OLG Frankfurt a.M. – PIN-Verschlüsselungssystem bei Geldautomaten ist sicher


Das Oberlandesgericht Frankfurt am Main hat in einer Entscheidung vom 30.1.2008 die gegen eine Bank gerichtete Klage einer Verbraucherschutzzentrale auch in zweiter Instanz abgewiesen. Nach einer Beweisaufnahme sah das Gericht keine Anhaltspunkte dafür, dass Sicherheitsmängel bei dem von der beklagten Bank in der Zeit von Dezember 1999 bis Februar 2003 verwandten Verschlüsselungssystem bestanden.

Bei dem System handelte es sich um einen Triple-DES-Schlüssel, bestehend aus 128 Bit. Es könne praktisch ausgeschlossen werden, dass Kriminelle den kryptographischen Schlüssel geknackt hätten.

Geklagt hatte eine Verbraucherschutzzentrale, die sich die Ansprüche von 12 Kunden der beklagten Bank hatte abtreten lassen, die allesamt behaupten, Dritte hätten ihre gestohlene PIN-Karte dazu missbraucht, unberechtigte Bargeldabhebungen vorzunehmen. Die Bank hatte sich darauf berufen, die Kunden hätten gegen ihre Pflicht verstoßen, die Karten mit besonderer Sorgfalt aufzubewahren und dafür Sorge zu tragen, dass kein unbefugter Dritter Kenntnis von der PIN erhalte.

Nachdem die Klage schon in der ersten Instanz ohne Erfolg geblieben war, wies nun auch das Oberlandesgericht die Berufung der Verbraucherschutzzentrale zurück.

Es lehnte sich dabei an eine Entscheidung des BGH vom 05.10.2004 (Az. XI ZR 210/03) an, wonach der so genannte Beweis des ersten Anscheins dafür spreche, dass der Karteninhaber die PIN auf der EC-Karte notiert oder gemeinsam mit dieser verwahrt habe, wenn zeitnah nach dem Diebstahl der Karte und Eingabe der PIN an Geldausgabeautomaten Bargeld abgehoben werde. Um diesen zugunsten der Bank wirkenden Anscheinsbeweis zu entkräften, müsse der Karteninhaber einen atypischen Verlauf beweisen, d.h. er müsse darlegen, dass er nicht zur missbräuchlichen Verwendung der Karte beigetragen habe. Ein solcher Fall könne dann vorliegen, wenn ein Dritter das PIN-System „knacken“ könne. Von solchen Sicherheitsmängeln könne bei dem hier untersuchten System aber nicht ausgegangen werden, wie das Oberlandesgericht nach Einholung eines Sachverständigengutachtens des Bundesamtes für Sicherheit in der Informationstechnik (BSI) feststellte.

Das Gericht lehnte weitere Beweiserhebungen ab, die die Verbraucherschutzzentrale zur Möglichkeit von anderen Manipulationsmöglichkeiten beantragte, z.B. zur Frage der Verwendung von auf der Karte gespeicherten Daten zur PIN-Verfikation. Das Gericht hat die Revision nicht zugelassen.

OLG Frankfurt a. M., Urteil vom 30.1.2008, AZ: 23 U 38/05
Entscheidung in Leitsätzen (MIR 2008, Dok.051) und Volltext (PDF) bei Medien Internet und Recht

Quelle: Pressemitteilung des OLG Franfurt a.M. vom 04.02.2008

, ,