XI ZR 210/03

BUNDESGERICHTSHOF IM NAMEN DES VOLKES URTEIL XI ZR 210/03 Verkündet am: 5. Oktober 2004 Weber, Justizamtsinspektorin als Urkundsbeamtin der Geschäftsstelle in dem Rechtsstreit Nachschlagewerk: ja BGHZ: ja BGHR: ja _____________________ BGB §§ 276 E, 676 f, 676 h; Bedingungen der Sparkassen für die Verwendung der ec-Karte (Fassung Juni 1999) A. III. 2.4 a) Wird zeitnah nach dem Diebstahl einer ec-Karte unter Verwendung dieser Karte und Eingabe der richtigen persönlichen Geheimzahl (PIN) an Geldausgabeau- tomaten Bargeld abgehoben, spricht grundsätzlich der Beweis des ersten An- scheins dafür, daß der Karteninhaber die PIN auf der ec-Karte notiert oder ge- meinsam mit dieser verwahrt hat, wenn andere Ursachen für den Mißbrauch nach der Lebenserfahrung außer Betracht bleiben. b) Die Möglichkeit eines Ausspähens der persönlichen Geheimzahl (PIN) durch einen unbekannten Dritten kommt als andere Ursache grundsätzlich nur dann in Betracht, wenn die ec-Karte in einem näheren zeitlichen Zusammenhang mit der Eingabe der PIN durch den Karteninhaber an einem Geldausgabeautoma- ten oder einem POS-Terminal entwendet worden ist. BGH, Urteil vom 5. Oktober 2004 - XI ZR 210/03 - LG Duisburg AG Duisburg - 2 - Der XI. Zivilsenat des Bundesgerichtshofes hat auf die mündliche Ver- handlung vom 5. Oktober 2004 durch den Vorsitzenden Richter Nobbe und die Richter Dr. Müller, Dr. Wassermann, Dr. Appl und Dr. Ellenberger für Recht erkannt: Die Revision gegen das Urteil der 5. Zivilkammer des Landgerichts Duisburg vom 8. Mai 2003 wird auf Kosten der Klägerin zurückgewiesen. Von Rechts wegen Tatbestand: Die Klägerin begehrt die Auszahlung von Geldbeträgen, die nach Abhebungen an Geldausgabeautomaten von der beklagten Sparkasse ihrem Girokonto belastet worden sind. Die Klägerin unterhielt bei der Beklagten ein Girokonto. Für dieses erteilte die Beklagte der Klägerin im November 1999 eine ec-Karte und eine persönliche Geheimnummer (PIN). Die Allgemeinen Geschäftsbe- dingungen der Beklagten für die Verwendung der ec-Karte enthielten un- ter anderem folgende Regelungen: - 3 - "Für Schäden, die vor der Verlustanzeige entstanden sind, haftet der Kontoinhaber, wenn sie auf einer schuldhaften Verletzung sei- ner Sorgfalts- und Mitwirkungspflichten beruhen. ... Die Sparkasse übernimmt auch die vom Kontoinhaber zu tragen- den Schäden, die vor der Verlustanzeige entstanden sind, sofern der Karteninhaber seine Sorgfalts- und Mitwirkungspflichten ... nicht grob fahrlässig verletzt hat. Grobe Fahrlässigkeit des Karteninhabers liegt insbesondere vor, wenn - die persönliche Geheimzahl auf der ec-Karte vermerkt oder zu- sammen mit der ec-Karte verwahrt war (z.B. der Originalbrief, in dem die PIN dem Karteninhaber mitgeteilt wurde), - die persönliche Geheimzahl einer anderen Person mitgeteilt und der Mißbrauch dadurch verursacht wurde, ..." Mit der ec-Karte der Klägerin wurden an Geldausgabeautomaten zweier anderer Sparkassen ohne Fehlversuch unter Eingabe der richti- gen PIN am 23. September 2000 gegen 17.30 Uhr zweimal 500 DM und am Morgen des folgenden Tages 1.000 DM abgehoben. Am 25. September 2000 veranlaßte die Klägerin die Sperrung ihrer ec-Karte. Die Beklagte belastete das Girokonto der Klägerin mit den abgehobenen Beträgen. Die Klägerin macht geltend, ihr seien am 23. September 2000 zwi- schen 15.00 Uhr und 17.00 Uhr auf einem Stadtfest ihr Portemonnaie und die darin befindliche ec-Karte entwendet worden. Ihre persönliche Geheimzahl habe sie nirgendwo notiert, sondern ausschließlich als Tele- fonnummer in ihrem Mobiltelefon gespeichert gehabt. Dieses sei nicht gestohlen worden. Der Dieb müsse die persönliche Geheimzahl ent- - 4 - schlüsselt oder Mängel des Sicherheitssystems der Beklagten zur Ge- heimhaltung des Institutsschlüssels ausgenutzt haben. Das Amtsgericht hat der auf Zahlung von 2.000 DM nebst Zinsen gerichteten Klage stattgegeben, das Landgericht hat sie abgewiesen. Mit der vom Berufungsgericht zugelassenen Revision erstrebt die Klägerin die Wiederherstellung des amtsgerichtlichen Urteils. Entscheidungsgründe: Die Revision ist unbegründet. I. Das Berufungsgericht hat seine Entscheidung im wesentlichen wie folgt begründet: Die Klage sei unbegründet. Die Beklagte habe das Girokonto der Klägerin zu Recht mit 2.000 DM belastet. Die Klägerin sei ihr wegen po- sitiver Verletzung des Girovertrages in dieser Höhe zum Schadensersatz verpflichtet. Zugunsten der Beklagten spreche der Beweis des ersten Anscheins, daß die Klägerin ihre Sorgfaltspflichten zur Aufbewahrung der ec-Karte oder zur Geheimhaltung der persönlichen Geheimzahl grob fahrlässig verletzt habe. Insbesondere komme in Betracht, daß sie die persönliche Geheimzahl auf der ec-Karte vermerkt oder zusammen mit der ec-Karte verwahrt habe. Anders als durch ein grob fahrlässiges Ver- - 5 - halten der Klägerin seien die drei Barabhebungen an Geldautomaten durch einen unbefugten Dritten (den Dieb oder einen Komplizen) jeweils ohne jeglichen Fehlversuch bei der Eingabe der PIN nach der Lebenser- fahrung nicht zu erklären. Die PIN der Klägerin und der 128-BIT-Schlüssel des PIN-Systems der von der Beklagten im November 1999 an die Klägerin ausgegebenen ec-Karte hätten am 23. September 2000 nicht entschlüsselt werden kön- nen. Nach dem eingeholten Sachverständigengutachten sei es mathema- tisch ausgeschlossen, die PIN einzelner Karten mit Hilfe von auf ihnen gefundenen Informationen ohne die vorherige Erlangung des Instituts- schlüssels zu errechnen; es sei auch mit größtmöglichem finanziellen Einsatz nicht möglich, einen Rechner zu bauen, der eine solche Berech- nung des Institutsschlüssels erlaube. Die von dem Sachverständigen er- wogenen anderen theoretischen Möglichkeiten, wie ein Täter ohne grob sorgfaltswidriges Verhalten der Klägerin an die PIN ihrer ec-Karte ge- kommen sein könnte, schlössen weder einen Anscheinsbeweis zu Lasten der Klägerin aus noch könnten sie hier diesen Anschein erschüttern. Denn sämtliche theoretische Möglichkeiten kämen entweder im allge- meinen oder im konkreten Fall ernsthaft nicht in Betracht. Ersteres gelte für sogenannte "Innentäterattacken", d.h. für Angriffe von Mitarbeitern des Kreditinstituts gegen den Institutsschlüssel, für Angriffe gegen die im Rechenzentrum des Kreditinstituts im Umfeld der Transaktions- Autorisierung ablaufende Software oder unbeabsichtigte Sicherheitslük- ken dieser Software, die eine Geldabhebung auch ohne zutreffende PIN erlauben oder einem Innentäter Angriffsmöglichkeiten bieten könnten. Nach den Ausführungen des Sachverständigen gebe es keine Hinweise dafür, daß solche Möglichkeiten jemals konkret für kriminelle Handlun- - 6 - gen entdeckt und ausgenutzt worden seien. Schließlich lägen im konkre- ten Fall auch keine Anhaltspunkte dafür vor, daß der Täter die PIN der Klägerin ausgespäht habe. II. Diese Ausführungen halten rechtlicher Überprüfung im Ergebnis stand. Die Klägerin hat gegen die Beklagte keinen Anspruch gemäß §§ 667, 675 Abs. 1, § 676 f BGB oder §§ 700 Abs. 1, 607 BGB a.F. auf Auszahlung der von einem Dritten unberechtigt abgehobenen 2.000 DM. Die Beklagte hat das Konto der Klägerin zu Recht mit den am 23. und 24. September 2000 an Geldausgabeautomaten erfolgten Barabhebun- gen in Höhe von insgesamt 2.000 DM belastet. 1. Die Beklagte hat zwar nach dem - hier gemäß Art. 229 § 2 Abs. 1 EGBGB bereits anwendbaren - § 676 h Satz 1 BGB keinen Aufwendungsersatzanspruch gemäß §§ 670, 675 Abs. 1, § 676 f BGB gegen die Klägerin. Die Beklagte hat nicht bewiesen, daß die hier in Rede stehenden Geldabhebungen von der Klägerin selbst oder mit ihrem Einverständnis durch einen Dritten vorgenommen worden sind. Vielmehr ist das Berufungsgericht zu der Feststellung gelangt, daß die Geldabhebungen durch einen unbefugten Dritten, nämlich den Dieb oder einen Komplizen mit Hilfe der Original-ec-Karte, erfolgt sind. Das wird auch von der Revisionserwiderung nicht in Zweifel gezogen. - 7 - 2. Der Beklagten steht aber gegen die Klägerin ein Schadenser- satzanspruch wegen positiver Vertragsverletzung zu, den sie in das Kon- tokorrent einstellen (vgl. BGHZ 84, 371, 376) und mit dem sie das Giro- konto der Klägerin belasten durfte. Die Klägerin haftet für die durch die mißbräuchliche Verwendung ihrer ec-Karte entstandenen Schäden, weil diese auf einer grob fahrlässigen Verletzung der Sorgfalts- und Mitwir- kungspflichten der Klägerin beruhen. Das Berufungsgericht hat im Er- gebnis zutreffend angenommen, zugunsten der hierfür beweispflichtigen Beklagten spreche der Beweis des ersten Anscheins, daß die Klägerin ihre Pflicht zur Geheimhaltung der persönlichen Geheimzahl verletzt hat, indem sie diese auf der ec-Karte vermerkt oder zusammen mit der ec- Karte verwahrt hat. a) Das Vermerken der persönlichen Geheimzahl auf der ec-Karte oder ihre Verwahrung zusammen mit dieser stellt - wovon auch Nr. A. III. 2.4 der Bedingungen für die Verwendung der ec-Karte ausgeht - eine grobe Fahrlässigkeit des Karteninhabers dar; dabei trägt die Bewertung dieser Handlungsweisen als grob fahrlässig dem Umstand Rechnung, daß dadurch der besondere Schutz, den die für Abhebungen neben der ec-Karte zusätzlich benötigte Geheimnummer bietet, aufgehoben wird, weil ein Unbefugter, dem ec-Karte und Geheimnummer gemeinsam in die Hände fallen, ohne weiteres Abhebungen vornehmen kann (BGHZ 145, 337, 340 f.). b) Zu Recht ist das Berufungsgericht zu dem Ergebnis gelangt, der Beweis des ersten Anscheins spreche dafür, daß die Klägerin die per- sönliche Geheimzahl auf ihrer ec-Karte vermerkt oder sie zusammen mit - 8 - dieser verwahrt habe. Diesen Beweis des ersten Anscheins hat die Klä- gerin nicht erschüttert. aa) Die Frage, ob ein Anscheinsbeweis eingreift, unterliegt der Prüfung durch das Revisionsgericht (BGHZ 100, 31, 33; BGH, Urteil vom 17. Februar 1988 - IVa ZR 277/86, NJW-RR 1988, 789, 790). Nach stän- diger Rechtsprechung des Bundesgerichtshofs sind die Grundsätze über den Beweis des ersten Anscheins nur bei typischen Geschehensabläufen anwendbar, d.h. in Fällen, in denen ein bestimmter Sachverhalt feststeht, der nach der allgemeinen Lebenserfahrung auf eine bestimmte Ursache oder auf einen bestimmten Ablauf als maßgeblich für den Eintritt eines bestimmten Erfolges hinweist (BGHZ 100, 31, 33; BGH, Urteile vom 23. Januar 1997 - I ZR 29/94, WM 1997, 1493, 1496 und vom 4. Dezember 2000 - II ZR 293/99, NJW 2001, 1140, 1141). Dabei bedeu- tet Typizität nicht, daß die Ursächlichkeit einer bestimmten Tatsache für einen bestimmten Erfolg bei allen Sachverhalten dieser Fallgruppe not- wendig immer vorhanden ist; sie muß aber so häufig gegeben sein, daß die Wahrscheinlichkeit, einen solchen Fall vor sich zu haben, sehr groß ist (BGH, Urteil vom 6. März 1991 - IV ZR 82/90, VersR 1991, 460, 462). Spricht ein Anscheinsbeweis für einen bestimmten Ursachenver- lauf, kann der Inanspruchgenommene diesen entkräften, indem er Tatsa- chen darlegt und gegebenenfalls beweist, die die ernsthafte, ebenfalls in Betracht kommende Möglichkeit einer anderen Ursache nahelegen (BGH, Urteile vom 3. Juli 1990 - VI ZR 239/89, NJW 1991, 230, 231 m.w.Nachw. und vom 17. Januar 1995 - X ZR 82/93, VersR 1995, 723, 724). Der Anscheinsbeweis kann auch erschüttert werden, wenn unstrei- tig oder vom Inanspruchgenommenen bewiesen ist, daß ein schädigen- - 9 - des Ereignis durch zwei verschiedene Ursachen mit jeweils typischen Geschehensabläufen herbeigeführt worden sein kann und jede für sich allein den Schaden verursacht haben kann; haftet der Inanspruchge- nommene in einem solchen Fall nur für eine der möglichen Ursachen, sind die Regeln über den Anscheinsbeweis nicht anwendbar (BGHZ 24, 308, 313; BGH, Urteile vom 20. Juni 1978 - VI ZR 15/77, NJW 1978, 2032, 2033 und vom 17. Januar 1995 - X ZR 82/93, VersR 1995, 723, 724). Dabei kommt es nicht darauf an, ob die eine oder andere Verursa- chungsmöglichkeit nach den Erfahrungen des täglichen Lebens die wahrscheinlichere ist (BGHZ 24, 308, 313; BGH, Urteil vom 17. Februar 1988 - IVa ZR 277/86, NJW-RR 1988, 789, 790 m.w.Nachw.). bb) Nach diesen Maßstäben greift im Ergebnis der Beweis des er- sten Anscheins zu Lasten der Klägerin ein, daß sie ihre persönliche Ge- heimzahl entweder auf ihrer ec-Karte notiert oder sie gemeinsam mit dieser aufbewahrt hat. (1) Das Berufungsurteil ist allerdings rechtsfehlerhaft, soweit das Berufungsgericht einen Beweis des ersten Anscheins unter anderem da- für angenommen hat, daß die Klägerin ihre Sorgfaltspflichten zur Aufbe- wahrung der ec-Karte grob fahrlässig verletzt habe. Es besteht kein all- gemeiner Erfahrungssatz des Inhalts, daß eine Person, der bei einem Straßenfest das Portemonnaie mit der darin befindlichen ec-Karte ent- wendet wird, diesen Diebstahl in grob fahrlässiger Weise ermöglicht hat. Feststellungen zur Art und Weise der Aufbewahrung von Portemonnaie nebst ec-Karte seitens der Klägerin hat das Berufungsgericht nicht ge- troffen. Es kann deshalb nicht ausgeschlossen werden, daß die Aufbe- - 10 - wahrung des Portemonnaie durch die Klägerin nicht sorgfaltswidrig war oder den Diebstahl in nur leicht fahrlässiger Weise ermöglicht hat. (2) Der Senat hat bisher offengelassen, ob in Fällen, in denen an Geldausgabeautomaten unter Verwendung der zutreffenden Geheimzahl Geld abgehoben wurde, der Beweis des ersten Anscheins dafür spricht, daß entweder der Kartenbesitzer als rechtmäßiger Kontoinhaber die Ab- hebungen selbst vorgenommen hat oder - was hier nach den nicht ange- griffenen Feststellungen des Berufungsgerichts allein in Betracht kommt - daß ein Dritter nach der Entwendung der ec-Karte von der Ge- heimnummer nur wegen ihrer Verwahrung gemeinsam mit der ec-Karte Kenntnis erlangen konnte (BGHZ 145, 337, 342). In der Rechtsprechung der Instanzgerichte und in der Literatur wird ein entsprechender Beweis des ersten Anscheins zu Lasten des Kontoinhabers überwiegend ange- nommen (OLG Frankfurt - 8. Zivilsenat - WM 2002, 2101, 2102 f.; OLG Stuttgart WM 2003, 125, 126 f.; LG Hannover WM 1998, 1123 f.; LG Stuttgart WM 1999, 1934 f.; LG Frankfurt am Main WM 1999, 1930, 1932 f.; LG Darmstadt WM 2000, 911, 913 f.; LG Köln WM 2001, 852, 853; LG Berlin - 52. Zivilkammer - WM 2003, 128, 129; AG Diepholz WM 1995, 1919, 1920; AG Hannover WM 1997, 1207, 1208 f.; AG Wup- pertal WM 1997, 1209; AG Charlottenburg WM 1997, 2082; AG Dinsla- ken WM 1998, 1126; AG Osnabrück WM 1998, 1127, 1128; AG Frankfurt am Main NJW 1998, 687 f. und BKR 2003, 514, 516; AG Flensburg VuR 2000, 131 f.; AG Hohenschönhausen WM 2002, 1057, 1058 f.; AG Regensburg WM 2002, 2105, 2106 f.; AG Nürnberg WM 2003, 531, 532 f.; AG Charlottenburg WM 2003, 1174, 1175; Werner WM 1997, 1516; Aepfelbach/Cimiotti WM 1998, 1218; Gößmann WM 1998, 1264, 1269; Palandt/Sprau, BGB 63. Aufl. § 676 h Rdn. 13; Musielak/Foerste, - 11 - ZPO 3. Aufl. § 286 Rdn. 26), von einem erheblichen Teil aber verneint (OLG Hamm WM 1997, 1203, 1206 f.; OLG Frankfurt - 7. Zivilsenat - WM 2001, 1898; OLG Frankfurt - 24. Zivilsenat - WM 2002, 1055, 1056 f.; LG Berlin - 51. Zivilkammer - WM 1999, 1920; LG Dortmund CR 1999, 556, 557; LG Mönchengladbach VuR 2001, 17, 18; LG Osna- brück WM 2003, 1951, 1953; AG Buchen VuR 1998, 42 f.; AG Hamburg VuR 1999, 88, 89 f.; AG Berlin-Mitte VuR 1999, 201, 202 f. und EWiR 2003, 891; AG Frankfurt am Main WM 1999, 1922, 1924 ff.; AG München NJW-RR 2001, 1056, 1057; AG Dortmund BKR 2003, 912, 913; AG Essen BKR 2003, 514; Pausch CR 1997, 174; Strube WM 1998, 1210, 1212 ff.; Zöller/Greger, ZPO 24. Aufl. vor § 284 Rdn. 31). Dabei betrifft der überwiegende Teil der veröffentlichten Entscheidungen und Literaturstimmen allerdings das ab Ende 1997 abgelöste alte Verfahren zur Erzeugung und Verifizierung der persönlichen Geheimzahl mit Hilfe eines geheimen Instituts- oder Poolschlüssels in einer Breite von 56 BIT und ist daher für die Beurteilung der Sicherheit der ab diesem Zeitpunkt eingeführten neuen Verschlüsselungsverfahren nur sehr eingeschränkt aussagekräftig. (3) Mit dem Berufungsgericht ist der Senat der Auffassung, daß in einem Fall der hier vorliegenden Art der Beweis des ersten Anscheins für ein grob fahrlässiges Verhalten des Karteninhabers im Zusammenhang mit der Geheimhaltung seiner persönlichen Geheimzahl spricht. (a) Die Grundsätze über den Anscheinsbeweis sind entgegen der Auffassung der Revision nicht deshalb unanwendbar, weil es mehrere theoretische und praktische Möglichkeiten der Kenntniserlangung von der persönlichen Geheimzahl durch einen Dritten gibt. Zu Recht ist das - 12 - Berufungsgericht vielmehr zu dem Ergebnis gelangt, daß die hier in Re- de stehenden Bargeldabhebungen mit Hilfe der Original-ec-Karte und richtiger PIN durch einen unbefugten Dritten anders als durch ein grob fahrlässiges Verhalten der Klägerin nicht zu erklären seien, weil andere Ursachen zwar theoretisch möglich seien, bei wertender Betrachtung aber außerhalb der Lebenserfahrung lägen. (b) Gegen die Anwendbarkeit der Grundsätze über den Anscheins- beweis vermag die Revision auch nicht anzuführen, ein Erfahrungssatz, daß die persönliche Geheimzahl auf der Karte notiert oder gemeinsam mit dieser verwahrt würde, sei nicht empirisch belegt. Empirischer Be- funde bedarf es für die Anwendbarkeit des Anscheinsbeweises nicht. Dieser setzt lediglich voraus, daß ein Sachverhalt feststeht, bei dem der behauptete ursächliche Zusammenhang typischerweise gegeben ist, be- ruht also auf der Auswertung von Wahrscheinlichkeiten, die aufgrund der Lebenserfahrung anzunehmen sind und die dem Richter hiernach die Überzeugung (§ 286 ZPO) vermitteln, daß auch in dem von ihm zu ent- scheidenden Fall der Ursachenverlauf so gewesen ist wie in den ver- gleichbaren Fällen (BGH, Urteil vom 17. Februar 1988 - IVa ZR 277/86, NJW-RR 1988, 789, 790). (c) Das Berufungsgericht ist - sachverständig beraten - zu der Feststellung gelangt, es sei auch mit größtmöglichem finanziellen Auf- wand mathematisch ausgeschlossen, die PIN einzelner Karten aus den auf ec-Karten vorhandenen Daten ohne die vorherige Erlangung des zur Verschlüsselung verwendeten Institutsschlüssels in einer Breite von 128 BIT zu errechnen. Dies entspricht der Beurteilung, die das Bundes- amt für Sicherheit in der Informationstechnik in einer schriftlichen Aus- - 13 - kunft vom 27. November 2001 für das vom Deutschen Sparkassen- und Giroverband neu eingeführte PIN-Verfahren abgegeben hat. Die vom Be- rufungsgericht vorgenommene Beweiswürdigung kann vom Senat ledig- lich daraufhin überprüft werden, ob sich das Berufungsgericht entspre- chend dem Gebot des § 286 ZPO mit dem Streitstoff und den Beweiser- gebnissen umfassend und widerspruchsfrei auseinandergesetzt hat, die Beweiswürdigung also vollständig und rechtlich möglich ist und nicht ge- gen Denkgesetze oder Erfahrungssätze verstößt (st.Rspr., vgl. BGH, Ur- teile vom 11. Februar 1987 - IVb ZR 23/86, NJW 1987, 1557, 1558, vom 1. Oktober 1996 - VI ZR 10/96, NJW 1997, 796, 797 und vom 9. Juli 1999 - V ZR 12/98, WM 1999, 1889, 1890). Einen solchen Fehler weist die Revision nicht nach. Mit ihrer Rüge, die Lebenserfahrung spreche gerade in Zeiten beschleunigt fortschreitender Computerentwicklung und der vielfältigen Möglichkeiten des Internets gegen die Annahme einer fehlenden Entschlüsselungsmöglichkeit, versucht die Revision lediglich, die Beweiswürdigung des Berufungsgerichts durch eine andere, der Klä- gerin günstigere zu ersetzen. (d) Die Regeln über den Anscheinsbeweis sind auch nicht deshalb unanwendbar, weil hier davon auszugehen wäre, daß der Schaden durch zwei verschiedene Ursachen herbeigeführt worden sein kann, die beide typische Geschehensabläufe sind, für die die Klägerin aber nur in einem Fall die Haftung zu übernehmen hätte. Das wäre dann der Fall, wenn als weiterer typischer Geschehensablauf in Betracht zu ziehen wäre, daß die Eingabe der zutreffenden PIN durch den Dieb der ec-Karte dadurch er- möglicht wurde, daß dieser zuvor die persönliche Geheimzahl des Kar- teninhabers ausgespäht hat, als dieser sie bei Abhebungen an Geldaus- gabeautomaten oder beim Einsatz der ec-Karte an einem POS-Terminal - 14 - zur Zahlung eines Geldbetrages eingab. Eine Ausspähung der PIN etwa mit Hilfe optischer oder technischer Hilfsmittel oder durch eine Manipula- tion des Geldausgabeautomaten oder ein aufmerksames Verfolgen der PIN-Eingabe an POS-Terminals oder Geldausgabeautomaten ohne aus- reichenden Sichtschutz des Eingabetastenfeldes ist zwar durchaus denkbar. Als ernsthafte Möglichkeit einer Schadensursache, die den Be- weis des ersten Anscheins für eine grob fahrlässige gemeinsame Ver- wahrung von ec-Karte und PIN durch den Karteninhaber bei Eingabe der zutreffenden PIN durch einen unbefugten Dritten entfallen läßt, kommt ein Ausspähen der PIN aber nur dann in Betracht, wenn die ec-Karte in einem näheren zeitlichen Zusammenhang mit der Eingabe der PIN durch den Karteninhaber entwendet worden ist. Durch Ausspähen erlangt der Täter zunächst nur Kenntnis von der PIN, gelangt aber nicht in den Be- sitz der ec-Karte. Da er den Karteninhaber regelmäßig nicht persönlich kennt, muß er die ec-Karte alsbald nach dem Ausspähen der PIN ent- wenden. Dafür ist hier nichts vorgetragen. Die Klägerin hat vielmehr im Ge- genteil vorgebracht, sie habe am Tag des Diebstahls mit der ec-Karte kein Geld abgehoben; ein Ausspähen der PIN sei "nicht möglich gewe- sen". Der Täter habe "ausschließlich die Möglichkeit" gehabt, die "PIN durch eigene Computertechnik in Erfahrung zu bringen". Aufgrund des- sen hat das Berufungsgericht, von der Revision unangegriffen, festge- stellt, für ein Ausspähen der PIN gebe es hier keine Anhaltspunkte. (e) Ohne Rechtsfehler mißt das Berufungsgericht ferner sogenann- ten "Innentäterattacken", d.h. Angriffen von Bankmitarbeitern, etwa zur Ausspähung des der Verschlüsselung dienenden Institutsschlüssels, An- - 15 - griffen gegen die im Rechenzentrum des Kreditinstituts im Umfeld der Transaktionsautorisierung ablaufende Software und unbeabsichtigten Sicherheitslücken dieser Software keine einem Anscheinsbeweis zu La- sten des Kontoinhabers entgegenstehende Wahrscheinlichkeit zu. Ent- gegen der Ansicht der Revision hat das Berufungsgericht in diesem Zu- sammenhang nicht einen Beweisantrag der Klägerin verfahrensfehlerhaft übergangen. Diese hat lediglich unter Sachverständigenbeweis gestellt, daß die Maßnahmen in Bankrechenzentren und Bankverlagen zum Schutz der Software, zur Geheimhaltung der Institutsschlüssel und zur Vermeidung anderer interner Angriffe auf das PIN-System nicht ausrei- chend seien, um erfolgreiche Angriffe auszuschließen. Daß derartige - von der Klägerin damit nicht substantiiert behauptete - Sicherheits- und Softwaremängel als Ursachen für die Möglichkeit eines Mißbrauchs einer gestohlenen ec-Karte theoretisch in Betracht kommen, ergab sich aber bereits aus dem vom Berufungsgericht eingeholten Sachverständigen- gutachten. Das Berufungsgericht hat diese Ursachen als rein theoreti- scher Natur und als im allgemeinen außerhalb der Lebenserfahrung lie- gend angesehen, weil es nach den Ausführungen des Sachverständigen keine Hinweise darauf gebe, daß solche Möglichkeiten je konkret für kri- minelle Handlungen entdeckt oder ausgenutzt worden seien. Das ist re- visionsrechtlich nicht zu beanstanden, zumal die Beklagte unwiderspro- chen vorgetragen hat, bei ihr sei es nie zu einer "Innentäterattacke" ge- kommen. Auch die durch keinerlei Tatsachenvortrag gestützte Vermu- tung der Klägerin, der Institutsschlüssel der Beklagten könne in kriminel- len Kreisen bekannt geworden sein, ist deshalb nicht geeignet, der An- wendung des Anscheinsbeweises die Grundlage zu entziehen. - 16 - (f) Die Revision vermag der Anwendung der Grundsätze über den Anscheinsbeweis nicht entgegenzuhalten, daß sie in der Regel nicht ge- eignet seien, grobe Fahrlässigkeit von einfacher Fahrlässigkeit abzu- grenzen. Der Anscheinsbeweis führt hier lediglich zur Annahme eines bestimmten tatsächlichen Verhaltens des Karteninhabers, nämlich daß er seine persönliche Geheimzahl entweder auf der ec-Karte notiert oder gemeinsam mit dieser aufbewahrt hat. Erst in einem weiteren Schritt wird dieses tatsächliche Verhalten entsprechend den vereinbarten Allgemei- nen Geschäftsbedingungen der Beklagten für die Verwendung der ec- Karte rechtlich als grob fahrlässig bewertet. Inhaltlich sind die Allgemei- nen Geschäftsbedingungen der Beklagten insoweit nicht zu beanstan- den. Sie lassen ein Notieren der PIN, auf das ein Teil der Bankkunden nicht verzichten kann, ohne weiteres zu; lediglich eine getrennte Verwah- rung von ec-Karte und notierter PIN muß gewährleistet sein. (g) Zu Unrecht ist die Revision weiter der Auffassung, die Anwen- dung der Grundsätze über den Anscheinsbeweis durch die Rechtspre- chung führe in Fällen der vorliegenden Art im Ergebnis zu einer Beweis- lastumkehr und bewirke eine verschuldensunabhängige, garantieähnli- che Haftung des Bankkunden, weil der Karteninhaber nicht in der Lage sei, Sicherheitslücken im System aufzuzeigen. Der Anscheinsbeweis führt nach ständiger Rechtsprechung des Bundesgerichtshofs nicht zu einer Umkehr der Beweislast (BGHZ 100, 31, 34 m.w.Nachw.). Wenn der Karteninhaber dem Anscheinsbeweis durch die konkrete Darlegung und gegebenenfalls den Nachweis der Möglichkeit eines atypischen Verlaufs die Grundlage entzieht, hat das Kreditinstitut den vollen Beweis zu erbringen, daß der Karteninhaber eine Abhebung am Geldausgabeauto- - 17 - maten selbst vorgenommen oder den Mißbrauch der ec-Karte durch ei- nen unbefugten Dritten grob fahrlässig ermöglicht hat. Es ist auch nicht generell so, daß der Karteninhaber nicht in der Lage ist, Sicherheitslücken im System des Kartenausgebers aufzuzei- gen. Nach ständiger Rechtsprechung des Bundesgerichtshofs zur se- kundären Darlegungslast kann es Sache einer nicht primär darlegungs- und beweispflichtigen Partei sein, sich im Rahmen der ihr nach § 138 Abs. 2 ZPO obliegenden Erklärungspflicht zu den Behauptungen der be- weispflichtigen Partei konkret zu äußern, wenn diese außerhalb des von ihr vorzutragenden Geschehensablaufs steht und keine nähere Kenntnis der maßgebenden Tatsachen besitzt, ihr Prozeßgegner aber die wesent- lichen Umstände kennt und es ihm zumutbar ist, dazu nähere Angaben zu machen (BGHZ 140, 156, 158 f.; 145, 35, 41; BGH, Urteile vom 24. November 1998 - VI ZR 388/97, NJW 1999, 714 f. m.w.Nachw. und vom 11. Dezember 2001 - VI ZR 350/00, WM 2002, 347, 349). Das gilt auch für das kartenausgebende Kreditinstitut hinsichtlich der von ihm - im Rahmen des Zumutbaren und gegebenenfalls in verallgemeinernder Weise - darzulegenden Sicherheitsvorkehrungen. Dadurch wird der Kar- teninhaber in die Lage versetzt, Beweis für von ihm vermutete Sicher- heitsmängel antreten zu können (vgl. BGH, Urteil vom 15. Mai 2003 - III ZR 7/02, BGHReport 2003, 891, 892). Das Kreditinstitut wird zudem aus dem mit dem Karteninhaber bestehenden Girovertrag regelmäßig als verpflichtet anzusehen sein, sämtliche in seinem Besitz befindlichen technischen Aufzeichnungen, die die streitigen oder vorangegangene Auszahlungsvorgänge betreffen oder hierüber Aufschluß geben können, bis zur Klärung der Angelegenheit aufzuheben und dem Kontoinhaber gegebenenfalls auch zugänglich zu machen (vgl. BGH, Urteil vom - 18 - 21. November 1995 - VI ZR 341/94, NJW 1996, 779, 780 f.). Schließlich kann sich zugunsten des Karteninhabers auswirken, daß derjenige, der die Gegenpartei schuldhaft in der Möglichkeit beschneidet, den An- scheinsbeweis zu erschüttern oder zu widerlegen, sich nicht auf die Grundsätze des Anscheinsbeweises berufen kann (BGH, Urteil vom 17. Juni 1997 - X ZR 119/94, WM 1998, 204, 206). III. Die Revision der Klägerin war daher als unbegründet zurückzuwei- sen. Nobbe Müller Wassermann Appl Ellenberger