Die Anforderungen an die Sicherheit digitaler Kundenauthentifizierungsverfahren im Online-Banking stehen unter Druck. Konkret ging es um die Frage, ob eine Bank für einen durch Phishing verursachten Schaden aufgrund grob fahrlässigen Verhalten des Kunden mitverantwortlich sein kann. Mit Urteil vom 05.05.2025 (8 U 1482/24) hat das Oberlandesgericht (OLG) Dresden dies nun bejaht, da laut ihnen, das von einer Sparkasse vorgesehene Login über das S-pushTAN-Verfahren keine starke Authentifizierung ist. Deshalb habe die Bank gegen aufsichtsrechtliche Vorgaben verstoßen und müsse ein Mitverschulden am entstandenen Schaden tragen.
Weiterlesen: OLG Dresden: S-pushTAN ist keine starke AuthentifizierungZugrundeliegender Fall
Der Entscheidung beruht auf einem Fall, in dem ein Kunde auf eine Phishing-E-Mail hereingefallen war. Die Mitteilung behauptete eine Erneuerung des Online-Bankings und leitete den Kunden auf eine „Sparkassen“-Webseite der Betrüger. Der Kunde trug daraufhin seine Zugangsdaten ein. Im weiteren Verlauf bewegten die Betrüger den Kunden telefonisch dazu, mehrere angeblich technische „Aufträge“ in seiner pushTAN-App zu bestätigen. Informationen zu Empfänger oder den Beträgen seien hier in der Sparkassen-App laut Kunden nicht erfolgt. Dabei kam es zur Erhöhung seines Tageslimits und zu zwei Echtzeitüberweisungen auf ein fremdes Konto. Insgesamt verlor der Kunde fast 50.000 Euro, woraufhin er die Sparkasse informierte.
Im anschließenden gerichtlichen Verfahren forderte der Kunde von der Sparkasse die Erstattung des gesamten Schadens aufgrund des mangelhafte Authentifizierungsverfahrens. Das OLG Dresden hob nun die bisherige Entscheidung der LG Chemnitz vom 24.10.2024 (6 O 544/22) auf.
Rechtliche Einordnung
Nach der europäischen Zahlungsdiensterichtlinie (PSD2) ist für Online-Banking eine Zwei-Faktor-Authentifizierung notwendig. Dabei ist ein zusätzliches Gerät als zweiter Faktor erforderlich um beispielsweise Log-Ins oder Zahlungsvorgänge durchzuführen. Nach § 55 Zahlungsdiensteaufsichtsgesetz (ZAG) ist der Zahlungsdienstleister seit 2019 konkret verpflichtet, eine starke Kundenauthentifizierung zu verlangen. Eine einfache Authentifizierung, bei der etwa nur ein Sicherheitsfaktor abgefragt wird, reicht zum Beispiel für das Einsehen des Kontostands.
Im Rahmen des hier relevanten Push-TAN-Verfahren werden eine TAN-Nummer an eine App geschickt, worüber der Kunde per Push-Nachricht informiert wird. Dieser kann dann in der App den Zahlvorgang bestätigen.
§ 675l BGB schreibt zudem vor, dass auch der Zahlungsdienstnutzer alle zumutbaren Vorkehrungen treffen muss, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Konkret kann es hierbei zum Beispiel um den Schutz personenbezogener Daten wie Zugangsinformationen gehen.
Kein vollständiger Haftungsausschluss bei Bankversäumnissen
Das Gericht erkannte zwar das grob fahrlässige Verhalten des Bankkunden und seine Pflichtverletzung nach § 675l BGB an. Gleichzeitig sah es aber ein Mitverschulden der Sparkasse, da das Login in das Online-Banking lediglich mit Benutzername und statischer PIN erfolgte. Laut dem Urteil des OLG Dresden ist eine S-pushTAN keine starke Authentifizierung. Das gewählte Instrument genüge insofern nicht den Anforderungen im Sinne des § 55 ZAG, wenn „sensible Zahlungsdaten“ im Sinne von § 1 Abs. 26 ZAG betroffen sind. Das OLG entschied daher, dass die Bank rund 20 % des Schadens, also knapp 10.000 Euro, als Ausgleich zahlen muss.
Datenschutzrechtliche Implikationen
Zwar bezieht sich das Urteil primär auf das Zivilrecht, aus datenschutzrechtlicher Sicht hat es aber insbesondere Bedeutung im Rahmen der IT-Sicherheit, des Schutzes gegen Phising-Angriffe und der Sensibilität von Online-Banking-Daten. Wenn Banken beim Zugang zu diesen Daten keine hinreichende Authentifizierung verlangen, geraten sie nicht nur in Haftungsrisiken aus zivilrechtlicher Perspektive, sondern auch gegenüber den Datenschutzaufsichtsbehörden. Bis heute gibt es immer noch einige Banken, die die Vorgaben nicht ordnungsgemäß umsetzen. Unabhängig davon gibt es mittlerweile auch immer mehr Angriffe auf Bankkonten trotz starker Authentifizierung. So gehen Kriminelle immer mehr im Rahmen des Social-Engineerings vor, um Kunden zu täuschen. Der ab Oktober verpflichtende Namensabgleich mit der IBAN durch Banken kann hierbei nur bedingt helfen.
Fazit
Für Kunden bedeutet der Fall zunächst stets, sorgfältig und aufmerksam im Rahmen von Online-Banking vorzugehen. Der Fall zeigt aber auch eindrücklich, wie eng technische Sicherheitsvorgaben und datenschutzrechtliche Pflichten miteinander verzahnt sind. Verstöße gegen das ZAG können zugleich eine unrechtmäßige Datenverarbeitung darstellen, wenn die technischen und organisatorischen Maßnahmen nach Art. 32 Datenschutzgrundverordnung (DSGVO) nicht ausreichen. Banken stehen insofern in der Pflicht, Ihre Sicherheitsvorkehrungen regelmäßig zu überprüfen und an neue rechtliche Vorgaben und reale Gefahren anzupassen. Als Externe Datenschutzbeauftragte helfen wir Ihnen hierbei weiter.
