Mehrere Banken, darunter die Deutsche Postbank AG, die Commerzbank AG, die comdirect bank AG, die Landesbank Berlin AG, die Unicredit Bank AG und diverse Volksbanken, haben vorsorglich mehr als 100.000 Kreditkarten ihrer Kunden ausgetauscht. Das berichten übereinstimmend mehrere Medienberichte, darunter Heise Online, n-tv und Spiegel Online. Die Befürchtung der Emittenten von Zahlungskarten ist, dass die auf den Zahlungskarten gespeicherten Daten in erheblichem Ausmaß abgegriffen worden sein könnten. Es wäre ein Fall von Datenklau in einem außergewöhnlich großem Stil. Wie es zu dem Abgreifen der Bankzugangsdaten kommen konnte und welche rechtlichen Möglichkeiten die Bankkunden haben, wenn es zum Leerräumen der Konten kommt, darüber berichtet ilex Rechtsanwälte.

Überblick:

• Was ist passiert?
• Wie reagierten die Banken?
• War dies die erste Umtauschaktion wegen eines mutmaßlichen Datenlecks?
• Sind nur Kreditkarten betroffen?
• Wer haftet für den Schaden beim Abgreifen von Bankzugangsdaten?
  
  

Was ist passiert?

Um einen Kreditkartenbetrug vorzubeugen, haben Banken mehrere tausend Kreditkarten vorsorglich ausgetauscht. Das in Frankreich in Bezons, nordwestlich von Paris, beheimatete, aber weltweit im Bereich des Zahlungsverkehrs- und der Transaktionsdienste tätige Unternehmen Worldline S.A. gab hierzu im Januar 2016 eine Pressemitteilung bekannt. Demzufolge habe „an einer derzeit noch nicht bekannten Stelle auf der Akzeptanzseite vermutlich ein Datenleck dazu geführt, dass die Betrugsabteilung von Worldline im Rahmen des kontinuierlichen proaktiven Monitorings seit Anfang Januar 2016 vermehrt betrügerische Umsätze“ mit Zahlungskarten festgestellt hat. Daraufhin seien den Banken die Empfehlung ausgesprochen worden, „die betroffenen Karten umgehend auszutauschen“.

Wie reagierten die Banken?

Nachdem der Kreditkartenanbieter Worldline S.A. vor der Gefahr eines Datenlecks gewarnt hatte, von dem laut einem Artikel im „Focus“ die Kreditkarten von Visa und Mastercard betroffen waren, begann die Umtauschaktion der Kreditkarten. Die Banken informierten ihre Kunden und begannen präventiv mit dem Tausch der Kreditkarten.

War dies die erste Umtauschaktion wegen eines mutmaßlichen Datenlecks?

Nein, solche großangelegten Umtauschaktionen hat es in der Vergangenheit öfters gegeben. Bereits im Jahre 2009 wurden bei einem Dienstleister in Spanien auf Zahlungskarten gespeicherte Daten von Visa und MasterCard ausspioniert. Auch damals haben die emittierenden Banken im großen Stil präventiv die Karten ihrer Kunden getauscht. Da sich Betrüger immer wieder neue Maschen einfallen lassen, um an Bankzugangsdaten zu gelangen, kommt solch ein Austausch von Kreditkarten durchaus häufiger vor. Außergewöhnlich ist jedoch die hohe Anzahl der diesmal ausgetauschten Kreditkarten. Laut einem Artikel im Handelsblatt sprach allein die Deutsche Postbank AG von 55.000 Fällen, in denen allein bei dieser Bank die Zahlungskarten ausgetauscht werden mussten. Die Commerzbank AG soll den Austausch von 15.000 Karten vorgenommen haben. Deren Tochterunternehmen Comdirect nahm 20.000 Austausche vor.

Sind nur Kreditkarten betroffen?

Nach dem derzeitigen Stand wurde der Austausch von den Banken nur bei Kreditkarten vorgenommen. Darüber, dass möglicherweise auch EC-Karten von dem Vorfall betroffen waren und ausgetauscht werden mussten, ist zurzeit nichts bekannt.

Wer haftet für den Schaden beim Abgreifen von Bankzugangsdaten?

Gelingt es Tätern Bankzugangsdaten abzugreifen und Verfügungen im fremden Namen vorzunehmen, so stellt sich die Frage, wer für den Schaden haftet. In Presseberichten wird kolportiert, dass der Bankkunde sich grundsätzlich keine Sorgen machen müsse, weil die Haftung beim Abgreifen von Bankzugangsdaten durch den Datenabgriff auf Zahlungskarten stets bei der Bank liege. Grundsätzlich ist dies mit Einschränkungen richtig. Die Bank bewirkt eine Zahlungsverfügung nämlich aus ihrem eigenen Vermögen. Dabei entsteht jedoch ein Aufwendungsersatz gegen den Auftraggeber und Bankkunden, den die Bank dem Bankkunden als Soll in den Kontokorrent bucht. Hat der Bankkunde die Zahlung jedoch nicht in Auftrag gegeben, entfällt der Aufwendungsersatzanspruch der Bank, wenn der Bankkunde die Bank unverzüglich über die Nichtautorisierung unterrichtet. Damit haftet im Schadensfall grundsätzlich tatsächlich die Bank. Doch von dieser Haftungsregelung gibt es in bestimmten Situationen Ausnahmen. Beruhen nicht autorisierte Zahlungsvorgänge auf der Nutzung eines verlorengegangenen, gestohlenen oder sonst abhanden gekommenen Zahlungsauthentifizierungsinstruments, so kann der Zahlungsdienstleister des Zahlers von diesem den Ersatz des hierdurch entstandenen Schadens bis zu einem Betrag von 150 Euro verlangen. Dies ist der sogenannte Eigenanteil des Bankkunden, der aber nur in den Fällen greift, wenn die Tatbestände eines verlorengegangenen, gestohlenen oder sonst abhanden gekommenen Zahlungsauthentifizierungsinstruments vorliegen. Ferner kann die Bank den vollen Schadensbetrag auch bei einer nichtautorisierten Zahlungsanweisung dann vom Bankkunden fordern, wenn dieser mit seinem Verhalten ein gewisses Maß an Sorgfalt nicht eingehalten hat, um solche Schäden zu verhindern. Maßstab hierfür ist die grobe Fahrlässigkeit. Ist für das Abgreifen von Bankdaten allein ein Sicherheitsleck beim Systemanbieter ursächlich, wird die Bank den Bankkunden keine Sorgfaltswidrigkeit nachweisen können. Vielmehr muss sie sich selbst das Sicherheitsleck ihres Dienstleisters zurechnen lassen.