Landgerichts und die

Möglichkeit eines Berufungsverfahrens bei einem OLG zur Folge. Ein solcher über

den Einzelfall hinausgehender Bezug in Verbindung mit Kostenvorteilen ist danach

ausreichend (ebenso Senat im Parallelverfahren betreffend ec-Karten mit Triple-

DES Schlüssel 128 Bit mit rechtskräftigem Urteil vom 30.1.2008, Az. 23 U 38/05 –

bei juris).

Davon abgesehen bleiben die Angriffe der Berufung jedoch ohne Erfolg.

Das gilt insbesondere für den Hauptvorwurf des Klägers, das Landgericht habe die

Voraussetzungen und den Anwendungsbereich der Regeln über den

Anscheinsbeweis sowie die Grundsätze des Urteils des BGH vom 5.10.2004 (Az. XI

ZR 210/03, BGHZ 160, 308) zu den Kartenschadensfällen verkannt und

rechtsfehlerhaft entschieden.

Wie der Senat im Parallelverfahren betreffend ec-Karten mit Triple-DES Schlüssel

128 Bit mit rechtskräftigem Urteil vom 30.1.2008 (Az. 23 U 38/05) festgestellt hat,

besteht in Fällen, d.h. Lebenssachverhalten wie den vorliegenden mit Diebstahl

bzw. Abhandenkommen der Karte und anschließendem Karteneinsatz mit PIN ein

entsprechender Anscheinsbeweis dafür, dass die Zedenten gegen die oben

beschriebene Sorgfaltspflicht verstoßen haben. Das Bestehen eines solchen

Anscheinsbeweises wird von der ständigen Rechtsprechung (vgl. Senat a.a.O.; OLG

Frankfurt OLGR 2007, 294) anerkannt, abgesehen von hier nicht einschlägigen, da

nicht in concreto behaupteten und belegten Ausnahmefällen wie dem vorherigen

Ausspähen der Karte.

Inhalt und Umfang des Anscheinsbeweises in solchen Fällen ergeben sich aus der

grundlegenden Entscheidung des BGH vom 5.10.2004 (Az. XI ZR 210/03, BGHZ

160, 308). Zu Recht ist der BGH dort davon ausgegangen, dass der Beweis des

ersten Anscheins dafür spricht, dass der Karteninhaber die PIN auf der ec-Karte

notiert oder gemeinsam mit dieser verwahrt hat, wenn zeitnah nach dem

Diebstahl einer ec-Karte oder Verwendung dieser Karte und Eingabe der PIN an

Geldausgabeautomaten Bargeld abgehoben wird. Die Möglichkeit eines

Ausspähens der persönlichen Geheimzahl (PIN) durch einen unbekannten Dritten

kommt als andere Ursache grundsätzlich nur dann in Betracht, wenn die ec-Karte

in einem näheren zeitlichen Zusammenhang mit der Eingabe der PIN durch den

Karteninhaber an einem Geldausgabeautomaten oder einem POS-Terminal

entwendet worden ist, was vorliegend jedoch auch nach dem Vortrag des Klägers

in keinem der 10 Fälle geschehen ist.

Nach diesem Urteil ist der Karteninhaber verpflichtet, dem Anscheinsbeweis durch

konkrete Darlegung und gegebenenfalls den Nachweis der Möglichkeit eines

atypischen Verlaufs die Grundlage zu entziehen (BGH a.a.O.). Dabei kommt es

nicht darauf an, ob es die theoretische Möglichkeit der Kenntniserlangung der PIN

durch Dritte gibt.

Der BGH hat sich in seiner Grundsatzentscheidung aber nicht nur, worauf zu Recht

Willershausen (in jurisPR-BKR 4/2008 Anm. 4) hingewiesen hat, zum Fall des

Diebstahls einer Karte geäußert, auch wenn dies dem der Entscheidung

zugrundeliegenden Sachverhalt entspricht. Vielmehr wurde vom BGH

grundsätzlich entschieden, dass in Fällen, in denen an Geldautomaten unter

Verwendung der zutreffenden Geheimzahl Geld abgehoben wurde, der Beweis des

ersten Anscheins dafür spricht, dass entweder der Kartenbesitzer als rechtmäßiger

Kontoinhaber die Abhebungen selbst vorgenommen hat oder, dass ein Dritter

nach der Entwendung der Karte von der Geheimnummer nur wegen ihrer

Verwahrung gemeinsam mit der Karte Kenntnis erlangen konnte.

Das OLG Karlsruhe hat mit Urteil vom 6.5.2008 (Az. 17 U 170/07 - bei juris) auf der

Grundsatzentscheidung des BGH aufbauend entschieden, dass der erste Anschein

auch dann dafür spricht, dass der Berechtigte die Abhebungen selbst veranlasst

hat oder er die ec-Karte gemeinsam mit der Geheimnummer pflichtwidrig so

verwahrt hat, dass ein unberechtigter Dritter diese zwischenzeitlich verwenden

konnte, wenn Abhebungen mit einer ec-Karte unter Verwendung der PIN an einem

Geldautomaten vorgenommen werden und sich nicht mehr klären lässt, ob der

Berechtigte durchgehend im Besitz der Karte war. Ferner hat es festgestellt, dass

der Inhaber einer ec-Karte den Anscheinsbeweis nicht erschüttern kann, wenn er

sich auf die abstrakte Gefahr der unberechtigten Ausspähung von Daten und

Herstellung von Kartendubletten beruft und gleichzeitig vorträgt, die ec-Karte

zuvor ausschließlich in den Schalterräumen seiner Bank eingesetzt zu haben, in

der Missbrauchsfälle bisher nie bekannt geworden sind.

Es ist kein Grund dafür ersichtlich, diese grundlegenden Maßstäbe der

Rechtsprechung nicht entsprechend auch auf den streitgegenständlichen Einsatz

von Kreditkarten, hier der Eurocard anzuwenden, da in diesem Zusammenhang

keine wesentlichen Unterschiede zwischen diesen Kartentypen bestehen. Insoweit

wird im einzelnen auch auf die ausführliche, überzeugende Begründung im Urteil

des Landgerichts Bezug genommen. Schließlich hat gleichfalls das OLG

Brandenburg mit Urteil vom 7.3.2007 (Az. 13 U 69/06 – bei juris) die

Anwendbarkeit dieser Grundsätze zum Anscheinsbeweis auf Kreditkarten bejaht.

Danach ist vorliegend von einem Anscheinsbeweis dafür auszugehen, dass

entweder die Kartenbesitzer als rechtmäßige Kontoinhaber die Abhebungen selbst

vorgenommen haben oder dass die Zedenten jeweils gegen ihre oben

beschriebene Sorgfaltspflicht verstoßen haben und ein Dritter nach der

Entwendung oder dem sonstigen Abhandenkommen der Karte von der

Geheimnummer nur wegen ihrer Verwahrung gemeinsam mit der Karte Kenntnis

erlangen konnte. Das Landgericht hat im unstreitigen Teil des Tatbestands

festgestellt, dass die streitbefangenen Abhebungen kurze Zeit nach dem

Kartenverlust und damit zeitnah im Sinne der zitierten Rechtsprechung des BGH

erfolgt sind.

Diesen Anscheinsbeweis hat der Kläger nicht erschüttert bzw. entkräftet, denn

hierzu wäre es erforderlich gewesen, dem Anscheinsbeweis durch konkrete

Darlegung und gegebenenfalls den Nachweis der Möglichkeit eines atypischen

Verlaufs die Grundlage zu entziehen.

Vorliegend fehlt es indessen bereits an einer solchen substantiierten Darlegung

durch den Kläger für die unterschiedlich gelagerten Sachverhalte und erst recht an

einem entsprechenden Nachweis.

Der primär darlegungs- und beweisbelastete Kläger hat Lücken oder Schwächen

im allein streitgegenständlichen Sicherungssystem der Beklagten nicht konkret

und substantiiert dargelegt sowie (insbesondere nicht im Berufungsverfahren)

unter Beweis gestellt, sondern sich in der Berufungsbegründung auf die Rüge

beschränkt, es fehle hinsichtlich der Kreditkarten der Beklagten bereits an einem

feststehenden Lebenssachverhalt, weil die Beklagte sich weigere, zu ihrem

Sicherheitssystem vorzutragen. Zunächst solle nach seiner Ansicht zu klären sein,

welches Sicherheitssystem mit welchem Schlüssel verwendet worden sei, wie die

Prüfwerte für Karte und PIN ermittelt würden und ob nur eine alleinige Zuordnung

des Prüfwertes zu einer einzigen PIN möglich sei, ferner welches Sicherheitssystem

bei der Beklagten bzw. im Bankrechenzentrum existiere; hierzu müsse die

Beklagte aufgrund der sekundären Darlegungslast gemäß BGH vortragen.

Dieser Standpunkt des Klägers ist jedoch unzutreffend, denn die Beklagte hat

bereits hinreichend ihrer sekundären Darlegungslast genügt und im Rahmen des

nach der Rechtsprechung des BGH (a.a.O.) Zumutbaren - wobei auch ihre

berechtigten, nicht zuletzt im Kundeninteresse liegenden

Geheimhaltungsinteressen zu beachten sind – wiederholt zu ihrem

Sicherheitssystem vorgetragen sowie insbesondere die technischen

Aufzeichnungen zu den streitigen Auszahlungsvorgängen vorgelegt; zumindest

letzteres wird vom Kläger nicht in Abrede gestellt.

Das OLG Brandenburg hat mit dem oben zitierten Urteil (a.a.O.) zu einem

vergleichbaren Kreditkarten-Sachverhalt ebenfalls die Ansicht vertreten, dass es

nicht generell so ist - wie aber der Kläger meint -, dass der Karteninhaber nicht in

der Lage ist, Sicherheitslücken im System des Kartenausgebers aufzuzeigen.

Nach ständiger Rechtsprechung des BGH zur sekundären Darlegungslast kann es

zwar Sache einer nicht primär darlegungs- und beweispflichtigen Partei sein, sich

im Rahmen der ihr nach § 138 Abs. 2 ZPO obliegenden Erklärungspflicht zu den

Behauptungen der beweispflichtigen Partei konkret zu äußern, wenn diese

außerhalb des von ihr vorzutragenden Geschehensablaufs steht und keine nähere

Kenntnis der maßgebenden Tatsachen besitzt, ihr Prozessgegner aber die

wesentlichen Umstände kennt und es ihm zumutbar ist, dazu nähere Angaben zu

machen. Das gilt gemäß OLG Brandenburg auch für das die Kreditkarte

ausgebende Kreditinstitut hinsichtlich der von ihm - im Rahmen des Zumutbaren

und gegebenenfalls in verallgemeinernder Weise - darzulegenden

Sicherheitsvorkehrungen, wodurch der Karteninhaber in die Lage versetzt wird,

Beweis der von ihm vermuteten Sicherheitsmängel antreten zu können. Diesen

Anforderungen genügenden Vortrag hat die Beklagte im vorliegenden Verfahren

gebracht.

So ist auch geklärt, dass im Jahr 2001 das System der Beklagten von einer

Schlüsselbreite von 56 Bit auf das sog. Triple-DES-Verfahren mit mindestens 128

Bit erhöht worden ist, was der Kläger nicht in erheblicher Weise bestritten hat.

Ebenso hat die Beklagte dargelegt, dass weder PIN noch Referenzwert auf ihren

Kreditkarten gespeichert werden, und sich auf eingeholte, dem Kläger bekannte

Sachverständigengutachten und das Urteil des 8. Zivilsenats des OLG Frankfurt

am Main (s.o.) zur Bestätigung berufen. Dem ist der Kläger ebenfalls nicht in

erheblicher Weise entgegen getreten.

Zu Recht hat die Beklagte ferner darauf verwiesen, dass ihr Sicherheitssystem

mehrfach der sachverständigen Beurteilung unterzogen worden ist mit dem

Ergebnis der Feststellung der Sicherheit des Systems, und zwar auch bereits für

den Zeitraum der Verwendung der Schlüsselbreite von 56 Bit, weshalb hierin kein

entscheidender Unterschied liegt. So hat dem Urteil des 8. Zivilsenats des OLG

Frankfurt am Main vom 7.5.2002 (WM 2002, 2101; zustimmende Anmerkung

Meder WuB I D S a Kreditkarte 1.03) das auch in diesem Verfahren von ihr bereits

vorgelegte Gutachten des Sachverständigen Dr. SV3 vom Bundesamt für

Sicherheit in der Informationstechnik vom 10.12.2000 zur Eurocard (Bl. 286ff d.A.)

zugrunde gelegen, dessen Verwertung nach § 411a ZPO hier möglich ist, wie der

Senat im Hinweisschreiben vom 31.10.2008 mitgeteilt hat; der Kläger ist dem

nicht entgegen getreten.

Vor diesem Hintergrund und auf dieser Grundlage hat der Kläger nicht gemäß der

ihn selbst treffenden primären Darlegungslast konkret und substantiiert

vorgebracht, an welchen Stellen genau welche Sicherheitslücken oder –schwächen

bei der Beklagten bestehen sollen, was ihm aber auf der Grundlage des

Beklagtenvorbringens und der vorgelegten Unterlagen einschließlich des

Sachverständigengutachtens möglich gewesen wäre und Voraussetzung einer

Beweisaufnahme ist, die den Vortrag entsprechender Anknüpfungstatsachen

erfordert. Der Verweis des Klägers auf mehr theoretisch gebliebene Möglichkeiten

der Kenntniserlangung der PIN durch Dritte oder gar auf Angriffe auf bzw.

Sicherheitsmängel von anderen Kartensystemen anderer Emittenten als der

Beklagten und mit anderen Sicherheitssystemen genügt demgegenüber diesen

Anforderungen nicht und bietet keine Grundlage für eine Beweisaufnahme.

So hat denn auch der 8. Zivilsenat des OLG Frankfurt am Main mit o.g. Urteil vom

7.5.2002 (a.a.O.) festgestellt, dass keine Bedenken bestehen, insoweit von einem

Anscheinsbeweis auszugehen, wenn wegen der außerordentlichen Schwierigkeiten,

die PIN-Nummer zu ermitteln, angenommen werden muss, dass der

Karteninhaber die Nummer pflichtwidrig bei sich getragen hat; ein allenfalls

theoretischer abweichender Geschehensablauf ist danach so fernliegend, dass er

außer Betracht zu lassen ist. In seiner o.g. Urteilsanmerkung hat Meder (a.a.O.)

dem Gericht zunächst darin zugestimmt, dass bei einem Missbrauch der Karte mit

PIN ein typischer Geschehensablauf vorliege, der einen Anscheinsbeweis

hinsichtlich der Sorgfaltspflichtverletzung zulasse. Darüber hinaus hat Meder

nachvollziehbar und plausibel erläutert, dass technisch keine realistische

Möglichkeit besteht, dass ein Dieb mit wirtschaftlich sinnvollem Aufwand die PIN

ermittelt. Außerdem ist er auf die Unterschiede zwischen Kreditkarten und ec-

Karten eingegangen und hat insbesondere herausgearbeitet, dass bei letzteren

die PIN offline gelesen wird, weshalb er mit guten Gründen die Meinung vertritt,

dass bei einer Kreditkarte - wie vorliegend - die Ermittlung der PIN noch

unwahrscheinlicher sei als bei einer ec-Karte.

Diese Beurteilung des Senats deckt sich ferner mit der des 16. Zivilsenats des

OLG Frankfurt am Main in seinem Urteil vom 30.3.2006 (NJW-RR 2007, 198)

ebenfalls zur Eurocard in einem vergleichbaren Sachverhalt, wonach

Behauptungen allgemeiner Natur zur angeblichen Möglichkeit einer PIN-Ermittlung

nicht berücksichtigungsfähig und eher spekulativ sind sowie ohne konkrete

Anknüpfungstatsachen auf eine unzulässige Ausforschung hinauslaufen. Des

weiteren hat der 16. Zivilsenat zutreffend unter Bezugnahme auf die

Rechtsprechung (OLG Frankfurt am Main, NJW-RR 2004, 206 ff.) darauf

hingewiesen, dass es für einen signifikanten Anstieg von PIN-Entschlüsselungen

keinen greifbaren Anhaltspunkt gibt, und auch von keinem Experten bestritten sei,

dass alle Kreditkartengeschäftsaktionen an Geldausgabeautomaten stets online

geprüft werden.

Hier wie dort hat die Beklagte zudem im einzelnen dargelegt, dass die

Überprüfung der PIN online durch einen Zentralrechner erfolgt ist, was durch die

von ihr jeweils vorgelegten Autorisierungsprotokolle bewiesen ist. Die Abhebung

erfolgte unter korrekter Eingabe der PIN, was sich eindeutig aus den von der

Beklagten für alle geltend gemachten Fälle vorgelegten

Transaktionsdokumentationen ("Auflistung Autorisierungen") ergibt.

Es kommt hinzu, dass die streitgegenständlichen Vorfälle bereits aus dem

Zeitraum 1999-2003 stammen, also wie der vom 16. Zivilsenat entschiedene

Vorfall aus dem Jahre 2002 aus einer Zeit, als die technischen Möglichkeiten für

Manipulationen noch erheblich geringer waren als heute.

Die Beurteilung des Senats im vorliegenden Fall steht ferner auch im Einklang mit

dem rechtskräftigen Urteil des Senats vom 30.1.2008 im Parallelverfahren

betreffend ec-Karten mit Triple-DES Schlüssel 128 Bit (Az. 23 U 38/05, WM 2008,

534, mit zustimmender Anmerkung Meder/Flick WuB I D 5 b Debit-Karte 1.08), wo

der Kläger auch beteiligt war und dem zufolge der Senat auf der Grundlage der

durchgeführten Beweisaufnahme mit Zeugenvernehmung und

Sachverständigengutachten einschließlich Erläuterung die Überzeugung gewonnen

hat, dass das dort verwandte System ebenfalls mit Triple-DES-Schlüssel,

bestehend aus 128 Bit, im entscheidungserheblichen Zeitraum (Dezember 1999

bis Februar 2003) den Sicherheitserfordernissen entsprach. Eine darüber

hinausgehende, vom Kläger geforderte Beweisaufnahme hat der Senat aus

praktischen und prozessualen Gründen nicht für erforderlich gehalten, die hier

entsprechend gelten und auf die Bezug genommen wird.

Außerdem ist jedenfalls im Berufungsverfahren kein den genannten Vorgaben

entsprechender Beweisantritt des Klägers zu konkreten Sicherheitsmängeln im

Kartensystem der Beklagten erfolgt. Soweit der Berufungsführer aber das

Übergehen von Beweisangeboten als rechtsfehlerhaft rügen will, muss er es

erwähnen und den Rechtsfehler darstellen (ebenso Zöller-Heßler, ZPO, 27. Aufl.

2009, § 520 Rn 41 m.w.N.), weshalb er es letztlich auch wiederholen muss.

Soweit der Kläger – wenn auch zur Begründung der Aktivlegitimation – darauf

verwiesen hat, dass es in drei Fällen (A, B und C) trotz verschlossener PIN-Briefe

zu missbräuchlichen Abhebungen vom Konto gekommen sei, führt das auch in

diesem Kontext zu keiner anderen Beurteilung.

Die Beklagte hatte bereits in der ersten Instanz beim Fall A den Kundenstatus

bestritten, den der Kläger auch in der Berufungsbegründung nicht unter Beweis

gestellt hat. Hinsichtlich des Falles B folgt aus deren Schreiben vom 20.6.2002 (Bl.

718ff d.A.), dass sie den PIN-Brief sehr wohl geöffnet hatte, weshalb das

diesbezügliche Vorbringen des Klägers unschlüssig ist. Zum Fall C hatte die

Beklagte zu Recht eingewendet, dass dieser eine Visa-Karte und nicht die Eurocard

der Beklagten hatte, was im übrigen auch dem eigenen Vortrag des Klägers

entspricht (Bl. 849 d.A.). Eine Erschütterung des oben ausgeführten

Anscheinsbeweises hinsichtlich des Kartensystems der Beklagten kann somit auch

hierauf nicht gestützt werden.

Das weitere Vorbringen des Klägers nach der Berufungsbegründungsfrist im

Schriftsatz vom 19.3.2007 insbesondere zu den beiden angeführten Fälle

angeblich verschlossener PIN-Briefe (Dr. D Mastercard, E Eurocard) ist von der

Beklagten bestritten worden und damit als neues, nicht unstreitiges Angriffsmittel

(vgl. dazu BGH MDR 2005, 527; Zöller-Gummer/Heßler, § 531 Rn 22 mwN)

mangels Darlegung bzw. Vorliegens eines der Zulassungsgründe nach § 531 Abs.

2 ZPO nicht zu berücksichtigen. Darüber hinaus betreffen diese beiden

angeführten Fälle nach dem Vorbringen der Beklagten keine von ihr emittierten

Karten, was etwa mit dem Vortrag des Klägers zur Betreuung der Mastercard

durch die Pluscard GmbH übereinstimmt. Auf die Auflage des Senats vom

17.9.2008 hin, die Relevanz für die streitgegenständlichen, von der Beklagten

betreuten Eurocard-Fälle darzulegen, hat der Kläger denn auch mitgeteilt, den Fall

Dr. D nicht mehr zum Gegenstand des Rechtsstreits zu machen. Emittentin der

Eurocard im Fall E ist nach dem insoweit deckungsgleichen Vortrag der Parteien

aber ebenfalls nicht die Beklagte, sondern die Sparkasse …; im übrigen gilt

insoweit der Ausschluss nach § 531 Abs. 2 ZPO.

Hinsichtlich der übrigen, allgemeinen Gesichtspunkte wie etwa RFID-Transponder,

Innentäterattacken, Angriffen auf Schnittstellen oder Erraten von PINs etc., die

auch bereits Gegenstand des Parallelverfahrens 23 U 38/05 gewesen sind, wird zur

Vermeidung von Wiederholungen auf die Ausführungen des Senats im dortigen,

den Parteien bekannten Urteil Bezug genommen, mit denen im einzelnen die

Erforderlichkeit einer Beweisaufnahme und die Erschütterung des

Anscheinsbeweises verneint worden ist. Diese Gesichtspunkte betreffen auch

keine Spezifika des Kartensystems der Beklagten, weshalb die dortigen

Ausführungen, denen auf der Grundlage des hiesigen Vorbringens in der Sache

nichts weiteres hinzuzufügen ist, auch hier entsprechend gelten.

Der Schriftsatz des Klägers vom 28.10.2008 u.a. zu Geldautomaten der K-Bank

oder zur SparCard 3000 plus mit Gutachten ... vom 5.7.2007 (das zudem einen

vorliegend in concreto weder behaupteten noch unter Beweis gestellten Zugriff auf

die Programmierschnittstelle eines der in den zugrunde liegenden Fällen

benutzten Geldautomaten voraussetzt) bietet ferner aus den genannten Gründen

wie Betroffenheit eines anderen Kartensystems ebenfalls keinen Anlass zu einer

abweichenden Beurteilung.

Dasselbe gilt für den Schriftsatz des Klägers vom 6.1.2009, der sich in erster Linie

mit dem Fehlen der Voraussetzungen eines Beschlusses nach § 522 Abs. 2 ZPO

befasst und im übrigen zur sekundären, nach seiner Auffassung nicht erfüllten

Darlegungslast der Beklagten weitgehend bereits erfolgten und oben

berücksichtigten Vortrag wiederholt hat.

Soweit der Kläger mit den Schriftsätzen vom 11.3.2009 und 8.5.2009 zur

Untermauerung des Vorliegens von angeblichen Sicherheitsmängeln auf Angriffe

gegen externe Dienstleister und diverse Schwachstellen bei der PIN-Bearbeitung

und -Übermittlung hingewiesen hat, handelt es sich im wesentlichen um Vortrag

zu anderen Kartentypen anderer Emittenten, womit ein konkreter Bezug zum

Sicherheitssystem der Beklagten und damit die Relevanz für das vorliegende

Verfahren fehlt. Auch hier bleibt es wie im übrigen dabei, dass das Vorbringen des

Klägers nicht über unbeachtliche, weil bloß theoretische bzw. abstrakte

Möglichkeiten der Kenntniserlangung der PIN durch Dritte hinausgeht und nicht zur

Erschütterung des zugunsten der Beklagten geführten Anscheinsbeweises genügt.

Dass die streitgegenständlichen Sachverhalte in concreto auf diesen angeblichen

Sicherheitsmängeln beruhen, hat der Kläger in diesem Kontext ebenso wenig

substantiiert behauptet und unter Beweis gestellt wie bei den oben behandelten

angeblichen Sicherheitslücken.

Die Kostenentscheidung beruht auf § 97 Abs. 1 ZPO

Die Entscheidung über die vorläufige Vollstreckbarkeit folgt aus §§ 708 Nr. 10, 711

ZPO.

Die Revision war nicht zuzulassen, da der Rechtsstreit keine grundsätzliche

Bedeutung hat und weder die Fortbildung des Rechts noch die Sicherung einer

einheitlichen Rechtsprechung eine Entscheidung des Revisionsgerichts erfordert (§

543 ZPO).

Hinweis: Die Entscheidung wurde von den Dokumentationsstellen der hessischen Gerichte

ausgewählt und dokumentiert. Darüber hinaus ist eine ergänzende Dokumentation durch

die obersten Bundesgerichte erfolgt.