Die Gerichtsverfahren zwischen Bankkunden und Kreditinstituten um die Sicherheit von EC-Karten nimmt zu. Jetzt droht den Banken ein wichtiger Trumpf in diesen Auseinandersetzungen verloren zu gehen. Konnten sie sich bisher stets mit Hinweis auf ihre Geheimhaltungsinteressen gegen eine Offenlegung ihrer Sicherheitssysteme wehren, könnten sie nun nach einem Urteil des Bundsgerichtshofs (BGH) genau dazu verpflichtet sein.
HB KARLSRUHE. Zwar liegt die Entscheidung noch nicht in schriftlicher Form vor. In der mündlichen Erläuterung machte jedoch der XI. Senat klar: die Banken müssen möglicherweise ihre Systeme Sachverständigen zugänglich machen. "Die kartenausgebende Kreditinstitute können verpflichtet sein, in Prozessen dieser Art im Rahmen berechtigter Geheimhaltungsinteressen nähere Angaben über die von ihnen getroffenen Sicherheitsvorkehrungen zu machen", so die Richter,, "um gegebenenfalls auch deren Überprüfung durch Sachverständige zu ermöglichen."
Verbraucherschützer sind deshalb auch verhalten zufrieden mit der BGH-Entscheidung. Ist doch endlich eine Lanze gebrochen in einem seit Jahren währenden Kampf, der immer die gleichen Grundzüge trägt: Wie im Urteilsfall auch wird das Konto eines Kunden mittels Persönlicher Identifikationsnummer (PIN) und EC-Karte abgeräumt und die Bank weigert sich mit Hinweis auf ihre sichere Software, das Geld zu erstatten.
Sachverständigengutachten unterstützten zwar die Behauptungen der Institute. "Dennoch müssen die Gutachter nach den Angaben der Banken arbeiten, Einblicke in die Systeme hat bisher keiner von ihnen bekommen," moniert der Finanzjurist der Verbraucherzentrale Nordrhein-Westfalen, Hartmut Strube. Insofern ist das Urteil des BGH als Erfolg zu werten, der den Zentralen bei weiteren Rechtsstreiten helfen kann.
Wie weit die Offenlegungspflicht geht, hängt nun von der konkreten Begründung der BGH-Richter ab. Man müsse das schriftliche Urteil abwarten, sagen Prozessbeteiligte. Der BGH schränkte jedoch bereits in der Verhandlung ein, dass dies alles nur im Rahmen der Geheimhaltungsinteressen geschehen müsse. Und wann dieser Fall eintritt und wie weit die Institute ihre Sicherheitsvorkehrungen dann überhaupt präsentieren müssen, darüber herrscht derzeit noch Unsicherheit. Einen Hinweis könnte eine Bemerkung des Vorsitzenden Richters Gerd Nobbe in der mündlichen Verhandlung geben: "Der Kunde darf das nicht einfach ins Blaue hinein behaupten, sondern muss konkrete Anhaltspunkte für eine Lücke im System aufzeigen."
Doch wie ein Verbraucher dies als Außenstehender können soll, ist ein weiteres Geheimnis. Hinzu kommt, dass der BGH zugleich den so genannten Anscheinsbeweis bestätigt hat. Angesichts der Systemsicherheit spreche die Lebenserfahrung dafür, dass der Kunde Fehler gemacht haben müsse, argumentierten die Gerichte bisher zum Großteil. Konnte der Verbraucher dann nicht das Gegenteil beweisen, gewann das Institut den Rechtsstreit.
Dieser für Kunden äußerst ungünstige Beweis gilt also mit höchstrichterlichem Segen erst einmal weiter fort. Und das hat nicht nur Konsequenzen für EC-Karten-Besitzer, sondern auch für Benutzer des Online-Bankings. Schließlich gelten auch diese Systeme als sicher.
Und tatsächlich liegen den Verbraucherzentralen nach Angaben Strubes praktisch keine Beschwerden über Missbrauch mit Online-Banking vor. Dennoch sieht auch er potenzielle Unsicherheitsfaktoren. So würden PIN und TAN unverschlüsselt in den PC eingegeben und erst auf dem Datenweg zur Bank verschlüsselt, erklärt er. "Das kann Probleme schaffen, etwa wenn beide Geheimzahlen auf diesem Wege fehlgeleitet werden."
Wie beim Umgang mit EC-Karten ist daher stets besondere Vorsicht angesagt. Denn absolute Sicherheit gibt es eben doch nicht. Bei Zahlungskarten raten Verbraucherschützer daher zu einem besonnenen Umgang. "Man sollte sie eigentlich nur mit sich tragen, wenn man sie auch benutzen will," rät Strube.
Zum Online-Banking haben die Institute selber einen Katalog herausgebracht, wie sich potenzieller Missbrauch vermeiden lässt. So raten sie beispielsweise dazu, die Internetadresse der Bank nicht abzuspeichern, sondern stets neu einzugeben, um nicht gefälschten Seiten aufzusitzen. Die beiden Geheimzahlen sollten nur auf der geschützten Homepage der Bank eingetippt werden. Sie ist erkennbar an der Adressenzeile des Browsers, die mit "https" beginnt. Es ist deshalb wichtig, die Adresse immer genau zu überprüfen und bei der kleinsten Abweichung mißtrauisch zu werden.
Sensible Daten wie PIN, TAN (Transaktionsnummer) oder Kreditkartennummern gehören nicht auf die Festplatte gespeichert. Spezielle Programme, die per auf den Rechner gelangen, könnten die Zahlen sonst ausspionieren. Ein gutes Passwort besteht aus sechs bis acht Stellen mit einer Mischung aus Groß-und Kleinbuchstaben sowie Ziffern und Sonderzeichen. Eigennamen oder bekannte Begriffe sollten ebenso gemieden werden wie Wiederholungen einzelner Zeichen.
Vorsicht ist zudem bei mails angeraten, die angeblich von der Hausbank kommen: Denn derzeit schicken Hacker den Benutzern von Online-Banking E-mails, die das den Kunden auffordert, die vertraulichen Zugangsdaten auf der Webseite der Bank zu aktualisieren. Der angegebene Link führt jedoch nicht zur Homepage der Bank, sondern zu einer gefälschten Webseite der Hacker, die so an die Geheimzahlen gelangen.
Schon im eigenen Interesse sollte man diese Ratschläge befolgen. Denn kommt es wegen eines leer geräumten Online-Kontos zum Verfahren, heißt es schnell: Der Benutzer muss wohl irgendetwas falsch gemacht haben. Wer sein Geld dennoch will, muss erst einmal das Gegenteil beweisen können. Und ob die Institute im Bedarfsfall auch hier die Systeme zugänglich machen müssen, steht noch dahin.
