Banken tauschen mehrere tausend Kreditkarten aus

Ratgeber - Bankrecht Mehr zum Thema: Bankrecht, Kreditkartenbetrug, Kreditkartenaustausch, Kreditkarte, Daten

Verdacht auf Datenleck sensibler Kartendaten

Verschiedene Banken, darunter die Deutsche Postbank AG, die Commerzbank AG, die comdirect bank AG, die Landesbank Berlin AG, die Unicredit Bank AG und diverse Volksbanken, haben vorsorglich mehr als 100.000 Kreditkarten ihrer Kunden ausgetauscht. Das wird übereinstimmend von mehreren Medienberichten, darunter Heise Online, n-tv und Spiegel Online dargestellt. Die Befürchtung der Emittenten von Zahlungskarten ist, dass die auf den Zahlungskarten gespeicherten Daten in erheblichem Ausmaß abgegriffen worden sein könnten. Das Außergewöhnliche an dem Fall wäre das Ausmaß des Umtausches.

Worum geht es?

Um einen Kreditkartenbetrug vorzubeugen, haben Banken mehrere tausend Kreditkarten vorsorglich ausgetauscht. Das in Frankreich ansässige und weltweit im Bereich des Zahlungsverkehrs- und der Transaktionsdienste tätige Unternehmen Worldline S.A. gab hierzu im Januar 2016 eine Pressemitteilung mit folgendem Inhalt bekannt: Es habe „an einer derzeit noch nicht bekannten Stelle auf der Akzeptanzseite vermutlich ein Datenleck dazu geführt, dass die Betrugsabteilung von Worldline im Rahmen des kontinuierlichen proaktiven Monitorings seit Anfang Januar 2016 vermehrt betrügerische Umsätze“ mit Zahlungskarten festgestellt hat. Daraufhin habe man den Banken die Empfehlung ausgesprochen, „die betroffenen Karten umgehend auszutauschen“.

Was haben die Banken getan?

Nachdem der Kreditkartenanbieter Worldline S.A. vor der Gefahr eines Datenlecks gewarnt hatte, von dem laut einem Artikel im „Focus“ die Kreditkarten von Visa und Mastercard betroffen waren, begann die Umtauschaktion der Kreditkarten. Die Banken informierten ihre Kunden und begannen präventiv mit dem Tausch der Kreditkarten.

Wurden zum ersten Mal so viele Karten seitens der Bank ausgetauscht?

Großangelegte Umtauschaktionen gab es in der Vergangenheit durchaus öfter. Bereits im Jahre 2009 wurden bei einem Dienstleister in Spanien auf Zahlungskarten gespeicherte Daten von Visa und MasterCard ausspioniert, worauf seitens der Banken der präventive Austausch der Karten erfolgte. Da sich Betrüger immer wieder neue Maschen einfallen lassen, um an Bankzugangsdaten zu gelangen, kommt ein solcher Austausch von Kreditkarten häufiger vor. Außergewöhnlich ist jedoch die hohe Anzahl der diesmal ausgetauschten Kreditkarten. Laut einem Artikel im Handelsblatt sprach allein die Deutsche Postbank AG von 55.000 Fällen, in denen allein bei dieser Bank die Zahlungskarten ausgetauscht werden mussten. Die Commerzbank AG soll den Austausch von 15.000 Karten vorgenommen haben. Deren Tochterunternehmen Comdirect nahm 20.000 Austausche vor.

Betrifft die Umtauschaktion nur Kreditkarten?

Nach den derzeitigen Informationen wurde der Austausch von den Banken nur bei Kreditkarten vorgenommen. Ob möglicherweise auch EC-Karten von dem Vorfall betroffen waren und ausgetauscht werden mussten, ist nichts bekannt.

Haftet die Bank für die Schäden beim Abgreifen der Bankzugangsdaten?

Gelingt es Tätern, Bankzugangsdaten abzugreifen und Verfügungen im fremden Namen vorzunehmen, so stellt sich die Frage, wer für den Schaden haftet. Laut manchen Presseberichten hafte für solche Schäden stets die Bank, was grundsätzlich nur mit Einschränkungen richtig ist. Die Bank bewirkt eine Zahlungsverfügung nämlich aus ihrem eigenen Vermögen. Dabei entsteht jedoch ein Aufwendungsersatz gegen den Auftraggeber und Bankkunden, den die Bank dem Bankkunden als Soll in den Kontokorrent bucht. Hat der Bankkunde die Zahlung jedoch nicht in Auftrag gegeben, entfällt der Aufwendungsersatzanspruch der Bank, wenn der Bankkunde die Bank unverzüglich über die Nichtautorisierung unterrichtet. Damit haftet im Schadensfall grundsätzlich tatsächlich die Bank.

Doch von dieser Haftungsregelung gibt es unter Umständen Ausnahmen. Beruhen nicht autorisierte Zahlungsvorgänge auf der Nutzung eines verlorengegangenen, gestohlenen oder sonst abhanden gekommenen Zahlungsauthentifizierungsinstruments, so kann der Zahlungsdienstleister des Zahlers von diesem den Ersatz des hierdurch entstandenen Schadens bis zu einem Betrag von 150 Euro verlangen. Dies ist der so genannte Eigenanteil des Bankkunden, der aber nur in den Fällen greift, wenn die Tatbestände eines verlorengegangenen, gestohlenen oder sonst abhanden gekommenen Zahlungsauthentifizierungsinstruments vorliegen. Ferner kann die Bank den vollen Schadensbetrag auch bei einer nichtautorisierten Zahlungsanweisung dann vom Bankkunden fordern, wenn dieser mit seinem Verhalten ein gewisses Maß an Sorgfalt nicht eingehalten hat, um solche Schäden zu verhindern. Maßstab hierfür ist die grobe Fahrlässigkeit.

Ist für das Abgreifen von Bankdaten allein ein Sicherheitsleck beim Systemanbieter ursächlich, wird die Bank den Bankkunden keine Sorgfaltswidrigkeit nachweisen können. Vielmehr muss sie sich selbst das Sicherheitsleck ihres Dienstleisters zurechnen lassen.