Beim Online-Banking setzen Banken eine sog. starke Kundenauthentifizierung ein. Viele kennen diesen gesetzlichen Begriff auch unter dem Schlagwort "Zwei-Faktor-Authentifizierung". Diese muss bei Zahlungen auch grundsätzlich zur Anwendung kommen, dies sieht in Österreich § 87 Zahlungsdienstegesetz (ZaDiG) vor. Zur Parallelnorm in Deutschland gibt es eine interessante Entscheidung des LG Heilbronn. Dieses sieht bestimmte am Markt verwendete Lösungen nicht als starke Kundenauthentifizierung an.
Was bedeutet "starke Kundenauthentifizierung"?
Was eine starke Kundenauthentifizierung ist, ist im Gesetz klar definiert und bedeutet nach § 4 Z 28 ZaDiG folgendes: eine Authentifizierung unter Heranziehung von mindestens zwei Elementen der Kategorien Wissen (etwas, das nur der Nutzer weiß), Besitz (etwas, das nur der Nutzer besitzt) oder Inhärenz (etwas, das nur der Nutzer ist), die insofern voneinander unabhängig sind, als die Nichterfüllung eines Kriteriums die Zuverlässigkeit der anderen nicht in Frage stellt, und die so konzipiert ist, dass die Vertraulichkeit der Authentifizierungsdaten geschützt ist.
Ein Beispiel für Wissen wäre etwa ein Passwort, das der Nutzer zugeteilt bekommt oder selbst erstellt und welches nur er kennt. Besitz stellt auf etwas ab, was nur der Nutzer in seinem Besitz hat, also etwa ein Zahlungskarte. Inhärenz wäre ein unverwechselbares Merkmal des Nutzers, zum Beispiel sein Fingerabdruck.
Wann muss eine "starke Kundenauthentifizierung" zum Einsatz kommen?
Grundsätzlich muss eine starke Kundenauthentifizierung in folgenden Fällen zum Einsatz kommen: (1) Der Nutzer greift online auf sein Zahlungskonto zu, (2) der Nutzer löst einen elektronischen Zahlungsvorgang aus oder (3) der Nutzer nimmt über einen Fernzugang eine Handlung vor, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs birgt. Setzen Banken keine starke Kundenauthentifizierung ein, so haften Sie für den Schaden stets alleine (§ 68 Abs 5 ZaDiG).
LG Heilbronn zu Push-TAN-Apps
Früher war es üblich, Transaktionen im Online-Banking via SMS-TAN oder über TAN-Listen freizugeben. SMS-TAN wurden, nicht zuletzt aufgrund der Regelungen des ZaDiG, zunehmend durch andere Freigabemethoden ersetzt, zB durch zusätzliche Push-TAN-Apps. Hierzu entschied das Gericht wie folgt: Das sog "Push-TAN-Verfahren", in dem die TAN auf dem Mobiltelefon in einer anderer App angezeigt wird, beide Apps für Online-Banking und TAN aber am selben Mobiltelefon installiert sind, weisen ein erhöhtes Gefährdungspotential auf. Grund dafür sei, dass hier eine Verwendung zweier Apps auf einem Gerät statt der Nutzung getrennter Kommunikationswege vorgesehen sei. Es liege deshalb keine Authentifizierung aus wenigstens zwei voneinander unabhängigen Elementen iSv § 1 Abs 24 ZAG vor. Bei § 1 Abs 24 ZAG handelt es sich um die korrespondierende Vorschrift im deutschen Recht zu § 4 Z 28 ZaDiG. Das Verfahren sei nicht besser als das traditionelle TAN-Verfahren. Die Klage gegen die Bank wurde letztlich zwar aus anderen (zivilrechtlichen) Gründen abgewiesen; das Gericht scheint aber eine Trennung bezüglich der Geräte zu bevorzugen (also etwa Online-Banking am Computer und Zahlungsfreigabe über das Mobiltelefon).
Die Rechtsprechung des LG Heilbronn kann man durchaus kritisch sehen, denn auch zwei Apps auf ein und demselben Gerät können getrennt voneinander gesichert werden, etwa indem unterschiedliche Merkmale verwendet werden (etwa Fingerabdruck für Log-In im Online-Banking und eine PIN für den Abruf der PIN). In diesem Fall wäre der Log-In im Online-Banking durch Besitz (des Mobiltelefons) und Inhärenz (Fingerabdruck) und die Freigabe durch Besitz und Wissen (PIN) möglich. Somit kämen insgesamt sogar alle drei Faktoren zum Einsatz, was das Risiko, dass ein Gerät verwendet wird, mEn aufwiegt.
Handlungsbedarf für Banken und Zahlungsdienstleister
Banken und Zahlungsdienstleister sollten ihre Prozesse rund um die Freigabe von Zahlungen nochmals evaluieren. Zurzeit kommen viele verschiedene Lösungen zum Einsatz , welche unter Umständen Sicherheitslücken aufweisen. Da das Haftungsrisiko in diesem Fall bei der Bank bzw beim Zahlungsdienstleister liegt, dient eine Evaluierung hier auch der Haftungsminimierung.
Sie haben weitere Fragen hierzu?
Sie haben Fragen zu unseren Services im Bereich Banken oder möchten, dass wir uns eine bestimmte Zahlungslösung rechtlich genauer anschauen und sich durch einen Rechtsanwalt beraten lassen? Als Rechtsanwälte sind wir auf dieses und weitere Rechtsgebiete spezialisiert. Melden Sie sich gerne bei unserer Kanzlei unter office@geuer.at oder telefonisch unter +43-1-4380072. Wir freuen uns auf Ihre Anfrage.
Comments are closed!