Kreditkartenzahlung – nicht autorisierte Zahlungsvorgänge – Haftung des Zahlungsdienstleisters

Können wir Ihnen helfen? Jetzt unverbindlich anfragen.

AG Freudenstadt, Az.: 5 C 374/13, Urteil vom 29.06.2016

1. Die Klage wird abgewiesen.

2. Der Kläger trägt die Kosten des Rechtsstreits.

3. Das Urteil ist vorläufig vollstreckbar ohne Sicherheitsleistung.

Der Klage kann die Vollstreckung durch Sicherheitsleistung oder Hinterlegung abwenden, wenn nicht die Beklagte vor der Vollstreckung Sicherheit in der gleichen Höhe geleistet hat.

Der Streitwert beträgt 3.971,87 €.

Tatbestand

Der Kläger ist Kunde bei der Beklagten.

Kreditkartenzahlung - nicht autorisierte Zahlungsvorgänge - Haftung des Zahlungsdienstleisters
Symbolfoto: asiandelight /Bigstock

Die Beklagte ist Emittentin von Mastercard-Kreditkarten und schließt mit Kreditkarteninhabern Kreditkartenverträge ab. Auf der Grundlage dieser Verträge gibt die Beklagte an ihre Kunden sogenannte Mastercards aus, mit denen im internationalen Mastercard-Kreditkartensystem weltweit unter anderem an institutseigenen oder institutsfremden Geldautomaten unter Einsatz der Kreditkarte nebst persönlicher Geheimzahl (PIN) Bargeld bezogen werden kann. Die Abwicklung der von der Beklagten abgeschlossenen Kreditkartenverträge und unter anderem die notwendigen Prüfungs-, Genehmigungs- und Abrechnungsleistungen im Zusammenhang mit Kreditkartentransaktionen erfolgen durch die …, dem Issuing Processing Unternehmen der Beklagten.

Zwischen den Parteien besteht – neben einem Girovertrag – ein solcher Kreditkarten vertrag, welcher aufgrund des Antrags des Klägers vom 05.01.1989 (Aktenseite 6) zustandekam. Er wurde ursprünglich von der E.-Deutschland Unternehmensbereich der G… Gesellschaft für Zahlungssysteme GmbH in F… am 05.01.1989 geschlossen und am 15.02.1989 von der Beklagten übernommen und fortgeführt.

Im Rahmen dieses Kreditkartenvertrages stellte die Beklagte dem Kläger eine Mastercard Kreditkarte nebst zugehöriger PIN zur Verfügung. Zum Kreditkartenvertrag wurde dem Kläger bei Vertragsbeginn ein monatlicher Verfügungsrahmen von 10.000,00 DM zur Verfügung gestellt; ab der Euro-Umstellung gilt ein entsprechender monatlicher Verfügungsrahmen von 5.112,92 €. Ein tägliches Verfügungslimit wurde dem Kläger nicht mitgeteilt. Für Geldautomatenabhebungen im Ausland war das Limit innerhalb von 29 Tagen auf 4.000,00 € festgelegt.

Am 22.11.2012 wurde die dem Kläger unter dem oben genannten Kreditkartenvertrag ausgehändigte Kreditkarte Nr. … an einem Geldautomaten in L… G… auf Teneriffa zum Bargeldbezug eingesetzt. Hierbei wurden Umsätze in Höhe von 4.023,00 € getätigt. Diese Bargeldauszahlungen stellte die Beklagte in die Mastercard-Abrechnung vom 26.11.2012 (Aktenseite 8) ein. Das Girokonto des Klägers wurde damit belastet.

Es handelte sich insgesamt um 13 Abhebungen von je 300,00 €, jeweils zusätzlich 6,00 € an Gebühren sowie einer einmaligen Abbuchung von 40,00 € mit 5,00 € Gebühren.

Der Kläger trägt vor, die von der Besagten an ihn ausgegebene Kreditkarte, mit der die Umsätze getätigt worden seien, sei ihm gegen 23:00 Uhr in L… G…. auf Teneriffa beim Gedränge in einem Linienbus zusammen mit seiner Geldbörse gestohlen worden. Er habe sich unmittelbar nach dem Diebstahl wieder zu seinem Hotel zurück begeben und nach Ankunft im Hotel die Kreditkarte sperren lassen, dies sei um circa 23:40 Uhr geschehen. Er habe sich zunächst an die … gewandt, welche ihm vorgeworfen habe, dass die Kreditkarte und die PIN des Klägers Dritten zugänglich gewesen sei. Dieses sei nicht richtig, denn der Kläger habe seine PIN-Nummer stets im Kopf gehabt und nicht schriftlich fixiert. Er habe im Urlaub auch einen neuen Geldbeutel gekauft, in dem er nur die Kreditkarte und eine Kopie seines Personalausweises und etwas Bargeld mit sich getragen habe. Nach Abzug der Mithaftung des Klägers in Höhe von 51,13 € habe die Beklagte insofern dem Kläger den durch die unbefugten Abhebungen entstandenen Schaden zu ersetzen.

Der Kläger beantragt:

Die Beklagte wird verurteilt, an den Kläger 3.971,87 € nebst Zinsen in Höhe von fünf Prozentpunkten über dem Basiszinssatz seit dem 13.09.2013 zu bezahlen.

Die Beklagte beantragt: Die Klage wird abgewiesen.

Die Beklagte trägt vor, dass die unstreitig mit der Mastercard des Klägers erfolgten Abhebungen nur unter Einsatz der zugehörigen korrekten PIN-Nummer des Klägers hätten erfolgen können. Insofern seien die Auszahlungen am Geldautomaten in Teneriffa entweder vom Kläger autorisiert worden, oder er habe eine grob fahrlässige Pflichtverletzung begangen, indem er die PIN-Nummer nicht sorgfältig genug vor dem Zugriff Dritter geschützt habe. Insofern stünde der Beklagten in jedem Falle ein Aufwendungsersatzanspruch oder ein Schadensersatzanspruch gegen den Kläger zu, welchen die Beklagte dem klägerischen Anspruch entgegenhalten könne. Dieses ergebe sich auch aus Nr. 17 der Mastercard-Kundenbedingungen in Verbindung mit dem Preis- und Leistungsverzeichnis der Beklagten.

Das Gericht hat Beweis erhoben durch Vernehmung der Zeugin … in der Sitzung vom 20.03.2014. Auf das Protokoll wird diesbezüglich verwiesen (Aktenseite 223 ff.).

Weiter hat das Gericht Beweis erhoben durch Einholung eines Untersuchungsberichtes des ersten Kriminalhauptkommissars … (Aktenseite 248 ff.). Weiter hat das Gericht Beweis erhoben durch Einholung eines Sachverständigengutachtens des Sachverständigen Dipl.-Ing. M…-G… vom 22.02.2016 (Aktenseite 409 ff.), welches dieser unter dem 21.04.2016 (Aktenseite 479 ff.) ergänzt hat.

Hinsichtlich des übrigen Parteivorbringens, welches Gegenstand der mündlichen Verhandlung war, wird auf die zwischen den Parteivertretern gewechselten Schriftsätze Bezug genommen.

Entscheidungsgründe

Die Klage ist zulässig aber nicht begründet, und war deshalb abzuweisen.

Dem Kläger steht weder ein Anspruch gegen die Beklagte aus § 675 u BGB wegen eines nicht autorisierten Zahlungsvorgangs noch aus einem anderen Rechtsgrund zu.

1. Der Kläger hat schlüssig vorgetragen, dass die von der Beklagten an ihn ausgegebene Kreditkarte am 22.11.2012 gegen 23:00 Uhr in L… G… auf Teneriffa entwendet worden sei. Die Einwendungen der Beklagten gegen die Schlüssigkeit des Vortrags greifen nicht durch, denn der Kläger hat insbesondere nach Erörterung in der mündlichen Verhandlung seine Angaben zum Zeitpunkt des behaupteten Diebstahls konkretisiert.

2. Die Beklagte hat schlüssig zu den gegen den klägerischen Anspruch von ihr erhobenen Einwendungen vorgetragen.

Zum einen hat die Beklagte schlüssig vorgetragen, die Zahlungsvorgänge seien entweder durch den Kläger autorisiert worden, so dass schon der Tatbestand der Haftung nach § 675 u BGB nicht erfüllt sei. Zum anderen hat sie schlüssig vorgetragen, dass für den Fall, dass der Zahlungsvorgang durch den Kläger nicht autorisiert sei, dieser eine grob fahrlässige Pflichtverletzung begangen habe, da er gegen die ihm nach § 675 I BGB in Verbindung mit den allgemeinen Geschäftsbedingungen der Besagten obliegende Verpflichtung verstoßen habe, die Kreditkarte und die PIN-Nummer vor dem Zugriff Dritter zu schützen. Die Beklagte hat in Bezug auf beide Einwendungen vorgetragen, dass die unstreitig mit der Mastercard des Klägers erfolgten Abhebungen nur unter Einsatz der zugehörigen korrekten PIN-Nummer des Klägers hätten erfolgen können.

3. Die Einwendungen der Beklagten greifen durch. Die Beklagte hat gemäß § 675 w S. 1 u. 2 BGB nachgewiesen, dass eine Authentifizierung erfolgt ist. Den dadurch hervorgerufenen Anscheinsbeweis (§ 675 w S. 3 BGB) konnte der Kläger nicht zur Überzeugung des Gerichts erschüttern.

Im Einzelnen:

Ist – wie hier – die Autorisierung eines Zahlungsvorgangs streitig, hat der Zahlungsdienstleister nach § 675 w S. 1 BGB zunächst die Authentifizierung sowie die ordnungsgemäße Aufzeichnung, Verbuchung und störungsfreie, keine Auffälligkeiten aufweisende technische Abwicklung des Zahlungsvorgangs nachzuweisen. Eine Authentifizierung ist nach § 675 w S. 2 BGB erfolgt, wenn der Zahlungsdienstleister die Nutzung des vereinbarten Zahlungsauthentifizierungsinstruments, einschließlich seiner personalisierten Sicherheitsmerkmale, mithilfe eines Verfahrens überprüft hat. Die Authentifizierung und die Aufzeichnung der Nutzung des Zahlungsauthentifizierungsinstruments einschließlich der Personalisierten Sicherheitsmerkmale reichen nicht notwendigerweise aus, den dem Zahlungsdienstleister – hier der Beklagten – obliegenden Nachweis einer Autorisierung des Zahlungsvorgangs zu führen. Hierbei steht § 675 w S. 3 BGB einer Anwendung des Anscheinsbeweises nicht entgegen, sondern stellt vielmehr besondere Anforderungen an dessen Ausgestaltung. Danach ist ein allgemein praktisch nicht zu überwindendes und im konkreten Einzelfall ordnungsgemäß angewendetes und fehlerfrei funktionierendes Sicherheitssystem Voraussetzung für die Anwendung der Grundsätze des Anscheinsbeweises.

Zur Erschütterung des Anscheinsbeweises genügt die Darlegung und gegebenenfalls der Nachweis aller und damit auch außerhalb des technischen Zahlungsvorgangs liegender Tatsachen, die die ernsthafte Möglichkeit eines Missbrauchs nahe legen. Danach muss der Zahlungsdienstnutzer zur Erschütterung des Anscheinsbeweises keinen konkreten und erfolgreichen Angriff gegen das Authentifizierungsinstrument beweisen, sondern nur solche Umstände, die gegen die Autorisierung durch ihn und für ein missbräuchliches Eingreifen eines Dritten sprechen. Diese Anforderung kann der Zahler auch dadurch erfüllen, dass er außerhalb des Sicherheitssystems des Zahlungsdienstleisters legende Indizien, die für einen nicht autorisierten Zahlungsvorgang sprechen, substantiiert darlegt und bei Bestreiten nachweist (BGH, Urteil vom 26.01.2016. Aktenzeichen XI ZR 91/14).

a) Die Beklagte hat schlüssig vorgetragen, dass sie die Nutzung eines bestimmten Zahlungsauthentifizierungsinstruments einschließlich seiner personalisierten Sicherheitsmerkmale mithilfe eines Verfahrens überprüft hat. Sie hat hierzu eine Umsatzaufstellung vom 22.11.2012 (Anlage KE 4, Aktenseite 98) vorgelegt, sowie die eidesstattliche Versicherung der Mitarbeiterin … der … (Issuing Processing Unternehmen der Beklagten, Anlage KE 5, Aktenseite 100 ff.). Darin bestätigt die Mitarbeiterin der …, dass sich aus der Transaktionsdokumentation ergibt, dass die streitigen Geldautomaten-Barabhebungen unter Einsatz der Original-Kreditkarte des Klägern nebst sofortiger korrekter Eingabe der PIN (ohne Fehlversuche) erfolgte, und dass die Zahlungsvorgänge ordnungsgemäß ausgeführt, aufgezeichnet und verbucht wurden und durch keinerlei Störung beeinträchtigt wurden.

b) Nachdem der Kläger dies bestritten hat, war Beweis zu erheben.

Das Gericht hat Beweis erhoben durch Einholung eines Untersuchungsberichts des Ersten Kriminalhauptkommissars … . Dieser hat ausgeführt, dass das Auslesen des Magnetstreifens einer Kreditkarte nicht möglich sei, da die PIN auf dem Magnetstreifen nicht gespeichert ist. Ergänzend hat er ausgeführt, dass das Auslesen der PIN aus dem EMV-Chip ebenfalls nicht möglich sei. Da der Untersuchungsbericht sich nicht erschöpfend mit den Beweisfragen und Problematiken des vorliegenden Falls auseinandergesetzt hat, wurde ein Sachverständigengutachten in Auftrag gegeben, welches unter dem 19.02.2016 erstattet wurde. Hierbei hat der Sachverständige festgestellt, dass nach den Unterlagen der Beklagten eine Online-PIN-Prüfung mit anschließender Transaktionsdurchführung mittels EMV-Chip verwendet wurde. Er hat weiter festgestellt, dass ausweislich der Protokolle der Beklagten überprüft wurde, dass bei jeder Transaktion eine gültige PIN eingegeben wurde. Schließlich hat er ausgeführt, dass keine Mittel und Wege bekannt sind, wie ein Geldautomat – nach den Ausführungen des Sachverständigen ist es dabei gleichgültig, um was für ein Modell des Geldautomaten es sich handelt – so manipuliert werden kann, dass eine beliebige PIN akzeptiert wird und danach eine Transaktion über einen EMV-Chip bei der Clearingstelle genehmigt wird.

Die Auffälligkeit bezüglich der ID in den Protokollen dar Beklagten sei damit zu erklären, dass an dem betreffenden Ort zwei Automaten aufgestellt seien, die entweder von unterschiedlichen Betreibern oder vom gleichen Betreiber mit unterschiedlicher Bankanbindung betrieben würden.

Grundsätzlich sei es zwar denkbar, dass Geldautomaten so manipuliert werden könnten, dass sie generell jede PIN akzeptierten. Eine anschließende Transaktion würde jedoch nur dann genehmigt, wenn die Clearingstelle diese (nicht erfolgte) Prüfung ohne weiteren Check akzeptiere. Dies sei jedoch nach bisherigen Erkenntnissen bei deutschen Clearingstellen nicht der Fall. Zudem würde diese Tatsache im Protokoll der Bank nicht als „PIN korrekt” auftauchen. Jede Transaktion sei bei der Clearingstelle autorisiert worden und hierbei seien jeweils unterschiedliche Approvalnummern verwendet worden. Das heißt, jede Transaktion sei einzeln bearbeitet worden und als positiv identifiziert worden. Wäre ein Automat entsprechend manipuliert worden, dass keine Onlineprüfung hätte erfolgen können, hätte die Tatsache der Offlineprüfung ebenfalls im Protokoll erkennbar sein müssen. Generell sei es nicht möglich, die PIN aus der Karte auszulesen.

Auch die Tatsache, dass die Kreditkarte des Klägers bereits zweimal ausgetauscht worden sei, sei kein Indiz dafür, das das PIN-System an sich unsicher sei. Denn nach dem (nicht bestrittenen Vortrag) der Beklagten kam bei den den Tausch auslösenden Transaktionen keine PIN zum Einsatz.

In seinem Gutachten und seinen ergänzenden Ausführungen hat der Sachverständige dargelegt, dass diese Ausführungen unabhängig von dem Modell des Geldautomaten (welches vorliegend nicht bekannt war) gelten.

Die Ausführungen des Sachverständigen sind erschöpfend, widerspruchsfrei und nachvollziehbar. Das Gericht schließt sich diesen an und macht sich diese zu eigen. Insofern ist davon auszugehen, dass die Beklagte ein allgemein praktisch nicht zu überwindendes und im konkreten Einzelfall ordnungsgemäß angewendetes und fehlerfrei funktionierendes Sicherheitssystem halte.

c) Der Kläger konnte den durch die Beklagte geführten Anscheinsbeweis nicht erschüttern. Ihm ist weder der Nachweis gelungen, dass das Sicherheitssystem der Beklagten im konkreten Fall manipuliert wurde, noch ist ihm der Nachweis gelungen, dass außerhalb des technischen Zahlungsvorgangs ein Missbrauch durch unbefugtes Ausspähen der PIN durch Dritte beziehungweise durch unbefugte Generierung der PIN durch Dritte erfolgt wäre.

Der Kläger hat zum einen vorgetragen, dass die Geldabhebungen ohne die korrekte/befugte PIN-Autorisierung erfolgt seien beziehungsweise dass nach Einschieben seiner Kreditkarte in das Fach des Geldautomaten dort unmittelbar die persönliche Geheimzahl aus der Karte herausgelesen werden konnte, denn er habe seine PIN auswendig gelernt und nur zu Hause im Tresor verschlossen gehabt. Dies hat die Beklagte bestritten.

Das Gericht hat Beweis erhoben durch Vernehmung der Zeugin … . Die Vernehmung der Zeugin … hat zu der Behauptung, der Kläger habe die PIN-Nummer zum Zeitpunkt des behaupteten Diebstahls der Kreditkarte nicht mit sich geführt, nichts ergeben. Denn die Zeugin konnte hierüber keine Aussage machen.

Der Sachverständige hat in seinem Gutachten vom 19.02.2016 ausgeführt, dass es zwar generell eine Möglichkeit gebe, dass ein Automat Geld von einem bestimmten Konto bei Vorlage einer entsprechenden, nicht notwendigerweise originalen Karte ohne gültige PIN auszahlen könne. Dieses sei für deutsche Banken aber nicht möglich, da deutsche Banken die vorgesehene technische Prüfung vollständig durchführten. Auch das Auslesen der PIN aus einer Karte sei nicht möglich. Denn die PIN sei weder auf dem Magnetstreifen noch im Chip gespeichert. Es sei zwar grundsätzlich denkbar, dass Geldautomaten so manipuliert würden, dass sie generell jede PIN akzeptierten. Eine anschließende Transaktion werde jedoch nur dann genehmigt, wenn die Clearingstelle diese (nicht erfolgte) Prüfung ohne weiteren Check akzeptiere. Dies sei jedoch nach den bisherigen Kenntnissen bei deutschen Clearingstellen nicht der Fall. Zudem würde diese Tatsache im Protokoll der Bank nicht als „PIN korrekt“ auftauchen. Im vorliegenden Fall sei aber jede Transaktion einzeln bearbeitet und als positiv identifiziert worden. Generell dürften Geldautomaten ausschließlich eine Online-Transaktion mit Online-PIN-Prüfung vornehmen. Sofern eine Offlineprüfung erfolge, sei dies auch im Protokoll zu erkennen. Dies sei vorliegend nicht der Fall.

Dass die richtige PIN erraten werde, sei statistisch gesehen immer noch nicht innerhalb der erlaubten Anzahl Fehlversuche möglich.

Der Sachverständige hat sich auch mit der vom Kläger im Schriftsatz des Klägervertreters vom 19.05.2016 vorgetragenen Problematik der Schadsoftware „MC. G.“ befasst und hierzu ausgeführt, dass diese Methode, nach der der Schutz des Krypto-Chip und der PIN ausgehebelt werden kann und dem System vorgetäuscht werde, dass eine korrekte PIN vorliege, nicht dazu geeignet sei, die Übertragungsprotokolle und Verfahren eines deutschen Geldinstituts oder seiner Clearingdienststelle zu kompromittieren. Denn der Angriff nutze Tatsache aus, dass einige Banken die Transaktionskontrolle nicht ausreichend genau, beziehungsweise gar nicht durchführten. Sie verzichteten hierbei auf die Auswertung des kryptografisch gesicherten Teils der Transaktion. Das heißt, es werde nicht geprüft, inwieweit die Transaktionsanfrage auch tatsächlich von der Karte selber stamme. Auch werde hierbei die PIN nicht geprüft, da diese nur im kryptografischen Teil übertragen wird. Dieses sei aber eine falsche Implementation der Clearing-Stellen-Bank und nicht des Kartensystems. Deutsche Banken würden diese Schwachstelle nicht aufweisen.

Auch die kurzen Transaktionszeiten seien kein Indiz für eine Automatenmanipulation.

Die Ausführungen des Sachverständigen sind auch bezüglich der Manipulationsmöglichkeiten im konkreten Fall erschöpfend, widerspruchsfrei und nachvollziehbar. Das Gericht schließt sich auch hier den Ausführungen des Sachverständigen an und macht sich diese zu eigen. Danach konnte der Kläger nicht den Anscheinsbeweis erschüttern, da ihm nicht der Beweis gelungen ist, dass die Geldabhebungen ohne eine korrekte/befugte PIN-Autorisierung erfolgt sind, beziehungsweise, dass unbefugte Dritte aus der Kreditkarte die persönliche PIN-Zahl des Klägers haben auslesen können.

Der alternative Vortrag des Klägers, unbefugte Dritte hätten durch Skimming die Kenntnis seiner PIN-Nummer erlangt, führte auch nicht zur Erschütterung des Anscheinsbeweises. Zwar hat der Kläger schlüssig vorgetragen, er habe die PIN-Nummer zum Zeitpunkt des behaupteten Diebstahls der Kreditkarte nicht mit sich geführt. Diese habe er auswendig gelernt und im Tresor zuhause verschlossen gehabt. Der weitere Vortrag des Klägers, dass bei einem Bezahlvorgang mittels Skimming seine PIN abgegriffen worden sei und so in die Hände Unbefugter gelangt sei (Schriftsatz des Klägervertreters vom 19.05.2016) widerspricht aber dem klägerischen Vortrag im Schriftsatz vom 29.11.2013, nachdem der Kläger noch nie an einem Geldautomaten Bargeld abgehoben hat und auch der Einlassung des Klägers in der mündlichen Verhandlung vom 16.01.2014, in der dieser angegeben hat, er habe mit der PIN-Nummer noch nie Geld abgehoben, sondern immer nur mit Unterschrift bezahlt. Aufgrund dieser widersprüchlichen Einlassungen des Klägers erscheint sein Vertrag, unbefugte Dritte hätten die PIN-Nummer unbefugt ausgespäht, widersprüchlich und insofern unschlüssig.

Damit ist dem Kläger die Erschütterung des Anscheinsbeweises nicht gelungen, da er die Umstände, die gegen die Autorisierung durch ihn und für ein missbräuchliches Eingreifen eines Dritten sprechen, nicht beweisen konnte.

4. Die Entscheidung über die Kosten beruht auf § 91 Abs. 1 ZPO, die Entscheidung über die vorläufige Vollstreckbarkeit hat ihre Grundlage in den §§ 708 Nr. 11, 711 ZPO.