Mit der zweiten EU-Zahlungsdiensterichtlinie wurde das Erfordernis der sog. starken Kundenauthentifizierung bei Online-Banking und Online-Bezahlmethoden eingeführt. Stark vereinfacht bedeutet dies, dass Anbieter sicherstellen müssen, dass Nutzer sich nicht lediglich über ein, sondern über zwei Elemente authentifizieren müssen. Ein Element ist dabei oft eine PIN, das Wissenselement. Das zweite Element ist oft eine Form von Transaktionsnummern (TAN), das Besitzelement.

Traditionell wurden dabei Listen mit TANs verwandt. Die starke Kundenauthentifizierung soll die Sicherheit im Zahlungsverkehr erhöhen. Gleichzeitig ist das Verfahren aus Sicht der Banken ein Kostenfaktor (bspw. die Ausgabekosten für die TAN-Generatoren), für den Online-Handel führt es zu Warenkorbabbrüchen, und aus Kundensicht beeinträchtigt es die Leichtigkeit im Online-Shopping.

In der Praxis wird daher immer öfter das komfortablere „pushTAN-Verfahren“ eingesetzt. Hier generiert der Kunde die TAN nach Eingabe einer PIN oder Gesichtserkennung durch eine (separate) App auf dem Smartphone. Rechtlich wird mit dem pushTAN-Verfahren ein Anscheinsbeweis verbunden, sprich es wird vermutet, dass eine Autorisierung einer Zahlungsanweisung im Sinne von § 675w BGB besteht.

Das Landgericht (LG) Heilbronn hat kürzlich geurteilt, dass dem pushTAN-Verfahren wegen der hohen Gefahr des Missbrauchs kein Beweiswert für eine Zahlungsfreigabe zukomme. Das Urteil hat in der Praxis zu der Frage geführt, ob das pushTAN-Verfahren weiterhin in der bestehenden Form eingesetzt werden sollte.

Das LG Heilbronn hatte über einen Fall zu entscheiden, in dem ein Bankkunde durch einen Telefonbetrug um 8.433 Euro geschädigt wurde. Der Bankkunde hatte auf einen Anruf eines vermeintlichen Bankmitarbeiters hin mehrere TAN preisgegeben, die er mit dem pushTAN-Verfahren generierte. Der Betrüger nutzte diese TAN, um das Überweisungslimit zu erhöhen und zwei Abbuchungen vom Konto des Bankkunden zu veranlassen. Der Kunde verlangte von der Bank „Erstattung“ dieser Beträge, was die Bank ablehnte.

Vor dem LG Heilbronn hatte die Bank eingeräumt, dass der Bankkunde die Zahlungsaufträge nicht autorisiert hatte. Daher kam es für den Erstattungsanspruch nicht mehr auf die Beweiserbringung bezüglich der Autorisierung an. Im Ergebnis wies das Gericht die Klage dennoch ab, da die telefonische Weitergabe der TAN durch den Kunden grob fahrlässig gewesen sei. Die Bank könne so mit einem Schadensersatzanspruch in Höhe des abgebuchten Betrags aufrechnen.

Die eigentliche Brisanz des Urteils und seine praktische Relevanz liegen allerdings in der Urteilsbegründung, genauer in der vom Gericht geäußerten Rechtsansicht zum PushTAN-Verfahren, die für die Entscheidung selbst nicht relevant war (sog. obiter dictum).

Nach Auffassung der Richter hätte sich die Bank bezüglich der Autorisierung nicht auf den Anscheinsbeweis, der auf ordnungsgemäßer Installation und Nutzung der pushTAN App beruht, berufen können. Sie urteilten, dass ein Verfahren unsicher sei, bei dem die Banking-App und die TAN erzeugende pushTAN-App auf demselben Handy betrieben würden. Damit entfalle die für die Sicherheit wesentliche Trennung der Kommunikationswege, die beim (traditionellen) smsTAN-Verfahren noch gegeben gewesen sei. Dieser Umstand schließe die für den Anscheinsbeweis erforderliche sehr hohe Wahrscheinlichkeit aus.

Strenggenommen bedeutet dies in praktischer Hinsicht, dass Zahlungsdienstleister, deren Kunden das pushTAN-Verfahren (oder gar eine einzige App) zur Zahlungsfreigabe nutzen, sich nicht mehr auf die Grundsätze zum Anscheinsbeweis für die Autorisierung einer Zahlungsanweisung nach § 675w BGB berufen könnten. Das würde die Beweisposition stark schwächen und könnte das Mobile Banking, wie wir es mit aller Leichtigkeit täglich nutzen, rechtlich in Zweifel ziehen. Auch wäre fraglich, ob Zahlungsdienstleister bei Einsatz des pushTAN-Verfahrens noch ihre aufsichtsrechtliche Pflicht zur starken Kundenauthentifizierung erfüllen würden. Das Verfahren stände damit auf dem Prüfstand. 

Nun hat die Finanzindustrie gerade in letzter Zeit leidvolle Erfahrung darin sammeln müssen, dass Gerichtsurteile nahezu „über Nacht“ tatsächlich langjährigen Praktiken über dem Haufen werfen können. Allerdings sollte das Urteil im Falle des pushTAN-Verfahrens zumindest bislang keine Zeitenwende bedeuten. Zunächst handelt es sich bislang „lediglich“ um eine einzelne Meinung eines Landgerichts. Fast zeitgleich sind weitere gerichtliche Entscheidungen mit anderer Beurteilung gefallen. So prüfte das Landgericht Nürnberg-Fürth (Urteil vom 29.06.2023, Az. 6 O 5996/22) im Rahmen des § 675v Abs. 4 S. 1 Nr. 1 BGB ausführlich, ob das pushTAN-Verfahren die Anforderungen an eine starke Kundenauthentifizierung erfüllt. Es bejahte dies und verwies auf ein unstreitiges Sachverständigengutachten der beteiligten Bank, das besagt, dass die pushTAN-App durch einen sog. „Promon Shield“ vom restlichen Betriebssystem derart isoliert ist, dass eine Kompromittierung technisch ausgeschlossen sei.

Zudem wird das pushTAN-Verfahren im Urteil des LG Heilbronn nur „nebenbei“ diskutiert. Dies verringert nicht nur seinen „Präzedenzwert“, sondern hat auch zur Folge, dass die Frage bestenfalls summarisch diskutiert wird. Viele Aspekte, wie z.B. die Entstehungsgeschichte der Durchführungsbestimmungen zur Zahlungsdiensterichtlinie, bleiben unberücksichtigt. Insgesamt erscheint damit das Urteil kaum als belastbarer Präzedenzfall.   

Das Urteil des LG Heilbronn hat in der Bankbranche viel Aufsehen erregt und Zweifel an der rechtlichen Belastbarkeit des pushTAN-Verfahrens geweckt. Aus verschiedenen Gesichtspunkten spricht aber einiges dagegen, dass mit dem Urteil der Anfang vom Ende des pushTAN-Verfahrens eingeläutet wurde. Auf die leichte Schulter sollte es dennoch nicht genommen werden.

Es mag vielmehr Zahlungsdienstleistern als Anlass dienen, ihre ganz spezifischen Verfahren einer (erneuten) Überprüfung zu unterziehen. Und es mag als Hinweis dienen, dass die Abwägung
zwischen Sicherheit auf der einen Seite und Kostengesichtspunkten und Nutzerfreundlichkeit auf der anderen Seite einen Balanceakt darstellt. Die gefundene Lösung könnte daher in Zukunft durchaus noch einmal von Rechtsprechung, Aufsicht oder Gesetzgeber hinterfragt werden.