Banken tauschen tausende von Kreditkarten aus

Mehrere Banken, darunter die Deutsche Postbank AG, die Commerzbank AG, die comdirect bank AG, die Landesbank Berlin AG, die Unicredit Bank AG und diverse Volksbanken, haben vorsorglich mehr als 100.000 Kreditkarten ihrer Kunden ausgetauscht. Das berichten übereinstimmend mehrere Medienberichte, darunter Heise Online, n-tv und Spiegel Online. Die Befürchtung der Emittenten von Zahlungskarten ist, dass die auf den Zahlungskarten gespeicherten Daten in erheblichem Ausmaß abgegriffen worden sein könnten. Es wäre ein Fall von Datenklau in einem außergewöhnlich großen Stil.

Was ist geschehen?

Um einen Kreditkartenbetrug vorzubeugen, haben Banken mehrere tausend Kreditkarten vorsorglich ausgetauscht. Das in Frankreich in Bezons, nordwestlich von Paris, beheimatete, aber weltweit im Bereich des Zahlungsverkehrs- und der Transaktionsdienste tätige Unternehmen Worldline S.A. gab hierzu im Januar 2016 bekannt, dass „an einer derzeit noch nicht bekannten Stelle auf der Akzeptanzseite vermutlich ein Datenleck dazu geführt, dass die Betrugsabteilung von Worldline im Rahmen des kontinuierlichen proaktiven Monitorings seit Anfang Januar 2016 vermehrt betrügerische Umsätze“ mit Zahlungskarten festgestellt hat. Daraufhin seien den Banken die Empfehlung ausgesprochen worden, „die betroffenen Karten umgehend auszutauschen“.

Was war die Reaktion der Banken?

Nachdem der Kreditkartenanbieter Worldline S.A. vor der Gefahr eines Datenlecks gewarnt hatte, von dem laut einem Artikel im „Focus“ die Kreditkarten von Visa und Mastercard betroffen waren, wurden tausende Kreditkarten umgetauscht. Die Banken informierten sodann ihre Kunden und begannen präventiv mit dem Tausch der Kreditkarten.

Gab es diese Situation zum ersten Mal?

Nein, solche großangelegten Umtauschaktionen hat es in der Vergangenheit öfter gegeben. Bereits im Jahre 2009 wurden bei einem Dienstleister in Spanien auf Zahlungskarten gespeicherte Daten von Visa und MasterCard ausspioniert. Auch damals haben die emittierenden Banken im großen Stil präventiv die Karten ihrer Kunden getauscht. Da sich Betrüger immer wieder neue Maschen einfallen lassen, um an Bankzugangsdaten zu gelangen, kommt solch ein Austausch von Kreditkarten durchaus häufiger vor. Das Besondere an dem Fall ist jedoch die außergewöhnlich hohe Anzahl der diesmal ausgetauschten Kreditkarten. Laut einem Artikel im Handelsblatt sprach allein die Deutsche Postbank AG von 55.000 Fällen, in denen allein bei dieser Bank die Zahlungskarten ausgetauscht werden mussten. Die Commerzbank AG soll den Austausch von 15.000 Karten vorgenommen haben. Deren Tochterunternehmen Comdirect nahm 20.000 Austausche vor.

Betrifft der Vorfall nur Kreditkarten?

Nach dem jetzigen Stand wurden von der Bank nur Kreditkarten ausgetauscht. Darüber, dass möglicherweise auch EC-Karten von dem Vorfall betroffen waren und ausgetauscht werden mussten, ist zurzeit nichts bekannt.

Haftet die Bank beim Abgreifen von Bankzugangsdaten?

Gelingt es den Tätern, die Bankzugangsdaten abzugreifen und Verfügungen im fremden Namen vorzunehmen, so stellt sich die Frage, wer für den Schaden haftet. Laut einigen Presseberichten zufolge, hafte bei einem Abgreifen der Bankzugangsdaten stets die Bank. Grundsätzlich ist dies mit Einschränkungen richtig. Die Bank bewirkt eine Zahlungsverfügung nämlich aus ihrem eigenen Vermögen. Dabei entsteht jedoch ein Aufwendungsersatz gegen den Auftraggeber und Bankkunden, den die Bank dem Bankkunden als Soll in den Kontokorrent bucht. Hat der Bankkunde die Zahlung jedoch nicht in Auftrag gegeben, entfällt der Aufwendungsersatzanspruch der Bank, wenn der Bankkunde die Bank unverzüglich über die Nichtautorisierung unterrichtet.

Damit haftet im Schadensfall grundsätzlich tatsächlich die Bank. Doch von dieser Haftungsregelung gibt es in bestimmten Situationen Ausnahmen. Beruhen nicht autorisierte Zahlungsvorgänge auf der Nutzung eines verlorengegangenen, gestohlenen oder sonst abhanden gekommenen Zahlungsauthentifizierungsinstruments, so kann der Zahlungsdienstleister des Zahlers von diesem den Ersatz des hierdurch entstandenen Schadens bis zu einem Betrag von 150 Euro verlangen.

Dies ist der sogenannte Eigenanteil des Bankkunden, der aber nur in den Fällen greift, wenn die Tatbestände eines verlorengegangenen, gestohlenen oder sonst abhanden gekommenen Zahlungsauthentifizierungsinstruments vorliegen. Ferner kann die Bank den vollen Schadensbetrag auch bei einer nichtautorisierten Zahlungsanweisung dann vom Bankkunden fordern, wenn dieser mit seinem Verhalten ein gewisses Maß an Sorgfalt nicht eingehalten hat, um solche Schäden zu verhindern. Maßstab hierfür ist die grobe Fahrlässigkeit. Ist für das Abgreifen von Bankdaten allein ein Sicherheitsleck beim Systemanbieter ursächlich, wird die Bank den Bankkunden keine Sorgfaltswidrigkeit nachweisen können. Vielmehr muss sie sich selbst das Sicherheitsleck ihres Dienstleisters zurechnen lassen.