Internet-Law

Onlinerecht und Bürgerrechte 2.0

3.9.14

Bank haftet nicht bei manipulierter Überweisung im Online-Banking beim Smart-TAN-plus Verfahren

Das Landgericht Darmstadt geht in einem neuen Urteil vom 28.08.2014 (Az.: 28 O 36/14) davon aus, dass dem Bankkunden eine manipulierte Autorisierung im Online-Banking bei Nutzung des Smart-TAN-plus Verfahrens nach Rechtsscheinsgrundsätzen zuzurechnen ist und er deshalb gegen die Bank keinen Anspruch auf Rückzahlung besitzt.

Das Landgericht wählt allerdings eine aus meiner Sicht umständliche und nicht notwendige Begründung über die Grundsätze der Rechtsscheinshaftung.

Der entscheidende Aspekt bei der Benutzung eines TAN-Generators mit dem sog. Smart-TAN-Plus Verfahren besteht nämlich daran, dass die am Bildschirm angezeigte Überweisungsmaske zwar durch eine Man-In-The-Middle-Attacke manipuliert sein kann. Allerdings werden auf dem Display des TAN-Generator selbst in diesem Fall  die korrekten Überweisungsdaten angezeigt. Da die Überweisung anschließend mit einer korrekten TAN ausgeführt wird, nachdem am TAN-Generator die korrekten Daten des Zahlungsempfängers und der Überweisungsbetrag angezeigt wurden, handelt es sich deshalb um eine autorisierte Überweisung des Bankkunden, für die man entgegen der Ansicht des Landgerichts Darmstadt auch nicht auf Rechtsscheinsgrundsätze zurückgreifen muss. Vielmehr erteilt der Bankkunde durch die aktive Freigabe mit einer korrekt erzeugten TAN der Bank eine wirksame Anweisung. Er hätte an dieser Stelle, die noch nicht ausgeführte Überweisung jederzeit auch abbrechen können. Diese Willenserklärung des Kunden ist allenfalls anfechtbar, gegenüber der Bank aber nur unter den Voraussetzungen des § 123 Abs. 2 BGB.

Die Sicherheitsaspekte dieses Verfahrens sind bei Wikipedia anschaulich erläutert.

Das Urteil des Landgerichts ist im Ergebnis zutreffend, überzeugt in seiner Begründung aber nur teilweise.

Ergänzung:
Die Überweisung wird nicht am TAN-Generator ausgeführt, wie es in der ersten Fassung hieß.

posted by Stadler at 18:02