Bei Online-Banking Missbrauchsfällen machen die Kunden oftmals den Erstattungsanspruch aus § 675u S. 2 BGB geltend, dem bankseitig wiederrum eigene Ansprüche aus § 675v Abs. 3 Nr. 2 BGB entgegen werden. Bisher war oftmals Schwerpunkt der gerichtlichen Auseinandersetzung die Frage, ob der Kunde den Schaden selbst - durch vorsätzliche oder grob fahrlässige Verletzung seiner Pflichten - herbeigeführt hat. Kunden haben schließlich unmittelbar nach Erhalt eines Zahlungsinstruments alle zumutbaren Vorkehrungen zu treffen, um die personalisierten Sicherheitsmerkmale vor unbefugtem Zugriff zu schützen. Auch haben sie die vereinbarten Bedingungen für die Ausgabe und Nutzung des Zahlungsinstruments einzuhalten.
Nachdem die Rechtsprechung diverse Sachverhaltskonstellationen beschieden hat, verlagert sich die Diskussion in der gerichtlichen Praxis zunehmend darauf, inwieweit ein bankseitiger Schadensersatzanspruch ausgeschlossen sein könnte. Dies könnte u.a. nach § 675 Abs. 4 BGB dann angenommen werden, wenn die Bank eine starke Kundenauthentifizierung im Sinne des § 1 Abs. 24 ZAG nicht verlangt hat.
Was ist eine starke Kundenauthentifizierung?
Zentrale Vorgaben dazu finden sich in der RL (EU) 2015/2366, der sog. Zweite Zahlungsdienste-Richtlinie („PSD2“).
Die PSD2 enthielt in ihrem Art. 4 Nr. 30 erstmalig eine konkretisierende Legaldefinition des Begriffs „starke Kundenauthentifizierung“, die der deutsche Gesetzgeber nahezu wortgleich in § 1 Abs. 24 ZAG übernahm.
Eine starke Kundenauthentifizierung ist danach eine Authentifizierung, die so ausgestaltet ist, dass die Vertraulichkeit der Authentifizierungsdaten geschützt ist und die unter Heranziehung von mindestens zwei der folgenden, in dem Sinne voneinander unabhängigen Elementen geschieht, dass die Nichterfüllung eines Kriteriums die Zuverlässigkeit der anderen nicht in Frage stellt:
1. Kategorie Wissen, also etwas, das nur der Nutzer weiß,
2. Kategorie Besitz, also etwas, das nur der Nutzer besitzt oder
3. Kategorie Inhärenz, also etwas, das der Nutzer ist.
Und wann wird die starke Kundenauthentifizierung verlangt?
Die Mitgliedstaaten wurden in Art. 97 PSD2 zu einer gesetzlichen Regelung der starken Kundenauthentifizierung verpflichtet, woraufhin der deutsche Gesetzgeber § 55 ZAG für den Geltungszeitraum ab dem 14.09.2019 einführte.
Nach § 55 Abs. 1 ZAG sind Zahlungsdienstleister verpflichtet, eine starke Kundenauthentifizierung zu verlangen, wenn der Zahler
1. online auf sein Zahlungskonto zugreift;
2. einen elektronischen Zahlungsvorgang auslöst;
3. über einen Fernzugang eine Handlung vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs beinhaltet.
Gibt es Ausnahmen zu § 55 ZAG? Braucht es bei jeder Abfrage des Online-Bankings eine starke Kundenauthentifizierung?
Um die Vorgaben der PSD2 zu konkretisieren, beschloss die EU-Kommission am 27. November 2017 die technische Regulierungsstandards („RTS-PSD2“), vgl. VO (EU) 2018/389 über technische Regulierungsstandards für starke Kundenauthentifizierung und für sichere offene Standards für die Kommunikation. Darin werden auch Ausnahmen geregelt, wann Zahlungsdienstleister von der Durchführung einer starken Kundenauthentifizierung absehen können.
Weil diese RTS-PSD2 als Verordnung in den Mitgliedstaaten unmittelbar geltendes Recht darstellen, sind die §§ 55 und 1 Abs. 24 ZAG also stets in Zusammenschau mit den Vorgaben der RTS-PSD2 zu verstehen.
Gemäß Art. 10 Abs. 1 RTS-PSD2 dürfen Zahlungsdienstleister von der Durchführung einer starken Kundenauthentifizierung absehen, wenn sich der Zugriff des Zahlungsdienstnutzers auf das Abfragen (i) des Kontostands eines oder mehrerer Zahlungskonten oder (ii) von Zahlungsvorgängen beschränkt, die in den vergangenen 90 Tagen über ein oder mehrere bezeichnete Zahlungskonten ausgeführt wurden; außerdem kommt die Anwendung dieser Ausnahme gem. Art. 10 Abs. 2 RTS-PSD2 nicht in Betracht, wenn der Zahlungsdienstnutzer das erste Mal online auf die genannten Informationen zugreift, oder wenn mehr als 180 Tage verstrichen sind, seitdem der Zahlungsdienstnutzer letztmals auf die über sein Zahlungskonto ausgeführten Zahlungsvorgänge zugegriffen hat und dabei eine starke Kundenauthentifizierung verlangt wurde. Diese engen tatbestandlichen Grenzen bilden den Grund dafür, dass der Zahlungsdienstnutzer in der Praxis, zumindest im regelmäßigen Abstand von 180 Tagen (bis Juli 2023 sogar im Abstand von 90 Tagen), auch bei der bloßen Anmeldung zum Online-Banking ausnahmsweise ein starkes Kundenauthentifizierungsverfahren zu durchlaufen hat.
Was hat es mit der „Rechtsprechung des LG Heilbronn“ in diesem Zusammenhang auf sich?
Das Urteil des LG Heilbronn vom 16. Mai 2023, Az.: 6 O 10/23, hat große Aufmerksamkeit erregt. Das Gericht entschied seinerzeit, dass das sog. pushTAN-Verfahren, bei dem die App zur Generierung und Anzeige der TAN auf dem gleichen Smartphone installiert ist wie die eigentliche Online-Banking-App, ein erhöhtes Gefährdungspotential“ aufweisen würde, da dort „eine Verwendung nur noch zweier Apps auf einem Gerät statt Nutzung getrennter Kommunikationswege“ erfolge. Damit liege keine Authentifizierung aus wenigstens zwei voneinander unabhängigen Elementen i.S.v. § 1 Abs. 24 ZAG vor.
Diese Ausführungen des LG Heilbronn wurden in der Folge in der juristischen Literatur kontrovers diskutiert und – zu Recht – kritisiert. Schließlich geht das EU-Recht in Art. 9 Abs. 2 und auch im Erwägungsgrund (6) der RTS-PSD2 davon aus, dass Unabhängigkeit der Elemente auch bei Nutzung eines Mehrzweckgeräts vorliegen kann (der Zahlungsdienstleister muss dann aber Minimierungsmaßnahmen für Risiken vorsehen, die aus der missbräuchlichen Verwendung des Mehrzweckgeräts erwachsen wie z.B. die Nutzung getrennter Ausführungsumgebungen durch die im Mehrzweckgerät installierte Software, vgl. Art. 9 Abs. 3 lit. a, siehe auch das sog. „Sandboxing“, das den Zugriff mittels einer kompromittierten App auf andere Apps verhindert, etc.).
In der neueren Rechtsprechung, vgl. Urteil vom 02.04.2024, Az. Bm 6 O 378/23, hält daher das LG Heilbronn an seiner anfänglichen Rechtsauffassung nicht mehr fest und stellt klar, dass „für die starke Kundenauthentifizierung mittels zweier Elemente nach Art. 9 Abs. 2 VO EU 2018/839 grundsätzlich auch die Verwendung eines sog. Mehrzweckgerätes möglich ist“. Ein der Bank zustehender Schadenersatzanspruch wird durch diesen Einwand nicht gemäß § 675v Abs. 4 BGB ausgeschlossen.
'/%3e%3c/svg%3e){kind=small}
'/%3e%3c/svg%3e){kind=small}
