Prinzipiell gilt, was eigentlich nichts Neues ist:Und wer übernimmt jetzt die Verantwortung dafür, wenn unsere Bankdaten auf den Servern der diversen Anbieter nicht ausreichend geschützt liegen?
Bei Lastschrifteinzügen prüfen die Banken prinzipiell so gut wie nie, ob der Einziehende tatsächlich eine Berechtigung hat, sondern läßt sich dies bestenfalls in den AGB bzw. Verträgen pauschal bestätigen.
Da gehen die Banken einfach davon aus, daß die Kunden ihr Konto eben ausreichend beobachten und ohnehin das Recht haben, einfach und sogar ohne Begründung eine valutagerechte Rückbuchung zu verlangen, wenn sie nicht einverstanden sind.
Die Frist dafür beträgt derzeit bis zu 6 Wochen nach dem Rechnungsabschluß.
Das wird sich erst mit der zwingenden Einführung der SEPA-Lastschrift ändern, wo Einzüge generell nur mehr mit Ermächtigung des Einziehenden und der Bank erfolgen können.
Dann kann jedoch weiterhin innerhalb einer Frist von 8 Wochen nach der Buchung eine begründete Rückbuchung erfolgen.
Bei Kreditkarten bist du bereits seit langem durch eine zwingende EU-Richtlinie geschützt, wonach du Belastungen im Fernabsatz (ohne physische Vorlage der Karte) einfach widersprechen kannst und dann der Händler/Dienstleister nachweisen muß, daß er tatsächlich an die Rechnungsadresse deiner Karte (und somit an dich) geliefert hat oder du eben die Transaktion veranlaßt/genehmigt hast.
Kann er das nicht, haftet er für den Schaden.
Für nicht weiterbelastbare Schäden haftet die Kreditkartenorganisation.
Bei Zahlung mit PIN-Code hast du jedoch keine Einspruchsmöglichkeit.
Bei Verwendung der "Secure"-Verfahren im Internet ("Mastercard Secure Code" und "Verified by Visa") besteht das Risiko, daß du damit im Schadensfall schlechter dastehst als ohne und evtl. nicht mehr widersprechen kannst, weil dies als eine Art PIN-Code gilt.
Solche Fälle gab es bereits, allerdings haben die Kreditkartenfirmen gegenüber der deutschen Stiftung Warentest zugesagt, dies zukünftig nicht mehr so zu bewerten.
Trotzdem würde ich deshalb von der Nutzung der "Secure" Varianten im Internet abraten.
Wenn deine Kreditkartendaten gehackt wurden, dann fällt dies den KK-Organisationen üblicherweise sehr schnell auf und du bekommst dann einfach eine neue Karte mit einer neuen Kartennummer.
Somit besteht der Schaden wohl de facto in persönlichem Reklamationsaufwand und Bekanntgabe der neuen Kreditkartendaten an seine aktuellen Vertragspartner, die regelmäßig über die Karte abrechnen.
Daß das Ganze weder angenehm, noch wünschenswert ist, steht natürlich außer Zweifel.
Natürlich steht es dir frei, zivilrechtlich gegen den unzuverlässigen Anbieter vorzugehen, der durch seine Fahrlässigkeit den Datendiebstahl ermöglicht hat.
Allerdings mußt du dabei das Beweisrisiko tragen, als auch die Verfahrens- und Rechtsanwaltskosten vorstrecken.
Dazu kommt noch, wie du den Streitwert für deinen wohl kaum betragsmäßig bezifferbaren Reklamations- und Korrespondenzaufwand ansetzt.
Schadenersatzansprüche werden daher wohl weniger von den betroffenen Kunden, sondern wohl eher von den Kreditkartenorganisationen bzw. Banken Aussicht auf Erfolg haben - insbesondere dann, wenn - wie hier die GIS - gegen vertragliche Vereinbarungen verstoßen worden sein sollte.