Lidl und die PINs

Die jüngst ans Licht gekommene Überwachungspraxis deutscher Supermärkte stellt ein im Januar gefälltes Urteil zur Haftung bei gestohlenen EC-Karten in Frage

Am 30. Januar dieses Jahres wies das Oberlandesgericht in Frankfurt am Main die Berufung einer Verbraucherschutzzentrale zurück, welche für zwölf Bankkunden klagte (Az: 23 U 38/05). Deren Geldinstitut hatten den aus Kartendiebstählen entstandenen Schaden auf die Verbraucher abgewälzt, obwohl diese versicherten, dass sie EC-Karten und PIN-Nummer nicht gemeinsam aufbewahrt hatten.

Trotzdem entschied das Oberlandesgericht, dass der Anschein bei "normalem Verlauf" grundsätzlich für einen "sorgfaltwidrigen" Umgang und damit gegen den Verbraucher spreche. Werde, so der 23. Zivilsenat des OLG, "zeitnah" zum Diebstahl mit der PIN-Nummer von Unbefugten Geld abgehoben, so gelte ein Anscheinsbeweis zugunsten der Banken. Deshalb müsse der Karteninhaber in solch einem Fall einen "atypischen Verlauf" nachweisen.

Umfassende Beweisaufnahme abgelehnt

Der Argumentation der Verbraucherzentrale zur mangelnden Sicherheit des von den Banken eingesetzten Systems wollte das OLG nicht folgen. Dabei stützte es sich ganz überwiegend auf ein Sachverständigengutachten des Bundesamtes für Sicherheit in der Informationstechnik (BSI), das für den Zeitraum, in dem die Fälle geschahen (1999 - 2003) ein "Knacken" der verwendeten Verschlüsselung (128 Bit Triple-DES) "praktisch" ausschloss. Dazu, ob und inwieweit "Leihbeamte" in Diensten der Banken, wie sie zu Hunderten in Ministerien beschäftig sind, an diesem Gutachten mitgewirkt hatten, wollte sich das Wirtschaftsministerium nicht äußern.

Weitere von der Verbraucherschutzzentrale beantragte Beweiserhebungen ließ das OLG nicht zu. Diese hätten sich mit vom BSI-Gutachten nicht oder möglicherweise nicht ausreichend berücksichtigten Manipulationsmöglichkeiten befassen sollen – unter anderem mit der Verwendung der Daten zur PIN-Verfikation, die auf den Karten gespeichert waren. Schon während des Verfahrens hatten die Verbraucherschützer deshalb angemerkt, dass das OLG höchstens 5 Prozent der in Frage kommenden Missbrauchsmöglichkeiten zur gerichtlichen Prüfung zugelassen habe.

In dem bemerkenswert lustlos begründeten Urteil rechtfertigte das Gericht seine Untätigkeit in dieser Hinsicht unter anderem damit, dass die Beweisaufnahme "nach einem so langen Zeitablauf zu einem Teil der Themen gar nicht mehr möglich sein" werde und dass die Pressemeldungen über neue Manipulationsverfahren jünger als die verhandelten Fälle seien, von denen der letzte im Februar 2003 geschah.

Bei der Verbraucherzentrale NRW hatten sich etwas mehr als zwei Jahre später schon insgesamt 1.500 Geschädigte gemeldet, die versicherten, Karte und PIN zum Zeitpunkt des Diebstahls nicht gemeinsam aufbewahrt zu haben. Unter den Geldinstituten, die trotzdem eine Haftung ablehnten, befanden sich die Postbank, die Citibank, die Deutsche Bank und die im Skandal um Franjo Poth schweren Vorwürfen ausgesetzte Stadtsparkasse Düsseldorf. Ein Jahr darauf meldete das niedersächsische Landeskriminalamt, dass allein in seinem Zuständigkeitsbereich über 2.300 Fälle registriert wurden, bei denen mit gestohlenen EC-Karten und passender PIN Konten leergeräumt wurden.

Für die weiter stark steigende Zahl solcher Fälle gibt es mehrere mögliche Erklärungen: Entweder werden die Deutschen sorgloser beim gemeinsamen Aufbewahren von EC-Karte und PIN (wofür aufgrund der Pressepräsenz der Missbrauchsfälle nicht unbedingt viel spricht) – oder sie versuchen plötzlich massenhaft, ihre Banken übers Ohr zu hauen (eine Option, die durch die bisherigen Urteile ebenfalls nicht unbedingt wahrscheinlich wirkt). Die dritte in Frage kommende Möglichkeit ist, dass das System mittlerweile durch technologische Veränderungen schlicht unsicher ist und Diebe durchaus Möglichkeiten haben, schnell an die zu Karten passenden PIN-Nummern zu kommen.

Nach und nach kommen einige dieser Möglichkeiten tatsächlich ans Licht: Im letzten Jahr wurden in Deutschland mehrere Fälle aufgedeckt, in denen Diebe mit manipulierten Kassenterminals arbeiteten und so einen Gesamtschaden von 3,5 Millionen verursachten. Im Rahmen solcher Methoden werden teilweise unter Mithilfe einzelner Mitarbeiter Geräte in Gaststätten, Geschäften oder Banken angebracht, welche nicht nur die Daten auf der Karte, sondern auch die PIN-Nummern speichern. An Bankautomaten werden die Karten teilweise auch gleich einbehalten.

Gibt es eine Lidl-PIN-Datenbank?

Für neue Opfer von Kartendiebstählen könnten sich also neue Klagen möglicherweise trotz des Urteils des OLG Frankfurt lohnen – vor allem nach dem Bekanntwerden der Überwachungspraxis in deutschen Supermärkten. Weist beispielsweise jemand, dessen EC-Karte gestohlen und dessen Konto vor der Sperrung leergeräumt wurde, nun nach, dass er regelmäßig bei Lidl oder einem anderen Überwachungssupermarkt eingekauft und dort mit EC-Karte und PIN-Eingabe bezahlt hat, dann kann es sich das nächste Gericht möglicherweise nicht ganz so einfach machen wie das Frankfurter OLG.

Nachdem letzte Woche bekannt geworden war, dass Supermärkte nicht nur Regale und Pausenräume, sondern auch die Kassen überwachen ließen, musste Lidl zugeben, dass eine Aufzeichnung der PIN-Eingaben nicht ausgeschlossen werden könne. Laut Markus Saller, Justiziar der Verbraucherzentrale Bayern, "ein Eingeständnis dafür, dass die Kameras offensichtlich über genügend Auflösung verfügen, um den Pin-Code zu erkennen".

Nachdem dies offenbar wurde, warnt der Verbraucherschutz vor dem Bezahlen mit EC-Karte und PIN-Code. Hartmut Strube, Jurist bei der Verbraucherzentrale Nordrhein-Westfalen, sagte der Süddeutschen Zeitung: "Wir raten den Kunden dringend ab, bei Lidl mit EC-Karte und Pin-Geheimnummer zu zahlen". Vorsichtiger äußerten sich das Unabhängige Zentrum für Datenschutz aus Schleswig-Holstein – allerdings forderte man auch hier eine Klärung, ob die Eingabe der PIN tatsächlich erkennbar ist. Diese Klärung verweigert Lidl bisher und kündigte stattdessen eine "vorübergehende" Einstellung dieser Praxis an. Dieser bemerkenswert schnelle Rückzieher legt zumindest den Verdacht nahe, dass sich diese Möglichkeit bei näherer Überprüfung bestätigen könnte.

Waren die PIN-Nummern erkennbar, dann spricht einiges dafür, dass sie möglicherweise auch an Dritte weitergegeben wurden. Die Überwachung wurde nicht von Lidl selbst, sondern von dazu beauftragten Unternehmen durchgeführt – und in Detektivbüros arbeiten aber nicht nur Personen, die die Kriterien einer Aufnahme in den Polizeidienst erfüllen. Da auf EC-Karten auch Namen und Kontonummern in gut lesbarer Form enthalten sind, dürfte sich mit etwas Fleißarbeit (oder eventuell auch automatisiert) aus solchen Überwachungsbändern eine Datenbank extrahieren lassen, für die in Kreisen des mehr oder weniger organisierten Verbrechens durchaus Geld bezahlt wird. Fällt bei einem Taschendiebstahl dann eine EC-Karte an, kann sie sehr leicht mit dieser Datenbank abgeglichen werden. Im Falle eines Treffers erlaubt dies den Dieben das sofortige Abheben großer Mengen Geld – ganz ohne dass sich eine notierte PIN in der gestohlenen Geldbörse befindet.

Das alles muss zwar nicht geschehen sein – fraglich ist aber, ob ein Gericht beim nächsten Urteil zur Sicherheit von EC-Karten einfach über diese nun allgemein bekannten Möglichkeiten hinwegsehen kann. Möglich ist, dass die Gerichte in Zukunft strengere Maßstäbe an den Umgang mit der EC-Karte anlegen – und etwa ein Abdecken mit der Hand verlangen. Dass sie solch ein Abdecken auch für Zahlungsvorgänge in der Vergangenheit verlangen können, ist allerdings weniger wahrscheinlich: Immerhin war das Ausmaß der Videoüberwachung an der Ladenkasse bis zur letzten Woche kaum jemandem bekannt.

In jedem Fall haben Kunden, die in letzter Zeit bei Lidl mit Karte und PIN bezahlten, die Möglichkeit, Strafanzeige gegen Unbekannt zu stellen und so eine behördliche Prüfung der Vorgänge anzuregen. Nach Ansicht des Kieler Rechtsanwalts Siegfried Exner könnte § 202a StGB (Ausspähung von Daten) hier eventuell sogar dann greifen, wenn der Kunde auf die Videoaufzeichnung aufmerksam gemacht wurde.

Kein Anreiz für die Banken, auf sichere Technologien umzustellen

Allerdings löst auch ein möglicher Verzicht der Supermärkte auf eine Videoüberwachung an der Ladenkasse nicht das Grundproblem, dass die Banken Technologien einsetzen, die zu einem großen Teil in den 1960er und 70er Jahren entwickelt wurden - und die durch die Entwicklungen der letzten Jahrzehnte deutlich unsicherer sind als damals. Ob die von der ebenfalls im Videoüberwachungsskandal verwickelte Edeka-Kette als Lösung propagierten Fingerabdruckbezahlverfahren Abhilfe schaffen, ist mehr als fraglich. Tatsächlichen Sicherheitsgewinn brächte dagegen eine Umstellung auf die Erkennung des individuellen Venenmusters. In Japan wird dieses Verfahren bereits seit geraumer Zeit an Geldautomaten eingesetzt.

Allerdings liegt es an den Banken, ob und wann ein solches System eingeführt wird – und da diese ihr Risiko weitgehend auf den Verbraucher abwälzen konnten, besteht für sie wenig Anreiz, in nächster Zeit auf solche Systeme umzusteigen. Der Verbraucher selbst kann bis dahin wenig tun: Etwas Zeit gewinnt er im Falle eines Diebstahls möglicherweise dadurch, dass er einen Zettel mit einer falschen PIN in der Geldbörse mitführt, und so Diebe zur Falscheingabe ohne Konsultation einer "Lidl-PIN-Datenbank" oder ähnlichem verleitet. (Peter Mühlbauer)