Entscheidung des LG Heilbronn: Das Aus für die PushTAN-Apps?

Was ist die starke Kundenauthentifizierung?

Mit der PSD2 regelte die EU den Markt für Zahlungsdienste neu. Zentrales Ziel der Richtlinie war es, einen einheitlichen Markt für Zahlungsdienste zu schaffen, die Sicherheit von Zahlungen im Raum der Europäischen Union zu fördern und die Endkunden besser zu schützen.

Das zentrale Element zur Förderung des Schutzniveaus zugunsten der Endkunden war die Pflicht zur Einführung der sogenannten starken Kundenauthentifizierung. Dieses sah vor, dass der Zugriff auf die Onlinebanking-Accounts und die Auslösung von Zahlungsaufträgen fortan nicht mehr durch die bloße Eingabe eines individuellen Passwortes möglich sein soll. Vielmehr sollte die Authentifizierung mittels zweier oder mehrerer Elemente erfolgen, die unabhängig voneinander sind. Die Unabhängigkeit soll dadurch gewährleistet werden, dass die Authentifizierung mittels Elementen aus mindestens zwei der folgenden drei Kategorien durchgeführt wird: Wissen, Besitz und Inhärenz.

Durch diese Unabhängigkeit sollte gewährleistet werden, dass die Verletzung eines Elements (etwa ein Bekanntwerden des Passwortes) nicht zu einer Beeinträchtigung der Zuverlässigkeit der übrigen Elemente führen kann. Nutzt eine Bank gegenüber ihren Kunden etwa Passwörter (Kategorie: Wissen), so bedarf es eines weiteren Elements, das entweder der Kategorie Besitz (etwa in Form eines dem Kunden eindeutig zugeordneten Mobiltelefons) oder der Kategorie Inhärenz (etwa der Fingerabdruck des Endkunden) zuzuordnen ist.

Die Definition der PSD2 zur starken Kundenauthentifizierung wurde in § 1 Nr. 24 des Zahlungsdiensteaufsichtsgesetzes („ZAG“) in deutsches Recht umgesetzt, die Verpflichtung zur Durchführung in § 55 ZAG. Durch eine delegierte Verordnung zu technischen Regulierungsstandards (Delegierte VO (EU) 2018/389 – „Delegierte Verordnung“) wurden die Anforderungen weiter präzisiert. Innerhalb des deutschen Marktes hat sich das sogenannte pushTAN-Verfahren als eine Möglichkeit etabliert und wird von vielen Banken angewandt. Dieses funktioniert dergestalt, dass der Zahlungsdienstenutzer nur auf sein Onlinebanking zugreifen kann oder eine Zahlung auslösen kann, wenn er sich mittels seines Passwortes (Kategorie: Wissen) in seinen Onlinebanking-Account einloggt und die jeweilige Aktion mit einer TAN, die er in einer separaten mobilen Applikation (App) generiert, legitimiert. Ob es sich bei der pushTAN um ein anderes unabhängiges Element im Vergleich zur Passworteingabe in die Onlinebanking App handelt, war unter anderem Teil einer Entscheidung des Landgerichts („LG“) Heilbronn.

Inhalt der Entscheidung des LG Heilbronn

Das LG Heilbronn hatte am 16. Mai 2023 (Bm 6 O 10/23) u.a. zu entscheiden, ob das pushTAN-Verfahren geeignet ist, einen Zahlungsvorgang zu autorisieren, und somit den Anforderungen der starken Kundenauthentifizierung genügt.

In dem der Entscheidung zugrunde liegenden Sachverhalt, geht es um Erstattungsansprüche aus einem Zahlungsdienstleitungsvertrag im Zusammenhang mit einem betrügerischen Anruf. Der Kläger schloss einen Zahlungsdienstleistungsvertrag unter Vereinbarung von Sonderbedingungen für das Online-Banking bei der beklagten Bank und nutzte deren Online-Banking System. Der Kläger gab im Zuge eines betrügerischen Anrufs mehrere TAN-Nummer telefonisch weiter. Daraufhin fanden zwei Abhebungen von dem Konto des Klägers statt, ohne dass er diese laut eigener Aussage veranlasst habe. Der Kläger wandte sich an die beklagte Bank und bat um Übernahme des Schadens.

Im Leitsatz führt das LG Heilbronn aus, dass das sog. pushTAN-Verfahren, bei dem die Anzeige der TAN und der Zugang zum Onlinebanking zwar durch zwei verschiedene Apps, aber auf dem gleichen Smartphone erfolgen, nicht den Anforderungen an eine starke Kundenauthentifizierung im Sinne des § 1 Nr. 24 ZAG zur Umsetzung von Art. 4(30) PSD2 entspricht. Anstatt getrennte Kommunikationskanäle zu nutzen, erfolge die Authentifizierung nur über ein Gerät und daher gäbe es keine aus mindestens zwei unabhängigen Elementen bestehende Authentifizierung. 

Das LG Heilbronn scheint interessanterweise auch auszuführen, dass es keine Bedenken beim smsTAN-Verfahren hat, da hier getrennte Kommunikationswege (Computer und Mobiltelefon) genutzt würden. Ob das LG Heilbronn damit jedoch auch verlangt, dass Banken kein Onlinebanking auf Smartphones anbieten (und wie dies sichergestellt werden soll), führt das Urteil nicht aus.

Die Entscheidung des Landgerichts Heilbronn war eingebettet in eine Darlegungs- und Beweislastproblematik und erging als obiter dictum. Die Frage der Darlegungs- und Beweislast für die Autorisierung der Überweisung liegt nach § 675w S. 1 BGB bei der beklagten Bank. Der Bank als Zahlungsdienstleister ist jedoch grundsätzlich der Anscheinsbeweis eröffnet, dass Zahlungen, die aufgrund eines üblichen Geschehensablauf erfolgen, vom Zahler und nicht durch einen Dritten veranlasst wurden. Hierfür ist allerdings erforderlich, dass das Autorisierungsverfahren eine sehr hohe Sicherheit bietet. Obwohl es auf die Frage nach der Darlegungs- und Beweislast im Fall des LG Heilbronn nicht ankam, da dem Kläger von der Beklagten zugestanden wurde, dass er die streitgegenständlichen Überweisungen nicht veranlasst habe, sondern ein unbekannter Dritter, äußerte sich das LG Heilbronn zur „Sicherheit“ von pushTAN-Verfahren. Nach Ansicht des LG Heilbronn fehlt es dem pushTAN-Verfahren aus oben aufgeführten Gründen an der für den Anscheinsbeweis erforderliche sehr hohen Sicherheit.

Stellungnahme

Die Entscheidung des LG Heilbronn überrascht in mancher Hinsicht. Zunächst überrascht, dass sich das LG Heilbronn überhaupt zur starken Kundenauthentifizierung äußert. Nach eigner Aussage des LG Heilbronn ist diese Frage auf Grund des Zugeständnisses der beklagten Bank nicht mehr entscheidungsrelevant. Entsprechend kurz fällt die Auseinandersetzung mit den Anforderungen an eine sichere Authentifizierung aus.

Das Urteil setzt sich nicht mit der Delegierten Verordnung auseinander. Diese erlaubt ausdrücklich die Verwendung von „Mehrzweckgeräten“, also Geräte, die sowohl für die Erteilung der Zahlungsanweisung als auch für den Authentifizierungsprozess verwendet werden können (etwa Tablet oder Mobiltelefon). Voraussetzung ist allerdings, dass der Zahlungsdienstleister Sicherheitsmaßnahmen zur Minderung des Risikos vorsieht, das aus der missbräuchlichen Verwendung eines Mehrzweckgeräts entstehen kann. Dazu gehört mindestens, die Nutzung getrennter sicherer Ausführungsumgebungen durch die im Mehrzweckgerät installierte Software, Mechanismen, die sicherstellen, dass die Software oder das Gerät vom Zahler oder einem Dritten nicht verändert wurde, und Mechanismen zur Eindämmung von Folgen, sollten Veränderungen stattgefunden haben. Das eine Bewertung diese Vorgänge durch Gerichte auch anders gehen kann zeigt die Entscheidung des LG Nürnberg-Fürth vom 29. Juni 2023 (6 O 5996/22), welche sich dezidiert mit der Softwareumgebung und der technischen Durchführung der Starken Kundenauthentifizierung auseinandersetzt. Das LG Nürnberg-Fürth sieht bei dem PushTAN-Verfahren die Unabhängigkeit der Elemente voneinander nicht nur durch die verschlüsselte Übertragung, sondern auch durch die vollkommene Abschottung der Push-TAN-App gesichert. Nach diesem Urteil stelle die Gefahr eines unbefugten Zugriffs auf das Mobiltelefon als Besitzelement selbst nicht die Unabhängigkeit vom Wissenselement der Zugangsdaten zum Online-Banking in Frage.

Auch wäre eine Auseinandersetzung des LG Heilbronn mit der Delegierten Verordnung wünschenswert gewesen, da es in der deutschen juristischen Literatur umstritten ist, ob die Delegierte Verordnung sich nur auf das Aufsichtsrecht auswirkt oder auch für das Zivilrecht (und damit die Haftung des Zahlungsdienstleisters, über die das LG Heilbronn zu entscheiden hatte) relevant ist.

Die von LG Heilbronn angenommene fehlende Sicherheit des pushTAN-Verfahrens hätte ferner auch nicht dazu geführt, dass der dortige Kläger nicht betrogen worden wäre. Vielmehr hätte der Kläger auch bei anderen TAN-Verfahren (z.B. bei dem vom LG Heilbronn für sicher empfundenen smsTan Verfahren) die TANs am Telefon weitergegeben.

Schließlich überrascht auch der Verweis auf das vermeintlich „sichere“ smsTAN-Verfahren. Das vom LG Heilbronn für die Unsicherheit des pushTAN-Verfahrens ins Felde geführte Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte hier bereits vor einiger Zeit das smsTAN-Verfahren als unsicher eingestuft, da die SMS abgefangen und umgeleitet werden können.

Konsequenzen der Entscheidung

Das Urteil ist rechtskräftig, und es bleibt abzuwarten, ob andere Gerichte dem Urteil folgen werden – und wenn, ob sie sich vertiefter mit der Thematik auseinandersetzen. Für Banken ist das Urteil ein Warnschuss. Zwar hatte die Klage beim LG Heilbronn keinen Erfolg. Allerdings hat das Gericht die Zulässigkeit von pushTAN in der dortigen Ausgestaltung in Frage gezogen. Banken sollten sich also fragen, ob sie vor Gericht die Sicherheit des pushTAN-Verfahrens nachweisen können. Nachdem das smsTAN-Verfahren von einigen Banken erst vor ein paar Jahren abgeschafft wurde, wird sich die Freude von Kunden über ein neues TAN-Verfahren in Grenzen halten.

Aufsichtsrechtlich wird die Entscheidung jedoch wahrscheinlich weniger Auswirkungen haben. Die zuständige Aufsichtsbehörde, die Bundesanstalt für Finanzdienstleistungsaufsicht („BaFin“), ist an diese Entscheidung nicht gebunden. Sie wird für die aufsichtsrechtliche Bewertung auch auf die Delegierte Verordnung abstellen. Ungeachtet dessen hat die BaFin bereits 2015 eine Verbraucherwarnung ausgesprochen, die TAN auf demselben Smartphone zu generieren, auf dem das Online-Banking stattfindet. 

Ausblick

Das pushTAN-Verfahren ist im Online-Banking weit verbreitet. Zahlungsdienstleister sollten nun (ggf. erneut) prüfen, ob ihre pushTAN-Verfahren die notwendige Sicherheit aufweisen. Bei TAN-Verfahren auf Mehrzweckgeräten besteht aber ein Risiko, dass andere Gerichte dem LG Heilbronn folgen. Dies könnte zu Haftungsrisiken der Zahlungsdienstleister führen.

Mit freundlicher Unterstützung von Franziska Breuer, wissenschaftliche Mitarbeiterin.