OLG Frankfurt: PIN ist sicher
OLG Frankfurt, Urteil vom 17.6.2009 - 23 U 22/06
Sachverhalt
Auf die tatsächlichen Feststellungen im angefochtenen Urteil, die keiner Änderung oder Ergänzung bedürfen, wird zunächst gemäß § 540 Abs. 1 Nr. 1 ZPO Bezug genommen.
Das Landgericht hat die auf Rückzahlung bzw. Schadensersatz aufgrund diverser unrechtmäßiger Eurocard-Transaktionen gerichtete Klage mit der Begründung abgewiesen, dass der Kläger im Hinblick auf die an ihn erfolgten Zessionen nach § 134 BGB iVm Art. 1 § 1 Abs. 1 RBerG mangels des erforderlichen Verbraucherschutzinteresses im Sinne des Art. 1 § 3 Nr. 8 RBerG nicht aktivlegitimiert sei. Außerdem bestünden die geltend gemachten Ansprüche schon dem Grund nach nicht, weil der Beklagten gegenüber den Zedenten jeweils ein Schadensersatzanspruch in Höhe der streitgegenständlichen Auszahlungen auf die Kreditkarte wegen pVV aufgrund grob fahrlässiger Verletzung der Sorgfaltspflichten der Zedenten bei der Verwahrung der persönlichen Geheimzahl (PIN) zustehe.
Gegen das ihm am 5.10.2005 zugestellte Urteil des Landgerichts hat der Kläger am 20.10.2005 fristgerecht Berufung eingelegt und diese am 4.1.2006 innerhalb der verlängerten Berufungsbegründungsfrist begründet.
In der Berufungsbegründung hat der Kläger angeführt, dass das Landgericht zu Unrecht die Aktivlegitimation verneint habe. Sie sei trotz der erforderlichen Einzelfallbetrachtung im Hinblick auf die gebotene Klärung verbraucherrechtlich relevanter Fragen gegeben. Dies mache bereits der erstinstanzlich unter Beweis gestellte Vortrag, dass es in drei Fällen (A, B und C) trotz verschlossener PIN-Briefe zu missbräuchlichen Abhebungen vom Konto gekommen sei, deutlich. Des weiteren habe der Sachverständige SV1 in einem Prozess vor dem Landgericht in Hannover dargelegt, dass das PIN-Verfahren mit Hilfe kryptologischer und/oder mathematischer Methoden (sog. smart attacks) gebrochen werden könne. Das Landgericht habe zudem die Voraussetzungen und den Anwendungsbereich der Regeln über den Anscheinsbeweis sowie die Grundsätze des Urteils des BGH vom 5.10.2004 (Az. XI ZR 210/03; BGHZ 160, 308) zu den Kartenschadensfällen verkannt und rechtsfehlerhaft entschieden. So fehle es hinsichtlich der Kreditkarten der Beklagten bereits an einem feststehenden Lebenssachverhalt, weil die Beklagte sich weigere, zu ihrem Sicherheitssystem vorzutragen. Ein Anscheinsbeweis setze die Feststellung voraus, dass die PIN-Entschlüsselung mit größtmöglichem finanziellem Aufwand mathematisch ausgeschlossen sei. Zunächst sei zu klären, welches Sicherheitssystem mit welchem Schlüssel verwendet worden sei, wie die Prüfwerte für Karte und PIN ermittelt würden und ob nur eine alleinige Zuordnung des Prüfwertes zu einer einzigen PIN möglich sei, ferner welches Sicherheitssystem bei der Beklagten bzw. im Bankrechenzentrum existiere. Hierzu müsse die Beklagte aufgrund der sekundären Darlegungslast gemäß BGH vortragen. Eine Übertragung oder Heranziehung anderer Urteile komme nicht in Betracht. Wegen der grundsätzlichen Bedeutung müsse die Revision zugelassen werden. In einem weiteren Schriftsatz vom 19.3.2007 hat der Kläger vorgebracht, dass nun weitere Fälle von missbräuchlichen Abhebungen trotz verschlossener PIN-Briefe (Dr. D betreffend Mastercard, E betreffend Eurocard) bekannt geworden seien. Außerdem habe Prof. SV2 und seine Forschungsgruppe von der Universität in Massachusetts herausgefunden, dass zumindest in der USA verwendete Kreditkarten mit RFID-Transpondern angreifbar seien, weil mit Hilfe von Bastlergeräten Informationen durch den ungeöffneten Briefumschlag gelesen werden könnten. Vertrauliche Unterlagen der Kreditwirtschaft zum ec-Verfahren lägen vor, was für Innentäterattacken spreche. Die Ausarbeitungen israelischer (F und G, Tel Aviv) und britischer (Prof. H, Cambridge) Wissenschaftler hätten ergeben, dass es in verschiedener Hinsicht möglich sei, die Schnittstellen anzugreifen und Daten auszuspähen. Mr. I (Cambridge) habe festgestellt, dass durch einen Angriff die meist unverschlüsselte Verifikationsmitteilung des Rechenzentrums an den jeweiligen Geldautomaten inhaltlich verändert werden könne; daneben habe Mr. I zusammen mit Mr. J festgestellt, dass ein Programmierer, der die PIN-Verifikationsmethode kenne, in der Lage sei, durch Versuche die richtige PIN zu ermitteln. Man müsse auch die Möglichkeit des Erratens und die von Innentäterattacken, auch von Mitarbeitern von Fremdfirmen, die in die Transaktionen einbezogen seien, ggf. in Zusammenwirken mit Kriminellen, berücksichtigen. Mit Schriftsatz vom 28.10.2008 hat der Kläger mitgeteilt, dass der Fall Dr. D nicht mehr zum Gegenstand des Rechtsstreits gemacht werde, und er hat Parallelen zwischen den Karten der Beklagten und der VISA-Karte vermutet bzw. gezogen sowie auf einen Hacker-Angriff auf das Geldautomatennetz der K-Bank verwiesen. Des weiteren hat der Kläger mit Schriftsatz vom 6.1.2009 der mit Hinweisschreiben des Senats vom 31.10.2008 angekündigten Absicht der Zurückweisung der Berufung nach § 522 Abs. 2 ZPO unter Verneinung dessen Voraussetzungen widersprochen und seine Auffassung zur sekundären, nicht erfüllten Darlegungslast der Beklagten unterstrichen. Mit Schriftsätzen vom 11.3.2009 und 8.5.2009 hat der Kläger zur Untermauerung des Vorliegens von Sicherheitsmängeln auf Angriffe gegen externe Dienstleister und Schwachstellen bei der PIN-Bearbeitung und -Übermittlung hingewiesen. Der Kläger beantragt, das Urteil des Landgerichts Frankfurt am Main vom 26.9.2005 abzuändern und die Beklagte zu verurteilen, an den Kläger 24.207,75 € nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz aus 11.296,92 € seit dem 3.7.2003 sowie aus 12.910,83 € seit Rechtshängigkeit zu zahlen; hilfsweise, die Revision zuzulassen. Die Beklagte beantragt, die Berufung zurückzuweisen.
Die Beklagte verteidigt die Entscheidung des Landgerichts unter Wiederholung und Vertiefung ihres erstinstanzlichen Vorbringens. Sie hält die Aktivlegitimation des Klägers für nicht gegeben und sieht einen Widerspruch zwischen dieser und der Notwendigkeit einer Einzelfallprüfung der den Zessionen zugrundeliegenden Sachverhalte. Die unrichtigen Behauptungen des Klägers zu den Fällen A, B-B und C seien bereits erstinstanzlich widerlegt worden; ein Schluss auf Sicherheitslücken sei nicht möglich. Der Kläger habe nichts vorgebracht, was die Sicherheit des Systems der Beklagten in Frage stellen könne, weswegen vorliegend auch die Ausführungen des BGH zur sekundären Beweislast nicht griffen, da diese ein Aufzeigen von Sicherheitslücken voraussetzten. Das Landgericht habe auch die Regeln über den Anscheinsbeweis und die Grundsätze des Urteils des BGH vom 5.10.2004 rechtsfehlerfrei angewendet. Dies entspreche auch der Rechtsprechung des OLG Frankfurt am Main zu Kreditkarten (Az. 8 U 268/01, Urteil vom 7.5.2002; 19 U 71/03, Urteil vom 15.7.2003; zuletzt 16 U 70/05, Urteil vom 30.3.2006), der zufolge nach den Grundsätzen des Anscheinsbeweises davon auszugehen sei, dass mittels gestohlener oder sonst abhanden gekommener Kreditkarten am Geldautomaten nur deshalb Auszahlungen vorgenommen werden konnten, weil der Karteninhaber mit seiner Geheimzahl nicht sorgfältig umgegangen sei bzw. diese pflichtwidrig bei sich getragen habe. Der typische Lebenssachverhalt bestehe darin, dass mit Zahlungskarten, die u.a. mit PINs gesichert sind, nur dann erfolgreich Geld am Geldautomaten abgehoben werden könne, wenn dies vom Karteninhaber selbst erfolge, er Dritte bevollmächtigt habe oder diese durch unsorgfältigen Umgang mit Kreditkarte und PIN an letztere gelangt seien. Fragen des Sicherheitssystems hätten damit nichts zu tun. Anhaltspunkte für einen atypischen Verlauf habe der Kläger nicht dargetan. Im übrigen habe die Beklagte - soweit zumutbar - ohnehin schon umfassend zu ihrem System vorgetragen und die technischen Aufzeichnungen zu den streitigen Auszahlungsvorgängen vorgelegt. Im Jahr 2001 sei ihr System von einer Schlüsselbreite von 56 Bit auf das sog. Triple-DES-Verfahren mit mindestens 128 Bit erhöht worden. Ihr Sicherheitssystem sei mehrfach der sachverständigen Beurteilung unterzogen worden mit dem Ergebnis der Feststellung der Sicherheit des Systems; so habe dem Urteil des 8. Zivilsenats des OLG Frankfurt am Main vom 7.5.2002 das auch in diesem Verfahren von ihr bereits vorgelegte Gutachten des anerkannten Sachverständigen Dr. SV3 vom BSI zugrunde gelegen, das hier gemäß § 411a ZPO verwertet werden könne. Weder PIN noch Referenzwert würden auf den Kreditkarten der Beklagten gespeichert, wie durch Sachverständigengutachten und Urteil des 8. Zivilsenats des OLG Frankfurt am Main bestätigt. Nach dem Urteil des 16. Zivilsenats des OLG Frankfurt am Main vom 30.3.2006 (ebenfalls zu Eurocard) böten die angeblichen Systemunsicherheiten keine Grundlage für eine Beweisaufnahme und liefen auf eine Ausforschung hinaus. Auch vor diesem Hintergrund habe der Kläger den Anscheinsbeweis nicht erschüttern können. Es gebe keinen Grund für eine Revisionszulassung. Die Ausführungen des Klägers im Schriftsatz vom 28.10.2008 beträfen durchweg andere Sicherheitssysteme und hätten mit dem System der Beklagten nichts zu tun. Auch im Hinblick auf den Schriftsatz des Klägers vom 6.1.2009 werde die nochmalige Forderung nach weiteren Systemauskünften zurückgewiesen und bleibe es beim Fehlen der für eine Beweisaufnahme erforderlichen Anknüpfungstatsachen. Ohnehin stünden einer Beweisaufnahme aufgrund Zeitablaufs ebenso wie im Parallelverfahren 23 U 38/05 praktische und prozessuale Gründe entgegen. Ein Beweissicherungsverfahren zur Sicherheitsstruktur im maßgeblichen Zeitraum der Abhebungen vom 15.9.1999 bis 24.4.2003 habe der Kläger nicht durchgeführt. Vortrag zu anderen Kartentypen anderer Emittenten biete keine Anhaltspunkte für sicherheitsrelevante Mängel beim Sicherheitssystem der Beklagten, das unabhängig von der Schüsselbreite wiederholt begutachtet worden sei mit dem Ergebnis der Bestätigung der Sicherheit. Wegen der weiteren Einzelheiten des zweitinstanzlichen Vorbringens der Parteien wird auf deren im Berufungsverfahren gewechselten Schriftsätze verwiesen.
Aus den Gründen
II. Die Berufung des Klägers ist form- und fristgerecht eingelegt sowie begründet, hat aber in der Sache keinen Erfolg.
Es liegt kein Berufungsgrund im Sinne des § 513 ZPO vor, denn weder beruht die Entscheidung des Landgerichts im Ergebnis auf einer Rechtsverletzung nach § 546 ZPO noch rechtfertigen nach § 529 ZPO zugrunde zu legende Tatsachen eine andere Entscheidung.
Das Landgericht hat zu Recht einen Zahlungsanspruch des Klägers gegen die Beklagte aufgrund diverser angeblich unrechtmäßiger Eurocard-Transaktionen verneint, denn die jeweiligen Belastungen erfolgten nicht ohne Rechtsgrund nach Bereicherungsrecht. Aus dem Geschäftsbesorgungsverhältnis zwischen den Zedenten und der Beklagten kann kein Zahlungsanspruch abgeleitet werden, weil es sich bei den Geldautomatenauszahlungen trotz des Diebstahls bzw. Abhandenkommens der Karten um legitimierte Auszahlungen handelt, mit denen die Beklagte die Konten der Zedenten belasten durfte. Sie kann sich darauf berufen, dass die aus dem Kartenvertrag berechtigten Zedenten gegen ihre nebenvertragliche Pflicht verstoßen haben, die Karten mit besonderer Sorgfalt aufzubewahren und dafür Sorge zu tragen, dass kein unbefugter Dritter Kenntnis von der PIN (Personenidentitätsnummer) erhält. Es ist davon auszugehen, dass die Zedenten gegen diese Sorgfaltspflicht in einer allerdings im Einzelnen nicht bekannten Art und Weise verstoßen haben, z.B. in der Form, dass sie die Karte zusammen mit einem Schriftstück aufbewahrt haben, aus dem sich die PIN ergibt.
Nicht zu folgen ist dem Landgericht indessen, soweit es die Klageabweisung auf eine fehlende Aktivlegitimation des Klägers gestützt hat. Nach der seit dem 1.1.2002 geltenden Fassung von Art. 1 § 3 Ziff. 8 des Rechtsberatungsgesetzes ist ein Verbraucherschutzverband wie der Kläger zur gerichtlichen Einziehung fremder und zu Einziehungszwecken abgetretener Forderungen von Verbrauchern berechtigt, „wenn es im Interesse des Verbraucherschutzes erforderlich ist". Dies stellt ein zwar einschränkendes, jedoch gemäß der Entscheidung des BGH vom 14.11.2006 (BGHZ 170, 18; ebenso LG Bonn WM 2005, 1772) weit auszulegendes Zulässigkeitskriterium dar. Hiernach ist die gerichtliche Einziehung von Forderungen durch Verbraucherzentralen gemäß Art. 1 § 3 Nr. 8 RBerG im Interesse des Verbraucherschutzes erforderlich, wenn sie nicht nur Individualinteressen, sondern auch einem kollektiven Verbraucherinteresse dient und eine effektivere Durchsetzung dieses Interesses ermöglicht (BGH aaO). Das Landgericht hat unter Hinweis auf eine (mittlerweile aufgehobene) Entscheidung des OLG Düsseldorf (NJW 2004, 1532) das Vorliegen eines Verbraucherschutzinteresses im vorliegenden Fall zu Unrecht verneint. Der Begriff des Verbraucherschutzinteresses ist dabei entgegen der Auffassung des Klägers (der meint, dass eine nicht überprüfbare Ermessensentscheidung des Verbraucherverbandes vorliege) gerichtlich nachprüfbar. In einem Fall wie dem vorliegenden sprechen mehrere Gründe für eine Bejahung des Verbraucherschutzinteresses. Der Gesetzgeber wollte nicht, dass die Verbraucherschutzverbände zu Lasten von Inkassobüros und Rechtsanwälten in großem Stil Forderungen einziehen und hat deshalb die genannte Einschränkung „wenn dies im Interesse des Verbraucherschutzes erforderlich ist" hinzugefügt. Dabei ist die Geltendmachung und Durchsetzung von Ansprüchen durch Verbraucherschutzverbände geboten, wenn von einem Verstoß nicht nur das Einzelinteresse eines Verbrauchers betroffen ist (Micklitz/Beuchler, NJW 2002, 1502 f). Dies kann im vorliegenden Fall ohne Weiteres gesagt werden. Eine Geltendmachung von mehreren abgetretenen Ansprüchen durch eine Verbraucherzentrale ist im Vergleich zu einer Einzelklage effektiver, da der Verbraucherzentrale regelmäßig wesentlich mehr aussagekräftige und repräsentative Informationen zu der jeweiligen verbraucherrelevanten Frage zur Verfügung stehen, die einen gebündelten und vertieften Sachvortrag ermöglichen. Da indirekt auch das Interesse einer Vielzahl anderer Verbraucher, die mit dem selben Problem konfrontiert sind, gefördert wird, ist es offenbar sinnvoll, förderungswürdig und dem Sinn der Änderung des Artikel 1 § 3 Ziffer 8 des Rechtsberatungsgesetzes entsprechend, wenn in einem Fall wie dem vorliegenden das Vorliegen der Voraussetzungen dieser Bestimmung bejaht wird. Der Kläger weist zu Recht darauf hin, dass er mehrere Sammelklagen erhoben hat, um bestimmte typische Sachverhalte zur Klärung zu unterbreiten, die massenhaft auftreten. Die Bündelung von Ansprüchen hat auch wegen der damit verbundenen Streitwerterhöhung die erstinstanzliche Zuständigkeit des Landgerichts und die Möglichkeit eines Berufungsverfahrens bei einem OLG zur Folge. Ein solcher über den Einzelfall hinausgehender Bezug in Verbindung mit Kostenvorteilen ist danach ausreichend (ebenso Senat im Parallelverfahren betreffend ec-Karten mit Triple-DES Schlüssel 128 Bit mit rechtskräftigem Urteil vom 30.1.2008, Az. 23 U 38/05 - bei juris).
Davon abgesehen bleiben die Angriffe der Berufung jedoch ohne Erfolg. Das gilt insbesondere für den Hauptvorwurf des Klägers, das Landgericht habe die Voraussetzungen und den Anwendungsbereich der Regeln über den Anscheinsbeweis sowie die Grundsätze des Urteils des BGH vom 5.10.2004 (Az. XI ZR 210/03, BGHZ 160, 308) zu den Kartenschadensfällen verkannt und rechtsfehlerhaft entschieden.
Wie der Senat im Parallelverfahren betreffend ec-Karten mit Triple-DES Schlüssel 128 Bit mit rechtskräftigem Urteil vom 30.1.2008 (Az. 23 U 38/05) festgestellt hat, besteht in Fällen, d.h. Lebenssachverhalten wie den vorliegenden mit Diebstahl bzw. Abhandenkommen der Karte und anschließendem Karteneinsatz mit PIN ein entsprechender Anscheinsbeweis dafür, dass die Zedenten gegen die oben beschriebene Sorgfaltspflicht verstoßen haben. Das Bestehen eines solchen Anscheinsbeweises wird von der ständigen Rechtsprechung (vgl. Senat a.a.O.; OLG Frankfurt OLGR 2007, 294) anerkannt, abgesehen von hier nicht einschlägigen, da nicht in concreto behaupteten und belegten Ausnahmefällen wie dem vorherigen Ausspähen der Karte.
Inhalt und Umfang des Anscheinsbeweises in solchen Fällen ergeben sich aus der grundlegenden Entscheidung des BGH vom 5.10.2004 (Az. XI ZR 210/03, BGHZ 160, 308). Zu Recht ist der BGH dort davon ausgegangen, dass der Beweis des ersten Anscheins dafür spricht, dass der Karteninhaber die PIN auf der ec-Karte notiert oder gemeinsam mit dieser verwahrt hat, wenn zeitnah nach dem Diebstahl einer ec-Karte oder Verwendung dieser Karte und Eingabe der PIN an Geldausgabeautomaten Bargeld abgehoben wird. Die Möglichkeit eines Ausspähens der persönlichen Geheimzahl (PIN) durch einen unbekannten Dritten kommt als andere Ursache grundsätzlich nur dann in Betracht, wenn die ec-Karte in einem näheren zeitlichen Zusammenhang mit der Eingabe der PIN durch den Karteninhaber an einem Geldausgabeautomaten oder einem POS-Terminal entwendet worden ist, was vorliegend jedoch auch nach dem Vortrag des Klägers in keinem der 10 Fälle geschehen ist.
Nach diesem Urteil ist der Karteninhaber verpflichtet, dem Anscheinsbeweis durch konkrete Darlegung und gegebenenfalls den Nachweis der Möglichkeit eines atypischen Verlaufs die Grundlage zu entziehen (BGH a.a.O.). Dabei kommt es nicht darauf an, ob es die theoretische Möglichkeit der Kenntniserlangung der PIN durch Dritte gibt.
Der BGH hat sich in seiner Grundsatzentscheidung aber nicht nur, worauf zu Recht Willershausen (in jurisPR-BKR 4/2008 Anm. 4) hingewiesen hat, zum Fall des Diebstahls einer Karte geäußert, auch wenn dies dem der Entscheidung zugrundeliegenden Sachverhalt entspricht. Vielmehr wurde vom BGH grundsätzlich entschieden, dass in Fällen, in denen an Geldautomaten unter Verwendung der zutreffenden Geheimzahl Geld abgehoben wurde, der Beweis des ersten Anscheins dafür spricht, dass entweder der Kartenbesitzer als rechtmäßiger Kontoinhaber die Abhebungen selbst vorgenommen hat oder, dass ein Dritter nach der Entwendung der Karte von der Geheimnummer nur wegen ihrer Verwahrung gemeinsam mit der Karte Kenntnis erlangen konnte.
Das OLG Karlsruhe hat mit Urteil vom 6.5.2008 (Az. 17 U 170/07 - bei juris) auf der Grundsatzentscheidung des BGH aufbauend entschieden, dass der erste Anschein auch dann dafür spricht, dass der Berechtigte die Abhebungen selbst veranlasst hat oder er die ec-Karte gemeinsam mit der Geheimnummer pflichtwidrig so verwahrt hat, dass ein unberechtigter Dritter diese zwischenzeitlich verwenden konnte, wenn Abhebungen mit einer ec-Karte unter Verwendung der PIN an einem Geldautomaten vorgenommen werden und sich nicht mehr klären lässt, ob der Berechtigte durchgehend im Besitz der Karte war. Ferner hat es festgestellt, dass der Inhaber einer ec-Karte den Anscheinsbeweis nicht erschüttern kann, wenn er sich auf die abstrakte Gefahr der unberechtigten Ausspähung von Daten und Herstellung von Kartendubletten beruft und gleichzeitig vorträgt, die ec-Karte zuvor ausschließlich in den Schalterräumen seiner Bank eingesetzt zu haben, in der Missbrauchsfälle bisher nie bekannt geworden sind.
Es ist kein Grund dafür ersichtlich, diese grundlegenden Maßstäbe der Rechtsprechung nicht entsprechend auch auf den streitgegenständlichen Einsatz von Kreditkarten, hier der Eurocard anzuwenden, da in diesem Zusammenhang keine wesentlichen Unterschiede zwischen diesen Kartentypen bestehen. Insoweit wird im einzelnen auch auf die ausführliche, überzeugende Begründung im Urteil des Landgerichts Bezug genommen. Schließlich hat gleichfalls das OLG Brandenburg mit Urteil vom 7.3.2007 (Az. 13 U 69/06 - bei juris) die Anwendbarkeit dieser Grundsätze zum Anscheinsbeweis auf Kreditkarten bejaht.
Danach ist vorliegend von einem Anscheinsbeweis dafür auszugehen, dass entweder die Kartenbesitzer als rechtmäßige Kontoinhaber die Abhebungen selbst vorgenommen haben oder dass die Zedenten jeweils gegen ihre oben beschriebene Sorgfaltspflicht verstoßen haben und ein Dritter nach der Entwendung oder dem sonstigen Abhandenkommen der Karte von der Geheimnummer nur wegen ihrer Verwahrung gemeinsam mit der Karte Kenntnis erlangen konnte. Das Landgericht hat im unstreitigen Teil des Tatbestands festgestellt, dass die streitbefangenen Abhebungen kurze Zeit nach dem Kartenverlust und damit zeitnah im Sinne der zitierten Rechtsprechung des BGH erfolgt sind.
Diesen Anscheinsbeweis hat der Kläger nicht erschüttert bzw. entkräftet, denn hierzu wäre es erforderlich gewesen, dem Anscheinsbeweis durch konkrete Darlegung und gegebenenfalls den Nachweis der Möglichkeit eines atypischen Verlaufs die Grundlage zu entziehen.
Vorliegend fehlt es indessen bereits an einer solchen substantiierten Darlegung durch den Kläger für die unterschiedlich gelagerten Sachverhalte und erst recht an einem entsprechenden Nachweis.
Der primär darlegungs- und beweisbelastete Kläger hat Lücken oder Schwächen im allein streitgegenständlichen Sicherungssystem der Beklagten nicht konkret und substantiiert dargelegt sowie (insbesondere nicht im Berufungsverfahren) unter Beweis gestellt, sondern sich in der Berufungsbegründung auf die Rüge beschränkt, es fehle hinsichtlich der Kreditkarten der Beklagten bereits an einem feststehenden Lebenssachverhalt, weil die Beklagte sich weigere, zu ihrem Sicherheitssystem vorzutragen. Zunächst solle nach seiner Ansicht zu klären sein, welches Sicherheitssystem mit welchem Schlüssel verwendet worden sei, wie die Prüfwerte für Karte und PIN ermittelt würden und ob nur eine alleinige Zuordnung des Prüfwertes zu einer einzigen PIN möglich sei, ferner welches Sicherheitssystem bei der Beklagten bzw. im Bankrechenzentrum existiere; hierzu müsse die Beklagte aufgrund der sekundären Darlegungslast gemäß BGH vortragen.
Dieser Standpunkt des Klägers ist jedoch unzutreffend, denn die Beklagte hat bereits hinreichend ihrer sekundären Darlegungslast genügt und im Rahmen des nach der Rechtsprechung des BGH (a.a.O.) Zumutbaren - wobei auch ihre berechtigten, nicht zuletzt im Kundeninteresse liegenden Geheimhaltungsinteressen zu beachten sind - wiederholt zu ihrem Sicherheitssystem vorgetragen sowie insbesondere die technischen Aufzeichnungen zu den streitigen Auszahlungsvorgängen vorgelegt; zumindest letzteres wird vom Kläger nicht in Abrede gestellt.
Das OLG Brandenburg hat mit dem oben zitierten Urteil (a.a.O.) zu einem vergleichbaren Kreditkarten-Sachverhalt ebenfalls die Ansicht vertreten, dass es nicht generell so ist - wie aber der Kläger meint -, dass der Karteninhaber nicht in der Lage ist, Sicherheitslücken im System des Kartenausgebers aufzuzeigen. Nach ständiger Rechtsprechung des BGH zur sekundären Darlegungslast kann es zwar Sache einer nicht primär darlegungs- und beweispflichtigen Partei sein, sich im Rahmen der ihr nach § 138 Abs. 2 ZPO obliegenden Erklärungspflicht zu den Behauptungen der beweispflichtigen Partei konkret zu äußern, wenn diese außerhalb des von ihr vorzutragenden Geschehensablaufs steht und keine nähere Kenntnis der maßgebenden Tatsachen besitzt, ihr Prozessgegner aber die wesentlichen Umstände kennt und es ihm zumutbar ist, dazu nähere Angaben zu machen. Das gilt gemäß OLG Brandenburg auch für das die Kreditkarte ausgebende Kreditinstitut hinsichtlich der von ihm - im Rahmen des Zumutbaren und gegebenenfalls in verallgemeinernder Weise - darzulegenden Sicherheitsvorkehrungen, wodurch der Karteninhaber in die Lage versetzt wird, Beweis der von ihm vermuteten Sicherheitsmängel antreten zu können. Diesen Anforderungen genügenden Vortrag hat die Beklagte im vorliegenden Verfahren gebracht.
So ist auch geklärt, dass im Jahr 2001 das System der Beklagten von einer Schlüsselbreite von 56 Bit auf das sog. Triple-DES-Verfahren mit mindestens 128 Bit erhöht worden ist, was der Kläger nicht in erheblicher Weise bestritten hat. Ebenso hat die Beklagte dargelegt, dass weder PIN noch Referenzwert auf ihren Kreditkarten gespeichert werden, und sich auf eingeholte, dem Kläger bekannte Sachverständigengutachten und das Urteil des 8. Zivilsenats des OLG Frankfurt am Main (s.o.) zur Bestätigung berufen. Dem ist der Kläger ebenfalls nicht in erheblicher Weise entgegen getreten.
Zu Recht hat die Beklagte ferner darauf verwiesen, dass ihr Sicherheitssystem mehrfach der sachverständigen Beurteilung unterzogen worden ist mit dem Ergebnis der Feststellung der Sicherheit des Systems, und zwar auch bereits für den Zeitraum der Verwendung der Schlüsselbreite von 56 Bit, weshalb hierin kein entscheidender Unterschied liegt. So hat dem Urteil des 8. Zivilsenats des OLG Frankfurt am Main vom 7.5.2002 (WM 2002, 2101; zustimmende Anmerkung Meder WuB I D S a Kreditkarte 1.03) das auch in diesem Verfahren von ihr bereits vorgelegte Gutachten des Sachverständigen Dr. SV3 vom Bundesamt für Sicherheit in der Informationstechnik vom 10.12.2000 zur Eurocard (Bl. 286ff d.A.) zugrunde gelegen, dessen Verwertung nach § 411a ZPO hier möglich ist, wie der Senat im Hinweisschreiben vom 31.10.2008 mitgeteilt hat; der Kläger ist dem nicht entgegen getreten.
Vor diesem Hintergrund und auf dieser Grundlage hat der Kläger nicht gemäß der ihn selbst treffenden primären Darlegungslast konkret und substantiiert vorgebracht, an welchen Stellen genau welche Sicherheitslücken oder -schwächen bei der Beklagten bestehen sollen, was ihm aber auf der Grundlage des Beklagtenvorbringens und der vorgelegten Unterlagen einschließlich des Sachverständigengutachtens möglich gewesen wäre und Voraussetzung einer Beweisaufnahme ist, die den Vortrag entsprechender Anknüpfungstatsachen erfordert. Der Verweis des Klägers auf mehr theoretisch gebliebene Möglichkeiten der Kenntniserlangung der PIN durch Dritte oder gar auf Angriffe auf bzw. Sicherheitsmängel von anderen Kartensystemen anderer Emittenten als der Beklagten und mit anderen Sicherheitssystemen genügt demgegenüber diesen Anforderungen nicht und bietet keine Grundlage für eine Beweisaufnahme.
So hat denn auch der 8. Zivilsenat des OLG Frankfurt am Main mit o.g. Urteil vom 7.5.2002 (a.a.O.) festgestellt, dass keine Bedenken bestehen, insoweit von einem Anscheinsbeweis auszugehen, wenn wegen der außerordentlichen Schwierigkeiten, die PIN-Nummer zu ermitteln, angenommen werden muss, dass der Karteninhaber die Nummer pflichtwidrig bei sich getragen hat; ein allenfalls theoretischer abweichender Geschehensablauf ist danach so fernliegend, dass er außer Betracht zu lassen ist. In seiner o.g. Urteilsanmerkung hat Meder (a.a.O.) dem Gericht zunächst darin zugestimmt, dass bei einem Missbrauch der Karte mit PIN ein typischer Geschehensablauf vorliege, der einen Anscheinsbeweis hinsichtlich der Sorgfaltspflichtverletzung zulasse. Darüber hinaus hat Meder nachvollziehbar und plausibel erläutert, dass technisch keine realistische Möglichkeit besteht, dass ein Dieb mit wirtschaftlich sinnvollem Aufwand die PIN ermittelt. Außerdem ist er auf die Unterschiede zwischen Kreditkarten und ec-Karten eingegangen und hat insbesondere herausgearbeitet, dass bei letzteren die PIN offline gelesen wird, weshalb er mit guten Gründen die Meinung vertritt, dass bei einer Kreditkarte - wie vorliegend - die Ermittlung der PIN noch unwahrscheinlicher sei als bei einer ec-Karte.
Diese Beurteilung des Senats deckt sich ferner mit der des 16. Zivilsenats des OLG Frankfurt am Main in seinem Urteil vom 30.3.2006 (NJW-RR 2007, 198) ebenfalls zur Eurocard in einem vergleichbaren Sachverhalt, wonach Behauptungen allgemeiner Natur zur angeblichen Möglichkeit einer PIN-Ermittlung nicht berücksichtigungsfähig und eher spekulativ sind sowie ohne konkrete Anknüpfungstatsachen auf eine unzulässige Ausforschung hinauslaufen. Des weiteren hat der 16. Zivilsenat zutreffend unter Bezugnahme auf die Rechtsprechung (OLG Frankfurt am Main, NJW-RR 2004, 206 ff.) darauf hingewiesen, dass es für einen signifikanten Anstieg von PIN-Entschlüsselungen keinen greifbaren Anhaltspunkt gibt, und auch von keinem Experten bestritten sei, dass alle Kreditkartengeschäftsaktionen an Geldausgabeautomaten stets online geprüft werden.
Hier wie dort hat die Beklagte zudem im einzelnen dargelegt, dass die Überprüfung der PIN online durch einen Zentralrechner erfolgt ist, was durch die von ihr jeweils vorgelegten Autorisierungsprotokolle bewiesen ist. Die Abhebung erfolgte unter korrekter Eingabe der PIN, was sich eindeutig aus den von der Beklagten für alle geltend gemachten Fälle vorgelegten Transaktionsdokumentationen („Auflistung Autorisierungen") ergibt.
Es kommt hinzu, dass die streitgegenständlichen Vorfälle bereits aus dem Zeitraum 1999-2003 stammen, also wie der vom 16. Zivilsenat entschiedene Vorfall aus dem Jahre 2002 aus einer Zeit, als die technischen Möglichkeiten für Manipulationen noch erheblich geringer waren als heute.
Die Beurteilung des Senats im vorliegenden Fall steht ferner auch im Einklang mit dem rechtskräftigen Urteil des Senats vom 30.1.2008 im Parallelverfahren betreffend ec-Karten mit Triple-DES Schlüssel 128 Bit (Az. 23 U 38/05, WM 2008, 534, mit zustimmender Anmerkung Meder/Flick WuB I D 5 b Debit-Karte 1.08), wo der Kläger auch beteiligt war und dem zufolge der Senat auf der Grundlage der durchgeführten Beweisaufnahme mit Zeugenvernehmung und Sachverständigengutachten einschließlich Erläuterung die Überzeugung gewonnen hat, dass das dort verwandte System ebenfalls mit Triple-DES-Schlüssel, bestehend aus 128 Bit, im entscheidungserheblichen Zeitraum (Dezember 1999 bis Februar 2003) den Sicherheitserfordernissen entsprach. Eine darüber hinausgehende, vom Kläger geforderte Beweisaufnahme hat der Senat aus praktischen und prozessualen Gründen nicht für erforderlich gehalten, die hier entsprechend gelten und auf die Bezug genommen wird.
Außerdem ist jedenfalls im Berufungsverfahren kein den genannten Vorgaben entsprechender Beweisantritt des Klägers zu konkreten Sicherheitsmängeln im Kartensystem der Beklagten erfolgt. Soweit der Berufungsführer aber das Übergehen von Beweisangeboten als rechtsfehlerhaft rügen will, muss er es erwähnen und den Rechtsfehler darstellen (ebenso Zöller-Heßler, ZPO, 27. Aufl. 2009, § 520 Rn 41 m.w.N.), weshalb er es letztlich auch wiederholen muss.
Soweit der Kläger - wenn auch zur Begründung der Aktivlegitimation - darauf verwiesen hat, dass es in drei Fällen (A, B und C) trotz verschlossener PIN-Briefe zu missbräuchlichen Abhebungen vom Konto gekommen sei, führt das auch in diesem Kontext zu keiner anderen Beurteilung.
Die Beklagte hatte bereits in der ersten Instanz beim Fall A den Kundenstatus bestritten, den der Kläger auch in der Berufungsbegründung nicht unter Beweis gestellt hat. Hinsichtlich des Falles B folgt aus deren Schreiben vom 20.6.2002 (Bl. 718ff d.A.), dass sie den PIN-Brief sehr wohl geöffnet hatte, weshalb das diesbezügliche Vorbringen des Klägers unschlüssig ist. Zum Fall C hatte die Beklagte zu Recht eingewendet, dass dieser eine Visa-Karte und nicht die Eurocard der Beklagten hatte, was im übrigen auch dem eigenen Vortrag des Klägers entspricht (Bl. 849 d.A.). Eine Erschütterung des oben ausgeführten Anscheinsbeweises hinsichtlich des Kartensystems der Beklagten kann somit auch hierauf nicht gestützt werden.
Das weitere Vorbringen des Klägers nach der Berufungsbegründungsfrist im Schriftsatz vom 19.3.2007 insbesondere zu den beiden angeführten Fälle angeblich verschlossener PIN-Briefe (Dr. D Mastercard, E Eurocard) ist von der Beklagten bestritten worden und damit als neues, nicht unstreitiges Angriffsmittel (vgl. dazu BGH MDR 2005, 527; Zöller-Gummer/Heßler, § 531 Rn 22 mwN) mangels Darlegung bzw. Vorliegens eines der Zulassungsgründe nach § 531 Abs. 2 ZPO nicht zu berücksichtigen. Darüber hinaus betreffen diese beiden angeführten Fälle nach dem Vorbringen der Beklagten keine von ihr emittierten Karten, was etwa mit dem Vortrag des Klägers zur Betreuung der Mastercard durch die Pluscard GmbH übereinstimmt. Auf die Auflage des Senats vom 17.9.2008 hin, die Relevanz für die streitgegenständlichen, von der Beklagten betreuten Eurocard-Fälle darzulegen, hat der Kläger denn auch mitgeteilt, den Fall Dr. D nicht mehr zum Gegenstand des Rechtsstreits zu machen. Emittentin der Eurocard im Fall E ist nach dem insoweit deckungsgleichen Vortrag der Parteien aber ebenfalls nicht die Beklagte, sondern die Sparkasse ...; im übrigen gilt insoweit der Ausschluss nach § 531 Abs. 2 ZPO.
Hinsichtlich der übrigen, allgemeinen Gesichtspunkte wie etwa RFID-Transponder, Innentäterattacken, Angriffen auf Schnittstellen oder Erraten von PINs etc., die auch bereits Gegenstand des Parallelverfahrens 23 U 38/05 gewesen sind, wird zur Vermeidung von Wiederholungen auf die Ausführungen des Senats im dortigen, den Parteien bekannten Urteil Bezug genommen, mit denen im einzelnen die Erforderlichkeit einer Beweisaufnahme und die Erschütterung des Anscheinsbeweises verneint worden ist. Diese Gesichtspunkte betreffen auch keine Spezifika des Kartensystems der Beklagten, weshalb die dortigen Ausführungen, denen auf der Grundlage des hiesigen Vorbringens in der Sache nichts weiteres hinzuzufügen ist, auch hier entsprechend gelten.
Der Schriftsatz des Klägers vom 28.10.2008 u.a. zu Geldautomaten der K-Bank oder zur SparCard 3000 plus mit Gutachten ... vom 5.7.2007 (das zudem einen vorliegend in concreto weder behaupteten noch unter Beweis gestellten Zugriff auf die Programmierschnittstelle eines der in den zugrunde liegenden Fällen benutzten Geldautomaten voraussetzt) bietet ferner aus den genannten Gründen wie Betroffenheit eines anderen Kartensystems ebenfalls keinen Anlass zu einer abweichenden Beurteilung.
Dasselbe gilt für den Schriftsatz des Klägers vom 6.1.2009, der sich in erster Linie mit dem Fehlen der Voraussetzungen eines Beschlusses nach § 522 Abs. 2 ZPO befasst und im übrigen zur sekundären, nach seiner Auffassung nicht erfüllten Darlegungslast der Beklagten weitgehend bereits erfolgten und oben berücksichtigten Vortrag wiederholt hat.
Soweit der Kläger mit den Schriftsätzen vom 11.3.2009 und 8.5.2009 zur Untermauerung des Vorliegens von angeblichen Sicherheitsmängeln auf Angriffe gegen externe Dienstleister und diverse Schwachstellen bei der PIN-Bearbeitung und -Übermittlung hingewiesen hat, handelt es sich im wesentlichen um Vortrag zu anderen Kartentypen anderer Emittenten, womit ein konkreter Bezug zum Sicherheitssystem der Beklagten und damit die Relevanz für das vorliegende Verfahren fehlt. Auch hier bleibt es wie im übrigen dabei, dass das Vorbringen des Klägers nicht über unbeachtliche, weil bloß theoretische bzw. abstrakte Möglichkeiten der Kenntniserlangung der PIN durch Dritte hinausgeht und nicht zur Erschütterung des zugunsten der Beklagten geführten Anscheinsbeweises genügt. Dass die streitgegenständlichen Sachverhalte in concreto auf diesen angeblichen Sicherheitsmängeln beruhen, hat der Kläger in diesem Kontext ebenso wenig substantiiert behauptet und unter Beweis gestellt wie bei den oben behandelten angeblichen Sicherheitslücken.
Die Kostenentscheidung beruht auf § 97 Abs. 1 ZPO. Die Entscheidung über die vorläufige Vollstreckbarkeit folgt aus §§ 708 Nr. 10, 711 ZPO. Die Revision war nicht zuzulassen, da der Rechtsstreit keine grundsätzliche Bedeutung hat und weder die Fortbildung des Rechts noch die Sicherung einer einheitlichen Rechtsprechung eine Entscheidung des Revisionsgerichts erfordert (§ 543 ZPO).
Datei