Archiv

Archive for 2009-10-10

Vorsicht, unfaire Banken-AGB-Änderungen

2009-10-10 16 Kommentare

Alle deutschen Banken haben in den vergangenen Wochen AGB-Änderungen angekündigt, als Reaktion auf die EU-Zahlungsdiensterichtlinie bzw. deren Umsetzung in deutsches Recht. Die Banken weisen auf die Änderungen unterschiedlich transparent hin und gestalten die neuen AGB auch unterschiedlich kundenfreundlich. Die Änderungen umfassen unter anderem, dass Banken in Zukunft auch bei Papierüberweisungen nicht mehr prüfen müssen, ob Empfängerkontonummer und -name zusammenpassen (bisher war das nur bei Onlineüberweisungen so). Das Zurückrufen von Überweisungen, welches zumindest theoretisch bisher in einem engen Zeitrahmen möglich war, wurde glaube ich auch eingeschränkt. So weit, so schlecht, für jemanden der eh immer Online überweist ändert sich nicht viel – dachte ich. Falsch gedacht, erfahre ich jetzt durch einen Artikel bei der SZ: Wenn einem ohne Verschulden die EC-Karte geklaut wird, und diese dann genutzt wird, bevor man sie sperren kann, haftet man bis 150 EUR für den entstandenen Schaden. (Siehe dazu die Überlegungen unten zum Thema „Missbrauch ohne PIN“.) Wie ich zum Schluss herausgefunden habe, gibt es ähnliche Regelungen auch für das Onlinebanking, siehe unten!

Die Postbank verschickt „kleine“ Broschüren, Format ungefähr DIN Lang, Schriftgröße ca. 8. Umfang: 104 Seiten. Auf den ersten 7 Seiten gibt es eine „kurz“zusammenfassung der Änderungen in AGB und Bedingungen für einzelne Produkte. Zu „Bedingungen für die Postbank Card, für die MasterCard und VISA Card“ heißt es dort nur:

In den Bedingungen für die erwähnten Karten werden u. a. die Regelungen zur Sperrung der Karte, zum sorgfältigen Umgang mit Karte und Geheimzahl (PIN) sowie zur Haftung bei missbräuchlichen Verfügungen mit der Karte an das neue Zahlungsrecht angeglichen.

Ein schöner Euphemismus für „In Zukunft haften Sie bis 150 EUR, wenn Ihnen jemand die Karte klaut, selbst wenn sie alle Sicherheitsregeln beachten und den Diebstahl melden sobald sie ihn bemerkt haben“. Es wird auch der Eindruck erweckt, die Änderungen müssten aufgrund des neuen Gesetzes (hier: der neue § 675v BGB) so sein. Natürlich muss die Bank den Kunden nicht in die Haftung nehmen, sie nutzt aber die Gelegenheit, im Rahmen von zahlreichen unbedeutenden Änderungen auch gleich noch diese neue Möglichkeit so gut es geht auszunutzen. Verschärfend kommt hinzu, dass in den AGB selbst die Änderungen hervorgehoben werden, in den anderen Abschnitten jedoch nicht. So entsteht der Eindruck, der Rest hätte sich nicht geändert – auch ich bin ursprünglich darauf reingefallen. Die bisherige Regelung war so einfach wie kundenfreundlich (die alten Bedingungen können zumindest jetzt wo ich das hier schreibe noch hier abgerufen werden):

[Die Bank] übernimmt auch die bis zum Eingang der Verlustanzeige entstehenden Schäden, wenn der Karteninhaber die ihm nach diesen Bedingungen obliegenden Pflichten erfüllt hat.

Die neue Regelung von Seite 70 der Broschüre (Hervorhebung von mir):

Verliert der Karteninhaber seine Karte oder PIN, werden sie ihm gestohlen oder kommen sie sonst abhanden und kommt es dadurch zu nicht autorisierten Kartenverfügungen in Form von
– Abhebung von Bargeld an einem Geldautomaten
– Verwendung der Karte an automatisierten Kassen von Handels- und Dienstleistungsunternehmen
– Aufladung der GeldKarte
– Verwendung der Karte zum Aufladen eines Prepaid-Mobilfunk-Kontos,
so haftet der Kontoinhaber für Schäden, die bis zum Zeitpunkt der Sperranzeige verursacht werden, in Höhe von maximal 150 Euro, ohne dass es darauf ankommt, ob den Karteninhaber an dem Verlust, Diebstahl oder sonstigen Abhandenkommen ein Verschulden trifft.

Bei grober Fahrlässigkeit gilt die Begrenzung auf 150 EUR „natürlich“ nicht. Unter „automatisierten Kassen“ dürften normale Kassen mit EC-Terminal zu verstehen sein und nicht nur Self-Checkouts oder Automaten mit Kartenzahlung (z. B. DB-Ticket-Automaten), siehe hier. UPDATE: Die Postbank-Pressestelle sieht das nach Rücksprache mit den Juristen anders, in einer digital signierten Mail schreibt sie: „Eine „automatisierte Kasse“ ist eine solche, die ohne Einsatz von Personal arbeitet. Die Regelung bezieht sich also nur auf Automaten.“ – ich kann das nicht beurteilen, bin aber froh, diese Aussage signiert vorliegen zu haben..

Einige andere nette Sachen, von denen ich aber nicht genau weiß ob ich sie richtig verstanden habe:

  • In den AGB war bisher sichergestellt, dass die Postbank AGB-Änderungen zwar für Onlinekunden Online übermitteln darf, „wenn die Art der Übermittlung es dem Kunden erlaubt, die Änderungen in lesbarer Form zu speichern oder auszudrucken„. Jetzt reicht es, wenn die Bank die AGB „anbietet“, der zitierte Teilsatz mit dem Speichern bzw. Ausdrucken ist weggefallen.
  • Wie wohl im Gesetz festgelegt, gibt es bei den Kartenbedingungen eine Regelung, dass bei unautorisierten Kartenverfügungen die Bank den Betrag unverzüglich und ungekürzt erstatten muss. (S. 68, 12.1) Allerdings findet sich eine Ausnahme (12.4, S. 69f.), welche Ansprüche gegen die Bank z. B. dann ausschließt, wenn (Abs. 2) „die einen Anspruch begründenden Umstände auf einem ungewähnlichen und unvorhersehbaren Ereignis beruhen, auf das die Bank keinen Einfluss hat und dessen Folgen trotz Anwendung der gebotenen Sorgfalt von ihr nicht hätten vermieden werden können“. Ob das z. B. auch abdeckt, wenn jemand die als sicher geltenden Kryptoschlüssel der Bank knackt und darüber das Konto leert? (Ich befürchte, das erfährt man verbindlich erst nach 3-10 Prozessjahren vom Richter)

UPDATE: Zum zweiten Punkt habe ich eine Auskunft der Postbank-Pressestelle:

Frage:
Punkt 12.4 Abs. (2) der Bedingungen für die PostbankCard schließt Ansprüche gegen die Bank für Fälle aus, die auf einem ungewöhnlichen, unvorhergesehenen Ereignis beruhen, auf das die Bank keinen Einfluss hat und dessen Folgen sie nicht vermeiden konnte. Bezieht sich das auch auf den Anspruch des Kunden aus 12.1, dem Kontoinhaber Beträge nicht autorisierter Kartenverfügungen zu erstatten?

Antwort:
Formal gesehen ist das richtig. Die Postbank und die übrigen Banken sowie auch alle Sparkassen setzen damit § 676c Nr. 1 BGB um. Danach sind Erstattungs- und Schadensersatzansprüche ausgeschlossen, wenn die einen Anspruch begründenden Umstände auf einem ungewöhnlichen und unvorhersehbaren Ereignis beruhen, auf das diejenige Partei, die sich auf dieses Ereignis beruft, keinen Einfluss hat, und dessen Folgen trotz Anwendung der gebotenen Sorgfalt nicht hätten vermieden werden können. Der deutsche Gesetzgeber war gehalten, eine entsprechende Regelung in das deutsche Recht einzuführen, weil sich eine inhaltsgleiche Regelung in Art. 78 der Zahlungsdiensterichtlinie befindet. Im Ergebnis dürfte die Regelung in der Praxis keine Rolle spielen. Es sind so gut wie keine Fälle denkbar, in denen eine nicht autorisierte Lastbuchung auf einem ungewöhnlichen und unvorhersehbaren Ereignis beruht.

Wie das bei den geknackten Kryptoschlüsseln aussehen würde, weiß ich natürlich trotzdem nicht. Ungewöhnlich wäre es sicher und bei entsprechend plötzlichen Entdeckungen in der Kryptoanalyse sicher auch unvorhersehbar, ob die Bank aus rechtlicher Sicht darauf „Einfluss“ hat kann ich nicht beurteilen. Ich bezweifle aber, dass Banken sich bei einem weitreichenden Missbrauch trauen würden, das Vertrauen der Kunden derart zu untergraben und den Abschnitt auszunutzen, und dass die Politik da nicht einschreiten würde – trotzdem steht das erst einmal so drin.

Ich bin mir sicher, dass die über 100 Seiten der Broschüre noch andere „nette“ Sachen enthalten, doch ein Anwalt, der die alle raussucht und erklärt dürfte mehr kosten als auf dem Konto drauf ist.

Auch eine Broschüre der Frankfurter Sparkasse 1822 habe ich in die Finger bekommen. 31 Seiten DIN A4, davon 5 mit Erklärung der Änderungen in fast normaler Schriftgröße 10. Der Rest scheint mir noch kleiner als bei der Postbank gedruckt zu sein. Es fehlen Hervorhebungen, was sich geändert hat, sodass der Kunde keine realistische Chance hat, sich darüber zu informieren. Die Regelung für EC-Karten ist wie bei der Postbank formuliert, allerdings findet sich wenige Absätze darunter die Aussage, dass die Sparkasse alle Schäden übernimmt, wenn der Kunde sich nicht grob fahrlässig verhalten hat, das glaubhaft darlegt und Anzeige bei der Polizei erstattet. Die Frankfurter Sparkasse verhält sich in diesem Punkt also fair, durch die fehlende Hervorhebung der Unterschiede sind die Änderungen aber äußerst intransparent.

Eine PDF-Version der Comdirect-Broschüre habe ich mir auch anschauen können. Inhaltlich sieht es ähnlich wie bei der Postbank aus: 150 EUR Selbstbeteiligung auch ohne Verschulden, die zusätzlichen Punkte finden sich so ähnlich auch wieder. Änderungen sind in der 35 A4-Seiten in kleiner Schriftgröße umfassenden Infobroschüre zwar durchgehend markiert, bestehen zum Teil aber schonmal aus fast komplett durchgestrichenen und neu eingefügten Seiten, sodass man die Unterschiede auch nicht wirklich sehen kann. Auf die 150 EUR Selbstbeteiligung wird in der Zusammenfassung hingewiesen, es wird aber nur die neue Regelung erwähnt. Die bisherige Regelung (wie bei der Postbank Übernahme der Schäden durch die Bank wenn der Karteninhaber die Sicherheitsregeln eingehalten hat) kann man im Volltext nachlesen, da Änderungen inkl. Streichungen gekennzeichnet sind.

Die Pressestelle der Postbank war für eine Stellungnahme nicht zu erreichen. (Update: Inzwischen schon.) Die Frankfurter Sparkasse habe ich nicht befragt, da mir keine konkreten kundenunfreundlichen Sachen aufgefallen sind (wie auch, wenn die Änderungen nicht markiert sind), und ich daher keine gezielten Fragen hätte stellen können. Die Pressestelle der Comdirect war sehr freundlich und ist gut auf meine Fragen eingegangen. Außer den genannten Punkten sollen keine weiteren Sachen, die für den Kunden nachteilig sein könnten, in den neuen AGB stehen. Weiterhin wurde darauf verwiesen, dass die Comdirect bei allen Missbrauchsfällen eine Einzelfallprüfung vornimmt und wenn der Kunde nichts falsch gemacht hat, ggf. den Schaden aus Kulanz trägt. Dabei handelt es sich natürlich um eine freiwillige Regelung, auf die man sich nicht verlassen kann. Allerdings dürfte es auch im Sinne der Bank sein, sich kulant zu zeigen, weil ansonsten nicht nur der Ruf der Bank, sondern auch der des bargeldlosen Zahlens leidet und mehr Menschen auf Bargeld ausweichen. Ergänzung: Bei „leichter“/“normaler“ Fahrlässigkeit gilt die Begrenzung auf 150 EUR auch. Ob das eine Verbesserung ist, bezweifle ich, da ich denke dass die bisher für eine Haftung des Kunden nötige Missachtung der Sicherheitsregeln eh unter „grob fahrlässig“ erfasst wäre.

Die Missbrauchsmöglichkeiten einer Karte sind mir nicht ganz klar. Auf der einen Seite kann natürlich ein Räuber die Karte an sich reißen und mit vorgehaltenem Messer die Herausgabe der PIN verlangen. Dann wäre man auf die Kulanz der Bank angewiesen. Andererseits kann man aber mit einer gestohlenen Karte auch per Unterschrift (ohne PIN) zahlen. Dann handelt es sich um eine Lastschrift, welche man innerhalb von 6 Wochen widerrufen kann. Laut Pressestelle der Comdirect bleibt man also bei einem Kartenmissbrauch ohne PIN nicht auf dem Schaden sitzen, das Pech hätte dann der Händler, der die gefälschte Unterschrift akzeptiert hat. Ob das so stimmt, kann ich nicht beurteilen, ich gehe aber davon aus. UPDATE: Bestätigt von der Postbank-Pressestelle.

Ergänzung: In der Vergangenheit sind einige Fälle bekannt geworden, die gezeigt haben, dass das damalige Sicherheitskonzept der Banken eine Einladung zum PIN-losen Missbrauch war. Beim derzeitigen System sind mir sollte Missstände nicht bekannt, insbesondere werden die PINs heutzutage nicht mehr mies verschlüsselt auf dem Magnetstreifen abgelegt.

Den richtigen Hammer kommt aber zum Schluss: Alle drei Geldinstitute, Postbank, Frankfurter Sparkasse und Comdirect, haben eine vergleichbare Haftungsklausel bis 150 EUR auch beim Onlinebanking. Fast wortgleich steht in den AGB:

(1) Beruhen nicht autorisierte Zahlungsvorgänge vor der Sperranzeige auf der Nutzung eines verlorengegangenen, gestohlenen oder sonst abhandengekommenen Authentifizierungsinstruments, haftet der Kontoinhaber für den der Bank hierdurch entstehenden Schaden bis zu einem Betrag von 150 Euro, ohne dass es darauf ankommt, ob den Teilnehmer an dem Verlust, Diebstahl oder sonstigen Abhandenkommen des Authentifizierungsinstruments ein Verschulden trifft.

(2) Kommt es vor der Sperranzeige zu nicht autorisierten Zahlungsvorgängen aufgrund einer missbräuchlichen Verwendung eines Authentifizierungsinstruments, ohne dass dieses verlorengegangen, gestohlen oder sonst abhandengekommen ist, haftet der Kontoinhaber für den der Bank hierdurch entstehenden Schaden bis zu einem Betrag von 150 Euro, wenn der Teilnehmer seine Pflicht zur sicheren Aufbewahrung der personalisierten Sicherheitsmerkmale schuldhaft verletzt hat.

Bemerkt habe ich das erst heute per Zufall, als ich im AGB-PDF nach „150“ suchte um die Stelle zur Kartenhaftung wiederzufinden. Die Pressestellen sind heute natürlich nicht besetzt. Probleme sehe ich aus mehreren Gründen: Die PIN und die TAN-Listen werden per Post verschickt. Auch wenn die Briefe meist mehrere Tage getrennt voneinander verschickt werden, kann es passieren, dass diese gestohlen werden. Dafür würde nach dem Wortlaut der Regelungen der Kunde haften. Man müsste im Schadensfall auf die Kulanz der Banken (die sich aber gerne darauf berufen, dass sowas nicht passieren kann, da die Briefe ja separat verschickt werden) oder auf einen Richter hoffen, der die Regelung für unverhältnismäßig erklärt. Beides ist ein eigentlich nicht akzeptables Risiko. UPDATE: Laut Auskunft der Postbank-Pressestelle (per digital signierter Mail) haftet in diesem Fall dann doch die Bank nach § 675m (4) BGB, so wie es sein sollte. Aus den AGB herauslesen ohne Kenntnis des Gesetzestextes kann das der Kunde aber nicht. Der Absatz (2) zeigt, dass ein Unterschied gemacht wird zwischen einem gestohlenen Authentifizierungsmerkmal und einem kopierten. Bei Angriffen mittels Trojaner dürfte der erste Absatz somit nicht anzuwenden sein. UPDATE: Bestätigt von der Postbank-Pressestelle. Vor solchen Angriffen kann sich ein Normalnutzer meines erachtens nicht schützen – der einzige Schutz ist, dass die Bank den Schaden trägt, wenn die Sorgfalt beachtet wurde (also PIN nicht aufgeschrieben, die nutzlose Antivirensoftware aktuell gehalten etc.)

Durch die neuen AGB kann man meiner Ansicht nach also beim Onlinebanking für Vorfälle haften, die man nicht vermeiden kann, z. B. in der Post gestohlene Briefe. Ergänzung: Auf eine Stellungnahme von Postbank und Sparkasse warte ich noch, die Comdirect verweist wieder auf Einzelfallprüfung und Kulanz. In den alten AGB habe ich keine eindeutige Regelung zur Haftung gefunden.

Fazit: Die Frankfurter Sparkasse 1822 ist wenigstens bei der Kartenzahlung fair. Sowohl Postbank als auch Comdirect nutzen meiner Meinung nach auf unfaire Weise sowohl das neue Gesetz voll aus als auch die tolle Gelegenheit, den Kunden unbemerkt ein paar nette neue Überraschungen in die AGB zu setzen. Keiner kann ernsthaft erwarten, dass ein Kunde einen solchen Wust an kleingedrucktem Text tatsächlich liest. Ich finde es daher auch schade, dass AGBs einer solchen Länge zulässig sind.

An dieser Stelle bleibt auch nur, unseren Politikern für diese tollen Regelungen zu danken. Denn nach Art. 61 Abs. 3 der EU-Richtlinie dürfen Mitgliedsstaaten durchaus diese Haftungsgrenze nach unten anpassen.

Wer noch weitere, bedeutende Fiesheiten kennt oder juristisch fundiertes und mit Quellen belegtes Wissen beitragen kann, ist herzlich dazu eingeladen, unten die Kommentarfunktion zu nutzen. Auch Hinweise auf Banken mit fairen AGB nehme ich entgegen, bitte aber mit Link auf eine online einsehbare Version der neuen AGB.

Sicherheitshalber der Hinweis: Ich bin kein Jurist, außerdem bin ich noch ein Mensch, und Menschen können sich irren. Ich werde Fehler natürlich korrigieren, wenn ich davon erfahre.

Werbeanzeigen