Datendiebstahl bei Kreditkarten: wer haftet für die Schäden?

Mehr zum Thema:

Bankrecht Rubrik, Kreditkarten, Datendiebstahl

0 von 5 Sterne
Bewerten mit: 5 Sterne 4 Sterne 3 Sterne 2 Sterne 1 Stern
0

Nun ist es wieder so weit: die Kreditkartenorganisationen Mastercard und Visa, die an deutsche Kunden rund 24,7 Millionen Kreditkarten über Banken ausgegeben haben, haben einen Rückruf von Kreditkarten ausgelöst, weil bei einem spanischen Dienstleister Kreditkartendaten von Kunden abhanden gekommen sein sollen. Dabei ist dieser Vorgang allenfalls im Hinblick auf die Größenordnung der jetzigen Rückrufaktion etwas substantiell Neues. Daten-Lecks bei den Kreditkarten sind dagegen alles andere als neu. Bereits Ende 2008 berichtete die Presse von einem anonymen Informanten, der der Frankfurter Rundschau Kreditkartenabrechnungen von zehntausenden Kunden der Landesbank Berlin samt Kredit-Kartennummern, Namen und Adressen der Inhaber per Post zugespielt hatte. Laut einem Lagebericht des Bundeskriminalamtes zur IuK-Kriminalität wurde bereits im Jahre 2008 in den Bereichen des Ausspähens und Abfangens von Daten eine Steigerung von 60% der Taten im Vergleich zum Vorjahr und im Bereich der Datenfälschung und Täuschung bei der Datenverarbeitung eine Steigerung von 30% verzeichnet.

Warum kommt es überhaupt zu Datenpannen?

Markus Timm
seit 2004 bei
123recht.net
Rechtsanwalt
Fachanwalt für Informationstechnologierecht
Friedrich-Ebert-Straße 33
14469 Potsdam
Tel: +49 331 281 290 060
Web: www.digitales-recht.com
E-Mail:
Vertragsrecht, allgemein, Datenschutzrecht, Gewerblicher Rechtsschutz

Bei jedem Bezahlvorgang mit einer Kreditkarte ist eine Vielzahl von unterschiedlichen Unternehmen beteiligt. Kauft der Kunde im Einzelhandel ein, arbeitet der Händler mit einem Dienstleister zusammen, an den der Händler die Transaktionsdaten schickt und der sich zugleich um die Betreuung der Bezahlterminals kümmert. Im Fachjargon nennt man sie Acquirer. Diese Unternehmen leiten die Daten dann an das Netzwerk der Kreditkartenorganisationen weiter. Daneben gibt es die Betreuer der Prozessoren, über die die Zahlungen abgewickelt werden und von denen die kartenausgebenden Banken wiederum die Abrechnungen bekommen. Die führenden Firmen heißen etwa AtosWorldline, Bayern-Card oder First Data. Die Auslagerung der Verarbeitung von Bankdaten an externe Firmen ist eine Achillesferse des Datenverlustes, weil damit ein Kontrollverlust einhergeht. Rechtlich bleibt die Bank aber in der Verantwortung und haftet für die Fehler von externen Dienstleistern.

Datenleck liegt nicht immer bei externen Dienstleistern

Es ist aber keinesfalls zwingend, dass bei einer unberechtigten Kartenverfügung, den man auch als nicht autorisierten Zahlungsvorgang bezeichnet, ein Datenleck bei einem externen Dienstleister der Banken oder des Einzelhandels aufgetreten sein muss; zumal der betroffene Karteninhaber dies auch kaum beweisen können wird. Ebenso so gut ist es möglich, dass die Täter die Daten durch raffinierte technische Tricks abgefangen haben.

Wie funktioniert das?

Neben den älteren Tricks mit vorgebauten Lesegeräten und versteckten Kameras am Geldautomaten, gibt es die Variante des Abfangens der Daten direkt in den POS-Terminals (Skimming), also den bei Händlern vorhandenen Bezahlterminals, an denen der Kunde gerade mit seiner EC- oder Kreditkarte bezahlt. In den Bezahl-Terminals an den Tankstellen, im Supermarkt oder an anderen Orten können nämlich kleine Chips auf den Kunden lauern, die während des Bezahlvorganges die personenbezogenen Daten abgreifen und an die Täter übermitteln. Dies funktioniert immer dann, wenn während des Bezahlvorganges eine Datenverbindung zwischen dem EC-Karten-Terminal und der kontoführenden Bank aufgebaut wird; etwa um eine Freigabe bzw. eine Legitimation bezüglich der beabsichtigten Kontoverfügung einzuholen. Die so gewonnenen Daten werden auf Kartenrohlinge übertragen, also auf gefälschte Karten. Mit diesen werden dann, vornehmlich aus dem Ausland, missbräuchliche Verfügungen getätigt.

Wer haftet nun für den Schaden?

Seit dem 31.10.2009 gilt im Bürgerlichen Gesetzbuch eine neue Rechtslage zu diesen Schadensfällen. Hat ein Bankkunde eine Kartenverfügung nicht aufgegeben, führt dies zur Annahme eines nicht autorisierten Zahlungsvorganges. Informiert der Bankkunde die Bank umgehend nach der Kenntniserlangung über den erfolgten Angriff kommt ihm ein Erstattungsanspruch gemäß § 675 u BGB zugute. Entscheidend ist es deshalb im Streitfall, dass der Kunde seine Kreditkartenabrechnungen regelmäßig kontrolliert. Sonst könnte die Bank einwenden, dass der Kunde sich nicht rechtzeitig gemeldet habe.

Ist die Bank nicht versichert?

Im Einzelfall ist die Bank tatsächlich versichert. Kann beispielsweise der Nachweis erbracht werden, dass ein Missbrauch, etwa an einem Bezahl-Terminal, vorlag, könnte der von einigen Banken und Sparkassen eingerichteten „Debit-Schadenspool" angerufen werden, ein Fonds der die durch den Einsatz von gefälschten und verfälschten Debitkarten entstandenen Schäden erstatten möchte.

Muss ich mich trotzdem mit einem Eigenanteil beteiligen?

Die Frage stellt sich natürlich nur dann, wenn die Bank Ihnen gegenüber einen solchen Eigenanteil geltend macht. Tatsächlich gibt es in der seit dem 31.10.2009 neuen Regelung des § 675 v Abs. 1 Satz 1 BGB eine Regelung, wonach die Bank vom Bankkunden auch ohne ein Verschulden des Kunden einen Eigenanteil in Höhe von maximal 150 € verlangen kann. Allerdings dürfte diese Regelung nicht anzuwenden sein, solange die Kartendaten durch Fälle des Datendiebstahls abhanden kommen, deren Verursachung irgendwo auf externe Dienstleistern des Einzelhandels oder der Bank zurückgeht oder in eingebauten Chips in den Bezahl-Terminals zu suchen ist. Hintergrund ist, dass § 675 v Abs. 1 Satz 1 BGB auf die sog. Sepa-Richtlinie zurückgeht und dort heißt es in den Erwägungsgründen recht eindeutig: durch die Sepa-Richtlinie soll die „Verantwortung der Zahlungsdienstleister für die technische Sicherheit" nicht berührt werden.

Kann man mir im Einzelfall auch den vollen Schaden auferlegen?

Die Haftung für den vollen Schaden, d.h. eine noch über den auf 150 € begrenzten Eigenanteil hinausgehende Haftung, ist eine Ausnahme von dem Grundsatz, dass der Bankkunde nicht haftet. Eine solche Haftung käme gemäß § 675 v Abs. 2 BGB nur dann in Betracht, wenn der Bankkunde den Schaden herbeigeführt hat, indem er in betrügerischer Absicht gehandelt oder eine seiner Pflichten wenigstens vorsätzlich oder grob fahrlässig verletzt hat. Für diesen Vorwurf ist die kartenausgebende Bank allerdings darlegungs- und beweisbelastet.

Kanzlei Timm
Wirtschaft- und IT-Recht
Friedrich-Ebert-Straße 33
14469 Potsdam

Fon +49 (0)331 281290060
Fax +49 (0)331 281290069

E-Mail info@it-law.net

USt-ID: DE 301355733
Sie haben Fragen? Nehmen Sie gleich Kontakt auf.
Rechtsanwalt
Markus Timm
Fachanwalt für Informationstechnologierecht
Potsdam
Guten Tag Herr Timm,
ich habe Ihren Artikel " Datendiebstahl bei Kreditkarten: wer haftet für die Schäden?" gelesen und würde darüber gerne mit Ihnen sprechen.
Kontakt aufnehmen
Leserkommentare
von UlrS am 24.11.2009 18:32:49# 1
Super Beitrag, informativ & spannend!
    
Ihr Kommentar zum Thema