Sicherheit von EC-Karten PIN
Details zum Urteil
- Oberlandesgericht Hamm
- Urteil
- vom 17.03.1997
- Aktenzeichen 31 U 72 / 96
- Abgelegt unter Wirtschaftsrecht
Auf dieser Seite finden Sie
Es besteht kein Anscheinsbeweis zugunsten der Bank dafür, daß der Karteninhaber dem Täter die Kenntnis der PIN durch eigenen Pflichtverstoß ermöglicht hat, da nicht auszuschließen ist, daß der Täter die PIN selbst durch Entschlüsselung anhand der auf der Karte gespeicherten Daten ermittelt hat.
Tenor:
Auf die Berufung des Klägers wird das am 15. Januar 1996 verkündete Urteil der 4. Zivilkammer des Landgerichts Essen abgeändert:
Die Beklagte wird verurteilt, folgende Belastungsbuchungen vom 13. Februar 1995 auf dem Konto Nr. ... des Klägers bei der Niederlassung ... der Beklagten zu stornieren:
09.11 Uhr Kartenverfügung (bar) 1.000,00 DM, 09.32 Uhr Kartenverfügung ( ) 149,11 DM, 09.34 Uhr Kartenverfügung ( ) 74,19 DM, 09.51 Uhr Kartenverfügung ( ) 154,40 DM, 11.38 Uhr Barabhebung 2.000,00 DM, 13.58 Uhr Barabhebung 1.000,00 DM, 14.28 Uhr Barabhebung 1.000,00 DM, 14.59 Uhr Barabhebung 1.000,00 DM, 15.09 Uhr Barabhebung 1.000,00 DM, 15.22 Uhr Barabhebung 1.000,00 DM.
Die weitergehende Berufung des Klägers wird zurückgewiesen; im übrigen bleibt die Klage abgewiesen.
Die Kosten des Rechtsstreits tragen zu 1/4 der Kläger und zu 3/4 die Beklagte.
Das Urteil ist vorläufig vollstreckbar.
Die Beschwer beider Parteien übersteigt nicht 60.000,00 DM.
Der Tatbestand
Der Kläger unterhält bei der beklagten Bank zusammen mit seiner Ehefrau ein Girokonto, das bereits 1978 eingerichtet wurde und für das er 1982 eine EC-Karte mit einer persönlichen Geheimnummer, der sogenannten PIN, bekam. Hierfür gelten neben den besonderen Bedingungen der Beklagten für das Kartenbanking und den Bargeldservice auch noch die besonderen Bedingungen der Beklagten für EC-Karten und zwar in der jeweils neuesten Fassung, zuletzt vom 1. Januar 1995.
Am 13. Februar 1995 wurden mittels der EC-Karte und der PIN 13 Verfügungen zu Lasten des Girokontos getätigt, wobei die PIN bis dahin noch nie benutzt worden war. Im einzelnen handelte es sich um folgende Belastungen:
09.11 Uhr Bankautomat 1.000,00 DM,
09.32 Uhr Tankstelle 149,11 DM,
09.34 Uhr Tankstelle 74,19 DM,
09.51 Uhr Tankstelle 157,40 DM,
11.38 Uhr Barabhebung 2.000,00 DM,
13.58 Uhr Barabhebung 1.000,00 DM,
14.28 Uhr Barabhebung 1.000,00 DM,
14.59 Uhr Barabhebung 1.000,00 DM,
15.09 Uhr Barabhebung 1.000,00 DM,
15.22 Uhr Barabhebung 1.000,00 DM,
15.32 Uhr Barabhebung 1.000,00 DM,
15.47 Uhr Barabhebung 1.000,00 DM,
16.09 Uhr Barabhebung 1.000,00 DM.
Bei den Barabhebungen, die an verschiedenen ... vorgenommen wurden, erfolgte die Überprüfung der Legitimation des Abhebenden entsprechend Ziffer 4 der vorgenannten besonderen Bedingungen für den Bargeldservice mit der Karte und einem Auszahlungsbeleg, indem die EC-Karte in ein Lesegerät gesteckt wurde und der Abhebende mittels einer besonderen Tastatur die PIN eintippte, deren Richtigkeit dann dem Schalterbeamten auf einem Monitor bestätigt wurde. Daneben wurde noch ein Auszahlungsbeleg ausgefüllt, auf dem u.a. auch die Art der Legitimationsprüfung vermerkt wurde und den der Abhebende mit dem Namenszug des Klägers unterschrieb.
Um 16.17 ließ der Kläger sein Konto durch einen Anruf bei dem zentralen Sperannahmedienst in ... sperren und erstattete am folgenden Tag bei der Polizei Strafanzeige wegen Diebstahls seiner Handtasche mit verschiedenen Ausweispapieren, u.a. der EC-Karte. Das Verfahren wurde später eingestellt, da ein Täter nicht ermittelt werden konnte.
Von der Beklagten begehrt der Kläger nunmehr die Stornierung der 13 vorgenannten Belastungsbuchungen. Hierzu hat der Klager behauptet:
Seine EC-Karte habe sich zusammen mit anderen Papieren, wie dem Führerschein oder dem Personalausweis in einer Handtasche befunden, die er wiederum in einem Aktenlederkoffer aufbewahrt habe. Diesen Koffen habe er am 13. Februar 1995 bei Dienstantritt gegen 7.30 Uhr in seinem Büro im Gebäude der ... neben seinem Schreibtisch abgestellt. Das Büro werde noch von zwei weiteren Kollegen benutzt. Ein freier Publikumsverkehr finde in diesem Gebäudetrakt nicht statt. Besucher müßten am zentralen Empfang warten, bis sie von Mitarbeitern abgeholt würden.
Gegen 07.45 habe er sich aus seinem Büro in die Prüfhalle des Betriebes begeben, wo er bis ca. 13.45 Uhr tätig gewesen sei. Als er gegen 14.30 Uhr das ... Gebäude habe verlassen wollen, um zu einem auswärtigen Termin zu fahren, habe er das Fehlen seiner Handtasche mit den darin befindlichen Papieren und der EC-Karte bemerkt. Von einem anderen Mitarbeiter, dem Zeugen ... habe er später gehört, daß diesem an jenem Tag etwa gegen 08.00 ein fremder Mann an der Tür zum Büro des Klägers aufgefallen sei, der, als der Zeuge ihn angesprochen habe, sofort weggegangen sei. Dieser müsse die Handtasche mit der EC-Karte entwendet haben.
Er, der Kläger, habe dann, nachdem er den Verlust bemerkt habe, versucht den zentralen Sperrannahmedienst in ... anzurufen. Dessen Nummer aber sei ständig besetzt gewesen. Er sei daraufhin zu dem auswärtigen Termin aufgebrochen, habe aber unterwegs mehrmals versucht, den Sperrannahmedienst zu erreichen. Dies sei ihm schließlich, wie von der Beklagten angegeben, um 16.17 Uhr gelungen.
Weiter hat der Kläger behauptet, der Täter müsse die für die Kartenverfügungen verwandte Geheimzahl in irgendeiner Form selbstständig ermittelt haben, möglicherweise unter Aufschlüsselung von Geheimabspeicherungen auf dem Magnetstreifen der Karte, da er, der Kläger, die PIN sofort nach Erhalt im Jahre 1982 vernichtet und seitdem nie benutzt habe.
Der Kläger ist der Ansicht gewesen, daß ihn am Verlust der EC-Karte und der Aufdeckung der Geheimzahl kein Verschulden treffe. Im übrigen hätten die Mitarbeiter der Beklagten bei den Barabhebungen an den ... grob fahrlässig gehandelt, indem sie die Ordnungsmäßigkeit der Unterschrift und die Identität des Abhebenden nicht weiter geprüft hätten. Die Beklagte sei daher nach ihren besonderen Vertragsbedingungen verpflichtet, den Schaden aus der mißbräuchlichen Benutzung der Karte zu tragen und deshalb die Kontobelastungen rückgängig zu machen.
Die Beklagte hat die Entwendung der EC-Karte bestritten.
Ferner hat sie behauptet, der Abhebende könne nur durch den Kläger Kenntnis von der PIN erlangt haben, da diese auf der Karte selbst nicht abgespeichert und einer anderweitige Entschlüsselung innerhalb der bis zur ersten Abhebung zur Verfügung stehenden Zeit technisch nicht möglich gewesen sei. Die Kenntnis der PIN müsse daher der Kläger dem Abhebenden vermittelt haben, wenn nicht bewußt, so doch zumindest unbewußt, z.B. in Form einer Notiz, die er zusammen mit der EC-Karte aufbewahrt habe. In jedem Fall habe der Kläger daher zumindest grob fahrlässig gehandelt und zwar sowohl bei der Aufbewahrung der Karte selbst als auch im Umgang mit seiner PIN. Aus diesem Grunde scheide ihre Haftung aus.
Im übrigen sei sie nach den genannten besonderen Bedingungen für den Bargeldservice nicht verpflichtet gewesen, eine weitere Identitätsprüfung bei den Abhebungen an den ... vorzunehmen.
Das Landgericht hat die Klage abgewiesen. Zur Begründung hat es ausgeführt, der Klager habe schon die Entwendung der EC-Karte nicht bewiesen. Allein der Umstand, der Diebstahlsmeldung reiche nicht aus, um ihm insoweit eine Beweiserleichterung zugute kommen zu lassen. Aus diesem Grunde könne es dahingestellt bleiben, ob es möglich sei, die Geheimnummer anhand des Magnetstreifens auf der Karte zu entschlüsseln.
Hiergegen wendet sich der Kläger mit der Berufung.
Er wiederholt und vertieft sein bisheriges Vorbringen. Ergänzend macht er geltend, seiner Darlegungs- und Beweislast genügt zu haben. Hierzu reiche nämlich entsprechend den Vorraussetzungen für die Inanspruchnahme einer Diebstahlsversicherung aus, das Abhandenkommen glaubwürdig darzulegen. Schließlich stelle auch die Aufbewahrung der Karte im Büro keine Pflichtwidrigkeit dar.
Die Entschlüsselung der Geheimnummer sei nach neusten Erkenntnissen unter Einsatz eines Kartenlesegeräts und eines Computers innerhalb von Minuten möglich, so daß entgegen den Angaben der Beklagten nicht davon ausgegangen werden könne, der Täter müsse die PIN von ihm erlangt haben.
Der Kläger beantragt,
unter Abänderung des angefochtenen Urteils die Beklagte zu verurteilen, die zuvor genannten Belastungsbuchungen vom 13. Februar 1995 zu stornieren.
Die Beklagte beantragt,
die Berufung zurückzuweisen.
Die Beklagte verteidigt das angefochtene Urteil. Sie wiederholt und vertieft dazu ihr bisheriges Vorbringen. Insbesondere zeigt sie nochmals ihre Zweifel an einem Diebstahl auf und führt erneut aus, daß die PIN weder zu erraten noch in sonstiger Weise zu ermitteln gewesen sei.
Darüber hinaus, so trägt sie vor, liege ein Mitverschulden des Klägers noch darin, daß er das Konto erst um 16.17 Uhr habe sperren lassen, obwohl er den Verlust nach seinen eigenen Angaben schon um 14.30 Uhr bemerkt habe. Mit einer sofortigen Sperrung hätten die Abhebungen ab 14.30 verhindert werden können.
Wegen des weiteren Vorbringens der Parteien im einzelnen wird Bezug genommen auf den Inhalt der gewechselten Schriftsätze nebst Anlagen sowie auf den Inhalt der Sitzungsniederschriften.
Der Senat hat Beweis erhoben durch uneidliche Vernehmung der Zeugen ... und ... ferner durch Einholung von schriftlichen Gutachten der Sachverständigen ... und ... sowie durch eine ergänzende Anhörung des Sachverständigen ... in der mündlichen Verhandlung.
Die Entscheidungsgründe
Die Berufung des Klägers ist zulässig und hat in der Sache im wesentlichen Erfolg.
Die Beklagte ist entweder gemäß den Grundsätzen der PVV oder gemäß § 812 Abs.1 BGB - wobei die genaue dogmatische Einordnung dahingestellt bleiben kann - in Verbindung mit Ziffer III 2.4 ihrer EC-Karten-Bedingungen und gemäß Ziffer 9.1, 9.2 ihrer besonderen Bedingungen für das Kartenbanking und den Bargeldservice verpflichtet, die vom Kläger beanstandeten Belastungsbuchungen rückgängig zu machen, soweit die Abhebungen bis 15.30 Uhr erfolgten, weil sie diese vorgenommen hat, ohne hierzu aus dem Vertragsverhältnis zum Kläger berechtigt zu sein.
Nach den vorgenannten, dem Vertragsverhältnis der Parteien zugrundeliegenden Bedingungen hat es die Beklagte nämlich übernommen, bei einem Verlust der EC-Karte auch die Schäden zu tragen, die bis zum Eingang der Verlustanzeige durch die mißbräuchliche Verwendung der EC-Karte an einem Geldautomaten, automatischer Kasse oder durch Barabhebung mit der Karte und der persönlichen Geheimzahl bei Geschäftsstellen der ... entstehen, wenn der Karteninhaber die ihm nach den Bedingungen obliegenden Pflichten erfüllt hat. Eine Beteiligung des Karteninhabers an der Schadenstragung ist dabei entsprechend den Grundsätzen des Mitverschuldens nur für den Fall vorgesehen, daß der Karteninhaber durch ein schuldhaftes Verhalten zur Entstehung des Schadens beigetragen hat, wobei ihn dann bei grober Fahrlässigkeit die volle Tragungspflicht trifft.
Aus dem Aufbau dieser von der Beklagten in ihren besonderen Vertragsbedingungen vorgegebenen Haftungsregelung folgt unter Berücksichtigung der Auslegungsbestimmungen des § 5 AGBG, daß einerseits der Karteninhaber als Vorraussetzung für das Eingreifen der Haftung der Beklagten den Verlust und den Mißbrauch der Karte darlegen muß, daß aber anderseits dann die Beklagte darlegungs- und beweispflichtig für ein Mitverschulden des Karteninhabers ist, um dessen Beteiligung an der Schadenstragung zu erreichen. Diese Regelung trägt damit dem Umstand Rechnung, daß nach der gesetzlichen Risikoverteilung grundsätzlich die Bank die Schäden aus einer mißbräuchlichen Verwendung der EC-Karte treffen, weil es insoweit an einer wirksamen Anweisung für einen Aufwendungsanspruch gemäß § 675, 670 BGB fehlt. Gegen den Karteninhaber wird dabei eine Mithaftung nach den Grundsätzen des Mitverschuldens nur begründet, wenn er die ihm nach dem EC-Kartenvertrag obliegenden Pflichten verletzt (vgl. Nobbe zu der entsprechenden Haftung beim Mißbrauch einer EC-Karte i.V.m. einem Eurocheque, in: Schimansky/Bunte/ Lwowski, Bankrechtshandbuch, Band I, § 63, Rdnr. 60 bis 65 und §60 Rdnr. 99 f.).
Aufgrund des Vorbringens des Klägers sowie der Bekundungen des Zeugen ... und der Art der erfolgten Belastungen ist nach der Überzeugungen des Senats von einem Diebstahl der EC-Karte und dem anschließenden Mißbrauch auszugehen.
Dabei trägt der Kläger zwar, wie zuvor ausgeführt, die Beweislast für die Entwendung der Karte. Allerdings kommen ihm insoweit analog der Rechtssprechung zur Kaskoversicherung beim Autodiebstahl (vgl. BGH; VersR 95, 909 = NJW 95, 2169; VersR 96, 319 = NJW 96, 993) hinsichtlich der Darlegung und des Nachweises des Verlustes grundsätzlich Beweiserleichterung zugute, weil er in der Regel keine Zeugen oder sonstigen Beweismittel für die Entwendung beibringen kann. Es genügt deshalb, wenn der Karteninhaber einen Sachverhalt darlegt und erforderlichenfalls nachweist, der nach der Lebenserfahrung mit hinreichender Wahrscheinlichkeit den Schluß auf den Verlust der Karte zuläßt. Im Normalfall sind hierzu die Feststellungen von Beweisanzeichen ausreichend, denen hinreichend deutlich daß äußere Bild eines Verlustes im Sinne der genannten besonderen Vertragsbedingungen entnommen werden kann.
Dieses äußere Bild der Entwendung der Karte hat der Kläger hier zur Überzeugung des Senats hinreichend dargelegt und bewiesen. Dabei genügt das vom Kläger in der persönlichen Anhörung nach § 141 ZPO schlüssig und wiederspruchsfrei wiederholte Vorbringen zum Abstellen der Tasche mit den Papieren bei Arbeitsbeginn und dem späteren Bemerken des Fehlens gegen 14.30 Uhr. Der Kläger ist insoweit uneingeschränkt glaubwürdig, d.h. zuverlässig und redlich anzusehen, so daß gemäß § 286 ZPO die Feststellung der Entwendung auf seine Angaben gestützt werden kann (vgl. BGH, VersR 95, 909 = NJW 95, 2169; VersR 96, 319 = NJW 96, 993; VersR 96, 575).
Konkrete Tatsachen, die den Kläger als unglaubwürdig erscheinen oder doch zumindest schwerwiegende Zweifel an seiner Glaubwürdigkeit aufkommen ließen, liegen nicht vor. Entgegen der Ansicht der Beklagten ergeben sich nicht schon aus dem Umstand, daß die letzte Barabhebung nur wenige Minuten vor der Sperrung erfolgte, so als wenn der Täter hiervon gewußt habe. Dieser Schluß läßt sich schon deshalb nicht ziehen, weil nicht davon ausgegangen werden kann, der Täter habe danach keinen weiteren Abhebungsversuch mehr unternommen. Allein der Tatsache, daß die Karte nicht eingezogen wurde, läßt sich dies nämlich nicht entnehmen. Denn die letzten erfolgten nicht an einem Geldautomaten, der die Karte bei einer Sperrung automatisch einbehält, sondern, um das 1.000,00 DM-Tageslimit umgehen zu können, als Barabhebung an verschiedenen .... Hier aber kann es durchaus möglich gewesen sein, daß der Täter die Karte trotz Sperrung, wenn auch ohne Geld und damit ohne belegbare Belastung des Kontos, auf seine Bitten hin zurückerhielt. Dem steht nicht entgegen, daß dies möglicherweise gegen die Dienstanweisung verstieß, da der Täter deren Nichteinhaltung auch schon im Fall der ersten Barabhebung von 2.000,00 DM zu erreichen vermochte, weil nach der Aussage des Zeugen ... einem Mitarbeiter der Beklagten, bei einer Legitimation durch die PIN ohne sonstige Identitätskontrolle nur eine Auszahlung bis 1.000,00 DM zulässig gewesen wäre.
Abgerundet wird das äußere Bild von einem Diebstahl der Karte noch durch die glaubhafte Bekundung des Zeugen ... einem Arbeitskollegen des Klägers. Diesem ist gegen 08.00 Uhr ein fremder Mann an der Tür zum Büro des Klägers aufgefallen, der als der Zeuge ihn ansprechen wollte, sofort davoneilte.
Im übrigen legt auch die Art der Abhebungen einen Diebstahl und anschließenden Mißbrauch nahe. Sie beginnen nämlich unter der Anonymität eines Bankautomaten und selbst bei der anschließenden systematischen Plünderung des Kontos durch laufende Barabhebungen des (bis auf die ersten 2.000,00 DM) jeweils zulässigen Höchstbetrages von 1.000,00 DM wurde nach den von den Mitarbeitern der Beklagten gefertigten Auszahlungsbelegen als Legitimation weiterhin nur die PIN und kein Ausweis benutzt.
Insgesamt ist damit ein Verlust der EC-Karte durch einen Diebstahl als erwiesen anzusehen, so daß die anschließenden Abhebungen auch mißbräuchlich erfolgten. Damit sind die Vorraussetzungen für eine Haftung der Beklagten für die dadurch eingetretenen Schäden gemäß den eingangs genannten Regelungen ihrer besonderen Vertragsbedingungen erfüllt.
Ein die Mithaftung des Klägers begründetes Mitverschulden kann demgegenüber nicht schon darin gesehen werden, daß er die EC-Karte während seiner Tätigkeit in der Prüfhalle in einem Aktenkoffer in seinem Büro beließ.
Dies stellte noch eine angemessene, den Sorgfaltsanforderungen genügende Aufbewahrung dar, weil in diesem Teil des Dienstgebäudes kein Publikumsverkehr herrscht, Besucher an einem zentralen Empfang warten müssen und das Büro im übrigen auch noch von zwei weiteren Kollegen genutzt wurde, die sich zumindest, ebenso wie der Kläger, zeitweillig darin aufhalten. Schließlich war die Karte auch nicht auf den ersten Blick sichtbar und einem sofortigen Zugriff ausgesetzt, da sie sich in einer gesonderten Handtasche im Aktenkoffer des Klägers befand.
Ferner kann nicht festgestellt werden, daß der Klager seine Sorgfaltspflicht im Umgang mit der Karte oder der PIN verletzt hat, indem er dem Täter in irgendeiner Weise Kenntnis von der PIN verschafft hat, z.B. durch eine zusammen mit der Karte aufbewahrte Notiz. Denn nach den eingeholten schriftlichen Gutachten der Sachverständigen ... und ... sowie den ergänzenden mündlichen Ausführungen des Sachverständigen ... in dessen Anhörung vor dem Senat muß davon ausgegangen werden, daß der Täter auch ohne eine solche Mitwirkung des Klägers Kenntnis von der PIN erlangt haben kann und zwar entweder durch ein Ausprobieren oder durch eine Entschlüsselung anhand der auf der Karte abgespeicherten Daten. Beide Verfahrensweisen müssen nach den insoweit übereinstimmenden Ausführungen der Sachverständigen im vorliegenden Fall als möglich angesehen werden. Die Vorraussetzungen eines Anscheinbeweises für eine Pflichtverletzung des Klägers sind somit nicht gegeben.
Dabei erscheint ein Erraten der PIN mittels Ausprobieren an einem Geldautomaten auf den ersten Blick angesichts der möglichen Zahlenkombinationen zwischen 0000 und 9999 unwahrscheinlich, weil die Trefferchance bei drei Versuchen nur 1 : 3333 beträgt und die Karte dann, wenn diese fehlschlagen, von dem Automaten eingezogen wird.
Durch eine dem Grunde nach nicht weiter nachvollziehbare Eigentümlichkeit im Auswahlverfahren für die Ziffern der PIN kommt es jedoch dazu, daß die Ziffern 0 bis 5 wesentlich häufiger (etwa 32 mal mehr) auftreten als die Ziffern 6 bis 9. Beschränkt sich ein Täter, der diese Systemkenntnisse hat und außerdem weiß, daß die ersten Ziffer nie eine 0 sein kann, auf die häufiger auftretenden Ziffern, so hat er bereits in drei Versuchen eine Trefferquote von etwa 1:700, falls die PIN tatsächlich aus diesen Ziffern besteht, was wiederum nicht unwahrscheinlich ist und deshalb zugunsten des Klägers hier angenommen werden muß, da seine PIN nicht bekannt ist. Diese Trefferquote kann der Täter dann noch auf etwa 1 : 150 verbessern, wenn er über ein im Handel erhältliches Kartenlesegerät verfügt und damit das sog. Offset ermittelt, das auf dem Magnetstreifen der Karte abgespeichert ist. Dabei handelt es sich um eine Ausgleichszahl, die dazu dient, die Karte mit der PIN nicht nur an Geldautomaten des ausgebenden Bankinstituts sondern auch an Automaten anderer Institute im In- und Ausland nutzen zu können.
Dabei liegt dem Einsatz der PIN folgendes System zugrunde: Auf der Karte sind als offene, nicht weiter geheimhaltungsbedürftige Daten die Bankleitzahl, die Kontonummer und die Kartenfolgenummer abgespeichert. Diese werden bei Einführung der Karte in den Geldautomaten abgelesen und mittels eines geheimen Schlüssels der entweder im Geldautomaten selbst oder in einem mit dem Automaten per Online verbundenen zentralen Rechner gespeichert ist, basierend auf einem Chiffrierverfahren, dem sog. "Data Encryption Standard" (DES), einem Rechenvorgang unterzogen, an dessen Ende sich dann als Ergebnis die PIN ergibt, die mit der vom Abhebenden eingetippten Zahl verglichen wird.
Da jedes Geldinstitut dabei einen eigenen Geheimschlüssel, den sog. Institutsschlüssel, verwendet, gibt es, um eine umfassende institutsübergreifende Nutzung der Karte zu ermöglichen, zusätzlich den sog. Poolschlüssel. Zur Vermeidung einer zweiten speziell hierfür geltenden Geheimzahl, ist nun auf jeder EC-Karte noch eine Ausgleichszahl, das sog. Offset, mit abgespeichert. Es dient dazu, die nach dem Institutsschlüssel einzugebende PIN dem Ergebnis der Berechnung auf der Grundlage des Poolschlüssels anzupassen. Die Ziffern dieses Offsets, das ebenfalls mit einem Kartenlesegerät dem Magnetstreifen entnommen werden kann, können nach den Grundsätzen der Wahrscheinlichkeitsrechnung Rückschlüsse auf die Ziffern der PIN zulassen, wenn diese die häufiger auftretenden Ziffern 0 bis 5 enthält. In einem solchen Fall erhöht sich dann die Trefferquote nach den übereinstimmenden Angaben beider Sachverständiger auf etwa 1 : 150.
Berücksichtigt man ferner, daß nach den weiteren Darlegungen beider Sachverständiger der sog. Fehlerzähler auf der Karte, der dazu dient, die Anzahl der Fehlversuche zu notieren, mit einem Kartenlesegerät und einer entsprechenden Eingabetastatur, z.B. in Form eines Laptops, zurückgestellt werden kann, wie es auch in einem Automaten geschieht, wenn nach zwei Fehlversuchen die richtige Zahl eingegeben wird, so eröffnen sich einem versierten, technisch entsprechend ausgerüsteten Täter eine unbeschränkte Zahl von Versuchen. Damit aber kann nicht ausgeschlossen werden, daß er entsprechend den vorher genannten Überlegungen in der Lage ist, die richtige PIN innerhalb kurzer Zeit durch Ausprobieren zu ermitteln.
Dafür, daß es hier so geschehen sein könnte, spricht der zeitliche Abstand zwischen dem ersten erfolgreichen Einsatz der Karte um 09.11 an einem Geldautomaten und der Beobachtung des möglichen Täters durch den Zeugen ... gegen 08.00 Uhr.
Neben dieser Ermittlung der PIN durch Ausprobieren kann aufgrund der weiteren übereinstimmenden Ausführungen der Sachverständigen eine Entschlüsselung der PIN anhand der auf der Karte abgespeicherten genannten Daten ebenfalls nicht mehr ausgeschlossen werden.
Hierzu bedarf es entweder der Kenntnis des Instituts- oder des Poolschlüssels, mit dem dann die PIN von Karten eines bestimmten Instituts bzw. beliebiger Institute nach Auslesen der Daten auf dem Magnetstreifen in Sekundenschnelle auf einem handelsüblichen PC, z.B. wiederum einem Laptop, berechnet werden könnte. Zur mathematischen Rekonstruktion dieser Schlüssel sind rein informationstheoretisch gesehen nur die genannten Daten aus 5 EC-Karten mit den dazugehörigen PIN notwendig, da diese Anzahl ausreicht, den geheimen Schlüssel eindeutig zu bestimmen. Die tatsächliche Berechnung erfordert dann im Hinblick auf das zur Verschlüsselung verwandte, 20 Jahre alte DES-Verfahren eine systematische Absuche des damit zur Verfügung stehenden 56-Bit-Schlüsselraums mit seinen etwa 72 Billiarden Möglichkeiten. Zwar läßt sich ein solch umfassender Rechenvorgang nicht mit handelsüblichen PCs bewerkstelligen. Anders dagegen ist es bei dem Einsatz von Spezialrechnern, die diese Aufgabe infolge des technischen Fortschritts auf diesem Gebiet je nach Kapazität innerhalb einiger Monate, einiger Tage oder sogar einiger Stunden bewältigen könnten. Dabei müßten Maschinen verwandt werden, die schon von ihrer Bauart her speziell auf solche Rechenvorgänge abgestimmt sind, sog. "ASICS". Nach den Darlegungen des Sachverständigen ... ist eine Konstruktionsbeschreibung für einen derartigen Rechner 1993 von einem kanadischen Kryptologen namens ... veröffentlicht worden. Der Sachverständige ... hat in seiner mündlichen Anhörung vor dem Senat die Kosten für eine solche technische Ausrüstung, mit der ein Computerspezialist mit kryptologischen Kenntnissen in der Lage wäre, den geheimen Schlüssel innerhalb von 3 - 4 Monaten zu finden, auf einige hunderttausend DM geschätzt. Dies entspricht in der Größenordnung den Darlegung im schriftlichen Gutachten von ... , der dabei noch ergänzend auf Veröffentlichungen amerikanischer Wissenschaftler verweist. Das aber bedeutet, daß sich eine solche Investition nach etwa 100 Straftaten mit einer Schadenssumme von ca. 11.000,00 DM, wie sie im vorliegenden Fall gegeben war, amortisieren würde. Unter diesen Umständen erscheint es deshalb nicht mehr ausgeschlossen, daß einer der Geheimschlüssel bereits von einer kriminellen Organisation, die über die notwendigen Finanzen zur Anschaffung der technischen und persönlichen Mittel verfügt, "geknackt" wurde und nun gestohlene EC-Karten damit, im Falle des Poolschlüssels eventuell sogar europaweit, ausgenutzt werden. Dem kann nicht durchgreifend entgegengehalten werden, daß hierüber noch nichts bekannt geworden sei und daß dann auch schon weit mehr Schadensfälle zu erwarten gewesen wären. Denn immerhin betrug die Anzahl der Straftaten mittels rechtswidrig erlangter Karten für Geldausgabe und Kassenautomaten nach der Statistik des Bundeskriminalamtes allein in der Bundesrepublik 1995 - 23.315 Fälle mit einer Gesamtschadenssumme von 30,8 Millionen DM, während es 1994 erst 17.354, 1993 - 10.754 und 1992 - 9080 Fälle waren, worauf auch der Sachverständige ... in seinem schriftlichen Gutachten hingewiesen hat (vgl. Polizeiliche Kriminalstatistik für die Bundesrepublik Deutschland, herausgegeben vom Bundeskriminalamt: Berichtsjahr 1995, S. 206 Tabelle 07 und S. 250 Ziff. 2.21; Berichtsjahr 1993, S. 227 Tabelle 01; Berichtsjahr 1992. S. 221 Tabelle 01).
Da im vorliegenden Fall über den Täter nichts bekannt ist, kann deshalb nicht ausgeschlossen werden, daß er Verbindungen zu einer kriminellen Organisation hatte, die über den Schlüssel zur Ermittlung der Geheimzahl verfügt.
Ein Ausspionieren der PIN anläßlich einer früheren Benutzung scheidet dagegen aus, weil der Kläger die PIN, obwohl sie ihm schon 1982 zugeteilt wurde, nach seinen unwiderlegten glaubhaften Angaben nie verwandt hat und sich auch in den Kontounterlagen der Beklagten keine Hinweise auf eine solche Verwendung fanden.
Dieser Umstand spricht dann aber auch dagegen, daß der Kläger die PIN, obwohl er sie nie benutzte, als Notiz zusammen mit der Karte aufbewahrte. Vielmehr legt dies die Annahme nahe, daß die PIN von dem Täter eigenständig ermittelt wurde.
Eine als Mitverschulden zu wertende Pflichtverletzung des Klägers im Umgang mit der PIN ist somit nicht feststellbar.
Zu bejahen ist jedoch ein Mitverschulden wegen der verspäteten Meldung des Verlustes und der damit verspätet ausgelösten Sperrung der Karte. Nach den weiteren Regelungen in den eingangs erwähnten besonderen Vertragsbedingungen der Beklagten liegt nämlich eine grob fahrlässige Pflichtverletzung des Karteninhabers vor, wenn er den Kartenverlust der bank oder dem zentralen Sperrannahmedienst schuldhaft nicht umgehend mitteilte. Hiergegen hat der Kläger verstoßen. Wie er selbst einräumt, hat er den zentralen Sperrannahmedienst erst um 16.17 Uhr benachricht, obwohl er das Fehlen der Karte bereits um 14.30 Uhr bemerkt hatte. Unter Zubilligung einer angemessenen Frist zur Überprüfung des Sachverhalts und zur Ermittlung der Telefonnummer des Sperrannahmedienstes oder der Bank hätte der Klager den Verlust aber spätestens nach einer Stunde um 15.30 Uhr melden und die Sperre somit auslösen müssen. Dabei kann ihn nicht der Umstand entschuldigen, daß die Telefonnummer des zentralen Sperrannahmedienstes nach seiner Einlassung ständig besetzt gewesen sei. In diesem Fall hätte er, wie es auch in den Vertragsbedingungen vorgesehen ist, die Beklagte benachrichtigen müssen, die dann die Sperrung vorgenommen und so weitere Abhebungen verhindert hätte. Das aber hat der Kläger unterlassen, so daß er gemäß den genannten Bedingungen die nach 15.30 Uhr eingetretenen Schäden in vollen Umfang tragen muß. Insoweit kann seine Berufung daher keinen Erfolg haben.
Im übrigen aber ist die Beklagte verpflichtet, den Schaden zu tragen und deshalb die von aufgrund der bis 15.30 Uhr getätigten Kartenverfügungen vorgenommenen Kontobelastungen wieder rückgängig zu machen.
An der Aktivlegitimation des Klägers bestehen dabei keine Bedenken, zumal seine Ehefrau ihre Ansprüche als Kontomitinhaberin durch Erklärung vom 25.03.1995 an den Kläger abgetreten hat. Dieser wäre aber auch nach § 432 Abs. 1 BGB als Kontomitinhaber berechtigt gewesen, den auf eine Berichtigung des Kontostandes gerichteten Klageanspruch geltend zu machen.
Die Nebenentscheidungen beruhen auf § 92 Abs. 1, 708 Ziffer 10, 711, 713, 546 Abs. 1 ZPO.
Die Revision war entgegen der Anregung der Beklagten nicht nach § 546 Abs. 1 Nr. 1 ZPO zuzulassen, da die grundsätzliche Bedeutung dieser Sache, ob die PIN auch ohne Zutun des Karteninhabers ermittelt werden kann, eine Tatsachenfrage technischer Art ist, die der Überprüfung durch das Revisionsgericht nicht unterliegt.