Wer seine Sorgfaltspflichten nicht einhält, muss je nach Grad des Verschuldens ganz oder teilweise für den verursachten Schaden aufkommen.

Im April gab es nach Presseberichten einen Totalausfall des „PlayStation Network“ des Elektronikkonzerns Sony – ausgelöst durch einen „externen Eindringling“, wie Sony erklärte. Fast eine Woche nach der Abschaltung des Netzwerks ging das Unternehmen dann mit den Informationen über die Hintergründe an die Öffentlichkeit: Mitte April hatten Hacker die Daten von rund 77 Millionen Nutzerkonten des Sony PlayStation Network in 59 Ländern sowie Daten von bis zu 24,6 Millionen Kunden des Computerspiele-Dienstes Sony Online Entertainment erbeutet. Unter den gestohlenen Daten sollen auch Kreditkarten-Informationen sein. Betroffen sind auch rund 500.000 Nutzerkonten in Österreich, wobei laut Sony 40.050 Kreditkartendaten und 840 Bankkontendaten von heimischen Kunden gestohlen wurden. Im Netz kursieren erste Berichte darüber, dass bereits Kreditkartendaten von etwa 2,2 Millionen Nutzern zum Verkauf angeboten worden seien.
 
Einer der größten Datendiebstahlsfälle der jüngsten Zeit wirft nicht nur Fragen der Datensicherheit in derartigen Systemen, sondern vor allem auch die Frage auf, wer haftet, wenn die gestohlenen Kreditkartendaten missbraucht und damit nicht autorisierte Zahlungstransaktionen durchgeführt werden.
In diesem Zusammenhang hat man kürzlich immer wieder gehört, dass die Kreditkartenunternehmen jedenfalls haften würden und den Kunden daraus kein Schaden drohe. Ganz so ist es aber nicht. Auch der Kunde muss gewisse Sorgfaltspflichten einhalten, andernfalls haftet er (je nach dem Grad seines Verschuldens ganz oder zumindest teilweise) für den durch den Missbrauch seiner Kreditkarte verursachten Schaden.
 
Zahlungsdienstleister in der Pflicht
Seit 1. November 2009 enthält das Zahlungsdienstegesetz die dazu einschlägigen Bestimmungen. Danach haftet bei einem nicht autorisierten Zahlungsvorgang zwar grundsätzlich das Kreditkartenunternehmen (der „Zahlungsdienstleister“); es hat den nicht autorisiert bezahlten Betrag dem Kunden unverzüglich zu erstatten und das belastete Konto wieder auszugleichen. Voraussetzung ist allerdings, dass der Kunde seinen Informations- und Sorgfaltspflichten nachgekommen ist. Diese Sorgfaltspflichten finden sich zunächst im Zahlungsdienstegesetz selbst. Dort sind zwei wesentliche Pflichten geregelt:
Der Kunde hat den Verlust, Diebstahl, die missbräuchliche Verwendung oder die sonstige nicht autorisierte Nutzung des Zahlungsinstrumentes unverzüglich, sobald er davon Kenntnis hat, dem Kreditkartenunternehmen anzuzeigen.
Wenn der Kunde von einem nicht autorisierten oder fehlerhaften Zahlungsvorgang Kenntnis erlangt, hat er das Kreditkartenunternehmen unverzüglich davon zu unterrichten, um eine Berichtigung zu erwirken.
Außerdem hat der Kunde meistens weitere Sorgfaltspflichten, die sich aus den Nutzungsbedingungen des Kreditkartenunternehmens ergeben. So ist in derartigen Bedingungen etwa statuiert, dass der Kunde die Karte und seine Kartennummer sicher zu verwahren sowie jegliche Handhabung der Karte zu unterlassen hat, die das Risiko der Aneignung oder des Missbrauches der Karte oder von Kartendaten durch einen unbefugten Dritten in sich birgt. Dabei wird z.B. auch bestimmt, dass die unverschlüsselte Übermittlung von Kartendaten im Internet „unter keinen Umständen als sichere Verwahrung gilt“. Mit anderen Worten: Sollte der nicht autorisierte Zugriff auf die Kartendaten dadurch verursacht worden sein, dass diese unverschlüsselt auf einer Website eingegeben wurden oder unverschlüsselt per E-Mail versandt wurden, dann wird eine Haftung des Kunden bei missbräuchlicher Verwendung zu bejahen sein.
Kommt der Kunde grob fahrlässig diesen Informations- und Sorgfaltspflichten nicht nach, so ist er dem Kreditkartenunternehmen zum Ersatz des gesamten Schadens verpflichtet, haftet also unter diesen Umständen für den Gesamtbetrag der nicht autorisierten Zahlung. Bei leicht fahrlässiger Verletzung der Pflichten des Kunden ist seine Haftung auf den Betrag von 150 Euro beschränkt.
Erst wenn der Kunde über Verlust, Diebstahl, missbräuchliche Verwendung oder sonstige nicht autorisierte Nutzung der Karte das Kreditkartenunternehmen informiert hat, ist er gänzlich aus dem Schneider: Ab diesem Zeitpunkt der Information haftet er keinesfalls mehr für eine allfällige weitere missbräuchliche Verwendung, die danach stattgefunden hat.
 
Auch kleine Abgänge beachten
Wie sollten Betroffene sich verhalten? Jeder Kreditkarteninhaber, der potenziell von diesem Datendiebstahl betroffen sein könnte, sollte überlegen, folgende Dinge zu tun: Zunächst sollte jede Kreditkartenabrechnung auf nicht autorisierte oder ungewöhnliche Transaktionen geprüft werden und bei Auffälligkeiten umgehend das Kreditkartenunternehmen (nachweislich) informiert werden. Dabei sollte nicht nur auf große Beträge geachtet werden, denn Betrüger versuchen es oftmals auch über kleine Summen. Wenn ein Online-Zugriff auf das Kartenkonto vorhanden ist, sollte – da Kreditkartenabrechnungen nur einmal pro Monat versandt werden – zumindest einmal pro Woche der Kontostand online überprüft werden.
Die gesetzliche Maximalfrist für einen Einspruch gegen nicht autorisierte Abbuchungen beträgt 13 Monate ab dem Tag der betreffenden Buchung. Aber Achtung: Das ist eine Maximal(verfalls)frist. Wenn man innerhalb dieser 13 Monate Kenntnis erlangt, muss unverzüglich gerügt werden, damit der Anspruch nicht verloren geht! Ist der Kunde nicht Verbraucher (was bei Geschäftskreditkarten regelmäßig der Fall sein wird), dann können die Kreditkartenunternehmen diese Frist verkürzen – und sie tun dies auch, wobei in diesem Fall meist eine Frist von nicht mehr als vier Wochen gilt.
Weiters wäre es ratsam, die Allgemeinen Geschäftsbedingungen des Kreditkartenunternehmens auf das Vorhandensein weiterer Sorgfaltspflichten zu überprüfen.

Petra Piccolruaz, Rechtsanwältin