Vorsicht, unfaire Banken-AGB-Änderungen
Alle deutschen Banken haben in den vergangenen Wochen AGB-Änderungen angekündigt, als Reaktion auf die EU-Zahlungsdiensterichtlinie bzw. deren Umsetzung in deutsches Recht. Die Banken weisen auf die Änderungen unterschiedlich transparent hin und gestalten die neuen AGB auch unterschiedlich kundenfreundlich. Die Änderungen umfassen unter anderem, dass Banken in Zukunft auch bei Papierüberweisungen nicht mehr prüfen müssen, ob Empfängerkontonummer und -name zusammenpassen (bisher war das nur bei Onlineüberweisungen so). Das Zurückrufen von Ãœberweisungen, welches zumindest theoretisch bisher in einem engen Zeitrahmen möglich war, wurde glaube ich auch eingeschränkt. So weit, so schlecht, für jemanden der eh immer Online überweist ändert sich nicht viel – dachte ich. Falsch gedacht, erfahre ich jetzt durch einen Artikel bei der SZ: Wenn einem ohne Verschulden die EC-Karte geklaut wird, und diese dann genutzt wird, bevor man sie sperren kann, haftet man bis 150 EUR für den entstandenen Schaden. (Siehe dazu die Ãœberlegungen unten zum Thema „Missbrauch ohne PIN“.) Wie ich zum Schluss herausgefunden habe, gibt es ähnliche Regelungen auch für das Onlinebanking, siehe unten!
Die Postbank verschickt „kleine“ Broschüren, Format ungefähr DIN Lang, Schriftgröße ca. 8. Umfang: 104 Seiten. Auf den ersten 7 Seiten gibt es eine „kurz“zusammenfassung der Änderungen in AGB und Bedingungen für einzelne Produkte. Zu „Bedingungen für die Postbank Card, für die MasterCard und VISA Card“ heißt es dort nur:
In den Bedingungen für die erwähnten Karten werden u. a. die Regelungen zur Sperrung der Karte, zum sorgfältigen Umgang mit Karte und Geheimzahl (PIN) sowie zur Haftung bei missbräuchlichen Verfügungen mit der Karte an das neue Zahlungsrecht angeglichen.
Ein schöner Euphemismus für „In Zukunft haften Sie bis 150 EUR, wenn Ihnen jemand die Karte klaut, selbst wenn sie alle Sicherheitsregeln beachten und den Diebstahl melden sobald sie ihn bemerkt haben“. Es wird auch der Eindruck erweckt, die Änderungen müssten aufgrund des neuen Gesetzes (hier: der neue § 675v BGB) so sein. Natürlich muss die Bank den Kunden nicht in die Haftung nehmen, sie nutzt aber die Gelegenheit, im Rahmen von zahlreichen unbedeutenden Änderungen auch gleich noch diese neue Möglichkeit so gut es geht auszunutzen. Verschärfend kommt hinzu, dass in den AGB selbst die Änderungen hervorgehoben werden, in den anderen Abschnitten jedoch nicht. So entsteht der Eindruck, der Rest hätte sich nicht geändert – auch ich bin ursprünglich darauf reingefallen. Die bisherige Regelung war so einfach wie kundenfreundlich (die alten Bedingungen können zumindest jetzt wo ich das hier schreibe noch hier abgerufen werden):
[Die Bank] übernimmt auch die bis zum Eingang der Verlustanzeige entstehenden Schäden, wenn der Karteninhaber die ihm nach diesen Bedingungen obliegenden Pflichten erfüllt hat.
Die neue Regelung von Seite 70 der Broschüre (Hervorhebung von mir):
Verliert der Karteninhaber seine Karte oder PIN, werden sie ihm gestohlen oder kommen sie sonst abhanden und kommt es dadurch zu nicht autorisierten Kartenverfügungen in Form von
– Abhebung von Bargeld an einem Geldautomaten
– Verwendung der Karte an automatisierten Kassen von Handels- und Dienstleistungsunternehmen
– Aufladung der GeldKarte
– Verwendung der Karte zum Aufladen eines Prepaid-Mobilfunk-Kontos,
so haftet der Kontoinhaber für Schäden, die bis zum Zeitpunkt der Sperranzeige verursacht werden, in Höhe von maximal 150 Euro, ohne dass es darauf ankommt, ob den Karteninhaber an dem Verlust, Diebstahl oder sonstigen Abhandenkommen ein Verschulden trifft.
Bei grober Fahrlässigkeit gilt die Begrenzung auf 150 EUR „natürlich“ nicht. Unter „automatisierten Kassen“ dürften normale Kassen mit EC-Terminal zu verstehen sein und nicht nur Self-Checkouts oder Automaten mit Kartenzahlung (z. B. DB-Ticket-Automaten), siehe hier. UPDATE: Die Postbank-Pressestelle sieht das nach Rücksprache mit den Juristen anders, in einer digital signierten Mail schreibt sie: „Eine „automatisierte Kasse“ ist eine solche, die ohne Einsatz von Personal arbeitet. Die Regelung bezieht sich also nur auf Automaten.“ – ich kann das nicht beurteilen, bin aber froh, diese Aussage signiert vorliegen zu haben..
Einige andere nette Sachen, von denen ich aber nicht genau weiß ob ich sie richtig verstanden habe:
- In den AGB war bisher sichergestellt, dass die Postbank AGB-Änderungen zwar für Onlinekunden Online übermitteln darf, „wenn die Art der Ãœbermittlung es dem Kunden erlaubt, die Änderungen in lesbarer Form zu speichern oder auszudrucken„. Jetzt reicht es, wenn die Bank die AGB „anbietet“, der zitierte Teilsatz mit dem Speichern bzw. Ausdrucken ist weggefallen.
- Wie wohl im Gesetz festgelegt, gibt es bei den Kartenbedingungen eine Regelung, dass bei unautorisierten Kartenverfügungen die Bank den Betrag unverzüglich und ungekürzt erstatten muss. (S. 68, 12.1) Allerdings findet sich eine Ausnahme (12.4, S. 69f.), welche Ansprüche gegen die Bank z. B. dann ausschließt, wenn (Abs. 2) „die einen Anspruch begründenden Umstände auf einem ungewähnlichen und unvorhersehbaren Ereignis beruhen, auf das die Bank keinen Einfluss hat und dessen Folgen trotz Anwendung der gebotenen Sorgfalt von ihr nicht hätten vermieden werden können“. Ob das z. B. auch abdeckt, wenn jemand die als sicher geltenden Kryptoschlüssel der Bank knackt und darüber das Konto leert? (Ich befürchte, das erfährt man verbindlich erst nach 3-10 Prozessjahren vom Richter)
UPDATE: Zum zweiten Punkt habe ich eine Auskunft der Postbank-Pressestelle:
Frage:
Punkt 12.4 Abs. (2) der Bedingungen für die PostbankCard schließt Ansprüche gegen die Bank für Fälle aus, die auf einem ungewöhnlichen, unvorhergesehenen Ereignis beruhen, auf das die Bank keinen Einfluss hat und dessen Folgen sie nicht vermeiden konnte. Bezieht sich das auch auf den Anspruch des Kunden aus 12.1, dem Kontoinhaber Beträge nicht autorisierter Kartenverfügungen zu erstatten?Antwort:
Formal gesehen ist das richtig. Die Postbank und die übrigen Banken sowie auch alle Sparkassen setzen damit § 676c Nr. 1 BGB um. Danach sind Erstattungs- und Schadensersatzansprüche ausgeschlossen, wenn die einen Anspruch begründenden Umstände auf einem ungewöhnlichen und unvorhersehbaren Ereignis beruhen, auf das diejenige Partei, die sich auf dieses Ereignis beruft, keinen Einfluss hat, und dessen Folgen trotz Anwendung der gebotenen Sorgfalt nicht hätten vermieden werden können. Der deutsche Gesetzgeber war gehalten, eine entsprechende Regelung in das deutsche Recht einzuführen, weil sich eine inhaltsgleiche Regelung in Art. 78 der Zahlungsdiensterichtlinie befindet. Im Ergebnis dürfte die Regelung in der Praxis keine Rolle spielen. Es sind so gut wie keine Fälle denkbar, in denen eine nicht autorisierte Lastbuchung auf einem ungewöhnlichen und unvorhersehbaren Ereignis beruht.
Wie das bei den geknackten Kryptoschlüsseln aussehen würde, weiß ich natürlich trotzdem nicht. Ungewöhnlich wäre es sicher und bei entsprechend plötzlichen Entdeckungen in der Kryptoanalyse sicher auch unvorhersehbar, ob die Bank aus rechtlicher Sicht darauf „Einfluss“ hat kann ich nicht beurteilen. Ich bezweifle aber, dass Banken sich bei einem weitreichenden Missbrauch trauen würden, das Vertrauen der Kunden derart zu untergraben und den Abschnitt auszunutzen, und dass die Politik da nicht einschreiten würde – trotzdem steht das erst einmal so drin.
Ich bin mir sicher, dass die über 100 Seiten der Broschüre noch andere „nette“ Sachen enthalten, doch ein Anwalt, der die alle raussucht und erklärt dürfte mehr kosten als auf dem Konto drauf ist.
Auch eine Broschüre der Frankfurter Sparkasse 1822 habe ich in die Finger bekommen. 31 Seiten DIN A4, davon 5 mit Erklärung der Änderungen in fast normaler Schriftgröße 10. Der Rest scheint mir noch kleiner als bei der Postbank gedruckt zu sein. Es fehlen Hervorhebungen, was sich geändert hat, sodass der Kunde keine realistische Chance hat, sich darüber zu informieren. Die Regelung für EC-Karten ist wie bei der Postbank formuliert, allerdings findet sich wenige Absätze darunter die Aussage, dass die Sparkasse alle Schäden übernimmt, wenn der Kunde sich nicht grob fahrlässig verhalten hat, das glaubhaft darlegt und Anzeige bei der Polizei erstattet. Die Frankfurter Sparkasse verhält sich in diesem Punkt also fair, durch die fehlende Hervorhebung der Unterschiede sind die Änderungen aber äußerst intransparent.
Eine PDF-Version der Comdirect-Broschüre habe ich mir auch anschauen können. Inhaltlich sieht es ähnlich wie bei der Postbank aus: 150 EUR Selbstbeteiligung auch ohne Verschulden, die zusätzlichen Punkte finden sich so ähnlich auch wieder. Änderungen sind in der 35 A4-Seiten in kleiner Schriftgröße umfassenden Infobroschüre zwar durchgehend markiert, bestehen zum Teil aber schonmal aus fast komplett durchgestrichenen und neu eingefügten Seiten, sodass man die Unterschiede auch nicht wirklich sehen kann. Auf die 150 EUR Selbstbeteiligung wird in der Zusammenfassung hingewiesen, es wird aber nur die neue Regelung erwähnt. Die bisherige Regelung (wie bei der Postbank Übernahme der Schäden durch die Bank wenn der Karteninhaber die Sicherheitsregeln eingehalten hat) kann man im Volltext nachlesen, da Änderungen inkl. Streichungen gekennzeichnet sind.
Die Pressestelle der Postbank war für eine Stellungnahme nicht zu erreichen. (Update: Inzwischen schon.) Die Frankfurter Sparkasse habe ich nicht befragt, da mir keine konkreten kundenunfreundlichen Sachen aufgefallen sind (wie auch, wenn die Änderungen nicht markiert sind), und ich daher keine gezielten Fragen hätte stellen können. Die Pressestelle der Comdirect war sehr freundlich und ist gut auf meine Fragen eingegangen. Außer den genannten Punkten sollen keine weiteren Sachen, die für den Kunden nachteilig sein könnten, in den neuen AGB stehen. Weiterhin wurde darauf verwiesen, dass die Comdirect bei allen Missbrauchsfällen eine Einzelfallprüfung vornimmt und wenn der Kunde nichts falsch gemacht hat, ggf. den Schaden aus Kulanz trägt. Dabei handelt es sich natürlich um eine freiwillige Regelung, auf die man sich nicht verlassen kann. Allerdings dürfte es auch im Sinne der Bank sein, sich kulant zu zeigen, weil ansonsten nicht nur der Ruf der Bank, sondern auch der des bargeldlosen Zahlens leidet und mehr Menschen auf Bargeld ausweichen. Ergänzung: Bei „leichter“/“normaler“ Fahrlässigkeit gilt die Begrenzung auf 150 EUR auch. Ob das eine Verbesserung ist, bezweifle ich, da ich denke dass die bisher für eine Haftung des Kunden nötige Missachtung der Sicherheitsregeln eh unter „grob fahrlässig“ erfasst wäre.
Die Missbrauchsmöglichkeiten einer Karte sind mir nicht ganz klar. Auf der einen Seite kann natürlich ein Räuber die Karte an sich reißen und mit vorgehaltenem Messer die Herausgabe der PIN verlangen. Dann wäre man auf die Kulanz der Bank angewiesen. Andererseits kann man aber mit einer gestohlenen Karte auch per Unterschrift (ohne PIN) zahlen. Dann handelt es sich um eine Lastschrift, welche man innerhalb von 6 Wochen widerrufen kann. Laut Pressestelle der Comdirect bleibt man also bei einem Kartenmissbrauch ohne PIN nicht auf dem Schaden sitzen, das Pech hätte dann der Händler, der die gefälschte Unterschrift akzeptiert hat. Ob das so stimmt, kann ich nicht beurteilen, ich gehe aber davon aus. UPDATE: Bestätigt von der Postbank-Pressestelle.
Ergänzung: In der Vergangenheit sind einige Fälle bekannt geworden, die gezeigt haben, dass das damalige Sicherheitskonzept der Banken eine Einladung zum PIN-losen Missbrauch war. Beim derzeitigen System sind mir sollte Missstände nicht bekannt, insbesondere werden die PINs heutzutage nicht mehr mies verschlüsselt auf dem Magnetstreifen abgelegt.
Den richtigen Hammer kommt aber zum Schluss: Alle drei Geldinstitute, Postbank, Frankfurter Sparkasse und Comdirect, haben eine vergleichbare Haftungsklausel bis 150 EUR auch beim Onlinebanking. Fast wortgleich steht in den AGB:
(1) Beruhen nicht autorisierte Zahlungsvorgänge vor der Sperranzeige auf der Nutzung eines verlorengegangenen, gestohlenen oder sonst abhandengekommenen Authentifizierungsinstruments, haftet der Kontoinhaber für den der Bank hierdurch entstehenden Schaden bis zu einem Betrag von 150 Euro, ohne dass es darauf ankommt, ob den Teilnehmer an dem Verlust, Diebstahl oder sonstigen Abhandenkommen des Authentifizierungsinstruments ein Verschulden trifft.
(2) Kommt es vor der Sperranzeige zu nicht autorisierten Zahlungsvorgängen aufgrund einer missbräuchlichen Verwendung eines Authentifizierungsinstruments, ohne dass dieses verlorengegangen, gestohlen oder sonst abhandengekommen ist, haftet der Kontoinhaber für den der Bank hierdurch entstehenden Schaden bis zu einem Betrag von 150 Euro, wenn der Teilnehmer seine Pflicht zur sicheren Aufbewahrung der personalisierten Sicherheitsmerkmale schuldhaft verletzt hat.
Bemerkt habe ich das erst heute per Zufall, als ich im AGB-PDF nach „150“ suchte um die Stelle zur Kartenhaftung wiederzufinden. Die Pressestellen sind heute natürlich nicht besetzt. Probleme sehe ich aus mehreren Gründen: Die PIN und die TAN-Listen werden per Post verschickt. Auch wenn die Briefe meist mehrere Tage getrennt voneinander verschickt werden, kann es passieren, dass diese gestohlen werden. Dafür würde nach dem Wortlaut der Regelungen der Kunde haften. Man müsste im Schadensfall auf die Kulanz der Banken (die sich aber gerne darauf berufen, dass sowas nicht passieren kann, da die Briefe ja separat verschickt werden) oder auf einen Richter hoffen, der die Regelung für unverhältnismäßig erklärt. Beides ist ein eigentlich nicht akzeptables Risiko. UPDATE: Laut Auskunft der Postbank-Pressestelle (per digital signierter Mail) haftet in diesem Fall dann doch die Bank nach § 675m (4) BGB, so wie es sein sollte. Aus den AGB herauslesen ohne Kenntnis des Gesetzestextes kann das der Kunde aber nicht. Der Absatz (2) zeigt, dass ein Unterschied gemacht wird zwischen einem gestohlenen Authentifizierungsmerkmal und einem kopierten. Bei Angriffen mittels Trojaner dürfte der erste Absatz somit nicht anzuwenden sein. UPDATE: Bestätigt von der Postbank-Pressestelle. Vor solchen Angriffen kann sich ein Normalnutzer meines erachtens nicht schützen – der einzige Schutz ist, dass die Bank den Schaden trägt, wenn die Sorgfalt beachtet wurde (also PIN nicht aufgeschrieben, die nutzlose Antivirensoftware aktuell gehalten etc.)
Durch die neuen AGB kann man meiner Ansicht nach also beim Onlinebanking für Vorfälle haften, die man nicht vermeiden kann, z. B. in der Post gestohlene Briefe. Ergänzung: Auf eine Stellungnahme von Postbank und Sparkasse warte ich noch, die Comdirect verweist wieder auf Einzelfallprüfung und Kulanz. In den alten AGB habe ich keine eindeutige Regelung zur Haftung gefunden.
Fazit: Die Frankfurter Sparkasse 1822 ist wenigstens bei der Kartenzahlung fair. Sowohl Postbank als auch Comdirect nutzen meiner Meinung nach auf unfaire Weise sowohl das neue Gesetz voll aus als auch die tolle Gelegenheit, den Kunden unbemerkt ein paar nette neue Überraschungen in die AGB zu setzen. Keiner kann ernsthaft erwarten, dass ein Kunde einen solchen Wust an kleingedrucktem Text tatsächlich liest. Ich finde es daher auch schade, dass AGBs einer solchen Länge zulässig sind.
An dieser Stelle bleibt auch nur, unseren Politikern für diese tollen Regelungen zu danken. Denn nach Art. 61 Abs. 3 der EU-Richtlinie dürfen Mitgliedsstaaten durchaus diese Haftungsgrenze nach unten anpassen.
Wer noch weitere, bedeutende Fiesheiten kennt oder juristisch fundiertes und mit Quellen belegtes Wissen beitragen kann, ist herzlich dazu eingeladen, unten die Kommentarfunktion zu nutzen. Auch Hinweise auf Banken mit fairen AGB nehme ich entgegen, bitte aber mit Link auf eine online einsehbare Version der neuen AGB.
Sicherheitshalber der Hinweis: Ich bin kein Jurist, außerdem bin ich noch ein Mensch, und Menschen können sich irren. Ich werde Fehler natürlich korrigieren, wenn ich davon erfahre.
Jan Schejbal 
Was ist denn daran unfair, dass ich selber hafte, wenn ich meine Karte verliere?
Wenn ich einen 100€-Schein auf der Straße verliere, ersetzt mir den auch keiner.
@2 (Anonym): Ich zumindest laufe nicht mit 150 EUR in der Tasche rum, eben weil man Bargeld verlieren kann. Ein Vorteil des bargeldlosen Zahlens soll ja eben sein, dass man keine großen Bargeldbeträge mit sich rumschleppen muss, welche man verlieren könnte. Sieh es mal andersrum: Ich sehe wiederum nicht ein, warum ich dafür haften soll, wenn die Bank oder ihr Vertragspartner jemandem Geld geben, den sie nicht kennen und der auf das Geld kein Anrecht hat.
Der Finder des 100€-Scheins kennt dich auch nicht und hat auch kein Anrecht auf das Geld.
Fakt ist: Wird eine ec-Karte missbraucht, ist das Geld weg. Einer muss haften. Entweder die Bank, oder derjenige, der so blöd war, die Karte zu verlieren.
Für mich ist es recht offensichtlich, wer haften sollte. Und wenn die Bank für alles über 150€ die Haftung übernimmt, solltest du ihr eher dankbar sein!
Ein Schreien nach dem Staat ist hier sicherlich unangebracht.
@4 (Anonym): Darüber, wer wie haften soll, können wir durchaus unterschiedlicher Meinung sein, und ich kann deine Meinung auch nachvollziehen, obwohl ich sie nicht teile. Fakt ist allerdings, dass bisher bei korrektem Verhalten des Kunden die Bank die Schäden zu tragen hatte, sodass die AGB-Änderungen in diesem Punkt zu Ungunsten des Kunden ausfallen.
„Die Missbrauchsmöglichkeiten einer Karte sind mir nicht ganz klar. Auf der einen Seite kann natürlich ein Räuber die Karte an sich reißen und mit vorgehaltenem Messer die Herausgabe der PIN verlangen. Dann wäre man auf die Kulanz der Bank angewiesen. Andererseits kann man aber mit einer gestohlenen Karte auch per Unterschrift (ohne PIN) zahlen. Dann handelt es sich um eine Lastschrift, welche man innerhalb von 6 Wochen widerrufen kann. Laut Pressestelle der Comdirect bleibt man also bei einem Kartenmissbrauch ohne PIN nicht auf dem Schaden sitzen, das Pech hätte dann der Händler, der die gefälschte Unterschrift akzeptiert hat. Ob das so stimmt, kann ich nicht beurteilen, ich gehe aber davon aus.“
Naja…
„Seit zumindest 2002 ist in CCC-Umkreisen bekannt, dass die schweizer Debitkarte der PostFinance von POS-Terminals als „echt und vertrauenswürdig“ erkannt wird, wenn sie eine gültige Signatur des Kartenausgebers trägt. Diese Signatur basiert auf einem nur 320 Bit langen RSA-Schlüssel, der auf handelsüblichen Rechnern innert Stunden geknackt werden kann.“
http://www.ccc.de/updates/2007/postfinance-postcard
„Sollte es entgegen der einschlägigen Gutachtermeinung doch möglich sein, eine PIN aus den Kartendaten zu ermitteln? – Tatsächlich legte Gelddrucker Siegfried Otto (Giesecke & Devrient) bereits 1982 in einem Beitrag in der ‚Betriebspraxis‘ dar, daß die PIN aus nichts anderem als den statischen (d. h. sich nicht verändernden) Daten auf dem Magnetstreifen errechnet wird. Jeder Geldautomat macht bei einer Abhebung nichts anderes, wie sollte er sonst offline und ohne Hilfe der Bankzentrale die Gültigkeit der PIN ermitteln.
Man mag dagegenhalten, daß zur Dechiffrierung der (lediglich 56 Bit = 7 Zeichen lange) DES-Schlüssel bekannt sein muß. Der ist, so die Banken, schließlich hochgeheim und nur ganz, ganz wenigen Auserwählten bekannt; das Ausprobieren nach der Holzhammermethode würde selbst auf einer Workstation-Farm angeblich mehrere tausend Jahre dauern.
Aber irgendwie gelangt der Code ja in die Automaten (siehe Kasten ‚Das Sicherheitsmodul‘) – und hier kommt der menschliche Divisor ins Spiel. Der britische Kryptologieexperte Ross Anderson, der bereits einige Banken in Sicherheitsbelangen beraten hat, beziffert in seiner schockierenden, sehr lesenswerten Abhandlung [[#literatur 2]] die durch Sicherheitsverletzungen verursachten Entlassungen bei Banken auf 1 % des Mitarbeiterstamms pro Jahr. Daraus resultiert bei einer Großbank mit 50 000 Angestellten eine Wahrscheinlichkeit von zwei ernsten Vorfällen pro Geschäftstag. Dieses jedoch scheinen die Kreditinstitute einfach nicht wahrhaben zu wollen – grundsätzlich wird im Schadensfall die Schuld beim Kunden und nicht im System oder in den eigenen Reihen gesucht, frei nach dem Motto: Was nicht sein darf, kann nicht sein.“
„Die größte Gefahr liegt aber ohne Zweifel in der Sorglosigkeit von Kunden und Angestellten. In einem 1994 von RTL ausgestrahlten Experiment kopierten wir die Magnetspur einer Eurocard auf eine VISA-Kreditkarte (mit Foto!) und kauften damit munter ein. An keinem einzigen POS (Point of Sale) fiel dem Verkäufer auf, daß noch nicht einmal das Kreditunternehmen im Kassenausdruck mit der Karte übereinstimmte, geschweige denn die Kontonummer. Bei einem derart laxen Umgang wird auch die vielgepriesene Smart Card kaum Sicherheitsvorteile bieten.“
http://www.heise.de/ct/artikel/Nur-Peanuts-284608.html
Die GLS Bank hat zwar die gleiche mieße Änderung „gleich mal mit erledigt“, informiert aber wenigstens ordentlich darüber:
http://www.gls.de/metaseiten/haeufige-fragen/fragen-zu-unseren-neuen-agb/verlust-ec-geldkarte.html
Die ganze Diskussion ist schon komisch…
In Mißbrauchsfällen sind die Banken echt kulant. Ich war z.B. Opfer eines Skimming- Falls (Karte wurde kopiert) und habe von meiner Bank (Deutsche Bank) sofort einen zinslosen Kredit bekommen, der dann nach 6 Wochen direkt von der Bank wieder direkt ausgeglichen wurde. Mein Schaden war also 0,- EUR und ich musste gar nichts nachweisen, sondern wurde sogar von meinem Berater direkt angesprochen. Das fand ich sehr kulant!
Wenn ich jetzt so blöd bin und meine Karte ist mit PIN weg, dann finde ich es schon klasse, wenn alles über 150,- EUR die Bank trägt. Ich frage mich, warum die Bank den Schaden eigentlich tragen sollte??? Diese Logik verstehe ich nicht.
Ob das wirklich „Kulanz“ war oder die Bank nur genau das gemacht hat wozu sie nach einem teuren, imageschädigenden Rechtsstreit gezwungen worden wäre? Ich gehe von letzterem aus. Das damalige Recht war recht eindeutig auf Kundenseite.
Wenn du grob fahrlässig handelst, also z. B. die PIN aufschreibst, haftest du weiterhin unbegrenzt!
So oder so sind die Banken natürlich weiterhin bemüht, den Ruf des Kartensystems zu erhalten, weil sie stark davon profitieren. Da lohnt sich Kulanz selbst in Fällen, wo es echte Kulanz ist. Allerdings erinnere ich mich an Medienberichte, wo die Banken dann bei weitem nicht so kulant waren.
Hi FabianK,
Du schreibst „Irgendwie gelangt der Code ja in den Automaten“. Als gelernter (aber seit 2003 nicht mehr praktizierender Deutsch-) Banker mit Informatikstudium kann ich Dir dazu nur eine Antwort geben: Nein, tut er nicht. Das funktioniert anders, zumindest bei der DB.
Aus der PIN wird unter Zuhilfenahme einiger statischer Kartendaten ein sog. Hash berechnet, und der wird dann an die Bank übertragen. Der gleiche Hash ist im Zentralsystem der Bank gespeichert und dort werden dann die Hashes verglichen. Die Funktionen mit denen so ein Hash berechnet wird, sind so aufgebaut, dass sie nur in eine Richtung berechnet werden können, d.h. man kann aus dem Hash nicht die PIN errechnen, auch dann nicht, wenn man die Kartendaten kennt. Simples Beispiel für so eine Rechnung: 10/8= 1 Rest 2, 18/8 = 2 Rest 2. => Der Rest ist gleich und ich kann aus ihm nicht berechnen, ob die PIN 10 oder 18 ist. Und das ganze ist in der Praxis so komplex gestaltet, dass die Rückwärtsrechnung ungeachtet des technischen Fortschrittes Jahrhunderte dauern würde…
Und die Frage am Anfang, wie ein GA das offline macht ist auch schnell beantwortet: Gar nicht, die Dinger sind immer online bzw. schalten auf Störung, wenn sie offline sind.
Umgekehrt bedeutet das aber auch, dass für dieselbe Karte theoretisch mehrere PINs gültig sind, wobei man aber heute Hashfunktionen nimmt, die nur in Ausnahmefällen den selben Hash für zwei verschiedene PINs liefern. Und ausserdem kann es durchaus sein, dass das bei dem vom CCC erwähnten System Carte bleue anders ist und man dort die PIN tatsächlich berechnen kann. Im EC-System geht das jedenfalls nicht.
Gruß
FB
Das Problem bei Hashes ist, dass man eine Offline-Bruteforce-Attacke gegen den Hash fahren kann. D.h. man probiert alle möglichen PINs von 0000 bis 9999 aus ob sie zum Hash passen. Das dürfte wenige Sekunden dauern (wenn Gegenmaßnahmen getroffen wurden vielleicht Stunden). Früher wurde eine Art Hash verschlüsselt auf dem Magnetstreifen gespeichert. Hätte jemand die DES-Verschlüsselung geknackt (aufwändig, aber auch damals im Bereich des Machbaren) hätte er darüber die Hashes und somit die PINs (bzw. PINs die den gleichen Hash ergeben) ermitteln können. Betrifft moderne Karten aber nicht mehr.
Carte bleue war im Chip-Modus konzeptionell völliger Schrott (die Karte entschied selbst ob die PIN gültig ist -> Bock zum Gärtner gemacht), mit dem EC-System nicht vergleichbar. Der Magnetstreifen war bei den Karten wohl wie bei den alten EC-Karten aufgebaut -> DES-Lücke.
Mir wurde diese Woche meine Einkaufstasche geklaut. Erst 2 Tage später bemerkte ich dass meine Bankkarte auch drin war. Ich ließ die Karte sperren und sah dann dass jemand für 350Euro an einem Tag bei STARBUCKS mit meiner gefälschten Unterschrift gespeist hat. Nach langem Suchen und Gesprächen mit den Verkäuferinnen stellte sich heraus, dass ein 14jähriges Mädche mit ihren Freundinnen in 3Fillialen war und immer wieder bestellt und mit Karte und Unterschrift bezahlt hat.
Die Bank wird für meinen Schaden nicht haften..hab erstmal alle Zahlungen zurückbuchen lassen..bald wird sich starbucks melden und sein Geld wollen..
Ob Starbucks die Belege mit der gefälschten Unterschrift vorlegt ist fraglich..ansonsten habe ich keine Chance zu beweisen, dass die Zahlungen nicht von mir getätigt wurden.
Die Postbank speiste mich lediglich mit 2Sätzen ab..“seien sie froh, dass sie keinen dispo haben“.
Einen Filialleiter gab es nicht, der werde wohl ab Oktober anfangen…
Ich kann mich nicht erinnern je Unterschrieben zu haben, dass ich diese Zahlungsart (lediglich Unterschrift) akhzeptiere..das abstellen wollte die Postbank auch nicht.
Dieses unsichere System mit dem Starbucks sich die Beiträge spart wird dem einfachen Kunden zum Verhängnis. Das Risiko darf doch nicht auf den Kunden übertragen werdedn, wenn allein Starbucks den Vorteil hat…
Keine Panik. AFAIK, laut allen mir bekannten Auskünften bleibt Starbucks auf dem Schaden sitzen. Ich bin kein Anwalt und meine Aussagen sind nur nach bestem Wissen und Gewissen, aber soweit ich weiß gilt beim Unterschriftenverfahren das gleiche wie bei einer normalen Lastschrift: Rückbuchung problemlos möglich! Wenn Starbucks das Geld will, müssen sie beweisen, dass sie einen Anspruch darauf haben, und ggf. einklagen. D.h. sie müssen beweisen, dass sie einen Anspruch haben, und nicht du das Gegenteil! Das Vorliegen der Karte dürfte zwar als Indiz gelten, aber sowohl die hohe Summe (wie schafft man so viel bei Starbucks in so kurzer Zeit?) als auch deine hoffentlich erfolgte Strafanzeige wegen Diebstahls (auch wenn es nichts bringt, es geht um die Bescheinigung der Polizei) dürften das ziemlich erschüttern. Wenn Starbucks die Unterschrift nicht vorlegen kann, dürfte das also meiner Einschätzung nach eher für die als für dich ein Problem sein.
So wie ich das verstanden habe, hast du:
a) dein Geld zurück
b) eine mündliche Aussage, dass deine Karte missbraucht wurde
Wenn du die Aussage der Verkäuferin schriftlich bekommen könntest und vielleicht sogar dafür sorgen kannst, das Bilder einer eventuell vorhandenen Videoüberwachungsanlage nicht gelöscht werden, wäre dein Problem vermutlich endgültig erledigt, so es das nicht jetzt schon ist.
Das sieht das „Team Kundenbetreuung“ der Postbank mit Schreiben vom 20.04.2011 aber anders.
Mir wurde die Postbank Card gestohlen, 1000 Euro abgehoben, PIN hatte ich nur im Kopf. Kurz zuvor war mit der Card und PIN an einer Supermarktkasse bezahlt worden.
Ich hatte beim Widerspruch gegen die Belastung verwiesen auf die gesetzgeberisch umgesetzte SEPA-Richtlinie, auf den neuen § 676 h BGB, sogar auf die Möglichkeit der Ausspähung am Supermarktkasseneingabegerät verwiesen. Trotzdem wurde Erstattung komplett abgelehnt mit dem lapidaren Textbaustein:
„Eine Kartensperre kann von der Bank immer erst nach der Verlustanzeige durchgeführt werden. Bis zu diesem Zeitpunkt trägt der Karteninhaber das Missbrauchsrisiko“.
Jetzt bleibt nur Klage gegen die Postbank Рdas erzwingt dieses unerh̦rte Vorgehen der Postbank in diesem klaren Fall.
Ãœbrigens: Wie will denn die Postbank z.B. „Grobe Fahrlässigkeit“ beweisen, wenn man erklärt, die PIN nicht mit oder auf der Karte aufbewahrt zu haben? Der „Anscheinsbeweis“ (Urteil BGH 2004) gilt ja nicht mehr.